Förbereda Android-appar för appskyddsprinciper med Intune App Wrapping Tool
Använd Microsoft Intune App Wrapping Tool för Android för att ändra beteendet för dina interna Android-appar genom att begränsa funktionerna i appen utan att ändra koden för själva appen.
Verktyget är ett Windows-kommandoradsprogram som körs i PowerShell och skapar en omslutning runt din Android-app. När appen är omsluten kan du ändra appens funktioner genom att konfigurera hanteringsprinciper för mobilprogram i Intune.
Innan du kör verktyget läser du Säkerhetsöverväganden för att köra App Wrapping Tool. Om du vill ladda ned verktyget går du till Microsoft Intune App Wrapping Tool för Android på GitHub.
Obs!
Om du har problem med att använda Intune App Wrapping Tool med dina appar skickar du en begäran om hjälp på GitHub.
Uppfylla kraven för att använda App Wrapping Tool
Din app måste använda uppdaterade bibliotek
Din app måste vara kompatibel med Google Play-kraven
Om din app är komplex måste den integreras med Intune App SDK för Android
Du måste köra App Wrapping Tool på en Windows-dator som kör Windows 10 eller senare.
Indataappen måste vara ett giltigt Android-programpaket med filnamnstillägget .apk och:
- Den kan inte krypteras.
- Den får inte ha omslutits av Intune App Wrapping Tool tidigare.
- Den måste skrivas för Android 9.0 eller senare.
Obs!
Om din indataapp är ett Android-apppaket (.aab) måste du konvertera den till en APK innan du använder Intune App Wrapping Tool. Mer information finns i Konvertera Android App Bundle (AAB) till APK. Från och med augusti 2021 kan nya privata appar fortfarande publiceras till Google Play Store som API:er.
Appen måste utvecklas av eller för ditt företag. Du kan inte använda det här verktyget på appar som är tillgängliga i Google Play Store. Detta inkluderar nedladdning eller hämtning av appen från Google Play Store.
Om du vill köra App Wrapping Tool måste du installera den senaste versionen av Java Runtime Environment och sedan se till att Java-sökvägsvariabeln har angetts till C:\ProgramData\Oracle\Java\javapath i dina Windows-miljövariabler. Mer hjälp finns i Java-dokumentationen.
Obs!
I vissa fall kan 32-bitarsversionen av Java resultera i minnesproblem. Det är en bra idé att installera 64-bitarsversionen.
Android kräver att alla apppaket (.apk) signeras. Information om hur du återanvänder befintliga certifikat och övergripande vägledning för signeringscertifikat finns i Återanvända signeringscertifikat och omsluta appar. När du har omslutit .apk-filen med hjälp av Intune App Wrapping Tool rekommenderar vi att du använder Googles apksignerverktyg. Detta säkerställer att när din app kommer till slutanvändarenheter kan den startas korrekt med Android-standarder.
(Valfritt) Ibland kan en app nå storleksgränsen för Dalvik Körbar (DEX) på grund av de Intune MAM SDK-klasser som läggs till under omslutning. DEX-filer är en del av kompilering av en Android-app. Intune App Wrapping Tool hanterar automatiskt DEX-filspill under omslutning för appar med en lägsta API-nivå på 21 eller högre (från och med v. 1.0.2501.1). För appar med en lägsta API-nivå på < 21 är bästa praxis att öka den lägsta API-nivån med hjälp av omslutningsflaggan
-UseMinAPILevelForNativeMultiDex. För kunder som inte kan öka appens lägsta API-nivå är följande DEX-överflödeslösningar tillgängliga. I vissa organisationer kan detta kräva att du arbetar med den som kompilerar appen (dvs. appbyggteamet):- Använd ProGuard för att eliminera oanvända klassreferenser från appens primära DEX-fil.
- Inaktivera D8-dexern för kunder som använder v3.1.0 eller senare av Plugin-programmet Android Gradle.
Hur ofta ska jag skriva om mitt Android-program med Intune App Wrapping Tool?
De viktigaste scenarierna där du skulle behöva skriva om dina program är följande:
Själva programmet har släppt en ny version. Den tidigare versionen av appen omsluts och laddades upp till Microsoft Intune administrationscenter.
Intune App Wrapping Tool för Android har släppt en ny version som aktiverar viktiga felkorrigeringar, eller nya, specifika Intune funktioner för programskyddsprinciper. Detta sker var 6–8:e vecka via GitHub-lagringsplatsen för Microsoft Intune App Wrapping Tool för Android.
Några metodtips för omarbetning är:
- Underhåll av signeringscertifikat som används under byggprocessen finns i Återanvända signeringscertifikat och omsluta appar
Installera App Wrapping Tool
Från GitHub-lagringsplatsen laddar du ned installationsfilen InstallAWT.exe för Intune App Wrapping Tool för Android till en Windows-dator. Öppna installationsfilen.
Godkänn licensavtalet och slutför sedan installationen.
Anteckna mappen som du installerade verktyget i. Standardplatsen är: C:\Program Files (x86)\Microsoft Intune Mobile Application Management\Android\App Wrapping Tool.
Kör App Wrapping Tool
Viktigt
Intune släpper regelbundet uppdateringar av Intune App Wrapping Tool. Kontrollera regelbundet Intune App Wrapping Tool för Android för uppdateringar och införliva i din programutvecklingsversionscykel för att säkerställa att dina appar stöder de senaste appskyddsprincipinställningarna.
Öppna ett PowerShell-fönster på den Windows-dator där du installerade App Wrapping Tool.
Importera App Wrapping Tool PowerShell-modulen från mappen där du installerade verktyget:
Import-Module .\IntuneAppWrappingTool.psm1Kör verktyget med kommandot invoke-AppWrappingTool , som har följande användningssyntax:
Invoke-AppWrappingTool [-InputPath] <String> [-OutputPath] <String> [<CommonParameters>]Följande tabell beskriver egenskaperna för kommandot invoke-AppWrappingTool :
| Egenskap | Information |
|---|---|
| -InputPath<Sträng> | Sökväg till Android-källappen (.apk). |
| -OutputPath<Sträng> | Sökväg till Android-utdataappen. Om det här är samma katalogsökväg som InputPath misslyckas paketeringen. |
| <CommonParameters> | (Valfritt) Kommandot stöder vanliga PowerShell-parametrar som utförlig och felsökning. |
En lista över vanliga parametrar finns i Microsoft Script Center.
Om du vill se detaljerad användningsinformation för verktyget anger du kommandot :
Help Invoke-AppWrappingTool
Exempel:
Importera PowerShell-modulen.
Import-Module "C:\Program Files (x86)\Microsoft Intune Mobile Application Management\Android\App Wrapping Tool\IntuneAppWrappingTool.psm1"
Kör App Wrapping Tool på den inbyggda appen HelloWorld.apk.
invoke-AppWrappingTool -InputPath .\app\HelloWorld.apk -OutputPath .\app_wrapped\HelloWorld_wrapped.apk -Verbose
Den omslutna appen och en loggfil genereras och sparas i den utdatasökväg som du angav.
Återanvända signeringscertifikat och omsluta appar
Android kräver att alla appar måste signeras av ett giltigt certifikat för att kunna installeras på Android-enheter.
Omslutna appar kan signeras efter omslutning med hjälp av dina befintliga signeringsverktyg (all signeringsinformation i appen innan omslutningen tas bort). Om möjligt bör signeringsinformationen som redan användes under byggprocessen användas under omslutningen. I vissa organisationer kan detta kräva att du arbetar med den som äger nyckellagringsinformationen (dvs. appbyggteamet).
Om det tidigare signeringscertifikatet inte kan användas, eller om appen inte har distribuerats tidigare, kan du skapa ett nytt signeringscertifikat genom att följa anvisningarna i Android Developer Guide.
Om appen har distribuerats tidigare med ett annat signeringscertifikat kan appen inte laddas upp till Intune efter uppgraderingen. Scenarier för appuppgradering bryts om din app har signerats med ett annat certifikat än det som appen har skapats med. Därför bör alla nya signeringscertifikat underhållas för appuppgraderingar.
Säkerhetsöverväganden vid körning av App Wrapping Tool
För att förhindra potentiell förfalskning, avslöjande av information och utökade privilegier:
Se till att det verksamhetsspecifika indataprogrammet (LOB) och utdataprogrammet finns på samma Windows-dator där App Wrapping Tool körs.
Importera utdataprogrammet till Intune på samma dator där verktyget körs. Mer information om Java-nyckelverktyg finns i keytool .
Om utdataprogrammet och verktyget finns på en UNC-sökväg (Universal Naming Convention) och du inte kör verktyget och indatafilerna på samma dator konfigurerar du miljön så att den är säker med hjälp av IPsec (Internet Protocol Security) eller SMB-signering (Server Message Block).
Kontrollera att programmet kommer från en betrodd källa.
Skydda utdatakatalogen som har den omslutna appen. Överväg att använda en katalog på användarnivå för utdata.
Konvertera Android App Bundle (AAB) till APK
Intune App Wrapping Tool stöder för närvarande endast APK-indata. Android-apppaket måste först konverteras till en APK för användning med verktyget.
Ett Android-apppaket kan konverteras till ett APK med hjälp av Googles kommandoradsverktyg, bundletool. Den senaste versionen av bundle-tool kan laddas ned från Googles bundletool GitHub-lagringsplats.
bundletoolkan användas för att skapa en enda universell APK för användning med Intune App Wrapping Tool med hjälp av följande kommando:
bundletool build-apks --bundle=input.aab --mode=universal --output=input.apks
Utdatafilen .apks är ett ZIP-arkiv som innehåller en enda universell APK-fil. Packa upp arkivet och använd APK-filen som indata till Intune App Wrapping Tool.
Se även
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för