Přehled režimu sdíleného zařízení
Režim sdíleného zařízení je funkce Microsoft Entra ID, která umožňuje vytvářet a nasazovat aplikace, které podporují frontline pracovní procesy a vzdělávací scénáře, které vyžadují sdílená zařízení s Androidem a iOSem.
Podpora více uživatelů na zařízeních navržených pro jednoho uživatele
Vzhledem k tomu, že mobilní zařízení s iOSem nebo Androidem byla navržena pro jednotlivé uživatele, většina aplikací optimalizuje jejich prostředí pro použití jedním uživatelem. Součástí tohoto optimalizovaného prostředí je povolení jednotného přihlašování (SSO) napříč aplikacemi a zachování přihlášení uživatelů na jejich zařízení. Když uživatel odebere svůj účet z aplikace, obvykle ji nepovažuje za událost související se zabezpečením. Mnoho aplikací dokonce uchovává přihlašovací údaje uživatele pro rychlé přihlášení. Možná jste to zažili sami, když jste odstranili aplikaci z mobilního zařízení a pak ji znovu nainstalovali, jenom abyste zjistili, že jste stále přihlášení.
Automatické jednotné přihlašování a jednotné přihlašování
Aby zaměstnanci organizace mohli používat své aplikace ve fondu zařízení sdílených těmito zaměstnanci, musí vývojáři povolit opačné prostředí. Zaměstnanci by měli být schopni vybrat zařízení z fondu a během směny provést jedno gesto, aby to udělali jejich. Na konci směny by měli být schopni provést další gesto, jak se na zařízení odhlásit globálně, a to se všemi odebranými osobními a firemními informacemi, aby se mohli vrátit do fondu zařízení. Pokud se zaměstnanec zapomene odhlásit, mělo by se zařízení automaticky odhlásit na konci směny nebo po určité době nečinnosti.
Microsoft Entra ID umožňuje tyto scénáře pomocí funkce označované jako režim sdíleného zařízení.
Představujeme režim sdíleného zařízení
Jak už bylo zmíněno, režim sdíleného zařízení je funkcí ID Microsoft Entra, které umožňuje:
- Vytvářejte aplikace, které podporují pracovní procesy frontline.
- Nasaďte zařízení do frontline pracovních procesů pomocí aplikací, které podporují režim sdíleného zařízení.
Vytváření aplikací, které podporují frontline pracovní procesy
Frontline pracovní procesy ve vašich aplikacích můžete podporovat pomocí knihovny Microsoft Authentication Library (MSAL) a aplikace Microsoft Authenticator, která umožňuje povolit stav zařízení označovaný jako režim sdíleného zařízení. Když je zařízení v režimu sdíleného zařízení, microsoft vaší aplikaci poskytne informace, které jí umožní změnit jeho chování na základě stavu uživatele v zařízení a chránit uživatelská data.
Mezi podporované funkce patří:
- Přihlaste se přes libovolnou podporovanou aplikaci pro celé uživatelské zařízení.
- Odhlaste se ze zařízení uživatele prostřednictvím libovolné podporované aplikace.
- Zadejte dotaz na stav zařízení a zjistěte, jestli je vaše aplikace v zařízení, které je v režimu sdíleného zařízení.
- Zadejte dotaz na stav zařízení uživatele na zařízení a zjistěte, jestli se od posledního použití aplikace něco změnilo.
Podpora režimu sdíleného zařízení by měla být považována za upgrade funkcí pro vaši aplikaci a může pomoct zvýšit její přijetí v prostředích, kde se stejné zařízení používá mezi více uživateli.
Vaši uživatelé závisejí na vás, abyste zajistili, že jejich data nebudou unikla jinému uživateli. Režim sdílení zařízení poskytuje užitečné signály, které indikují aplikaci, že došlo ke změně, kterou byste měli spravovat. Vaše aplikace zodpovídá za kontrolu stavu uživatele na zařízení při každém použití aplikace a vymazání dat předchozího uživatele. To zahrnuje, pokud se znovu načte z pozadí ve více úlohách. Při změně uživatele byste měli zajistit vymazání dat předchozího uživatele a odebrání všech dat uložených v mezipaměti ve vaší aplikaci.
Pokud chcete podporovat všechny scénáře ochrany před únikem informací, doporučujeme také integraci se sadou Intune App SDK. Pomocí sady Intune App SDK můžete aplikaci povolit podporu zásad Intune App Protection. Konkrétně doporučujeme, abyste se integrovali s možnostmi selektivního vymazání Intune a během odhlášení uživatele v iOSu deregovali.
Nakonec doporučujeme, abyste po přidání funkce režimu sdíleného zařízení do aplikace vždy provedli důkladný proces kontroly zabezpečení.
Podrobnosti o tom, jak upravit aplikace tak, aby podporovaly režim sdíleného zařízení, najdete v části Související obsah na konci tohoto článku.
Nasazení zařízení do pracovníků frontline a zapnutí režimu sdíleného zařízení
Jakmile vaše aplikace podporují režim sdíleného zařízení a zahrnují požadovaná data a změny zabezpečení, můžete je inzerovat jako použitelné pracovníky front-line.
Správci zařízení organizace můžou nasadit svá zařízení a vaše aplikace do svých obchodů a pracoviště prostřednictvím řešení pro správu mobilních zařízení (MDM), jako je Microsoft Intune. Součástí procesu zřizování je označení zařízení jako sdíleného zařízení. Správa istrátory konfigurují režim sdíleného zařízení nasazením Aplikace Microsoft Authenticator a nastavení režimu sdíleného zařízení prostřednictvím parametrů konfigurace Po dokončení těchto kroků budou všechny aplikace, které podporují režim sdíleného zařízení, používat aplikaci Microsoft Authenticator ke správě stavu uživatele a poskytovat funkce zabezpečení pro zařízení a organizaci.
Pomocí zásad ochrany aplikací můžete zajistit ochranu před únikem informací mezi uživateli.
Pro možnosti ochrany dat spolu s režimem sdíleného zařízení je podporované řešení ochrany dat microsoftu pro aplikace Microsoft 365 v Androidu a iOSu zásady ochrany aplikací Microsoft Intune. Další informace o zásadách najdete v tématu Ochrana aplikací přehled zásad – Microsoft Intune | Microsoft Learn.
Při nastavování zásad Ochrana aplikací pro sdílená zařízení doporučujeme používat rozšířenou ochranu dat úrovně 2 enterprise. S ochranou dat úrovně 2 můžete omezit scénáře přenosu dat, které můžou způsobit přesun dat do částí zařízení, které nejsou vymazány pomocí režimu sdíleného zařízení.
Související obsah
Podporujeme platformy iOS a Android pro režim sdíleného zařízení. Další informace naleznete v tématu: