Intune App SDK för Android – Planera integreringen
Med Microsoft Intune App SDK för Android kan du införliva Intune-appskyddsprinciper (även kallade APP- eller MAM-principer ) i din interna Java/Kotlin Android-app. Ett Intune-hanterat program är ett program som är integrerat med Intune App SDK. Intune-administratörer kan enkelt distribuera appskyddsprinciper till din Intune-hanterade app när Intune aktivt hanterar appen.
Steg 1: Planera integreringen
Den här guiden är avsedd för Android-utvecklare som vill lägga till stöd för Microsoft Intunes appskyddsprinciper i sin befintliga Android-app.
Etappmål
- Lär dig vilka inställningar för appskyddsprinciper som är tillgängliga för Android och hur dessa principer fungerar i ditt program.
- Förstå de viktigaste beslutspunkterna under SDK-integreringsprocessen och planera din apps integrering.
- Förstå kraven för program som integrerar SDK.
- Skapa en testklientorganisation för Intune och konfigurera en Android-appskyddsprincip.
Förstå MAM
Innan du börjar integrera Intune App SDK i ditt Android-program bör du bekanta dig med Microsoft Intunes lösning för hantering av mobilprogram:
- [Apphantering i Microsoft Intune] ger en översikt över MAM-funktioner på olika plattformar och var du hittar dessa funktioner i administrationscentret för Microsoft Intune.
- Översikten över Intune App SDK går ett lager djupare och beskriver de aktuella funktionerna i SDK:t.
- Principinställningar för Android-appskydd beskriver varje Android-inställning i detalj. Appen stöder de här inställningarna genom att integrera SDK:t. Under SDK-integreringsprocessen konfigurerar du även de här inställningarna i din egen testklient för validering.
Obs!
Vissa inställningar för Android-appskyddsprinciper kräver specifik kod som stöds. Mer information finns i Steg 7: Funktioner för app med deltagande .
Viktiga beslut för SDK-integrering
Behöver jag registrera mitt program på Microsofts identitetsplattform?
Ja, alla appar som integreras med Intune SDK måste registreras med Microsofts identitetsplattform. Följ stegen i Snabbstart: Registrera en app på Microsofts identitetsplattform – Microsofts identitetsplattform.
Har jag åtkomst till mitt programs källkod?
Om du inte har åtkomst till programmets källkod och bara har åtkomst till det kompilerade programmet i antingen .apk- eller .aab-format kan du inte integrera SDK:t i ditt program. Ditt program kan dock fortfarande vara kompatibelt med Intunes appskyddsprinciper. Mer information finns i Programhanteringsverktyg för Android .
Ska mitt program integrera Microsoft Authentication Library (MSAL)?
Se Översikt över Microsofts autentiseringsbibliotek (MSAL) för att avgöra om ditt program behöver integrera MSAL. De flesta program måste integrera MSAL innan du integrerar Intune SDK.
Din app kan hoppa över integreringen av MSAL endast om alla följande är sanna:
- Programmet har inte eller behöver en interaktiv slutanvändarupplevelse för inloggning och utloggning.
- Programmet stöder inte flera konton som loggas in samtidigt.
- Programmet behöver inte ha stöd för icke-Intune-konton.
- Programmet beviljar inte åtkomst till resurser som skyddas av villkorlig åtkomst.
Om din app uppfyller alla ovanstående villkor och inte integrerar MSAL kan den fortfarande skyddas av appskyddsprincipen, om än utan något alternativ för ohanterad användning. Mer information finns i Standardregistrering .
Se Steg 2: MSAL-förutsättningen för instruktioner om integrering av MSAL och ytterligare information om identitetsscenarier i ditt program.
Är mitt program enkel identitet eller flera identiteter?
Hur hanterar programmet användarautentisering och konton utan stöd för Intune-appskyddsprinciper?
Tillåter ditt program för närvarande bara att ett enda konto loggas in? Tvingar ditt program uttryckligen det inloggade kontot att logga ut – och ta bort det tidigare kontots data – innan ett annat konto tillåts logga in? I så fall är programmet en enda identitet.
Tillåter ditt program för närvarande ett andra konto att logga in, även om ett annat konto redan är inloggat? Visar programmet flera kontons data på en delad skärm? Lagrar programmet flera kontons data? Låter ditt program användarna växla mellan olika inloggade konton? I så fall är ditt program flera identiteter och du måste följa steg 5: Flera identiteter. Det här avsnittet krävs för din app.
Även om ditt program har flera identiteter följer du den här integreringsguiden i ordning. När du först integrerar och testar som en enskild identitet kan du säkerställa korrekt integrering och förhindra buggar där företagsdata slutar vara oskyddade.
Har mitt program eller behöver jag inställningar för appkonfiguration?
Android stöder programspecifika hanteringskonfigurationer som gäller för program som distribueras under Android Enterprise-hanteringslägen. Administratörer kan konfigurera dessa programkonfigurationsprinciper för hanterade Android Enterprise-enheter i administrationscentret för Microsoft Intune.
Intune stöder även programkonfigurationer som gäller för SDK-integrerade program, oavsett enhetshanteringsläge. Administratörer kan konfigurera dessa programkonfigurationsprinciper för hanterade appar i administrationscentret för Microsoft Intune.
Intune App SDK stöder båda typerna av programkonfiguration och tillhandahåller ett enda API för åtkomst till konfigurationer från båda kanalerna. Om programmet har eller har stöd för någon av dessa typer av programkonfiguration måste du följa steg 6: Appkonfiguration.
Behöver mitt program definiera ett detaljerat skydd för inkommande och utgående data?
Om din app låter användare spara data till eller öppna data från molntjänster eller till enhetsplatser måste den göra ändringar för att stödja förbättrad dataöverföringsprincip. Se Princip för att begränsa dataöverföring mellan appar och enheter eller molnlagringsplatser i steg 7: Funktioner för app med deltagande.
Visar mitt program meddelanden som innehåller användarspecifik information?
Appar med flera identiteter måste göra kodändringar för att korrekt respektera meddelandeprincipen. Appar med en identitet kanske vill göra kodändringar så att den här meddelandeprincipen inte blockerar 100 % av appens meddelanden. Se Princip för att begränsa innehåll i meddelanden i steg 7: Funktioner för app med deltagande.
Stöder mitt program Androids funktioner för säkerhetskopiering och återställning?
Android stöder säkerhetskopierings- och återställningsfunktioner för att bevara data och anpassning för användare när de uppgraderar till en ny enhet eller installerar om din app.
Intune stöder även säkerhetskopierings- och återställningsfunktioner för SDK-integrerade program för att säkerställa att företagsdata inte kan läckas via en återställning.
Om din app stöder den här funktionen måste den vidta kodändringar för att skydda företagsdata under återställningen. Se Princip för att skydda säkerhetskopierade data i steg 7: Funktioner för app med deltagande.
Har mitt program resurser som ska skyddas av villkorlig åtkomst?
Villkorlig åtkomst (CA) är en Microsoft Entra ID-funktion som kan användas för att styra åtkomsten till Microsoft Entra-resurser. Intune-administratörer kan definiera CA-regler som endast tillåter resursåtkomst från enheter eller appar som hanteras av Intune.
Intune stöder två typer av CA: enhetsbaserad CA och appbaserad CA, även kallat App Protection CA. Enhetsbaserad ca blockerar åtkomsten till skyddade resurser tills hela enheten hanteras av Intune. Appbaserad CA blockerar åtkomsten till skyddade resurser tills den specifika appen hanteras av Intunes appskyddsprinciper.
Om din app hämtar alla Microsoft Entra-åtkomsttoken och får åtkomst till resurser som kan skyddas av ca måste du följa Support App Protection CA i steg 7: Funktioner för appdeltagande.
Har mitt program ett distinkt tema som måste bevaras i användargränssnittet som visas av Intune App SDK?
Som standard visar Intune App SDK komponenter för principframtvingande gränssnitt färgade enligt standardtemat.
Möjligheten att åsidosätta standardtemat är kosmetiskt och valfritt. Se Tillhandahålla ett anpassat tema i steg 7: Funktioner för app med deltagande.
Krav
Företagsportalapp
Intune App SDK för Android förlitar sig på förekomsten av företagsportalappen på enheten för att aktivera appskyddsprinciper. Företagsportalen hämtar appskyddsprinciper från Intune-tjänsten. När en SDK-integrerad app initieras läser den in principer och kod för att framtvinga principen från företagsportalen.
Obs!
När företagsportalappen inte finns på enheten fungerar en SDK-integrerad app på samma sätt som en normal app som inte stöder Intunes appskyddsprinciper. Även om företagsportalappen finns på enheten fungerar en SDK-integrerad app på samma sätt som vanligt när slutanvändaren inte är mål för appskyddsprincipen.
Användaren behöver inte logga in på eller ens starta företagsportalappen för att appskyddsprincipen ska fungera.
Android-versioner
Obs!
Kontrollera att din app är kompatibel med Google Play-kraven.
SDK har fullt stöd för Android API 28 (Android 9.0) via Android API 34 (Android 14).
För att kunna rikta Android API 34 (Android 14) måste du använda Intune App SDK v10.0.0 eller senare.
API:er 26 till 27 (Android 8.0–8.1) har begränsat stöd. Företagsportalappen stöds inte under Android API 26 (Android 8.0). Appskyddsprincipen stöds inte under Android API 28 (Android 9.0).
Om din app deklarerar minSdkVersion till en API-nivå under API 28 (Android 9.0) blockerar inte Intune App SDK appanvändningen för användare som inte omfattas av appskyddsprincipen.
Telemetri
Intune App SDK för Android styr inte datainsamling från din app. Företagsportalprogrammet loggar systemgenererade data som standard. Dessa data skickas till Microsoft Intune. Enligt Microsoft Policy samlar Intune inte in några personuppgifter.
Tips
Om slutanvändarna väljer att inte skicka dessa data måste de inaktivera telemetri under Inställningar i företagsportalappen. Mer information finns i Inaktivera Microsofts insamling av användningsdata.
Skapa en testprincip för Android-appskydd
Demoinstallation av klientorganisation
Om du inte redan har en klientorganisation med ditt företag kan du skapa en demoklientorganisation med eller utan förgenererade data. Du måste registrera dig som Microsoft-partner för att få åtkomst till Microsoft CDX. Så här skapar du ett nytt konto:
- Gå till webbplatsen för skapande av Microsoft CDX-klientorganisation och skapa en Microsoft 365 Enterprise-klientorganisation.
- Konfigurera Intune för att aktivera hantering av mobila enheter (MDM).
- Skapa användare.
- Skapa grupper.
- Tilldela licenser efter behov för testningen.
Konfiguration av appskyddsprincip
Skapa och tilldela appskyddsprinciper i administrationscentret för Microsoft Intune. Förutom att skapa appskyddsprinciper kan du skapa och tilldela en appkonfigurationsprincip i Intune.
Innan du testar inställningar för appskyddsprinciper i ditt eget program är det bra att bekanta dig med hur de här inställningarna beter sig i andra SDK-integrerade program.
Tips
Om din app inte visas i administrationscentret för Microsoft Intune kan du rikta den mot en princip genom att välja alternativet fler appar och ange paketnamnet i textrutan. Du måste rikta din app mot en appskyddsprincip och distribuera principen till en användare för att kunna testa integreringen. Även om principen är riktad och distribuerad kommer appen inte att tillämpa principer korrekt förrän den har integrerat SDK:t.
Avslutsvillkor
- Har du bekantat dig med hur olika inställningar för appskyddsprinciper kommer att fungera i ditt Android-program?
- Har du granskat din app och planerat appens integrering kring MSAL, villkorsstyrd åtkomst, multiidentitet, appkonfiguration och alla ytterligare SDK-funktioner?
- Har du skapat en Android-appskyddsprincip i testklientorganisationen?
Vanliga frågor och svar
Varför krävs företagsportalappen för programskyddsprinciper på Android?
Android-företagsportalen hämtar och bevarar appskyddsprinciper från Intune-tjänsten för alla MAM-aktiverade program på enheten. När MAM-aktiverade program initieras importeras principinformation och kod för att framtvinga dessa principinställningar från företagsportalen. Företagsportalen innehåller också kod för att minska antalet autentiseringsanvisningarna som visas för slutanvändarna. Slutligen samlar företagsportalen in systemdata för att förbättra Intune-tjänsten. se Telemetri för mer information.
Obs!
Den här företagsportalens funktioner för appskyddsprinciper är specifika för Android.
Vad händer när användare med enheter som inte stöds har en appskyddsprincip riktad?
Slutanvändarens upplevelse på Android-enheter som inte stöds av Intunes appskyddsprinciper beror på enhetens Android OS-version:
| Android OS-versioner | Google Play-beteende | MAM-appbeteende |
|---|---|---|
| Under Android 8.0 | Företagsportalappen är inte tillgänglig för nedladdning från Google Play. Enheter som redan har företagsportalen installerad kommer inte att kunna uppdatera till nya versioner av företagsportalen. | MAM-funktioner blockeras inte universellt. Men eftersom SDK-integrerade appar levereras med nya versioner av SDK blockeras MAM-riktade användare från att ange dessa appar eftersom de inte kan uppdatera företagsportalen. När en användare, som har MAM-principen som mål och tidigare har loggat in i appen, startar en sådan app uppmanas de att uppgradera företagsportalen. Användare kan minimera det här beteendet genom att ta bort MAM-målkontot från programmet. Om användarna avinstallerar företagsportalen tas deras konto automatiskt bort från appen, men de kan inte logga in igen med MAM-målkontot. |
| Android 8.x | Företagsportalappen kommer att vara tillgänglig för nedladdning från Google Play. Enheter som redan har företagsportalen installerad kommer fortfarande att kunna uppdatera till nya versioner av företagsportalen. | MAM-funktioner blockeras inte aktivt. Android 8.x stöds dock inte och MAM-funktioner kanske inte fungerar som förväntat. |
Vad är programhanteringsverktyget?
Android-apputvecklare har flera sätt att integrera Intune-funktioner i sina program. Förutom SDK, som beskrivs i den här guiden, kan utvecklare också använda programhanteringsverktyget för Android. Se Förbereda verksamhetsspecifika appar för appskyddsprinciper för en detaljerad jämförelse mellan SDK och programhanteringsverktyget.
Nästa steg
När du har slutfört alla avslutsvillkor ovan fortsätter du till steg 2: MSAL-förutsättningen.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för