Share via


Intune App SDK voor Android - De integratie plannen

Met de Microsoft Intune App SDK voor Android kunt u Intune app-beveiligingsbeleid (ook wel APP- of MAM-beleid genoemd) opnemen in uw systeemeigen Java/Kotlin Android-app. Een Intune beheerde toepassing is een toepassing die is geïntegreerd met de Intune App SDK. Intune-beheerders kunnen eenvoudig app-beveiligingsbeleid implementeren in uw Intune beheerde app wanneer Intune de app actief beheert.

Fase 1: De integratie plannen

Deze handleiding is bedoeld voor Android-ontwikkelaars die ondersteuning willen toevoegen voor het app-beveiligingsbeleid van Microsoft Intune in hun bestaande Android-app.

Fase Goals

  • Ontdek welke instellingen voor app-beveiligingsbeleid beschikbaar zijn voor Android en hoe deze beleidsregels in uw toepassing werken.
  • Krijg inzicht in de belangrijkste beslissingspunten tijdens het SDK-integratieproces en plan de integratie van uw app.
  • Inzicht in de vereisten voor toepassingen die de SDK integreren.
  • Maak een test-Intune tenant en configureer een Android-app-beveiligingsbeleid.

Informatie over MAM

Voordat u begint met het integreren van de Intune App SDK in uw Android-toepassing, neemt u even de tijd om vertrouwd te raken met de Mobile Application Management-oplossing van Microsoft Intune:

  • Microsoft Intune app-beheer biedt een overzicht op hoog niveau van MAM-mogelijkheden op verschillende platforms en waar u deze functies kunt vinden in het Microsoft Intune-beheercentrum.
  • Intune App SDK-overzicht gaat één laag dieper en beschrijft de huidige functies van de SDK.
  • Beveiligingsbeleidsinstellingen voor Android-apps beschrijft elke Android-instelling in detail. Uw app ondersteunt deze instellingen door de SDK te integreren. Tijdens het SDK-integratieproces configureert u deze instellingen ook in uw eigen testtenant voor validatie.

Opmerking

Voor sommige instellingen voor beveiligingsbeleid voor Android-apps is specifieke code vereist om ondersteuning te bieden. Zie Fase 7: Functies voor app-deelname voor meer informatie.

Belangrijke beslissingen voor SDK-integratie

Moet ik mijn toepassing registreren bij de Microsoft identity platform?

Ja, alle apps die zijn geïntegreerd met de Intune SDK moeten worden geregistreerd bij de Microsoft identity platform. Volg de stappen in Quickstart: Een app registreren in de Microsoft identity platform - Microsoft identity platform.

Heb ik toegang tot de broncode van mijn toepassing?

Als u geen toegang hebt tot de broncode van uw toepassing en alleen toegang hebt tot de gecompileerde toepassing in .apk- of .aab-indeling, kunt u de SDK niet integreren in uw toepassing. Uw toepassing kan echter nog steeds compatibel zijn met Intune app-beveiligingsbeleid. Zie App Wrapping Tool voor Android voor meer informatie.

Moet mijn toepassing de Microsoft Authentication Library (MSAL) integreren?

Raadpleeg Overzicht van de Microsoft Authentication Library (MSAL) om te bepalen of uw toepassing MSAL moet integreren. De meeste toepassingen moeten MSAL integreren voordat de Intune SDK wordt geïntegreerd.

Uw app kan de integratie van MSAL alleen overslaan als aan al het volgende wordt voldaan:

  • Uw toepassing heeft geen interactieve ervaring voor aanmelden en afmelden voor eindgebruikers.
  • Uw toepassing biedt geen ondersteuning voor meerdere accounts die tegelijkertijd zijn aangemeld.
  • Uw toepassing hoeft geen niet-Intune accounts te ondersteunen.
  • Uw toepassing verleent geen toegang tot resources die worden beveiligd door voorwaardelijke toegang.

Als uw app voldoet aan alle bovenstaande voorwaarden en MSAL niet integreert, kan deze nog steeds worden beveiligd door app-beveiligingsbeleid, maar zonder optie voor onbeheerd gebruik. Zie Standaardinschrijving voor meer informatie.

Zie Fase 2: de MSAL-vereiste voor instructies over het integreren van MSAL en aanvullende informatie over identiteitsscenario's in uw toepassing.

Is mijn toepassing één identiteit of meerdere identiteiten?

Hoe verwerkt uw toepassing gebruikersverificatie en -accounts zonder ondersteuning van Intune app-beveiligingsbeleid?

  • Staat uw toepassing momenteel toe dat slechts één account wordt aangemeld? Dwingt uw toepassing expliciet af dat het aangemelde account zich afmeldt en de gegevens van dat vorige account verwijdert voordat een ander account zich kan aanmelden? Als dat het zo is, heeft uw toepassing één identiteit.

  • Staat uw toepassing momenteel toe dat een tweede account zich kan aanmelden, zelfs als er al een ander account is aangemeld? Worden in uw toepassing de gegevens van meerdere accounts weergegeven op een gedeeld scherm? Slaat uw toepassing gegevens van meerdere accounts op? Staat uw toepassing gebruikers toe om te schakelen tussen verschillende aangemelde accounts? Als dat het zo is, heeft uw toepassing meerdere identiteiten en moet u Fase 5: Meerdere identiteiten volgen. Deze sectie is vereist voor uw app.

Zelfs als uw toepassing meerdere identiteiten heeft, volgt u deze integratiehandleiding in volgorde. Als u in eerste instantie integreert en test als één identiteit, zorgt u voor de juiste integratie en voorkomt u fouten waarbij bedrijfsgegevens onbeveiligd worden.

Heeft mijn toepassing App Configuration-instellingen of heeft deze nodig?

Android ondersteunt toepassingsspecifieke beheerconfiguraties die van toepassing zijn op toepassingen die zijn geïmplementeerd onder Android Enterprise-beheermodi. Beheerders kunnen dit toepassingsconfiguratiebeleid configureren voor beheerde Android Enterprise-apparaten in het Microsoft Intune-beheercentrum.

Intune ondersteunt ook toepassingsconfiguraties die van toepassing zijn op met SDK geïntegreerde toepassingen, ongeacht de apparaatbeheermodus. Beheerders kunnen dit toepassingsconfiguratiebeleid voor beheerde apps configureren in het Microsoft Intune-beheercentrum.

De Intune App SDK ondersteunt beide typen toepassingsconfiguratie en biedt één API voor toegang tot configuraties vanuit beide kanalen. Als uw toepassing een van deze typen toepassingsconfiguraties ondersteunt of zal ondersteunen, moet u Fase 6: App Configuration volgen.

Moet mijn toepassing gedetailleerde beveiliging definiëren voor binnenkomende en uitgaande gegevens?

Als gebruikers met uw app gegevens kunnen opslaan of openen vanuit cloudservices of apparaatlocaties, moeten er wijzigingen worden aangebracht om het verbeterde beleid voor gegevensoverdracht te ondersteunen. Zie Beleid voor het beperken van gegevensoverdracht tussen apps en apparaat- of cloudopslaglocaties in Fase 7: Functies voor app-deelname.

Worden in mijn toepassing meldingen weergegeven die gebruikersspecifieke informatie bevatten?

Apps met meerdere identiteiten moeten codewijzigingen doorvoeren om het meldingsbeleid correct te kunnen uitvoeren. Apps met één identiteit willen mogelijk codewijzigingen doorvoeren, zodat dit meldingsbeleid niet 100% van de meldingen van hun app blokkeert. Zie Beleid voor het beperken van inhoud in meldingen in Fase 7: Functies voor app-deelname.

Ondersteunt mijn toepassing de back-up- en herstelfunctionaliteit van Android?

Android biedt ondersteuning voor back-up- en herstelfunctionaliteit om gegevens en persoonlijke instellingen voor gebruikers te behouden wanneer ze een upgrade uitvoeren naar een nieuw apparaat of uw app opnieuw installeren.

Intune biedt ook ondersteuning voor back-up- en herstelfunctionaliteit voor met SDK geïntegreerde toepassingen, om ervoor te zorgen dat bedrijfsgegevens niet kunnen worden gelekt via een herstelbewerking.

Als uw app deze functionaliteit ondersteunt, moet er codewijzigingen nodig zijn om bedrijfsgegevens te beveiligen tijdens het herstellen. Zie Beleid voor het beveiligen van back-upgegevens in fase 7: Functies voor app-deelname.

Heeft mijn toepassing resources die moeten worden beveiligd door voorwaardelijke toegang?

Voorwaardelijke toegang (CA) is een Microsoft Entra ID functie die kan worden gebruikt om de toegang tot Microsoft Entra resources te beheren. Intune-beheerders kunnen CA-regels definiëren die alleen toegang tot resources toestaan vanaf apparaten of apps die worden beheerd door Intune.

Intune ondersteunt twee typen CA: apparaatgebaseerde CA en op apps gebaseerde CA, ook wel bekend als App Protection-CA. Op apparaten gebaseerde CA blokkeert de toegang tot beveiligde resources totdat het hele apparaat wordt beheerd door Intune. Op apps gebaseerde CA blokkeert de toegang tot beveiligde resources totdat de specifieke app wordt beheerd door Intune App-beveiligingsbeleid.

Als uw app Microsoft Entra-toegangstokens verkrijgt en toegang krijgt tot resources die met CA kunnen worden beveiligd, moet u ondersteuning voor app-beveiliging volgen in fase 7: Functies voor app-deelname.

Heeft mijn toepassing een specifiek thema dat moet blijven bestaan in de gebruikersinterface die wordt weergegeven door de Intune App SDK?

Standaard worden in de Intune App SDK onderdelen van de gebruikersinterface voor beleidshandhaving weergegeven die zijn gekleurd volgens het standaardthema.

De mogelijkheid om het standaardthema te overschrijven is cosmetisch en optioneel. Zie Een aangepast thema opgeven in fase 7: Functies voor app-deelname.

Vereisten

Bedrijfsportal-app

De Intune App SDK voor Android is afhankelijk van de aanwezigheid van de Bedrijfsportal app op het apparaat om app-beveiligingsbeleid in te schakelen. De Bedrijfsportal haalt het beveiligingsbeleid voor apps op uit de Intune-service. Wanneer een met SDK geïntegreerde app wordt geïnitialiseerd, wordt beleid en code geladen om dat beleid af te dwingen vanuit de Bedrijfsportal.

Opmerking

Wanneer de Bedrijfsportal app zich niet op het apparaat bevindt, gedraagt een met sdk geïntegreerde app zich hetzelfde als een normale app die geen ondersteuning biedt voor Intune app-beveiligingsbeleid. Zelfs als de Bedrijfsportal app zich op het apparaat bevindt, gedraagt een sdk-geïntegreerde app zich hetzelfde als een normale app wanneer de eindgebruiker geen app-beveiligingsbeleid heeft.

De gebruiker hoeft zich niet aan te melden bij of zelfs de Bedrijfsportal-app te starten om app-beveiligingsbeleid te laten functioneren.

Android-versies

Opmerking

Zorg ervoor dat uw app compatibel is met de Google Play-vereisten.

De SDK biedt volledige ondersteuning voor Android API 28 (Android 9.0) via Android API 35 (Android 15). Als u android-API 35 (Android 15) wilt targeten, moet u Intune App SDK v11.0.0 of hoger gebruiken.

API's 26 tot en met 27 (Android 8.0 - 8.1) worden beperkt ondersteund. De Bedrijfsportal-app wordt niet ondersteund onder Android API 26 (Android 8.0). App-beveiligingsbeleid wordt niet ondersteund onder Android API 28 (Android 9.0).

Als uw app een API-niveau onder API 28 (Android 9.0) declareertminSdkVersion, blokkeert de Intune App SDK het app-gebruik niet voor gebruikers die niet onder app-beveiligingsbeleid zijn gericht.

Telemetrie

De Intune App SDK voor Android heeft geen controle over het verzamelen van gegevens vanuit uw app. De Bedrijfsportal toepassing registreert standaard door het systeem gegenereerde gegevens. Deze gegevens worden verzonden naar Microsoft Intune. Volgens microsoft-beleid verzamelt Intune geen persoonlijke gegevens.

Tip

Als eindgebruikers ervoor kiezen deze gegevens niet te verzenden, moeten ze telemetrie uitschakelen onder Instellingen op de Bedrijfsportal-app. Zie Het verzamelen van microsoft-gebruiksgegevens uitschakelen voor meer informatie.

Een beveiligingsbeleid voor Android-apps maken

Demo-tenant instellen

Als u nog geen tenant bij uw bedrijf hebt, kunt u een demotenant maken met of zonder vooraf gegenereerde gegevens. U moet zich registreren als Microsoft-partner om toegang te krijgen tot Microsoft CDX. Een nieuw account maken:

  1. Ga naar de site voor het maken van een Microsoft CDX-tenant en maak een Microsoft 365 Enterprise tenant.
  2. Stel Intune in om MDM (Mobile Device Management) in te schakelen.
  3. Gebruikers maken.
  4. Groepen maken.
  5. Wijs licenties toe die geschikt zijn voor uw tests.

configuratie van App-beveiliging-beleid

App-beveiligingsbeleid maken en toewijzen in het Microsoft Intune-beheercentrum. Naast het maken van app-beveiligingsbeleid kunt u een app-configuratiebeleid maken en toewijzen in Intune.

