Übersicht über den Modus für gemeinsam genutzte Geräte

Der Modus für gemeinsam genutzte Geräte ist ein Feature von Microsoft Entra ID, mit dem Sie Anwendungen erstellen und bereitstellen können, die Mitarbeiter in Service und Produktion sowie Fort- und Weiterbildungsszenarien unterstützen, für die gemeinsam genutzte Android- und iOS-Geräte erforderlich sind.

Unterstützen mehrerer Benutzer auf Geräten, die für einen Benutzer vorgesehen sind

Da mobile iOS- oder Android-Geräte für Einzelbenutzer entwickelt wurden, sind die meisten Anwendungen für die Verwendung durch einen einzelnen Benutzer optimiert. Hierzu zählen beispielsweise anwendungsübergreifendes einmaliges Anmelden (SSO) und die Eigenschaft, dass Benutzer auf ihrem Gerät angemeldet bleiben. Wenn ein Benutzer sein Konto aus einer Anwendung entfernt, wird dies von der Anwendung in der Regel nicht als sicherheitsrelevant erachtet. In vielen Anwendungen bleiben sogar die Anmeldeinformationen des Benutzers nach dem Entfernen des Kontos gespeichert, um eine schnelle Anmeldung zu ermöglichen. Sie haben möglicherweise selbst erlebt, dass Sie noch angemeldet waren, nachdem Sie eine Anwendung von Ihrem mobilen Gerät gelöscht und dann neu installiert hatten.

Automatisches einmaliges Anmelden und einmaliges Abmelden

Damit die Mitarbeiter einer Organisation ihre Apps in einem Pool gemeinsam genutzter Geräte verwenden können, müssen Entwickler die entgegengesetzte Erfahrung ermöglichen. Die Mitarbeitenden sollten in der Lage sein, ein Gerät aus dem Pool auszuwählen und es mit einer einzigen Geste während ihrer Schicht "zu ihrem" zu machen. Am Ende der Schicht sollten sie sich mit einer anderen Geste global bei dem Gerät abmelden können, wobei alle persönlichen und Unternehmensdaten entfernt werden, sodass sie das Gerät an den Gerätepool zurückgeben können. Wenn ein Mitarbeiter vergisst, sich abzumelden, sollte er am Ende der Schicht und/oder nach einem bestimmten Zeitraum der Inaktivität automatisch beim Gerät abgemeldet werden.

Microsoft Entra ID ermöglicht diese Szenarien mit einem Feature, das als Modus für gemeinsam genutzte Geräte bezeichnet wird.

Der Modus für gemeinsam genutzte Geräte

Wie bereits erwähnt, ist der Modus für gemeinsame Geräte ein Feature von Microsoft Entra ID, das Folgendes ermöglicht:

  • Erstellen Sie Anwendungen, die Mitarbeiter in Service und Produktion unterstützen.
  • Stellen Sie für Mitarbeiter in Service und Produktion Geräte mit Apps bereit, die den Modus für gemeinsam genutzte Geräte unterstützen.

Erstellen von Anwendungen, die Mitarbeiter in Service und Produktion unterstützen

Sie können in Ihren Anwendungen Mitarbeiter in Service und Produktion unterstützen, indem Sie mithilfe der Microsoft Authentication Library (MSAL) und der Microsoft Authenticator-App den Gerätestatus Modus für gemeinsam genutzte Geräte aktivieren. Wenn sich ein Gerät im Modus für gemeinsam genutzte Geräte befindet, stellt Microsoft Informationen für Ihre Anwendung bereit, die es ermöglichen, das Verhalten der Anwendung auf Grundlage des Status des Benutzers auf dem Gerät zu ändern und die Benutzerdaten zu schützen.

Folgende Features werden unterstützt:

  • Geräteweites Anmelden des Benutzers über jede unterstützte Anwendung
  • Geräteweites Abmelden des Benutzers über jede unterstützte Anwendung
  • Abfragen des Gerätestatus, um zu ermitteln, ob sich die Anwendung auf einem Gerät befindet, das den Modus für gemeinsam genutzte Geräte aufweist
  • Abfragen des Gerätestatus des Benutzers auf dem Gerät, um zu ermitteln, ob sich seit der letzten Verwendung der Anwendung etwas geändert hat

Die Unterstützung des Modus für gemeinsam genutzte Geräte sollte als Featureupgrade für Ihre Anwendung betrachtet werden und kann dazu beitragen, die Verwendung des Modus in Umgebungen zu steigern, in denen ein Gerät von mehreren Benutzern gemeinsam verwendet wird.

Sie müssen sicherstellen, dass die Daten eines Benutzers nicht an andere Benutzer gelangen. Der Modus für gemeinsam genutzte Geräte bietet hilfreiche Signale, anhand derer die Anwendung erkennt, dass eine Änderung vorgenommen wurde, die Sie verwalten sollten. Ihre Anwendung muss den Status des Benutzers bei jeder Verwendung der Anwendung auf dem Gerät überprüfen und die Daten des vorherigen Benutzers löschen. Dies gilt auch, wenn die Anwendung beim Multitasking erneut aus dem Hintergrund geladen wird. Bei einem Wechsel des Benutzers müssen Sie sicherstellen, dass die Daten des vorherigen Benutzers gelöscht sowie alle zwischengespeicherten Daten, die in der Anwendung angezeigt werden, entfernt werden.

Um alle Szenarien zur Vermeidung von Datenverlusten zu unterstützen, empfehlen wir Ihnen außerdem die Integration mit dem Intune App SDK. Mit dem Intune App SDK können Sie Ihrer Anwendung die Verwendung der App-Schutzrichtlinien von Intune ermöglichen. Insbesondere empfehlen wir die Integration mit den Intune-Funktionen Selektives Zurücksetzen und Aufheben der Benutzerregistrierung unter iOS bei einer Abmeldung.

Abschließend empfehlen wir, immer eine gründliche Sicherheitsüberprüfung durchzuführen, nachdem Sie Ihrer Anwendung den Modus für gemeinsam genutzte Geräte hinzugefügt haben.

Ausführliche Informationen zum Ändern der Anwendungen, damit sie den Modus für gemeinsam genutzte Geräte unterstützen, finden Sie im Abschnitt Verwandte Inhalte am Ende dieses Artikels.

Bereitstellen von Geräten für Mitarbeiter in Service und Produktion und Aktivieren des Modus für gemeinsam genutzte Geräte

Sobald Ihre Anwendungen den Modus für gemeinsam genutzte Geräte unterstützen und die erforderlichen Daten- und Sicherheitsänderungen aufweisen, können Sie den Mitarbeitern in Service und Produktion ihre Verwendbarkeit mitteilen.

Die Geräteadministratoren einer Organisation können ihre Geräte und Ihre Anwendungen über eine Lösung für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) wie Microsoft Intune für ihre Stores und Arbeitsplätze bereitstellen. Zum Bereitstellungsprozess gehört das Markieren des Geräts als Freigegebenes Gerät. Administratoren konfigurieren den Modus für gemeinsam genutzte Geräte durch Bereitstellen der Microsoft Authenticator-App und Festlegen des Modus für gemeinsam genutzte Geräte durch Konfigurationsparameter. Nach Abschluss dieser Schritte verwenden alle Anwendungen, die den Modus für gemeinsam genutzte Geräte unterstützen, die Anwendung Microsoft Authenticator, um den Benutzerstatus zu verwalten und Sicherheitsfeatures für das Gerät und die Organisation bereitzustellen.

Verwenden Sie App-Schutzrichtlinien, um Datenverluste zwischen Benutzern zu vermeiden.

Als Datenschutzfunktionen fungieren neben dem Modus für gemeinsam genutzte Geräte die Microsoft Intune-Anwendungsschutzrichtlinien als die von Microsoft unterstützte Datenschutzlösung für Microsoft 365-Anwendungen unter Android und iOS. Weitere Informationen zu den Richtlinien finden Sie unter Übersicht über App-Schutzrichtlinien – Microsoft Intune | Microsoft Learn.

Beim Einrichten von App-Schutzrichtlinien für gemeinsam genutzte Geräte empfehlen wir, Stufe 2 des erweiterten Datenschutzes für Unternehmen zu verwenden. Mit der Datenschutzstufe 2 können Sie bei der Datenübertragung Szenarien einschränken, die möglicherweise dazu führen, dass Daten in Teile des Geräts verschoben werden, die nicht für den Modus für gemeinsam genutzte Geräte aktiviert sind.

Wir unterstützen den Modus für gemeinsam genutzte Geräte auf iOS- und Android-Plattformen. Weitere Informationen finden Sie unter