Introducción al modo de dispositivo compartido

El modo de dispositivo compartido (SDM) es una característica de Microsoft Entra ID que permite a las organizaciones configurar un dispositivo iOS, iPadOS o Android para su uso compartido entre varios empleados, una práctica común en entornos de trabajo de primera línea. Con SDM, los empleados inician sesión una vez para acceder a sus datos en todas las aplicaciones compatibles, sin tener acceso a los datos de otros empleados. Cuando los empleados cierran sesión después de completar su turno o tarea, cierran sesión automáticamente en el dispositivo y todas las aplicaciones compatibles, lo que hace que el dispositivo esté listo para el siguiente usuario.

¿Por qué el modo de dispositivo compartido?

Para permitir que los empleados usen las aplicaciones de una organización en dispositivos compartidos, los desarrolladores deben facilitar una experiencia de usuario simplificada y segura. Los empleados deben poder seleccionar un dispositivo del grupo compartido e iniciar sesión con un único gesto para "hacerlo suyo" mientras dure el turno. Al final de su turno, los empleados pueden realizar otro gesto para cerrar sesión globalmente del dispositivo antes de devolverlo al grupo de dispositivos compartidos. Habilitar el modo de dispositivo compartido proporciona varias ventajas, entre las que se incluyen:

  • Inicio de sesión único: permite que los usuarios inicien sesión en una de las aplicaciones que admiten el modo de dispositivo compartido y obtengan autenticación sin problemas en todas las demás aplicaciones compatibles con SDM sin tener que volver a escribir sus credenciales. Excluye a los usuarios de las pantallas de experiencia de primera ejecución (FRE) en dispositivos compartidos.
  • Cierre de sesión único: permite que los usuarios cierren sesión en el dispositivo sin necesidad de cerrar sesión individualmente desde cada aplicación compatible con SDM. El cierre de sesión garantiza a los usuarios que sus datos no se mostrarán a los usuarios de dispositivos posteriores, siempre que las aplicaciones garanticen la limpieza de los datos de usuario almacenados en caché.
  • Seguridad a través de la compatibilidad con directivas de acceso condicional: proporciona a los administradores la capacidad de dirigirse a directivas de acceso condicional específicas en dispositivos compartidos, lo que garantiza que los empleados tengan acceso a los datos de la empresa solo cuando su dispositivo compartido cumpla los estándares de cumplimiento internos.

Escenarios admitidos y no admitidos

La característica de modo de dispositivo compartido admite los siguientes escenarios:

  • Un usuario inicia sesión en una aplicación compatible con el modo de dispositivo compartido (aplicación de línea de negocio, aplicación Launcher de terceros o aplicación de Microsoft) en un dispositivo Android o iOS/iPadOS con credenciales de Microsoft Entra ID y se inicia sesión automáticamente en todas las aplicaciones compatibles con el modo de dispositivo compartido en el dispositivo.
  • Un usuario cierra la sesión de una aplicación compatible con el modo de dispositivo compartido (línea de negocio, Launcher de terceros o aplicación de Microsoft) en un dispositivo Android o iOS/iPadOS y se cierra la sesión de todas las aplicaciones compatibles con SDM en el dispositivo.
  • Si un administrador configura una directiva de acceso condicional con la concesión que requiere que los dispositivos estén inscritos en la administración de dispositivos móviles (MDM) y conformes, el usuario solo puede iniciar sesión en una aplicación compatible con SDM si el dispositivo es compatible.

Nota:

Si un usuario inicia sesión en una aplicación que no admite el modo de dispositivo compartido, no obtiene las ventajas del inicio y el cierre de sesión únicos.

Roles de administradores y desarrolladores en la implementación del modo de dispositivo compartido

Para sacar provecho de la característica del modo de dispositivo compartido, los administradores de dispositivos en la nube y los desarrolladores de aplicaciones trabajan juntos:

Los administradores de dispositivos preparan los dispositivos para que se compartan configurando manualmente los dispositivos en modo de dispositivo compartido o mediante un proveedor de administración de dispositivos móviles (MDM) como Microsoft Intune. La opción preferida es usar un MDM, ya que permite la configuración del dispositivo en modo de dispositivo compartido a escala a través del aprovisionamiento sin intervención. El MDM está configurado para insertar la aplicación Microsoft Authenticator en el dispositivo con el modo de dispositivo compartido activado. En los dispositivos iOS, el MDM también habilita el complemento Microsoft Enterprise SSO que es necesario para el modo de dispositivo compartido.

En las guías siguientes se proporcionan más detalles sobre cómo configurar dispositivos en modo de dispositivo compartido a través de Intune:

También puedes configurar dispositivos en modo de dispositivo compartido mediante un MDM de terceros compatible. Para obtener una lista de MDM de terceros que admiten el modo de dispositivo compartido en Android, consulta MDM de terceros que admiten el modo de dispositivo compartido.

La configuración manual es una herramienta útil para programas piloto e implementaciones a pequeña escala. Requiere el acceso de Administrador de dispositivos en la nube y debe realizarse en cada dispositivo.

Los desarrolladores de aplicaciones agregan compatibilidad con el modo de dispositivo compartido a una aplicación cliente pública de cuenta única mediante la biblioteca de autenticación de Microsoft (MSAL). MSAL permite a las aplicaciones modificar su comportamiento en función de las señales en el estado del dispositivo y el usuario del dispositivo. Por ejemplo, la aplicación comprueba el estado del usuario en el dispositivo cada vez que se usa la aplicación y borra los datos del usuario anterior si el usuario ha cambiado. En un cambio de usuario, la aplicación debe garantizar que se eliminan los datos del usuario anterior y que se eliminan los datos almacenados en caché que se muestran en la aplicación.

Los desarrolladores de aplicaciones también se pueden integrar con Intune App SDK para admitir todos los escenarios de prevención de pérdida de datos, lo que se recomienda encarecidamente. Intune App SDK permite a los desarrolladores admitir las directivas Intune App Protection en sus aplicaciones. Microsoft recomienda realizar la integración con las funcionalidades de borrado selectivo y anulación del registro del usuario en iOS de Intune durante un cierre de sesión.

La compatibilidad con el modo de dispositivo compartido debe considerarse una actualización de características para la aplicación y puede ayudar a aumentar su adopción en entornos donde se comparte el mismo dispositivo entre varios usuarios.

Nota:

En el caso de las aplicaciones de Microsoft que admiten el modo de dispositivo compartido, no es necesario realizar más cambios que no sean instalarlos en un dispositivo habilitado en modo de dispositivo compartido.

Microsoft Entra ID admite el modo de dispositivo compartido en las plataformas iOS y Android. Para obtener más información, consulta: