Teilen über

Intune App SDK für Android – Grundlegendes zur MSAL-Voraussetzung

  • Artikel

Mit dem Microsoft Intune App SDK für Android können Sie Intune-App-Schutzrichtlinien (auch als APP - oder MAM-Richtlinien bezeichnet) in Ihre native Java/Kotlin Android-App integrieren. Eine von Intune verwaltete Anwendung ist eine Anwendung, die in das Intune App SDK integriert ist. Intune-Administratoren können App-Schutzrichtlinien ganz einfach für Ihre von Intune verwaltete App bereitstellen, wenn Intune die App aktiv verwaltet.

Hinweis

Dieser Leitfaden ist in mehrere unterschiedliche Phasen unterteilt. Sehen Sie sich zunächst Phase 1: Planen der Integration an.

Phase 2: Die MSAL-Voraussetzung

Etappenziele

  • Registrieren Sie Ihre Anwendung mit der Microsoft Entra-ID.
  • Integrieren Sie MSAL in Ihre Android-Anwendung.
  • Vergewissern Sie sich, dass Ihre Anwendung ein Token abrufen kann, das Zugriff auf geschützte Ressourcen gewährt.

Hintergrund

Die Microsoft Authentication Library (MSAL) bietet Ihrer Anwendung die Möglichkeit, die Microsoft Cloud zu verwenden, indem Microsoft Entra ID und Microsoft-Konten unterstützt werden.

MSAL ist nicht spezifisch für Intune. Intune ist von der Microsoft Entra-ID abhängig. Alle Intune-Benutzerkonten sind Microsoft Entra-Konten. Daher muss die überwiegende Mehrheit der Android-Anwendungen, die das Intune App SDK integrieren, MSAL als Voraussetzung integrieren.

In dieser Phase des SDK-Handbuchs wird der MSAL-Integrationsprozess im Zusammenhang mit Intune erläutert. Befolgen Sie die verknüpften MSAL-Leitfäden vollständig.

Um den Integrationsprozess des Intune App SDK zu vereinfachen, wird Android-App-Entwicklern dringend empfohlen, MSAL vor dem Herunterladen des Intune App SDK vollständig zu integrieren und zu testen. Für den Integrationsprozess des Intune App SDK sind Codeänderungen für den MSAL-Tokenabruf erforderlich. Es wird einfacher sein, die Intune-spezifischen Tokenabrufänderungen zu testen, wenn Sie bereits bestätigt haben, dass die ursprüngliche Tokenabrufimplementierung Ihrer App wie erwartet funktioniert.

Weitere Informationen zur Microsoft Entra-ID finden Sie unter Was ist Microsoft Entra ID?

Weitere Informationen zu MSAL finden Sie im MSAL-Wiki und in der Liste der MSAL-Bibliotheken.

Registrieren Ihrer Anwendung mit Microsoft Entra ID

Vor der Integration von MSAL in Ihre Android-Anwendung müssen sich alle Apps bei Microsoft Identity Platform registrieren. Führen Sie die Schritte unter Schnellstart: Registrieren einer App in Microsoft Identity Platform – Microsoft Identity Platform aus. Dadurch wird eine Client-ID für Ihre Anwendung generiert.

Befolgen Sie als Nächstes die Anweisungen, um Ihrer App Zugriff auf den Intune Mobile App Management-Dienst zu gewähren.

Konfigurieren der Microsoft-Authentifizierungsbibliothek (MICROSOFT Authentication Library, MSAL)

Lesen Sie zunächst die MSAL-Integrationsrichtlinien im MSAL-Repository auf GitHub, insbesondere den Abschnitt zur Verwendung von MSAL.

In diesem Leitfaden wird folgendes beschrieben:

  • Fügen Sie MSAL als Abhängigkeit zu Ihrer Android-Anwendung hinzu.
  • Erstellen Sie eine MSAL-Konfigurationsdatei.
  • Konfigurieren Sie den ihrer AndroidManifest.xmlAnwendung.
  • Fügen Sie Code hinzu, um ein Token abzurufen.

Brokerauthentifizierung

Mit dem einmaligen Anmelden (Single Sign-On, SSO) können Benutzer ihre Anmeldeinformationen nur einmal eingeben, sodass diese Anmeldeinformationen anwendungsübergreifend automatisch funktionieren. MSAL kann SSO in Ihrer App-Suite aktivieren. Mithilfe einer Brokeranwendung (entweder Microsoft Authenticator oder Microsoft Intune-Unternehmensportal) können Sie einmaliges Anmelden auf das gesamte Gerät erweitern. Die Brokerauthentifizierung ist auch für bedingten Zugriff erforderlich. Weitere Informationen zur Brokerauthentifizierung finden Sie unter Aktivieren des app-übergreifenden einmaligen Anmeldens unter Android mithilfe von MSAL .

In diesem Leitfaden wird davon ausgegangen, dass Sie die Brokerauthentifizierung in Ihren Anwendungen aktivieren, indem Sie die Schritte unter dem obigen Link ausführen, insbesondere Generieren eines Umleitungs-URI für einen Broker und Konfigurieren von MSAL für die Verwendung eines Brokers für die Konfiguration und Überprüfen der Brokerintegration für Tests.

Wenn Sie die Brokerauthentifizierung in Ihrer Anwendung nicht aktivieren, achten Sie besonders auf die Intune-spezifische MSAL-Konfiguration.

Intune-spezifische MSAL-Umgebungskonfiguration

Standardmäßig fordert Intune Token aus der öffentlichen Microsoft Entra-Umgebung an. Wenn Ihre Anwendung eine nicht standardmäßige Umgebung erfordert, z. B. eine Sovereign Cloud, muss der -Einstellung Ihrer Anwendung AndroidManifest.xmldie folgende Einstellung hinzugefügt werden. Wenn festgelegt, stellt die eingegebene Microsoft Entra-Autorität die Token für Ihre Anwendung aus. Dadurch wird sichergestellt, dass die Authentifizierungsrichtlinie von Intune ordnungsgemäß erzwungen wird.

<meta-data
    android:name="com.microsoft.intune.mam.aad.Authority"
    android:value="https://AAD authority/" />

Achtung

Die meisten Apps sollten den Parameter Authority nicht festlegen. Darüber hinaus dürfen Anwendungen, die MSAL nicht integrieren, diese Eigenschaft nicht im Manifest enthalten.

Weitere Informationen zu nicht Intune-spezifischen MSAL-Konfigurationsoptionen finden Sie in der Konfigurationsdatei der Android-Microsoft-Authentifizierungsbibliothek.

Weitere Informationen zu Sovereign Clouds finden Sie unter Verwenden von MSAL in einer nationalen Cloudumgebung.

Exitkriterien

  • Haben Sie MSAL in Ihre Anwendung integriert?
  • Haben Sie die Brokerauthentifizierung aktiviert, indem Sie einen Umleitungs-URI generiert und in der MSAL-Konfigurationsdatei festgelegt haben?
  • Haben Sie die Intune-spezifischen MSAL-Einstellungen in konfiguriert AndroidManifest.xml?
  • Haben Sie die Brokerauthentifizierung getestet, bestätigt, dass dem Konto-Manager von Android ein Geschäftskonto hinzugefügt wird, und haben Sie einmaliges Anmelden mit anderen Microsoft 365-Apps getestet?
  • Wenn Sie den bedingten Zugriff implementiert haben, haben Sie sowohl die gerätebasierte Als auch die appbasierte Zertifizierungsstelle getestet, um Ihre Implementierung der Zertifizierungsstelle zu überprüfen?

Häufig gestellte Fragen

Was ist mit ADAL?

Die vorherige Authentifizierungsbibliothek von Microsoft, die Azure Active Directory-Authentifizierungsbibliothek (ADAL), ist veraltet.

Wenn Ihre Anwendung bereits ADAL integriert hat, finden Sie weitere Informationen unter Aktualisieren Ihrer Anwendungen für die Verwendung der Microsoft-Authentifizierungsbibliothek (MICROSOFT Authentication Library, MSAL). Informationen zum Migrieren Ihrer App von ADAL zu MSAL finden Sie unter Migrieren von Android ADAL zu MSAL und Unterschiede zwischen ADAL und MSAL.

Es wird empfohlen, vor der Integration des Intune App SDK von ADAL zu MSAL zu migrieren.

Nächste Schritte

Nachdem Sie alle oben genannten Exitkriterien erfüllt haben, fahren Sie mit Phase 3: Erste Schritte mit MAM fort.