iOS-hez készült Intune App SDK – Többszörös identitás

Megjegyzés:

Ez az útmutató több különböző szakaszra oszlik. Először tekintse át az 1. fázis: Az integráció megtervezése című szakaszt.

5. szakasz: Többszörös identitás (nem kötelező)

Alapértelmezés szerint az SDK egy szabályzatot alkalmaz az alkalmazás egészére. A többszörös identitás egy MAM-funkció, amely lehetővé teszi egy szabályzat identitásonkénti szintű alkalmazását. Ehhez több alkalmazásra van szükség, mint más MAM-funkciók.

Az alkalmazásnak tájékoztatnia kell az alkalmazás SDK-t, amikor módosítani szeretné az aktív identitást. Az SDK arról is értesíti az alkalmazást, ha identitásmódosításra van szükség. Jelenleg csak egy felügyelt identitás támogatott. Miután a felhasználó regisztrálta az eszközt vagy az alkalmazást, az SDK ezt az identitást használja, és elsődleges felügyelt identitásnak tekinti. Az alkalmazás többi felhasználója nem felügyeltként lesz kezelve, nem korlátozott szabályzatbeállításokkal.

Vegye figyelembe, hogy az identitás egyszerűen sztringként van definiálva. Az identitások nem különböztetik meg a kis- és nagybetűket. Előfordulhat, hogy az identitásra vonatkozó SDK-kérések nem ugyanazt a burkolatot adják vissza, amelyet az identitás beállításakor eredetileg használtak.

Szakasz Goals

• Állapítsa meg, hogy az alkalmazásnak szüksége van-e több identitás támogatására.
• Ismerje meg, hogyan érzékeli az Intune App SDK az identitásokat.
• Az alkalmazás újrabontása az identitástudatosság érdekében.
• Adjon hozzá kódot, amely tájékoztatja az SDK-t az alkalmazás aktív és változó identitásairól.
• Alaposan tesztelje az alkalmazásvédelmi szabályzatok kikényszerítését mind a felügyelt, mind a nem felügyelt identitások esetében.

Identitás áttekintése

Az identitás egyszerűen egy fiók felhasználóneve (például user@contoso.com). A fejlesztők az alkalmazás identitását a következő szinteken állíthatják be:

• Folyamatidentitás: Beállítja a folyamatszintű identitást, és főként az önálló identitást használó alkalmazásokhoz használatos. Ez az identitás minden feladatra, fájlra és felhasználói felületre hatással van.

• Felhasználói felület identitása: Meghatározza, hogy milyen szabályzatok legyenek alkalmazva a fő szál felhasználói felületi feladataira, például a kivágásra/másolásra/beillesztésre, a PIN-kódra, a hitelesítésre és az adatmegosztásra. A felhasználói felület identitása nem befolyásolja az olyan fájlfeladatokat, mint a titkosítás és a biztonsági mentés.

• Szál identitása: Hatással van az aktuális szálra alkalmazott szabályzatokra. Ez az identitás minden feladatra, fájlra és felhasználói felületre hatással van.

Az alkalmazás felelős az identitások megfelelő beállításáért, függetlenül attól, hogy a felhasználó felügyelt-e.

Bármikor minden szál rendelkezik a felhasználói felületi feladatok és a fájlfeladatok hatékony identitással. Ez az identitás annak ellenőrzésére szolgál, hogy milyen szabályzatokat kell alkalmazni, ha vannak ilyenek. Ha az identitás "nincs identitás", vagy a felhasználó nincs felügyelve, a rendszer nem alkalmaz szabályzatokat. Az alábbi ábrák a tényleges identitások meghatározását mutatják be.

Szálsorok

Az alkalmazások gyakran aszinkron és szinkron feladatokat küldenek a szálsorokba. Az SDK elfogja a Grand Central Dispatch -hívásokat, és társítja az aktuális szál identitását a kézbesített feladatokkal. Amikor a feladatok befejeződnek, az SDK ideiglenesen a tevékenységekhez társított identitásra módosítja a szálidentitást, befejezi a feladatokat, majd visszaállítja az eredeti szálidentitást.

Mivel NSOperationQueue a GCD-n alapul, NSOperations a futtatás a szál identitásán fog futni, amikor a feladatokat hozzáadja a-hoz NSOperationQueue. NSOperations vagy a közvetlenül a GCD-vel küldött függvények is módosíthatják az aktuális szál identitását futás közben. Ez az identitás felülbírálja a küldő száltól örökölt identitást.

A swiftben annak következtében, hogy az SDK hogyan propagálja a identitásait a számára DispatchWorkItem, az a-hoz DispatchWorkItem társított identitás az elemet létrehozó szál identitása, nem pedig az azt küldő szál.

Fájltulajdonos

Az SDK nyomon követi a helyi fájltulajdonosok identitásait, és ennek megfelelően alkalmazza a szabályzatokat. A fájl létrehozásakor vagy csonkolási módban történő megnyitáskor létrejön egy fájltulajdonos. A tulajdonos a feladatot végrehajtó szál tényleges fájlfeladat-identitására van beállítva.

Másik lehetőségként az alkalmazások explicit módon is beállíthatják a fájltulajdonosi identitást a használatával IntuneMAMFilePolicyManager. Az alkalmazásokkal IntuneMAMFilePolicyManager lekérheti a fájl tulajdonosát, és beállíthatja a felhasználói felület identitását, mielőtt megjelenítené a fájl tartalmát.

Megosztott adatok

Ha az alkalmazás olyan fájlokat hoz létre, amelyek felügyelt és nem felügyelt felhasználóktól is származnak adatokkal, az alkalmazás felelős a felügyelt felhasználó adatainak titkosításáért. Az adatokat a protect és unprotect API-kkal titkosíthatja a fájlban IntuneMAMDataProtectionManager.

A protect metódus olyan identitást fogad el, amely felügyelt vagy nem felügyelt felhasználó lehet. Ha a felhasználót felügyeli, az adatok titkosítva lesznek. Ha a felhasználó nem felügyelt, a rendszer hozzáad egy fejlécet az identitást kódoló adatokhoz, de az adatok nem lesznek titkosítva. A metódus használatával protectionInfo lekérheti az adatok tulajdonosát.

Bővítmények megosztása

Ha az alkalmazás rendelkezik megosztási bővítménnyel, a megosztott elem tulajdonosa lekérhető a metódussal a protectionInfoForItemProvider következőben IntuneMAMDataProtectionManager: . Ha a megosztott elem egy fájl, az SDK fogja kezelni a fájl tulajdonosának beállítását. Ha a megosztott elem adatok, az alkalmazás felelős a fájl tulajdonosának beállításáért, ha az adatok egy fájlban maradnak, és hogy meghívja az setUIPolicyIdentity API-t, mielőtt megjelenítené ezeket az adatokat a felhasználói felületen.

A többszörös identitás bekapcsolása

Alapértelmezés szerint az alkalmazások önálló identitásnak minősülnek. Az SDK beállítja a folyamat identitását a regisztrált felhasználónak. A többszörös identitás támogatásának engedélyezéséhez adjon hozzá egy logikai beállítást az alkalmazás Info.plist fájljában található IntuneMAMSettings szótárhoz, amelynek neve MultiIdentity és értéke IGEN.

Megjegyzés:

Ha a többszörös identitás engedélyezve van, a folyamatidentitás, a felhasználói felület identitása és a szálidentitások értéke nil lesz. Az alkalmazás felelős a megfelelő beállításukért.

Identitásváltás

• Alkalmazás által kezdeményezett identitásváltás:

  Indításkor a rendszer úgy tekinti, hogy a több identitással rendelkező alkalmazások ismeretlen, nem felügyelt fiókban futnak. A feltételes indítás felhasználói felülete nem fog futni, és az alkalmazásban nem lesznek érvényben szabályzatok. Az alkalmazás felelős azért, hogy értesítse az SDK-t, amikor az identitást módosítani kell. Ez általában akkor fordul elő, ha az alkalmazás egy adott felhasználói fiók adatait fogja megjeleníteni.

  Ilyen például, ha a felhasználó megpróbál megnyitni egy dokumentumot, egy postaládát vagy egy lapot egy jegyzetfüzetben. Az alkalmazásnak értesítenie kell az SDK-t a fájl, postaláda vagy lap tényleges megnyitása előtt. Ez az API-val végezhető el a setUIPolicyIdentity következőben: IntuneMAMPolicyManager. Ezt az API-t meg kell hívni, függetlenül attól, hogy a felhasználó felügyelt-e. Ha a felhasználót felügyeli, az SDK elvégzi a feltételes indítási ellenőrzéseket, például a jailbreakészlelést, a PIN-kódot és a hitelesítést.

  Az identitásváltás eredményét a rendszer aszinkron módon adja vissza az alkalmazásnak egy befejezéskezelőn keresztül. Az alkalmazásnak el kell halasztania a dokumentum, a postaláda vagy a lap megnyitását, amíg eredménykódot nem ad vissza. Ha az identitásváltás sikertelen volt, az alkalmazásnak le kell mondania a feladatot.

  A több identitást használó setProcessIdentity alkalmazásoknak kerülnie kell az identitás beállításának módját. Az UIScenes-t használó alkalmazásoknak az setUIPolicyIdentity:forWindow API-t kell használniuk az identitás beállításához.

  Az alkalmazások a és setCurrentThreadIdentity:forScope:a használatával setCurrentThreadIdentity: is beállíthatják az aktuális szál identitását. Előfordulhat például, hogy az alkalmazás létrehoz egy háttérszálat, beállítja az identitást a felügyelt identitásra, majd fájlműveleteket hajt végre a felügyelt fájlokon. Ha az alkalmazás a -t használja setCurrentThreadIdentity:, az alkalmazásnak is használnia getCurrentThreadIdentity kell, hogy visszaállíthassa az eredeti identitást, miután elkészült. Ha azonban az alkalmazás ezt használja setCurrentThreadIdentity:forScope: , a régi identitás visszaállítása automatikusan megtörténik. A használata setCurrentThreadIdentity:forScope:ajánlott.

  Gyorsan, az async/await miatt, [IntuneMAMPolicyManager setCurrentThreadIdentity:] és [IntuneMAMPolicyManager setCurrentThreadIdentity:forScope:] nem érhetők el. A jelenlegi identitás gyors beállítása helyett használja a következőt IntuneMAMSwiftContextManager.setIdentity(_, forScope:): . Ennek az API-nak vannak változatai az aszinkron, dobási és aszinkron dobási lezárásokhoz.

• SDK által kezdeményezett identitásváltás:

  Néha az SDK-nak meg kell kérnie az alkalmazást, hogy váltson egy adott identitásra. A több identitást alkalmazó alkalmazásoknak implementálniuk kell a metódust a identitySwitchRequired metódusban IntuneMAMPolicyDelegate a kérés kezeléséhez.

  Ha ez a metódus meg van hívva, és az alkalmazás képes kezelni a megadott identitásra való váltásra irányuló kérést, akkor azt át kell adnia IntuneMAMAddIdentityResultSuccess a befejezéskezelőnek. Ha nem tudja kezelni az identitásváltást, az alkalmazásnak át kell adnia IntuneMAMAddIdentityResultFailed a befejezéskezelőbe.

  Az alkalmazásnak nem kell hívást kezdeményeznie setUIPolicyIdentity erre a hívásra válaszul. Ha az SDK-nak szüksége van arra, hogy az alkalmazás nem felügyelt felhasználói fiókra váltson, a rendszer átadja az üres sztringet a identitySwitchRequired hívásnak.

• SDK által kezdeményezett identitások automatikus regisztrálása:

  Ha az SDK-nak automatikusan regisztrálnia kell egy felhasználót az alkalmazásban egy művelet végrehajtásához, az alkalmazásoknak implementálniuk kell a metódust a addIdentity:completionHandler: alkalmazásban IntuneMAMPolicyDelegate. Az alkalmazásnak ezután meg kell hívnia a befejezéskezelőt, és meg kell adnia az IntuneMAMAddIdentityResultResultSuccess értéket, ha az alkalmazás képes hozzáadni az identitást vagy az IntuneMAMAddIdentityResultFailed elemet.

• Szelektív törlés:

  Az alkalmazás szelektív törlésekor az SDK meghívja a metódust a wipeDataForAccount következőben IntuneMAMPolicyDelegate: . Az alkalmazás felelős a megadott felhasználói fiók és a hozzá társított adatok eltávolításáért. Az SDK képes eltávolítani a felhasználó tulajdonában lévő összes fájlt, és ezt fogja tenni, ha az alkalmazás FALSE értéket ad vissza a wipeDataForAccount hívásból.

  Vegye figyelembe, hogy ezt a metódust egy háttérszálból hívjuk meg. Az alkalmazás csak akkor ad vissza értéket, ha a felhasználó összes adata el lett távolítva (kivéve a fájlokat, ha az alkalmazás HAMIS értéket ad vissza).

Kilépési feltételek

Tervezze meg, hogy jelentős időt szán az alkalmazás több identitással való integrációjának érvényesítésére. A tesztelés megkezdése előtt:

• Alkalmazásvédelmi szabályzat létrehozása és hozzárendelése egy fiókhoz. Ez lesz a teszt által felügyelt fiók.
• Hozzon létre egy másik fiókot, de ne rendeljen hozzá alkalmazásvédelmi szabályzatot. Ez lesz a teszt nem felügyelt fiókja. Ha az alkalmazás Microsoft Entra fiókokon kívül több fióktípust is támogat, akkor nem felügyelt tesztfiókként használhat egy meglévő nem AAD-fiókot.
• Ismerkedjen meg a szabályzat alkalmazáson belüli érvényre juttatásának módjával. A többszörös identitásteszteléshez könnyen meg kell különböztetnie, hogy az alkalmazás mikor van érvényben, és nem a szabályzat kikényszerítésével működik. A képernyőképek letiltására szolgáló alkalmazásvédelmi házirend-beállítás hatékony a szabályzatkényszerítés gyors teszteléséhez.
• Vegye figyelembe az alkalmazás által kínált felhasználói felület teljes készletét. Számba veszi azokat a képernyőket, ahol a fiókadatok megjelennek. Az alkalmazás csak egyetlen fiók adatait jeleníti meg egyszerre, vagy egyszerre több fiókhoz tartozó adatokat is megjeleníthet?
• Vegye figyelembe az alkalmazás által létrehozott fájlok teljes készletét. Enumerálja, hogy ezen fájlok közül melyik tartalmaz fiókhoz tartozó adatokat a rendszerszintű adatok helyett.
  • Határozza meg, hogyan fogja ellenőrizni az egyes fájlok titkosítását.
• Vegye figyelembe, hogy az alkalmazás milyen módon kommunikálhat más alkalmazásokkal. Az összes bejövő és kimenő pont számbavétele. Milyen típusú adatokat tud az alkalmazás betölteni? Milyen szándékokat közvetít? Milyen tartalomszolgáltatókat implementál?
  • Határozza meg, hogyan fogja használni ezeket az adatmegosztási funkciókat.
  • Készítsen elő egy olyan teszteszközt, amely felügyelt és nem felügyelt alkalmazásokkal is rendelkezik, amelyek képesek együttműködni az alkalmazással.
• Gondolja át, hogy az alkalmazás hogyan teszi lehetővé a végfelhasználó számára az összes bejelentkezett fiók használatát. A felhasználónak manuálisan kell váltania egy fiókra a fiók adatainak megjelenítése előtt?