Voordat u instellingen voor app-beveiligingsbeleid binnen uw eigen toepassing test, is het handig om vertrouwd te raken met hoe deze instellingen zich gedragen in andere sdk-geïntegreerde toepassingen.

Tip

Als uw app niet wordt weergegeven in het Microsoft Intune-beheercentrum, kunt u deze richten met een beleid door de optie Meer apps te selecteren en de pakketnaam op te geven in het tekstvak. U moet uw app richten met app-beveiligingsbeleid en het beleid implementeren voor een gebruiker om uw integratie te testen. Zelfs als beleid is gericht en geïmplementeerd, dwingt uw app pas beleid af als de SDK is geïntegreerd.

Afsluitcriteria

  • Hebt u uzelf vertrouwd gemaakt met hoe verschillende instellingen voor app-beveiligingsbeleid zich gedragen in uw Android-toepassing?
  • Hebt u uw app bekeken en de integratie van uw app gepland voor MSAL, voorwaardelijke toegang, Multi-Identity, App Configuration en alle extra SDK-functies?
  • Hebt u een android-app-beveiligingsbeleid gemaakt binnen uw testtenant?

Veelgestelde vragen

Waarom is de Bedrijfsportal-app vereist voor toepassingsbeveiligingsbeleid op Android?

De Android-Bedrijfsportal haalt app-beveiligingsbeleidsregels op van de Intune-service namens alle MAM-toepassingen op het apparaat. Wanneer TOEPASSINGEN met MAM worden geïnitialiseerd, worden beleidsdetails en code voor het afdwingen van deze beleidsinstellingen geïmporteerd uit de Bedrijfsportal. De Bedrijfsportal bevat ook code om het aantal verificatieprompts voor eindgebruikers te verminderen. Ten slotte verzamelt de Bedrijfsportal systeemgegevens om de Intune-service te verbeteren. Zie Telemetrie voor meer informatie.

Opmerking

Deze Bedrijfsportal functionaliteit voor app-beveiligingsbeleid is specifiek voor Android.

Wat gebeurt er wanneer op gebruikers met niet-ondersteunde apparaten app-beveiligingsbeleid is gericht?

De ervaring van eindgebruikers op Android-apparaten die niet worden ondersteund door Intune app-beveiligingsbeleid, is afhankelijk van de Versie van het Android-besturingssysteem van het apparaat:

Android-besturingssysteemversies Google Play-gedrag Gedrag van MAM-app
Onder Android 8.0 De Bedrijfsportal-app kan niet worden gedownload van Google Play. Apparaten waarop de Bedrijfsportal al is geïnstalleerd, kunnen niet worden bijgewerkt naar nieuwe versies van de Bedrijfsportal. MAM-functionaliteit wordt niet universeel geblokkeerd. Omdat met SDK geïntegreerde apps echter nieuwe versies van de SDK worden geleverd, kunnen mam-gerichte gebruikers deze apps niet invoeren, omdat ze de Bedrijfsportal niet kunnen bijwerken. Wanneer een gebruiker die mam-beleid heeft gericht en zich eerder heeft aangemeld bij de app, een dergelijke app start, wordt deze gevraagd de Bedrijfsportal bij te werken. Gebruikers kunnen dit gedrag beperken door het mam-gerichte account uit de toepassing te verwijderen. Als gebruikers de Bedrijfsportal verwijderen, wordt hun account automatisch verwijderd uit de app, maar kunnen ze zich niet meer aanmelden met het mam-doelaccount.
Android 8.x De Bedrijfsportal-app kan worden gedownload van Google Play. Apparaten waarop de Bedrijfsportal al is geïnstalleerd, kunnen nog steeds worden bijgewerkt naar nieuwe versies van de Bedrijfsportal. MAM-functionaliteit wordt niet actief geblokkeerd. Android 8.x wordt echter niet ondersteund en MAM-functies werken mogelijk niet zoals verwacht.

Wat is het hulpprogramma App Wrapping?

Ontwikkelaars van Android-apps hebben meerdere manieren om Intune functionaliteit in hun toepassingen te integreren. Naast de SDK, die in deze handleiding wordt beschreven, kunnen ontwikkelaars ook de App Wrapping Tool voor Android gebruiken. Zie Line-Of-Business-apps voorbereiden voor app-beveiligingsbeleid voor een gedetailleerde vergelijking tussen de SDK en App Wrapping Tool.

Volgende stappen

Nadat u alle bovenstaande afsluitcriteria hebt voltooid, gaat u verder naar Fase 2: De MSAL-vereiste.