Megosztás a következőn keresztül:

androidos App SDK Intune – MAM-integráció alapjai

  • Cikk

Az Androidhoz készült Microsoft Intune App SDK lehetővé teszi, hogy Intune alkalmazásvédelmi szabályzatokat (más néven APP- vagy MAM-szabályzatokat) építsen be a natív Java/Kotlin Android-alkalmazásba. A Intune által felügyelt alkalmazás az Intune App SDK-val integrálva van. Intune rendszergazdák egyszerűen telepíthetnek alkalmazásvédelmi szabályzatokat a Intune által felügyelt alkalmazásra, ha Intune aktívan kezeli az alkalmazást.

Megjegyzés:

Ez az útmutató több különböző szakaszra oszlik. Először tekintse át az 1. fázis: Az integráció megtervezése című szakaszt.

4. szakasz: MAM-integrációs Essentials

Szakasz Goals

  • Engedélyezze a MAM szigorú módját.
  • Regisztráljon kritikus értesítésekre az SDK-ból.
  • Implementáljon és regisztráljon egy hitelesítési visszahívást, hogy Microsoft Entra jogkivonatokat biztosítson az MSAL-ből az SDK-ba.
  • Regisztráljon új fiókokat a MAM-felügyelethez az MSAL-hitelesítés után.
  • A vállalati adatok eltávolításához törölje a fiókok regisztrációját a kijelentkezéskor.
  • (Ajánlott) A MAM-naplózás beépítése az alkalmazásba.
  • (Ajánlott) Megtudhatja, hogyan használhatja az SDK diagnosztikai párbeszédpaneljét.

Háttér

Most, hogy letöltötte a Intune App SDK-t, integrálva a buildbe, és sikeresen végrehajtotta az osztály- és metóduscseréket, ideje elvégezni az alapvető kódmódosításokat a MAM által védett fiókok alkalmazásvédelmi szabályzatbeállításainak kikényszerítéséhez.

Ez a szakasz bemutatja, hogyan lehet csatlakozni az SDK naplózásához, hogyan hívhat meg egy diagnosztikai párbeszédpanelt, hogyan engedélyezheti a MAM szigorú módját a lehetséges integrációs hibák azonosításához, hogyan regisztrálhat értesítéseket az SDK-ból, és ami a legfontosabb, hogyan regisztrálhat fiókot Intune MAM-hoz a szabályzat fogadásának megkezdéséhez.

MAM – szigorú mód

A SZIGORÚ MAM-mód képes azonosítani a lehetséges hibákat az alkalmazás Intune App SDK integrációjában. Ezek az integrációs hibák az alkalmazásvédelmi szabályzat megfelelő alkalmazásával és a vállalati adatok védelmének megszüntetésével kapcsolatos hibákhoz vezethetnek. Ennek eredményeképpen a MAM Szigorú mód használata szükséges.

A MAM szigorú módja rendellenességeket keres az alkalmazás MAM API-k és MAM által korlátozott platform API-k használata során. Az Android StrictMode után lazán mintázott MAM Strict Mode előre definiált ellenőrzéseket futtat, amelyek futásidejű hibákat okoznak sikertelenség esetén. A MAM szigorú módja nem engedélyezett az éles buildekben; ehelyett használja az alkalmazás belső fejlesztésében, hibakeresésében és/vagy dogfood buildjeiben.

A SZIGORÚ MAM-mód engedélyezéséhez hívja meg a következő metódust az alkalmazás inicializálásának korai szakaszában (például Application.onCreate: ):

MAMStrictMode.enable();

Ha a MAM szigorú módjának ellenőrzése sikertelen, próbálja meg megállapítani, hogy ez egy valós probléma, amely javítható az alkalmazásban, vagy hamis pozitív eredményt ad. Ha úgy véli, hogy hamis pozitív, vagy nem biztos benne, tudassa a Intune MAM-csapattal. Ez lehetővé teszi számunkra, hogy meggyőződjünk arról, hogy egyetértünk a téves pozitív meghatározással, és megpróbáljuk javítani a jövőbeli kiadások észlelését. A vakriasztások letiltásához tiltsa le a sikertelen ellenőrzést az alábbi utasításokat követve.

Szabálysértések kezelése

Ha egy ellenőrzés sikertelen, egy MAMStrictViolationHandlert futtat. Az alapértelmezett kezelő egy Errorelemet ad vissza, amely várhatóan összeomlik az alkalmazással. Ennek az a célja, hogy a hibákat a lehető legki zajosabbá tegye, és illeszkedjen abba a szándékba, hogy a szigorú mód ne legyen engedélyezve az éles buildekben.

Ha az alkalmazás másképp szeretné kezelni a szabálysértéseket, saját kezelőt adhat meg a következő metódus meghívásával, ahol handler implementálja MAMStrictViolationHandler:

MAMStrictMode.global().setHandler(handler);

Ellenőrzések mellőzése

Ha egy ellenőrzés meghiúsul olyan helyzetben, amikor az alkalmazás nem végez helytelenül, jelentse a fenti módon. Addig is előfordulhat, hogy le kell tiltani a téves pozitív eredményt tapasztaló ellenőrzést, legalábbis a frissített SDK-ra való várakozás közben. A sikertelen ellenőrzés megjelenik az alapértelmezett kezelő által kiváltott hibában, vagy ha be van állítva, a rendszer átadja azt egy egyéni kezelőnek.

Bár a letiltások globálisan is elvégezhetők, a szálonkénti letiltás az adott hívási helyen ajánlott. Az alábbi példák a MAMStrictCheck.IDENTITY_NO_SUCH_FILE letiltásának különböző módjait mutatják be (ez akkor merül fel, ha nem létező fájl védelmére tett kísérletet).

Per-Thread ideiglenes mellőzés

Ez az előnyben részesített mellőzési mechanizmus.

try (StrictScopedDisable disable = MAMStrictMode.thread().disableScoped(MAMStrictCheck.IDENTITY_NO_SUCH_FILE)) {
    // Perform the operation which raised a violation here
}
// The check is no longer disabled once the block exits

állandó letiltás Per-Thread

MAMStrictMode.thread().disable(MAMStrictCheck.IDENTITY_NO_SUCH_FILE);

Globális (folyamatszintű) mellőzés

MAMStrictMode.global().disable(MAMStrictCheck.IDENTITY_NO_SUCH_FILE);

Regisztráció az SDK értesítéseihez

A Intune App SDK számos különböző típusú értesítést ad ki, hogy tájékoztassa az alkalmazásokat az időérzékeny felügyeleti műveletekről. Az alkalmazás regisztrálhat ezekre az értesítésekre, és műveletet hajthat végre az értesítések fogadásakor.

Ha például egy rendszergazda szelektív törlési parancsot ad ki egy eszközhöz, a Intune szolgáltatás értesítést küld az SDK-nak, amelyet a rendszer a következőként WIPE_USER_DATAtovábbít az alkalmazásnak: . Az alkalmazás figyelheti ezt az értesítést, és szabályozhatja, hogy mely adatok törlődnek; vagy támaszkodhat az SDK alapértelmezett törlési viselkedésére.

Számos értesítés nem kötelező. Az alkalmazás által használt SDK-funkcióktól függően előfordulhat, hogy bizonyos értesítésekre van szükség. Az értesítések regisztrálásáról, az SDK által küldött értesítésekről és az adott értesítéstípusok kezeléséről a 7. szakaszban, az Alkalmazás részvételi funkciói című szakaszban talál további információt.

Regisztrálás alkalmazásvédelmi szabályzatra

Amikor a rendszergazdák alkalmazásvédelmi szabályzatokat hoznak létre, ezeket a szabályzatokat a szervezet adott fiókjaira célzzák meg. Az ügyfélen az SDK-nak tudnia kell, hogy melyik fiók használja az alkalmazást, hogy lekérhesse a fiók szabályzatát, és megfelelően kényszeríthesse a beállításokat. Az alkalmazás felelős azért, hogy megadja az SDK-nak ezeket a fiókadatokat. Ezt a folyamatot nevezik regisztrációnak.

Amikor az alkalmazás új fiókot ad hozzá, regisztrálnia kell a fiókot az SDK-val, még akkor is, ha más fiókok már regisztrálva vannak. Az alkalmazás több fiókot is regisztrálhat. Jelenleg azonban csak egy fiók regisztrálható, vagy alkalmazásvédelmi szabályzat van érvényben. Androidon ez az egy felügyelt fiókra vonatkozó korlátozás eszközszintű.

Regisztráció és regisztráció

A regisztráció az a folyamat, amelyben az alkalmazás tájékoztatja az SDK-t, hogy egy új fiók van használatban. Az SDK olyan függvényeket tartalmaz, hogy az alkalmazásnak meg kell hívnia a fiókok regisztrálásához és regisztrációjának törléséhez.

A regisztráció az a folyamat, amelyben az SDK rögzíti a regisztrált fiókot a Intune szolgáltatásban, hogy alkalmazza a fiók szabályzatát. Az alkalmazásnak nem kell függvényeket meghívnia a regisztrációhoz. Az SDK teljes mértékben kezeli a regisztrációt egy fiók regisztrálása után.

Ha az egyik fiók már regisztrálva van az alkalmazáshoz, amikor egy másik fiókot regisztrál, még akkor sem, ha a fiók alkalmazásvédelmi szabályzatokkal van megcélzva, a második fiók nem lesz regisztrálva, és a szabályzat nem lesz alkalmazva.

Megjegyzés:

A "regisztráció" kifejezés az eszközszintű MDM-regisztrációval kapcsolatos további információkra is hivatkozhat az MDM- és MAM-regisztráció függelékében.

Regisztráció megvalósítása

Figyelem!

Ha az alkalmazás nem integrálja az MSAL-t (erősen ajánlott), a szakasz folytatása helyett tekintse meg az alapértelmezett regisztrációt a függelékben .

Az alkalmazásnak három kódmódosítást kell végrehajtania a fiók sikeres regisztrálásához:

  1. Az alkalmazásnak implementálnia és regisztrálnia kell a MAMServiceAuthenticationCallback vagy a MAMServiceAuthenticationCallbackExtended felület egy példányát . A visszahívási példányt regisztrálni kell az onCreate() Alkalmazás alosztály (vagy onMAMCreate()) metódusában.

  2. Amikor létrehoz egy fiókot, és a felhasználó sikeresen bejelentkezik az MSAL-sel, az alkalmazásnak meg kellhívnia a registerAccountForMAM parancsot.

  3. Egy fiók eltávolításakor az alkalmazásnak meg kell hívnia a unregisterAccountForMAM parancsot, hogy eltávolítsa a fiókot Intune felügyeletből.

    Figyelem!

    A hívás törlést kezdeményezhet a fiók vállalati adatainak teljes eltávolításához.

Az összes szükséges hitelesítési és regisztrációs API megtalálható a MAMEnrollmentManager felületén. A hivatkozás a MAMEnrollmentManager következő módon kérhető le:

MAMEnrollmentManager mgr = MAMComponents.get(MAMEnrollmentManager.class);

// make use of mgr

A MAMEnrollmentManager visszaadott példány garantáltan nem null értékű. Az API-metódusok két kategóriába sorolhatók: hitelesítés és fiókregisztráció.

MAMEnrollmentManager és hitelesítés

Az SDK gyakran kommunikál az Intune szolgáltatással: regisztrált fiókok regisztrálásához, az Alkalmazásvédelmi szabályzat beállításainak frissítéséhez, valamint a függőben lévő rendszergazdai műveletek fogadásához, például a védett adatok szelektív törléséhez az alkalmazásban. Az Intune szolgáltatással való sikeres kommunikációhoz az SDK új hozzáférési jogkivonatokat igényel az integrált MSAL-t használó alkalmazásokból.

Ha az SDK nem tud új jogkivonatot lekérni, nem tud kommunikálni a Intune szolgáltatással, ami késleltetheti az új szabályzatbeállítások vagy rendszergazdai műveletek lekérését és érvényesítését. Fontos, hogy az alkalmazás végrehajtsa ezeket a lépéseket a szabályzat zökkenőmentes betartatása érdekében.

A 2. fázisban integrálta az MSAL-t az alkalmazásba hitelesítés és hozzáférési jogkivonatok beszerzése céljából. Itt egy hitelesítési visszahívást implementál, amely lehetővé teszi az SDK számára a szükséges jogkivonatok lekérését.

A MAMEnrollmentManager a következő hitelesítési módszerekkel rendelkezik:

interface MAMServiceAuthenticationCallback {
    String acquireToken(String upn, String aadId, String resourceId);
}
interface MAMServiceAuthenticationCallbackExtended extends MAMServiceAuthenticationCallback {
    String acquireToken(String upn, String aadId, String tenantId, String authority, String resourceId);
}
void registerAuthenticationCallback(MAMServiceAuthenticationCallback callback);
void updateToken(String upn, String aadId, String resourceId, String token);

Megjegyzés:

Az aadId ezekben a metódusokban szereplő paraméter a Microsoft Entra felhasználói azonosítóra, korábbi nevén AAD-azonosítóra, más néven OID-ra hivatkozik.

  1. Az alkalmazásnak implementálnia kell a MAMServiceAuthenticationCallback felületet vagy a MAMServiceAuthenticationCallbackExtended felületet, hogy az SDK Microsoft Entra tokent kérjen az adott fiókhoz és erőforrás-azonosítóhoz. A visszahívási példányt a MAMEnrollmentManagerregisterAuthenticationCallback metódus meghívásával kell megadni a számára. Előfordulhat, hogy az alkalmazás életciklusának korai szakaszában jogkivonatra van szükség a regisztráció újrapróbálkozásához vagy az alkalmazásvédelmi szabályzat frissítésének beadásához, ezért a visszahívást regisztrálni kell az onCreate() alkalmazás Application alosztályának (vagy onMAMCreate()) metódusában.

  2. A acquireToken metódusnak be kell szereznie az adott fiók kért erőforrás-azonosítójának hozzáférési jogkivonatát. Ha nem tudja beszerezni a kért jogkivonatot, null értéket kell visszaadnia.

    Tipp

    Győződjön meg arról, hogy az alkalmazás a resourceId és a aadId paramétert acquireToken() használja a megfelelő jogkivonat beszerzéséhez. A upn paraméter csak tájékoztató jellegű, nem használható fiók azonosítására anélkül, hogy figyelembe venné a paramétert aadId. A-t resourceId kell használni a megfelelő hatókörök létrehozásához, a pedig a aadId megfelelő fiók átadásához. Ha a rendszer nem a megfelelő fiókhoz és/vagy nem megfelelő erőforráshoz ad vissza jogkivonatokat, az késéseket vagy hibákat okozhat az alkalmazás regisztrálásakor és a szabályzatok lekérésében. Ha az alkalmazásnak szüksége van a Microsoft Entra Szolgáltatóra a jogkivonat megfelelő beszerzéséhez, implementálja a MAMServiceAuthenticationCallbackExtended felületet.

    class MAMAuthCallback implements MAMServiceAuthenticationCallbackExtended {
    public String acquireToken(String upn, String aadId,
                String tenantId, String authority, String resourceId) {
        final String[] scopes = {resourceId + "/.default"};

        final IAccount account = getAccount(aadId);
        if (account == null) {
            // Log error or warning here about: "no account found for " + aadId
            return null;
        }

        AcquireTokenSilentParameters params =
            new AcquireTokenSilentParameters.Builder()
                    .forAccount(account)
                    .fromAuthority(account.getAuthority())
                    .withScopes(Arrays.asList(scopes))
                    .withCallback(callback)
                    .build();

        return mMsalClientApplication.acquireTokenSilent(params);
    }

    private static IAccount getAccount(String aadId) throws InterruptedException, MsalException {
      IAccount account = null;

      if (mMsalClientApplication instanceof IMultipleAccountPublicClientApplication) {
          IMultipleAccountPublicClientApplication multiAccountPCA =
                  (IMultipleAccountPublicClientApplication) mMsalClientApplication;

          account = multiAccountPCA.getAccount(aadId);
      } else {
          ISingleAccountPublicClientApplication singleAccountPCA =
                  (ISingleAccountPublicClientApplication) mMsalClientApplication;

          ICurrentAccountResult accountResult = singleAccountPCA.getCurrentAccount();
          if (accountResult != null) {
              account = accountResult.getCurrentAccount();
              // make sure this is the correct user
              if (account != null && !account.getId().equals(aadId))
                  account = null;
          }
      }
      return account;
  }
}

  3. Ha az alkalmazás nem tud jogkivonatot megadni az SDK hívásakor acquireToken() – például ha a csendes hitelesítés sikertelen, és kényelmetlen időpont a felhasználói felület megjelenítésére –, az alkalmazás később az updateToken metódus meghívásával biztosíthat jogkivonatot. Az előző hívás acquireToken() által kért egyszerű felhasználónévnek, Microsoft Entra ID és erőforrás-azonosítónak át kell adni updateToken()a számára, valamint a jogkivonatot, amely végül be lett szerezve. A upn paraméter csak tájékoztató jellegű, és a MAM SDK általában figyelmen kívül hagyja. Az alkalmazásnak a lehető leghamarabb meg kell hívnia ezt a metódust, miután visszaadta a null értéket a megadott visszahívásból.

    Figyelmeztetés

    Ne hívja meg a metódust updateToken() a implementációjából acquireToken(). updateToken() akkor kell használni, ha acquireToken() nem tud jogkivonatot beszerezni.

    Megjegyzés:

    Az SDK rendszeres időközönként hívást acquireToken() indít a jogkivonat lekéréséhez, így a hívás updateToken() nem feltétlenül szükséges. Azonban erősen ajánlott, mivel segíthet a regisztrációk és az alkalmazásvédelmi szabályzatok beadása időben történő befejezésében.

Hitelesítési megvalósítási megjegyzések

  • Az alkalmazásoknak ajánlott Microsoft Entra tokeneket beszerezni a registerAccountForMAMhívása előtt. A fiók regisztrálása után az alkalmazások visszahívást kapnak a regisztrált MAMServiceAuthenticationCallbackacquireToken() metódusra egy másik szálon. Ha érvényes jogkivonatot ad meg a visszahívásban, a regisztráció folytatódhat. Az alkalmazás értesítéssel megkapja a regisztráció eredményét.

  • Ha az alkalmazás nem ad vissza érvényes Microsoft Entra tokent, a regisztrációs kísérlet végső eredménye a leszAUTHORIZATION_NEEDED. Ha az alkalmazás értesítést kap erről az eredményről, javasoljuk, hogy felgyorsítsa a regisztrációs folyamatot a korábban a acquireTokentől kért fiók és erőforrás jogkivonatának beszerzésével, majd hívja meg az updateToken metódust a regisztrációs folyamat újbóli elindításához.

  • Az alkalmazás regisztrálva MAMServiceAuthenticationCallback lesz, hogy jogkivonatot szerezzen be az alkalmazásvédelmi szabályzatok frissítésének rendszeres ellenőrzéséhez. Ha az alkalmazás nem tud jogkivonatot megadni, amikor a rendszer kéri, nem kap értesítést, de meg kell próbálnia beszerezni egy jogkivonatot, és a következő kényelmes időpontban fel kell hívnia updateToken() a hívást a bejelentkezési folyamat felgyorsítása érdekében. Ha nincs megadva token, előfordulhat, hogy a visszahívás a következő bejelentkezési kísérletkor is meghívható.

  • A szuverén felhők támogatásához meg kell adnia a hatóságot.

  • Ha MAMServiceAuthenticationCallbackExtended az illesztő implementálva van, az örökölt acquireToken() metódust MAMServiceAuthenticationCallback nem kell implementálnia, mivel az MAMServiceAuthenticationCallbackExtended interfész alapértelmezett implementációt biztosít.

MAMEnrollmentManager és regisztráció

Amikor az alkalmazás hozzáad egy fiókot, regisztrálnia kell a fiókot az SDK-val. Hasonlóképpen, amikor az alkalmazás eltávolít egy fiókot, törölnie kell a fiók regisztrációját, jelezve, hogy az alkalmazásnak a továbbiakban nem kell alkalmaznia a szabályzatot az adott fiókra. Ha a fiók regisztrálva lett a MAM szolgáltatásban, a fiók regisztrációja megszűnik, és az alkalmazás törlődik.

A MAMEnrollmentManager a következő fiókregisztrációs módszerekkel rendelkezik:

void registerAccountForMAM(String upn, String aadId, String tenantId);
void registerAccountForMAM(String upn, String aadId, String tenantId, String authority);
void unregisterAccountForMAM(String upn, String aadId);
Result getRegisteredAccountStatus(String upn, String aadId);

  1. Ha regisztrálni szeretne egy fiókot a felügyelethez, az alkalmazásnak meg kell hívnia a következőt registerAccountForMAM(): . A fiókokat az UPN és a Microsoft Entra felhasználói azonosítója is azonosítja. A bérlőazonosítóra a regisztrációs adatoknak a fiók Microsoft Entra bérlőjével való társításához is szükség van. A fiók szolgáltatóját is meg lehet adni, hogy lehetővé tegye a regisztrációt adott szuverén felhőkben; további információ: Szuverén felhőregisztráció. Az SDK megpróbálhatja regisztrálni az alkalmazást az adott fiókhoz a MAM szolgáltatásban; ha a regisztráció sikertelen, rendszeres időközönként újrapróbálkozott a regisztrációval, amíg a regisztráció sikeres nem lesz, vagy a fiók regisztrációja megszűnik. Az újrapróbálkozási időszak általában 12–24 óra. Az SDK az értesítéseken keresztül aszinkron módon biztosítja a regisztrációs kísérletek állapotát.

  2. A hívás registerAccountForMAM legjobb ideje az, ha a felhasználó bejelentkezett az alkalmazásba, és sikeresen hitelesítve lett az MSAL használatával. A fiók Microsoft Entra felhasználói azonosítóját, bérlőazonosítóját és szolgáltatóját az MSAL-hitelesítési hívás adja vissza a IAccountIAuthenticationResultkapcsolódó elem részeként.

    • A fiók a IAuthenticationResult.getAccount() metódusból származik, és tartalmazza a vonatkozó fiókadatokat.
    • Az AAD-azonosító (más néven Microsoft Entra ID vagy OID) a IAccount.getId() metódusból származik.
    • A bérlőazonosító a IAccount.getTenantId() metódusból származik.
    • A hatóság a IAccount.getAuthority() metódusból származik.

