SDK d’application Intune pour Android - Planifier l’intégration

Le SDK d’application Microsoft Intune pour Android vous permet d’incorporer Intune stratégies de protection des applications (également appelées stratégies APP ou GAM) dans votre application Android Java/Kotlin native. Une application gérée par Intune est intégrée au KIT de développement logiciel (SDK) Intune App. Intune administrateurs peuvent facilement déployer des stratégies de protection des applications sur votre application gérée par Intune lorsque Intune gère activement l’application.

Étape 1 : Planifier l’intégration

Ce guide est destiné aux développeurs Android qui cherchent à ajouter la prise en charge des stratégies de protection des applications de Microsoft Intune dans leur application Android existante.

Goals de phase

• Découvrez les paramètres de stratégie de protection des applications disponibles pour Android et comment ces stratégies fonctionneront dans votre application.
• Comprenez les points de décision clés pendant le processus d’intégration du KIT de développement logiciel (SDK) et planifiez l’intégration de votre application.
• Comprendre la configuration requise pour les applications qui intègrent le Kit de développement logiciel (SDK).
• Créez un locataire de test Intune et configurez une stratégie de protection des applications Android.

Présentation de la gestion des applications mobiles

Avant de commencer à intégrer le SDK d’application Intune dans votre application Android, prenez un moment pour vous familiariser avec la solution de gestion des applications mobiles de Microsoft Intune :

• Qu’est-ce que Microsoft Intune gestion des applications fournit une vue d’ensemble générale des fonctionnalités GAM sur différentes plateformes et où trouver ces fonctionnalités dans le centre d’administration Microsoft Intune.
• Intune vue d’ensemble du Kit de développement logiciel (SDK) d’application approfondit une couche, décrivant les fonctionnalités actuelles du SDK.
• Les paramètres de stratégie de protection des applications Android décrivent chaque paramètre Android en détail. Votre application prend en charge ces paramètres en intégrant le Kit de développement logiciel (SDK). Pendant le processus d’intégration du SDK, vous allez également configurer ces paramètres dans votre propre locataire de test pour la validation.

Remarque

Certains paramètres de stratégie de protection des applications Android nécessitent un code spécifique à prendre en charge. Pour plus d’informations , consultez Étape 7 : Fonctionnalités de participation des applications.

Décisions clés pour l’intégration du KIT de développement logiciel (SDK)

Dois-je inscrire mon application auprès du Plateforme d'identités Microsoft ?

Oui, toutes les applications qui s’intègrent au Kit de développement logiciel (SDK) Intune doivent s’inscrire auprès du Plateforme d'identités Microsoft. Suivez les étapes décrites dans Démarrage rapide : Inscrire une application dans le Plateforme d'identités Microsoft - Plateforme d'identités Microsoft.

Ai-je accès au code source de mon application ?

Si vous n’avez pas accès au code source de votre application et que vous avez uniquement accès à l’application compilée au format .apk ou .aab, vous ne pourrez pas intégrer le SDK dans votre application. Toutefois, votre application peut toujours être compatible avec Intune stratégies de protection des applications. Pour plus d’informations, consultez App Wrapping Tool pour Android.

Mon application doit-elle intégrer la bibliothèque d’authentification Microsoft (MSAL) ?

Reportez-vous à Vue d’ensemble de la bibliothèque d’authentification Microsoft (MSAL) pour déterminer si votre application devra intégrer MSAL. La plupart des applications doivent intégrer MSAL avant d’intégrer le SDK Intune.

Votre application ne peut pas intégrer MSAL uniquement si toutes les conditions suivantes sont remplies :

• Votre application n’a pas ou n’a pas besoin d’une expérience utilisateur de connexion et de déconnexion interactive.
• Votre application ne prend pas en charge plusieurs comptes connectés simultanément.
• Votre application n’a pas besoin de prendre en charge les comptes non Intune.
• Votre application n’accorde pas l’accès aux ressources protégées par l’accès conditionnel.

Si votre application remplit toutes les conditions ci-dessus et n’intègre pas MSAL, elle peut toujours être protégée par la stratégie de protection des applications, mais sans option d’utilisation non managée. Pour plus d’informations, consultez Inscription par défaut .

Consultez Étape 2 : Prérequis MSAL pour obtenir des instructions sur l’intégration de MSAL et des détails supplémentaires sur les scénarios d’identité au sein de votre application.

Mon application est-elle à identité unique ou multi-identité ?

Sans Intune prise en charge de la stratégie de protection des applications, comment votre application gère-t-elle l’authentification et les comptes des utilisateurs ?

• Votre application n’autorise-t-elle actuellement qu’un seul compte à être connecté ? Votre application force-t-elle explicitement le compte connecté à se déconnecter et à supprimer les données de ce compte précédent avant d’autoriser un autre compte à se connecter ? Si c’est le cas, votre application est à identité unique.

• Votre application autorise-t-elle actuellement un deuxième compte à se connecter, même si un autre compte est déjà connecté ? Votre application affiche-t-elle les données de plusieurs comptes sur un écran partagé ? Votre application stocke-t-elle les données de plusieurs comptes ? Votre application permet-elle aux utilisateurs de basculer entre différents comptes connectés ? Si c’est le cas, votre application est multi-identité et vous devez suivre l’étape 5 : Identités multiples. Cette section est requise pour votre application.

Même si votre application est multi-identité, suivez ce guide d’intégration dans l’ordre. L’intégration initiale et le test en tant qu’identité unique permettent de garantir une intégration correcte et d’éviter les bogues lorsque les données d’entreprise ne sont pas protégées.

Mon application a-t-elle ou a-t-elle besoin de paramètres App Configuration ?

Android prend en charge les configurations de gestion spécifiques à l’application qui s’appliquent aux applications déployées sous les modes de gestion Android Entreprise. Les administrateurs peuvent configurer ces stratégies de configuration d’application pour les appareils Android Entreprise gérés dans le centre d’administration Microsoft Intune.

Intune prend également en charge les configurations d’application qui s’appliquent aux applications intégrées au SDK, quel que soit le mode de gestion des appareils. Les administrateurs peuvent configurer ces stratégies de configuration d’application pour les applications gérées dans le centre d’administration Microsoft Intune.

Le SDK d’application Intune prend en charge les deux types de configuration d’application et fournit une API unique pour accéder aux configurations à partir des deux canaux. Si votre application a ou prend en charge l’un de ces types de configuration d’application, vous devez suivre l’étape 6 : App Configuration.

Mon application doit-elle définir une protection granulaire pour l’entrée et la sortie des données ?

Si votre application permet aux utilisateurs d’enregistrer ou d’ouvrir des données à partir de services cloud ou d’emplacements d’appareils, elle doit apporter des modifications pour prendre en charge la stratégie de transfert de données améliorée. Consultez Stratégie de limitation du transfert de données entre les applications et les emplacements de stockage des appareils ou du cloud dans Étape 7 : Fonctionnalités de participation aux applications.

Mon application affiche-t-elle des notifications qui contiennent des informations spécifiques à l’utilisateur ?

Les applications multi-identités doivent apporter des modifications de code pour respecter correctement la stratégie de notification. Les applications à identité unique peuvent vouloir apporter des modifications au code afin que cette stratégie de notification ne bloque pas 100 % des notifications de leur application. Consultez Stratégie pour restreindre le contenu à l’intérieur des notifications à l’étape 7 : Fonctionnalités de participation aux applications.

Mon application prend-elle en charge les fonctionnalités de sauvegarde et de restauration d’Android ?

Android prend en charge la fonctionnalité de sauvegarde et de restauration pour conserver les données et la personnalisation pour les utilisateurs lorsqu’ils effectuent une mise à niveau vers un nouvel appareil ou réinstallent votre application.

Intune prend également en charge la fonctionnalité de sauvegarde et de restauration pour les applications intégrées au Kit de développement logiciel (SDK), afin de garantir que les données d’entreprise ne peuvent pas être divulguées par le biais d’une restauration.

Si votre application prend en charge cette fonctionnalité, le code doit être modifié pour protéger les données d’entreprise pendant la restauration. Consultez Stratégie de protection des données de sauvegarde à l’étape 7 : Fonctionnalités de participation aux applications.

Mon application a-t-elle des ressources qui doivent être protégées par l’accès conditionnel ?

L’accès conditionnel (CA) est une fonctionnalité Microsoft Entra ID qui peut être utilisée pour contrôler l’accès aux ressources Microsoft Entra. Intune administrateurs peuvent définir des règles d’autorité de certification qui autorisent l’accès aux ressources uniquement à partir d’appareils ou d’applications gérés par Intune.

Intune prend en charge deux types d’autorité de certification : l’autorité de certification basée sur l’appareil et l’autorité de certification basée sur les applications, également appelée autorité de certification App Protection. L’autorité de certification basée sur l’appareil bloque l’accès aux ressources protégées jusqu’à ce que l’appareil entier soit géré par Intune. L’autorité de certification basée sur l’application bloque l’accès aux ressources protégées jusqu’à ce que l’application spécifique soit gérée par Intune stratégies de protection des applications.

Si votre application acquiert des jetons d’accès Microsoft Entra et accède à des ressources qui peuvent être protégées par une autorité de certification, vous devez suivre l’autorité de certification Protection des applications dans l’étape 7 : Fonctionnalités de participation aux applications.

Mon application a-t-elle un thème distinct qui doit être conservé dans l’interface utilisateur affichée par le SDK d’application Intune ?

Par défaut, le SDK d’application Intune affiche les composants de l’interface utilisateur d’application de stratégie colorés en fonction du thème par défaut.

La possibilité de remplacer le thème par défaut est cosmétique et facultative. Consultez Fourniture d’un thème personnalisé à l’étape 7 : Fonctionnalités de participation d’application.

Configuration requise

Application Portail d’entreprise

Le SDK d’application Intune pour Android s’appuie sur la présence de l’application Portail d'entreprise sur l’appareil pour activer les stratégies de protection des applications. Le Portail d'entreprise récupère les stratégies de protection des applications à partir du service Intune. Lorsqu’une application intégrée au Kit de développement logiciel (SDK) s’initialise, elle charge la stratégie et le code pour appliquer cette stratégie à partir du Portail d'entreprise.

Remarque

Lorsque l’application Portail d'entreprise n’est pas sur l’appareil, une application intégrée au KIT de développement logiciel (SDK) se comporte de la même façon qu’une application normale qui ne prend pas en charge les stratégies de protection des applications Intune. Même si l’application Portail d'entreprise se trouve sur l’appareil, une application intégrée au KIT de développement logiciel (SDK) se comporte comme une application normale lorsque l’utilisateur final n’est pas ciblé par la stratégie de protection des applications.

L’utilisateur n’est pas obligé de se connecter ou même de lancer l’application Portail d'entreprise pour que la stratégie de protection des applications fonctionne.

Versions d’Android

Remarque

Vérifiez que votre application est compatible avec les exigences de Google Play.

Le SDK prend entièrement en charge l’API Android 28 (Android 9.0) à l’API Android 34 (Android 14). Pour cibler l’API Android 34 (Android 14), vous devez utiliser Intune SDK v10.0.0 d’application ou une version ultérieure.

Les API 26 à 27 (Android 8.0 - 8.1) sont prises en charge limitée. L’application Portail d'entreprise n’est pas prise en charge sous l’API Android 26 (Android 8.0). La stratégie de protection des applications n’est pas prise en charge sous l’API Android 28 (Android 9.0).

Si votre application déclare minSdkVersion à un niveau d’API inférieur à l’API 28 (Android 9.0), le SDK d’application Intune ne bloque pas l’utilisation de l’application pour les utilisateurs qui ne sont pas ciblés par la stratégie de protection des applications.

Télémétrie

Le SDK d’application Intune pour Android ne contrôle pas la collecte de données à partir de votre application. L’application Portail d'entreprise journalise les données générées par le système par défaut. Ces données sont envoyées à Microsoft Intune. Conformément à la stratégie Microsoft, Intune ne collecte aucune donnée personnelle.

Conseil

Si les utilisateurs finaux choisissent de ne pas envoyer ces données, ils doivent désactiver la télémétrie sous Paramètres dans l’application Portail d'entreprise. Pour plus d’informations, consultez Désactiver la collecte de données d’utilisation de Microsoft.

Création d’une stratégie de protection des applications Android de test

Configuration du locataire de démonstration

Si vous n’avez pas encore de locataire avec votre entreprise, vous pouvez créer un locataire de démonstration avec ou sans données prégénées. Vous devez vous inscrire en tant que partenaire Microsoft pour accéder à Microsoft CDX. Pour créer un compte :

1. Accédez au site de création de locataire Microsoft CDX et créez un locataire Microsoft 365 Entreprise.
2. Configurez Intune pour activer la gestion des appareils mobiles (GPM).
3. Créer des utilisateurs.
4. Créez des groupes.
5. Attribuez des licences en fonction de vos tests.

configuration de la stratégie Protection d'applications

Créez et affectez des stratégies de protection des applications dans le centre d’administration Microsoft Intune. En plus de créer des stratégies de protection des applications, vous pouvez créer et affecter une stratégie de configuration d’application dans Intune.

Avant de tester les paramètres de stratégie de protection des applications au sein de votre propre application, il est utile de vous familiariser avec le comportement de ces paramètres dans d’autres applications intégrées au SDK.

Conseil

Si votre application n’est pas répertoriée dans le centre d’administration Microsoft Intune, vous pouvez la cibler avec une stratégie en sélectionnant l’option Plus d’applications et en fournissant le nom du package dans la zone de texte. Vous devez cibler votre application avec une stratégie de protection des applications et déployer la stratégie sur un utilisateur pour tester correctement votre intégration. Même si la stratégie est ciblée et déployée, votre application n’applique pas correctement les stratégies tant qu’elle n’a pas correctement intégré le Kit de développement logiciel (SDK).

Critères de sortie

• Vous êtes-vous familiarisé avec le comportement des différents paramètres de stratégie de protection des applications à l’intérieur de votre application Android ?
• Avez-vous examiné votre application et planifié l’intégration de votre application autour de MSAL, de l’accès conditionnel, de la multi-identité, des App Configuration et de toutes les fonctionnalités supplémentaires du SDK ?
• Avez-vous créé une stratégie de protection des applications Android au sein de votre locataire de test ?

FAQ

Pourquoi l’application Portail d'entreprise est-elle requise pour les stratégies de protection des applications sur Android ?

Le Portail d'entreprise Android récupère et conserve les stratégies de protection des applications à partir du service Intune pour le compte de toutes les applications compatibles GAM sur l’appareil. Lorsque les applications compatibles gam s’initialisent, les détails de la stratégie et le code pour appliquer ces paramètres de stratégie sont importés à partir du Portail d'entreprise. Le Portail d'entreprise contient également du code pour réduire le nombre d’invites d’authentification affichées aux utilisateurs finaux. Enfin, le Portail d'entreprise collecte des données système pour améliorer le service Intune. Pour plus d’informations, consultez Télémétrie.

Remarque

Cette fonctionnalité Portail d'entreprise pour la stratégie de protection des applications est spécifique à Android.

Que se passe-t-il lorsque la stratégie de protection des applications est ciblée pour les utilisateurs disposant d’appareils non pris en charge ?

L’expérience de l’utilisateur final sur les appareils Android non pris en charge par Intune stratégies de protection des applications dépend de la version du système d’exploitation Android de l’appareil :

Versions du système d’exploitation Android	Comportement de Google Play	Comportement de l’application GAM
Sous Android 8.0	L’application Portail d'entreprise ne peut pas être téléchargée à partir de Google Play. Les appareils qui ont déjà installé le Portail d'entreprise ne pourront pas effectuer la mise à jour vers de nouvelles versions du Portail d'entreprise.	La fonctionnalité GAM ne sera pas bloquée de manière universelle. Toutefois, étant donné que les applications intégrées au KIT de développement logiciel (SDK) sont fournies avec de nouvelles versions du KIT de développement logiciel (SDK), les utilisateurs ciblés par gam ne peuvent pas entrer ces applications, car ils ne peuvent pas mettre à jour les Portail d'entreprise. Lorsqu’un utilisateur, dont la stratégie GAM est ciblée et qui s’est précédemment connecté à l’application, lance une telle application, il est invité à mettre à niveau le Portail d'entreprise. Les utilisateurs peuvent atténuer ce comportement en supprimant le compte ciblé gam de l’application. Si les utilisateurs désinstallent le Portail d'entreprise, leur compte sera automatiquement supprimé de l’application, mais ils ne pourront pas se reconnecter avec le compte ciblé par gam.
Android 8.x	L’application Portail d'entreprise sera disponible en téléchargement à partir de Google Play. Les appareils qui ont déjà installé le Portail d'entreprise pourront toujours effectuer une mise à jour vers de nouvelles versions de l’Portail d'entreprise.	La fonctionnalité GAM n’est pas activement bloquée. Toutefois, Android 8.x n’est pas pris en charge et les fonctionnalités GAM peuvent ne pas fonctionner comme prévu.

Qu’est-ce que l’outil de création de package de restrictions d’application ?

Les développeurs d’applications Android disposent de plusieurs façons d’intégrer Intune fonctionnalités dans leurs applications. En plus du Kit de développement logiciel (SDK) décrit dans ce guide, les développeurs peuvent également utiliser la App Wrapping Tool pour Android. Consultez Préparer des applications métier pour les stratégies de protection des applications pour obtenir une comparaison détaillée entre le SDK et l’outil de création de package de restrictions d’application.

Étapes suivantes

Une fois que vous avez rempli tous les critères de sortie ci-dessus, passez à l’étape 2 : Prérequis MSAL.