Partilhar via

SDK da Aplicação Intune para Android – Planear a integração

  • Artigo

O SDK da Aplicação Microsoft Intune para Android permite-lhe incorporar políticas de proteção de aplicações do Intune (também conhecidas como políticas de APLICAÇÃO ou MAM) na sua aplicação Java/Kotlin Android nativa. Uma aplicação gerida pelo Intune é uma aplicação integrada com o SDK da Aplicação intune. Os administradores do Intune podem facilmente implementar políticas de proteção de aplicações na sua aplicação gerida pelo Intune quando o Intune gere ativamente a aplicação.

Fase 1: Planear a Integração

Este guia destina-se a programadores Android que pretendem adicionar suporte para as Políticas de Proteção de Aplicações do Microsoft Intune dentro da aplicação Android existente.

Objetivos de Fase

  • Saiba que definições da Política de Proteção de Aplicações estão disponíveis para Android e como estas políticas irão funcionar dentro da sua aplicação.
  • Compreenda os pontos de decisão principais durante o processo de integração do SDK e planeie a integração da sua aplicação.
  • Compreenda os requisitos das aplicações que integram o SDK.
  • Crie um inquilino do Intune de teste e configure uma Política de Proteção de Aplicações Android.

Compreender a MAM

Antes de começar a integrar o SDK da Aplicação Intune na sua aplicação Android, dedique algum tempo a familiarizar-se com a solução de Gestão de Aplicações Móveis do Microsoft Intune:

  • [Gestão de aplicações do Microsoft Intune] fornece uma descrição geral de alto nível das capacidades de MAM em diferentes plataformas e onde encontrar estas funcionalidades no centro de administração do Microsoft Intune.
  • A descrição geral do SDK da Aplicação Intune vai uma camada mais profunda, descrevendo as funcionalidades atuais do SDK.
  • As definições de política de proteção de aplicações android descrevem cada definição do Android em detalhe. A sua aplicação irá suportar estas definições ao integrar o SDK. Durante o processo de integração do SDK, também irá configurar estas definições no seu próprio inquilino de teste para validação.

Observação

Algumas definições da Política de Proteção de Aplicações android requerem código específico para suportar. Consulte Fase 7: Funcionalidades de Participação da Aplicação para obter mais detalhes.

Decisões-chave para a integração do SDK

Preciso de registar a minha aplicação na plataforma de identidades da Microsoft?

Sim, todas as aplicações integradas no SDK do Intune são necessárias para se registarem na plataforma de identidades da Microsoft. Siga os passos em Início Rápido: Registar uma aplicação na plataforma de identidades da Microsoft – plataforma de identidades da Microsoft.

Tenho acesso ao código fonte da minha aplicação?

Se não tiver acesso ao código fonte da aplicação e só tiver acesso à aplicação compilada no formato .apk ou .aab, não poderá integrar o SDK na sua aplicação. No entanto, a sua aplicação ainda pode ser compatível com as políticas de proteção de aplicações do Intune. Consulte Ferramenta de Encapsulamento de Aplicações para Android para obter mais detalhes.

A minha aplicação deve integrar a Biblioteca de Autenticação da Microsoft (MSAL)?

Veja Descrição Geral da Biblioteca de Autenticação da Microsoft (MSAL) para determinar se a sua aplicação terá de integrar o MSAL. A maioria das aplicações tem de integrar o MSAL antes de integrar o SDK do Intune.

A sua aplicação só pode ignorar a integração do MSAL se todas as seguintes afirmações forem verdadeiras:

  • A sua aplicação não tem ou precisa de uma experiência interativa de utilizador final de início de sessão e de início de sessão.
  • A sua aplicação não suporta várias contas com sessão iniciada em simultâneo.
  • A sua aplicação não precisa de suportar contas que não são do Intune.
  • A sua aplicação não concede acesso a quaisquer recursos protegidos pelo Acesso Condicional.

Se a sua aplicação cumprir todas as condições acima e não integrar a MSAL, ainda pode ser protegida pela Política de Proteção de Aplicações, embora sem qualquer opção de utilização não gerida. Veja Inscrição Predefinida para obter detalhes.

Veja Fase 2: Pré-requisito da MSAL para obter instruções sobre a integração do MSAL e detalhes adicionais sobre cenários de identidade na sua aplicação.

A minha aplicação é de identidade única ou de várias identidades?

Sem o suporte da Política de Proteção de Aplicações do Intune, como é que a sua aplicação processa a autenticação de utilizador e as contas?

  • Atualmente, a sua aplicação só permite que uma única conta tenha sessão iniciada? A sua aplicação força explicitamente a conta com sessão iniciada a terminar sessão e a eliminar os dados dessa conta anterior antes de permitir que outra conta inicie sessão? Em caso afirmativo, a sua aplicação é de identidade única.

  • Atualmente, a sua aplicação permite que uma segunda conta inicie sessão, mesmo que já tenha sessão iniciada uma conta diferente? A sua aplicação apresenta os dados de várias contas num ecrã partilhado? A sua aplicação armazena os dados de várias contas? A sua aplicação permite que os utilizadores alternem entre contas com sessão iniciada diferente? Se for o caso, a sua aplicação tem várias identidades e terá de seguir a Fase 5: Identidade Múltipla. Esta secção é necessária para a sua aplicação.

Mesmo que a sua aplicação seja de várias identidades, siga este guia de integração por ordem. Inicialmente, a integração e o teste como identidade única ajudarão a garantir uma integração adequada e a evitar erros em que os dados empresariais acabam por ficar desprotegidos.

A minha aplicação tem ou precisa de definições de Configuração de Aplicações?

O Android suporta configurações de gestão específicas de aplicações que se aplicam a aplicações implementadas nos modos de gestão do Android Enterprise. Os administradores podem configurar estas políticas de configuração de aplicações para dispositivos Android Enterprise geridos no centro de administração do Microsoft Intune.

O Intune também suporta configurações de aplicações que se aplicam a aplicações integradas no SDK, independentemente do modo de gestão de dispositivos. Os administradores podem configurar estas políticas de configuração de aplicações para aplicações geridas no centro de administração do Microsoft Intune.

O SDK da Aplicação intune suporta ambos os tipos de configuração de aplicações e fornece uma única API para aceder às configurações de ambos os canais. Se a sua aplicação tiver ou suportar qualquer um destes tipos de configuração de aplicações, terá de seguir a Fase 6: Configuração da Aplicação.

A minha aplicação precisa de definir proteção granular para entrada e saída de dados?

Se a sua aplicação permitir que os utilizadores guardem dados ou abram dados de serviços cloud ou em localizações de dispositivos, tem de fazer alterações para suportar a política de transferência de dados melhorada. Veja Política para limitar a transferência de dados entre aplicações e localizações de armazenamento na cloud ou dispositivo na Fase 7: Funcionalidades de Participação de Aplicações.

A minha aplicação apresenta notificações que contêm informações específicas do utilizador?

As aplicações de várias identidades têm de efetuar alterações de código para respeitar corretamente a política de notificação. As aplicações de identidade única podem querer fazer alterações de código para que esta política de notificação não bloqueie 100% das notificações da aplicação. Veja Política para restringir conteúdo dentro de notificações na Fase 7: Funcionalidades de Participação de Aplicações.

A minha aplicação suporta a funcionalidade de cópia de segurança e restauro do Android?

O Android suporta a funcionalidade de cópia de segurança e restauro para preservar os dados e a personalização dos utilizadores quando atualizam para um novo dispositivo ou reinstalam a sua aplicação.

O Intune também suporta a funcionalidade de cópia de segurança e restauro para aplicações integradas no SDK, para garantir que os dados empresariais não podem ser divulgados através de um restauro.

Se a sua aplicação suportar esta funcionalidade, terá de efetuar alterações de código para proteger os dados empresariais durante o restauro. Veja Política para proteger dados de cópia de segurança na Fase 7: Funcionalidades de Participação de Aplicações.

A minha aplicação tem recursos que devem ser protegidos pelo Acesso Condicional?

O Acesso Condicional (AC) é uma funcionalidade do Microsoft Entra ID que pode ser utilizada para controlar o acesso aos recursos do Microsoft Entra. Os administradores do Intune podem definir regras de AC que permitem o acesso a recursos apenas a partir de dispositivos ou aplicações geridas pelo Intune.

O Intune suporta dois tipos de AC: AC baseada em dispositivos e AC baseada em aplicações, também conhecida como AC de Proteção de Aplicações. A AC baseada no dispositivo bloqueia o acesso a recursos protegidos até que todo o dispositivo seja gerido pelo Intune. A AC baseada em aplicações bloqueia o acesso a recursos protegidos até que a aplicação específica seja gerida pelas Políticas de Proteção de Aplicações do Intune.

Se a sua aplicação adquirir tokens de acesso do Microsoft Entra e aceder a recursos que possam ser protegidos por AC, terá de seguir a AC de Proteção de Aplicações de Suporte na Fase 7: Funcionalidades de Participação de Aplicações.

A minha aplicação tem um tema distinto que tem de persistir na IU mostrado pelo SDK da Aplicação Intune?

Por predefinição, o SDK da Aplicação do Intune apresentará componentes da IU de imposição de políticas coloridos de acordo com o tema predefinido.

A capacidade de substituir o tema predefinido é cosmética e opcional. Consulte Fornecer um Tema Personalizado na Fase 7: Funcionalidades de Participação da Aplicação.

Requisitos

Aplicativo do Portal da Empresa

O SDK da Aplicação Intune para Android depende da presença da aplicação Portal da Empresa no dispositivo para ativar as políticas de proteção de aplicações. O Portal da Empresa obtém as políticas de proteção de aplicações do serviço Intune. Quando uma aplicação integrada no SDK inicializa, carrega a política e o código para impor essa política a partir do Portal da Empresa.

Observação

Quando a aplicação Portal da Empresa não está no dispositivo, uma aplicação integrada no SDK comporta-se da mesma forma que uma aplicação normal que não suporta políticas de proteção de aplicações do Intune. Mesmo que a aplicação Portal da Empresa esteja no dispositivo, uma aplicação integrada no SDK tem o mesmo comportamento normal quando o utilizador final não é visado pela política de proteção de aplicações.

O utilizador não tem de iniciar sessão ou mesmo iniciar a aplicação Portal da Empresa para que a Política de Proteção de Aplicações funcione.

Versões do Android

Observação

Certifique-se de que a sua aplicação é compatível com os requisitos do Google Play.

O SDK suporta totalmente a API Android 28 (Android 9.0) através da API Android 34 (Android 14). Para ter como destino a API Android 34 (Android 14), tem de utilizar o SDK v10.0.0 da Aplicação intune ou posterior.

As APIs 26 a 27 (Android 8.0 - 8.1) têm suporte limitado. A aplicação Portal da Empresa não é suportada abaixo da API Android 26 (Android 8.0). A Política de Proteção de Aplicações não é suportada abaixo da API Android 28 (Android 9.0).

Se a sua aplicação declarar minSdkVersion um nível de API abaixo da API 28 (Android 9.0), o SDK da Aplicação Intune não bloqueará a utilização de aplicações para utilizadores que não são visados pela Política de Proteção de Aplicações.

Telemetria

O SDK da Aplicação Intune para Android não controla a recolha de dados da sua aplicação. A aplicação Portal da Empresa regista os dados gerados pelo sistema por predefinição. Estes dados são enviados para o Microsoft Intune. De acordo com o Microsoft Policy, o Intune não recolhe quaisquer dados pessoais.

Dica

Se os utilizadores finais optarem por não enviar estes dados, têm de desativar a telemetria em Definições na aplicação Portal da Empresa. Para saber mais, consulte Desativar a recolha de dados de utilização da Microsoft.

Criar uma política de proteção de aplicações Android de teste

Configuração do inquilino de demonstração

Se ainda não tiver um inquilino com a sua empresa, pode criar um inquilino de demonstração com ou sem dados pré-gerados. Tem de se registar como parceiro da Microsoft para aceder ao Microsoft CDX. Para criar uma nova conta:

  1. Navegue para o site de criação de inquilinos do Microsoft CDX e crie um inquilino do Microsoft 365 Enterprise.
  2. Configure o Intune para ativar a gestão de dispositivos móveis (MDM).
  3. Criar utilizadores.
  4. Criar grupos.
  5. Atribua licenças conforme adequado para o teste.

Configuração da política de proteção de aplicações

Crie e atribua políticas de proteção de aplicações no centro de administração do Microsoft Intune. Além de criar políticas de proteção de aplicações, pode criar e atribuir uma política de configuração de aplicações no Intune.

Antes de testar as definições de política de proteção de aplicações na sua própria aplicação, é útil familiarizar-se com o comportamento destas definições noutras aplicações integradas no SDK.

Dica

Se a sua aplicação não estiver listada no centro de administração do Microsoft Intune, pode direcioná-la para uma política ao selecionar a opção mais aplicações e ao fornecer o nome do pacote na caixa de texto. Tem de direcionar a sua aplicação para a política de proteção de aplicações e implementar a política num utilizador para testar com êxito a sua integração. Mesmo que a política seja direcionada e implementada, a sua aplicação não irá impor corretamente as políticas até que tenha integrado com êxito o SDK.

Critérios de Saída

  • Já se familiarizou com o comportamento das diferentes definições de política de proteção de aplicações na sua aplicação Android?
  • Reviu a sua aplicação e planeou a integração da sua aplicação em torno da MSAL, Acesso Condicional, Identidade Múltipla, Configuração de Aplicações e todas as funcionalidades adicionais do SDK?
  • Criou uma política de proteção de aplicações Android no seu inquilino de teste?

Perguntas frequentes

Porque é que a aplicação Portal da Empresa é necessária para as Políticas de Proteção de Aplicações no Android?

O Portal da Empresa do Android obtém e mantém as políticas de proteção de aplicações do serviço Intune em nome de todas as aplicações com MAM ativada no dispositivo. Quando as aplicações com MAM ativadas inicializam, os detalhes da política e o código para impor essas definições de política são importados do Portal da Empresa. O Portal da Empresa também contém código para reduzir o número de pedidos de autenticação apresentados aos utilizadores finais. Por fim, o Portal da Empresa recolhe dados do sistema para melhorar o serviço do Intune; consulte Telemetria para obter detalhes.

Observação

Esta funcionalidade do Portal da Empresa para a política de proteção de aplicações é específica do Android.

O que acontece quando os utilizadores com dispositivos não suportados têm a Política de Proteção de Aplicações direcionada?

A experiência do utilizador final em dispositivos Android não suportados pelas políticas de proteção de aplicações do Intune depende da versão do SO Android do dispositivo:

Versões do SO Android Comportamento do Google Play Comportamento da aplicação MAM
Abaixo do Android 8.0 A aplicação Portal da Empresa não estará disponível para transferência a partir do Google Play. Os dispositivos que já tenham o Portal da Empresa instalado não poderão atualizar para novas versões do Portal da Empresa. A funcionalidade MAM não será bloqueada universalmente. No entanto, à medida que as aplicações integradas no SDK são enviadas com novas versões do SDK, os utilizadores visados pela MAM serão impedidos de entrar nestas aplicações, uma vez que não podem atualizar o Portal da Empresa. Quando um utilizador, que tem a política de MAM direcionada e iniciou sessão anteriormente na aplicação, inicia essa aplicação, ser-lhe-á pedido que atualize o Portal da Empresa. Os utilizadores podem mitigar este comportamento ao remover a conta de destino de MAM da aplicação. Se os utilizadores desinstalarem o Portal da Empresa, a respetiva conta será automaticamente removida da aplicação, mas não poderão voltar a iniciar sessão com a conta de destino da MAM.
Android 8.x A aplicação Portal da Empresa estará disponível para transferência a partir do Google Play. Os dispositivos que já tenham o Portal da Empresa instalado continuarão a poder atualizar para novas versões do Portal da Empresa. A funcionalidade MAM não está ativamente bloqueada. No entanto, o Android 8.x não é suportado e as funcionalidades de MAM podem não funcionar conforme esperado.

O que é a ferramenta de Encapsulamento de Aplicações?

Os programadores de aplicações Android têm várias formas de integrar a funcionalidade do Intune nas respetivas aplicações. Além do SDK, que este guia descreve, os programadores também podem utilizar a Ferramenta de Encapsulamento de Aplicações para Android. Veja Preparar aplicações de linha de negócio para políticas de proteção de aplicações para obter uma comparação detalhada entre o SDK e a ferramenta de Encapsulamento de Aplicações.

Próximas etapas

Depois de concluir todos os Critérios de Saída acima, avance para a Fase 2: o Pré-requisito do MSAL.