  3. Ha törölni szeretné egy fiók regisztrációját Intune felügyelet alól, az alkalmazásnak meg kell hívnia a következőtunregisterAccountForMAM(): . Ha a fiók regisztrálása és kezelése sikeres volt, az SDK törli a fiók regisztrációját, és törli az adatait. A fiók rendszeres regisztrációs újrapróbálkozásai leállnak. Az SDK az értesítésen keresztül aszinkron módon biztosítja a regisztráció nélküli kérelmek állapotát.

Regisztrációs megvalósítási megjegyzések

  • A regisztrációs módszerek idempotensek. A registerAccountForMAM például csak akkor regisztrál egy fiókot, és megkísérli regisztrálni az alkalmazást, ha a fiók még nincs regisztrálva, és a unregisterAccountForMAM csak akkor törli a fiók regisztrációját, ha az jelenleg regisztrálva van. A későbbi hívások nem műveletalapúak, így a metódusok többszöri meghívása nem okoz kárt.

  • Nem garantálható, hogy minden regisztráló/regisztráció nélküli hívás rendelkezik megfelelő eredményértesítéssel. Ha például registerAccountForMAM() egy már regisztrált fiókhoz van meghívva, előfordulhat, hogy az értesítés nem lesz újra elküldve az adott identitásra vonatkozóan. Alternatív megoldásként az SDK akkor is küldhet értesítéseket, ha az alkalmazás nem hívta meg ezeket a metódusokat, mivel az SDK rendszeres időközönként megpróbálkozhat a regisztrációkkal a háttérben, és a regisztrációk törlését a Intune szolgáltatástól érkező törlési kérések aktiválhatják.

  • A regisztrációs módszerek tetszőleges számú különböző fiókhoz meghívhatók, de jelenleg csak egy fiók regisztrálható sikeresen. Ha egyszerre több, Intune licenccel rendelkező és alkalmazásvédelmi szabályzattal megcélzott fiókot regisztrálnak, nincs garancia arra, hogy melyik nyeri meg a versenyt.

  • A MAMEnrollmentManager lekérdezésével megállapíthatja, hogy egy adott fiók regisztrálva van-e, és hogy az aktuális állapotát a getRegisteredAccountStatus metódussal kapja-e meg. Ha a megadott fiók nincs regisztrálva, ez a metódus null értéket ad vissza. Ha a fiók regisztrálva van, ez a metódus a fiók állapotát adja vissza a MAMEnrollmentManager.Result enumerálás egyik tagjaként.

Szuverén felhőregisztráció

Az Azure több fizikailag elkülönített felhőt is támogat, más néven szuverén vagy nemzeti felhőket. Ha az alkalmazás szuverén felhőtudatos, meg kell adnia a paramétert a authority számára registerAccountForMAM().

MSAL-útmutató

Az MSAL esetében állítsa az értéket multiple_clouds_supported az MSAL konfigurációs fájljában értékretrue.

{
  "multiple_clouds_supported": true,
}

Regisztrációs eredmény és állapotkódok

Amikor egy fiók először regisztrálva van, az PENDING állapotban kezdődik, ami azt jelzi, hogy a KEZDETI MAM-szolgáltatásregisztrációs kísérlet nem teljes. A regisztrációs kísérlet befejezése után a rendszer értesítést küld az alábbi táblázatban található eredménykódok egyikével. Emellett a getRegisteredAccountStatus metódus visszaadja a fiók állapotát, hogy az alkalmazás mindig megállapíthassa, hogy az adott fiókhoz alkalmazásvédelmi szabályzatok vannak-e kényszerítve. Ha a regisztrációs kísérlet sikertelen, a fiók állapota idővel megváltozhat, amikor az SDK újra megkísérli a regisztrációt a háttérben.

Eredménykód Magyarázat
AUTHORIZATION_NEEDED Ez az eredmény azt jelzi, hogy az alkalmazás regisztrált MAMServiceAuthenticationCallback példánya nem adott meg jogkivonatot, vagy a megadott jogkivonat érvénytelen volt. Az alkalmazásnak érvényes jogkivonatot kell beszereznie, és ha lehetséges, meg kell hívnia az updateToken parancsot.
NOT_LICENSED A fiók nem rendelkezik licenccel Intune, vagy a Intune MAM szolgáltatással való kapcsolatfelvételi kísérlet sikertelen volt. Az alkalmazásnak nem felügyelt (normál) állapotban kell folytatódnia, és a felhasználót nem szabad letiltani. A regisztrációk rendszeres időközönként újrapróbálkoznak, ha a fiók a jövőben licencelhető lesz.
ENROLLMENT_SUCCEEDED A regisztrációs kísérlet sikeres volt, vagy a fiók már regisztrálva van. Sikeres regisztráció esetén az értesítés előtt a rendszer szabályzatfrissítési értesítést küld. Engedélyezni kell a vállalati adatokhoz való hozzáférést.
ENROLLMENT_FAILED A regisztrációs kísérlet sikertelen volt. További részletek az eszköznaplókban találhatók. Az alkalmazásnak ebben az állapotban nem szabad engedélyeznie a hozzáférést a vállalati adatokhoz, mivel korábban megállapították, hogy a fiók Intune rendelkezik licenccel. Minden alkalmazásnak biztosítania kell, hogy a vállalati adatokhoz való hozzáférés jogosulatlan legyen, amíg ENROLLMENT_SUCCEEDED az alkalmazás nem szerzi be.
WRONG_USER Eszközönként csak egy fiók regisztrálhat egy alkalmazást a MAM szolgáltatásban. Ez az eredmény azt jelzi, hogy az a fiók, akinek az eredményt kézbesítették (a második fiók) a MAM-szabályzattal van megcélzva, de már regisztrálva van egy másik fiók. Mivel a MAM-szabályzat nem kényszeríthető ki a második fiókra, az alkalmazásnak nem szabad engedélyeznie a fiók adataihoz való hozzáférést (esetleg a fiók alkalmazásból való eltávolításával), kivéve, ha/amíg a fiók regisztrációja egy későbbi időpontban sikeres nem lesz. Az WRONG_USER eredmény kézbesítésével egyidejűleg a MAM megkéri a meglévő fiók eltávolításának lehetőségét. Ha az emberi felhasználó igennel válaszol, akkor a második fiók regisztrálása is lehetséges lesz rövid idő múlva. Amíg a második fiók regisztrálva marad, a MAM rendszeresen újrapróbálkozott a regisztrációval.
UNENROLLMENT_SUCCEEDED A regisztráció törlése sikeres volt.
UNENROLLMENT_FAILED A regisztráció törlése nem sikerült. További részletek az eszköznaplókban találhatók. Ez általában nem történik meg, amíg az alkalmazás érvényes (sem null, sem üres) UPN-t nem ad át. Az alkalmazásnak nincs közvetlen, megbízható szervizelése. Ha ez az érték egy érvényes egyszerű felhasználónév regisztrációjának törlésekor érkezik, jelentse hibaként a Intune MAM-csapatnak.
PENDING A fiók kezdeti regisztrációs kísérlete folyamatban van. Az alkalmazás letilthatja a vállalati adatokhoz való hozzáférést, amíg a regisztrációs eredmény nem ismert, de erre nincs szükség.
COMPANY_PORTAL_REQUIRED A fiók licencelése Intune, de az alkalmazás csak akkor regisztrálható, ha az Céges portál alkalmazás telepítve van az eszközön. A Intune App SDK megpróbálja letiltani az alkalmazáshoz való hozzáférést az adott fiókhoz, és a felhasználót a Céges portál alkalmazás telepítésére utasítja. Amikor elküldi ezt az értesítést az alkalmazásnak, a Intune App SDK egy nem tiltó felhasználói felületet jelenít meg az aktuális tevékenységen felül, ha a tevékenység jelenleg látható a felhasználó számára, vagy a következő alkalommal onResume lesz meghívva. Ha a felhasználó megszakítja ezt a tiltásmentes felhasználói felületet, a Intune App SDK egy blokkoló felhasználói felületet jelenít meg, amikor onCreate legközelebb meghív egy tevékenységet, és az aktuális identitást kezeli (a hibaelhárítással kapcsolatos részletekért lásd alább).

A naplózást korán kell inicializálni, hogy a legtöbbet hozhassa ki a naplózott adatokból. Application.onMAMCreate() általában a legjobb hely a naplózás inicializálásához.

Ha MAM-naplókat szeretne fogadni az alkalmazásban, hozzon létre egy Java-kezelőt , és adja hozzá a MAMLogHandlerWrapper elemhez. Ez minden naplóüzenethez meghívja publish() az alkalmazáskezelőt.

/**
 * Global log handler that enables fine grained PII filtering within MAM logs.  
 * To start using this you should build your own log handler and add it via
 * MAMComponents.get(MAMLogHandlerWrapper.class).addHandler(myHandler, false);  
 * You may also remove the handler entirely via
 * MAMComponents.get(MAMLogHandlerWrapper.class).removeHandler(myHandler);
 */
public interface MAMLogHandlerWrapper {
    /**
     * Add a handler, PII can be toggled.
     * @param handler handler to add.
     * @param wantsPII if PII is desired in the logs.    
     */
    void addHandler(final Handler handler, final boolean wantsPII);

    /**
     * Remove a handler.
     * @param handler handler to remove.
     */
    void removeHandler(final Handler handler);
}

Megjegyzés:

A PII a "személyazonosításra alkalmas adatok" rövidítése, és tartalmazhat olyan adatokat, mint a felhasználónevek és az egyszerű felhasználónevek. Határozottan javasoljuk, hogy zárja ki ezeket a személyes adatokat a saját termelési naplóiból. További részletekért tekintse meg a Microsoft adatvédelmi szabályzatát .

A Intune Céges portál alkalmazás több lehetőséget is kínál a diagnosztikai információk gyűjtésére. A Céges portál a következő felhasználói felületet tartalmazza:

  • Lehetővé teszi, hogy a végfelhasználók Céges portál naplókat gyűjtsenek.
  • Megjeleníti az eszköz és a fiók metaadatait.
  • Alkalmazásonkénti információkat tartalmaz az aktuális MAM-szabályzatról.

Intune Diagnosztikai felhasználói felület Intune alkalmazásadatok

A Céges portál naplókban és a diagnosztikai felhasználói felületen található adatok részletes magyarázatáért lásd: A függelékben található Céges portál naplók ismertetése.

Tipp

Ha olyan fiókkal tesztel, amelynek MAM-szabályzatot kell alkalmaznia, de a diagnosztika nem jelenít meg szabályzatot az alkalmazás csomagnevére vonatkozóan, tekintse meg az alábbi Hibaelhárítás szakaszt .

Az alkalmazások a meghívásával MAMPolicyManager.showDiagnostics(context)elindíthatják ezt a diagnosztikai felhasználói felületet. A végfelhasználók a címsorba való beírással about:intunehelp a Microsoft Edge-ben is elindíthatják a Céges portál diagnosztikai konzolját. Ez egy nem kötelező funkció, amely segíthet a hibakeresésben.

Ezek a diagnosztikai információk csak akkor érhetők el, ha a Céges portál telepítve van az eszközön. A Céges portál telepítése nélkül minden alkalommal showDiagnostics megjelenik egy figyelmeztető párbeszédpanel.

Kilépési feltételek

Az integráció ezen pontján az alkalmazás mostantól fogadhat és érvényesíthet alkalmazásvédelmi szabályzatot. Az integráció ellenőrzéséhez hajtsa végre az alábbi teszteket.

Első szabályzatalkalmazás tesztelése

Először hajtsa végre a következő tesztet, hogy megismerje a szabályzatalkalmazás teljes végfelhasználói élményét az alkalmazásban:

  1. Androidos alkalmazásvédelmi szabályzat létrehozása a Microsoft Intune Felügyeleti központban (részletekért lásd: Android-alkalmazásvédelmi tesztszabályzat létrehozása az 1. fázisban). Ehhez a teszthez konfigurálja a szabályzatot:
    • Az Adatvédelem területen állítsa a "Képernyőfelvétel és a Google Assistant" beállítást "Letiltás" értékre.
    • A Hozzáférési követelmények területen hagyja meg az alapértelmezett beállításokat. A "PIN-kód a hozzáféréshez" kifejezésnek különösen a "Require" (Kötelező) értéknek kell lennie.
  2. Győződjön meg arról, hogy az alkalmazásvédelmi szabályzat az alkalmazásra irányul. Valószínűleg manuálisan kell hozzáadnia a csomag nevét a házirend-létrehozási varázslóban.
  3. Rendelje hozzá az alkalmazásvédelmi szabályzatot a tesztfiókot tartalmazó felhasználói csoporthoz.
  4. Android-teszteszközön távolítsa el az SDK-val integrált egyéb alkalmazásokat, például a Microsoft Outlookot, a Teamst, a OneDrive-ot és az Office-t. Távolítsa el a Intune Céges portál alkalmazást és a Microsoft Authenticator alkalmazást is.

    • Tipp

      A többi SDK-val integrált alkalmazás eltávolítása segít biztosítani, hogy kizárólag a saját alkalmazás integrációját tesztelje.

  5. Telepítse az alkalmazást.
  6. Jelentkezzen be az alkalmazásba az Alkalmazásvédelmi szabályzattal megcélzott tesztfiókjával.
  7. Ellenőrizze, hogy a rendszer kéri-e a Intune Céges portál telepítését a Google Play áruházból.

    • Megjegyzés:

      Ha a teszteszköz nem rendelkezik a Google Play Áruház alkalmazással, győződjön meg arról, hogy a rendszer arra kéri, hogy telepítse a Intune Céges portál egy másik alkalmazás-áruházból vagy egy Microsoft-webhelyről.

  8. Telepítse a Céges portál. Nem kell elindítania a Céges portál, és nem kell bejelentkeznie a Céges portál.
  9. Térjen vissza az alkalmazáshoz, és szükség esetén jelentkezzen be újra.
  10. Ellenőrizze, hogy a rendszer kéri-e a Hozzáférés kérése képernyőt. Ez azt jelzi, hogy az SDK sikeresen lekérte a fiók szabályzatát.
  11. A rendszer kérni fogja, hogy állítson be egy alkalmazás PIN-kódját. Hozzon létre egy PIN-kódot.
  12. Navigáljon az alkalmazásban, és kíséreljen meg képernyőképeket készíteni. Mivel az SDK rendelkezik szabályzattal, ezt minden képernyőn folyamatosan le kell tiltani.
  13. Naplózza a felügyelt fiókot az alkalmazásból.
  14. Ha lehetséges, bejelentkezés nélkül navigáljon az alkalmazásban, és kíséreljen meg képernyőképeket készíteni. Most, hogy a fiók el lett távolítva, ezt nem szabad letiltani.

Ez egy minimális teszt annak ellenőrzéséhez, hogy az alkalmazás megfelelően regisztrálta-e a fiókot, regisztrálta-e a hitelesítési visszahívást, és megszüntette-e a fiók regisztrációját. Hajtsa végre az alábbi teszteket, hogy alaposabban ellenőrizze, hogyan módosítják az alkalmazás viselkedését más alkalmazásvédelmi házirend-beállítások.