Miután alaposan felmérte az alkalmazás aktuális viselkedését, ellenőrizze a több identitás integrációját az alábbi tesztek végrehajtásával. Vegye figyelembe, hogy ez nem egy átfogó lista, és nem garantálja, hogy az alkalmazás többszörös identitású implementációja hibamentes.

Bejelentkezési és kijelentkezési forgatókönyvek ellenőrzése

A több identitással rendelkező alkalmazás legfeljebb 1 felügyelt fiókot és több nem felügyelt fiókot támogat. Ezek a tesztek segítenek biztosítani, hogy a többszörös identitás integrációja ne módosítsa helytelenül a védelmet a felhasználók bejelentkezésekor vagy kijelentkezésekor.

Ezekhez a tesztekhez telepítse az alkalmazást egy teszteszközre; ne jelentkezzen be a teszt megkezdése előtt.

Forgatókönyv	Lépéseket
Először jelentkezzen be felügyeltként	– Először jelentkezzen be egy felügyelt fiókkal, és ellenőrizze, hogy a fiók adatai kezelhetők-e. – Jelentkezzen be egy nem felügyelt fiókkal, és ellenőrizze, hogy a fiók adatai nincsenek-e kezelve.
Először jelentkezzen be nem felügyelt módon	– Először jelentkezzen be egy nem felügyelt fiókkal, és ellenőrizze, hogy a fiók adatai nincsenek-e kezelve. – Jelentkezzen be egy felügyelt fiókkal, és ellenőrizze, hogy a fiók adatainak kezelése megtörtént-e.
Több felügyelt bejelentkezés	– Először jelentkezzen be egy felügyelt fiókkal, és ellenőrizze, hogy a fiók adatai kezelhetők-e. – Jelentkezzen be egy második felügyelt fiókkal, és ellenőrizze, hogy a felhasználó nem jelentkezik-e be az eredeti felügyelt fiók eltávolítása nélkül.
Felügyelt kijelentkezés	– Jelentkezzen be az alkalmazásba egy felügyelt, nem felügyelt fiókkal. – Jelentkezzen ki a felügyelt fiókból. – Győződjön meg arról, hogy a felügyelt fiók el lett távolítva az alkalmazásból, és a fiók összes adata el lett távolítva. – Győződjön meg arról, hogy a nem felügyelt fiók továbbra is be van jelentkezve, a nem felügyelt fiók adatainak egyike sem lett eltávolítva, és a szabályzat még mindig nincs alkalmazva.
Nem felügyelt kijelentkezés	– Jelentkezzen be az alkalmazásba egy felügyelt, nem felügyelt fiókkal. – Jelentkezzen ki a nem felügyelt fiókból. – Győződjön meg arról, hogy a nem felügyelt fiók el lett távolítva az alkalmazásból, és a fiók összes adata el lett távolítva. – Győződjön meg arról, hogy a felügyelt fiók továbbra is be van jelentkezve, a nem felügyelt fiók adatainak egyike sem lett eltávolítva, és a szabályzat továbbra is érvényben van.

Az aktív identitás és az alkalmazás életciklusának ellenőrzése

A több identitást használó alkalmazás megjeleníthet nézeteket egyetlen fiók adataival, és lehetővé teheti a felhasználó számára, hogy explicit módon módosítsa az aktuális használatban lévő fiókot. Egyszerre több fiók adatait tartalmazó nézeteket is megjeleníthet. Ezek a tesztek segítenek biztosítani, hogy a többszörös identitásintegráció megfelelő védelmet biztosítson az aktív identitás számára az alkalmazás teljes életciklusa során minden oldalon.

Ezekhez a tesztekhez telepítse az alkalmazást egy teszteszközre; jelentkezzen be egy felügyelt és nem felügyelt fiókkal is a teszt megkezdése előtt.

Forgatókönyv	Lépéseket
Egyfiókos nézet, felügyelt	– Váltson a felügyelt fiókra. – Navigáljon az alkalmazás összes olyan lapjára, amely egyetlen fiók adatait jeleníti meg. – Győződjön meg arról, hogy a szabályzat minden oldalon alkalmazva van.
Egyfiókos nézet, nem felügyelt	– Váltson a nem felügyelt fiókra. – Navigáljon az alkalmazás összes olyan lapjára, amely egyetlen fiók adatait jeleníti meg. – Győződjön meg arról, hogy a szabályzat nincs alkalmazva egyik oldalon sem.
Többfiókos nézet	– Navigáljon az alkalmazás összes olyan lapjához, amely egyszerre több fiók adatait jeleníti meg. – Győződjön meg arról, hogy a szabályzat minden oldalon alkalmazva van.
Felügyelt szüneteltetés	– A megjelenített felügyelt adatokat és aktív szabályzatot tartalmazó képernyőn az eszköz kezdőképernyőjére vagy egy másik alkalmazásra lépve szüneteltetheti az alkalmazást. – Folytassa az alkalmazást. – Győződjön meg arról, hogy a szabályzat továbbra is érvényben van.
Nem felügyelt szüneteltetés	– Olyan képernyőn, amelyen nem felügyelt adatok jelennek meg, és nincsenek aktív szabályzatok, az eszköz kezdőképernyőjére vagy egy másik alkalmazásra lépve szüneteltetheti az alkalmazást. – Folytassa az alkalmazást. – Győződjön meg arról, hogy a szabályzat nincs alkalmazva.
Felügyelt leölés	– A megjelenített felügyelt adatokkal és aktív szabályzattal rendelkező képernyőn kényszerítse ki az alkalmazást. – Indítsa újra az alkalmazást. – Győződjön meg arról, hogy ha az alkalmazás a felügyelt fiók adataival (várt) egy képernyőn folytatódik, a szabályzat továbbra is érvényben lesz. Ha az alkalmazás a nem felügyelt fiók adataival folytatódik egy képernyőn, győződjön meg arról, hogy a szabályzat nincs alkalmazva.
Nem felügyelt gyilkosság	– Egy képernyőn, amelyen nem felügyelt adatok jelennek meg, és a szabályzat aktív, kényszerítse az alkalmazás leállítását. – Indítsa újra az alkalmazást. – Győződjön meg arról, hogy ha az alkalmazás a nem felügyelt fiók adataival (várt) folytatódik a képernyőn, a szabályzat nem lesz alkalmazva. Ha az alkalmazás a felügyelt fiók adatait tartalmazó képernyőn folytatódik, ellenőrizze, hogy a szabályzat továbbra is érvényben van-e.
Identitásváltás ad hoc	– Kísérletezzen a fiókok közötti váltással és az alkalmazás szüneteltetésével/folytatásával/leállásával/újraindításával. – Győződjön meg arról, hogy a felügyelt fiók adatai mindig védettek, és a nem felügyelt fiók adatai soha nem védettek.

Adatmegosztási forgatókönyvek ellenőrzése

A többszörös identitású alkalmazás adatokat küldhet az alkalmazásnak, és adatokat fogadhat más alkalmazásokból. Az Intune alkalmazásvédelmi szabályzatai olyan beállításokkal rendelkeznek, amelyek meghatározzák ezt a viselkedést. Ezek a tesztek segítenek biztosítani, hogy a többszörös identitás integrációja figyelembe veszi ezeket az adatmegosztási beállításokat.

Ezekhez a tesztekhez telepítse az alkalmazást egy teszteszközre; jelentkezzen be egy felügyelt és nem felügyelt fiókkal is a teszt megkezdése előtt. Továbbá:

• Állítsa be a felügyelt fiók szabályzatát a következőként:
  • "Szervezeti adatok küldése más alkalmazásoknak" a szabályzattal felügyelt alkalmazásoknak.
  • "Adatok fogadása más alkalmazásokból" a szabályzattal felügyelt alkalmazásokba.
• Telepítsen más alkalmazásokat a teszteszközre:
  • Az alkalmazással azonos szabályzattal rendelkező felügyelt alkalmazás, amely képes adatokat küldeni és fogadni (például a Microsoft Outlookot).
  • Bármely nem felügyelt alkalmazás, amely képes adatokat küldeni és fogadni.
• Jelentkezzen be a másik felügyelt alkalmazásba a felügyelt tesztfiókkal. Még akkor is, ha a másik felügyelt alkalmazás több identitású, csak a felügyelt fiókkal jelentkezzen be.

Ha az alkalmazás képes adatokat küldeni más alkalmazásoknak, például a Microsoft Outlooknak, amely dokumentummellékletet küld a Microsoft Office-nak:

Forgatókönyv	Lépéseket
Felügyelt identitás küldése nem felügyelt alkalmazásba	– Váltson a felügyelt fiókra. – Navigáljon arra a helyre, ahová az alkalmazás adatokat küldhet. – Nem felügyelt alkalmazásnak kísérel meg adatokat küldeni. – Le kell tiltani, hogy adatokat küldjön a nem felügyelt alkalmazásnak.
Felügyelt identitás küldése felügyelt alkalmazásba	– Váltson a felügyelt fiókra. – Navigáljon arra a helyre, ahová az alkalmazás adatokat küldhet. – Próbáljon meg adatokat küldeni a másik felügyelt alkalmazásnak a bejelentkezett felügyelt fiókkal. – Lehetővé kell tenni, hogy adatokat küldjön a felügyelt alkalmazásnak.
Nem felügyelt identitás küldése felügyelt alkalmazásba	– Váltson a nem felügyelt fiókra. – Navigáljon arra a helyre, ahová az alkalmazás adatokat küldhet. – Próbáljon meg adatokat küldeni a másik felügyelt alkalmazásnak a bejelentkezett felügyelt fiókkal. – Le kell tiltani, hogy adatokat küldjön a másik felügyelt alkalmazásnak.
Nem felügyelt identitás küldése nem felügyelt alkalmazásba	– Váltson a nem felügyelt fiókra. – Navigáljon arra a helyre, ahová az alkalmazás adatokat küldhet. – Nem felügyelt alkalmazásnak kísérel meg adatokat küldeni. – Mindig engedélyezni kell, hogy egy nem felügyelt fiók adatait elküldje egy nem felügyelt alkalmazásnak.

Az alkalmazás aktívan importálhat adatokat más alkalmazásokból, például a Microsoft Outlookból, amely egy fájlt csatol a Microsoft OneDrive-ról. Előfordulhat, hogy az alkalmazás passzívan fogad adatokat más alkalmazásokból, például a Microsoft Office-ból, amely megnyit egy dokumentumot egy Microsoft Outlook-mellékletből. A fogadási alkalmazásvédelmi szabályzat beállítása mindkét forgatókönyvet lefedi.

Ha az alkalmazás képes aktívan adatokat importálni más alkalmazásokból:

