Estágio 2: pré-requisito e configuração do MSAL

  • Artigo

O SDK do Aplicativo do Intune usa a Biblioteca de Autenticação da Microsoft para seus cenários de autenticação e inicialização condicional. Ele também depende do MSAL para registrar a identidade do usuário com o serviço MAM para gerenciamento sem cenários de registro de dispositivo.

Observação

Este guia é dividido em vários estágios distintos. Comece examinando a Fase 1: planejando a integração.

Metas de Estágio

  • Registre seu aplicativo com Microsoft Entra ID.
  • Integre o MSAL ao aplicativo iOS.
  • Verifique se seu aplicativo pode obter um token que conceda acesso a recursos protegidos.

Configurar e configurar um registro de aplicativo Microsoft Entra

O MSAL exige que os aplicativos se registrem com Microsoft Entra ID e criem uma ID do cliente exclusiva e um URI de redirecionamento, para garantir a segurança dos tokens concedidos ao aplicativo. Se o aplicativo já usa o MSAL para sua própria autenticação, já deve haver um URI de registro/ID/redirecionamento do aplicativo Microsoft Entra associado ao aplicativo.

Se o aplicativo ainda não usar o MSAL, você precisará configurar um registro de aplicativo no Microsoft Entra ID e especificar a ID do cliente e redirecionar o URI que o SDK do Intune deve usar.

Se o aplicativo atualmente usa o ADAL para autenticar usuários, consulte Migrar aplicativos para MSAL para iOS e macOS para obter mais informações sobre como migrar seu aplicativo do ADAL para o MSAL.

É recomendável que seu aplicativo se vincule à versão mais recente do MSAL.

Siga a seção de instalação para colocar os binários MSAL em seu aplicativo.

Configurar o MSAL

Siga a seção de configuração para configurar o MSAL. Verifique se você segue todas as etapas na seção de configuração. Desconsidere a primeira etapa se seu aplicativo já estiver registrado em Microsoft Entra ID.

Os pontos abaixo contêm informações adicionais para configurar o MSAL e vincular a ele. Siga-os se eles se aplicarem ao seu aplicativo.

  • Se o aplicativo não tiver nenhum keychain grupos de acesso definidos, adicione a ID do pacote do aplicativo como o primeiro grupo.
  • Habilite o SSO (logon único) do MSAL adicionando com.microsoft.adalcache aos grupos de acesso keychain.
  • No caso de você estar definindo explicitamente o grupo de keychain de cache compartilhado do MSAL, verifique se ele está definido como <appidprefix>.com.microsoft.adalcache. O MSAL definirá isso para você, a menos que você o substitua. Se você quiser especificar um grupo de keychain personalizado para substituir com.microsoft.adalcache, especifique isso no arquivo Info.plist em IntuneMAMSettings, usando a chave ADALCacheKeychainGroupOverride.

Configurar as configurações do MSAL para o SDK do Aplicativo do Intune

Depois que um registro de aplicativo tiver sido configurado para seu aplicativo no Microsoft Entra ID, você poderá configurar o SDK do Aplicativo do Intune para usar as configurações do registro do aplicativo durante a autenticação em Microsoft Entra ID. Consulte Configurar configurações para o SDK do Aplicativo do Intune para obter informações sobre como preencher as seguintes configurações:

  • ADALClientId
  • ADALAuthority
  • ADALRedirectUri
  • ADALRedirectScheme
  • ADALCacheKeychainGroupOverride

As seguintes configurações são necessárias:

  1. No arquivo Info.plist do projeto, no dicionário IntuneMAMSettings com o nome ADALClientIdda chave , especifique a ID do cliente a ser usada para chamadas MSAL.

  2. Se o Microsoft Entra registro de aplicativo que mapeia para a ID do cliente configurado na etapa 1 for configurado para uso em apenas um único locatário Microsoft Entra, configure a ADALAuthority chave no dicionário IntuneMAMSettings no arquivo Info.plist do aplicativo. Especifique a autoridade Microsoft Entra a ser usada pelo MSAL para adquirir tokens para o serviço de gerenciamento de aplicativos móveis do Intune.

  3. Também no dicionário IntuneMAMSettings com o nome ADALRedirectUrida chave , especifique o URI de redirecionamento a ser usado para chamadas MSAL. Como alternativa, você pode especificar ADALRedirectScheme , em vez disso, se o URI de redirecionamento do aplicativo estiver no formato scheme://bundle_id.

    Como alternativa, os aplicativos podem substituir essas configurações de Microsoft Entra no runtime. Para fazer isso, basta definir as aadAuthorityUriOverridepropriedades , aadClientIdOverridee aadRedirectUriOverride na IntuneMAMSettings classe.

  4. Verifique se as etapas para dar permissões de aplicativo iOS ao serviço MAM (Gerenciamento de Aplicativos Móveis) do Intune são seguidas. Use as instruções no início com o guia do SDK do Intune em Fornecer ao seu aplicativo acesso ao serviço de Gerenciamento de Aplicativos Móveis do Intune.

    Observação

    Se a política de proteção de aplicativo estiver relacionada a dispositivos gerenciados, a criação de um perfil de configuração de aplicativo do aplicativo que tenha o Intune integrado também será necessário.

    A abordagem Info.plist é recomendada para todas as configurações que são estáticas e não precisam ser determinadas no runtime. Os valores atribuídos às propriedades de IntuneMAMSettings classe no runtime têm precedência sobre os valores correspondentes especificados no Info.plist e persistirão mesmo após a reinicialização do aplicativo. O SDK continuará a usá-los para marcar-ins de política até que o usuário seja não registrado ou os valores sejam limpos ou alterados.

Considerações especiais ao usar o MSAL para autenticação iniciada pelo aplicativo

É recomendável que os aplicativos não usem SFSafariViewController, SFAuthenticationSession ou ASWebAuthenticationSession como sua visão da Web para quaisquer operações de autenticação interativa MSAL iniciadas pelo aplicativo. Por padrão, o MSAL usa ASWebAuthenticationSession, portanto, os desenvolvedores de aplicativos devem definir explicitamente o tipo de visão da Web como WKWebView. Se, por algum motivo, seu aplicativo precisar usar um tipo de visão da Web diferente do WKWebView para quaisquer operações interativas de auth MSAL, ele também deverá ser definido SafariViewControllerBlockedOverride como true no IntuneMAMSettings dicionário no Info.plist do aplicativo.

Aviso

Isso desativará os ganchos SafariViewController do Intune para habilitar a sessão de auth. Isso corre o risco de vazamentos de dados em outros lugares do aplicativo se o aplicativo usar o SafariViewController para exibir dados corporativos, portanto, o aplicativo não deve mostrar dados corporativos em nenhum desses tipos de webview.

Critérios de saída

  • Você registrou seu aplicativo na página de registro do aplicativo Microsoft Entra?
  • Você integrou o MSAL ao seu aplicativo?
  • Você habilitou a autenticação do agente gerando um URI de redirecionamento e definindo-o no arquivo de configuração MSAL?
  • Você garantiu que as informações de configuração necessárias para MSAL em seu dicionário IntuneMAMSettings correspondam às de seus registros de aplicativo Microsoft Entra?

Perguntas frequentes

E a ADAL?

A biblioteca de autenticação anterior da Microsoft, a ADAL (Biblioteca de Autenticação do Active Directory) do Azure, foi preterida.

Se seu aplicativo já tiver integrado o ADAL, consulte Atualizar seus aplicativos para usar a MSAL (Biblioteca de Autenticação da Microsoft). Para migrar seu aplicativo do ADAL para o MSAL, confira Migrar aplicativos para MSAL para iOS e macOS

É recomendável migrar do ADAL para o MSAL antes de integrar o SDK do Aplicativo do Intune.

Próximas etapas

Depois de concluir todos os Critérios de Saída acima, continue para a integração do SDK do Estágio 3: Intune ao aplicativo iOS.