androidos App SDK Intune – Az integráció megtervezése

  • Cikk

Az Androidhoz készült Microsoft Intune App SDK lehetővé teszi, hogy Intune alkalmazásvédelmi szabályzatokat (más néven APP- vagy MAM-szabályzatokat) építsen be a natív Java/Kotlin Android-alkalmazásba. A Intune által felügyelt alkalmazás az Intune App SDK-val integrálva van. Intune rendszergazdák egyszerűen telepíthetnek alkalmazásvédelmi szabályzatokat a Intune által felügyelt alkalmazásra, ha Intune aktívan kezeli az alkalmazást.

1. szakasz: Az integráció megtervezése

Ez az útmutató azoknak az Android-fejlesztőknek készült, akik támogatni szeretnék Microsoft Intune alkalmazásvédelmi szabályzatait a meglévő Android-alkalmazásukon belül.

Szakasz Goals

  • Megtudhatja, hogy milyen alkalmazásvédelmi házirend-beállítások érhetők el androidos eszközökhöz, és hogyan fognak működni ezek a szabályzatok az alkalmazásban.
  • Ismerje meg az SDK integrációs folyamatának legfontosabb döntési pontjait, és tervezze meg az alkalmazás integrációját.
  • Ismerje meg az SDK-t integráló alkalmazások követelményeit.
  • Hozzon létre egy tesztelési Intune bérlőt, és konfiguráljon egy Android-alkalmazásvédelmi szabályzatot.

A MAM ismertetése

Mielőtt elkezdené integrálni a Intune App SDK-t az Android-alkalmazásba, szánjon egy kis időt arra, hogy megismerkedjen Microsoft Intune mobilalkalmazás-kezelési megoldásával:

  • A Microsoft Intune alkalmazásfelügyeleti szolgáltatás magas szintű áttekintést nyújt a különböző platformokon elérhető MAM-képességekről, valamint arról, hogy hol találhatók ezek a funkciók a Microsoft Intune Felügyeleti központban.
  • Intune App SDK áttekintése egy réteggel mélyebbre ás az SDK aktuális funkcióinak leírásával.
  • Az Android alkalmazásvédelmi szabályzatának beállításai részletesen ismertetik az egyes Android-beállításokat. Az alkalmazás az SDK integrálásával támogatja ezeket a beállításokat. Az SDK-integrációs folyamat során ezeket a beállításokat a saját tesztbérlőjében is konfigurálhatja ellenőrzésre.

Megjegyzés:

Az Android alkalmazásvédelmi szabályzatának egyes beállításaihoz adott kód szükséges a támogatáshoz. További részletekért lásd : 7. szakasz: Alkalmazás részvételi funkciói .

Az SDK-integrációval kapcsolatos legfontosabb döntések

Regisztrálnom kell az alkalmazást a Microsoft Identitásplatform?

Igen, az Intune SDK-val integrálható összes alkalmazásnak regisztrálnia kell a Microsoft Identitásplatform. Kövesse az alkalmazás regisztrálása a Microsoft Identitásplatform – Microsoft Identitásplatform című rövid útmutató lépéseit.

Hozzáférek az alkalmazásom forráskódhoz?

Ha nem fér hozzá az alkalmazás forráskódjához, és csak .apk vagy .aab formátumban fér hozzá a lefordított alkalmazáshoz, nem fogja tudni integrálni az SDK-t az alkalmazásba. Előfordulhat azonban, hogy az alkalmazás továbbra is kompatibilis Intune alkalmazásvédelmi szabályzatokkal. További részleteket az Android App Wrapping Tool című témakörben talál.

Integrálja az alkalmazásom a Microsoft Authentication Libraryt (MSAL)?

Tekintse meg a Microsoft Authentication Library (MSAL) áttekintését annak megállapításához, hogy az alkalmazásnak integrálnia kell-e az MSAL-t. A legtöbb alkalmazásnak integrálnia kell az MSAL-t a Intune SDK integrálása előtt.

