共享设备模式的概述

  • 项目

共享设备模式是 Microsoft Entra ID 的一项功能,可用于构建和部署应用程序来为需要共享 Android 和 iOS 设备的一线工作者和教育方案提供支持。

在专供一个用户使用的设备上支持多个用户

由于运行 iOS 或 Android 的移动设备是为单一用户设计的,因此,大多数应用程序的体验是针对供单个用户使用而优化的。 这种经过优化的体验一方面意味着,它会跨应用程序启用单一登录 (SSO) 并使用户在其设备上保持登录状态。 当用户从某个应用程序中删除其帐户时,该应用通常不会将此操作视为安全相关的事件。 许多应用甚至会就近保留用户的凭据,以便快速登录。 你甚至亲身体验过这种情况:从移动设备中删除了某个应用程序,再重新安装该应用程序,结果却发现自己仍保持登录状态。

自动单一登录和单一注销

为使组织的员工能够在他们共享的整个设备池中使用其应用,开发人员需要启用相反的体验。 员工应能够从池中选取一个设备,并通过执行一个操作,使该设备在他们当班期间变成“专供其使用的设备”。 在其班次结束时,他们应该能够执行另一个操作以在设备上全局注销,并删除其所有个人信息和公司信息,以便可将该设备退回到设备池。 此外,如果某个员工忘记了注销,该设备应该在该员工的班次结束时和/或处于非活动状态一段时间后自动注销。

Microsoft Entra ID 使用称作“共享设备模式”的功能来实现这些方案。

共享设备模式简介

如前所述,共享设备模式是 Microsoft Entra 的一项功能,可用于:

  • 构建可为一线员工提供支持的应用程序。
  • 使用支持共享设备模式的应用为一线工作者部署设备。

生成可为一线员工提供支持的应用程序

若要在应用程序中为一线员工提供支持,可以使用 Microsoft 身份验证库 (MSAL) 和 Microsoft Authenticator 应用来启用称作“共享设备模式”的设备状态。 当设备处于共享设备模式时,Microsoft 将为应用程序提供所需的信息,使应用程序能够根据设备上用户的状态修改其行为,从而保护用户数据。

支持的功能包括:

  • 通过任何受支持的应用程序在整个设备上将用户登录 。
  • 通过任何受支持的应用程序在整个设备上将用户注销 。
  • 查询设备的状态,以确定应用程序是否位于处于共享设备模式的设备上 。
  • 查询设备上用户的设备状态,以确定自上次使用应用程序以来是否发生了任何更改 。

支持共享设备模式应被视为应用程序的一项功能升级,并且会有助于在多个用户使用同一设备的环境中提升该应用程序的采用率。

用户依赖于你来确保其数据不会泄露给其他用户。 共享设备模式提供了有用的信号,用于向应用程序指示已发生了需要处理的更改。 每次使用你的应用程序时,该应用都要负责检查设备上用户的状态,并清除以前的用户数据。 这还包括检查应用是不是从正在执行多个任务的后台重新加载的。 发生用户更改后,你应确保前一个用户的数据已清除,并且应用程序中显示的所有缓存数据已删除。

为了支持所有数据丢失防护方案,我们还建议与 Intune App SDK 集成。 使用 Intune App SDK 能使应用程序支持 Intune 应用保护策略。 具体而言,我们建议与 Intune 的选择性擦除功能集成,并在注销期间在 iOS 上注销用户

最后,在向应用添加共享设备模式功能后,我们建议始终执行全面的安全评审过程。

有关如何修改应用程序以支持共享设备模式的详细信息,请参阅本文末尾的相关内容部分。

将设备部署给一线员工并启用共享设备模式

应用程序支持共享设备模式并包含所需的数据和安全更改时,就可以播发这些更改,使其可供一线员工使用。

组织的设备管理员可以通过 Microsoft Intune 等移动设备管理 (MDM) 解决方案,将其设备和你的应用程序部署到其存储和工作区中。 预配过程的一部分工作是将设备标记为共享设备 。 管理员通过部署 Microsoft Authenticator 应用并通过配置参数设置共享设备模式来配置共享设备模式。 完成这些步骤后,所有支持共享设备模式的应用程序都将使用 Microsoft Authenticator 应用程序来管理其用户状态,并为设备和组织提供安全功能。

使用应用保护策略在用户之间提供数据丢失防护。

对于数据保护功能以及共享设备模式,Microsoft 为 Android 和 iOS 上的 Microsoft 365 应用程序支持的数据保护解决方案是 Microsoft Intune 应用程序保护策略。 有关策略的详细信息,请参阅应用保护策略概述 - Microsoft Intune | Microsoft Learn

为共享设备设置应用保护策略时,我们建议使用第 2 级企业增强型数据保护。 使用 2 级数据保护,限制可能导致数据移动到未使用共享设备模式清除的设备部分的数据传输方案。

相关内容

我们支持在 iOS 和 Android 平台中使用共享设备模式。 有关详细信息,请参阅: