Android-alkalmazások előkészítése alkalmazásvédelmi szabályzatokhoz a Intune App Wrapping Tool

  • Cikk

Az Androidhoz készült Microsoft Intune App Wrapping Tool az alkalmazás funkcióinak korlátozásával, az alkalmazás kódjának módosítása nélkül módosíthatja a belső Android-alkalmazások viselkedését.

Az eszköz egy Windows parancssori alkalmazás, amely a PowerShellben fut, és burkolót hoz létre az Android-alkalmazás körül. Az alkalmazás burkolását követően módosíthatja az alkalmazás funkcióit a mobilalkalmazás-felügyeleti szabályzatok konfigurálásával a Intune.

Az eszköz futtatása előtt tekintse át a App Wrapping Tool futtatásával kapcsolatos biztonsági szempontokat. Az eszköz letöltéséhez nyissa meg az Androidhoz készült Microsoft Intune App Wrapping Tool a GitHubon.

Megjegyzés:

Ha problémái vannak a Intune App Wrapping Tool alkalmazásokkal való használatával kapcsolatban, küldjön segítséget a GitHubon.

A App Wrapping Tool használatának előfeltételeinek teljesítése

  • Az alkalmazásnak naprakész kódtárakat kell használnia

  • Az alkalmazásnak kompatibilisnek kell lennie a Google Play követelményeivel

  • Ha az alkalmazás összetett, integrálnia kell az androidos Intune App SDK-val

  • A App Wrapping Tool egy Windows 10 vagy újabb rendszert futtató Windows-számítógépen kell futtatnia.

  • A bemeneti alkalmazásnak érvényes Android-alkalmazáscsomagnak kell lennie, amelynek fájlkiterjesztése .apk és:

    • Nem titkosítható.
    • A Intune App Wrapping Tool korábban nem csomagolhatta be.
    • Android 9.0-s vagy újabb verzióra kell írni.

    Megjegyzés:

    Ha a bemeneti alkalmazás androidos alkalmazáscsomag (.aab), a Intune App Wrapping Tool használata előtt APK-vá kell konvertálnia. Részletekért lásd: Android-alkalmazáscsomag (AAB) konvertálása APK-ra. 2021 augusztusától az új privát alkalmazások továbbra is közzétehetők a Google Play Áruházban APK-ként.

  • Az alkalmazást a vagy a vállalatnak kell fejlesztenie. Ez az eszköz nem használható a Google Play Áruházban elérhető alkalmazásokban. Ide tartozik az alkalmazás letöltése vagy beszerzése a Google Play Áruházból.

  • A App Wrapping Tool futtatásához telepítenie kell a Java Runtime Environment legújabb verzióját, majd győződjön meg arról, hogy a Java elérési út változója C:\ProgramData\Oracle\Java\javapath értékre van állítva a Windows környezeti változóiban. További segítségért tekintse meg a Java dokumentációját.

    Megjegyzés:

    Bizonyos esetekben a Java 32 bites verziója memóriaproblémákat okozhat. Érdemes telepíteni a 64 bites verziót.

  • Az Android megköveteli az összes alkalmazáscsomag (.apk) aláírását. A meglévő tanúsítványok újrafelhasználásával és az általános aláíró tanúsítványokkal kapcsolatos útmutatásért lásd: Aláíró tanúsítványok és burkolóalkalmazások újrafelhasználása. Miután becsomagolta a .apk fájlt a Intune App Wrapping Tool, javasoljuk, hogy használja a Google által biztosított Apksigner eszközt. Ez biztosítja, hogy amint az alkalmazás eljut a végfelhasználói eszközökhöz, androidos szabványok szerint megfelelően elindítható legyen.

  • (Nem kötelező) Előfordulhat, hogy egy alkalmazás eléri a Dalvik Végrehajtható fájl (DEX) méretkorlátját a burkolás során hozzáadott Intune MAM SDK-osztályok miatt. A DEX-fájlok az Android-alkalmazások fordításának részét képezik. A Intune App Wrapping Tool automatikusan kezeli a DEX-fájlok túlcsordulását a 21-es vagy újabb minimális API-szinttel rendelkező alkalmazások burkolása során (az 1.0.2501.1-es verziótól). A minimális 21 API-szinttel < rendelkező alkalmazások esetében az ajánlott eljárás a minimális API-szint növelése a burkoló jelzőjével -UseMinAPILevelForNativeMultiDex . Ha az ügyfelek nem tudják növelni az alkalmazás minimális API-szintjét, az alábbi DEX-túlcsordulási áthidaló megoldások érhetők el. Bizonyos szervezeteknél ehhez az alkalmazás fordítójával (azaz az alkalmazás buildelési csapatával) kell együttműködni:

    • A ProGuard használatával kiküszöbölheti a nem használt osztályhivatkozásokat az alkalmazás elsődleges DEX-fájljából.
    • Az Android Gradle beépülő modul 3.1.0-s vagy újabb verzióját használó ügyfelek számára tiltsa le a D8 dexert.

Milyen gyakran kell újraírnom az Android-alkalmazásomat a Intune App Wrapping Tool?

Az alkalmazások újraírásának fő forgatókönyvei a következők:

  • Maga az alkalmazás új verziót adott ki. Az alkalmazás előző verziója becsomagolva és feltöltve lett a Microsoft Intune Felügyeleti központba.

  • Az Androidhoz készült Intune App Wrapping Tool kiadott egy új verziót, amely lehetővé teszi a legfontosabb hibajavításokat, illetve az alkalmazásvédelmi szabályzatok új, Intune funkcióit. Ez 6–8 hetente történik az Android Microsoft Intune App Wrapping Tool GitHub-adattárán keresztül.

Az újrarajzolás néhány ajánlott eljárása:

A App Wrapping Tool telepítése

  1. A GitHub-adattárból töltse le az Android Intune App Wrapping Tool InstallAWT.exe telepítőfájlját egy Windows-számítógépre. Nyissa meg a telepítőfájlt.

  2. Fogadja el a licencszerződést, majd fejezze be a telepítést.

Jegyezze fel azt a mappát, amelyre az eszközt telepítette. Az alapértelmezett hely a következő: C:\Program Files (x86)\Microsoft Intune Mobile Application Management\Android\App Wrapping Tool.

A App Wrapping Tool futtatása

Fontos

Intune rendszeresen ad ki frissítéseket a Intune App Wrapping Tool. Rendszeresen ellenőrizze az Android rendszerhez készült Intune App Wrapping Tool a frissítéseket, és építse be a szoftverfejlesztési kiadási ciklusba, hogy az alkalmazások támogatják a legújabb alkalmazásvédelmi házirend-beállításokat.

  1. Azon a Windows-számítógépen, amelyen a App Wrapping Tool telepítette, nyisson meg egy PowerShell-ablakot.

  2. Importálja a App Wrapping Tool PowerShell-modult abból a mappából, ahová az eszközt telepítette:

    Import-Module .\IntuneAppWrappingTool.psm1

  3. Futtassa az eszközt az invoke-AppWrappingTool paranccsal, amely a következő használati szintaxissal rendelkezik:

    Invoke-AppWrappingTool [-InputPath] <String> [-OutputPath] <String> [<CommonParameters>]

    Az alábbi táblázat az invoke-AppWrappingTool parancs tulajdonságait részletezi:

Tulajdonság Információ
-InputPath<Karakterlánc> A forrás Android-alkalmazás elérési útja (.apk).
-OutputPath<Karakterlánc> A kimeneti Android-alkalmazás elérési útja. Ha ez ugyanaz a könyvtárelérési út, mint az InputPath, a csomagolás sikertelen lesz.
<CommonParameters> (Nem kötelező) A parancs támogatja az olyan gyakori PowerShell-paramétereket, mint a részletes és a hibakeresés.

  • A gyakori paraméterek listáját a Microsoft Script Centerben találja.

  • Az eszköz részletes használati adatainak megtekintéséhez írja be a következő parancsot:

    Help Invoke-AppWrappingTool

Példa:

Importálja a PowerShell-modult.

Import-Module "C:\Program Files (x86)\Microsoft Intune Mobile Application Management\Android\App Wrapping Tool\IntuneAppWrappingTool.psm1"

Futtassa a App Wrapping Tool a natív alkalmazás HelloWorld.apk.

invoke-AppWrappingTool -InputPath .\app\HelloWorld.apk -OutputPath .\app_wrapped\HelloWorld_wrapped.apk -Verbose

A rendszer létrehozza és menti a burkolt alkalmazást és a naplófájlt a megadott kimeneti útvonalon.

Aláíró tanúsítványok és burkolóalkalmazások újrafelhasználása

Az Android megköveteli, hogy minden alkalmazást érvényes tanúsítvánnyal kell aláírni ahhoz, hogy telepítve lehessen az Android-eszközökön.

A burkolt alkalmazások a burkolás után aláírhatók a meglévő aláíró eszközökkel (a burkolás előtt az alkalmazásban lévő összes aláírási információ el lesz vetve). Ha lehetséges, a buildelési folyamat során már használt aláírási adatokat kell használni a burkolás során. Bizonyos szervezeteknél ehhez a kulcstáradatok tulajdonosával (azaz az alkalmazás buildelési csapatával) kell együttműködni.

Ha az előző aláíró tanúsítvány nem használható, vagy az alkalmazást még nem telepítették, létrehozhat egy új aláíró tanúsítványt az Android fejlesztői útmutatójának utasításait követve.

Ha az alkalmazást korábban egy másik aláíró tanúsítvánnyal telepítették, az alkalmazás nem tölthető fel Intune a frissítés után. Az alkalmazásfrissítési forgatókönyvek megszakadnak, ha az alkalmazás más tanúsítvánnyal van aláírva, mint amelyikkel az alkalmazás készült. Ezért minden új aláíró tanúsítványt fenn kell tartani az alkalmazásfrissítésekhez.

Biztonsági szempontok a App Wrapping Tool futtatásához

A lehetséges hamisítás, információfelfedés és jogosultságszint-emelési támadások megelőzése érdekében:

  • Győződjön meg arról, hogy a bemeneti üzletági (LOB) alkalmazás és a kimeneti alkalmazás ugyanazon a Windows-számítógépen található, amelyen a App Wrapping Tool fut.

  • Importálja a kimeneti alkalmazást Intune ugyanazon a gépen, amelyen az eszköz fut. A Java-kulcstoolról további információt a keytool című témakörben talál.

  • Ha a kimeneti alkalmazás és az eszköz egy univerzális elnevezési konvenció (UNC) útvonalon található, és nem ugyanazon a számítógépen futtatja az eszközt és a bemeneti fájlokat, állítsa be a környezetet biztonságossá az Internet Protocol Security (IPsec) vagy a Server Message Block (SMB) aláírásával.

  • Győződjön meg arról, hogy az alkalmazás megbízható forrásból származik.

  • Biztonságossá teheti a burkolt alkalmazást tartalmazó kimeneti könyvtárat. Érdemes lehet felhasználói szintű könyvtárat használni a kimenethez.

Android-alkalmazáscsomag (AAB) konvertálása APK-ra

A Intune App Wrapping Tool jelenleg csak az APK-bemeneteket támogatja. Az Android-alkalmazáscsomagokat először APK-vá kell konvertálni az eszközzel való használathoz.

Az Android-alkalmazáscsomagok apk-fájllá alakíthatók a Google parancssori eszközének () használatával. bundletool A legújabb verziója bundle-tool letölthető a Google bundletool GitHub-adattárából.

bundletoolegyetlen univerzális APK létrehozásához használható a Intune App Wrapping Tool a következő paranccsal:

bundletool build-apks --bundle=input.aab --mode=universal --output=input.apks

A .apks kimeneti fájl egy zip-archívum, amely egyetlen univerzális APK-fájlt tartalmaz. Csomagolja ki az archívumot, és használja ezt az APK-fájlt a Intune App Wrapping Tool bemeneteként.

Lásd még