Az alkalmazás csak akkor hagyhatja ki az MSAL integrálását , ha az alábbiak mindegyike igaz:

  • Az alkalmazásnak nincs vagy nincs szüksége interaktív bejelentkezési és kijelentkezési végfelhasználói felületre.
  • Az alkalmazás nem támogatja egyszerre több bejelentkezett fiókot.
  • Az alkalmazásnak nem kell támogatnia a nem Intune fiókokat.
  • Az alkalmazás nem biztosít hozzáférést a feltételes hozzáférés által védett erőforrásokhoz.

Ha az alkalmazás megfelel az összes fenti feltételnek , és nem integrálja az MSAL-t, akkor is védhető az alkalmazásvédelmi szabályzattal, bár nem felügyelt használatra nincs lehetőség. További részletekért lásd: Alapértelmezett regisztráció .

Az MSAL integrálására vonatkozó utasításokért és az alkalmazáson belüli identitáskezelési forgatókönyvekkel kapcsolatos további részletekért lásd : 2. szakasz: Az MSAL előfeltétele .

Az alkalmazásom egyszeres vagy többszörös identitású?

Az alkalmazásvédelmi szabályzat támogatásának Intune nélkül hogyan kezeli az alkalmazás a felhasználói hitelesítést és a fiókokat?

  • Az alkalmazás jelenleg csak egyetlen fiók bejelentkezését engedélyezi? Az alkalmazás explicit módon kényszeríti a bejelentkezett fiók kijelentkeztetésére és az előző fiók adatainak törlésére, mielőtt egy másik fiók bejelentkezhet? Ha igen, az alkalmazás egy identitású.

  • Az alkalmazás jelenleg lehetővé teszi egy második fiók bejelentkezését, még akkor is, ha egy másik fiók már be van jelentkezve? Az alkalmazás több fiók adatait jeleníti meg egy megosztott képernyőn? Az alkalmazás több fiók adatait is tárolja? Az alkalmazás lehetővé teszi a felhasználóknak, hogy váltson a különböző bejelentkezett fiókok között? Ha igen, az alkalmazás több identitásból áll, és az 5. szakaszt kell követnie : Több identitás. Ez a szakasz az alkalmazáshoz szükséges.

Akkor is kövesse ezt az integrációs útmutatót, ha az alkalmazás több identitásból áll. Az önálló identitásként való kezdeti integrálás és tesztelés segít biztosítani a megfelelő integrációt, és megelőzi azokat a hibákat, amelyek során a vállalati adatok nem lesznek védve.

Rendelkezik az alkalmazásom App Configuration beállításaival?

Az Android támogatja az alkalmazásspecifikus felügyeleti konfigurációkat , amelyek az Android Enterprise felügyeleti módokon üzembe helyezett alkalmazásokra vonatkoznak. A rendszergazdák konfigurálhatják ezeket az alkalmazáskonfigurációs szabályzatokat felügyelt Android Enterprise-eszközökhöz a Microsoft Intune Felügyeleti központban.

Intune támogatja az SDK-val integrált alkalmazásokra vonatkozó alkalmazáskonfigurációkat is, függetlenül az eszközfelügyeleti módtól. A rendszergazdák konfigurálhatják ezeket az alkalmazáskonfigurációs szabályzatokat a felügyelt alkalmazásokhoz a Microsoft Intune Felügyeleti központban.

A Intune App SDK mindkét típusú alkalmazáskonfigurációt támogatja, és egyetlen API-t biztosít a konfigurációk mindkét csatornáról való eléréséhez. Ha az alkalmazás támogatja vagy támogatja az ilyen típusú alkalmazáskonfigurációt, akkor a 6. fázist kell követnie: App Configuration.

Az alkalmazásomnak részletes védelmet kell meghatároznia a bejövő és kimenő adatokhoz?

Ha az alkalmazás lehetővé teszi, hogy a felhasználók adatokat mentsenek vagy nyissanak meg a felhőszolgáltatásokból vagy az eszközhelyekről, módosításokat kell végrehajtaniuk a továbbfejlesztett adatátviteli szabályzat támogatásához. Lásd: Szabályzat az alkalmazások és az eszközök vagy felhőbeli tárolóhelyek közötti adatátvitel korlátozásához a 7. fázisban: Alkalmazás részvételi funkciói.

