Dela via


Förbereda Android-appar för appskyddsprinciper med Intunes programhanteringsverktyg

Använd Microsoft Intunes programhanteringsverktyg för Android för att ändra beteendet för dina interna Android-appar genom att begränsa funktionerna i appen utan att ändra koden för själva appen.

Verktyget är ett Windows-kommandoradsprogram som körs i PowerShell och skapar en omslutning runt din Android-app. När appen är omsluten kan du ändra appens funktioner genom att konfigurera hanteringsprinciper för mobilprogram i Intune.

Innan du kör verktyget bör du läsa Säkerhetsöverväganden för att köra programhanteringsverktyget. Om du vill ladda ned verktyget går du till Microsoft Intune-programhanteringsverktyget för Android på GitHub.

Obs!

Om du har problem med att använda Intunes programhanteringsverktyg med dina appar skickar du en begäran om hjälp på GitHub.

Uppfylla kraven för att använda programhanteringsverktyget

  • Din app måste använda uppdaterade bibliotek

  • Din app måste vara kompatibel med Google Play-kraven

  • Om din app är komplex måste den integreras med Intune App SDK för Android

  • Du måste köra programhanteringsverktyget på en Windows-dator som kör Windows 10 eller senare.

  • Indataappen måste vara ett giltigt Android-programpaket med filnamnstillägget .apk och:

    • Den kan inte krypteras.
    • Den får inte tidigare ha omslutits av Intunes programhanteringsverktyg.
    • Den måste skrivas för Android 9.0 eller senare.

    Obs!

    Om din indataapp är ett Android-apppaket (.aab) måste du konvertera den till en APK innan du använder Intunes programhanteringsverktyg. Mer information finns i Konvertera Android App Bundle (AAB) till APK. Från och med augusti 2021 kan nya privata appar fortfarande publiceras till Google Play Store som API:er.

  • Appen måste utvecklas av eller för ditt företag. Du kan inte använda det här verktyget på appar som är tillgängliga i Google Play Store. Detta inkluderar nedladdning eller hämtning av appen från Google Play Store.

  • Om du vill köra programhanteringsverktyget måste du installera den senaste versionen av Java Runtime Environment och sedan se till att java-sökvägsvariabeln har angetts till C:\ProgramData\Oracle\Java\javapath i dina Windows-miljövariabler. Mer hjälp finns i Java-dokumentationen.

    Obs!

    I vissa fall kan 32-bitarsversionen av Java resultera i minnesproblem. Det är en bra idé att installera 64-bitarsversionen.

  • Android kräver att alla apppaket (.apk) signeras. Information om hur du återanvänder befintliga certifikat och övergripande vägledning för signeringscertifikat finns i Återanvända signeringscertifikat och omsluta appar. När du har omslutit .apk-filen med hjälp av Intunes programhanteringsverktyg rekommenderar vi att du använder Googles apksignerverktyg. Detta säkerställer att när din app kommer till slutanvändarenheter kan den startas korrekt med Android-standarder.

  • (Valfritt) Ibland kan en app nå storleksgränsen dalvik körbar (DEX) på grund av de Intune MAM SDK-klasser som läggs till under omslutning. DEX-filer är en del av kompilering av en Android-app. Intunes programhanteringsverktyg hanterar automatiskt DEX-filspill under omslutning för appar med en lägsta API-nivå på 21 eller högre ( från och med v. 1.0.2501.1). För appar med en lägsta API-nivå på < 21 är bästa praxis att öka den lägsta API-nivån med hjälp av omslutningsflaggan -UseMinAPILevelForNativeMultiDex . För kunder som inte kan öka appens lägsta API-nivå är följande DEX-överflödeslösningar tillgängliga. I vissa organisationer kan detta kräva att du arbetar med den som kompilerar appen (dvs. appbyggteamet):

    • Använd ProGuard för att eliminera oanvända klassreferenser från appens primära DEX-fil.
    • Inaktivera D8-dexern för kunder som använder v3.1.0 eller senare av Plugin-programmet Android Gradle.

Hur ofta ska jag skriva om mitt Android-program med Intunes programhanteringsverktyg?

De viktigaste scenarierna där du skulle behöva skriva om dina program är följande:

  • Själva programmet har släppt en ny version. Den tidigare versionen av appen omsluts och laddades upp till administrationscentret för Microsoft Intune.

  • Intunes programhanteringsverktyg för Android har släppt en ny version som möjliggör viktiga felkorrigeringar, eller nya, specifika intune-funktioner för programskyddsprinciper. Detta sker var 6–8:e vecka via GitHub-lagringsplatsen för Microsoft Intunes programhanteringsverktyg för Android.