Forgatókönyv	Lépéseket
Felügyelt identitás importálása nem felügyelt alkalmazásból	– Váltson a felügyelt fiókra. – Navigáljon oda, ahol az alkalmazás adatokat importálhat más alkalmazásokból. – Adatok importálása nem felügyelt alkalmazásból. – Le kell tiltani az adatok nem felügyelt alkalmazásokból való importálását.
Felügyelt identitás importálása felügyelt alkalmazásból	– Váltson a felügyelt fiókra. – Navigáljon oda, ahol az alkalmazás adatokat importálhat más alkalmazásokból. – Próbáljon meg adatokat importálni a másik felügyelt alkalmazásból a bejelentkezett felügyelt fiókkal. – Engedélyezni kell az adatok importálását a másik felügyelt alkalmazásból.
Nem felügyelt identitás importálása felügyelt alkalmazásból	– Váltson a nem felügyelt fiókra. – Navigáljon oda, ahol az alkalmazás adatokat importálhat más alkalmazásokból. – Próbáljon meg adatokat importálni a másik felügyelt alkalmazásból a bejelentkezett felügyelt fiókkal. – Le kell tiltani az adatok importálását a másik felügyelt alkalmazásból.
Nem felügyelt identitás importálása nem felügyelt alkalmazásból	– Váltson a nem felügyelt fiókra. – Navigáljon oda, ahol az alkalmazás adatokat importálhat más alkalmazásokból. – Adatok importálása nem felügyelt alkalmazásból. – Mindig engedélyezni kell, hogy adatokat importáljon nem felügyelt alkalmazásból egy nem felügyelt fiókhoz.

Ha az alkalmazás képes passzívan adatokat fogadni más alkalmazásokból:

Forgatókönyv	Lépéseket
Felügyelt identitás fogadása nem felügyelt alkalmazásból	– Váltson a felügyelt fiókra. – Váltson a nem felügyelt alkalmazásra. – Navigáljon arra a helyre, ahová adatokat küldhet. – Próbáljon meg adatokat küldeni a nem felügyelt alkalmazásból az alkalmazásnak. – Az alkalmazás felügyelt fiókjának nem szabad tudnia adatokat fogadni a nem felügyelt alkalmazásból.
Felügyelt identitás fogadása felügyelt alkalmazásból	– Váltson a felügyelt fiókra. – Váltson a másik felügyelt alkalmazásra a bejelentkezett felügyelt fiókkal. – Navigáljon arra a helyre, ahová adatokat küldhet. – Próbáljon meg adatokat küldeni a felügyelt alkalmazásból az alkalmazásnak. – Engedélyezni kell az alkalmazás felügyelt fiókjának, hogy adatokat fogadjon a másik felügyelt alkalmazástól.
Felügyelt alkalmazásból érkező nem felügyelt identitás	– Váltson a nem felügyelt fiókra. – Váltson a másik felügyelt alkalmazásra a bejelentkezett felügyelt fiókkal. – Navigáljon arra a helyre, ahová adatokat küldhet. – Próbáljon meg adatokat küldeni a felügyelt alkalmazásból az alkalmazásnak. – Az alkalmazás nem felügyelt fiókjának nem kell tudnia adatokat fogadni a felügyelt alkalmazásból.
Nem felügyelt identitások fogadása nem felügyelt alkalmazásból	– Váltson a nem felügyelt fiókra. – Váltson a nem felügyelt alkalmazásra. – Navigáljon arra a helyre, ahová adatokat küldhet. – Próbáljon meg adatokat küldeni a nem felügyelt alkalmazásból az alkalmazásnak. – Az alkalmazás nem felügyelt fiókjának mindig engedélyezni kell az adatok fogadását a nem felügyelt alkalmazástól.

A tesztek hibái azt jelezhetik, hogy az alkalmazás nem rendelkezik a megfelelő aktív identitással, amikor adatokat próbál küldeni vagy fogadni. Ezt úgy vizsgálhatja meg, hogy az SDK get identity API-jait a küldés/fogadás időpontjában felhasználja annak ellenőrzéséhez, hogy az aktív identitás megfelelően van-e beállítva.

Következő lépések

Miután elvégezte a fenti kilépési feltételeket , az alkalmazás sikeresen integrálva lesz több identitásként, és identitásonként érvényesítheti az alkalmazásvédelmi szabályzatokat. A következő szakaszok, 6. szakasz: Az Alkalmazásvédelem feltételes hozzáférésének támogatása és a 7. fázis: Webnézeti funkciókra lehet szükség az alkalmazás kívánt alkalmazásvédelmi szabályzatának támogatásától függően.