Megjeleníti az alkalmazásom a felhasználóspecifikus információkat tartalmazó értesítéseket?

A több identitást kezelő alkalmazásoknak kódmódosításokat kell végrehajtaniuk az értesítési szabályzat megfelelő betartásához. Előfordulhat, hogy az egy identitással ellátott alkalmazások kódmódosításokat szeretnének végrehajtani, hogy ez az értesítési szabályzat ne tiltsa le az alkalmazás értesítéseinek 100%-át. Lásd: Szabályzat az értesítéseken belüli tartalom korlátozásához a 7. fázisban: Alkalmazás részvételi funkciói.

Az alkalmazásom támogatja az Android biztonsági mentési és visszaállítási funkcióit?

Az Android támogatja a biztonsági mentési és visszaállítási funkciókat, hogy megőrizze az adatokat és a személyre szabásokat a felhasználók számára, amikor új eszközre frissítenek, vagy újratelepítik az alkalmazást.

Intune támogatja az SDK-val integrált alkalmazások biztonsági mentési és visszaállítási funkcióit is, hogy a vállalati adatok ne szivároghassanak ki visszaállítással.

Ha az alkalmazás támogatja ezt a funkciót, kódmódosításokat kell végrehajtania a vállalati adatok védelme érdekében a visszaállítás során. Lásd a biztonsági mentési adatok védelmére vonatkozó szabályzatot a 7. fázis: Alkalmazás részvételi funkciói című szakaszban.

Rendelkezik az alkalmazásom olyan erőforrásokkal, amelyeket feltételes hozzáféréssel kell védeni?

A feltételes hozzáférés (CA) egy Microsoft Entra ID funkció, amely Microsoft Entra erőforrásokhoz való hozzáférés szabályozására használható. Intune rendszergazdák meghatározhatnak olyan hitelesítésszolgáltatói szabályokat, amelyek csak az Intune által felügyelt eszközökről vagy alkalmazásokból engedélyezik az erőforrások elérését.

Intune kétféle hitelesítésszolgáltatót támogat: az eszközalapú hitelesítésszolgáltatót és az alkalmazásalapú hitelesítésszolgáltatót, más néven az App Protection CA-t. Az eszközalapú hitelesítésszolgáltató letiltja a védett erőforrásokhoz való hozzáférést, amíg a teljes eszközt nem felügyeli Intune. Az alkalmazásalapú hitelesítésszolgáltató letiltja a védett erőforrásokhoz való hozzáférést, amíg az adott alkalmazást Intune alkalmazásvédelmi szabályzatok nem kezelik.

Ha az alkalmazás bármilyen Microsoft Entra hozzáférési jogkivonatot szerez be, és hozzáfér a CA által védett erőforrásokhoz, akkor a 7. fázis: Alkalmazás részvételi funkciói című szakaszban követnie kell az Alkalmazásvédelmi hitelesítésszolgáltató támogatása című szakaszt.

Az alkalmazásom rendelkezik olyan különálló témával, amelyet meg kell őriznie a Intune App SDK által megjelenített felhasználói felületen?

Alapértelmezés szerint a Intune App SDK az alapértelmezett téma szerint színesen jeleníti meg a szabályzatkényszerítés felhasználói felületének összetevőit.

Az alapértelmezett téma felülbírálásának lehetősége kozmetikai és opcionális. Lásd: Egyéni téma biztosítása a 7. fázisban: Alkalmazás részvételi funkciói.

Követelmények

Céges portál alkalmazás

Az Androidhoz készült Intune App SDK az Céges portál alkalmazás jelenlétére támaszkodik az eszközön az alkalmazásvédelmi szabályzatok engedélyezéséhez. A Céges portál lekéri az alkalmazásvédelmi szabályzatokat a Intune szolgáltatásból. Amikor egy SDK-val integrált alkalmazás inicializál, betölti a szabályzatot és a kódot, hogy kényszerítse a szabályzatot a Céges portál.

Megjegyzés:

Ha az Céges portál alkalmazás nincs az eszközön, az SDK-val integrált alkalmazások ugyanúgy viselkednek, mint a normál alkalmazások, amelyek nem támogatják Intune alkalmazásvédelmi szabályzatokat. Még ha az Céges portál alkalmazás is az eszközön található, az SDK-val integrált alkalmazások ugyanúgy viselkednek, mint a normálak, ha a végfelhasználót nem az alkalmazásvédelmi szabályzat célozza meg.

A felhasználónak nem kell bejelentkeznie vagy akár el is kell indítania a Céges portál alkalmazást az Alkalmazásvédelmi szabályzat működéséhez.

Android-verziók

Megjegyzés:

Győződjön meg arról, hogy az alkalmazás kompatibilis a Google Play követelményeivel.

Az SDK teljes mértékben támogatja az Android API 28 (Android 9.0) és az Android API 34 (Android 14) használatát. Az Android API 34 (Android 14) megcélzásához Intune App SDK-t v10.0.0 vagy újabb verziót kell használnia.

A 26–27(Android 8.0 – 8.1) API-k támogatása korlátozott. Az Céges portál alkalmazás nem támogatott az Android API 26 (Android 8.0) alatt. Az Alkalmazásvédelmi szabályzat nem támogatott az Android API 28 (Android 9.0) alatt.

Ha az alkalmazás AZ API 28 (Android 9.0) alatti API-szintre deklarálminSdkVersion, a Intune App SDK nem blokkolja az alkalmazáshasználatot az alkalmazásvédelmi szabályzat által nem érintett felhasználók számára.

Telemetria

Az Androidhoz készült Intune App SDK nem szabályozza az alkalmazásból történő adatgyűjtést. A Céges portál alkalmazás alapértelmezés szerint naplózza a rendszer által létrehozott adatokat. Ezeket az adatokat a rendszer elküldi Microsoft Intune. A Microsoft szabályzatának megfelelően a Intune nem gyűjt személyes adatokat.

Tipp

Ha a végfelhasználók úgy döntenek, hogy nem küldik el ezeket az adatokat, ki kell kapcsolniuk a telemetriát a Céges portál alkalmazás Beállítások területén. További információ: A Microsoft használati adatainak gyűjtésének kikapcsolása.

Androidos alkalmazásvédelmi tesztszabályzat létrehozása

Bemutató bérlő beállítása

Ha még nem rendelkezik bérlővel a vállalatnál, létrehozhat egy bemutató bérlőt előre létrehozott adatokkal vagy anélkül. A Microsoft CDX eléréséhez Microsoft-partnerként kell regisztrálnia. Új fiók létrehozása:

  1. Lépjen a Microsoft CDX-bérlő létrehozási webhelyére, és hozzon létre egy Microsoft 365 Nagyvállalati verzió bérlőt.
  2. Állítsa be a Intune a mobileszköz-kezelés (MDM) engedélyezéséhez.
  3. Felhasználók létrehozása.
  4. Csoportok létrehozása.
  5. A teszteléshez megfelelő licencek hozzárendelése.

szabályzatkonfiguráció Alkalmazásvédelem

Alkalmazásvédelmi szabályzatok létrehozása és hozzárendelése a Microsoft Intune Felügyeleti központban. Az alkalmazásvédelmi szabályzatok létrehozása mellett alkalmazáskonfigurációs szabályzatokat is létrehozhat és hozzárendelhet a Intune.

Mielőtt teszteli az alkalmazásvédelmi szabályzat beállításait a saját alkalmazásán belül, érdemes megismernie, hogyan viselkednek ezek a beállítások más SDK-val integrált alkalmazásokban.

Tipp

Ha az alkalmazás nem szerepel a Microsoft Intune Felügyeleti központban, egy szabályzattal célozhatja meg, ha kiválasztja a További alkalmazások lehetőséget, és megadja a csomag nevét a szövegmezőben. Az integráció sikeres teszteléséhez alkalmazásvédelmi szabályzattal kell céloznia az alkalmazást, és üzembe kell helyeznie a szabályzatot egy felhasználó számára. Még ha a szabályzat meg van célozva és üzembe van helyezve, az alkalmazás nem fogja megfelelően kikényszeríteni a szabályzatokat, amíg sikeresen nem integrálta az SDK-t.

Kilépési feltételek

  • Megismerte, hogyan fognak viselkedni a különböző alkalmazásvédelmi szabályzatok az Android-alkalmazásban?
  • Áttekintette az alkalmazást, és megtervezte az MSAL, a feltételes hozzáférés, a többszörös identitás, a App Configuration és az összes további SDK-funkció integrációját?
  • Létrehozott egy Android-alkalmazásvédelmi szabályzatot a tesztbérlőben?

GYIK

Miért van szükség a Céges portál alkalmazásra androidos alkalmazásvédelmi szabályzatokhoz?

Az Android-Céges portál lekéri és megőrzi az alkalmazásvédelmi szabályzatokat az Intune szolgáltatásból az összes MAM-kompatibilis alkalmazás nevében az eszközön. A MAM-kompatibilis alkalmazások inicializálásakor a rendszer importálja a házirend-beállításokat érvényesítő szabályzat részleteit és kódját a Céges portál. A Céges portál olyan kódot is tartalmaz, amely csökkenti a végfelhasználóknak megjelenő hitelesítési kérések számát. Végül a Céges portál rendszeradatokat gyűjt a Intune szolgáltatás javítása érdekében; további részletekért lásd a telemetriai adatokat.

Megjegyzés:

Ez a Céges portál funkció az alkalmazásvédelmi szabályzatok esetében az Androidra jellemző.

Mi történik, ha a nem támogatott eszközökkel rendelkező felhasználókra alkalmazásvédelmi szabályzat vonatkozik?

A Intune alkalmazásvédelmi szabályzatok által nem támogatott Android-eszközökön a végfelhasználói élmény az eszköz Android operációs rendszerének verziójától függ:

Android operációsrendszer-verziók A Google Play viselkedése MAM-alkalmazás viselkedése
Az Android 8.0 alatt A Céges portál alkalmazás nem tölthető le a Google Play áruházból. Azok az eszközök, amelyeken már telepítve van a Céges portál, nem fognak tudni frissíteni a Céges portál új verzióira. A MAM-funkciók nem lesznek univerzálisan letiltva. Mivel azonban az SDK-val integrált alkalmazások az SDK új verzióival rendelkeznek, a MAM által megcélzott felhasználók nem léphetnek be ezekbe az alkalmazásokba, mivel nem tudják frissíteni a Céges portál. Ha egy olyan felhasználó, aki rendelkezik célzott MAM-szabályzattal, és korábban már bejelentkezett az alkalmazásba, elindít egy ilyen alkalmazást, a rendszer kérni fogja, hogy frissítse a Céges portál. A felhasználók csökkenthetik ezt a viselkedést, ha eltávolítják a MAM által célzott fiókot az alkalmazásból. Ha a felhasználók eltávolítják a Céges portál, a fiókjuk automatikusan törlődik az alkalmazásból, de nem fognak tudni bejelentkezni a MAM által célzott fiókkal.
Android 8.x A Céges portál alkalmazás letölthető lesz a Google Play áruházból. Azok az eszközök, amelyeken már telepítve van a Céges portál, továbbra is frissíthetnek a Céges portál új verzióira. A MAM-funkciók nincsenek aktívan letiltva. Az Android 8.x azonban nem támogatott, és előfordulhat, hogy a MAM-funkciók nem a várt módon működnek.

Mi az alkalmazásburkoló eszköz?

Az Android-alkalmazásfejlesztők többféleképpen integrálhatják Intune funkciókat az alkalmazásaikba. A jelen útmutatóban ismertetett SDK mellett a fejlesztők az Android App Wrapping Tool is használhatják. Az SDK és az alkalmazásburkoló eszköz részletes összehasonlításáért lásd: Üzletági alkalmazások előkészítése alkalmazásvédelmi szabályzatokhoz .

Következő lépések

Miután elvégezte a fenti kilépési feltételeket , folytassa a 2. fázissal: Az MSAL előfeltételével.