SDK de aplicaciones de Intune para Android: descripción del requisito previo de MSAL
El SDK de aplicaciones de Microsoft Intune para Android le permite incorporar directivas de protección de aplicaciones de Intune (también conocidas como directivas de APLICACIÓN o MAM) en su aplicación nativa de Java/Kotlin para Android. Una aplicación administrada por Intune es una que se integra con el SDK de aplicaciones de Intune. Los administradores de Intune pueden implementar fácilmente directivas de protección de aplicaciones en la aplicación administrada por Intune cuando Intune administra activamente la aplicación.
Nota:
Esta guía se divide en varias fases distintas. Para empezar, revise La fase 1: Planear la integración.
Fase 2: Requisito previo de MSAL
Objetivos de fase
- Registre la aplicación con el identificador de Microsoft Entra.
- Integre MSAL en la aplicación Android.
- Compruebe que la aplicación puede obtener un token que conceda acceso a los recursos protegidos.
Información previa
La Biblioteca de autenticación de Microsoft (MSAL) proporciona a la aplicación la capacidad de usar Microsoft Cloud al admitir el identificador de Microsoft Entra y las cuentas de Microsoft.
MSAL no es específico de Intune. Intune tiene una dependencia en el identificador de Microsoft Entra; todas las cuentas de usuario de Intune son cuentas de Microsoft Entra. Como resultado, la gran mayoría de las aplicaciones Android que integran el SDK de aplicaciones de Intune tendrán que integrar MSAL como requisito previo.
En esta fase de la guía del SDK se proporciona información general sobre el proceso de integración de MSAL en relación con Intune; siga las guías de MSAL vinculadas en su totalidad.
Para simplificar el proceso de integración del SDK de aplicaciones de Intune, se recomienda encarecidamente a los desarrolladores de aplicaciones Android integrar y probar MSAL por completo antes de descargar el SDK de aplicaciones de Intune. El proceso de integración del SDK de aplicaciones de Intune requiere cambios de código en torno a la adquisición de tokens de MSAL. Será más fácil probar los cambios de adquisición de tokens específicos de Intune si ya ha confirmado que la implementación de adquisición de tokens original de la aplicación funciona según lo previsto.
Para obtener más información sobre Microsoft Entra ID, consulte ¿Qué es Microsoft Entra ID?
Para obtener más información sobre MSAL, consulte la wiki de MSAL y la lista de bibliotecas de MSAL.
Registro de la aplicación con el identificador de Microsoft Entra
Antes de integrar MSAL en la aplicación Android, todas las aplicaciones deben registrarse en la plataforma de identidad de Microsoft. Siga los pasos descritos en Inicio rápido: Registro de una aplicación en la plataforma de identidad de Microsoft: Plataforma de identidad de Microsoft. Esto genera un identificador de cliente para la aplicación.
A continuación, siga las instrucciones para proporcionar a la aplicación acceso al servicio Intune Mobile App Management.
Configuración de la biblioteca de autenticación de Microsoft (MSAL)
En primer lugar, lea las directrices de integración de MSAL que se encuentran en el repositorio de MSAL en GitHub, específicamente la sección con MSAL.
En esta guía se describe cómo:
- Agregue MSAL como una dependencia a la aplicación Android.
- Cree un archivo de configuración de MSAL.
- Configure el objeto de la
AndroidManifest.xml
aplicación. - Agregue código para adquirir un token.
Autenticación de agente
El inicio de sesión único (SSO) permite a los usuarios escribir solo sus credenciales una vez y hacer que esas credenciales funcionen automáticamente en todas las aplicaciones. MSAL puede habilitar el inicio de sesión único en el conjunto de aplicaciones; Mediante una aplicación de agente (ya sea Microsoft Authenticator o portal de empresa de Microsoft Intune), puede ampliar el inicio de sesión único en todo el dispositivo. La autenticación de agente también es necesaria para el acceso condicional. Consulte Habilitación del inicio de sesión único entre aplicaciones en Android mediante MSAL para obtener más información sobre la autenticación de agente.
En esta guía se da por supuesto que va a habilitar la autenticación de agente dentro de las aplicaciones siguiendo los pasos descritos en el vínculo anterior, especialmente Generar un URI de redireccionamiento para un agente y Configurar MSAL para usar un agente para la configuración y Comprobar la integración del agente para las pruebas.
Si no está habilitando la autenticación de agente en la aplicación, preste especial atención a la configuración de MSAL específica de Intune.
Configuración del entorno MSAL específico de Intune
De forma predeterminada, Intune solicitará tokens desde el entorno público de Microsoft Entra. Si la aplicación requiere un entorno no predeterminado, como una nube soberana, se debe agregar la siguiente configuración a la aplicación AndroidManifest.xml
.
Cuando se establece, la autoridad de Microsoft Entra especificada emitirá los tokens de la aplicación.
Esto garantiza que la directiva de autenticación de Intune se aplique correctamente.
<meta-data
android:name="com.microsoft.intune.mam.aad.Authority"
android:value="https://AAD authority/" />
Precaución
La mayoría de las aplicaciones no deben establecer el parámetro Authority. Además, las aplicaciones que no integran MSAL no deben incluir esta propiedad en el manifiesto.
Para obtener más detalles sobre las opciones de configuración de MSAL no específicas de Intune, consulte Archivo de configuración de la biblioteca de autenticación de Microsoft de Android.
Para obtener más información sobre las nubes soberanas, consulte Uso de MSAL en un entorno de nube nacional.
Criterios de salida
- ¿Ha integrado MSAL en la aplicación?
- ¿Ha habilitado la autenticación de agente mediante la generación de un URI de redirección y su configuración en el archivo de configuración de MSAL?
- ¿Ha configurado la configuración de MSAL específica de Intune en
AndroidManifest.xml
? - ¿Ha probado la autenticación de agente, ha confirmado que se ha agregado una cuenta profesional al Administrador de cuentas de Android y ha probado el inicio de sesión único con otras aplicaciones de Microsoft 365?
- Si implementó el acceso condicional, ¿ha probado tanto la entidad de certificación basada en dispositivos como la ca basada en aplicaciones para validar la implementación de la entidad de certificación?
Preguntas más frecuentes
¿Y ADAL?
La biblioteca de autenticación anterior de Microsoft, Biblioteca de autenticación de Azure Active Directory (ADAL), está en desuso.
Si la aplicación ya ha integrado ADAL, consulte Actualización de las aplicaciones para usar la Biblioteca de autenticación de Microsoft (MSAL). Para migrar la aplicación de ADAL a MSAL, consulte Migración de Android ADAL a MSAL y Diferencias entre ADAL y MSAL.
Se recomienda migrar de ADAL a MSAL antes de integrar el SDK de aplicaciones de Intune.
Pasos siguientes
Después de completar todos los criterios de salida anteriores, continúe con la fase 3: Introducción a MAM.