Partager via

Sdk d’application Intune pour Android - Comprendre la configuration requise msAL

  • Article

Le SDK d’application Microsoft Intune pour Android vous permet d’incorporer des stratégies de protection des applications Intune (également appelées stratégies APP ou GAM) dans votre application Android Java/Kotlin native. Une application gérée par Intune est une application intégrée au SDK d’application Intune. Les administrateurs Intune peuvent facilement déployer des stratégies de protection des applications sur votre application gérée par Intune quand Intune gère activement l’application.

Remarque

Ce guide est divisé en plusieurs étapes distinctes. Commencez par passer en revue l’étape 1 : Planifier l’intégration.

Étape 2 : Prérequis MSAL

Objectifs de la phase

  • Inscrivez votre application avec l’ID Microsoft Entra.
  • Intégrez MSAL à votre application Android.
  • Vérifiez que votre application peut obtenir un jeton qui accorde l’accès aux ressources protégées.

Contexte

La bibliothèque d’authentification Microsoft (MSAL) donne à votre application la possibilité d’utiliser Microsoft Cloud en prenant en charge l’ID Microsoft Entra et les comptes Microsoft.

MSAL n’est pas spécifique à Intune. Intune a une dépendance sur l’ID Microsoft Entra ; tous les comptes d’utilisateur Intune sont des comptes Microsoft Entra. Par conséquent, la grande majorité des applications Android qui intègrent le SDK d’application Intune devront intégrer MSAL comme condition préalable.

Cette étape du guide du KIT de développement logiciel (SDK) présente le processus d’intégration MSAL en ce qui concerne Intune . suivez les guides MSAL liés dans leur intégralité.

Pour simplifier le processus d’intégration du SDK d’application Intune, les développeurs d’applications Android sont fortement encouragés à intégrer et tester entièrement MSAL avant de télécharger le SDK d’application Intune. Le processus d’intégration du SDK d’application Intune nécessite des modifications du code concernant l’acquisition de jeton MSAL. Il sera plus facile de tester les modifications d’acquisition de jeton spécifiques à Intune si vous avez déjà confirmé que l’implémentation d’acquisition de jeton d’origine de votre application fonctionne comme prévu.

Pour en savoir plus sur l’ID Microsoft Entra, consultez Qu’est-ce que l’ID Microsoft Entra ?

Pour en savoir plus sur MSAL, consultez le Wiki MSAL et la liste des bibliothèques MSAL.

Inscrire votre application avec l’ID Microsoft Entra

Avant d’intégrer MSAL à votre application Android, toutes les applications doivent s’inscrire auprès de la plateforme d’identités Microsoft. Suivez les étapes décrites dans Démarrage rapide : Inscrire une application dans la plateforme d’identités Microsoft - Plateforme d’identités Microsoft. Cela génère un ID client pour votre application.

Ensuite, suivez les instructions pour accorder à votre application l’accès au service De gestion des applications mobiles Intune.

Configurer la bibliothèque d’authentification Microsoft (MSAL)

Tout d’abord, lisez les instructions d’intégration MSAL trouvées dans le dépôt MSAL sur GitHub, en particulier la section utilisant MSAL.

Ce guide explique comment :

  • Ajoutez MSAL en tant que dépendance à votre application Android.
  • Créez un fichier de configuration MSAL.
  • Configurez le de AndroidManifest.xmlvotre application.
  • Ajoutez du code pour acquérir un jeton.

Authentification répartie

L’authentification unique (SSO) permet aux utilisateurs d’entrer leurs informations d’identification une seule fois et de les faire fonctionner automatiquement dans les applications. MSAL peut activer l’authentification unique dans votre suite d’applications . à l’aide d’une application broker (Microsoft Authenticator ou Portail d’entreprise Microsoft Intune), vous pouvez étendre l’authentification unique sur l’ensemble de l’appareil. L’authentification répartie est également requise pour l’accès conditionnel. Pour plus d’informations sur l’authentification répartie, consultez Activer l’authentification unique inter-applications sur Android à l’aide de MSAL .

Ce guide part du principe que vous activez l’authentification répartie au sein de vos applications en suivant les étapes décrites dans le lien ci-dessus, en particulier Générer un URI de redirection pour un répartiteur et Configurer MSAL pour utiliser un répartiteur pour la configuration et Vérifier l’intégration du répartiteur à des fins de test.

Si vous n’activez pas l’authentification répartie dans votre application, portez une attention particulière à la configuration MSAL spécifique à Intune.

Configuration de l’environnement MSAL spécifique à Intune

Par défaut, Intune demande des jetons à partir de l’environnement public Microsoft Entra. Si votre application nécessite un environnement autre que celui par défaut, tel qu’un cloud souverain, le paramètre suivant doit être ajouté au de AndroidManifest.xmlvotre application. Lorsqu’elle est définie, l’autorité Microsoft Entra entrée émet les jetons pour votre application. Cela garantit que la stratégie d’authentification d’Intune est correctement appliquée.

<meta-data
    android:name="com.microsoft.intune.mam.aad.Authority"
    android:value="https://AAD authority/" />

Attention

La plupart des applications ne doivent pas définir le paramètre Authority. En outre, les applications qui n’intègrent pas MSAL ne doivent pas inclure cette propriété dans le manifeste.

Pour plus d’informations sur les options de configuration MSAL non spécifiques à Intune, consultez Fichier de configuration de la bibliothèque d’authentification Microsoft Android.

Pour plus d’informations sur les clouds souverains, consultez Utiliser MSAL dans un environnement cloud national.

Critères de sortie

  • Avez-vous intégré MSAL à votre application ?
  • Avez-vous activé l’authentification broker en générant un URI de redirection et en le définissant dans le fichier de configuration MSAL ?
  • Avez-vous configuré les paramètres MSAL spécifiques à Intune dans ?AndroidManifest.xml
  • Avez-vous testé l’authentification répartie, confirmé qu’un compte professionnel est ajouté au gestionnaire de compte Android et testé l’authentification unique avec d’autres applications Microsoft 365 ?
  • Si vous avez implémenté l’accès conditionnel, avez-vous testé à la fois l’autorité de certification basée sur l’appareil et l’autorité de certification basée sur les applications pour valider votre implémentation de l’autorité de certification ?

FAQ

Qu’en est-il de la bibliothèque ADAL ?

La bibliothèque d’authentification précédente de Microsoft, Azure Active Directory Authentication Library (ADAL), est déconseillée.

Si votre application a déjà intégré ADAL, consultez Mettre à jour vos applications pour utiliser la bibliothèque d’authentification Microsoft (MSAL). Pour migrer votre application d’ADAL vers MSAL, consultez Migrer Android ADAL vers MSAL et Différences entre ADAL et MSAL.

Il est recommandé de migrer d’ADAL vers MSAL avant d’intégrer le SDK d’application Intune.

Étapes suivantes

Une fois que vous avez terminé tous les critères de sortie ci-dessus, passez à l’étape 3 : Prise en main de GAM.