Intune App SDK voor Android - Inzicht in de MSAL-vereisten
Met de Microsoft Intune App SDK voor Android kunt u Intune app-beveiligingsbeleid (ook wel APP- of MAM-beleid genoemd) opnemen in uw systeemeigen Java/Kotlin Android-app. Een Intune beheerde toepassing is een toepassing die is geïntegreerd met de Intune App SDK. Intune-beheerders kunnen eenvoudig app-beveiligingsbeleid implementeren in uw Intune beheerde app wanneer Intune de app actief beheert.
Opmerking
Deze handleiding is onderverdeeld in verschillende fasen. Bekijk eerst Fase 1: De integratie plannen.
Fase 2: De MSAL-vereiste
Fase Goals
- Registreer uw toepassing bij Microsoft Entra ID.
- Integreer MSAL in uw Android-toepassing.
- Controleer of uw toepassing een token kan verkrijgen dat toegang verleent tot beveiligde resources.
Achtergrond
De Microsoft Authentication Library (MSAL) biedt uw toepassing de mogelijkheid om de Microsoft Cloud te gebruiken door ondersteuning te bieden voor Microsoft Entra ID- en Microsoft-accounts.
MSAL is niet specifiek voor Intune. Intune is afhankelijk van Microsoft Entra ID. Alle Intune gebruikersaccounts zijn Microsoft Entra accounts. Als gevolg hiervan moet de overgrote meerderheid van Android-toepassingen die de Intune App SDK integreren, MSAL als vereiste integreren.
Deze fase van de SDK-handleiding geeft een overzicht van het MSAL-integratieproces met betrekking tot Intune; volg de gekoppelde MSAL-handleidingen in hun geheel.
Om het integratieproces van Intune App SDK te vereenvoudigen, wordt ontwikkelaars van Android-apps sterk aangeraden MSAL volledig te integreren en te testen voordat ze de Intune App SDK downloaden. Voor het Intune App SDK-integratieproces zijn codewijzigingen rond het verkrijgen van MSAL-tokens vereist. Het is eenvoudiger om de wijzigingen in de Intune-specifieke tokenverwerving te testen als u al hebt bevestigd dat de oorspronkelijke implementatie van de tokenverwerving van uw app werkt zoals verwacht.
Zie Wat is Microsoft Entra ID? voor meer informatie over Microsoft Entra ID
Zie de MSAL-wiki en de lijst met MSAL-bibliotheken voor meer informatie over MSAL.
Uw toepassing registreren bij Microsoft Entra ID
Voordat u MSAL in uw Android-toepassing integreert, moeten alle apps worden geregistreerd bij de Microsoft identity platform. Volg de stappen in Quickstart: Een app registreren in de Microsoft identity platform - Microsoft identity platform. Hiermee wordt een client-id voor uw toepassing gegenereerd.
Volg vervolgens de instructies om uw app toegang te geven tot de Intune Mobile App Management-service.
Microsoft Authentication Library (MSAL) configureren
Lees eerst de MSAL-integratierichtlijnen in de MSAL-opslagplaats op GitHub, met name de sectie msal gebruiken.
In deze handleiding wordt beschreven hoe u het volgende kunt doen:
- Voeg MSAL toe als een afhankelijkheid aan uw Android-toepassing.
- Maak een MSAL-configuratiebestand.
- Configureer de .
AndroidManifest.xml - Voeg code toe om een token te verkrijgen.
Brokered Authentication
Met eenmalige aanmelding (SSO) kunnen gebruikers hun referenties slechts eenmaal invoeren en deze referenties automatisch laten werken in alle toepassingen. MSAL kan eenmalige aanmelding inschakelen in uw suite met apps; met behulp van een brokertoepassing (de Microsoft Authenticator of Microsoft Intune Bedrijfsportal), kunt u eenmalige aanmelding uitbreiden op het hele apparaat. Brokered-verificatie is ook vereist voor voorwaardelijke toegang. Zie Eenmalige aanmelding voor meerdere apps inschakelen op Android met behulp van MSAL voor meer informatie over verificatie via broker.
In deze handleiding wordt ervan uitgegaan dat u brokered verificatie inschakelt binnen uw toepassing(en) volgens de stappen in de bovenstaande koppeling, met name Een omleidings-URI genereren voor een broker en MSAL configureren om een broker te gebruiken voor configuratie en Broker-integratie verifiëren voor testen.
Als u brokered verificatie niet inschakelt in uw toepassing, let dan extra op Intune specifieke MSAL-configuratie.
configuratie van Intune specifieke MSAL-omgeving
Standaard vraagt Intune tokens aan vanuit de openbare Microsoft Entra omgeving. Als voor uw toepassing een niet-standaardomgeving is vereist, zoals een onafhankelijke cloud, moet de volgende instelling worden toegevoegd aan de AndroidManifest.xml.
Wanneer deze optie is ingesteld, geeft de Microsoft Entra instantie de tokens voor uw toepassing uit.
Dit zorgt ervoor dat het verificatiebeleid van Intune correct wordt afgedwongen.
<meta-data
android:name="com.microsoft.intune.mam.aad.Authority"
android:value="https://AAD authority/" />
Voorzichtigheid
De meeste apps mogen de parameter Autoriteit niet instellen. Bovendien mogen toepassingen die MSAL niet integreren deze eigenschap niet in het manifest opnemen.
Zie Configuratiebestand voor Android Microsoft Authentication Library voor meer informatie over niet-Intune-specifieke MSAL-configuratieopties.
Zie MSAL gebruiken in een nationale cloudomgeving voor meer informatie over onafhankelijke clouds.
Afsluitcriteria
- Hebt u MSAL geïntegreerd in uw toepassing?
- Hebt u brokerverificatie ingeschakeld door een omleidings-URI te genereren en deze in te stellen in het MSAL-configuratiebestand?
- Hebt u de Intune-specifieke MSAL-instellingen geconfigureerd in de
AndroidManifest.xml? - Hebt u verificatie via broker getest, bevestigd dat er een werkaccount is toegevoegd aan accountmanager van Android en eenmalige aanmelding met andere Microsoft 365-apps getest?
- Als u voorwaardelijke toegang hebt geïmplementeerd, hebt u dan zowel op apparaten gebaseerde CA als app-ca getest om uw CA-implementatie te valideren?
Veelgestelde vragen
Hoe zit het met ADAL?
De vorige verificatiebibliotheek van Microsoft, Azure Active Directory Authentication Library (ADAL), is afgeschaft.
Als uw toepassing ADAL al heeft geïntegreerd, raadpleegt u Uw toepassingen bijwerken om Microsoft Authentication Library (MSAL) te gebruiken. Zie Android ADAL migreren naar MSAL en Verschillen tussen ADAL en MSAL als u uw app wilt migreren van ADAL naar MSAL.
Het wordt aanbevolen om te migreren van ADAL naar MSAL voordat u de Intune App SDK integreert.
Volgende stappen
Nadat u alle bovenstaande afsluitcriteria hebt voltooid, gaat u verder naar fase 3: Aan de slag met MAM.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor