Android-alkalmazások előkészítése alkalmazásvédelmi szabályzatokhoz az Intune alkalmazásburkoló eszközével
Az Androidhoz készült Microsoft Intune alkalmazásburkoló eszközzel módosíthatja a házon belüli Android-alkalmazások viselkedését az alkalmazás funkcióinak korlátozásával anélkül, hogy módosítaná az alkalmazás kódját.
Az eszköz egy Windows parancssori alkalmazás, amely a PowerShellben fut, és burkolót hoz létre az Android-alkalmazás körül. Az alkalmazás burkolását követően az Intune mobilalkalmazás-kezelési szabályzatainak konfigurálásával módosíthatja az alkalmazás funkcióit.
Az eszköz futtatása előtt tekintse át az alkalmazásburkoló eszköz futtatásával kapcsolatos biztonsági szempontokat. Az eszköz letöltéséhez nyissa meg az Androidhoz készült Microsoft Intune alkalmazásburkoló eszközt a GitHubon.
Megjegyzés:
Ha problémái vannak az Intune alkalmazásburkoló eszköz alkalmazásokkal való használatával kapcsolatban, küldjön segítséget a GitHubon.
Az alkalmazásburkoló eszköz használatának előfeltételeinek teljesítése
Az alkalmazásnak naprakész kódtárakat kell használnia
Az alkalmazásnak kompatibilisnek kell lennie a Google Play követelményeivel
Ha az alkalmazás összetett, integrálnia kell az Androidhoz készült Intune App SDK-val
Az alkalmazásburkoló eszközt Windows 10 vagy újabb rendszerű Windows-számítógépen kell futtatnia.
A bemeneti alkalmazásnak érvényes Android-alkalmazáscsomagnak kell lennie, amelynek fájlkiterjesztése .apk és:
- Nem titkosítható.
- Az Intune alkalmazásburkoló eszköze korábban nem burkolta be.
- Android 9.0-s vagy újabb verzióra kell írni.
Megjegyzés:
Ha a bemeneti alkalmazás androidos alkalmazáscsomag (.aab), az Intune alkalmazásburkoló eszköz használata előtt apK-ra kell konvertálnia. Részletekért lásd: Android-alkalmazáscsomag (AAB) konvertálása APK-ra. 2021 augusztusától az új privát alkalmazások továbbra is közzétehetők a Google Play Áruházban APK-ként.
Az alkalmazást a vagy a vállalatnak kell fejlesztenie. Ez az eszköz nem használható a Google Play Áruházban elérhető alkalmazásokban. Ide tartozik az alkalmazás letöltése vagy beszerzése a Google Play Áruházból.
Az alkalmazásburkoló eszköz futtatásához telepítenie kell a Java Futtatókörnyezet legújabb verzióját, majd győződjön meg arról, hogy a Java elérési út változója C:\ProgramData\Oracle\Java\javapath értékre van állítva a Windows környezeti változóiban. További segítségért tekintse meg a Java dokumentációját.
Megjegyzés:
Bizonyos esetekben a Java 32 bites verziója memóriaproblémákat okozhat. Érdemes telepíteni a 64 bites verziót.
Az Android megköveteli az összes alkalmazáscsomag (.apk) aláírását. A meglévő tanúsítványok újrafelhasználásával és az általános aláíró tanúsítványokkal kapcsolatos útmutatásért lásd: Aláíró tanúsítványok és burkolóalkalmazások újrafelhasználása. Miután becsomagolta a .apk fájlt az Intune alkalmazásburkoló eszközével, javasoljuk, hogy használja a Google által biztosított Apksigner eszközt. Ez biztosítja, hogy amint az alkalmazás eljut a végfelhasználói eszközökhöz, androidos szabványok szerint megfelelően elindítható legyen.
(Nem kötelező) Előfordulhat, hogy egy alkalmazás eléri a Dalvik Végrehajtható fájl (DEX) méretkorlátját a burkolás során hozzáadott Intune MAM SDK-osztályok miatt. A DEX-fájlok az Android-alkalmazások fordításának részét képezik. Az Intune alkalmazásburkoló eszköz automatikusan kezeli a DEX-fájlok túlcsordulását a 21-es vagy újabb MINIMÁLIS API-szinttel rendelkező alkalmazások burkolása során ( az 1.0.2501.1-es verziótól). A minimális 21 API-szinttel < rendelkező alkalmazások esetében az ajánlott eljárás a minimális API-szint növelése a burkoló jelzőjével
-UseMinAPILevelForNativeMultiDex. Ha az ügyfelek nem tudják növelni az alkalmazás minimális API-szintjét, az alábbi DEX-túlcsordulási áthidaló megoldások érhetők el. Bizonyos szervezeteknél ehhez az alkalmazás fordítójával (azaz az alkalmazás buildelési csapatával) kell együttműködni:- A ProGuard használatával kiküszöbölheti a nem használt osztályhivatkozásokat az alkalmazás elsődleges DEX-fájljából.
- Az Android Gradle beépülő modul 3.1.0-s vagy újabb verzióját használó ügyfelek számára tiltsa le a D8 dexert.
Milyen gyakran kell újraírnom az Android-alkalmazást az Intune alkalmazásburkoló eszközével?
Az alkalmazások újraírásának fő forgatókönyvei a következők:
Maga az alkalmazás új verziót adott ki. Az alkalmazás előző verzióját becsomagolták és feltöltötték a Microsoft Intune Felügyeleti központba.
Az Androidhoz készült Intune alkalmazásburkoló eszköz kiadott egy új verziót, amely lehetővé teszi a legfontosabb hibajavításokat, vagy az Intune alkalmazásvédelmi szabályzatának új funkcióit. Ez 6–8 hetente történik az Androidhoz készült Microsoft Intune alkalmazásburkoló eszköz GitHub-adattárán keresztül.
Az újrarajzolás néhány ajánlott eljárása:
- A buildelési folyamat során használt aláíró tanúsítványok karbantartása: Aláíró tanúsítványok és burkolóalkalmazások újrafelhasználása
Az alkalmazásburkoló eszköz telepítése
A GitHub-adattárból töltse le az Androidhoz készült Intune alkalmazásburkoló eszközhöz InstallAWT.exe telepítőfájlt egy Windows-számítógépre. Nyissa meg a telepítőfájlt.
Fogadja el a licencszerződést, majd fejezze be a telepítést.
Jegyezze fel azt a mappát, amelyre az eszközt telepítette. Az alapértelmezett hely a következő: C:\Program Files (x86)\Microsoft Intune Mobile Application Management\Android\App Wrapping Tool.
Az alkalmazásburkoló eszköz futtatása
Fontos
Az Intune rendszeresen kiadja az Intune alkalmazásburkoló eszköz frissítéseit. Rendszeresen ellenőrizze az Androidhoz készült Intune alkalmazásburkoló eszközt a frissítésekért, és foglalja bele a szoftverfejlesztési kiadási ciklusba, hogy az alkalmazások támogatják a legújabb alkalmazásvédelmi szabályzat beállításait.
Nyisson meg egy PowerShell-ablakot azon a Windows-számítógépen, amelyen az alkalmazásburkoló eszközt telepítette.
Importálja az alkalmazásburkoló eszköz PowerShell-modulját abból a mappából, ahová az eszközt telepítette:
Import-Module .\IntuneAppWrappingTool.psm1Futtassa az eszközt az invoke-AppWrappingTool paranccsal, amely a következő használati szintaxissal rendelkezik:
Invoke-AppWrappingTool [-InputPath] <String> [-OutputPath] <String> [<CommonParameters>]Az alábbi táblázat az invoke-AppWrappingTool parancs tulajdonságait részletezi:
| Tulajdonság | Információ |
|---|---|
| -InputPath<Húr> | A forrás Android-alkalmazás elérési útja (.apk). |
| -OutputPath<Húr> | A kimeneti Android-alkalmazás elérési útja. Ha ez ugyanaz a könyvtárelérési út, mint az InputPath, a csomagolás sikertelen lesz. |
| <CommonParameters> | (Nem kötelező) A parancs támogatja az olyan gyakori PowerShell-paramétereket, mint a részletes és a hibakeresés. |
A gyakori paraméterek listáját a Microsoft Script Centerben találja.
Az eszköz részletes használati adatainak megtekintéséhez írja be a következő parancsot:
Help Invoke-AppWrappingTool
Példa:
Importálja a PowerShell-modult.
Import-Module "C:\Program Files (x86)\Microsoft Intune Mobile Application Management\Android\App Wrapping Tool\IntuneAppWrappingTool.psm1"
Futtassa az alkalmazásburkoló eszközt a natív alkalmazás HelloWorld.apk.
invoke-AppWrappingTool -InputPath .\app\HelloWorld.apk -OutputPath .\app_wrapped\HelloWorld_wrapped.apk -Verbose
A rendszer létrehozza és menti a burkolt alkalmazást és a naplófájlt a megadott kimeneti útvonalon.
Aláíró tanúsítványok és burkolóalkalmazások újrafelhasználása
Az Android megköveteli, hogy minden alkalmazást érvényes tanúsítvánnyal kell aláírni ahhoz, hogy telepítve lehessen az Android-eszközökön.
A burkolt alkalmazások a burkolás után aláírhatók a meglévő aláíró eszközökkel (a burkolás előtt az alkalmazásban lévő összes aláírási információ el lesz vetve). Ha lehetséges, a buildelési folyamat során már használt aláírási adatokat kell használni a burkolás során. Bizonyos szervezeteknél ehhez a kulcstáradatok tulajdonosával (azaz az alkalmazás buildelési csapatával) kell együttműködni.
Ha az előző aláíró tanúsítvány nem használható, vagy az alkalmazást még nem telepítették, létrehozhat egy új aláíró tanúsítványt az Android fejlesztői útmutatójának utasításait követve.
Ha az alkalmazást korábban más aláíró tanúsítvánnyal telepítették, az alkalmazás nem tölthető fel az Intune-ba a frissítés után. Az alkalmazásfrissítési forgatókönyvek megszakadnak, ha az alkalmazás más tanúsítvánnyal van aláírva, mint amelyikkel az alkalmazás készült. Ezért minden új aláíró tanúsítványt fenn kell tartani az alkalmazásfrissítésekhez.
Az alkalmazásburkoló eszköz futtatásával kapcsolatos biztonsági szempontok
A lehetséges hamisítás, információfelfedés és jogosultságszint-emelési támadások megelőzése érdekében:
Győződjön meg arról, hogy a bemeneti üzletági (LOB) alkalmazás és a kimeneti alkalmazás ugyanazon a Windows-számítógépen található, amelyen az alkalmazásburkoló eszköz fut.
Importálja a kimeneti alkalmazást az Intune-ba ugyanazon a gépen, amelyen az eszköz fut. A Java-kulcstoolról további információt a keytool című témakörben talál.
Ha a kimeneti alkalmazás és az eszköz egy univerzális elnevezési konvenció (UNC) útvonalon található, és nem ugyanazon a számítógépen futtatja az eszközt és a bemeneti fájlokat, állítsa be a környezetet biztonságossá az Internet Protocol Security (IPsec) vagy a Server Message Block (SMB) aláírásával.
Győződjön meg arról, hogy az alkalmazás megbízható forrásból származik.
Biztonságossá teheti a burkolt alkalmazást tartalmazó kimeneti könyvtárat. Érdemes lehet felhasználói szintű könyvtárat használni a kimenethez.
Android-alkalmazáscsomag (AAB) konvertálása APK-ra
Az Intune alkalmazásburkoló eszköze jelenleg csak az APK-bemeneteket támogatja. Az Android-alkalmazáscsomagokat először APK-vá kell konvertálni az eszközzel való használathoz.
Az Android-alkalmazáscsomagok apk-fájllá alakíthatók a Google parancssori eszközének () használatával. bundletool A legújabb verziója bundle-tool letölthető a Google bundletool GitHub-adattárából.
bundletool egyetlen univerzális APK létrehozásához használható az Intune alkalmazásburkoló eszközzel a következő paranccsal:
bundletool build-apks --bundle=input.aab --mode=universal --output=input.apks
A .apks kimeneti fájl egy zip-archívum, amely egyetlen univerzális APK-fájlt tartalmaz. Csomagolja ki az archívumot, és használja ezt az APK-fájlt az Intune alkalmazásburkoló eszköz bemeneteként.
Lásd még
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: