共享设备模式的概述

共享设备模式 (SDM) 是一项 Microsoft Entra ID 功能,使组织能够配置 iOS、iPadOS 或 Android 设备,以便在多个员工之间共享使用,这是一种在一线工作人员环境中的常见做法。 使用 SDM,员工登录一次即可跨所有受支持的应用程序访问其数据,而无需访问其他员工的数据。 当员工完成班次或任务后注销时,他们会自动注销设备和所有受支持的应用程序,使设备可供下一个用户使用。

为什么采用共享设备模式?

为了让员工能够跨共享设备使用组织的应用,开发人员应促进简化且安全的用户体验。 员工应能够从共享池中选取一个设备,并且通过执行一个操作登录设备,使该设备在他们当班期间变成“专供其使用的设备”。 在轮班结束时,员工可以在将设备返回到共享设备池之前执行另一个操作以全局注销设备。 启用共享设备模式可提供多项优势,包括:

  • 单一登录:允许用户登录到支持共享设备模式的应用之一,并在所有其他 SDM 支持的应用之间获得无缝身份验证,而无需重新输入其凭据。 免除用户使用共享设备上的首次运行体验 (FRE) 屏幕。
  • 单一注销:允许用户注销设备,而无需从每个 SDM 支持的应用程序单独注销。 注销可确保用户不会向后续设备用户显示其数据,前提是应用确保清理任何缓存的用户数据。
  • 通过条件访问策略支持提供安全性:为管理员提供在共享设备上定位特定条件访问策略的功能,确保员工仅在其共享设备满足内部合规性标准时才有权访问公司数据。

受支持的方案和不受支持的方案

共享设备模式功能支持以下方案:

  • 用户使用 Microsoft Entra ID 凭据登录到 Android 或 iOS/iPadOS 设备上的支持共享设备模式的应用程序(业务线应用、第三方启动器应用或 Microsoft 应用),并自动登录到设备上的所有支持共享设备模式的应用。
  • 用户在 Android 或 iOS/iPadOS 设备上注销支持共享设备模式的应用程序(业务线、第三方启动器或 Microsoft 应用),并注销设备上的所有支持 SDM 的应用。
  • 如果管理员通过授权设置了条件访问策略,该授权要求设备在移动设备管理 (MDM) 中注册并合规,用户只有在设备合规的情况下才能登录到支持 SDM 的应用程序。

注意

如果用户登录到不支持共享设备模式的应用程序,他们不会获得单一登录和单一注销的好处。

实现共享设备模式的管理员和开发人员的角色

要利用共享设备模式功能,需要云设备管理员和应用程序开发人员配合工作:

设备管理员以手动方式或通过移动设备管理 (MDM) 提供程序(如 Microsoft Intune)将设备设置为共享设备模式,为共享设备做好准备。 首选选项是使用 MDM,因为它允许通过零接触预配大规模在共享设备模式下设置设备。 MDM 配置为将 Microsoft Authenticator 应用推送到启用了共享设备模式的设备。 在 iOS 设备上,MDM 还启用共享设备模式所需的 Microsoft 企业 SSO 插件。

以下指南提供了有关如何通过 Intune 在共享设备模式下设置设备的更多详细信息:

还可以使用受支持的第三方 MDM 在共享设备模式下设置设备。 有关支持 Android 上共享设备模式的第三方 MDM 的列表,请参阅支持共享设备模式的第三方 MDM

手动设置是试点计划和小规模部署的有用工具。 它需要云设备管理员访问权限,并且需要在每台设备上完成。

应用程序开发人员 使用 Microsoft 身份验证库 (MSAL) 向单帐户公共客户端应用程序添加共享设备模式支持。 MSAL 允许应用根据设备状态和设备上用户的信号修改其行为。 例如,每次使用应用程序时,应用程序都会检查设备上的用户状态,并在用户发生更改时清除以前的用户数据。 发生用户更改后,应用程序应确保前一个用户的数据已清除,并且应用程序中显示的任何缓存数据已删除。

我们强烈建议,应用程序开发人员还可以与 Intune 应用 SDK 集成,以支持所有数据丢失防护方案。 Intune 应用 SDK 使开发人员能够在其应用程序中支持 Intune 应用保护策略。 Microsoft 建议与 Intune 的选择性擦除功能集成,并在注销期间在 iOS 上注销用户

支持共享设备模式应被视为应用程序的一项功能升级,并且会有助于在多个用户共享同一设备的环境中提升该应用程序的采用率。

注意

对于支持共享设备模式的 Microsoft 应用程序,除了在启用共享设备模式的设备上安装它们之外,无需进行任何进一步更改。

Microsoft Entra ID 支持在 iOS 和 Android 平台中使用共享设备模式。 有关详细信息,请参阅: