Dela via


Intune App SDK för Android – Förstå MSAL-kravet

Med Microsoft Intune App SDK för Android kan du införliva Intune-appskyddsprinciper (även kallade APP- eller MAM-principer ) i din interna Java/Kotlin Android-app. Ett Intune-hanterat program är ett program som är integrerat med Intune App SDK. Intune-administratörer kan enkelt distribuera appskyddsprinciper till din Intune-hanterade app när Intune aktivt hanterar appen.

Obs!

Den här guiden är uppdelad i flera olika steg. Börja med att granska steg 1: Planera integreringen.

Steg 2: Krav för MSAL

Etappmål

  • Registrera ditt program med Microsoft Entra-ID.
  • Integrera MSAL i ditt Android-program.
  • Kontrollera att programmet kan hämta en token som ger åtkomst till skyddade resurser.

Bakgrund

Microsofts autentiseringsbibliotek (MSAL) ger ditt program möjlighet att använda Microsoft Cloud genom att stödja Microsoft Entra-ID och Microsoft-konton.

MSAL är inte specifikt för Intune. Intune är beroende av Microsoft Entra-ID. alla Intune-användarkonton är Microsoft Entra-konton. Därför måste de allra flesta Android-program som integrerar Intune App SDK integrera MSAL som en förutsättning.

I det här steget i SDK-guiden får du en översikt över MSAL-integreringsprocessen när det gäller Intune. följa de länkade MSAL-guiderna i sin helhet.

För att förenkla Intune App SDK-integreringsprocessen uppmanas Android-apputvecklare att integrera och testa MSAL fullständigt innan de laddar ned Intune App SDK. Intune App SDK-integreringsprocessen kräver kodändringar kring hämtning av MSAL-token. Det blir enklare att testa ändringarna i Intune-specifika tokenförvärv om du redan har bekräftat att appens ursprungliga implementering av tokenförvärv fungerar som förväntat.

Mer information om Microsoft Entra-ID finns i Vad är Microsoft Entra-ID?

Mer information om MSAL finns i MSAL Wiki och en lista över MSAL-bibliotek.

Registrera ditt program med Microsoft Entra-ID

Innan du integrerar MSAL i ditt Android-program måste alla appar registreras på Microsofts identitetsplattform. Följ stegen i Snabbstart: Registrera en app på Microsofts identitetsplattform – Microsofts identitetsplattform. Detta genererar ett klient-ID för ditt program.

Följ sedan anvisningarna för att ge din app åtkomst till Intune Mobile App Management-tjänsten.

Konfigurera Microsoft Authentication Library (MSAL)

Läs först riktlinjerna för MSAL-integrering som finns i MSAL-lagringsplatsen på GitHub, särskilt avsnittet med MSAL.

Den här guiden beskriver hur du:

  • Lägg till MSAL som ett beroende till ditt Android-program.
  • Skapa en MSAL-konfigurationsfil.
  • Konfigurera programmets AndroidManifest.xml.
  • Lägg till kod för att hämta en token.

Asynkron autentisering

Med enkel inloggning (SSO) kan användarna bara ange sina autentiseringsuppgifter en gång och få dessa autentiseringsuppgifter automatiskt att fungera mellan program. MSAL kan aktivera enkel inloggning i dina appar. genom att använda ett asynkront program (antingen Microsoft Authenticator eller Microsoft Intune-företagsportalen) kan du utöka enkel inloggning över hela enheten. Asynkron autentisering krävs också för villkorsstyrd åtkomst. Mer information om asynkron autentisering finns i Aktivera enkel inloggning mellan appar på Android med MSAL .

Den här guiden förutsätter att du aktiverar asynkron autentisering i dina program genom att följa stegen på länken ovan, särskilt Generera en omdirigerings-URI för en asynkron meddelandekö och Konfigurera MSAL att använda en asynkron meddelandekö för konfiguration och Verifiera broker-integrering för testning.

Om du inte aktiverar asynkron autentisering i ditt program bör du vara extra uppmärksam på Intune-specifik MSAL-konfiguration.

Intune-specifik MSAL-miljökonfiguration

Som standard begär Intune token från den offentliga Microsoft Entra-miljön. Om ditt program kräver en icke-standardmiljö, till exempel ett nationellt moln, måste följande inställning läggas till i programmets AndroidManifest.xml. När detta anges utfärdar den angivna Microsoft Entra-utfärdaren token för ditt program. Detta säkerställer att Intunes autentiseringsprincip tillämpas korrekt.

<meta-data
    android:name="com.microsoft.intune.mam.aad.Authority"
    android:value="https://AAD authority/" />

Försiktighet

De flesta appar bör inte ange parametern Utfärdare. Dessutom får program som inte integrerar MSAL inte inkludera den här egenskapen i manifestet.

Mer information om icke-Intune-specifika MSAL-konfigurationsalternativ finns i konfigurationsfilen för Android Microsoft Authentication Library.

Mer information om nationella moln finns i Använda MSAL i en nationell molnmiljö.

Avslutsvillkor

  • Har du integrerat MSAL i ditt program?
  • Har du aktiverat asynkron autentisering genom att generera en omdirigerings-URI och ange den i MSAL-konfigurationsfilen?
  • Har du konfigurerat Intune-specifika MSAL-inställningar i AndroidManifest.xml?
  • Har du testat asynkron autentisering, bekräftat att ett arbetskonto har lagts till i Android Account Manager och testat enkel inloggning med andra Microsoft 365-appar?
  • Om du har implementerat villkorsstyrd åtkomst, har du testat både enhetsbaserad CA och appbaserad CA för att verifiera din CA-implementering?

Vanliga frågor och svar

ADAL då?

Microsofts tidigare autentiseringsbibliotek, Azure Active Directory Authentication Library (ADAL) är inaktuellt.

Om ditt program redan har integrerat ADAL kan du läsa Uppdatera dina program så att de använder Microsoft Authentication Library (MSAL). Information om hur du migrerar din app från ADAL till MSAL finns i Migrera Android ADAL till MSAL och Skillnader mellan ADAL och MSAL.

Vi rekommenderar att du migrerar från ADAL till MSAL innan du integrerar Intune App SDK.

Nästa steg

När du har slutfört alla avslutsvillkor ovan fortsätter du till Steg 3: Komma igång med MAM.