Intune App SDK pro Android – Plánování integrace
Sada Microsoft Intune App SDK pro Android umožňuje začlenit zásady ochrany aplikací Intune (označované také jako zásady APP nebo MAM) do nativní aplikace Java/Kotlin pro Android. Aplikace spravovaná v Intune je aplikace integrovaná se sadou Intune App SDK. Správci Intune můžou zásady ochrany aplikací snadno nasadit do aplikace spravované v Intune, když Intune aplikaci aktivně spravuje.
Fáze 1: Plánování integrace
Tato příručka je určená vývojářům pro Android, kteří chtějí přidat podporu pro zásady ochrany aplikací Microsoft Intune v rámci své stávající aplikace pro Android.
Cíle fáze
- Zjistěte, jaká nastavení zásad ochrany aplikací jsou k dispozici pro Android a jak budou tyto zásady fungovat ve vaší aplikaci.
- Seznamte se s klíčovými rozhodovacími body během procesu integrace sady SDK a naplánujte integraci vaší aplikace.
- Seznamte se s požadavky na aplikace, které integrují sadu SDK.
- Vytvořte testovacího tenanta Intune a nakonfigurujte zásady ochrany aplikací pro Android.
Principy MAM
Než začnete integrovat sadu Intune App SDK do aplikace pro Android, chvíli se seznamte s řešením správy mobilních aplikací Microsoft Intune:
- [Správa aplikací Microsoft Intune] poskytuje základní přehled o možnostech MAM na různých platformách a o tom, kde tyto funkce najdete v Centru pro správu Microsoft Intune.
- Přehled sady Intune App SDK je o jednu vrstvu hlubší a popisuje aktuální funkce sady SDK.
- Nastavení zásad ochrany aplikací pro Android podrobně popisuje každé nastavení Androidu. Vaše aplikace bude tato nastavení podporovat integrací sady SDK. Během procesu integrace sady SDK také nakonfigurujete tato nastavení pro ověření ve vlastním testovacím tenantovi.
Poznámka
Některá nastavení zásad ochrany aplikací pro Android vyžadují pro podporu specifický kód. Další podrobnosti najdete v části Fáze 7: Funkce účasti v aplikacích .
Klíčová rozhodnutí pro integraci sady SDK
Musím aplikaci zaregistrovat na platformě Microsoft Identity Platform?
Ano, všechny aplikace, které se integrují se sadou Intune SDK, se musí zaregistrovat na platformě Microsoft Identity Platform. Postupujte podle pokynů v tématu Rychlý start: Registrace aplikace na platformě Microsoft Identity Platform – Microsoft Identity Platform.
Mám přístup ke zdrojovému kódu aplikace?
Pokud nemáte přístup ke zdrojovému kódu aplikace a máte přístup pouze ke zkompilované aplikaci ve formátu .apk nebo .aab, nebudete moct sadu SDK do aplikace integrovat. Vaše aplikace ale může být stále kompatibilní se zásadami ochrany aplikací Intune. Další podrobnosti najdete v tématu Nástroj App Wrapping pro Android .
Měla by moje aplikace integrovat knihovnu Microsoft Authentication Library (MSAL)?
Informace o tom, jestli vaše aplikace bude potřebovat integrovat knihovnu MSAL, najdete v tématu Přehled knihovny Microsoft Authentication Library (MSAL ). Většina aplikací musí před integrací sady Intune SDK integrovat MSAL.
Vaše aplikace může přeskočit integraci knihovny MSAL pouze v případě, že platí všechny následující podmínky:
- Vaše aplikace nemá nebo nepotřebuje interaktivní přihlašovací a odhlašovací prostředí koncového uživatele.
- Vaše aplikace nepodporuje více účtů přihlášených současně.
- Vaše aplikace nemusí podporovat účty mimo Intune.
- Vaše aplikace neuděluje přístup k žádným prostředkům chráněným podmíněným přístupem.
Pokud vaše aplikace splňuje všechny výše uvedené podmínky a neintegruje knihovnu MSAL, může být stále chráněná zásadami ochrany aplikací, i když bez možnosti nespravovaného použití. Podrobnosti najdete v tématu Výchozí registrace .
Pokyny k integraci knihovny MSAL a další podrobnosti o scénářích identit v rámci vaší aplikace najdete v části Fáze 2: Požadavky msal .
