Intune App SDK for Android - 規劃整合

  • 發行項

Microsoft Intune App SDK for Android 可讓您將 Intune 應用程式保護原則 (也稱為應用程式或 MAM 原則,) 併入您的原生 Java/Kotlin Android 應用程式。 Intune 受控應用程式是與 Intune App SDK 整合的應用程式。 Intune 系統管理員可以在 Intune 主動管理應用程式時,輕鬆地將應用程式保護原則部署到 Intune 管理的應用程式。

階段 1:規劃整合

本指南適用於想要在其現有 Android 應用程式內新增 Microsoft Intune 應用程式保護原則支援 Android 開發人員。

階段 Goals

  • 瞭解適用於Android的應用程式保護原則設定,以及這些原則在應用程式內的運作方式。
  • 瞭解 SDK 整合程式期間的重要決策點,並規劃應用程式的整合。
  • 瞭解整合SDK的應用程式需求。
  • 建立測試 Intune 租用戶並設定 Android 應用程式保護原則。

瞭解 MAM

開始將 Intune App SDK 整合到 Android 應用程式之前,請花點時間熟悉 Microsoft Intune 的行動應用程式管理解決方案:

注意事項

某些 Android 應用程式保護原則設定需要特定的程式代碼才能支援。 如需詳細資訊,請參閱 階段 7:應用程式參與功能

SDK 整合的重要決策

我需要向 Microsoft 身分識別平台 註冊我的應用程式嗎?

是,所有與 Intune SDK 整合的應用程式都必須向 Microsoft 身分識別平台 註冊。 請遵循快速入門:在 Microsoft 身分識別平台 中註冊應用程式 - Microsoft 身分識別平台 中的步驟。

我可以存取應用程式的原始程式碼嗎?

如果您沒有應用程式原始碼的存取權,而且只能存取.apk或 .aab 格式的已編譯應用程式,您將無法將 SDK 整合到您的應用程式中。 不過,您的應用程式仍可能與 Intune 應用程式保護原則相容。 如需詳細資訊,請參閱 App Wrapping Tool for Android

我的應用程式是否應該整合 Microsoft 驗證連結庫 (MSAL) ?

請參閱 Microsoft 驗證連結庫概觀 (MSAL) ,以判斷您的應用程式是否需要整合 MSAL。 大部分的應用程式都必須先整合 MSAL,才能整合 Intune SDK。

只有在下列所有情況成立時,您的應用程式才能略過整合 MSAL:

  • 您的應用程式沒有或不需要互動式登入和註銷終端用戶體驗。
  • 您的應用程式不支援同時登入多個帳戶。
  • 您的應用程式不需要支援非 Intune 帳戶。
  • 您的應用程式不會授與受條件式存取保護之任何資源的存取權。

如果您的應用程式滿足 上述所有條件 ,而且未整合 MSAL,它仍然可以受到應用程式保護原則的保護,儘管沒有非受控使用方式的選項。 如需詳細資訊,請參閱 默認註冊

如需整合 MSAL 的指示,以及應用程式內身分識別案例的其他詳細數據,請參閱 階段 2:MSAL 必要 條件。

我的應用程式是單一身分識別還是多重身分識別?

如果沒有 Intune 應用程式防護原則支援,您的應用程式如何處理使用者驗證和帳戶?

  • 您的應用程式目前是否只允許單一帳戶登入? 您的應用程式是否在允許另一個帳戶登入之前,明確地強制登入帳戶註銷並刪除先前帳戶的數據? 如果是,您的應用程式是 單一身分識別

  • 即使已登入不同的帳戶,您的應用程式目前是否允許第二個帳戶登入? 您的應用程式是否在共享畫面上顯示多個帳戶的數據? 您的應用程式是否儲存多個帳戶的數據? 您的應用程式是否可讓使用者在不同登入的帳戶之間切換? 如果是,您的應用程式是 多重身分識別 ,您必須遵循 第 5 階段:多重身分識別您的應用程式需要此區段。

即使您的應用程式是多重身分識別,請依序遵循此整合指南。 一開始整合和測試為單一身分識別有助於確保適當的整合,並防止公司數據最終未受保護的錯誤。

我的應用程式是否有或需要 應用程式組態 設定?

Android 支援適用於 Android Enterprise 管理模式下部署之應用程式 的應用程式特定 管理設定。 系統管理員可以在 Microsoft Intune 系統管理中心為受控 Android Enterprise 裝置設定這些應用程式設定原則

不論裝置管理模式為何,Intune 也支援適用於 SDK 整合應用程式的應用程式組態。 系統管理員可以在 Microsoft Intune 系統管理中心為受控應用程式設定這些應用程式設定原則

Intune App SDK 支援這兩種類型的應用程式組態,並提供單一 API 來存取來自這兩個通道的設定。 如果您的應用程式具有或將支援下列其中一種應用程式組態,您必須遵循第 6 階段:應用程式組態

我的應用程式是否需要定義數據輸入和輸出的細微保護?

如果您的應用程式可讓使用者將資料儲存至雲端服務或裝置位置或從裝置位置儲存或開啟數據,則必須進行變更以支援增強的數據傳輸原則。 See Policy for limiting data transfer between apps and device or cloud storage locations in Stage 7: App Participation Features.

我的應用程式是否顯示包含使用者特定資訊的通知?

多重身分識別應用程式必須進行程式碼變更,才能正確接受通知原則。 單一身分識別應用程式可能會想要變更程序代碼,因此此通知原則不會封鎖其應用程式 100% 的通知。 See Policy for restricting content inside notifications in Stage 7: App Participation Features.

我的應用程式是否支援Android的備份和還原功能?

Android 支援 備份和還原 功能,以在用戶升級至新裝置或重新安裝您的應用程式時,保留使用者的數據和個人化。

Intune 也支援 SDK 整合應用程式的備份和還原功能,以確保公司數據不會透過還原而外洩。

如果您的應用程式支援這項功能,則必須在還原期間進行程式代碼變更以保護公司數據。 請參閱第 7 階段:應用程式參與功能保護備份數據的原則。

我的應用程式是否有應受條件式存取保護的資源?

條件式存取 (CA) Microsoft Entra ID 功能,可用來控制對 Microsoft Entra 資源的存取。 Intune 系統管理員可以定義 CA 規則,只允許從由 Intune 管理的裝置或應用程式存取資源。

Intune 支援兩種類型的 CA:裝置型 CA應用程式型 CA,也稱為應用程式保護 CA。 裝置型 CA 會封鎖對受保護資源的存取,直到 Intune 管理整個裝置為止。 應用程式型 CA 會封鎖對受保護資源的存取,直到特定應用程式由 Intune 應用程式保護原則管理為止。

如果您的應用程式取得任何 Microsoft Entra 存取令牌,並存取可受到 CA 保護的資源,您必須遵循階段 7:應用程式參與功能的支援應用程式保護 CA

我的應用程式是否有需要在 Intune App SDK 所顯示的 UI 之間保存的不同主題?

根據預設,Intune App SDK 會顯示根據預設主題著色的原則強制 UI 元件。

覆寫預設主題的能力是外觀和選擇性。 請參閱在第 7 階段中提供自定義主題:應用程式參與功能

需求

公司入口網站 應用程式

Intune App SDK for Android 依賴裝置上的 公司入口網站 應用程式來啟用應用程式保護原則。 公司入口網站 會從 Intune 服務擷取應用程式保護原則。 當 SDK 整合的應用程式初始化時,它會載入原則和程式代碼,以從 公司入口網站 強制執行該原則。

注意事項

當 公司入口網站 應用程式不在裝置上時,SDK 整合應用程式的行為與不支援 Intune 應用程式保護原則的一般應用程式相同。 即使 公司入口網站 應用程式位於裝置上,SDK 整合式應用程式在使用者未以應用程式保護原則為目標時的行為也與一般相同。

使用者不需要登入或甚至啟動 公司入口網站 應用程式,應用程式保護原則即可運作。

Android 版本

注意事項

確定您的應用程式與 Google Play需求相容。

SDK 透過 Android API 34 (Android 14) 完全支援 Android API 28 (Android 9.0) 。 若要以 Android API 34 (Android 14) 為目標,您必須使用 Intune App SDK v10.0.0 或更新版本。

API 26 到 27 (Android 8.0 - 8.1) 支援有限。 Android API 26 (Android 8.0) 下方不支援 公司入口網站 應用程式。 下列 Android API 28 (Android 9.0) 不支援應用程式保護原則。

如果您的minSdkVersion應用程式宣告為低於 API 28 (Android 9.0) 的 API 層級,Intune App SDK 將不會針對未以應用程式保護原則為目標的使用者封鎖應用程式使用量。

遙測

Intune App SDK for Android 不會控制來自您應用程式的數據收集。 公司入口網站 應用程式預設會記錄系統產生的數據。 此數據會傳送至 Microsoft Intune。 根據 Microsoft 原則,Intune 不會收集任何個人資料。

提示

如果終端使用者選擇不傳送此數據,則必須在 公司入口網站 應用程式的 [設定] 下關閉遙測。 若要深入瞭解,請 參閱關閉 Microsoft 使用量數據收集

建立測試Android應用程式保護原則

示範租用戶設定

如果您的公司還沒有租使用者,您可以建立具有或不含預先產生數據的示範租使用者。 您必須註冊為 Microsoft 合作夥伴 才能存取 Microsoft CDX。 若要建立新帳戶:

  1. 流覽至 Microsoft CDX 租使用者建立網站,並建立 Microsoft 365 企業版 租使用者。
  2. 設定 Intune 以啟用行動裝置管理 (MDM) 。
  3. 建立使用者
  4. 建立群組
  5. 為您的測試指派適當的授權

應用程式防護 原則設定

在 Microsoft Intune 系統管理中心建立並指派應用程式保護原則。 除了建立應用程式保護原則之外,您還可以在 Intune 中建立及指派應用程式設定原則。

在您於自己的應用程式內測試應用程式保護原則設定之前,最好先熟悉這些設定在其他 SDK 整合應用程式內的行為。

提示

如果您的應用程式未列在 Microsoft Intune 系統管理中心,您可以選取 [更多應用程式] 選項並在文本框中提供套件名稱,以原則作為目標。 您必須以應用程式保護原則為目標,並將原則部署至使用者,以成功測試您的整合。 即使原則已設為目標並已部署,您的應用程式在成功整合 SDK 之前,將不會正確強制執行原則。

結束準則

  • 您是否已熟悉不同的應用程式保護原則設定在 Android 應用程式內的運作方式?
  • 您是否已檢閱您的應用程式,並規劃應用程式與 MSAL、條件式存取、多重身分識別、應用程式組態 及所有其他 SDK 功能的整合?
  • 您是否已在測試租使用者內建立 Android 應用程式保護原則?

常見問題集

為什麼 Android 上的應用程式保護原則需要 公司入口網站 應用程式?

Android 公司入口網站 代表裝置上所有啟用 MAM 的應用程式,從 Intune 服務擷取並保存應用程式保護原則。 啟用 MAM 的應用程式初始化時,會從 公司入口網站 匯入強制執行這些原則設定的原則詳細數據和程式代碼。 公司入口網站 也包含程式代碼,可減少向使用者顯示的驗證提示數目。 最後,公司入口網站 會收集系統數據來改善 Intune 服務;如需詳細資訊,請參閱遙測

注意事項

此 公司入口網站 應用程式保護原則的功能專屬於 Android。

當具有不支援裝置的使用者將應用程式保護原則設為目標時,會發生什麼事?

Intune 應用程式保護原則不支援的 Android 裝置使用者體驗取決於裝置的 Android OS 版本:

Android OS 版本 Google Play 行為 MAM 應用程式行為
Android 8.0 下方 無法從Google Play 下載 公司入口網站 應用程式。 已安裝 公司入口網站的裝置將無法更新為新版本的 公司入口網站。 MAM 功能不會被普遍封鎖。 不過,隨著 SDK 整合應用程式隨附新版本的 SDK,以 MAM 為目標的使用者將無法輸入這些應用程式,因為他們無法更新 公司入口網站。 當已將 MAM 原則設為目標且先前已登入應用程式的用戶啟動這類應用程式時,系統會提示他們升級 公司入口網站。 使用者可以從應用程式中移除以 MAM 為目標的帳戶,以減輕此行為。 如果使用者卸載 公司入口網站,其帳戶會自動從應用程式中移除,但無法使用 MAM 目標帳戶重新登入。
Android 8.x 您可以從 Google Play 下載 公司入口網站 應用程式。 已安裝 公司入口網站的裝置仍可更新為新版本的 公司入口網站。 MAM 功能不會主動遭到封鎖。 不過,不支援Android 8.x,MAM功能可能無法如預期般運作。

什麼是 App Wrapping 工具?

Android 應用程式開發人員有多種方式可將 Intune 功能整合到其應用程式中。 除了本指南所描述的 SDK 之外,開發人員也可以使用適用於 Android 的 App Wrapping Tool。 如需 SDK 與 App Wrapping 工具之間的詳細比較,請參閱 為應用程式保護原則準備企業 營運應用程式。

後續步驟

完成上述所有 結束準則 之後,請繼續進行 第 2 階段:MSAL 必要條件