Intune App SDK pro Android – Plánování integrace
Sada Microsoft Intune App SDK pro Android umožňuje začlenit zásady ochrany aplikací Intune (označované také jako zásady APP nebo MAM) do nativní aplikace Java/Kotlin pro Android. Aplikace spravovaná Intune je aplikace integrovaná se sadou Intune App SDK. Intune správci můžou zásady ochrany aplikací snadno nasadit do aplikace spravované Intune, když Intune aplikaci aktivně spravuje.
Fáze 1: Plánování integrace
Tato příručka je určená vývojářům pro Android, kteří chtějí přidat podporu pro zásady ochrany aplikací Microsoft Intune v rámci své stávající aplikace pro Android.
Goals fáze
- Zjistěte, jaká nastavení zásad ochrany aplikací jsou k dispozici pro Android a jak budou tyto zásady fungovat ve vaší aplikaci.
- Seznamte se s klíčovými rozhodovacími body během procesu integrace sady SDK a naplánujte integraci vaší aplikace.
- Seznamte se s požadavky na aplikace, které integrují sadu SDK.
- Vytvořte testovací Intune tenanta a nakonfigurujte zásady ochrany aplikací pro Android.
Principy MAM
Než začnete integrovat sadu Intune App SDK do aplikace pro Android, chvíli se seznamte s řešením správy mobilních aplikací Microsoft Intune:
- Co je Microsoft Intune správa aplikací, poskytuje základní přehled funkcí MAM na různých platformách a kde tyto funkce najdete v centru pro správu Microsoft Intune.
- přehled sady Intune App SDK je o jednu vrstvu hlubší a popisuje aktuální funkce sady SDK.
- Nastavení zásad ochrany aplikací pro Android podrobně popisuje každé nastavení Androidu. Vaše aplikace bude tato nastavení podporovat integrací sady SDK. Během procesu integrace sady SDK také nakonfigurujete tato nastavení pro ověření ve vlastním testovacím tenantovi.
Poznámka
Některá nastavení zásad ochrany aplikací pro Android vyžadují pro podporu specifický kód. Další podrobnosti najdete v části Fáze 7: Funkce účasti v aplikacích .
Klíčová rozhodnutí pro integraci sady SDK
Musím aplikaci zaregistrovat v Microsoft identity platform?
Ano, všechny aplikace, které se integrují se sadou Intune SDK, se musí zaregistrovat v Microsoft identity platform. Postupujte podle pokynů v tématu Rychlý start: Registrace aplikace v Microsoft identity platform – Microsoft identity platform.
Mám přístup ke zdrojovému kódu aplikace?
Pokud nemáte přístup ke zdrojovému kódu aplikace a máte přístup pouze ke zkompilované aplikaci ve formátu .apk nebo .aab, nebudete moct sadu SDK do aplikace integrovat. Vaše aplikace ale může být stále kompatibilní se zásadami ochrany aplikací Intune. Další podrobnosti najdete v tématu App Wrapping Tool pro Android.
Měla by moje aplikace integrovat knihovnu Microsoft Authentication Library (MSAL)?
Informace o tom, jestli vaše aplikace bude potřebovat integrovat knihovnu MSAL, najdete v tématu Přehled knihovny Microsoft Authentication Library (MSAL ). Většina aplikací musí před integrací sady Intune SDK integrovat knihovnu MSAL.
Vaše aplikace může přeskočit integraci knihovny MSAL pouze v případě, že platí všechny následující podmínky:
- Vaše aplikace nemá nebo nepotřebuje interaktivní přihlašovací a odhlašovací prostředí koncového uživatele.
- Vaše aplikace nepodporuje více účtů přihlášených současně.
- Vaše aplikace nemusí podporovat účty, které nejsou Intune.
- Vaše aplikace neuděluje přístup k žádným prostředkům chráněným podmíněným přístupem.
Pokud vaše aplikace splňuje všechny výše uvedené podmínky a neintegruje knihovnu MSAL, může být stále chráněná zásadami ochrany aplikací, i když bez možnosti nespravovaného použití. Podrobnosti najdete v tématu Výchozí registrace .
Pokyny k integraci knihovny MSAL a další podrobnosti o scénářích identit v rámci vaší aplikace najdete v části Fáze 2: Požadavky msal .
Je moje aplikace jedna nebo více identit?
Jak vaše aplikace zpracovává ověřování uživatelů a účty bez podpory zásad ochrany aplikací Intune?
Umožňuje vaše aplikace v současné době přihlášení jenom k jednomu účtu? Vynutí vaše aplikace explicitně, aby se přihlášený účet odhlásil (a odstranil data předchozího účtu), než povolí přihlášení jinému účtu? Pokud ano, vaše aplikace má jednu identitu.
Umožňuje vaše aplikace v současné době přihlášení druhému účtu, i když už je přihlášen jiný účet? Zobrazuje vaše aplikace na sdílené obrazovce data více účtů? Ukládá vaše aplikace data více účtů? Umožní vaše aplikace uživatelům přepínat mezi různými přihlášenými účty? Pokud ano, vaše aplikace používá více identit a budete muset postupovat podle fáze 5: Více identit. Tato část je pro vaši aplikaci povinná.
I v případě, že vaše aplikace používá více identit, postupujte podle tohoto průvodce integrací v tomto pořadí. Počáteční integrace a testování jako jedna identita pomůže zajistit správnou integraci a zabránit chybám v případě, že podniková data skončí nechráněná.
Má moje aplikace nebo potřebuje App Configuration nastavení?
Android podporuje konfigurace správy specifické pro aplikace , které se vztahují na aplikace nasazené v režimech správy Android Enterprise. Správci můžou nakonfigurovat tyto zásady konfigurace aplikací pro spravovaná zařízení s Androidem Enterprise v centru pro správu Microsoft Intune.
Intune také podporuje konfigurace aplikací, které platí pro aplikace integrované v sadě SDK bez ohledu na režim správy zařízení. Správci můžou nakonfigurovat tyto zásady konfigurace aplikací pro spravované aplikace v Centru pro správu Microsoft Intune.
Sada Intune App SDK podporuje oba typy konfigurace aplikací a poskytuje jedno rozhraní API pro přístup ke konfiguracím z obou kanálů. Pokud vaše aplikace má nebo bude podporovat některý z těchto typů konfigurace aplikace, budete muset postupovat podle fáze 6: App Configuration.
Potřebuje moje aplikace definovat podrobnou ochranu pro příchozí a výchozí přenos dat?
Pokud vaše aplikace umožňuje uživatelům ukládat data do cloudových služeb nebo otevírat data z cloudových služeb nebo do umístění zařízení, musí provést změny, aby podporovala rozšířené zásady přenosu dat. Informace o omezení přenosu dat mezi aplikacemi a zařízeními nebo umístěními cloudového úložiště najdete v tématu Fáze 7: Funkce účasti aplikací.
Zobrazuje se v aplikaci oznámení, která obsahují informace specifické pro uživatele?
Aplikace s více identitou musí provádět změny kódu, aby správně dodržovaly zásady oznámení. Aplikace s jednou identitou můžou chtít provádět změny kódu, aby tyto zásady oznámení neblokovaly 100 % oznámení aplikace. Viz Zásady pro omezení obsahu v oznámeních ve Fázi 7: Funkce účasti aplikací.
Podporuje moje aplikace funkce zálohování a obnovení androidu?
Android podporuje funkce zálohování a obnovení pro zachování dat a přizpůsobení pro uživatele, kteří upgradují na nové zařízení nebo přeinstalují aplikaci.
Intune také podporuje funkce zálohování a obnovení pro aplikace integrované v sadě SDK, aby se zajistilo, že při obnovení nebudou podniková data unikat.
Pokud vaše aplikace tuto funkci podporuje, musí během obnovení provést změny kódu, aby chránila podniková data. Viz Zásady ochrany zálohovacích dat ve Fázi 7: Funkce účasti aplikací.
Obsahuje moje aplikace prostředky, které by měly být chráněny podmíněným přístupem?
Podmíněný přístup (CA) je funkce Microsoft Entra ID, kterou je možné použít k řízení přístupu k Microsoft Entra prostředkům. Intune správci můžou definovat pravidla certifikační autority, která povolují přístup k prostředkům jenom ze zařízení nebo aplikací spravovaných Intune.
Intune podporuje dva typy certifikační autority: certifikační autority založené na zařízení a ca založené na aplikaci, označované také jako ca ochrany aplikací. Certifikační autorita založená na zařízení blokuje přístup k chráněným prostředkům, dokud celé zařízení nespravuje Intune. Certifikační autorita založená na aplikaci blokuje přístup k chráněným prostředkům, dokud konkrétní aplikaci nespravují zásady ochrany aplikací Intune.
Pokud vaše aplikace získá jakékoli Microsoft Entra přístupové tokeny a přistupuje k prostředkům, které je možné chránit certifikační autoritou, budete muset postupovat podle pokynů v tématu Podpora certifikační autority ochrany aplikací ve fázi 7: Funkce účasti aplikací.
Má moje aplikace jedinečný motiv, který se musí zachovat v uživatelském rozhraní zobrazeném sadou Intune App SDK?
Sada Intune App SDK ve výchozím nastavení zobrazí komponenty uživatelského rozhraní vynucování zásad barevně podle výchozího motivu.
Možnost přepsat výchozí motiv je kosmetická a volitelná. Viz Poskytování vlastního motivu ve fázi 7: Funkce účasti v aplikacích.
Požadavky
Portál společnosti aplikace
Sada Intune App SDK pro Android se při povolení zásad ochrany aplikací spoléhá na přítomnost aplikace Portál společnosti na zařízení. Portál společnosti načte zásady ochrany aplikací ze služby Intune. Když se inicializuje aplikace integrovaná se sadou SDK, načte zásady a kód, které vynutí zásady z Portál společnosti.
Poznámka
Pokud aplikace Portál společnosti není na zařízení, aplikace integrovaná se sadou SDK se chová stejně jako normální aplikace, která nepodporuje zásady ochrany aplikací Intune. I když je aplikace Portál společnosti na zařízení, aplikace integrovaná se sadou SDK se chová stejně jako normální, když na koncového uživatele nejsou zacílené zásady ochrany aplikací.
Aby zásady ochrany aplikací fungovaly, nemusí se uživatel přihlásit k aplikaci Portál společnosti ani ji spustit.
Verze Androidu
Poznámka
Ujistěte se, že je vaše aplikace kompatibilní s požadavky na Google Play.
Sada SDK plně podporuje rozhraní Android API 28 (Android 9.0) až Android API 34 (Android 14).
Pokud chcete cílit na rozhraní Android API 34 (Android 14), musíte použít sadu Intune App SDK v10.0.0 nebo novější.
Rozhraní API 26 až 27 (Android 8.0 až 8.1) mají omezenou podporu. Aplikace Portál společnosti není podporována pod rozhraním Android API 26 (Android 8.0). Zásady ochrany aplikací se nepodporují pod rozhraním Android API 28 (Android 9.0).
Pokud vaše aplikace deklaruje minSdkVersion úroveň rozhraní API nižší než API 28 (Android 9.0), sada Intune App SDK neblokuje využití aplikace pro uživatele, na které zásady ochrany aplikací cílí.
Telemetrie
Sada Intune App SDK pro Android neřídí shromažďování dat z vaší aplikace. Aplikace Portál společnosti ve výchozím nastavení protokoluje systémově generovaná data. Tato data se odesílají do Microsoft Intune. Podle zásad společnosti Microsoft společnost Intune neshromažďuje žádné osobní údaje.
Tip
Pokud se koncoví uživatelé rozhodnou tato data neposílat, musí vypnout telemetrii v části Nastavení v aplikaci Portál společnosti. Další informace najdete v tématu Vypnutí shromažďování dat o využití od Microsoftu.
Vytvoření testovací zásady ochrany aplikací pro Android
Ukázkové nastavení tenanta
Pokud ještě nemáte tenanta ve vaší společnosti, můžete vytvořit ukázkového tenanta s předem vygenerovanými daty nebo bez. Pokud chcete získat přístup k Microsoft CDX, musíte se zaregistrovat jako partner Microsoftu . Vytvoření nového účtu:
- Přejděte na web pro vytváření tenanta Microsoft CDX a vytvořte tenanta Microsoft 365 Enterprise.
- Nastavte Intune pro povolení správy mobilních zařízení (MDM).
- Vytvořte uživatele.
- Vytvořte skupiny.
- Přiřaďte licence podle potřeby pro vaše testování.
konfigurace zásad Ochrana aplikací
Vytvořte a přiřaďte zásady ochrany aplikací v Centru pro správu Microsoft Intune. Kromě vytváření zásad ochrany aplikací můžete vytvořit a přiřadit zásady konfigurace aplikace v Intune.
Než otestujete nastavení zásad ochrany aplikací ve vlastní aplikaci, je vhodné se seznámit s tím, jak se tato nastavení chovají v jiných aplikacích integrovaných se sadou SDK.
Tip
Pokud vaše aplikace není uvedená v centru pro správu Microsoft Intune, můžete na ni cílit pomocí zásad tak, že vyberete možnost Další aplikace a do textového pole zadáte název balíčku. Abyste mohli úspěšně otestovat integraci, musíte na svoji aplikaci cílit pomocí zásad ochrany aplikací a nasadit zásady pro uživatele. I když je zásada cílená a nasazená, vaše aplikace zásady nebude správně vynucovat, dokud úspěšně neimgruje sadu SDK.
Kritéria ukončení
- Seznámili jste se s tím, jak se budou různá nastavení zásad ochrany aplikací chovat v aplikaci pro Android?
- Zkontrolovali jste svoji aplikaci a naplánovali její integraci ohledně MSAL, podmíněného přístupu, více identit, App Configuration a všech dalších funkcí sady SDK?
- Vytvořili jste zásady ochrany aplikací pro Android v rámci testovacího tenanta?
Časté otázky
Proč se aplikace Portál společnosti vyžaduje pro zásady ochrany aplikací v Androidu?
Android Portál společnosti načítá a udržuje zásady ochrany aplikací ze služby Intune jménem všech aplikací s podporou MAM na zařízení. Když se inicializují aplikace s podporou MAM, podrobnosti o zásadách a kód pro vynucování těchto nastavení zásad se naimportují z Portál společnosti. Portál společnosti také obsahuje kód pro snížení počtu výzev k ověření zobrazených koncovým uživatelům. Nakonec Portál společnosti shromažďuje systémová data za účelem vylepšení služby Intune. Podrobnosti najdete v tématu Telemetrie.
Poznámka
Tato Portál společnosti funkce pro zásady ochrany aplikací je specifická pro Android.
Co se stane, když se na uživatele s nepodporovanými zařízeními cílí zásady ochrany aplikací?
Prostředí koncového uživatele na zařízeních s Androidem nepodporovaných zásadami ochrany aplikací Intune závisí na verzi operačního systému Android zařízení:
| Verze operačního systému Android | Chování Google Play | Chování aplikace MAM |
|---|---|---|
| Android 8.0 níže | Aplikace Portál společnosti nebude k dispozici ke stažení z Google Play. Zařízení, která už mají Portál společnosti nainstalovanou, nebudou moct aktualizovat na nové verze Portál společnosti. | Funkce MAM se neblokují universálně. Vzhledem k tomu, že se ale aplikace integrované do sady SDK dodávají s novými verzemi sady SDK, uživatelům cílovým na MAM bude zablokovaný přístup k těmto aplikacím, protože nebudou moct aktualizovat Portál společnosti. Když uživatel, který má zásady MAM cílené a předtím se přihlásil k aplikaci, takovou aplikaci spustí, zobrazí se mu výzva k upgradu Portál společnosti. Uživatelé můžou toto chování zmírnit odebráním účtu cíleného na MAM z aplikace. Pokud uživatelé Portál společnosti odinstalují, jejich účet se z aplikace automaticky odebere, ale nebudou se moct znovu přihlásit pomocí účtu cíleného na MAM. |
| Android 8.x | Aplikace Portál společnosti bude k dispozici ke stažení z Google Play. Zařízení, která už mají Portál společnosti nainstalovanou, se budou moct aktualizovat na nové verze Portál společnosti. | Funkce MAM se aktivně neblokují. Android 8.x ale není podporovaný a funkce MAM nemusí fungovat podle očekávání. |
Co je nástroj App Wrapping?
Vývojáři aplikací pro Android mají několik způsobů, jak do svých aplikací integrovat funkce Intune. Kromě sady SDK, kterou tato příručka popisuje, můžou vývojáři používat také App Wrapping Tool pro Android. Podrobné porovnání sady SDK a nástroje App Wrapping najdete v tématu Příprava obchodních aplikací na zásady ochrany aplikací .
Další kroky
Po dokončení všech výše uvedených kritérií ukončení pokračujte fází 2: Předpoklad MSAL.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro