Vue d’ensemble du mode d’appareil partagé
Le mode d’appareil partagé est une fonctionnalité de Microsoft Entra ID qui permet aux organisations de configurer un appareil iOS, iPadOS ou Android pour une utilisation partagée entre plusieurs employés, une pratique courante dans les environnements des employés de terrain. Avec le mode d’appareil partagé, les employés se connectent une seule fois pour accéder à leurs données sur l’ensemble des applications prises en charge, sans accéder aux données des autres employés. Lorsque les employés se déconnectent à la fin de leur temps de travail ou de leur tâche, ils sont automatiquement déconnectés de l’appareil et de toutes les applications prises en charge, rendant ainsi l’appareil prêt pour l’utilisateur suivant.
Pourquoi utiliser le mode d’appareil partagé ?
Pour permettre aux employés d’utiliser les applications d’une organisation sur des appareils partagés, les développeurs doivent fournir une expérience utilisateur simplifiée et sécurisée. Les employés doivent être en mesure de choisir un appareil dans le pool d’appareils partagés et de se connecter en un seul geste afin de se l’approprier pour toute la durée de leur temps de travail. À la fin de leur temps de travail, les employés peuvent effectuer un autre geste pour se déconnecter globalement de l’appareil avant de le remettre dans le pool d’appareils partagés. L’activation du mode d’appareil partagé offre plusieurs avantages, notamment :
- Authentification unique : permet aux utilisateurs de se connecter à l’une des applications prenant en charge le mode d’appareil partagé et de bénéficier d’une authentification transparente dans toutes les autres applications prises en charge par le mode d’appareil partagé sans avoir à entrer à nouveau leurs informations d’identification. Exemptez les utilisateurs des écrans qui s’affichent lors de la première utilisation (First Run Experience) sur les appareils partagés.
- Déconnexion unique : permet aux utilisateurs de se déconnecter de l’appareil sans avoir à se déconnecter individuellement de chaque application prise en charge par le mode d’appareil partagé. La déconnexion garantit aux utilisateurs que leurs données ne seront pas affichées aux autres utilisateurs qui utiliseront ensuite l’appareil, à condition que les applications effectuent un nettoyage des données utilisateur mises en cache.
- Sécurité via la prise en charge des stratégies d’accès conditionnel : fournissez aux administrateurs la possibilité de cibler des stratégies d’accès conditionnel spécifiques sur des appareils partagés, afin de garantir que les employés ont accès aux données de l’entreprise uniquement lorsque leur appareil partagé répond aux normes de conformité internes.
Scénarios pris en charge et non pris en charge
La fonctionnalité Mode d’appareil partagé prend en charge les scénarios suivants :
- Un utilisateur se connecte à une application prise en charge en mode Appareil partagé (application métier, application de lanceur tierce ou application Microsoft) sur un appareil Android ou iOS/iPadOS à l’aide des informations d’identification Microsoft Entra ID et est automatiquement connecté à toutes les applications prises en charge en mode Appareil partagé sur l’appareil.
- Un utilisateur se déconnecte d’une application prise en charge en mode Appareil partagé (métier, lanceur tiers ou application Microsoft) sur un appareil Android ou iOS/iPadOS et est déconnecté de toutes les applications prises en charge par le mode Appareil partagé sur l’appareil.
- Si un administrateur configure une stratégie d’accès conditionnel dont l’octroi de l’accès exige que les appareils soient inscrits dans la gestion des appareils mobiles et conformes, l’utilisateur ne peut se connecter qu’aux applications prises en charge par le mode d’appareil partagé, si l’appareil est conforme.
Remarque
Si un utilisateur se connecte à une application qui ne prend pas en charge le mode d’appareil partagé, il ne bénéficie pas des avantages de l’authentification unique et de la déconnexion unique.
Rôles des administrateurs et des développeurs dans l’implémentation du mode d’appareil partagé
Pour tirer parti de la fonctionnalité Mode d’appareil partagé, les développeurs d’applications et les administrateurs d’appareils cloud travaillent ensemble :
Les administrateurs d’appareils préparent les appareils pour qu’ils soient partagés en les configurant en mode Appareil partagé manuellement ou par l’intermédiaire d’un fournisseur de gestion des appareils mobiles (GAM) tel que Microsoft Intune. L’option préférée utilise une fonctionnalité de gestion des appareils mobiles, car elle permet la configuration de l’appareil en mode Appareil partagé à grande échelle via l’approvisionnement sans intervention. La gestion des appareils mobiles est configurée pour envoyer (push) l’application Microsoft Authenticator à l’appareil avec le mode Appareil partagé activé. Sur les appareils iOS, la fonctionnalité GAM active également le plug-in Microsoft Enterprise SSO requis pour le mode Appareil partagé.
Les guides suivants fournissent plus d’informations sur la configuration des appareils en mode Appareil partagé via Intune :
- Configurer l’inscription Intune des appareils Android Entreprise dédiés
- Configurez l’inscription pour les appareils iOS et iPadOS en mode d’appareil partagé.
Vous pouvez également configurer des appareils en mode Appareil partagé à l’aide d’un fonctionnalité GAM tierce prise en charge. Pour obtenir la liste des fonctionnalités GAM tierces qui prennent en charge le mode Appareil partagé sur Android, reportez-vous aux Fonctionnalités de gestion des appareils mobiles (GAM) tierces prenant en charge le mode Appareil partagé.
La configuration manuelle est un outil utile pour les programmes pilotes et les déploiements à petite échelle. Elle nécessite l’accès Administrateur d’appareil cloud et doit être effectuée sur chaque appareil.
Les développeurs d’applications ajoutent la prise en charge du mode Appareil partagé à l’application cliente publique à compte unique à l’aide de la bibliothèque d’authentification Microsoft (MSAL). MSAL permet aux applications de modifier leur comportement en fonction des signaux sur l’état de l’appareil et de l’utilisateur sur l’appareil. Par exemple, l’application vérifie l’état de l’utilisateur sur l’appareil chaque fois que l’application est utilisée et efface les données de l’utilisateur précédent si l’utilisateur a changé. En cas de changement d’utilisateur, vous devez vous assurer que les données de l’utilisateur précédent sont effacées et que toutes les données en cache affichées dans votre application sont supprimées.
Pour prendre en charge tous les scénarios de prévention de la perte de données, nous recommandons aux développeurs d’application d’intégrer également Intune App SDK. Le kit de développement logiciel d’application Intune permet aux développeurs de prendre en charge les stratégies Intune App Protection dans leurs applications. En particulier, Microsoft recommande d’intégrer les fonctionnalités de réinitialisation sélective d’Intune et de désinscrire l’utilisateur sur iOS lors d’une déconnexion.
La prise en charge du mode d’appareil partagé doit être considérée comme une mise à niveau des fonctionnalités de votre application. Elle peut aider à augmenter son taux d’adoption dans des environnements où le même appareil est utilisé par plusieurs utilisateurs.
Remarque
Pour les applications Microsoft qui prennent en charge le mode d’appareil partagé, vous n’avez pas besoin d’apporter de modifications, vous devez juste les installer sur un appareil sur lequel le mode d’appareil partagé est activé.
Contenu connexe
Microsoft Entra ID prend en charge le mode d’appareil partagé sur les plateformes iOS et Android. Pour plus d’informations, consultez l’article suivant :