Adatvédelmi tesztek

Az alábbi tesztek az alkalmazásvédelmi szabályzatban konfigurált konkrét adatvédelmi beállításokat fedik le. Ha módosítja az alkalmazásvédelmi szabályzat beállításait a Microsoft Intune Felügyeleti központban, az ügyfél nem frissül azonnal. A tesztelés felgyorsításával kapcsolatos tippekért lásd: Gyors tesztelés a szabályzat módosításával .

Ezekhez a tesztekhez:

  1. Telepítse az alkalmazást.
  2. Telepítse a Intune Céges portál.
  3. Telepítsen egy másik felügyelt alkalmazást, amely ugyanazzal a szabályzattal van megcélzva, mint az alkalmazás, amely adatokat másolhat és illeszthet be (például a Microsoft Office-t).
  4. Telepítse (vagy használja újra) azokat a nem felügyelt alkalmazásokat, amelyek képesek adatokat másolni és beilleszteni.
  5. Jelentkezzen be az alkalmazásba a felügyelt tesztfiókkal.
  6. Jelentkezzen be a másik felügyelt alkalmazásba a felügyelt tesztfiókkal.
Forgatókönyv Alkalmazásvédelmi szabályzat beállítása Tesztelési lépések
Képernyőkép A "Képernyőfelvétel és a Google Assistant" beállítás "Letiltás" értékre van állítva 1. Navigáljon az alkalmazás összes lapjához.
2. Kíséreljen meg képernyőképet készíteni az egyes oldalakon.
3. Győződjön meg arról, hogy a képernyőképek le vannak tiltva, vagy a mentett kép teljesen üres.
Szöveg másolása "Kivágás, másolás és beillesztés korlátozása más alkalmazások között" beállítás értéke "Szabályzattal felügyelt alkalmazások" 0. Ha az alkalmazásnak nincs másolni kívánt szövege, hagyja ki.
1. Navigáljon az alkalmazás összes másolható szövegű lapjához.
2. Szöveg másolása.
3. Váltson a nem felügyelt alkalmazásra.
4. Próbálja meg beilleszteni a nem felügyelt alkalmazást.
5. Ellenőrizze, hogy a beillesztés le van-e tiltva.
6. Navigáljon a másik felügyelt alkalmazáshoz.
7. Próbálja meg beilleszteni a felügyelt alkalmazásba.
8. Ellenőrizze, hogy a beillesztés engedélyezett-e.
Szöveg beillesztése "Kivágás, másolás és beillesztés korlátozása más alkalmazások között" beállítás értéke "Szabályzattal felügyelt alkalmazások" 0. Ha az alkalmazás nem rendelkezik beillesztendő szövegbevitellel, hagyja ki.
1. Váltson a nem felügyelt alkalmazásra.
2. Szöveg másolása a nem felügyelt alkalmazásból.
3. Navigáljon az alkalmazás összes olyan lapjához, amely szövegbevitelt tartalmaz.
5. Próbálja meg beilleszteni a nem felügyelt alkalmazásból.
5. Ellenőrizze, hogy a beillesztés le van-e tiltva.
6. Váltson a másik felügyelt alkalmazásra.
7. Másolja a szöveget a másik felügyelt alkalmazásból.
7. Navigáljon az alkalmazás összes olyan lapjához, amely szövegbevitelt tartalmaz.
8. Próbálja meg beilleszteni a másik felügyelt alkalmazásból.
9. Ellenőrizze, hogy a beillesztés engedélyezett-e.
Nyomtatás A "Szervezeti adatok nyomtatása" beállítás "Letiltás" értékre van állítva 0. Ha az alkalmazás nem tartalmaz nyomtatható oldalakat vagy dokumentumokat, hagyja ki.
1. Navigáljon az alkalmazás összes olyan lapjára, amely meghívja az Android nyomtatási funkcióját.
2. Próbáljon meg minden oldalról nyomtatni.
3. Ellenőrizze, hogy a nyomtatás le van-e tiltva.
Felügyelt böngésző "Webes tartalom átvitelének korlátozása más alkalmazásokkal" beállítás értéke "Microsoft Edge" 0. Ha az alkalmazás nem renderel webhivatkozásokat, hagyja ki.
1. Navigáljon az alkalmazás összes olyan lapjához, amely képes webhivatkozásokat megjeleníteni, vagy olyan szöveges bevitelt tartalmaz, amely kattintható weblinkekké jelenik meg.
2. Minden lapon válassza a webhivatkozást.
3. Ellenőrizze, hogy a rendszer kéri-e a Microsoft Edge telepítését, és a webhivatkozás nem nyílik meg egy másik böngészőben.
Korlátozott billentyűzet A "Jóváhagyott billentyűzetek" beállítás értéke "Kötelező"
A "Jóváhagyandó billentyűzetek kiválasztása" beállítás csak egy olyan billentyűzetcsomagra van állítva, amely jelenleg nincs telepítve az eszközön		 0. Ha az alkalmazás nem rendelkezik szövegbevitellel, hagyja ki.
1. Navigáljon az alkalmazás összes olyan lapjához, amely szövegbevitelt tartalmaz.
2. Válassza ki a szövegbevitelt az eszköz billentyűzetének megjelenítéséhez.
3. Ellenőrizze, hogy a rendszer kéri-e a konfigurált jóváhagyott billentyűzet telepítését, és az eszköz aktuális billentyűzete nem nyílik meg.

Adatátviteli tesztek

Az adatátviteli beállítások az Alkalmazásvédelmi szabályzat adatvédelmi funkcióinak egy részét képezik, amelyek a felügyelt alkalmazásokba való belépést és az onnan való kilépést szabályozzák. A legtöbb olyan alkalmazás, amely támogatja az adatok más alkalmazásokba való küldését vagy más alkalmazásokból való fogadását , az adatok helyi vagy felhőbeli tárolóból történő mentésére és megnyitására is képesek. Ha az alkalmazás rendelkezik ezekkel a képességekkel, további támogatást kell implementálnia. További részletekért lásd: Szabályzat az alkalmazások és az eszközök vagy a felhőbeli tárolóhelyek közötti adatátvitel korlátozásához .

Az alkalmazás aktívan importálhat adatokat más alkalmazásokból, például a Microsoft Outlookból, amely egy fájlt csatol a Microsoft OneDrive-ról. Előfordulhat, hogy az alkalmazás passzívan fogad adatokat más alkalmazásokból, például a Microsoft Office-ból, amely megnyit egy dokumentumot egy Microsoft Outlook-mellékletből. Az "adatok fogadása más alkalmazásokból" szabályzatbeállítás mindkét forgatókönyvre vonatkozik.

Ezekhez a tesztekhez:

  1. Telepítse az alkalmazást.
  2. Telepítse a Intune Céges portál.
  3. Telepítsen egy másik felügyelt alkalmazást, amely ugyanazzal a szabályzattal van megcélzva, mint az alkalmazás, amely képes adatokat küldeni és fogadni (például a Microsoft Outlookot).
  4. Telepítse (vagy használja újra) a nem felügyelt alkalmazásokat, amelyek képesek adatokat küldeni és fogadni.
  5. Jelentkezzen be az alkalmazásba a felügyelt tesztfiókkal.
  6. Jelentkezzen be a másik felügyelt alkalmazásba a felügyelt tesztfiókkal.
Forgatókönyv Alkalmazásvédelmi szabályzat beállítása Tesztelési lépések
Adatok küldése más alkalmazásoknak "Szervezeti adatok küldése más alkalmazásoknak" beállítás értéke "Szabályzattal felügyelt alkalmazások" 0. Ha az alkalmazás nem tud adatokat küldeni más alkalmazásoknak, hagyja ki.
1. Navigáljon arra a helyre, ahová az alkalmazás adatokat küldhet.
2. Kísérlet az adatok küldésére.
3. Győződjön meg arról, hogy csak más felügyelt alkalmazásoknak szeretne adatokat küldeni. Csak felügyelt alkalmazásokat tartalmazó alkalmazásválasztónak kell megjelennie.
Adatok importálása más alkalmazásokból "Adatok fogadása más alkalmazásokból" beállítás "Szabályzattal felügyelt alkalmazások" értékre állítva 0. Ha az alkalmazás nem tud adatokat importálni más alkalmazásokból, hagyja ki.
1. Navigáljon arra a helyre, ahol az alkalmazás adatokat importálhat más alkalmazásokból.
2. Próbálja meg importálni az adatokat.
3. Győződjön meg arról, hogy csak más felügyelt alkalmazásokból importál adatokat. Csak felügyelt alkalmazásokat tartalmazó alkalmazásválasztónak kell megjelennie.
Adatok fogadása nem felügyelt alkalmazásból "Adatok fogadása más alkalmazásokból" beállítás "Szabályzattal felügyelt alkalmazások" értékre állítva 0. Ha az alkalmazás nem tud adatokat fogadni más alkalmazásoktól, hagyja ki.
1. Váltson a nem felügyelt alkalmazásra.
2. Navigáljon arra a helyre, ahová adatokat küldhet.
3. Próbáljon meg adatokat küldeni a nem felügyelt alkalmazásból az alkalmazásnak.
4. Győződjön meg arról, hogy az alkalmazás nem tud adatokat fogadni a nem felügyelt alkalmazástól.
Adatok fogadása felügyelt alkalmazásból "Adatok fogadása más alkalmazásokból" beállítás "Szabályzattal felügyelt alkalmazások" értékre állítva 0. Ha az alkalmazás nem tud adatokat fogadni más alkalmazásoktól, hagyja ki.
1. Váltson a másik felügyelt alkalmazásra.
2. Navigáljon arra a helyre, ahová adatokat küldhet.
3. Próbáljon meg adatokat küldeni a másik felügyelt alkalmazásból az alkalmazásnak.
4. Ellenőrizze, hogy az alkalmazás képes-e adatokat fogadni a másik felügyelt alkalmazástól.

Egyéb adatvédelmi beállítások

A következő adatvédelmi beállítások nem lesznek kényszerítve, amíg az alkalmazás nem hajt végre további módosításokat. Ezeket a beállításokat jelenleg nem kell tesztelnie. További részletekért lásd : 7. szakasz: Alkalmazás részvételi funkciói .

Forgatókönyv Alkalmazásvédelmi szabályzat beállítása Támogatást kell megvalósítani, ha...
Adatok másolatainak mentése Szervezeti adatok másolatainak mentése Az alkalmazás adatokat menthet helyi vagy felhőbeli tárhelyre.
Adatok megnyitása a tárolóból Adatok megnyitása szervezeti dokumentumokba Az alkalmazás megnyithat adatokat helyi vagy felhőbeli tárolóból.
Felügyelt értesítés tartalma Szervezeti adatértesítések Az alkalmazás felhasználói adatokat tartalmaz az értesítéseken belül.
Biztonsági mentés és visszaállítás Szervezeti adatok biztonsági mentése Android biztonsági mentési szolgáltatásokba Az alkalmazás megosztja a felhasználói adatokat az Android biztonsági mentési funkciójával.

Feltételes indítási tesztek

A feltételes indítási beállítások az alkalmazásvédelmi szabályzat funkcióinak olyan részhalmazai, amelyek konfigurálható eszközszintű vagy alkalmazásspecifikus feltételek alapján korlátozzák az alkalmazáshoz való hozzáférést. Ezek a beállítások tartalmazzák a feltételeket (például a "minimális operációsrendszer-verziót") és a műveleteket (például "hozzáférés letiltása"). A feltételes indítási műveletek a következők lehetnek:

  • Figyelmeztetés: a végfelhasználó figyelmeztetést jelenít meg, ha az eszköz vagy alkalmazás nem felel meg a feltételeknek. Továbbra is hozzáférhetnek az összes alkalmazásadathoz.
  • Hozzáférés letiltása: a végfelhasználó figyelmeztetést jelenít meg, ha az eszköz vagy az alkalmazás nem felel meg a feltételeknek. Nem adhatják meg az alkalmazást, és nem férhetnek hozzá az alkalmazás adataihoz, amíg meg nem felelnek a feltételeknek, vagy el nem távolítják a felügyelt fiókot az alkalmazásból.
  • Adatok törlése: a felügyelt fiókhoz társított összes vállalati adat törlődik, ha az eszköz vagy alkalmazás nem felel meg a feltételeknek. A felhasználónak nem lesz lehetősége teljesíteni a feltételeket az adatok eltávolítása előtt.

Néhány feltételes indítási beállítás több értékkel és művelettel is konfigurálható. Például:

  • Az operációs rendszer minimális verziója, a "10.0" érték, a művelet "Figyelmeztetés" értékre van állítva.
  • Az operációs rendszer minimális verziója, a "9.0" érték, a művelet a "Hozzáférés letiltása" értékre van állítva
  • Az operációs rendszer minimális verziója, a "8.0" érték, a művelet "Adatok törlése" értékre van állítva.

Az ebben a szakaszban ismertetett integrációs lépések végrehajtásával az alkalmazás mostantól támogatja az összes feltételes indítási funkciót. Ismerkedjen meg a feltételes indítás funkciójával a szabályzatelemek módosításával, például a teszteszközével:

  • Átadja az összes konfigurált feltételes indítási beállítást.
  • A "Figyelmeztetés" műveletre beállított konfigurált feltételes indítási beállítás meghiúsul.
  • A "Hozzáférés letiltása" műveletre beállított konfigurált feltételes indítási beállítás meghiúsul.
  • Az "Adatok törlése" műveletre beállított feltételes indítási beállítás meghiúsul.

Hibaelhárítás

Első szabályzatalkalmazás-teszt hibaelhárítása

A fenti első szabályzatalkalmazás-teszt lépéseit követve a következő váratlan viselkedések léphetnek fel:

Miután bejelentkeztem egy felügyelt fiókkal, a rendszer nem kéri a Céges portál telepítését (7. lépés)

Először látogasson el a Intune Felügyeleti központba, és ellenőrizze, hogy az alkalmazásvédelmi szabályzat a tesztfiókra van-e megcélzva.

Másodszor ellenőrizze a forráskódban, hogy van-e hívása registerAccountForMAM és implementálása.MAMServiceAuthenticationCallback Ha az előbbi nem a megfelelő időben lett meghívva, és/vagy az utóbbi nem adott meg megfelelően érvényes jogkivonatot, nem jelenik meg a Céges portál kérdés.

Végül keresse meg a naplókban (vagy hibakereséssel) a regisztrációs eredmény kódját, vagy hívja meg explicit módon getRegisteredAccountStatus a fiókot. Az NOT_LICENSED-hez hasonló kódok jelezhetik a tesztfiókkal kapcsolatos konfigurációs problémákat.

Bejelentkezés után nem láttam a Hozzáférés kérése képernyőt (10. lépés)

Ha a Céges portál korábban nem volt telepítve, előfordulhat, hogy újra kell indítania vagy teljesen újra kell indítania az alkalmazást a Hozzáférés kérése képernyő megjelenítéséhez, és a szabályzat megfelelő kényszerítéséhez. Ez egy várt eredmény attól függően, hogy az SDK-val integrált alkalmazások hogyan használják ki a kódot az Céges portál alkalmazásban.

Ha továbbra sem látja a Hozzáférés kérése képernyőt, az alkalmazás újraindítása és ismételt bejelentkezés után is előfordulhat, hogy az SDK nem tudja regisztrálni a fiókot, vagy lekéri a fiók szabályzatát. Ellenőrizze a forráskód implementációját a MAMServiceAuthenticationCallbackkövetkezőben: .

Bejelentkezés után nem láttam az alkalmazás PIN-kódjának beállítására vagy megadására vonatkozó képernyőt (11. lépés)

Vannak más SDK-val integrált alkalmazások a teszteszközön? Az alkalmazás PIN-kódja meg van osztva az összes felügyelt alkalmazás között, és az SDK rendelkezik egy globális időzítővel, amely megakadályozza, hogy a végfelhasználók minden felügyelt alkalmazás indításakor vagy folytatásakor pin-kódot kérjenek.

Ellenkező esetben látogasson el a Intune Felügyeleti központba, és ellenőrizze, hogy az alkalmazásvédelmi szabályzatban engedélyezve van-e az alkalmazás PIN-kódja, és a tesztfiókra van-e megcélzva.

Végső megoldásként az eszköz újraindítása alaphelyzetbe állítja a PIN-kód időzítőt. Ha az eszköz újraindítása után nem jelenik meg a PIN-kód képernyő, akkor valószínűleg nincs megfelelően konfigurálva a szabályzatban.

Láttam a Hozzáférés kérése képernyőt, de a képernyőképek továbbra is engedélyezettek (12. lépés)

A szabályzat lekérése közben a rendszer nem a megfelelő szabályzatot alkalmazza. Először látogasson el a Intune Felügyeleti központba, és ellenőrizze, hogy az alkalmazásvédelmi szabályzat letiltja-e a képernyőképeket, és a tesztfiókra vonatkozik-e. Másodszor használja a diagnosztikai konzolt (a fent leírt módon) az alkalmazáshoz lekért szabályzat ellenőrzéséhez. Ha mindkét szabályzat megerősíti, hogy a képernyőképeket le kell tiltani, ellenőrizze a Gradle build beépülő modul konfigurációját, és győződjön meg arról, hogy a MAM-csere folyamatban van.

Az alkalmazásom a kijelentkezés után összeomlott vagy bezárult (13. lépés)

Amikor törli egy korábban regisztrált és a szabályzat kikényszerítésével rendelkező fiók regisztrációját, az SDK törli a fiókhoz társított adatokat. Az alkalmazásfolyamat leállása várható.

A képernyőképek a kijelentkezés után is le vannak tiltva (14. lépés)

Ellenőrizze a forráskódban a következőre unregisterAccountForMAM()irányuló hívásokat: . Ha a szabályzat a kijelentkezés után is érvényben van, akkor valószínű, hogy a fiók regisztrációja nem lett megfelelően regisztrálva és nem lett regisztrálva.

Adatvédelmi teszt hibaelhárítása

A fenti adatvédelmi tesztek lépéseit követve a következő váratlan viselkedések léphetnek fel:

Az alkalmazásom nem fogad és nem kényszerít szabályzatokat

Először győződjön meg arról, hogy az alkalmazásvédelmi szabályzat a tesztfiókot tartalmazó csoportra van célozva. További részletekért lásd: Az alkalmazásvédelmi szabályzat beállításának ellenőrzése a Microsoft Intune-ben.

Másodszor ellenőrizze az ügyfél diagnosztikai adatait , és ellenőrizze, hogy az SDK megkapta-e a konfigurált szabályzatot. Ha még nem tette meg, vizsgálja meg az alkalmazás implementációjátMAMServiceAuthenticationCallback, és hívja meg a-t.registerAccountForMAM Ellenőrizze a naplókat vagy a hibakeresést is a MAMEnrollmentManager.Resultellenőrzéséhez.

Az alkalmazásom megoszthat adatokat egy nem felügyelt alkalmazással

Győződjön meg arról, hogy a "Szervezeti adatok küldése más alkalmazásoknak" beállítás értéke "Szabályzattal felügyelt alkalmazások". Ellenőrizze a Microsoft Intune Felügyeleti központban, hogy a szabályzat megfelelően van-e konfigurálva és megcélzva. Ellenőrizze az ügyfél diagnosztikai adatait , és ellenőrizze, hogy az SDK megkapta-e a konfigurált szabályzatot.

Ezután, ha a szabályzat megfelelően van konfigurálva és lekérve, ellenőrizze, hogy vannak-e kikényszerített szabályzatok: Az alkalmazásom nem fogad és nem kényszerít szabályzatokat.

Az alkalmazásom nem tud adatokat megosztani egy másik felügyelt alkalmazással

Ellenőrizze az alkalmazásra és a másik felügyelt alkalmazásra vonatkozó alkalmazásvédelmi szabályzat beállításait. Javasoljuk, hogy mindkét alkalmazást ugyanazzal a szabályzattal célozza meg. Az alkalmazást célzó szabályzatnak a "Szervezeti adatok küldése más alkalmazásokba" beállításnak "Szabályzattal felügyelt alkalmazásoknak" kell lennie. Ellenőrizze a másik alkalmazást célzó szabályzatot; Ha az "Adatok fogadása más alkalmazásokból" beállítás értéke "Nincs", ez a viselkedés várható.

Az alkalmazásom fogadhat adatokat egy nem felügyelt alkalmazásból

Győződjön meg arról, hogy az "Adatok fogadása más alkalmazásokból" beállítás értéke "Szabályzattal felügyelt alkalmazások". Ellenőrizze a Microsoft Intune Felügyeleti központban, hogy a szabályzat megfelelően van-e konfigurálva és megcélzva. Ellenőrizze az ügyfél diagnosztikai adatait , és ellenőrizze, hogy az SDK megkapta-e a konfigurált szabályzatot.

Ezután, ha a szabályzat megfelelően van konfigurálva és lekérve, ellenőrizze, hogy vannak-e kikényszerített szabályzatok: Az alkalmazásom nem fogad és nem kényszerít szabályzatokat.

Az alkalmazásom nem tud adatokat fogadni egy másik felügyelt alkalmazásból

Ellenőrizze az alkalmazásra és a másik felügyelt alkalmazásra vonatkozó alkalmazásvédelmi szabályzat beállításait. Javasoljuk, hogy mindkét alkalmazást ugyanazzal a szabályzattal célozza meg. Az alkalmazást célzó szabályzatnak "Adatok fogadása más alkalmazásokból" beállítással kell rendelkeznie a "Szabályzattal felügyelt alkalmazások" beállítással. Ellenőrizze a másik alkalmazást célzó szabályzatot; Ha a "Szervezeti adatok küldése más alkalmazásokba" beállítás értéke "Nincs", ez a viselkedés várható.

Következő lépések

Miután teljesítette a fenti kilépési feltételeket , az alkalmazás sikeresen integrálva lesz egy identitásként, és az összes alapvető alkalmazásvédelmi szabályzatot érvényesítheti. A következő szakaszok, 5. fázis: Multi-Identity, 6. fázis: App Configuration és 7. fázis: Az alkalmazás részvételi funkcióira szükség lehet az alkalmazás kívánt alkalmazásvédelmi szabályzatának támogatásától függően. Ha nem biztos abban, hogy ezek a szakaszok érvényesek-e az alkalmazásra, tekintse meg újra az SDK-integrációval kapcsolatos legfontosabb döntéseket.