Je moje aplikace jedna nebo více identit?
Jak vaše aplikace zpracovává ověřování uživatelů a účty bez podpory zásad ochrany aplikací Intune?
Umožňuje vaše aplikace v současné době přihlášení jenom k jednomu účtu? Vynutí vaše aplikace explicitně, aby se přihlášený účet odhlásil (a odstranil data předchozího účtu), než povolí přihlášení jinému účtu? Pokud ano, vaše aplikace má jednu identitu.
Umožňuje vaše aplikace v současné době přihlášení druhému účtu, i když už je přihlášen jiný účet? Zobrazuje vaše aplikace na sdílené obrazovce data více účtů? Ukládá vaše aplikace data více účtů? Umožní vaše aplikace uživatelům přepínat mezi různými přihlášenými účty? Pokud ano, vaše aplikace používá více identit a budete muset postupovat podle fáze 5: Více identit. Tato část je pro vaši aplikaci povinná.
I v případě, že vaše aplikace používá více identit, postupujte podle tohoto průvodce integrací v tomto pořadí. Počáteční integrace a testování jako jedna identita pomůže zajistit správnou integraci a zabránit chybám v případě, že podniková data skončí nechráněná.
Má nebo potřebuje moje aplikace nastavení App Configuration?
Android podporuje konfigurace správy specifické pro aplikace , které se vztahují na aplikace nasazené v režimech správy Android Enterprise. Správci můžou nakonfigurovat tyto zásady konfigurace aplikací pro spravovaná zařízení s Androidem Enterprise v Centru pro správu Microsoft Intune.
Intune také podporuje konfigurace aplikací, které platí pro aplikace integrované v sadě SDK bez ohledu na režim správy zařízení. Správci můžou tyto zásady konfigurace aplikací pro spravované aplikace nakonfigurovat v Centru pro správu Microsoft Intune.
Intune App SDK podporuje oba typy konfigurace aplikací a poskytuje jedno rozhraní API pro přístup ke konfiguracím z obou kanálů. Pokud vaše aplikace má nebo bude podporovat některý z těchto typů konfigurace aplikace, budete muset postupovat podle fáze 6: Konfigurace aplikace.
Potřebuje moje aplikace definovat podrobnou ochranu pro příchozí a výchozí přenos dat?
Pokud vaše aplikace umožňuje uživatelům ukládat data do cloudových služeb nebo otevírat data z cloudových služeb nebo do umístění zařízení, musí provést změny, aby podporovala rozšířené zásady přenosu dat. Informace o omezení přenosu dat mezi aplikacemi a zařízeními nebo umístěními cloudového úložiště najdete v tématu Fáze 7: Funkce účasti aplikací.
Zobrazuje se v aplikaci oznámení, která obsahují informace specifické pro uživatele?
Aplikace s více identitou musí provádět změny kódu, aby správně dodržovaly zásady oznámení. Aplikace s jednou identitou můžou chtít provádět změny kódu, aby tyto zásady oznámení neblokovaly 100 % oznámení aplikace. Viz Zásady pro omezení obsahu v oznámeních ve Fázi 7: Funkce účasti aplikací.
Podporuje moje aplikace funkce zálohování a obnovení androidu?
Android podporuje funkce zálohování a obnovení pro zachování dat a přizpůsobení pro uživatele, kteří upgradují na nové zařízení nebo přeinstalují aplikaci.
Intune také podporuje funkce zálohování a obnovení pro aplikace integrované v sadě SDK, aby se zajistilo, že při obnovení nebudou podniková data unikat.
Pokud vaše aplikace tuto funkci podporuje, musí během obnovení provést změny kódu, aby chránila podniková data. Viz Zásady ochrany zálohovacích dat ve Fázi 7: Funkce účasti aplikací.
Obsahuje moje aplikace prostředky, které by měly být chráněny podmíněným přístupem?
Podmíněný přístup (CA) je funkce MICROSOFT Entra ID , kterou je možné použít k řízení přístupu k prostředkům Microsoft Entra. Správci Intune můžou definovat pravidla certifikační autority, která povolují přístup k prostředkům jenom ze zařízení nebo aplikací spravovaných službou Intune.
Intune podporuje dva typy certifikační autority: certifikační autoritu založenou na zařízení a certifikační autoritu založenou na aplikaci, označovanou také jako ca ochrany aplikací. Certifikační autorita založená na zařízení blokuje přístup k chráněným prostředkům, dokud celé zařízení nespravuje Intune. Certifikační autorita založená na aplikaci blokuje přístup k chráněným prostředkům, dokud konkrétní aplikaci nespravují zásady Intune App Protection.
Pokud vaše aplikace získá jakékoli přístupové tokeny Microsoft Entra a přistupuje k prostředkům, které je možné chránit certifikační autoritou, budete muset postupovat podle pokynů v tématu Podpora ochrany certifikační autority app protection ve fázi 7: Funkce účasti aplikací.
Má moje aplikace jedinečný motiv, který se musí zachovat v uživatelském rozhraní zobrazeném sadou Intune App SDK?
Intune App SDK ve výchozím nastavení zobrazí komponenty uživatelského rozhraní vynucování zásad barevně podle výchozího motivu.
Možnost přepsat výchozí motiv je kosmetická a volitelná. Viz Poskytování vlastního motivu ve fázi 7: Funkce účasti v aplikacích.
Požadavky
Aplikace Portál společnosti
Intune App SDK pro Android se při povolení zásad ochrany aplikací spoléhá na přítomnost aplikace Portál společnosti na zařízení. Portál společnosti načte zásady ochrany aplikací ze služby Intune. Když se inicializuje aplikace integrovaná se sadou SDK, načte zásady a kód pro vynucování těchto zásad z Portálu společnosti.
Poznámka
Pokud aplikace Portál společnosti není v zařízení, aplikace integrovaná se sadou SDK se chová stejně jako normální aplikace, která nepodporuje zásady ochrany aplikací Intune. I když je aplikace Portál společnosti na zařízení, aplikace integrovaná se sadou SDK se chová stejně jako normální, když na koncového uživatele nejsou zacílené zásady ochrany aplikací.
Aby zásady ochrany aplikací fungovaly, nemusí se uživatel přihlašovat k aplikaci Portál společnosti ani ji spouštět.
Verze Androidu
Poznámka
Ujistěte se, že je vaše aplikace kompatibilní s požadavky na Google Play.
Sada SDK plně podporuje rozhraní Android API 28 (Android 9.0) až Android API 34 (Android 14).
Pokud chcete cílit na rozhraní Android API 34 (Android 14), musíte použít sadu Intune App SDK v10.0.0 nebo novější.
Rozhraní API 26 až 27 (Android 8.0 až 8.1) mají omezenou podporu. Aplikace Portál společnosti se nepodporuje pod rozhraním ANDROID API 26 (Android 8.0). Zásady ochrany aplikací se nepodporují pod rozhraním Android API 28 (Android 9.0).
Pokud vaše aplikace deklaruje minSdkVersion úroveň rozhraní API nižší než API 28 (Android 9.0), sada Intune App SDK neblokuje využití aplikace pro uživatele, na které zásady ochrany aplikací cílí.
Telemetrie
Sada Intune App SDK pro Android neřídí shromažďování dat z vaší aplikace. Aplikace Portál společnosti ve výchozím nastavení protokoluje systémově generovaná data. Tato data se odesílají do Microsoft Intune. Podle zásad Microsoftu Intune neshromažďuje žádné osobní údaje.
Tip
Pokud se koncoví uživatelé rozhodnou tato data neposílat, musí vypnout telemetrii v části Nastavení v aplikaci Portál společnosti. Další informace najdete v tématu Vypnutí shromažďování dat o využití od Microsoftu.
Vytvoření testovací zásady ochrany aplikací pro Android
Ukázkové nastavení tenanta
Pokud ještě nemáte tenanta ve vaší společnosti, můžete vytvořit ukázkového tenanta s předem vygenerovanými daty nebo bez. Pokud chcete získat přístup k Microsoft CDX, musíte se zaregistrovat jako partner Microsoftu . Vytvoření nového účtu:
- Přejděte na web pro vytvoření tenanta Microsoft CDX a vytvořte tenanta Microsoft 365 Enterprise.
- Nastavte Intune tak, aby povolte správu mobilních zařízení (MDM).
- Vytvořte uživatele.
- Vytvořte skupiny.
- Přiřaďte licence podle potřeby pro vaše testování.
Konfigurace zásad ochrany aplikací
Vytvořte a přiřaďte zásady ochrany aplikací v Centru pro správu Microsoft Intune. Kromě vytváření zásad ochrany aplikací můžete vytvořit a přiřadit zásady konfigurace aplikace v Intune.
Než otestujete nastavení zásad ochrany aplikací ve vlastní aplikaci, je vhodné se seznámit s tím, jak se tato nastavení chovají v jiných aplikacích integrovaných se sadou SDK.
Tip
Pokud vaše aplikace není uvedená v Centru pro správu Microsoft Intune, můžete na ni cílit pomocí zásad tak, že vyberete možnost Další aplikace a do textového pole zadáte název balíčku. Abyste mohli úspěšně otestovat integraci, musíte na svoji aplikaci cílit pomocí zásad ochrany aplikací a nasadit zásady pro uživatele. I když je zásada cílená a nasazená, vaše aplikace zásady nebude správně vynucovat, dokud úspěšně neimgruje sadu SDK.
Kritéria ukončení
- Seznámili jste se s tím, jak se budou různá nastavení zásad ochrany aplikací chovat v aplikaci pro Android?
- Zkontrolovali jste aplikaci a naplánovali její integraci v případě MSAL, podmíněného přístupu, více identit, konfigurace aplikací a všech dalších funkcí sady SDK?
- Vytvořili jste zásady ochrany aplikací pro Android v rámci testovacího tenanta?
Časté otázky
Proč se aplikace Portál společnosti vyžaduje pro zásady ochrany aplikací na Androidu?
Portál společnosti pro Android načítá a zachovává zásady ochrany aplikací ze služby Intune jménem všech aplikací s podporou MAM v zařízení. Když se inicializují aplikace s podporou MAM, podrobnosti o zásadách a kód pro vynucování těchto nastavení zásad se naimportují z Portálu společnosti. Portál společnosti obsahuje také kód pro snížení počtu výzev k ověření zobrazených koncovým uživatelům. Portál společnosti shromažďuje systémová data za účelem vylepšení služby Intune. Podrobnosti najdete v tématu Telemetrie .
Poznámka
Tato funkce Portálu společnosti pro zásady ochrany aplikací je specifická pro Android.
Co se stane, když se na uživatele s nepodporovanými zařízeními cílí zásady ochrany aplikací?
Prostředí koncového uživatele na zařízeních s Androidem nepodporovaných zásadami ochrany aplikací Intune závisí na verzi operačního systému Android zařízení:
| Verze operačního systému Android | Chování Google Play | Chování aplikace MAM |
|---|---|---|
| Android 8.0 níže | Aplikaci Portál společnosti nebude možné stáhnout z Google Play. Zařízení, která už mají Portál společnosti nainstalovaný, nebudou moct aktualizovat na nové verze Portálu společnosti. | Funkce MAM se neblokují universálně. Vzhledem k tomu, že se ale aplikace integrované do sady SDK dodávají s novými verzemi sady SDK, uživatelům cíleným na MAM bude zablokovaný vstup do těchto aplikací, protože nebudou moct aktualizovat Portál společnosti. Když uživatel, který má zásady MAM cílené a předtím se přihlásil k aplikaci, spustí takovou aplikaci, zobrazí se mu výzva k upgradu Portálu společnosti. Uživatelé můžou toto chování zmírnit odebráním účtu cíleného na MAM z aplikace. Pokud uživatelé portál společnosti odinstalují, jejich účet se z aplikace automaticky odebere, ale nebudou se moct znovu přihlásit pomocí účtu cíleného na MAM. |
| Android 8.x | Aplikace Portál společnosti bude k dispozici ke stažení z Google Play. Zařízení, která už mají Portál společnosti nainstalovanou, se budou moct aktualizovat na nové verze Portálu společnosti. | Funkce MAM se aktivně neblokují. Android 8.x ale není podporovaný a funkce MAM nemusí fungovat podle očekávání. |
Co je nástroj App Wrapping?
Vývojáři aplikací pro Android mají několik způsobů, jak integrovat funkce Intune do svých aplikací. Kromě sady SDK, kterou tato příručka popisuje, můžou vývojáři použít také nástroj App Wrapping Tool pro Android. Podrobné porovnání sady SDK a nástroje App Wrapping najdete v tématu Příprava obchodních aplikací na zásady ochrany aplikací .
Další kroky
Po dokončení všech výše uvedených kritérií ukončení pokračujte fází 2: Předpoklad MSAL.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro