androidos App SDK Intune – Alkalmazás részvételi funkciói

Az Androidhoz készült Microsoft Intune App SDK lehetővé teszi, hogy Intune alkalmazásvédelmi szabályzatokat (más néven MAM-szabályzatokat) építsen be a natív Java-/Kotlin Android-alkalmazásba. A Intune által felügyelt alkalmazások integrálhatók a Intune App SDK-val. Intune rendszergazdák egyszerűen telepíthetnek alkalmazásvédelmi szabályzatokat a Intune által felügyelt alkalmazásra, ha Intune aktívan kezeli az alkalmazást.

Megjegyzés:

Ez az útmutató több különböző szakaszra oszlik. Először tekintse át az Integráció megtervezése című témakört.

7. szakasz: Alkalmazás részvételi funkciói

Szakaszcélok

• Ismerje meg a Intune App SDK által kínált alkalmazás-részvételi funkciókat.
• Az alkalmazás és a felhasználók számára releváns alkalmazás-részvételi funkciók integrálása.
• Tesztelje ezeknek a funkcióknak az integrációját.

Mik azok az "alkalmazás-részvételi funkciók"?

Ez az SDK-integrációs folyamat megpróbálja minimalizálni a fejlesztők által megírandó alkalmazásspecifikus kód mennyiségét. Az SDK-integráció korábbi szakaszainak sikeres végrehajtásával az alkalmazás most már kikényszeríti a legtöbb alkalmazásvédelmi szabályzatbeállítást, például a fájltitkosítást, a másolási/beillesztési korlátozásokat, a képernyőképek blokkolását és az adatátviteli korlátozásokat.

Egyes beállításokhoz azonban alkalmazásspecifikus kódra van szükség a megfelelő kényszerítéséhez; ezeket a beállításokat alkalmazás-részvételi funkcióknak nevezzük. Az SDK általában nem rendelkezik elegendő kontextussal az alkalmazás kódjáról vagy a végfelhasználói forgatókönyvről a beállítások automatikus kikényszerítéséhez, ezért a fejlesztőkre támaszkodik az SDK API-k megfelelő meghívásához.

Az alkalmazás részvételi funkciói nem feltétlenül választhatók. Az alkalmazás meglévő funkcióitól függően szükség lehet ezekre a funkciókra. Részletekért lásd : Az SDK-integrációval kapcsolatos legfontosabb döntések .

Az útmutató korábbi szakaszai már számos alkalmazás-részvételi funkciót ismertetnek:

• Többszörös identitás az 5. szakasz: Többszörös identitás című szakaszban leírtak szerint.
• Alkalmazáskonfiguráció a 6. fázisban: App Configuration.

Az útmutató további része az alkalmazás részvételi funkcióinak fennmaradó készletét ismerteti:

• Kényszerítse ki a fájlok helyi vagy felhőbeli tárhelyre való mentését vagy megnyitását korlátozó szabályzatot.
• Szabályzat kényszerítése az értesítések tartalmának korlátozására.
• A biztonsági mentési adatok védelmére vonatkozó szabályzat kényszerítése.
• A képernyőfelvételt korlátozó szabályzat kényszerítése (ha az alkalmazás egyéni képernyőfelvételi kóddal rendelkezik).
• Alkalmazásvédelmi hitelesítésszolgáltató támogatása.
• Regisztráljon az SDK értesítéseire.
• Egyéni alkalmazás-témakör alkalmazása.
• Használjon megbízható tanúsítványokat a Intune- és a helyszíni végpontok közötti megbízhatósági lánc biztosításához.

Az alkalmazás részvételi funkciójával kapcsolatos alapvető tudnivalók

Az AppPolicy felület számos metódust tartalmaz, amelyek tájékoztatják az alkalmazást arról, hogy bizonyos műveletek engedélyezettek-e.

A legtöbb alkalmazás-részvételi funkció a következőket foglalja magában:

• A megfelelő hely azonosítása az alkalmazás kódjában annak ellenőrzéséhez, hogy egy művelet engedélyezve van-e.
• Metódus meghívása AppPolicy annak ellenőrzéséhez, hogy egy művelet engedélyezve van-e az aktuálisan konfigurált szabályzat alapján.
• Az eredménytől függően engedélyezheti a művelet befejezését, vagy módosíthatja az alkalmazás viselkedését, amikor a művelet le van tiltva.

Egy AppPolicy példány lekéréséhez használja a MAMPolicyManager metódusok egyikét, például getPolicy(final Context context) a vagy getPolicyForIdentityOID(final String oid)a metódust.

Tájékoztató módszerek az AppPolicy-ban

Nem minden metódus AppPolicy kapcsolódik egy alkalmazás részvételi funkcióhoz. Egyes módszerek tájékoztató jellegűek, és megadják az alkalmazásnak, hogy mely szabályzatok vannak jelenleg konfigurálva, még akkor is, ha az SDK automatikusan kikényszeríti ezeket a szabályzatokat. Ezek a módszerek lehetővé teszik, hogy az alkalmazás egyéni felhasználói élményeket jelenítsen meg adott szabályzatok konfigurálásakor.

Példa: Annak megállapítása, hogy a képernyőképek le vannak-e tiltva

Ha az alkalmazás rendelkezik olyan vezérlővel, amely lehetővé teszi a felhasználó számára a képernyőképek készítését, fontolja meg a vezérlő letiltását vagy elrejtését, ha az alkalmazásvédelmi szabályzat letiltja a képernyőképeket.

Az alkalmazás a hívásával MAMPolicyManager.getPolicy(currentActivity).getIsScreenCaptureAllowed()ellenőrizheti a következőt: .

Az alkalmazások és az eszközök vagy a felhőbeli tárolóhelyek közötti adatátvitel korlátozására vonatkozó szabályzat

Számos alkalmazás lehetővé teszi, hogy a végfelhasználó adatokat mentsen vagy nyisson meg a helyi fájltárolási vagy felhőalapú tárolási szolgáltatásokból. A Intune App SDK lehetővé teszi a rendszergazdák számára, hogy védelmet nyújtsanak a bejövő adatokkal és az adatszivárgással szemben azáltal, hogy korlátozzák, hogy az alkalmazások hová menthetik az adatokat, és honnan nyithatnak meg adatokat.

Megjegyzés:

Ha az alkalmazás lehetővé teszi a személyes vagy felhőbeli helyekre való mentést közvetlenül az alkalmazásból, vagy lehetővé teszi az adatok közvetlenül az alkalmazásba való megnyitását, akkor implementálnia kell ezt a Intune App SDK alkalmazás részvételi funkcióját** annak érdekében, hogy a rendszergazdák letilthassák ezt a mentést és megnyitást.

Mentés eszközre vagy felhőtárhelyre

Az getIsSaveToLocationAllowedForOID API a konfigurált szabályzat alapján tudatja az alkalmazással, hogy engedélyezett-e a mentés bizonyos helyekre egy adott identitáshoz:

MAMPolicyManager.getPolicy(currentActivity).getIsSaveToLocationAllowedForOID(
SaveLocation service, String oid);

Annak megállapításához, hogy az alkalmazásnak végre kell-e hajtania az getIsSaveToLocationAllowedForOID ellenőrzést, az alábbi táblázat áttekintésével állapítsa meg, hogy az alkalmazás támogatja-e az adatforgalomból való kilépést:

service Paraméter: SaveLocation Számérték	Használati eset	Társított objektumazonosító
ONEDRIVE	Az alkalmazás adatokat ment a OneDrive-ra.	Egy felhőszolgáltatás-hitelesítéshez és Microsoft Entra hitelesítéshez használt fiók objektumazonosítója. Ha ez a fiók nem létezik, vagy az objektumazonosító nem ismert, használja a következőt null: .
SHAREPOINT	Az alkalmazás adatokat ment a SharePointba.	Egy felhőszolgáltatás-hitelesítéshez és Microsoft Entra hitelesítéshez használt fiók objektumazonosítója. Ha ez a fiók nem létezik, vagy az objektumazonosító nem ismert, használja a következőt null: .
BOX	Az alkalmazás adatokat ment a Boxba.	Egy felhőszolgáltatás-hitelesítéshez és Microsoft Entra hitelesítéshez használt fiók objektumazonosítója. Ha ez a fiók nem létezik, vagy az objektumazonosító nem ismert, használja a következőt null: .
LOCAL	Az alkalmazás olyan külső tárolóhelyre menti az adatokat az eszközön, amely nem az alkalmazás privát tárolója.	Ez a tárolási hely nem minősül felhőszolgáltatásnak, és mindig OID-paraméterrel null kell használni.
PHOTO_LIBRARY	Az alkalmazás az androidos helyi fényképtárolóba menti az adatokat.	A helyi fényképtárolás nem minősül felhőszolgáltatásnak, és mindig OID-paraméterrel null kell használni.
IMANAGE	Az alkalmazás adatokat ment az iManage-be.	Egy felhőszolgáltatás-hitelesítéshez és Microsoft Entra hitelesítéshez használt fiók objektumazonosítója. Ha ez a fiók nem létezik, vagy az objektumazonosító nem ismert, használja a következőt null: .
EGNYTE	Az alkalmazás adatokat ment az Egnyte-be.	Egy felhőszolgáltatás-hitelesítéshez és Microsoft Entra hitelesítéshez használt fiók objektumazonosítója. Ha ez a fiók nem létezik, vagy az objektumazonosító nem ismert, használja a következőt null: .
ACCOUNT_DOCUMENT	Az alkalmazás az alkalmazáson belüli fiókhoz társított helyre menti az adatokat, és nem tartozik a táblázatban szereplő konkrét felhőbeli helyek közé. Ezen a helyen állapíthatja meg, hogy az adatok átadhatók-e a fiókok között egy több identitást használó alkalmazáson belül.	Egy Microsoft Entra hitelesítéshez használt fiók objektumazonosítója. Ha ez a fiók nem létezik, vagy az objektumazonosító nem ismert, használja a következőt null: .
OTHER	Az alkalmazás olyan helyre menti az adatokat, amely nem szerepel a táblázatban, és nem felel meg a feltételeknek.ACCOUNT_DOCUMENT	A oid nincs kiértékelve ehhez a helyhez, és a következőnek kell lennie null: .

Files az alkalmazás működéséhez szükséges vagy ideiglenesen a megjelenítéshez ideiglenesen letöltött privát alkalmazástárolóba helyezett alkalmazások mindig engedélyezve vannak; nincs szükség az ellenőrzéséregetIsSaveToLocationAllowedForOID. Ellenőrizze a következőt SaveLocation.LOCAL :

1. Files privát alkalmazástárolón kívül mentve.
2. Files olyan privát alkalmazástárolóba töltődik le, amely nem szükséges az alkalmazás működéséhez (például amikor a felhasználó kifejezetten az eszközre való letöltést választja).

Megjegyzés:

A mentési szabályzat ellenőrzésekor annak a fióknak az objektumazonosítójának kell lennie, oid amely a mentett felhőszolgáltatáshoz van társítva (ez a fiók nem feltétlenül ugyanaz, mint a mentett dokumentum tulajdonosa).

Adatok megnyitása helyi vagy felhőalapú tárolási helyről

Az getIsOpenFromLocationAllowedForOID API a konfigurált szabályzat alapján tudatja az alkalmazással, hogy engedélyezve van-e bizonyos helyekről való megnyitás egy adott identitáshoz:

MAMPolicyManager.getPolicy(currentActivity).getIsOpenFromLocationAllowedForOID(
OpenLocation location, String oid);

Annak megállapításához, hogy az alkalmazásnak végre kell-e hajtania az getIsOpenFromLocationAllowedForOID ellenőrzést, az alábbi táblázat áttekintésével állapítsa meg, hogy az alkalmazás támogatja-e a bejövő adatforgalom használatát:

location Paraméter: OpenLocation Számérték	Használati eset	Társított objektumazonosító
ONEDRIVE_FOR_BUSINESS	Az alkalmazás adatokat nyit meg a OneDrive-ról.	Egy felhőszolgáltatás-hitelesítéshez és Microsoft Entra hitelesítéshez használt fiók objektumazonosítója. Ha ez a fiók nem létezik, vagy az objektumazonosító nem ismert, használja a következőt null: .
SHAREPOINT	Az alkalmazás adatokat nyit meg a SharePointból.	Egy felhőszolgáltatás-hitelesítéshez és Microsoft Entra hitelesítéshez használt fiók objektumazonosítója. Ha ez a fiók nem létezik, vagy az objektumazonosító nem ismert, használja a következőt null: .
CAMERA	Az alkalmazás adatokat nyit meg az eszköz kamerájáról.	Érték null , mert az eszköz kamerája nem felhőszolgáltatás.
LOCAL	Az alkalmazás olyan külső tárolóhelyről nyitja meg az adatokat az eszközön, amely nem az alkalmazás privát tárolója.	Bár a külső tároló nem felhőszolgáltatás, a oid paraméter azért várható, mert tulajdonjogot jelez. * Identitáscímkézett fájlok esetén:oid A fájltulajdonos identitásának kell lennie. * Identitáscímke nélküli fájlok esetén:oid A-nek kell lennie null.
LOCAL	Az alkalmazás olyan külső tárolóhelyről nyitja meg az adatokat az eszközön, amely nem az alkalmazás privát tárolója.	Bár a külső tároló nem felhőszolgáltatás, a oid paraméter azért várható, mert tulajdonjogot jelez. * Identitáscímkézett fájlok esetén:oid A fájltulajdonos identitásának kell lennie. * Identitáscímke nélküli fájlok esetén:oid A-nek kell lennie null.
PHOTO_LIBRARY	Az alkalmazás adatokat nyit meg az Android helyi fényképtárolójából.	A helyi fényképtárolás nem minősül felhőszolgáltatásnak, és mindig OID-paraméterrel null kell használni.
ACCOUNT_DOCUMENT	Az alkalmazás az alkalmazáson belüli fiókhoz társított helyről nyitja meg az adatokat, és nem tartozik a táblázatban szereplő konkrét felhőbeli helyek közé. Ezen a helyen állapíthatja meg, hogy az adatok átadhatók-e a fiókok között egy több identitást használó alkalmazáson belül.	Egy Microsoft Entra hitelesítéshez használt fiók objektumazonosítója. Ha ez a fiók nem létezik, vagy az objektumazonosító nem ismert, használja a következőt null: .
OTHER	Az alkalmazás olyan helyről nyitja meg az adatokat, amely nem szerepel a táblázatban, és nem felel meg a feltételeknek.ACCOUNT_DOCUMENT	A oid nincs kiértékelve ehhez a helyhez, és a következőnek kell lennie null: .

Megjegyzés:

A megnyitási szabályzat ellenőrzésekor annak a fióknak az objektumazonosítójának kell lennie, oid amely ahhoz a fájlhoz vagy felhőszolgáltatáshoz van társítva, amelyből meg van nyitva (nem feltétlenül ugyanaz, mint a dokumentumot megnyitó fiók).

Tipp

A kényelem érdekében az SDK biztosítja azt a metódust AppPolicy.isOpenFromLocalStorageAllowed , amely egy File helyi tárolóban lévő fájl paraméterét veszi fel. Szabályzatkényszerítés esetén ez a metódus funkcionálisan megegyezik a hívással AppPolicy.getIsOpenFromLocationAllowedForOID(OpenLocation.LOCAL, oid) , kivéve, ha kezeli a fájl tulajdonosának elemzését oid a Filefájlból.

Megosztás letiltva párbeszédpanel

Az SDK egy párbeszédpanelt biztosít, amely értesíti a felhasználót, ha a MAM-szabályzat letilt egy adatátviteli műveletet.

A párbeszédpanelnek mindig meg kell jelennie a felhasználó számára, amikor a vagy getIsOpenFromLocationAllowedForOID API-hívás getIsSaveToLocationAllowedForOID a mentési/megnyitási művelet letiltását eredményezi. A párbeszédpanel egy általános üzenetet jelenít meg, és visszaáll a hívásra, amikor a rendszer Activity bezárja.

A párbeszédpanel megjelenítéséhez adja hozzá a következő kódot:

MAMUIHelper.showSharingBlockedDialog(currentActivity)

Fájlmegosztás engedélyezése

Ha a nyilvános tárolóhelyekre való mentés nem engedélyezett, az alkalmazásnak továbbra is engedélyeznie kell a fájlok megtekintését, ha letölti őket az alkalmazás privát tárolójához , majd megnyitja őket a rendszerválasztóval.

Szabályzat az értesítéseken belüli tartalom korlátozásához

Az egy identitással ellátott alkalmazások esetében az Intune App SDK alapértelmezett viselkedése minden értesítést blokkolni próbál, ha az Alkalmazásvédelmi szabályzat korlátozza az értesítéseket.

Az SDK alapértelmezett viselkedése korlátozott. Az SDK nem tudja automatikusan figyelembe venni a "Szervezeti adatok blokkolása" értéket, amelynek célja, hogy csak a felügyelt tartalmakat távolítsa el az értesítésekből. A több identitással rendelkező alkalmazások esetében az SDK nem tudja meghatározni, hogy mely értesítések tartalmaznak felügyelt tartalmat.

Ha az alkalmazás értesítéseket jelenít meg, és vagy többszörös identitású, és/vagy figyelembe kell vennie a "Szervezeti adatok letiltása" értéket, az értesítés megjelenítése előtt ellenőriznie kell az értesítéshez társított fiók értesítéskorlátozási szabályzatát.

Annak megállapításához, hogy a szabályzat kényszerítve van-e, hajtsa végre a következő hívást:

NotificationRestriction notificationRestriction =
    MAMPolicyManager.getPolicyForIdentityOID(notificationIdentityOid).getNotificationRestriction();

A visszaadott NotificationRestriction enumerálás a következő értékeket tartalmazza:

NotificationRestriction Enum	Az alkalmazás várt viselkedése
BLOCKED	Az alkalmazásnak nem szabad értesítéseket megjelenítenie a szabályzathoz társított fiókról. Az egyszeres identitású alkalmazások esetében a Intune App SDK automatikusan letiltja az összes értesítést, és nincs szükség további kódra.
BLOCK_ORG_DATA	Az alkalmazásnak olyan módosított értesítést kell megjelenítenie, amely nem tartalmaz szervezeti adatokat.
UNRESTRICTED	Az alkalmazásnak minden értesítést meg kell jelenítenie.

Ha az alkalmazás nem hívja meg getNotificationRestrictionmegfelelően a parancsot, a MAM SDK mindent megtesz annak érdekében, hogy csak az egy identitással rendelkező alkalmazások értesítéseit korlátozza automatikusan.

Ebben az esetben a ugyanúgy lesz kezelve, BLOCK_ORG_DATA mint BLOCKED , és az értesítés egyáltalán nem jelenik meg.

A részletesebb szabályozás érdekében ellenőrizze az alkalmazásértesítések getNotificationRestriction értékét, és módosítsa megfelelően.

Biztonsági mentési adatok védelmére vonatkozó szabályzat

A Intune App SDK letilthatja az adatok feltöltését az Android beépített biztonsági mentési és visszaállítási funkciójára. Az Android biztonsági mentésével és visszaállításával kapcsolatos további információkért tekintse meg az Android API útmutatóját és az Android S / 12-ben bevezetett módosításokat a Biztonsági mentés és visszaállítás módosítása című témakörben.

Alkalmazások automatikus biztonsági mentése

Az Android M-től kezdve az Android automatikusan teljes biztonsági mentéseket biztosít a Google Drive-ra az alkalmazásokhoz, függetlenül az alkalmazás cél API-tól.

Intune lehetővé teszi az Android által biztosított összes automatikus biztonsági mentési funkció használatát, beleértve az egyéni szabályok XML-ben való definiálásának lehetőségét, valamint adott Intune integrációs útmutatót az adatvédelem alkalmazásának biztosításához.

A biztonsági mentés viselkedésének konfigurálása az alkalmazás jegyzékfájljában

A alapértelmezés szerint android:allowBackuptrue (igaz ) értékre van állítva a biztonsági mentés engedélyezésével és letiltásával kapcsolatos cikkben leírtak szerint.

Ha az alkalmazásnak nincs szüksége teljes biztonsági mentési és visszaállítási funkciókra, állítsa false (hamis) értékreandroid:allowBackup. Ebben az esetben nincs szükség további beavatkozásra, és a vállalati adatok az alkalmazásban maradnak.

Ha az alkalmazás teljes biztonsági mentési és visszaállítási funkciót igényel, állítsa true android:allowBackup ( igaz ) értékre, és hajtsa végre a következő lépéseket:

1. Ha az alkalmazás nem használja a saját egyéni BackupAgentelemét, az alapértelmezett MAMBackupAgent használatával engedélyezze az automatikus teljes biztonsági mentéseket, amelyek Intune szabályzatnak megfelelnek. Helyezze a következőket az alkalmazásjegyzékbe:

   <application
   ...
     android:fullBackupOnly="true"
     android:backupAgent="com.microsoft.intune.mam.client.app.backup.MAMDefaultBackupAgent"
     ...>
     </application>
   

2. Választható. Egyéni BackupAgentimplementálásához a MAMBackupAgent vagy a MAMBackupAgentHelper értéket kell használnia. Lásd az alábbi szakaszokat. Érdemes lehet átváltani Intune MAMDefaultBackupAgent elemére, amelyet az 1. lépés ír le, amely egyszerű biztonsági mentést biztosít Az Android M és újabb rendszereken.

3. Amikor eldönti, hogy az alkalmazás milyen típusú teljes biztonsági mentést kapjon (szűretlen, szűrt vagy nincs), állítsa az attribútumot android:fullBackupContent , falsevagy xml-erőforrásra trueaz alkalmazásban.

4. Ezután át kell másolnia a értékét android:fullBackupContent a com.microsoft.intune.mam.FullBackupContent metaadatcímkébe, és az API 31-ben hozzáadott XML-konfigurációs formátumot támogató alkalmazások esetében a com.microsoft.intune.mam.DataExtractionRules metaadatcímkébe.

   • 1. példa: Ha azt szeretné, hogy az alkalmazás kivétel nélkül készítsen teljes biztonsági mentést, az attribútumokat és a metaadatcímkéket true (igaz) értékre kell állítania:

     <application
       ...
       android:fullBackupContent="true"
       ...>
     </application>
     ...
     <meta-data android:name="com.microsoft.intune.mam.FullBackupContent" android:value="true" />
     <meta-data android:name="com.microsoft.intune.mam.DataExtractionRules" android:value="true" />
     

   • 2. példa: Ha azt szeretné, hogy az alkalmazás az egyénijét BackupAgent használja, és ne használja a teljes, Intune szabályzatnak megfelelő, automatikus biztonsági mentéseket, az attribútumokat és a metaadatcímkéket false (hamis) értékre kell állítania:

     <application
       ...
       android:fullBackupContent="false"
       ...>
     </application>
     ...
     <meta-data android:name="com.microsoft.intune.mam.FullBackupContent" android:value="false" />
     <meta-data android:name="com.microsoft.intune.mam.DataExtractionRules" android:value="false" />
     

   • 3. példa: Ha azt szeretné, hogy az alkalmazás teljes biztonsági másolatokkal rendelkezzen az XML-fájlban meghatározott egyéni szabályoknak megfelelően, állítsa az attribútumot és a metaadatcímkét ugyanarra az XML-erőforrásra:

     <application
       ...
       android:fullBackupContent="@xml/my_full_backup_content_scheme"
       android:dataExtractionRules="@xml/my_data_extraction_rules_scheme"
       ...>
     </application>
     ...
     <meta-data android:name="com.microsoft.intune.mam.FullBackupContent" android:resource="@xml/my_full_backup_content_scheme" />
     <meta-data android:name="com.microsoft.intune.mam.DataExtractionRules" android:resource="@xml/my_data_extraction_rules_scheme" />
     

Kulcs/érték biztonsági mentése

A Kulcs/érték biztonsági mentés lehetőség minden 8- vagy újabb API számára elérhető, és feltölti az alkalmazásadatokat az Android Backup Service-be. Az alkalmazásonkénti adatmennyiség legfeljebb 5 MB lehet. Kulcs/érték biztonsági mentés használata esetén backupAgentHelpert vagy BackupAgentet kell használnia.

BackupAgentHelper

A BackupAgentHelper könnyebben implementálható, mint a BackupAgent natív Android-funkciók és Intune MAM-integráció szempontjából. A BackupAgentHelper lehetővé teszi, hogy a fejlesztő teljes fájlokat és megosztott beállításokat regisztráljon egy FileBackupHelper és SharedPreferencesBackupHelper (vagy) fiókban, amelyeket aztán a létrehozáskor hozzáad a BackupAgentHelperhez. A BackupAgentHelper és a Intune MAM használatához kövesse az alábbi lépéseket:

1. Ha több identitású biztonsági mentést szeretne használni egy BackupAgentHelperparanccsal, kövesse a BackupAgentHelper kiterjesztését ismertető Android-útmutatót.

2. Az osztály bővítse ki a BackupAgentHelper, a FileBackupHelper és a SharedPreferencesBackupHelper MAM-megfelelőt.

Android-osztály	MAM-megfelelő
BackupAgentHelper	MAMBackupAgentHelper
FileBackupHelper	MAMFileBackupHelper
SharedPreferencesBackupHelper	MAMSharedPreferencesBackupHelper

Ezeknek az irányelveknek a követésével sikeres több identitásos biztonsági mentést és visszaállítást hajthat végre.

BackupAgent

A BackupAgent segítségével sokkal pontosabban meghatározhatja, hogy mely adatokról készül biztonsági másolat. Mivel a megvalósításért a fejlesztő a felelős, további lépésekre van szükség az Intune elleni megfelelő adatvédelem biztosításához. Mivel a munka nagy része Önön, mint fejlesztőn van, Intune integráció valamivel nagyobb szerepet játszik.

A MAM integrálása:

1. Figyelmesen olvassa el a Kulcs/érték biztonsági mentés androidos útmutatóját, és különösen a BackupAgent kiterjesztését annak érdekében, hogy a BackupAgent implementációja kövesse az Android irányelveit.

2. Az osztály bővítse ki a MAMBackupAgent elemet.

Többszörös identitás biztonsági mentése:

1. A biztonsági mentés megkezdése előtt ellenőrizze, hogy a rendszergazda engedélyezi-e a biztonsági mentésre tervezett fájlokat vagy adatpuffereket több identitással kapcsolatos forgatókönyvekben. Ennek a viselkedésnek a meghatározásához használja isBackupAllowed a MAMFileProtectionManager és a MAMDataProtectionManager függvényt. Ha a fájlról vagy az adatpufferről nem lehet biztonsági másolatot készíteni, akkor ne vegye fel a biztonsági mentésbe.

2. Ha a biztonsági mentés során biztonsági másolatot szeretne készíteni az 1. lépésben megadott fájlok identitásáról, azokat a fájlokat kell meghívnia backupMAMFileIdentity(BackupDataOutput data, File … files) , amelyekből adatokat szeretne kinyerni. Ez a metódus automatikusan létrehoz új biztonsági mentési entitásokat, és beírja őket a BackupDataOutput fájlba. Ezeket az entitásokat a rendszer automatikusan felhasználja a visszaállításkor.

Többszörös identitás visszaállítása: Az adatmentési útmutató egy általános algoritmust határoz meg az alkalmazás adatainak visszaállításához, és egy kódmintát biztosít a BackupAgent kiterjesztése szakaszban. A sikeres többszörös identitás-visszaállítás végrehajtásához a kódmintában szereplő általános struktúrát kell követnie, különös figyelmet fordítva a következő pontokra:

1. A biztonsági mentési entitások végighaladásához * hurkot while(data.readNextHeader())kell használnia.

2. Ha nem egyezik meg a fájlban megadott kulccsal, akkor hívja data.skipEntityData()data.getKey() meg a következőtonBackup: . E lépés nélkül előfordulhat, hogy a visszaállítások nem lesznek sikeresek.

3. Kerülje a visszatérést a biztonsági mentési entitások * szerkezetben while(data.readNextHeader())való felhasználása során, mert ebben az esetben az automatikusan írt entitások elvesznek.

• Ahol data a MAMBackupDataInput helyi változójának neve, amelyet az alkalmazás a visszaállításkor kap.

Egyéni képernyőrögzítési korlátozások

Ha az alkalmazás olyan egyéni képernyőrögzítési funkciót tartalmaz, amely megkerüli az Android -level FLAG_SECURE korlátozásátWindow, akkor a funkcióhoz való teljes hozzáférés engedélyezése előtt ellenőriznie kell a képernyőfelvételi szabályzatot. Ha például az alkalmazás egyéni renderelő motort használ az aktuális nézet PNG-fájlba való megjelenítéséhez, először ellenőriznie kell a következőt AppPolicy.getIsScreenCaptureAllowed(): .

Megjegyzés:

Ha az alkalmazás nem tartalmaz egyéni vagy nem a Microsoft által készített képernyőfelvételi funkciókat, a képernyőfelvételek korlátozásához nincs szükség beavatkozásra. A képernyőfelvételi szabályzat automatikusan érvénybe lép az Window összes MAM-integrált alkalmazás szintjén. Az operációs rendszer vagy egy másik alkalmazás által az alkalmazásban való rögzítésre Window tett kísérletek szükség szerint le lesznek tiltva. Ha például egy felhasználó az Android beépített képernyőképén vagy képernyőfelvételi funkcióin keresztül kísérli meg rögzíteni az alkalmazás képernyőjét, a rögzítés automatikusan korlátozva lesz az alkalmazás részvétele nélkül.

Alkalmazásvédelmi hitelesítésszolgáltató támogatása

Az App Protection CA (feltételes hozzáférés), más néven alkalmazásalapú hitelesítésszolgáltató, korlátozza az erőforrásokhoz való hozzáférést. Intune alkalmazásvédelmi szabályzatoknak kezelniük kell az alkalmazást ahhoz, hogy hozzáférhessenek ezekhez az erőforrásokhoz. Microsoft Entra ID úgy kényszeríti ezt a szabályzatot, hogy megköveteli, hogy az alkalmazás regisztráljon Intune alkalmazásvédelmi szabályzatokkal, mielőtt jogkivonatot ad egy feltételes hozzáféréssel védett erőforráshoz való hozzáféréshez.

Megjegyzés:

Az App Protection hitelesítésszolgáltató támogatásához a Microsoft Authentication Library (MSAL) 1.0.0-s vagy újabb verziója szükséges.

Meg nem felelési hibák kezelése az MSAL-sel

Amikor az alkalmazás jogkivonatot szerez be egy fiókhoz, előfordulhat, hogy az MSAL-kódtár egy MsalIntuneAppProtectionPolicyRequiredException értéket ad vissza vagy ad vissza, hogy jelezze az alkalmazásvédelmi szabályzatok kezelésével kapcsolatos meg nem felelési műveletet. A kivételből további paramétereket is kinyerhet a megfelelőség szervizelése érdekében (lásd: MAMComplianceManager). A szervizelés sikeres végrehajtása után az alkalmazás újra megkísérelheti a jogkivonat beszerzését az MSAL-ben.

MAMComplianceManager

A MAMComplianceManager felületet akkor használja a rendszer, ha a szabályzathoz szükséges hiba az MSAL-től érkezik. Tartalmazza a [remediateCompliance] metódust, amelyet meg kell hívnia, hogy megkísérlje megfelelő állapotba helyezni az alkalmazást. A hivatkozás a MAMComplianceManager következő módon szerezhető be:

MAMComplianceManager mgr = MAMComponents.get(MAMComplianceManager.class);

// make use of mgr

A MAMComplianceManager visszaadott példány garantáltan nem lesz null.

package com.microsoft.intune.mam.policy;

public interface MAMComplianceManager {
    void remediateCompliance(String upn, String aadId, String tenantId, String authority, boolean showUX);
}

A remediateCompliance() metódus megpróbálja felügyelet alá helyezni az alkalmazást, hogy megfeleljen a kért jogkivonat megadásához Microsoft Entra ID feltételeinek. Az első négy paraméter az MSAL-metódus AuthenticationCallback.onError() által kapott kivételből nyerhető ki. Az utolsó paraméter egy logikai érték, amely azt szabályozza, hogy megjelenik-e felhasználói élmény a megfelelőségi kísérlet során.

remediateCompliance egy egyszerű blokkolási folyamatjelző párbeszédpanelt jelenít meg, hogy az alkalmazásoknak ne kelljen testreszabott szolgáltatásokat megjelenítenie a művelet során. Ez a párbeszédpanel csak akkor jelenik meg, ha a megfelelőségi szervizelés folyamatban van. Nem jeleníti meg a végeredményt. Az alkalmazás regisztrálhat egy fogadót az COMPLIANCE_STATUS értesítéshez a megfelelőségi javítási kísérlet sikeres vagy sikertelen kezelése érdekében. További részletekért lásd: Megfelelőségi állapotértesítések .

remediateCompliance() mam-regisztrációt kezdeményezhet a megfelelőség megállapításának részeként. Előfordulhat, hogy az alkalmazás regisztrációs értesítést kap, ha regisztrált egy értesítés-fogadót a regisztrációs értesítésekhez. Az alkalmazás regisztrált MAMServiceAuthenticationCallback metódusa acquireToken() meghívva van a regisztráció jogkivonatának lekéréséhez. acquireToken() a meghívódik, mielőtt az alkalmazás saját jogkivonatot szerez be. Előfordulhat, hogy az alkalmazás által a sikeres jogkivonat-beszerzést követően végzett könyvelési vagy fióklétrehozási feladatokat még nem hajtották végre. Ebben az esetben a visszahívásnak képesnek kell lennie jogkivonat beszerzésére.

Ha nem tud jogkivonatot visszaadni a következőből acquireToken(): , a megfelelőségi javítási kísérlet sikertelen lesz.

Ha később egy érvényes jogkivonattal hívja meg updateToken a kért erőforrást, a megfelelőségi szervizelés azonnal folytatódik a megadott jogkivonattal.

Megjegyzés:

A csendes jogkivonatok beszerzése továbbra is lehetséges acquireToken() , mert a felhasználó már a kivétel bekövetkezése előtt MsalIntuneAppProtectionPolicyRequiredException a közvetítő telepítésére és az eszköz regisztrálására lett irányítva. Ez a folyamat azt eredményezi, hogy a közvetítőnek érvényes frissítési jogkivonata van a gyorsítótárában, ami lehetővé teszi, hogy a közvetítő csendesen beszerezze a kért jogkivonatot.

Íme egy minta, amely megkapja a szabályzathoz szükséges hibát a AuthenticationCallback.onError() metódusban, és meghívja a MAMComplianceManagert a hiba kezelésére.

public void onError(@Nullable MsalException exc) {
    if (exc instanceof MsalIntuneAppProtectionPolicyRequiredException) {

        final MsalIntuneAppProtectionPolicyRequiredException policyRequiredException =
            (MsalIntuneAppProtectionPolicyRequiredException) ex;

        final String upn = policyRequiredException.getAccountUpn();
        final String aadId = policyRequiredException.getAccountUserId();
        final String tenantId = policyRequiredException.getTenantId();
        final String authority = policyRequiredException.getAuthorityURL();

        MAMComplianceManager complianceManager = MAMComponents.get(MAMComplianceManager.class);
        complianceManager.remediateCompliance(upn, aadId, tenantId, authority, showUX);
    }
}

Megfelelőségi állapotértesítések

Ha az alkalmazás regisztrál a típusú COMPLIANCE_STATUSértesítésekre, a rendszer küld egy üzenetet MAMComplianceNotification , amely tájékoztatja az alkalmazást a megfelelőségi javítási kísérlet végleges állapotáról. A regisztrációval kapcsolatos részletekért lásd: Regisztráció az SDK értesítéseihez .

public interface MAMComplianceNotification extends MAMUserNotification {
    MAMCAComplianceStatus getComplianceStatus();
    String getComplianceErrorTitle();
    String getComplianceErrorMessage();
}

A getComplianceStatus() metódus a megfelelőségi szervizelési kísérlet eredményét adja vissza a [MAMCAComplianceStatus] enumerálás értékeként.

Állapotkód	Magyarázat
UNKNOWN	Az állapot ismeretlen. Ez az állapot váratlan hiba okára utalhat. További információt a Céges portál naplókban talál.
COMPLIANT	A megfelelőségi szervizelés sikeres volt, és az alkalmazás már megfelel a szabályzatnak. Az MSAL-jogkivonat beszerzését újra meg kell próbálni.
NOT_COMPLIANT	A megfelelőség szervizelésére tett kísérlet nem sikerült. Az alkalmazás nem megfelelő, és az MSAL-jogkivonat beszerzését nem szabad újrapróbálkoznia, amíg a hibaállapot ki nem javítva. A MAMComplianceNotification további hibainformációkat tartalmaz.
SERVICE_FAILURE	Hiba történt a megfelelőségi adatok Intune szolgáltatásból való lekérése közben. További információt a Céges portál naplókban talál.
NETWORK_FAILURE	Hiba történt a Intune szolgáltatáshoz való csatlakozáskor. Az alkalmazásnak újra meg kell próbálnia a jogkivonat beszerzését a hálózati kapcsolat visszaállításakor.
CLIENT_ERROR	A megfelelőség szervizelésére tett kísérlet egy ügyfélhez kapcsolódó probléma, például hiányzó vagy helytelen felhasználói jogkivonat miatt meghiúsult. A MAMComplianceNotification további hibainformációkat tartalmaz.
PENDING	A megfelelőség szervizelésére tett kísérlet meghiúsul, mert a szolgáltatás nem küld állapotválaszt az időkorlát lejárta előtt. Az alkalmazásnak később újra meg kell próbálnia a jogkivonat beszerzését.
COMPANY_PORTAL_REQUIRED	A megfelelőség szervizelésének sikerességéhez telepíteni kell az Céges portál az eszközön. Ha már telepítve van, az alkalmazást újra kell indítani. Egy párbeszédpanel kéri a felhasználót, hogy indítsa újra az alkalmazást.

Ha a megfelelőségi állapot MAMCAComplianceStatus.COMPLIANT, az alkalmazásnak újra meg kell ismételnie az eredeti jogkivonat beszerzését (a saját erőforrásához).

Ha a megfelelőségi javítási kísérlet sikertelen volt, a és getComplianceErrorMessage() a getComplianceErrorTitle() metódusok olyan honosított sztringeket ad vissza, amelyeket az alkalmazás megjeleníthet a végfelhasználónak, ha úgy dönt. Az alkalmazás nem tudja megoldani a legtöbb hibaesetet. Általában sikertelen fióklétrehozás vagy -bejelentkezés, és lehetővé teszi a felhasználó számára, hogy később próbálkozzon újra.

Ha egy hiba állandó, a Céges portál naplók segíthetnek meghatározni az okot. A végfelhasználó elküldheti a naplókat. További információ: Feltöltési és e-mail-naplók.

Íme egy példa arra, hogyan regisztrálhat egy fogadót egy névtelen osztály használatával a MAMNotificationReceiver felület implementálásához:

final MAMNotificationReceiverRegistry notificationRegistry = MAMComponents.get(MAMNotificationReceiverRegistry.class);
// create a receiver
final MAMNotificationReceiver receiver = new MAMNotificationReceiver() {
    public boolean onReceive(MAMNotification notification) {
        if (notification.getType() == MAMNotificationType.COMPLIANCE_STATUS) {
            MAMComplianceNotification complianceNotification = (MAMComplianceNotification) notification;

            // take appropriate action based on complianceNotification.getComplianceStatus()

            // unregister this receiver if no longer needed
            notificationRegistry.unregisterReceiver(this, MAMNotificationType.COMPLIANCE_STATUS);
        }
        return true;
    }
};
// register the receiver
notificationRegistry.registerReceiver(receiver, MAMNotificationType.COMPLIANCE_STATUS);

Megjegyzés:

A hívás remediateCompliance() előtt regisztrálnia kell az értesítés fogadót, hogy elkerülje az olyan versenyhelyzetet, amely az értesítés hiányát eredményezheti.

Az App Protection hitelesítésszolgáltató támogatásának deklarálása

Ha az alkalmazás készen áll az alkalmazás hitelesítésszolgáltatói szervizelésére, megadhatja a Microsoft Identitynek, hogy az alkalmazás készen áll az alkalmazás ca-ra. Ehhez az MSAL-alkalmazásban hozza létre a nyilvános ügyfelet a "protapp" ügyfélképességeivel

{
      "client_id" : "[YOUR_CLIENT_ID]",
      "authorization_user_agent" : "DEFAULT",
      "redirect_uri" : "[YOUR_REDIRECT_URI]",
      "multiple_clouds_supported":true,
      "broker_redirect_uri_registered": true,
      "account_mode": "MULTIPLE",
      "client_capabilities": "protapp",
      "authorities" : [
        {
          "type": "AAD",
          "audience": {
            "type": "AzureADandPersonalMicrosoftAccount"
          }
        }
      ]
    }

A lépések elvégzése után folytassa az App Protection hitelesítésszolgáltató érvényesítésével.

Végrehajtási megjegyzések

Megjegyzés:

Az alkalmazás metódusának MAMServiceAuthenticationCallback.acquireToken()false (hamis) értéket kell adnia a forceRefresh jelölő számára.acquireTokenSilentAsync()

AcquireTokenSilentParameters acquireTokenSilentParameters =
        builder.withScopes(Arrays.asList(scopes))
               .forceRefresh(false)
               .build();

acquireTokenSilentAsync(acquireTokenSilentParameters);

Megjegyzés:

Ha a szervizelési kísérlet során egyéni blokkoló felhasználói felületet szeretne megjeleníteni, a showUX paramétert false (hamis ) értéknek kell megadnia a következőnek: remediateCompliance(). A hívása remediateCompliance()előtt meg kell győződnie arról, hogy meg kell jelenítenie a felhasználói felületét, és regisztrálnia kell az értesítésfigyelőt. Ez megakadályozza az olyan versenyhelyzeteket, amelyek miatt az értesítés gyorsan meghiúsulhat remediateCompliance() . Egy Tevékenység alosztály vagy onMAMCreate() metódusa például onCreate() ideális hely az értesítés-figyelő regisztrálásához, majd a meghívásáhozremediateCompliance(). A paraméterei remediateCompliance() szándék-extrákként adhatók át a felhasználói felületnek. A megfelelőségi állapotról szóló értesítés beérkezésekor megjelenítheti az eredményt, vagy befejezheti a tevékenységet.

Megjegyzés:

remediateCompliance() regisztrálja a fiókot, és megkísérli a regisztrációt. A fő jogkivonat beszerzése után nincs szükség hívásra registerAccountForMAM() , de ennek nincs semmi baja. Ha azonban az alkalmazás nem tudja beszerezni a jogkivonatát, és el szeretné távolítani a felhasználói fiókot, meg kell hívnia a fiókot unregisterAccountForMAM() , és meg kell akadályoznia a háttérben futó regisztráció újrapróbálkozásait.

Regisztráció az SDK értesítéseihez

Az Intune App SDK útmutatója több olyan forgatókönyvet is bemutat, ahol előfordulhat, hogy az alkalmazásnak regisztrálnia kell az SDK értesítéseihez, például:

• Több identitást kezelő alkalmazások kezelése WRONG_USER (lásd : Felügyelt és nem felügyelt identitások)
• Több identitást kezelő alkalmazások kezelése MANAGEMENT_REMOVED (lásd : Adatpuffer-védelem).
• Multi-identity apps handling WIPE_USER_DATA or WIPE_USER_AUXILIARY_DATA (lásd : Szelektív törlés).
• Alkalmazáskonfiguráció-kezelést REFRESH_APP_CONFIG megvalósító alkalmazások (lásd: Alkalmazáskonfiguráció lekérése az SDK-ból).

Ez a szakasz ismerteti az SDK által küldhető összes értesítéstípust, azt, hogy az alkalmazás mikor és miért szeretné figyelni, valamint az értesítés-fogadó implementálásának módját.

Az értesítések típusai

Minden SDK-értesítés implementálja a MAMNotification felületet, amely egyetlen függvénnyel rendelkezik, getType()amely egy MAMNotificationType enumerálást ad vissza.

A legtöbb értesítés MAMUserNotification példány, amely egyetlen identitásra vonatkozó információkat biztosít. Az identitás objektumazonosítója a getUserOid() függvényen keresztül kérhető le, az identitás UPN-jét pedig a használatával getUserIdentity()lehet lekérni.

A MAMEnrollmentNotification és a MAMComplianceNotification tovább bővítiMAMUserNotificationa elemet, amely a felhasználó vagy eszköz MAM szolgáltatásba való regisztrálására tett kísérletek, illetve az App Protection CA megfelelőségének szervizelésére tett kísérletek eredményeit tartalmazza.

Értesítés típusa	Értesítési osztály	Az értesítés oka	Alkalmazhatóság	Tippek a kezeléshez	Hozzászóláslánc adatai
COMPLIANCE_STATUS	MAMComplianceNotification	Egy megfelelőségi szervizelési kísérlet eredményét adja vissza.	Az App Protection hitelesítésszolgáltatót megvalósító alkalmazásoknak ezt kell kezelnie.	–	Nemdeterminisztikus
MAM_ENROLLMENT_RESULT	MAMEnrollmentNotification	Egy regisztrációs kísérlet eredményét adja vissza.	Ezt minden alkalmazás megkapja.	–	Nemdeterminisztikus
MANAGEMENT_REMOVED	MAMUserNotification	Az alkalmazás nem lesz felügyelt.	A használt MAMDataProtectionManager alkalmazásoknak kezelnie kell ezt a műveletet.	Lásd: MANAGEMENT_REMOVED.	Soha ne használja a felhasználói felület szálát
REFRESH_APP_CONFIG	MAMUserNotification	Az alkalmazáskonfigurációs értékek módosulhattak.	Az alkalmazáskonfigurációt és a gyorsítótárazási alkalmazáskonfigurációs adatokat megvalósító alkalmazásoknak ezt kezelnie kell.	Az alkalmazásoknak érvénytelenítenie és frissítenie kell a gyorsítótárazott alkalmazáskonfigurációs adatokat.	Nemdeterminisztikus
REFRESH_POLICY	MAMUserNotification	Alkalmazásvédelem szabályzat módosulhatott.	Az alkalmazásvédelmi szabályzatot gyorsítótárazó alkalmazásoknak ezt kezelnie kell.	Az alkalmazásoknak érvénytelenítenie és frissítenie kell a gyorsítótárazott alkalmazásvédelmi szabályzat adatait.	Nemdeterminisztikus
WIPE_USER_DATA	MAMUserNotification	A törlés most következik be (*).	A vagy a-t használó MAMDataProtectionManager alkalmazásoknak kell kezelnie ezt a vagy a-tWIPE_USER_AUXILIARY_DATA.	Lásd: Szelektív törlés.	Soha ne használja a felhasználói felület szálát
WIPE_USER_AUXILIARY_DATA	MAMUserNotification	A törlés most következik be (*).	Ezt csak a több identitással rendelkező alkalmazások kapják meg. A vagy a-t használó MAMDataProtectionManager alkalmazásoknak kell kezelnie ezt a vagy a-tWIPE_USER_DATA.	Lásd: Szelektív törlés.	Soha ne használja a felhasználói felület szálát
WIPE_COMPLETED	MAMUserNotification	A törlés befejeződött.	Nem kötelező minden alkalmazáshoz.	Kézbesítés a vagy WIPE_USER_AUXILIARY_DATAa után WIPE_USER_DATA történik. Ha az alkalmazás hibát jelez a törléskezelőtől, ez az értesítés nem lesz elküldve.	Soha ne használja a felhasználói felület szálát

(*) A törlésnek számos oka lehet, például:

• Az alkalmazás neve unregisterAccountForMAM.
• Egy rendszergazda kezdeményezte a távoli törlést.
• Rendszergazda szükséges feltételes hozzáférési szabályzatok nem teljesültek.

Figyelmeztetés

Az alkalmazásoknak soha nem szabad regisztrálniuk mind a, mind az WIPE_USER_DATAWIPE_USER_AUXILIARY_DATA értesítésekre.

MANAGEMENT_REMOVED

Az MANAGEMENT_REMOVED értesítés tájékoztatja az alkalmazást, hogy egy korábban szabályzattal felügyelt fiók felügyeletének megszüntetése készül. A fiók felügyeletének megszüntetése után az alkalmazás már nem tudja beolvasni a fiók titkosított fájljait, beolvasni a fiók titkosított adatait MAMDataProtectionManager, használni a titkosított vágólapot, vagy más módon részt venni a felügyelt alkalmazás ökoszisztémájában.

Ehhez nincs szükség a felhasználói adatok törlésére vagy a felhasználó kijelentkeztetésére (ha törlésre lenne szükség, WIPE_USER_DATA a rendszer értesítést küld). Előfordulhat, hogy sok alkalmazásnak nem kell kezelnie ezt az értesítést, de a használt MAMDataProtectionManager alkalmazásoknak ezt kezelnie kell. További részletekért lásd: Adatpuffer-védelem .

Amikor az SDK meghívja az alkalmazás fogadóját MANAGEMENT_REMOVED , a következő igaz:

• Az SDK már visszafejti az alkalmazáshoz tartozó korábban titkosított fájlokat (de nem védett adatpuffereket). Files az SD-kártyán lévő olyan nyilvános helyeken, amelyek nem közvetlenül az alkalmazáshoz tartoznak (például a Dokumentumok vagy a Letöltés mappák) nem fejthetők vissza.

• A fogadó metódus által létrehozott új fájlok vagy védett adatpufferek (vagy a fogadó elindítása után futó egyéb kódok) nincsenek titkosítva.

• Az alkalmazás továbbra is hozzáfér a titkosítási kulcsokhoz, így az olyan műveletek, mint az adatpufferek visszafejtése sikeresek.

Miután az alkalmazás fogadója visszatér, már nem fér hozzá a titkosítási kulcsokhoz.

A MAMNotificationReceiver implementálása

Az SDK értesítéseinek regisztrálásához az alkalmazásnak létre kell hoznia egy MAMNotificationReceiver-t , és regisztrálnia kell azt a MAMNotificationReceiverRegistry szolgáltatásban.

A fogadó regisztrálásához hívja meg a hívást registerReceiver a fogadóval és a kívánt értesítési típussal a Application.onCreate metódusban:

@Override
public void onCreate() {
  super.onCreate();
  MAMComponents.get(MAMNotificationReceiverRegistry.class)
    .registerReceiver(
      new ToastNotificationReceiver(),
      MAMNotificationType.WIPE_USER_DATA);
}

Az alkalmazás MAMNotificationReceiver implementációjának tartalmaznia kell a metódust onReceive(MAMNotification notification) . Ez a metódus minden kapott értesítéshez külön-külön hívja meg a metódust, és egy booleanértéket kell visszaadnia. Ennek a metódusnak általában mindig a értéket kell visszaadnia true, kivéve, ha az alkalmazás hibába ütközött egy értesítésre válaszolva.

Az Android-fogadók más típusaihoz hasonlóan az alkalmazás is rugalmasan kezeli az értesítéseket:

• Különböző MAMNotificationReceiver-implementációkat hozhat létre a különböző értesítéstípusokhoz. Ebben az esetben minden implementációt és minden értesítési típust külön kell regisztrálnia.
• Egyetlen MAMNotificationReceiver-implementációt használhat, amely több különböző értesítési típusra való válaszadás logikáját tartalmazza. Ebben az esetben minden olyan értesítéstípushoz regisztrálva kell lennie, amelyekre válaszolni tud.
• Több MAMNotificationReceiver-implementációt is létrehozhat, amelyek mindegyike ugyanarra az értesítési típusra válaszol. Ebben az esetben mindkettőt ugyanahhoz az értesítési típushoz kell regisztrálni.

Tipp

Biztonságosan letiltható MAMNotificationReceiver.onReceive , mert a visszahívása nem fut a felhasználói felület szálán.

Egyéni témák

Az Intune App SDK-hoz egyéni téma adható meg; ez az egyéni téma minden SDK-képernyőre és párbeszédpanelre érvényes. Ha nincs megadva téma, a rendszer az alapértelmezett SDK-témát használja.

Egyéni téma megadása

Téma megadásához adja hozzá a következő kódsort a Application.onMAMCreate metódushoz:

MAMThemeManager.setAppTheme(R.style.AppTheme);

A példában cserélje le R.style.AppTheme azt a stílustémára, amelyet az SDK-nak alkalmaznia kell.

Megbízható főtanúsítványok kezelése

Ha az alkalmazáshoz egy helyszíni vagy privát hitelesítésszolgáltató által kibocsátott SSL-/TLS-tanúsítványok szükségesek a belső webhelyekhez és alkalmazásokhoz való biztonságos hozzáférés biztosításához, a Intune App SDK a MAMTrustedRootCertsManager és a MAMCertTrustWebViewClient API-osztályokkal támogatja a tanúsítványmegbízhatóság kezelését.

Megjegyzés:

A MAMCertTrustWebViewClient az Android 11-et vagy újabb verziót támogatja.

A Megbízható főtanúsítványok kezelése a következőhöz nyújt támogatást:

• SSLContext
• SSLSocketFactory
• TrustManager
• WebView

Követelmények

• A megbízható főtanúsítvány-kezeléshez Microsoft Tunnel for Mobile Application Management-licenc szükséges. További információért látogasson el a Microsoft Tunnel with Mobile Application Management webhelyre.
• Konfigurálja a Intune App Configuration-szabályzatokat, hogy megbízható főtanúsítványokat kézbesítsen az üzletági alkalmazásoknak és a Microsoft Edge-nek Android rendszeren. Lásd: A Microsoft Tunnel VPN használata olyan Android-eszközökkel, amelyek nem regisztrálnak az Microsoft Intune.

Megjegyzés:

A megbízható főtanúsítvány-kezelés a Microsoft Tunnel VPN Gateway függetlenül használható, de használathoz licenccel kell rendelkeznie a Microsoft MAM-alagúthoz.

Megbízható főtanúsítványok használata Intune megbízhatósági horgonyok létrehozásához

A Megbízható főtanúsítványok kezelése lehetővé teszi, hogy az alkalmazás megbízható főtanúsítványokat használjon Intune az eszköz tanúsítványaival együtt.

A MAMTrustedRootCertsManager és a MAMCertTrustWebViewClient API-osztályok tartalékként használják a App Configuration Policyn keresztül kézbesített Intune megbízható főtanúsítványokat, ha az eszköz megbízható főtanúsítvány-tárolói nem tartalmazzák a szükséges megbízható főtanúsítványokat a helyszíni erőforrásokhoz való biztonságos kapcsolat létrehozásához. Így az alkalmazás eszköz- és Intune tanúsítványokkal is ellenőrizheti a biztonságos kapcsolatokat és a megbízható forrásokkal folytatott kommunikációt.

A hálózati biztonsági beállítások javításához az alkalmazások használhatják a Hálózati biztonsági konfiguráció XML-fájlját. A megbízható főtanúsítvány-kezelés figyelembe véve ezt a fokozott biztonságot annak ellenőrzésével, hogy az alkalmazás hálózati biztonsági konfigurációs XML-fájlja rendelkezik-e az alábbi funkciók bármelyikével:

• Az egyéni megbízhatósági kapcsolatok további hitelesítésszolgáltatókkal, például önaláírt tanúsítványokkal rendelkeznek.
• Tartományspecifikus szabályok a megbízható hitelesítésszolgáltatók korlátozására.
• Adott tartományok tanúsítványkészleteinek rögzítése.

Megjegyzés:

További információ az Android hálózati biztonsági konfigurációjáról: Hálózati biztonsági konfiguráció.

Ha ezek bármelyike egy megbízhatónak ellenőrzött tartományra vonatkozik, akkor a Megbízható főtanúsítványok kezelése kihagyja a tartomány egyéni megbízhatósági ellenőrzését, és csak a platform alapértelmezett megbízhatósági kezelői végezhetik el az ellenőrzéseket.

MAMTrustedRootCertsManager osztály

Ez az osztály a következő API-kat biztosítja:

• createSSLContextForOID(String oid, String protocol): létrehoz egy SSLContext objektumot, amely megbízható főtanúsítványokat használ a megadott identitáshoz és a megadott SSL/TLS protokollhoz. Az osztályból visszaadott SSLContext objektum már megfelelően inicializálva van az eszköz és a MAM szolgáltatás összevont megbízható főtanúsítványait használó objektumokkal X509TrustManager .
• createSSLSocketFactoryForOID(String oid, String protocol): létrehoz egy SSLSocketFactory objektumot, amely megbízható főtanúsítványokat használ a megadott identitáshoz és a megadott SSL/TLS protokollhoz. A visszaadott SSLSocketFactory objektumra ugyanabból SSLContext az objektumból hivatkozik ebben az osztályban.
• createX509TrustManagersForOID(String oid): létrehoz egy objektumtömböt X509TrustManager , amely az eszköz és a MAM szolgáltatás összevont megbízható főtanúsítványait használja a megadott identitáshoz.

Megjegyzés:

A oid paraméter várhatóan az alkalmazást futtató adott felhasználó Microsoft Entra felhasználóazonosítója (OID). Ha a felhasználói azonosító előre ismeretlen, átadhat egy értéket, és a MAM megpróbálja felderíteni null a megfelelő identitást abból a szálból vagy folyamatból, amelyben az API-k meghívása történik. Az identitást megfelelően kell beállítani a folyamaton vagy a szálon ahhoz, hogy a MAM felderítse az identitást. Az aktív identitás folyamaton vagy szálon történő beállításával kapcsolatos további információkért lásd : 5. szakasz: Több identitás.

Megjegyzés:

Ha a protocol paraméter nincs megadva, a platform a legmagasabb támogatott SSL/TLS protokollt használja.

Íme néhány példa az osztály használatára.

Példa a HttpsUrlConnection használatára

// Create an SSL socket factory using supplying the optional parameters identity and protocol
SSLSocketFactory sslSocketFactory = MAMTrustedRootCertsManager.createSSLSocketFactoryForOID(oid, "TLSv1.3");

// Create a URL object for the desired endpoint
URL url = new URL("https://example.com");

// Open a connection using the URL object
HttpsURLConnection httpsURLConnection = (HttpsURLConnection) url.openConnection();

// Set the SSL socket factory for the connection
httpsURLConnection.setSSLSocketFactory(sslSocketFactory);

// Perform any other configuration or operations on the connection as needed
...

Példa az OKHttpClient használatára

// Get the TrustManager instances for an identity from the SDK
TrustManager[] trustManagers = MAMTrustedRootCertsManager.createX509TrustManagersForOID(oid);

// Get SSLContext from the platform
SSLContext sslContext = SSLContext.getInstance("TLSv1.3");

// Initialize the SSLContext with the trust managers from the Intune App SDK
sslContext.init(null, trustManagers, null);

// Create an OkHttpClient.Builder object
OkHttpClient.Builder builder = new OkHttpClient.Builder();

// Set the SSLSocketFactory and the trust managers from the SDK
builder.sslSocketFactory(sslContext.socketFactory, trustManagers[0] as X509TrustManager).build();

// Build an OkHttpClient object from the builder
OkHttpClient okHttpClient = builder.build();

// Create a Request object for the desired endpoint
Request request = new Request.Builder().url("https://example.com").build();

// Execute the request using the OkHttpClient object and get a Response object
Response response = okHttpClient.newCall(request).execute();

// Perform any other operations on the response as needed
...

MAMCertTrustWebViewClient osztály

Ez az osztály az Android-osztály android.webkit.WebViewClientegyéni implementációját biztosítja. A osztály lehetővé teszi az SSL-hiba android.net.http.SslError.SSL_UNTRUSTED kezelését a következőben WebView: .

A hiba kezelésekor a osztály megbízható főtanúsítványokat használ, amelyeket Intune konfigurálni és a MAM szolgáltatás biztosít. Ez a megközelítés ellenőrzi a gazdagép megbízhatóságát a cél URL-címről, amely ssl-hibát eredményezett a fájlban WebView. Ha az egyéni implementáció nem kezeli az SSL-hibát, a rendszer meghívja a szuperosztálytól örökölt alapértelmezett viselkedést.

Ha ezt az osztályt használja, hozzon létre egy példányt, majd hívja meg WebView.setWebViewClient(WebViewClient) , hogy regisztrálja azt egy WebView példányon.

Íme egy példa az osztály használatára.

Példa a WebView használatára

// Get the MAM implementation of WebViewClient from the Intune App SDK
MAMCertTrustWebViewClient mamCertTrustWebViewClient = new MAMCertTrustWebViewClient();

// Set the MAM WebViewClient from the SDK as the current handler on the instance of WebView
webView.setWebViewClient(mamCertTrustWebViewClient);

// Perform any other operations on WebView
...

Kilépési feltételek

További információ: Gyors tesztelés változó szabályzattal a tesztelés megkönnyítése érdekében.

A mentés ellenőrzése és a korlátozásokból való megnyitás

Hagyja ki ezt a szakaszt, ha nem implementálta az alkalmazások és az eszközök vagy felhőbeli tárolóhelyek közötti adatátvitel korlátozására vonatkozó szabályzatot.

Ismerkedjen meg minden olyan forgatókönyvvel, amikor az alkalmazás adatokat menthet a felhőszolgáltatásokba vagy a helyi adatokba, és megnyithat adatokat a felhőszolgáltatásokból vagy a helyi adatokból.

Az egyszerűség kedvéért ezek a tesztek feltételezik, hogy az alkalmazás csak a OneDrive-ra való mentést és az adatoknak az alkalmazáson belüli egyetlen helyről történő megnyitását támogatja. Azonban minden kombinációt ellenőriznie kell: minden támogatott mentési hely minden olyan helyhez, ahol az alkalmazás lehetővé teszi az adatok mentését, és minden támogatott nyílt hely minden olyan helyhez, ahol az alkalmazás lehetővé teszi az adatok megnyitását.

Ezekhez a tesztekhez telepítse az alkalmazást és a Intune Céges portál; jelentkezzen be egy felügyelt fiókkal a teszt megkezdése előtt. Is:

• Állítsa be a felügyelt fiók szabályzatát a következőként:
  • A "Szervezeti adatok küldése más alkalmazásokba" beállítás értéke "Szabályzattal felügyelt alkalmazások".
  • "Adatok fogadása más alkalmazásokból" beállítás értéke "Szabályzattal felügyelt alkalmazások".

Forgatókönyv	Előfeltételek	Lépéseket
Mentés a fájlba, teljes mértékben engedélyezve	"Szervezeti adatok másolatainak mentése" szabályzat engedélyezésre van állítva	– Nyissa meg az alkalmazás azon részét, ahol adatokat menthet a OneDrive-ra. – Próbáljon meg menteni egy dokumentumot a OneDrive-ra ugyanazzal a felügyelt fiókkal, amely be van jelentkezve az alkalmazásba. - Ellenőrizze, hogy a mentés engedélyezve van-e.
Mentés a fájlba, kivétel	– "Szervezeti adatok másolatainak mentése" szabályzat letiltás értékre van állítva – "Másolatok mentésének engedélyezése a felhasználó számára a kijelölt szolgáltatásokba" szabályzat csak a OneDrive-ra van állítva	– Nyissa meg az alkalmazás azon részét, ahol adatokat menthet a OneDrive-ra. – Próbáljon meg menteni egy dokumentumot a OneDrive-ra ugyanazzal a felügyelt fiókkal, amely be van jelentkezve az alkalmazásba. - Ellenőrizze, hogy a mentés engedélyezve van-e. – Ha az alkalmazás engedélyezi, próbálja meg menteni a fájlt egy másik felhőtárhelyre, és ellenőrizze, hogy le van-e tiltva.
Mentés helye, letiltva	"Szervezeti adatok másolatainak mentése" szabályzat Letiltás értékre van állítva	– Nyissa meg az alkalmazás azon részét, ahol adatokat menthet a OneDrive-ra. – Próbáljon meg menteni egy dokumentumot a OneDrive-ra ugyanazzal a felügyelt fiókkal, amely be van jelentkezve az alkalmazásba. – Ellenőrizze, hogy a mentés le van-e tiltva. – Ha az alkalmazás engedélyezi, próbálja meg menteni a fájlt egy másik felhőtárhelyre, és ellenőrizze, hogy le van-e tiltva.
Megnyitás innen: , teljes mértékben engedélyezett	"Adatok megnyitása szervezeti dokumentumokba" szabályzat engedélyezésre van állítva	– Navigáljon az alkalmazás azon részére, ahol adatokat nyithat meg a OneDrive-ról. – Próbáljon megnyitni egy dokumentumot a OneDrive-ról ugyanazzal a felügyelt fiókkal, amely az alkalmazás tárterületére van bejelentkezve. - Ellenőrizze, hogy a megnyitás engedélyezve van-e.
Megnyitás innen, kivétel	– "Adatok megnyitása szervezeti dokumentumokba" szabályzat letiltás értékre állítva – "Adatok megnyitásának engedélyezése a felhasználók számára a kijelölt szolgáltatásokból" szabályzat csak a OneDrive-ra van állítva	– Navigáljon az alkalmazás azon részére, ahol adatokat nyithat meg a OneDrive-ról. – Próbáljon megnyitni egy dokumentumot a OneDrive-ról ugyanazzal a felügyelt fiókkal, amely az alkalmazás tárterületére van bejelentkezve. - Ellenőrizze, hogy a megnyitás engedélyezve van-e. – Ha az alkalmazás engedélyezi, próbáljon meg megnyitni egy másik fájlt egy másik felhőtárhelyről, és ellenőrizze, hogy le van-e tiltva.
Megnyitás innen, letiltva	"Adatok megnyitása szervezeti dokumentumokba" szabályzat Letiltás értékre állítva	– Navigáljon az alkalmazás azon részére, ahol adatokat nyithat meg a OneDrive-ról. – Próbáljon megnyitni egy dokumentumot a OneDrive-ról ugyanazzal a felügyelt fiókkal, amely az alkalmazás tárterületére van bejelentkezve. - Ellenőrizze, hogy a megnyitás le van-e tiltva. – Ha az alkalmazás engedélyezi, próbáljon meg megnyitni egy másik fájlt egy másik felhőtárhelyről, és ellenőrizze, hogy le van-e tiltva.

Értesítési korlátozások érvényesítése

Hagyja ki ezt a szakaszt, ha nem implementálja az értesítéseken belüli tartalom korlátozására vonatkozó szabályzatot.

Ami az alkalmazásvédelmi szabályzatot illeti, az alkalmazás három különböző típusú értesítést aktiválhat:

1. Olyan értesítések, amelyek nem tartalmaznak fiókadatokat.
2. Felügyelt fiókhoz tartozó adatokat tartalmazó értesítések.
3. Nem felügyelt fiókhoz tartozó adatokat tartalmazó értesítések.

Ha az alkalmazás egyszeri identitású, csak az első kettő releváns, mivel a rendszer nem alkalmaz védelmet, ha az egyetlen fiók nincs kezelve.

Az értesítési korlátozások érvényesítéséhez mindhárom típusú, különböző szabályzatértékekkel konfigurált értesítéstípust aktiválhatja.

Ezekhez a tesztekhez telepítse az alkalmazást és a Intune Céges portál; jelentkezzen be egy felügyelt fiókkal a teszt megkezdése előtt. Ha az alkalmazás több identitással rendelkezik, jelentkezzen be az alkalmazásba egy nem felügyelt fiókkal is.

Forgatókönyv	Előfeltételek	Lépéseket
Teljes tartalom letiltva	A "Szervezeti adatértesítések" szabályzat Blokkolás értékre van állítva	– Aktiválja az alkalmazást egy fiókadatok nélküli értesítés indításához. – Győződjön meg arról, hogy az értesítés nem jelenít meg tartalmat. – Aktiválja az alkalmazást egy értesítés indításához a felügyelt fiók adataival. – Győződjön meg arról, hogy az értesítés nem jelenít meg tartalmat. – Aktiválja az alkalmazást egy értesítés indításához a nem felügyelt fiók adataival. – Győződjön meg arról, hogy az értesítés nem jelenít meg tartalmat.
Részleges tartalom blokkolva	A "Szervezeti adatértesítések" szabályzat a Szervezeti adatok letiltása értékre van állítva	– Aktiválja az alkalmazást egy fiókadatok nélküli értesítés indításához. – Ellenőrizze, hogy az értesítés megjeleníti-e a teljes tartalmát. – Aktiválja az alkalmazást egy értesítés indításához a felügyelt fiók adataival. – Győződjön meg arról, hogy az értesítés újrafedi a felügyelt fiók tartalmát. – Aktiválja az alkalmazást egy értesítés indításához a nem felügyelt fiók adataival. – Ellenőrizze, hogy az értesítés megjeleníti-e a teljes tartalmát.
Nincs letiltva tartalom	"Szervezeti adatértesítések" szabályzat engedélyezésre van állítva	– Aktiválja az alkalmazást egy fiókadatok nélküli értesítés indításához. – Ellenőrizze, hogy az értesítés megjeleníti-e a teljes tartalmát. – Aktiválja az alkalmazást egy értesítés indításához a felügyelt fiók adataival. – Ellenőrizze, hogy az értesítés megjeleníti-e a teljes tartalmát. – Aktiválja az alkalmazást egy értesítés indításához a nem felügyelt fiók adataival. – Ellenőrizze, hogy az értesítés megjeleníti-e a teljes tartalmát.

Az adatok biztonsági mentésének és visszaállításának ellenőrzése

Hagyja ki ezt a szakaszt, ha nem implementálja a biztonsági mentési adatok védelmére vonatkozó szabályzatot.

Ismerkedjen meg újra az alkalmazás által biztonsági mentésre konfigurált tartalommal (fájlokkal és kulcs-érték párokkal). Ellenőrizze, hogy csak a várt tartalom szerepel-e a visszaállításban. A visszaállítás további tartalma adatszivárgáshoz vezethet.

Ezekhez a tesztekhez telepítse az alkalmazást és a Intune Céges portál; jelentkezzen be egy felügyelt fiókkal a teszt megkezdése előtt. Ha az alkalmazás többszörös identitású, jelentkezzen be az alkalmazásba egy nem felügyelt fiókkal is.

Kövesse az Android biztonsági mentés tesztelésére vonatkozó hivatalos utasításait. Ezek az utasítások eltérnek az automatikus biztonsági mentéshez és a kulcs/érték biztonsági mentéséhez, ezért szorosan kövesse őket.

Egyéni képernyőrögzítés ellenőrzése szabályzat alapján

Ha nem implementál egyéni képernyőfelvételi korlátozásokat, hagyja ki ezt a szakaszt.

Ha az alkalmazás olyan szolgáltatással rendelkezik, amely megkerüli Windowaz Android -szintű FLAG_SECUREszintjét, ellenőrizze, hogy az alkalmazásvédelmi szabályzat képernyőfelvételi korlátozásai blokkolják-e ezt a funkciót.

Ezekhez a tesztekhez telepítse az alkalmazást és a Intune Céges portál; jelentkezzen be egy felügyelt fiókkal a teszt megkezdése előtt.

Forgatókönyv	Előfeltételek	Lépéseket
Képernyőfelvétel letiltva	A "Képernyőfelvétel és a Google Assistant" szabályzat Letiltás értékre van állítva	– Navigáljon az alkalmazás egyéni FLAG_SECURE kódot használó részéhez. – Próbálja meg használni ezt a funkciót. – Ellenőrizze, hogy a funkció le van-e tiltva.
Képernyőfelvétel engedélyezve	A "Képernyőfelvétel és a Google Assistant" szabályzat engedélyezésre van állítva	– Navigáljon az alkalmazás egyéni FLAG_SECURE kódot használó részéhez. – Próbálja meg használni ezt a funkciót. – Ellenőrizze, hogy a funkció engedélyezve van-e.

Az App Protection hitelesítésszolgáltató ellenőrzése

Hagyja ki ezt a szakaszt, ha nem implementálja a támogatási alkalmazásvédelmi hitelesítésszolgáltatót.

Az alkalmazásvédelmi szabályzatok alkalmazás- és tesztfiókhoz való létrehozásának és hozzárendelésének tipikus érvényesítési lépésein kívül alkalmazásvédelmi feltételes hozzáférési szabályzatot is létre kell hoznia és hozzá kell rendelnie a tesztfiókhoz. További részletekért lásd: Alkalmazásalapú feltételes hozzáférési szabályzatok beállítása Intune.

Tesztelési lépések:

1. A teszt megkezdése előtt távolítsa el a Microsoft Authenticatort, és Intune Céges portál.
2. Telepítse az alkalmazást.
3. Jelentkezzen be az alkalmazásba az alkalmazásvédelmi szabályzattal és az alkalmazásalapú feltételes hozzáférési szabályzattal megcélzott tesztfiókjával.
4. Ellenőrizze, hogy az alkalmazás kéri-e a Céges portál telepítését.
5. Jelentkezzen be újra.
6. Ellenőrizze, hogy az alkalmazás kéri-e az eszköz regisztrálását. Kövesse az utasításokat. Ha az alkalmazás itt nem kéri a regisztrációt, először ellenőrizze, hogy a teszteszköz eltávolított-e más SDK-kompatibilis alkalmazásokat, Céges portál és Authenticatort. Ha ez továbbra sem kéri, tekintse meg újra a megvalósítási utasításokat.
7. A regisztráció után győződjön meg arról, hogy az összes alkalmazásadathoz hozzá tud férni.

Értesítés-fogadók ellenőrzése

Hagyja ki ezt a szakaszt, ha nem implementálta a Register for notifications from the SDK (Regisztráció az értesítésekre az SDK-ból) műveletet.

Az érvényesítési lépések az alkalmazás által regisztrált értesítések típusától függenek. Minden értesítéstípushoz adjon hozzá naplózást, hogy a fogadó megfelelően legyen meghívva.

MAM_ENROLLMENT_RESULT az alkalmazásba való bejelentkezéssel aktiválható egy olyan fiókkal, amelyet az alkalmazásvédelmi szabályzat céloz meg.

A és REFRESH_POLICY a aktiválásához REFRESH_APP_CONFIG frissítse a megfelelő App Configuration szabályzatot és alkalmazásvédelmi szabályzatot, amely a tesztfiókot célozza meg, és arra vár, hogy az SDK megkapja a frissített szabályzatot.

Tipp

A folyamat felgyorsításához lásd: Gyors tesztelés a szabályzat módosításával .

A , , WIPE_USER_DATAWIPE_USER_AUXILIARY_DATAés WIPE_COMPLETED értesítések aktiválásához MANAGEMENT_REMOVEDszelektív törlést kell kiadni Microsoft Intune.

Egyéni témák érvényesítése

Ha nem implementál egyéni témákat, hagyja ki ezt a szakaszt.

Az egyéni témák támogatásának ellenőrzéséhez vizsgálja meg a színeket az SDK párbeszédpaneljén. Az ellenőrizendő legegyszerűbb párbeszédpanel a MAM PIN-kód képernyője.

Előfeltételek:

• Állítsa be a felügyelt fiók szabályzatát a következőként:
  • A "PIN-kód a hozzáféréshez" beállítás értéke "Kötelező".
• Telepítse az alkalmazást és a Intune Céges portál.

Tesztelési lépések:

1. Indítsa el az alkalmazást, és jelentkezzen be a tesztfiókkal.
2. Ellenőrizze, hogy megjelenik-e a MAM PIN-kód képernyője, és hogy a téma az SDK-hoz megadott egyéni téma alapján van-e megadva.

Következő lépések

Ha sorrendben követte ezt az útmutatót, és elvégezte a jelen cikk korábbi, kilépési feltételeinek mindegyikét, az alkalmazás most már teljesen integrálva van az Intune App SDK-val, és alkalmazásvédelmi szabályzatokat kényszeríthet ki. Ha kihagyta az előző alkalmazás-részvételi szakaszok egyikét, az 5. fázis: Multi-Identity és a 6. fázis: App Configuration, és nem biztos abban, hogy az alkalmazásnak támogatnia kellene ezeket a funkciókat, tekintse meg az SDK-integrációval kapcsolatos legfontosabb döntéseket.

Alkalmazásvédelem mostantól az alkalmazás egyik alapvető forgatókönyve. Az alkalmazás fejlesztése során továbbra is tekintse meg ezt az útmutatót és a függeléket .