共有デバイス モードの概要

共有デバイス モード (SDM) は、組織が iOS、iPadOS、または Android デバイスを複数の従業員の間で共有して使えるように構成できる Microsoft Entra ID 機能です。これは、現場作業者の環境で一般的なプラクティスです。 SDM を使用すると、従業員は 1 回サインインすれば、他の従業員のデータにアクセスすることなく、サポート対象のすべてのアプリケーションのデータにアクセスできます。 シフトまたはタスクの完了後に従業員がサインアウトすると、デバイスとサポートされているすべてのアプリケーションから自動的にサインアウトされ、デバイスは次のユーザーに対応できるようになります。

共有デバイスモードを使用する理由

従業員が共有のデバイス間で組織のアプリを使用できるようにするには、開発者は、合理化され、セキュリティで保護されたユーザー エクスペリエンスを促進する必要があります。 従業員が共有プールからデバイスを選択し、1 つのジェスチャでサインインして、シフト中にそのデバイスを "自分のデバイス" にできるようにする必要があります。 従業員はシフトの終了時に、別のジェスチャを実行して、デバイスを共有デバイス プールに返す前に、デバイスからグローバルにサインアウトすることができます。 共有デバイス モードを有効にすると、次のような利点があります。

  • シングル サインオン: 共有デバイス モードをサポートするいずれかのアプリにユーザーがサインインし、資格情報を再入力することなく、SDM でサポートされている他のすべてのアプリ間でシームレスな認証を取得できるようにします。 共有デバイス上の初回実行エクスペリエンス (FRE) 画面からユーザーを除外します。
  • シングル サインアウト: SDM でサポートされている各アプリケーションから個別にサインアウトする必要なく、ユーザーがデバイスからサインアウトできるようにします。 サインアウトすると、提供されたアプリでキャッシュされたユーザー データが確実にクリーンアップされるので、ユーザーは自分のデータが次のデバイス ユーザーに表示されることはないことを確信できます。
  • 条件付きアクセス ポリシーのサポートを使用したセキュリティ: 共有デバイスで特定の条件付きアクセス ポリシーをターゲットにする機能を管理者に提供し、従業員の共有デバイスが内部コンプライアンス標準を満たしている場合にのみ、その従業員が会社のデータにアクセスできるようにします。

サポートされているシナリオとサポートされていないシナリオ

共有デバイス モード機能では、次のシナリオがサポートされます。

  • ユーザーは、Microsoft Entra ID 資格情報を使用して Android または iOS/iPadOS デバイス上の共有デバイス モードでサポートされているアプリケーション (基幹業務アプリ、サード パーティのランチャー アプリ、または Microsoft アプリ) にサインインし、デバイス上のすべての共有デバイス モードでサポートされているアプリに自動的にサインオンします。
  • ユーザーは、Android または iOS/iPadOS デバイス上の共有デバイス モードでサポートされているアプリケーション (基幹業務、サード パーティのランチャー アプリ、または Microsoft アプリ) からサインアウトし、デバイス上のサポートされているすべての SDM からログアウトします。
  • 管理者が、デバイスをモバイル デバイス管理 (MDM) に登録し、準拠する必要がある許可を使用して条件付きアクセス ポリシーを設定した場合、ユーザーは、そのデバイスが準拠している場合にのみ SDM でサポートされるアプリケーションにサインインできます。

Note

ユーザーが共有デバイス モードをサポートしていないアプリケーションにサインインした場合は、シングル サインオンとシングル サインアウトの利点は得られません。

共有デバイス モードの実装における管理者と開発者の役割

共有デバイス モード機能を活用するには、クラウド デバイス管理者とアプリケーション開発者が協力して作業します。

デバイス管理者は、手動でデバイスを共有デバイス モードに設定するか、Microsoft Intune のようなモバイル デバイス管理 (MDM) プロバイダーを使用して、デバイスの共有を準備します。 推奨されるオプションは、MDM を使用することです。これにより、ゼロタッチ プロビジョニングを使用して共有デバイス モードで大規模にデバイスをセットアップできます。 MDM は、共有デバイス モードが有効になっているデバイスに Microsoft Authenticator アプリをプッシュするように構成されています。 iOS デバイスでは、MDM によって、共有デバイス モードに必要な Microsoft Enterprise SSO プラグインも有効になります。

次のガイドでは、Intune を使用して共有デバイス モードでデバイスを設定する方法について詳しく説明しています。

サポートされているサード パーティの MDM を使用して、共有デバイス モードでデバイスを設定することもできます。 Android で共有デバイス モードをサポートするサード パーティ製 MDM の一覧については、「共有デバイス モードをサポートするサード パーティ製 MDM」を参照してください。

手動セットアップは、パイロット プログラムや小規模なデプロイに便利なツールです。 クラウド デバイス管理者のアクセス権が必要で、各デバイスで実行する必要があります。

アプリケーション開発者は、Microsoft 認証ライブラリ (MSAL) を使用して、単一アカウントのパブリック クライアント アプリケーションに共有デバイス モードのサポートを追加します。 MSAL を使用すると、デバイスの状態とデバイス上のユーザーのシグナルに基づいてアプリの動作を変更できます。 たとえば、アプリケーションは、アプリケーションが使用されるたびにデバイス上のユーザーの状態を確認し、ユーザーが変更された場合は前のユーザーのデータをクリアします。 ユーザーの変更時に、前のユーザーのデータがクリアされ、アプリケーションで表示されているキャッシュされたデータがすべて削除されるようにする必要があります。

開発者は、すべてのデータ損失防止シナリオをサポートするために、Intune App SDK と統合することも強くお勧めします。 Intune App SDK を使用すると、開発者はアプリケーションで Intune App Protection ポリシーをサポートできます。 特に、Intune の選択的ワイプ機能と統合し、サインアウト中に iOS でユーザーの登録を解除することをお勧めします。

共有デバイス モードのサポートは、アプリケーションの機能のアップグレードとして考える必要があります。また、同じデバイスを複数のユーザー間で使用する環境への導入を拡大できます。

Note

共有デバイス モードをサポートする Microsoft アプリケーションの場合、共有デバイス モードが有効なデバイスにインストールする以外、他に変更を加える必要はありません。

Microsoft Entra ID は、iOS および Android プラットフォームの共有デバイス モードをサポートしています。 詳細については、以下を参照してください: