zestaw SDK aplikacji Intune dla systemu Android — planowanie integracji

Zestaw SDK aplikacji Microsoft Intune dla systemu Android umożliwia włączenie Intune zasad ochrony aplikacji (znanych również jako zasady aplikacji lub zarządzania aplikacjami mobilnymi) do natywnej aplikacji Java/Kotlin dla systemu Android. Aplikacja zarządzana Intune jest zintegrowana z zestawem Intune App SDK. Intune administratorzy mogą łatwo wdrażać zasady ochrony aplikacji w aplikacji zarządzanej Intune, gdy Intune aktywnie zarządza aplikacją.

Etap 1. Planowanie integracji

Ten przewodnik jest przeznaczony dla deweloperów systemu Android, którzy chcą dodać obsługę zasad ochrony aplikacji Microsoft Intune w istniejącej aplikacji systemu Android.

Goals etapów

• Dowiedz się, jakie ustawienia zasad ochrony aplikacji są dostępne dla systemu Android i jak te zasady będą działać w aplikacji.
• Poznaj kluczowe punkty decyzyjne podczas procesu integracji zestawu SDK i zaplanuj integrację aplikacji.
• Zapoznaj się z wymaganiami dotyczącymi aplikacji integrujących zestaw SDK.
• Utwórz dzierżawę Intune testową i skonfiguruj zasady ochrony aplikacji systemu Android.

Omówienie zarządzania aplikacjami mobilnymi

Przed rozpoczęciem integracji zestawu Intune App SDK z aplikacją systemu Android poświęć chwilę na zapoznanie się z rozwiązaniem do zarządzania aplikacjami mobilnymi Microsoft Intune:

• Co to jest Microsoft Intune zarządzania aplikacjami, zawiera ogólne omówienie możliwości zarządzania aplikacjami mobilnymi na różnych platformach oraz informacje o tym, gdzie można znaleźć te funkcje w centrum administracyjnym Microsoft Intune.
• Intune Omówienie zestawu SDK aplikacji bardziej szczegółowo opisuje bieżące funkcje zestawu SDK.
• Ustawienia zasad ochrony aplikacji systemu Android szczegółowo opisują każde ustawienie systemu Android. Aplikacja będzie obsługiwać te ustawienia przez zintegrowanie zestawu SDK. Podczas procesu integracji zestawu SDK skonfigurujesz również te ustawienia we własnej dzierżawie testowej na potrzeby weryfikacji.

Uwaga

Niektóre ustawienia zasad ochrony aplikacji systemu Android wymagają określonego kodu do obsługi. Aby uzyskać więcej szczegółów, zobacz Etap 7. Funkcje uczestnictwa w aplikacji .

Kluczowe decyzje dotyczące integracji zestawu SDK

Czy muszę zarejestrować aplikację w Platforma tożsamości Microsoft?

Tak, wszystkie aplikacje zintegrowane z zestawem Intune SDK muszą zarejestrować się w Platforma tożsamości Microsoft. Wykonaj kroki opisane w przewodniku Szybki start: rejestrowanie aplikacji w Platforma tożsamości Microsoft — Platforma tożsamości Microsoft.

Czy mam dostęp do kodu źródłowego mojej aplikacji?

Jeśli nie masz dostępu do kodu źródłowego aplikacji i masz dostęp tylko do skompilowanej aplikacji w formacie .apk lub aab, nie będzie można zintegrować zestawu SDK z aplikacją. Jednak aplikacja może nadal być zgodna z zasadami ochrony aplikacji Intune. Aby uzyskać więcej informacji, zobacz App Wrapping Tool dla systemu Android.

Czy moja aplikacja powinna zintegrować bibliotekę uwierzytelniania firmy Microsoft (MSAL)?

Zapoznaj się z artykułem Omówienie biblioteki uwierzytelniania firmy Microsoft (MSAL), aby ustalić, czy aplikacja będzie musiała zintegrować bibliotekę MSAL. Większość aplikacji musi zintegrować bibliotekę MSAL przed zintegrowaniem zestawu Intune SDK.

Aplikacja może pominąć integrowanie biblioteki MSAL tylko wtedy, gdy wszystkie następujące elementy są prawdziwe:

• Aplikacja nie ma ani nie potrzebuje interaktywnego logowania i wylogowywanie środowiska użytkownika końcowego.
• Aplikacja nie obsługuje wielu kont zalogowanych jednocześnie.
• Aplikacja nie musi obsługiwać kont innych niż Intune.
• Aplikacja nie udziela dostępu do żadnych zasobów chronionych przez dostęp warunkowy.

Jeśli aplikacja spełnia wszystkie powyższe warunki i nie integruje biblioteki MSAL, nadal może być chroniona przez zasady ochrony aplikacji, chociaż nie ma opcji użycia niezarządzanego. Aby uzyskać szczegółowe informacje, zobacz Rejestracja domyślna .

Zobacz Etap 2. Wymagania wstępne msal , aby uzyskać instrukcje dotyczące integracji biblioteki MSAL i dodatkowe szczegóły dotyczące scenariuszy tożsamości wewnątrz aplikacji.

Czy moja aplikacja jest pojedynczą tożsamością, czy wieloma tożsamościami?

Bez Intune obsługi zasad ochrony aplikacji, jak aplikacja obsługuje uwierzytelnianie użytkowników i konta?

• Czy aplikacja obecnie zezwala na logowanie tylko jednego konta? Czy aplikacja jawnie wymusza wylogowanie zalogowanego konta i usunięcie danych poprzedniego konta przed zezwoleniem na logowanie się do innego konta? Jeśli tak, aplikacja jest pojedynczą tożsamością.

• Czy aplikacja obecnie zezwala na logowanie drugiego konta, nawet jeśli inne konto jest już zalogowane? Czy aplikacja wyświetla dane wielu kont na udostępnionym ekranie? Czy aplikacja przechowuje dane wielu kont? Czy aplikacja umożliwia użytkownikom przełączanie się między różnymi kontami zalogowanych? Jeśli tak, aplikacja ma wiele tożsamości i musisz postępować zgodnie z etapem 5: Multi-Identity. Ta sekcja jest wymagana dla twojej aplikacji.

Nawet jeśli aplikacja ma wiele tożsamości, postępuj zgodnie z tym przewodnikiem integracji w kolejności. Początkowa integracja i testowanie jako pojedynczej tożsamości pomoże zapewnić właściwą integrację i zapobiec usterce polegającej na tym, że dane firmowe kończą się bez ochrony.

Czy moja aplikacja ma lub potrzebuje ustawień App Configuration?

System Android obsługuje konfiguracje zarządzania specyficzne dla aplikacji , które mają zastosowanie do aplikacji wdrożonych w trybach zarządzania systemu Android Enterprise. Administratorzy mogą skonfigurować te zasady konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android Enterprise w centrum administracyjnym Microsoft Intune.

Intune obsługuje również konfiguracje aplikacji, które mają zastosowanie do aplikacji zintegrowanych z zestawem SDK, niezależnie od trybu zarządzania urządzeniami. Administratorzy mogą skonfigurować te zasady konfiguracji aplikacji dla aplikacji zarządzanych w centrum administracyjnym Microsoft Intune.

Zestaw Intune App SDK obsługuje oba typy konfiguracji aplikacji i udostępnia pojedynczy interfejs API umożliwiający uzyskiwanie dostępu do konfiguracji z obu kanałów. Jeśli aplikacja ma lub będzie obsługiwać dowolny z tych typów konfiguracji aplikacji, musisz wykonać etap 6: App Configuration.

Czy moja aplikacja musi zdefiniować szczegółową ochronę ruchu przychodzącego i wychodzącego danych?

Jeśli aplikacja umożliwia użytkownikom zapisywanie danych w usługach w chmurze lub ich otwieranie w usługach w chmurze lub w lokalizacjach urządzeń, konieczne jest wprowadzenie zmian w celu obsługi zasad rozszerzonego transferu danych. Zobacz Zasady dotyczące ograniczania transferu danych między aplikacjami i lokalizacjami magazynu urządzeń lub chmury w etapie 7: Funkcje uczestnictwa w aplikacji.

Czy moja aplikacja wyświetla powiadomienia zawierające informacje specyficzne dla użytkownika?

Aplikacje obsługujące wiele tożsamości muszą wprowadzać zmiany w kodzie, aby prawidłowo przestrzegać zasad powiadomień. Aplikacje z jedną tożsamością mogą chcieć wprowadzać zmiany w kodzie, aby te zasady powiadomień nie blokowały 100% powiadomień aplikacji. Zobacz Zasady dotyczące ograniczania zawartości w powiadomieniach w etapie 7: Funkcje uczestnictwa w aplikacji.

Czy moja aplikacja obsługuje funkcje tworzenia i przywracania kopii zapasowych systemu Android?

System Android obsługuje funkcje tworzenia kopii zapasowych i przywracania w celu zachowania danych i personalizacji użytkowników podczas uaktualniania do nowego urządzenia lub ponownego instalowania aplikacji.

Intune obsługuje również funkcje tworzenia kopii zapasowych i przywracania dla aplikacji zintegrowanych z zestawem SDK, aby zapewnić, że dane firmowe nie mogą zostać ujawnione poprzez przywracanie.

Jeśli aplikacja obsługuje tę funkcję, podczas przywracania należy włączyć zmiany w kodzie, aby chronić dane firmowe. Zobacz Zasady ochrony danych kopii zapasowych na etapie 7: Funkcje uczestnictwa w aplikacji.

Czy moja aplikacja ma zasoby, które powinny być chronione przez dostęp warunkowy?

Dostęp warunkowy (CA) to funkcja Tożsamość Microsoft Entra, która może służyć do kontrolowania dostępu do Microsoft Entra zasobów. Intune administratorzy mogą definiować reguły urzędu certyfikacji, które zezwalają na dostęp do zasobów tylko z urządzeń lub aplikacji zarządzanych przez Intune.

Intune obsługuje dwa typy urzędu certyfikacji: urząd certyfikacji oparty na urządzeniach i urząd certyfikacji oparty na aplikacji, znany również jako urząd certyfikacji usługi App Protection. Urząd certyfikacji oparty na urządzeniach blokuje dostęp do chronionych zasobów, dopóki całe urządzenie nie będzie zarządzane przez Intune. Urząd certyfikacji oparty na aplikacji blokuje dostęp do chronionych zasobów, dopóki określona aplikacja nie będzie zarządzana przez zasady ochrony aplikacji Intune.

Jeśli aplikacja uzyskuje jakiekolwiek Microsoft Entra tokeny dostępu i uzyskuje dostęp do zasobów, które mogą być chronione przez urząd certyfikacji, należy postępować zgodnie z instrukcjami urzędu certyfikacji usługi Support App Protection na etapie 7: Funkcje uczestnictwa w aplikacji.

Czy moja aplikacja ma odrębny motyw, który musi być utrwalany w interfejsie użytkownika wyświetlanym przez zestaw Intune App SDK?

Domyślnie zestaw Intune App SDK będzie wyświetlać składniki interfejsu użytkownika wymuszania zasad w kolorze zgodnie z motywem domyślnym.

Możliwość zastąpienia motywu domyślnego jest kosmetyczna i opcjonalna. Zobacz Udostępnianie motywu niestandardowego w etapie 7: Funkcje uczestnictwa w aplikacji.

Wymagania

aplikacja Portal firmy

Zestaw SDK aplikacji Intune dla systemu Android zależy od obecności aplikacji Portal firmy na urządzeniu w celu włączenia zasad ochrony aplikacji. Portal firmy pobiera zasady ochrony aplikacji z usługi Intune. Podczas inicjowania aplikacji zintegrowanej z zestawem SDK ładuje zasady i kod w celu wymuszenia tych zasad z Portal firmy.

Uwaga

Jeśli aplikacja Portal firmy nie znajduje się na urządzeniu, zintegrowana aplikacja zestawu SDK działa tak samo jak zwykła aplikacja, która nie obsługuje zasad ochrony aplikacji Intune. Nawet jeśli aplikacja Portal firmy znajduje się na urządzeniu, zintegrowana aplikacja zestawu SDK zachowuje się tak samo jak zwykle, gdy użytkownik końcowy nie jest objęty zasadami ochrony aplikacji.

Użytkownik nie musi logować się ani nawet uruchamiać aplikacji Portal firmy, aby zasady ochrony aplikacji działały.

Wersje systemu Android

Uwaga

Upewnij się, że aplikacja jest zgodna z wymaganiami sklepu Google Play.

Zestaw SDK w pełni obsługuje interfejs API systemu Android 28 (Android 9.0) za pośrednictwem interfejsu API systemu Android 34 (Android 14). Aby umożliwić korzystanie z interfejsu API systemu Android 34 (Android 14), należy użyć zestawu Intune App SDK v10.0.0 lub nowszego.

Interfejsy API od 26 do 27 (Android 8.0 –8.1) są obsługiwane w ograniczonym zakresie. Aplikacja Portal firmy nie jest obsługiwana poniżej interfejsu API systemu Android 26 (Android 8.0). Zasady ochrony aplikacji nie są obsługiwane poniżej interfejsu API systemu Android 28 (Android 9.0).

Jeśli aplikacja deklaruje minSdkVersion poziom interfejsu API poniżej interfejsu API 28 (Android 9.0), zestaw SDK aplikacji Intune nie zablokuje użycia aplikacji dla użytkowników, którzy nie są objęci zasadami ochrony aplikacji.

Telemetria

Zestaw SDK aplikacji Intune dla systemu Android nie kontroluje zbierania danych z aplikacji. Aplikacja Portal firmy domyślnie rejestruje dane generowane przez system. Te dane są wysyłane do Microsoft Intune. Zgodnie z zasadami firmy Microsoft Intune nie zbiera żadnych danych osobowych.

Porada

Jeśli użytkownicy końcowi zdecydują się nie wysyłać tych danych, muszą wyłączyć dane telemetryczne w obszarze Ustawienia w aplikacji Portal firmy. Aby dowiedzieć się więcej, zobacz Wyłączanie zbierania danych użycia firmy Microsoft.

Tworzenie testowych zasad ochrony aplikacji systemu Android

Konfiguracja dzierżawy demonstracyjnej

Jeśli nie masz jeszcze dzierżawy w firmie, możesz utworzyć dzierżawę demonstracyjną z wstępnie wygenerowanymi danymi lub bez nich. Aby uzyskać dostęp do usługi Microsoft CDX, musisz zarejestrować się jako partner firmy Microsoft . Aby utworzyć nowe konto:

1. Przejdź do witryny tworzenia dzierżawy usługi Microsoft CDX i utwórz dzierżawę Microsoft 365 Enterprise.
2. Skonfiguruj Intune, aby włączyć zarządzanie urządzeniami przenośnymi (MDM).
3. Tworzenie użytkowników.
4. Tworzenie grup.
5. Przypisz licencje odpowiednio do testowania.

konfiguracja zasad Ochrona aplikacji

Utwórz i przypisz zasady ochrony aplikacji w centrum administracyjnym Microsoft Intune. Oprócz tworzenia zasad ochrony aplikacji można tworzyć i przypisywać zasady konfiguracji aplikacji w Intune.

Przed przetestowaniem ustawień zasad ochrony aplikacji we własnej aplikacji warto zapoznać się ze sposobem zachowania tych ustawień w innych aplikacjach zintegrowanych z zestawem SDK.

Porada

Jeśli aplikacja nie znajduje się na liście w centrum administracyjnym Microsoft Intune, możesz kierować ją do zasad, wybierając opcję więcej aplikacji i podając nazwę pakietu w polu tekstowym. Aby pomyślnie przetestować integrację, musisz zastosować zasady ochrony aplikacji i wdrożyć je dla użytkownika. Nawet jeśli zasady są ukierunkowane i wdrożone, aplikacja nie będzie prawidłowo wymuszać zasad, dopóki zestaw SDK nie zostanie pomyślnie zintegrowany.

Kryteria zakończenia

• Czy znasz różne ustawienia zasad ochrony aplikacji w aplikacji systemu Android?
• Czy przejrzano aplikację i zaplanowano integrację aplikacji z usługą MSAL, dostępem warunkowym, wieloma tożsamościami, App Configuration i wszystkimi dodatkowymi funkcjami zestawu SDK?
• Czy utworzono zasady ochrony aplikacji systemu Android w ramach dzierżawy testowej?

Często zadawane pytania

Dlaczego aplikacja Portal firmy jest wymagana dla zasad ochrony aplikacji w systemie Android?

Portal firmy systemu Android pobiera i utrwala zasady ochrony aplikacji z usługi Intune w imieniu wszystkich aplikacji z obsługą zarządzania aplikacjami mobilnymi na urządzeniu. Podczas inicjowania aplikacji z obsługą zarządzania aplikacjami mobilnymi szczegóły zasad i kod wymuszania tych ustawień zasad są importowane z Portal firmy. Portal firmy zawiera również kod, aby zmniejszyć liczbę monitów uwierzytelniania wyświetlanych użytkownikom końcowym. Na koniec Portal firmy zbiera dane systemowe, aby ulepszyć usługę Intune. Aby uzyskać szczegółowe informacje, zobacz Telemetria.

Uwaga

Ta funkcja Portal firmy zasad ochrony aplikacji jest specyficzna dla systemu Android.

Co się dzieje, gdy użytkownicy z nieobsługiwanymi urządzeniami mają docelowe zasady ochrony aplikacji?

Środowisko użytkownika końcowego na urządzeniach z systemem Android nieobsługiwanych przez zasady ochrony aplikacji Intune zależy od wersji systemu operacyjnego Android urządzenia:

Wersje systemu operacyjnego Android	Zachowanie sklepu Google Play	Zachowanie aplikacji MAM
Poniżej systemu Android 8.0	Aplikacja Portal firmy będzie niedostępna do pobrania z sklepu Google Play. Urządzenia, na których zainstalowano już Portal firmy, nie będą mogły zostać zaktualizowane do nowych wersji Portal firmy.	Funkcje zarządzania aplikacjami mobilnymi nie będą powszechnie blokowane. Jednak w miarę jak aplikacje zintegrowane z zestawem SDK są dostarczane z nowymi wersjami zestawu SDK, użytkownicy objęci funkcją MAM nie będą mogli wprowadzać tych aplikacji, ponieważ nie mogą aktualizować Portal firmy. Gdy użytkownik, który ma docelowe zasady zarządzania aplikacjami mobilnymi i wcześniej zalogował się do aplikacji, uruchomi taką aplikację, zostanie wyświetlony monit o uaktualnienie Portal firmy. Użytkownicy mogą ograniczyć to zachowanie, usuwając z aplikacji konto przeznaczone do zarządzania aplikacjami mobilnymi. Jeśli użytkownicy odinstalują Portal firmy, ich konto zostanie automatycznie usunięte z aplikacji, ale nie będą mogli zalogować się ponownie przy użyciu konta docelowego mam.
Android 8.x	Aplikacja Portal firmy będzie dostępna do pobrania z sklepu Google Play. Urządzenia, na których zainstalowano już Portal firmy, nadal będą mogły zostać zaktualizowane do nowych wersji Portal firmy.	Funkcje zarządzania aplikacjami mobilnymi nie są aktywnie blokowane. Jednak system Android 8.x jest nieobsługiwany, a funkcje zarządzania aplikacjami mobilnymi mogą nie działać zgodnie z oczekiwaniami.

Co to jest narzędzie opakowujące aplikacje?

Deweloperzy aplikacji systemu Android mają wiele sposobów integracji funkcji Intune ze swoimi aplikacjami. Oprócz zestawu SDK, który opisano w tym przewodniku, deweloperzy mogą również korzystać z App Wrapping Tool dla systemu Android. Aby uzyskać szczegółowe porównanie zestawu SDK i narzędzia opakowującego aplikacje, zobacz Przygotowywanie aplikacji biznesowych do zasad ochrony aplikacji .

Następne kroki

Po zakończeniu wszystkich powyższych kryteriów zakończenia przejdź do etapu 2: wymagania wstępne msal.