Share via

Intune App SDK voor Android - Inzicht in de MSAL-vereisten

  • Artikel

Met de Microsoft Intune App SDK voor Android kunt u intune-app-beveiligingsbeleid (ook wel APP - of MAM-beleid genoemd) opnemen in uw systeemeigen Java/Kotlin Android-app. Een door Intune beheerde toepassing is een toepassing die is geïntegreerd met de Intune App SDK. Intune-beheerders kunnen eenvoudig app-beveiligingsbeleid implementeren in uw door Intune beheerde app wanneer Intune de app actief beheert.

Opmerking

Deze handleiding is onderverdeeld in verschillende fasen. Bekijk eerst Fase 1: De integratie plannen.

Fase 2: De MSAL-vereiste

Fasedoelen

  • Registreer uw toepassing met Microsoft Entra ID.
  • Integreer MSAL in uw Android-toepassing.
  • Controleer of uw toepassing een token kan verkrijgen dat toegang verleent tot beveiligde resources.

Achtergrond

De Microsoft Authentication Library (MSAL) biedt uw toepassing de mogelijkheid om de Microsoft Cloud te gebruiken door ondersteuning te bieden voor Microsoft Entra ID - en Microsoft-accounts.

MSAL is niet specifiek voor Intune. Intune heeft een afhankelijkheid van Microsoft Entra ID; alle Intune-gebruikersaccounts zijn Microsoft Entra-accounts. Als gevolg hiervan moet de overgrote meerderheid van Android-toepassingen die de Intune App SDK integreren MSAL als vereiste integreren.

Deze fase van de SDK-handleiding geeft een overzicht van het MSAL-integratieproces met betrekking tot Intune; volg de gekoppelde MSAL-handleidingen in hun geheel.

Om het integratieproces van de Intune App SDK te vereenvoudigen, wordt ontwikkelaars van Android-apps sterk aangeraden MSAL volledig te integreren en te testen voordat ze de Intune App SDK downloaden. Voor het integratieproces van de Intune App SDK zijn codewijzigingen vereist voor het verkrijgen van MSAL-token. Het is eenvoudiger om de intune-specifieke tokenverwervingswijzigingen te testen als u al hebt bevestigd dat de oorspronkelijke implementatie van de tokenverwerving van uw app werkt zoals verwacht.

Zie Wat is Microsoft Entra ID? voor meer informatie over Microsoft Entra ID.

Zie de MSAL-wiki en de lijst met MSAL-bibliotheken voor meer informatie over MSAL.

Uw toepassing registreren met Microsoft Entra ID

Voordat u MSAL integreert in uw Android-toepassing, moeten alle apps zich registreren bij het Microsoft Identity Platform. Volg de stappen in Quickstart: Een app registreren in het Microsoft Identity Platform - Microsoft Identity Platform. Hiermee wordt een client-id voor uw toepassing gegenereerd.

Volg vervolgens de instructies om uw app toegang te geven tot de Intune Mobile App Management-service.

Microsoft Authentication Library (MSAL) configureren

Lees eerst de MSAL-integratierichtlijnen in de MSAL-opslagplaats op GitHub, met name de sectie msal gebruiken.

In deze handleiding wordt beschreven hoe u het volgende kunt doen:

  • Voeg MSAL toe als een afhankelijkheid aan uw Android-toepassing.
  • Maak een MSAL-configuratiebestand.
  • Configureer de .AndroidManifest.xml
  • Voeg code toe om een token te verkrijgen.

Brokered Authentication

Met eenmalige aanmelding (SSO) kunnen gebruikers hun referenties slechts eenmaal invoeren en deze referenties automatisch laten werken in alle toepassingen. MSAL kan eenmalige aanmelding inschakelen in uw suite met apps; met behulp van een brokertoepassing (microsoft authenticator of Microsoft Intune-bedrijfsportal) kunt u eenmalige aanmelding uitbreiden op het hele apparaat. Brokered-verificatie is ook vereist voor voorwaardelijke toegang. Zie Eenmalige aanmelding voor meerdere apps inschakelen op Android met behulp van MSAL voor meer informatie over verificatie via broker.

In deze handleiding wordt ervan uitgegaan dat u brokered verificatie inschakelt binnen uw toepassing(en) volgens de stappen in de bovenstaande koppeling, met name Een omleidings-URI genereren voor een broker en MSAL configureren om een broker te gebruiken voor configuratie en Broker-integratie verifiëren voor testen.

Als u brokered verificatie niet inschakelt in uw toepassing, let dan extra op de Intune-specifieke MSAL-configuratie.

Intune-specifieke MSAL-omgevingsconfiguratie

Intune vraagt standaard tokens aan van de openbare Microsoft Entra-omgeving. Als voor uw toepassing een niet-standaardomgeving is vereist, zoals een onafhankelijke cloud, moet de volgende instelling worden toegevoegd aan de AndroidManifest.xml. Wanneer deze optie is ingesteld, geeft de ingevoerde Microsoft Entra-instantie de tokens voor uw toepassing uit. Dit zorgt ervoor dat het verificatiebeleid van Intune correct wordt afgedwongen.

<meta-data
    android:name="com.microsoft.intune.mam.aad.Authority"
    android:value="https://AAD authority/" />

Voorzichtigheid

De meeste apps mogen de parameter Autoriteit niet instellen. Bovendien mogen toepassingen die MSAL niet integreren deze eigenschap niet in het manifest opnemen.

Zie Configuratiebestand voor Android Microsoft Authentication Library voor meer informatie over niet-Intune-specifieke MSAL-configuratieopties.

Zie MSAL gebruiken in een nationale cloudomgeving voor meer informatie over onafhankelijke clouds.

Afsluitcriteria

  • Hebt u MSAL geïntegreerd in uw toepassing?
  • Hebt u brokerverificatie ingeschakeld door een omleidings-URI te genereren en deze in te stellen in het MSAL-configuratiebestand?
  • Hebt u de Intune-specifieke MSAL-instellingen geconfigureerd in de AndroidManifest.xml?
  • Hebt u verificatie via broker getest, bevestigd dat er een werkaccount is toegevoegd aan accountmanager van Android en eenmalige aanmelding met andere Microsoft 365-apps getest?
  • Als u voorwaardelijke toegang hebt geïmplementeerd, hebt u dan zowel op apparaten gebaseerde CA als app-ca getest om uw CA-implementatie te valideren?

Veelgestelde vragen

Hoe zit het met ADAL?

De vorige verificatiebibliotheek van Microsoft, Azure Active Directory Authentication Library (ADAL), is afgeschaft.

Als uw toepassing ADAL al heeft geïntegreerd, raadpleegt u Uw toepassingen bijwerken om Microsoft Authentication Library (MSAL) te gebruiken. Zie Android ADAL migreren naar MSAL en Verschillen tussen ADAL en MSAL als u uw app wilt migreren van ADAL naar MSAL.

Het wordt aanbevolen om te migreren van ADAL naar MSAL voordat u de Intune App SDK integreert.

Volgende stappen

Nadat u alle bovenstaande afsluitcriteria hebt voltooid, gaat u verder met fase 3: Aan de slag met MAM.