Panoramica della modalità dispositivo condiviso

La Modalità dispositivo condiviso (SDM) è una funzionalità di Microsoft Entra ID che consente alle organizzazioni di configurare un dispositivo iOS, iPadOS o Android per l'uso condiviso tra più dipendenti, una pratica comune negli ambienti di lavoro in prima linea. Con SDM, i dipendenti effettuano l'accesso una sola volta per accedere ai dati in tutte le applicazioni supportate, senza accedere ai dati di altri dipendenti. Quando i dipendenti si disconnettono dopo aver completato il turno o l'attività, vengono disconnessi automaticamente dal dispositivo e da tutte le applicazioni supportate, rendendo il dispositivo pronto per l'utente successivo.

Perché la Modalità dispositivo condiviso?

Per consentire ai dipendenti di usare le app di un'organizzazione tra dispositivi condivisi, gli sviluppatori devono offrire un'esperienza utente semplificata e sicura. I dipendenti devono avere la possibilità di selezionare un dispositivo dal pool condiviso e accedere con un singolo gesto, rendendo il dispositivo "personale" durante il loro turno. Al termine del turno, i dipendenti possono eseguire un altro gesto per disconnettersi globalmente dal dispositivo prima di restituirlo al pool di dispositivi condivisi. L'abilitazione della Modalità dispositivo condiviso offre diversi vantaggi, tra cui:

  • Single Sign-On: consente agli utenti di accedere a una delle app che supportano la modalità dispositivo condiviso e di ottenere un'autenticazione fluida in tutte le altre app supportate da SDM senza dover immettere nuovamente le credenziali. Esentare gli utenti dalle schermate FRE (First-Run Experience, ovvero di prima esecuzione) nei dispositivi condivisi.
  • Single Sign-Out: consente agli utenti di disconnettersi dal dispositivo senza doversi disconnettere singolarmente da ogni applicazione supportata da SDM. La disconnessione garantisce agli utenti che i dati non verranno mostrati agli utenti che utilizzeranno il dispositivo successivamente, purché le app garantiscano la pulizia dei dati utente memorizzati nella cache.
  • Sicurezza tramite il supporto dei criteri di accesso condizionale: offre agli amministratori la possibilità di definire criteri di accesso condizionale specifici per i dispositivi condivisi, assicurando che i dipendenti abbiano accesso ai dati aziendali solo quando il dispositivo condiviso in uso soddisfa gli standard di conformità interni.

Scenari supportati e non supportati

La funzionalità Modalità dispositivo condiviso supporta gli scenari seguenti:

  • Un utente accede a un'applicazione supportata in Modalità dispositivo condiviso (app line-of-business, app di avvio di terze parti o app Microsoft) in un dispositivo Android o iOS/iPadOS usando le credenziali di Microsoft Entra ID e viene connesso automaticamente a tutte le app supportate in Modalità dispositivo condiviso nel dispositivo.
  • Un utente si disconnette da un'applicazione supportata in Modalità dispositivo condiviso (app line-of-business, di avvio di terze parti o Microsoft) in un dispositivo Android o iOS/iPadOS e viene disconnesso da tutte le app supportate da SDM nel dispositivo.
  • Se un amministratore configura un criterio di accesso condizionale che specifica che, per la concessione, i dispositivi debbano essere registrati nella gestione di dispositivi mobili (MDM) e conformi, allora l'utente potrà accedere a un'applicazione supportata da SDM solo se il dispositivo è conforme.

Nota

Se un utente accede a un'applicazione che non supporta la modalità dispositivo condiviso, non beneficerà dei vantaggi del Single Sign-On e del Single Sign-Out.

Ruoli di amministratori e sviluppatori nell'implementazione della Modalità dispositivo condiviso

Per sfruttare i vantaggi della funzionalità Modalità dispositivo condiviso, gli amministratori di dispositivi cloud e gli sviluppatori di applicazioni collaborano:

Gli amministratori dispositivo preparano i dispositivi alla condivisione configurandoli in Modalità dispositivo condiviso, manualmente o tramite un provider di gestione di dispositivi mobili (MDM) come Microsoft Intune. L'opzione preferita è quella di un MDM perché consente la configurazione della modalità dispositivo condiviso su larga scala tramite il provisioning zero-touch. MDM è configurata per eseguire il push dell'app Microsoft Authenticator nel dispositivo con la modalità dispositivo condiviso attivata. Nei dispositivi iOS, MDM abilita anche il plug-in Microsoft Enterprise SSO necessario per la modalità dispositivo condiviso.

Le guide seguenti forniscono altri dettagli su come configurare i dispositivi in modalità dispositivo condiviso tramite Intune:

È anche possibile configurare i dispositivi in modalità dispositivo condiviso usando una soluzione MDM supportata di terze parti. Per un elenco di MDM di terze parti che supportano la modalità dispositivo condiviso in Android, fare riferimento a MDM di terze parti che supportano la modalità dispositivo condiviso.

La configurazione manuale è uno strumento utile per i programmi pilota e le distribuzioni su scala ridotta. Richiede l'accesso come amministratore dispositivo cloud e deve essere eseguita su ogni dispositivo.

Gli sviluppatori di applicazioni aggiungono il supporto della modalità dispositivo condiviso all'applicazione client pubblica con account singolo usando Microsoft Authentication Library (MSAL). MSAL consente alle app di modificare il loro comportamento in base ai segnali sullo stato del dispositivo e dell'utente nel dispositivo. Ad esempio, l'applicazione controlla lo stato dell'utente nel dispositivo ogni volta che l'applicazione viene utilizzata, inoltre cancella i dati dell'utente precedente quando l'utente cambia. Ogni volta che un utente cambia, l'applicazione deve assicurarsi che i dati dell'utente precedente vengano cancellati e che tutti i dati memorizzati nella cache visualizzati nell'applicazione vengano rimossi.

Gli sviluppatori di applicazioni possono anche provvedere all'integrazione con Intune App SDK per supportare tutti gli scenari di prevenzione della perdita dei dati, il che è altamente consigliato. Intune App SDK consente agli sviluppatori di supportare i Criteri di Protezione app di Intune nelle proprie applicazioni. Microsoft consiglia l'integrazione con le funzionalità di cancellazione selettiva di Intune e l'annullamento della registrazione dell'utente in iOS durante la disconnessazione.

Il supporto della modalità di dispositivo condiviso deve essere considerato un aggiornamento delle funzionalità dell'applicazione e può contribuire alla sua adozione in ambienti in cui lo stesso dispositivo viene usato in condivisione da più utenti.

Nota

Per le applicazioni Microsoft che supportano la modalità dispositivo condiviso, è sufficiente eseguire l'installazione su un dispositivo abilitato per la modalità dispositivo condiviso, dopodiché non saranno necessarie ulteriori modifiche.

Microsoft Entra ID supporta la modalità dispositivo condiviso nelle piattaforme iOS e Android. Per altre informazioni, vedi: