Megosztás a következőn keresztül:

Androidhoz készült Intune App SDK – Az integráció megtervezése

  • Cikk

Az Androidhoz készült Microsoft Intune App SDK lehetővé teszi, hogy intune alkalmazásvédelmi szabályzatokat (más néven APP - vagy MAM-szabályzatokat) építsen be a natív Java/Kotlin Android-alkalmazásba. Az Intune által felügyelt alkalmazások integrálva lesznek az Intune App SDK-val. Az Intune-rendszergazdák egyszerűen telepíthetnek alkalmazásvédelmi szabályzatokat az Intune által felügyelt alkalmazásokban, ha az Intune aktívan kezeli az alkalmazást.

1. szakasz: Az integráció megtervezése

Ez az útmutató azoknak az Android-fejlesztőknek készült, akik támogatni szeretnék a Microsoft Intune alkalmazásvédelmi szabályzatait a meglévő Android-alkalmazásukon belül.

Szakaszcélok

  • Megtudhatja, hogy milyen alkalmazásvédelmi házirend-beállítások érhetők el androidos eszközökhöz, és hogyan fognak működni ezek a szabályzatok az alkalmazásban.
  • Ismerje meg az SDK integrációs folyamatának legfontosabb döntési pontjait, és tervezze meg az alkalmazás integrációját.
  • Ismerje meg az SDK-t integráló alkalmazások követelményeit.
  • Hozzon létre egy teszt Intune-bérlőt, és konfiguráljon egy Android-alkalmazásvédelmi szabályzatot.

A MAM ismertetése

Mielőtt elkezdené integrálni az Intune App SDK-t az Android-alkalmazásba, szánjon egy kis időt a Microsoft Intune mobilalkalmazás-kezelési megoldásának megismerésére:

  • A [Microsoft Intune alkalmazáskezelés] magas szintű áttekintést nyújt a különböző platformokon elérhető MAM-képességekről, valamint arról, hogy hol találhatók ezek a funkciók a Microsoft Intune felügyeleti központjában.
  • Az Intune App SDK áttekintése egy réteggel mélyebbre nyúlik, és ismerteti az SDK aktuális funkcióit.
  • Az Android alkalmazásvédelmi szabályzatának beállításai részletesen ismertetik az egyes Android-beállításokat. Az alkalmazás az SDK integrálásával támogatja ezeket a beállításokat. Az SDK-integrációs folyamat során ezeket a beállításokat a saját tesztbérlőjében is konfigurálhatja ellenőrzésre.

Megjegyzés:

Az Android alkalmazásvédelmi szabályzatának egyes beállításaihoz adott kód szükséges a támogatáshoz. További részletekért lásd : 7. szakasz: Alkalmazás részvételi funkciói .

Az SDK-integrációval kapcsolatos legfontosabb döntések

Regisztrálnom kell az alkalmazást a Microsoft identitásplatformon?

Igen, az Intune SDK-val integrálható összes alkalmazásnak regisztrálnia kell a Microsoft identitásplatformján. Kövesse a Gyorsútmutató: Alkalmazás regisztrálása a Microsoft identitásplatformon – Microsoft Identitásplatform című cikk lépéseit.

Hozzáférek az alkalmazásom forráskódhoz?

Ha nem fér hozzá az alkalmazás forráskódjához, és csak .apk vagy .aab formátumban fér hozzá a lefordított alkalmazáshoz, nem fogja tudni integrálni az SDK-t az alkalmazásba. Előfordulhat azonban, hogy az alkalmazás továbbra is kompatibilis az Intune alkalmazásvédelmi szabályzataival. További részletekért lásd: Alkalmazásburkoló eszköz Androidhoz .

Integrálja az alkalmazásom a Microsoft Authentication Libraryt (MSAL)?

Tekintse meg a Microsoft Authentication Library (MSAL) áttekintését annak megállapításához, hogy az alkalmazásnak integrálnia kell-e az MSAL-t. A legtöbb alkalmazásnak integrálnia kell az MSAL-t az Intune SDK integrálása előtt.

Az alkalmazás csak akkor hagyhatja ki az MSAL integrálását , ha az alábbiak mindegyike igaz:

  • Az alkalmazásnak nincs vagy nincs szüksége interaktív bejelentkezési és kijelentkezési végfelhasználói felületre.
  • Az alkalmazás nem támogatja egyszerre több bejelentkezett fiókot.
  • Az alkalmazásnak nem kell támogatnia a nem Intune-fiókokat.
  • Az alkalmazás nem biztosít hozzáférést a feltételes hozzáférés által védett erőforrásokhoz.

Ha az alkalmazás megfelel az összes fenti feltételnek , és nem integrálja az MSAL-t, akkor is védhető az alkalmazásvédelmi szabályzattal, bár nem felügyelt használatra nincs lehetőség. További részletekért lásd: Alapértelmezett regisztráció .

Az MSAL integrálására vonatkozó utasításokért és az alkalmazáson belüli identitáskezelési forgatókönyvekkel kapcsolatos további részletekért lásd : 2. szakasz: Az MSAL előfeltétele .

Az alkalmazásom egyszeres vagy többszörös identitású?

Az Intune alkalmazásvédelmi szabályzatának támogatása nélkül hogyan kezeli az alkalmazás a felhasználói hitelesítést és a fiókokat?

  • Az alkalmazás jelenleg csak egyetlen fiók bejelentkezését engedélyezi? Az alkalmazás explicit módon kényszeríti a bejelentkezett fiók kijelentkeztetésére és az előző fiók adatainak törlésére, mielőtt egy másik fiók bejelentkezhet? Ha igen, az alkalmazás egy identitású.

  • Az alkalmazás jelenleg lehetővé teszi egy második fiók bejelentkezését, még akkor is, ha egy másik fiók már be van jelentkezve? Az alkalmazás több fiók adatait jeleníti meg egy megosztott képernyőn? Az alkalmazás több fiók adatait is tárolja? Az alkalmazás lehetővé teszi a felhasználóknak, hogy váltson a különböző bejelentkezett fiókok között? Ha igen, az alkalmazás több identitásból áll, és az 5. szakaszt kell követnie : Több identitás. Ez a szakasz az alkalmazáshoz szükséges.

Akkor is kövesse ezt az integrációs útmutatót, ha az alkalmazás több identitásból áll. Az önálló identitásként való kezdeti integrálás és tesztelés segít biztosítani a megfelelő integrációt, és megelőzi azokat a hibákat, amelyek során a vállalati adatok nem lesznek védve.

Rendelkezik az alkalmazás alkalmazáskonfigurációs beállításaival, vagy szüksége van rá?

Az Android támogatja az alkalmazásspecifikus felügyeleti konfigurációkat , amelyek az Android Enterprise felügyeleti módokon üzembe helyezett alkalmazásokra vonatkoznak. A rendszergazdák a Microsoft Intune Felügyeleti központban konfigurálhatják ezeket az alkalmazáskonfigurációs szabályzatokat felügyelt Android Enterprise-eszközökhöz.

Az Intune az SDK-val integrált alkalmazásokra vonatkozó alkalmazáskonfigurációkat is támogatja, az eszközfelügyeleti módtól függetlenül. A rendszergazdák a Microsoft Intune Felügyeleti központban konfigurálhatják ezeket az alkalmazáskonfigurációs szabályzatokat a felügyelt alkalmazásokhoz.

Az Intune App SDK mindkét típusú alkalmazáskonfigurációt támogatja, és egyetlen API-t biztosít a konfigurációk mindkét csatornáról való eléréséhez. Ha az alkalmazás támogatja vagy támogatja az ilyen típusú alkalmazáskonfigurációt, akkor a 6. fázist kell követnie : Alkalmazáskonfiguráció.

Az alkalmazásomnak részletes védelmet kell meghatároznia a bejövő és kimenő adatokhoz?

Ha az alkalmazás lehetővé teszi, hogy a felhasználók adatokat mentsenek vagy nyissanak meg a felhőszolgáltatásokból vagy az eszközhelyekről, módosításokat kell végrehajtaniuk a továbbfejlesztett adatátviteli szabályzat támogatásához. Lásd: Szabályzat az alkalmazások és az eszközök vagy felhőbeli tárolóhelyek közötti adatátvitel korlátozásához a 7. fázisban: Alkalmazás részvételi funkciói.

Megjeleníti az alkalmazásom a felhasználóspecifikus információkat tartalmazó értesítéseket?

A több identitást kezelő alkalmazásoknak kódmódosításokat kell végrehajtaniuk az értesítési szabályzat megfelelő betartásához. Előfordulhat, hogy az egy identitással ellátott alkalmazások kódmódosításokat szeretnének végrehajtani, hogy ez az értesítési szabályzat ne tiltsa le az alkalmazás értesítéseinek 100%-át. Lásd: Szabályzat az értesítéseken belüli tartalom korlátozásához a 7. fázisban: Alkalmazás részvételi funkciói.

Az alkalmazásom támogatja az Android biztonsági mentési és visszaállítási funkcióit?

Az Android támogatja a biztonsági mentési és visszaállítási funkciókat, hogy megőrizze az adatokat és a személyre szabásokat a felhasználók számára, amikor új eszközre frissítenek, vagy újratelepítik az alkalmazást.

Az Intune támogatja az SDK-val integrált alkalmazások biztonsági mentési és visszaállítási funkcióit is, hogy a vállalati adatok ne szivároghassanak ki visszaállítással.

Ha az alkalmazás támogatja ezt a funkciót, kódmódosításokat kell végrehajtania a vállalati adatok védelme érdekében a visszaállítás során. Lásd a biztonsági mentési adatok védelmére vonatkozó szabályzatot a 7. fázis: Alkalmazás részvételi funkciói című szakaszban.

Rendelkezik az alkalmazásom olyan erőforrásokkal, amelyeket feltételes hozzáféréssel kell védeni?

A feltételes hozzáférés (CA) egy Microsoft Entra-azonosító funkció, amely a Microsoft Entra-erőforrásokhoz való hozzáférés szabályozására használható. Az Intune-rendszergazdák meghatározhatnak olyan ca-szabályokat, amelyek csak az Intune által felügyelt eszközökről vagy alkalmazásokból engedélyezik az erőforrások elérését.

Az Intune kétféle hitelesítésszolgáltatót támogat: az eszközalapú hitelesítésszolgáltatót és az alkalmazásalapú hitelesítésszolgáltatót, más néven az App Protection ca-t. Az eszközalapú hitelesítésszolgáltató letiltja a védett erőforrásokhoz való hozzáférést, amíg az egész eszközt az Intune nem felügyeli. Az alkalmazásalapú hitelesítésszolgáltató letiltja a védett erőforrásokhoz való hozzáférést, amíg az adott alkalmazást nem kezelik az Intune alkalmazásvédelmi szabályzatai.

Ha az alkalmazás beszerez bármilyen Microsoft Entra hozzáférési jogkivonatot, és hozzáfér a CA által védett erőforrásokhoz, akkor a 7. fázis: Alkalmazás részvételi funkciói című szakaszban követnie kell az Alkalmazásvédelmi hitelesítésszolgáltató támogatása című szakaszt.

Az alkalmazásom rendelkezik olyan különálló témával, amelyet meg kell őriznie az Intune App SDK által megjelenített felhasználói felületen?

Az Intune App SDK alapértelmezés szerint az alapértelmezett téma szerint színesen jeleníti meg a szabályzatkényszerítés felhasználói felületének összetevőit.

Az alapértelmezett téma felülbírálásának lehetősége kozmetikai és opcionális. Lásd: Egyéni téma biztosítása a 7. fázisban: Alkalmazás részvételi funkciói.

Követelmények

Céges portál alkalmazás

Az Androidhoz készült Intune App SDK a Céges portál alkalmazás jelenlétére támaszkodik az eszközön az alkalmazásvédelmi szabályzatok engedélyezéséhez. A Céges portál alkalmazásvédelmi szabályzatokat kér le az Intune szolgáltatásból. Amikor egy SDK-val integrált alkalmazás inicializál, betölti a szabályzatot és a kódot, hogy kikényszerítse a szabályzatot a Vállalati portálról.

Megjegyzés:

Ha a Céges portál alkalmazás nincs az eszközön, az SDK-val integrált alkalmazások ugyanúgy viselkednek, mint az Intune alkalmazásvédelmi szabályzatait nem támogató normál alkalmazások. Még ha a Céges portál alkalmazás is az eszközön található, az SDK-val integrált alkalmazások ugyanúgy viselkednek, mint a normálak, ha a végfelhasználót nem az alkalmazásvédelmi szabályzat célozza.

A felhasználónak nem kell bejelentkeznie vagy akár el is kell indítania a Céges portál alkalmazást az alkalmazásvédelmi szabályzat működéséhez.

Android-verziók

Megjegyzés:

Győződjön meg arról, hogy az alkalmazás kompatibilis a Google Play követelményeivel.

Az SDK teljes mértékben támogatja az Android API 28 (Android 9.0) és az Android API 34 (Android 14) használatát. Az Android API 34 (Android 14) megcélzásához az Intune App SDK-t v10.0.0 vagy újabb verziót kell használnia.

A 26–27(Android 8.0 – 8.1) API-k támogatása korlátozott. A Céges portál alkalmazás nem támogatott az Android API 26 (Android 8.0) alatt. Az Alkalmazásvédelmi szabályzat nem támogatott az Android API 28 (Android 9.0) alatt.

Ha az alkalmazás AZ API 28 (Android 9.0) alatti API-szintre deklarál minSdkVersion , az Intune App SDK nem blokkolja az alkalmazáshasználatot az alkalmazásvédelmi szabályzat által nem érintett felhasználók számára.

Telemetria

Az Androidhoz készült Intune App SDK nem szabályozza az alkalmazásból történő adatgyűjtést. A Céges portál alkalmazás alapértelmezés szerint naplózza a rendszer által létrehozott adatokat. Ezeket az adatokat a rendszer elküldi a Microsoft Intune-nak. A Microsoft szabályzatának megfelelően az Intune nem gyűjt személyes adatokat.

Tipp

Ha a végfelhasználók úgy döntenek, hogy nem küldik el ezeket az adatokat, ki kell kapcsolniuk a telemetriát a Céges portál alkalmazás Beállítások területén. További információ: A Microsoft használati adatainak gyűjtésének kikapcsolása.

Androidos alkalmazásvédelmi tesztszabályzat létrehozása

Bemutató bérlő beállítása

Ha még nem rendelkezik bérlővel a vállalatnál, létrehozhat egy bemutató bérlőt előre létrehozott adatokkal vagy anélkül. A Microsoft CDX eléréséhez Microsoft-partnerként kell regisztrálnia. Új fiók létrehozása:

  1. Lépjen a Microsoft CDX-bérlő létrehozási webhelyére , és hozzon létre egy Microsoft 365 Nagyvállalati bérlőt.
  2. Állítsa be az Intune-t a mobileszköz-kezelés (MDM) engedélyezéséhez.
  3. Felhasználók létrehozása.
  4. Csoportok létrehozása.
  5. A teszteléshez megfelelő licencek hozzárendelése.

Alkalmazásvédelmi szabályzat konfigurálása

Alkalmazásvédelmi szabályzatok létrehozása és hozzárendelése a Microsoft Intune Felügyeleti központban. Az alkalmazásvédelmi szabályzatok létrehozása mellett alkalmazáskonfigurációs szabályzatokat is létrehozhat és hozzárendelhet az Intune-ban.

Mielőtt teszteli az alkalmazásvédelmi szabályzat beállításait a saját alkalmazásán belül, érdemes megismernie, hogyan viselkednek ezek a beállítások más SDK-val integrált alkalmazásokban.

Tipp

Ha az alkalmazás nem szerepel a Microsoft Intune Felügyeleti központban, akkor egy szabályzattal célozhatja meg, ha kiválasztja a További alkalmazások lehetőséget, és megadja a csomag nevét a szövegmezőben. Az integráció sikeres teszteléséhez alkalmazásvédelmi szabályzattal kell céloznia az alkalmazást, és üzembe kell helyeznie a szabályzatot egy felhasználó számára. Még ha a szabályzat meg van célozva és üzembe van helyezve, az alkalmazás nem fogja megfelelően kikényszeríteni a szabályzatokat, amíg sikeresen nem integrálta az SDK-t.

Kilépési feltételek

  • Megismerte, hogyan fognak viselkedni a különböző alkalmazásvédelmi szabályzatok az Android-alkalmazásban?
  • Áttekintette az alkalmazást, és megtervezte az alkalmazás MSAL, feltételes hozzáférés, többszörös identitás, alkalmazáskonfiguráció és az összes további SDK-funkció integrációját?
  • Létrehozott egy Android-alkalmazásvédelmi szabályzatot a tesztbérlőben?

GYIK

Miért van szükség a Céges portál alkalmazásra az alkalmazásvédelmi szabályzatokhoz Androidon?

Az Android Céges portál lekéri és megőrzi az alkalmazásvédelmi szabályzatokat az Intune szolgáltatásból az összes MAM-kompatibilis alkalmazás nevében az eszközön. A MAM-kompatibilis alkalmazások inicializálásakor a rendszer importálja a szabályzat részleteit és a szabályzatbeállítások kényszerítésére szolgáló kódot a Vállalati portálról. A Vállalati portál emellett kódot is tartalmaz a végfelhasználóknak megjelenő hitelesítési kérések számának csökkentésére. Végül a Vállalati portál rendszeradatokat gyűjt az Intune szolgáltatás javítása érdekében; részletekért lásd: Telemetriai adatok.

Megjegyzés:

Ez a Céges portál alkalmazásvédelmi szabályzat funkció az Androidra jellemző.

Mi történik, ha a nem támogatott eszközökkel rendelkező felhasználókra alkalmazásvédelmi szabályzat vonatkozik?

Az Intune alkalmazásvédelmi szabályzatai által nem támogatott Android-eszközökön a végfelhasználói élmény az eszköz Android operációs rendszerének verziójától függ:

Android operációsrendszer-verziók A Google Play viselkedése MAM-alkalmazás viselkedése
Az Android 8.0 alatt A Céges portál alkalmazás nem tölthető le a Google Play áruházból. Azok az eszközök, amelyeken már telepítve van a Vállalati portál, nem fognak tudni frissíteni a Vállalati portál új verzióira. A MAM-funkciók nem lesznek univerzálisan letiltva. Mivel azonban az SDK-val integrált alkalmazások az SDK új verzióival rendelkeznek, a MAM által megcélzott felhasználók nem léphetnek be ezekbe az alkalmazásokba, mivel nem tudják frissíteni a Vállalati portált. Ha egy olyan felhasználó, aki rendelkezik célzott MAM-szabályzattal, és korábban már bejelentkezett az alkalmazásba, elindít egy ilyen alkalmazást, a rendszer kérni fogja, hogy frissítse a Vállalati portált. A felhasználók csökkenthetik ezt a viselkedést, ha eltávolítják a MAM által célzott fiókot az alkalmazásból. Ha a felhasználók eltávolítják a Vállalati portált, a fiókjuk automatikusan törlődik az alkalmazásból, de nem fognak tudni bejelentkezni a MAM által célzott fiókkal.
Android 8.x A Céges portál alkalmazás letölthető lesz a Google Play áruházból. Azok az eszközök, amelyeken már telepítve van a Vállalati portál, továbbra is frissíthetnek a Vállalati portál új verzióira. A MAM-funkciók nincsenek aktívan letiltva. Az Android 8.x azonban nem támogatott, és előfordulhat, hogy a MAM-funkciók nem a várt módon működnek.

Mi az alkalmazásburkoló eszköz?

Az Android-alkalmazásfejlesztők többféleképpen integrálhatják az Intune funkcióit az alkalmazásaikba. A jelen útmutatóban ismertetett SDK mellett a fejlesztők az Androidhoz készült alkalmazásburkoló eszközt is használhatják. Az SDK és az alkalmazásburkoló eszköz részletes összehasonlításáért lásd: Üzletági alkalmazások előkészítése alkalmazásvédelmi szabályzatokhoz .

Következő lépések

Miután elvégezte a fenti kilépési feltételeket , folytassa a 2. fázissal: Az MSAL előfeltételével.