Fase 2: pré-requisito e configuração do MSAL
O SDK da Aplicação do Intune utiliza a Biblioteca de Autenticação da Microsoft para os cenários de autenticação e iniciação condicional. Também depende da MSAL para registar a identidade do utilizador no serviço MAM para gestão sem cenários de inscrição de dispositivos.
Observação
Este guia está dividido em várias fases distintas. Comece por rever a Fase 1: Planear a Integração.
Objetivos de Fase
- Registe a sua aplicação com o Microsoft Entra ID.
- Integre o MSAL na sua aplicação iOS.
- Verifique se a aplicação pode obter um token que conceda acesso a recursos protegidos.
Configurar e configurar um registo da aplicação Microsoft Entra
A MSAL requer que as aplicações se registem com o Microsoft Entra ID e criem um ID de cliente exclusivo e URI de redirecionamento, para garantir a segurança dos tokens concedidos à aplicação. Se a sua aplicação já utilizar a MSAL para a sua própria autenticação, já deverá existir um URI de registo/ID de cliente/redirecionamento de aplicações do Microsoft Entra associado à aplicação.
Se a sua aplicação ainda não utilizar a MSAL, terá de configurar um registo de aplicação no Microsoft Entra ID e especificar o ID de cliente e o URI de redirecionamento que o SDK do Intune deve utilizar.
Se a sua aplicação utilizar atualmente a ADAL para autenticar utilizadores, veja Migrar aplicações para MSAL para iOS e macOS para obter mais informações sobre como migrar a sua aplicação da ADAL para a MSAL.
Recomenda-se que a sua aplicação ligue à versão mais recente do MSAL.
Ligar a MSAL ao Seu Projeto
Siga a secção de instalação para colocar os binários MSAL na sua aplicação.
Configurar MSAL
Siga a secção de configuração para configurar o MSAL. Certifique-se de que segue todos os passos na secção de configuração. Ignore o primeiro passo se a sua aplicação já estiver registada no Microsoft Entra ID.
Os pontos abaixo contêm informações adicionais para configurar o MSAL e ligar ao mesmo. Siga-os se se aplicarem à sua aplicação.
- Se a sua aplicação não tiver grupos de acesso de keychain definidos, adicione o ID do pacote da aplicação como o primeiro grupo.
- Ative o início de sessão único (SSO) MSAL ao adicionar
com.microsoft.adalcache
aos grupos de acesso de porta-chaves. - Caso esteja a definir explicitamente o grupo de keychains de cache partilhada MSAL, certifique-se de que está definido como
<appidprefix>.com.microsoft.adalcache
. A MSAL irá definir esta opção para si, a menos que a substitua. Se quiser especificar um grupo de keychain personalizado para substituircom.microsoft.adalcache
, especifique-o no ficheiro Info.plist em IntuneMAMSettings, utilizando a chaveADALCacheKeychainGroupOverride
.
Configurar definições MSAL para o SDK da Aplicação Intune
Depois de configurar um registo de aplicação para a sua aplicação no Microsoft Entra ID, pode configurar o SDK da Aplicação Intune para utilizar as definições do registo de aplicações durante a autenticação no Microsoft Entra ID. Veja Configurar definições para o SDK da Aplicação Intune para obter informações sobre como preencher as seguintes definições:
- ADALClientId
- ADALAuthority
- ADALRedirectUri
- ADALRedirectScheme
- ADALCacheKeychainGroupOverride
São necessárias as seguintes configurações:
No ficheiro Info.plist do projeto, no dicionário IntuneMAMSettings com o nome
ADALClientId
da chave , especifique o ID de cliente a utilizar para chamadas MSAL.Se o registo da aplicação Microsoft Entra que mapeia para o ID de cliente configurado no passo 1 estiver configurado para utilização apenas num único inquilino do Microsoft Entra, configure a
ADALAuthority
chave no dicionário IntuneMAMSettings no ficheiro Info.plist da aplicação. Especifique a autoridade do Microsoft Entra a ser utilizada pela MSAL para adquirir tokens para o serviço de gestão de aplicações móveis do Intune.Também no dicionário IntuneMAMSettings com o nome
ADALRedirectUri
da chave , especifique o URI de redirecionamento a ser utilizado para chamadas MSAL. Em alternativa, pode especificarADALRedirectScheme
se o URI de redirecionamento da aplicação estiver no formatoscheme://bundle_id
.Em alternativa, as aplicações podem substituir estas definições do Microsoft Entra no runtime. Para tal, basta definir as
aadAuthorityUriOverride
propriedades ,aadClientIdOverride
eaadRedirectUriOverride
naIntuneMAMSettings
classe .Certifique-se de que são seguidos os passos para conceder permissões à sua aplicação iOS para o serviço Gestão de Aplicações Móveis (MAM) do Intune. Utilize as instruções na introdução ao guia do SDK do Intune emConceder acesso à aplicação ao serviço Gestão de Aplicações Móveis do Intune.
Observação
Se a política de proteção de aplicações estiver relacionada com dispositivos geridos, também é necessário criar um perfil de configuração de aplicações da aplicação que tenha o Intune integrado.
A abordagem Info.plist é recomendada para todas as definições estáticas e não precisam de ser determinadas no runtime. Os valores atribuídos às propriedades de
IntuneMAMSettings
classe no runtime têm precedência sobre os valores correspondentes especificados no info.plist e irão persistir mesmo depois de a aplicação ser reiniciada. O SDK continuará a utilizá-los para as verificações de políticas até que o utilizador seja anulado ou os valores sejam limpos ou alterados.
Considerações especiais ao utilizar a MSAL para autenticação iniciada pela aplicação
Recomenda-se que as aplicações não utilizem SFSafariViewController, SFAuthenticationSession ou ASWebAuthenticationSession como descrição Web para quaisquer operações de autenticação interativa MSAL iniciadas por aplicações. Por predefinição, a MSAL utiliza ASWebAuthenticationSession, pelo que os programadores de aplicações devem definir explicitamente o tipo de webview como WKWebView. Se, por algum motivo, a sua aplicação tiver de utilizar um tipo de webview diferente de WKWebView para quaisquer operações de autenticação MSAL interativas, também tem de ser definida SafariViewControllerBlockedOverride
como true
IntuneMAMSettings
no dicionário no Info.plist da aplicação.
Aviso
Esta ação desativará os hooks safariViewController do Intune para ativar a sessão de autenticação. Isto arrisca fugas de dados noutra parte da aplicação se a aplicação utilizar o SafariViewController para ver dados empresariais, pelo que a aplicação não deve mostrar dados empresariais em nenhum desses tipos de webview.
Critérios de Saída
- Registou a sua aplicação na página de registo da aplicação Microsoft Entra?
- Integrou o MSAL na sua aplicação?
- Ativou a autenticação do mediador ao gerar um URI de redirecionamento e defini-lo no ficheiro de configuração MSAL?
- Confirmou que as informações de configuração necessárias para a MSAL no dicionário IntuneMAMSettings correspondem às do seu Microsoft Entra App Registrations?
Perguntas frequentes
E a ADAL?
A biblioteca de autenticação anterior da Microsoft, a Biblioteca de Autenticação do Azure Active Directory (ADAL) foi preterida.
Se a sua aplicação já tiver integrado a ADAL, consulte Atualizar as aplicações para utilizar a Biblioteca de Autenticação da Microsoft (MSAL). Para migrar a sua aplicação da ADAL para a MSAL, veja Migrar aplicações para MSAL para iOS e macOS
Recomenda-se migrar da ADAL para a MSAL antes de integrar o SDK da Aplicação intune.
Próximas etapas
Depois de concluir todos os Critérios de Saída acima, avance para a Fase 3: integração do SDK do Intune na sua aplicação iOS.