Några metodtips för omarbetning är:

Installera programhanteringsverktyget

  1. Från GitHub-lagringsplatsen laddar du ned installationsfilen InstallAWT.exe för Intunes programhanteringsverktyg för Android till en Windows-dator. Öppna installationsfilen.

  2. Godkänn licensavtalet och slutför sedan installationen.

Anteckna mappen som du installerade verktyget i. Standardplatsen är: C:\Program Files (x86)\Microsoft Intune Mobile Application Management\Android\App Wrapping Tool.

Kör programhanteringsverktyget

Viktigt

Intune släpper regelbundet uppdateringar av Intunes programhanteringsverktyg. Kontrollera regelbundet intune-programhanteringsverktyget för Android för uppdateringar och införliva dem i programutvecklingscykeln för att säkerställa att dina appar stöder de senaste inställningarna för appskyddsprinciper.

  1. Öppna ett PowerShell-fönster på den Windows-dator där du installerade programhanteringsverktyget.

  2. Importera PowerShell-modulen för programhanteringsverktyget från mappen där du installerade verktyget:

    Import-Module .\IntuneAppWrappingTool.psm1
    
  3. Kör verktyget med kommandot invoke-AppWrappingTool , som har följande användningssyntax:

    Invoke-AppWrappingTool [-InputPath] <String> [-OutputPath] <String> [<CommonParameters>]
    

    Följande tabell beskriver egenskaperna för kommandot invoke-AppWrappingTool :

Egenskap Information
-InputPath<Sträng> Sökväg till Android-källappen (.apk).
-OutputPath<Sträng> Sökväg till Android-utdataappen. Om det här är samma katalogsökväg som InputPath misslyckas paketeringen.
<CommonParameters> (Valfritt) Kommandot stöder vanliga PowerShell-parametrar som utförlig och felsökning.
  • En lista över vanliga parametrar finns i Microsoft Script Center.

  • Om du vill se detaljerad användningsinformation för verktyget anger du kommandot :

    Help Invoke-AppWrappingTool
    

Exempel:

Importera PowerShell-modulen.

Import-Module "C:\Program Files (x86)\Microsoft Intune Mobile Application Management\Android\App Wrapping Tool\IntuneAppWrappingTool.psm1"

Kör programhanteringsverktyget på den inbyggda appen HelloWorld.apk.

invoke-AppWrappingTool -InputPath .\app\HelloWorld.apk -OutputPath .\app_wrapped\HelloWorld_wrapped.apk -Verbose

Den omslutna appen och en loggfil genereras och sparas i den utdatasökväg som du angav.

Återanvända signeringscertifikat och omsluta appar

Android kräver att alla appar måste signeras av ett giltigt certifikat för att kunna installeras på Android-enheter.

Omslutna appar kan signeras efter omslutning med hjälp av dina befintliga signeringsverktyg (all signeringsinformation i appen innan omslutningen tas bort). Om möjligt bör signeringsinformationen som redan användes under byggprocessen användas under omslutningen. I vissa organisationer kan detta kräva att du arbetar med den som äger nyckellagringsinformationen (dvs. appbyggteamet).

Om det tidigare signeringscertifikatet inte kan användas, eller om appen inte har distribuerats tidigare, kan du skapa ett nytt signeringscertifikat genom att följa anvisningarna i Android Developer Guide.

Om appen har distribuerats tidigare med ett annat signeringscertifikat kan appen inte laddas upp till Intune efter uppgraderingen. Scenarier för appuppgradering bryts om din app har signerats med ett annat certifikat än det som appen har skapats med. Därför bör alla nya signeringscertifikat underhållas för appuppgraderingar.

Säkerhetsöverväganden vid körning av programhanteringsverktyget

För att förhindra potentiell förfalskning, avslöjande av information och utökade privilegier:

  • Kontrollera att det verksamhetsspecifika indataprogrammet (LOB) och utdataprogrammet finns på samma Windows-dator där programhanteringsverktyget körs.

  • Importera utdataprogrammet till Intune på samma dator där verktyget körs. Mer information om Java-nyckelverktyg finns i keytool .

  • Om utdataprogrammet och verktyget finns på en UNC-sökväg (Universal Naming Convention) och du inte kör verktyget och indatafilerna på samma dator konfigurerar du miljön så att den är säker med hjälp av IPsec (Internet Protocol Security) eller SMB-signering (Server Message Block).

  • Kontrollera att programmet kommer från en betrodd källa.

  • Skydda utdatakatalogen som har den omslutna appen. Överväg att använda en katalog på användarnivå för utdata.

Konvertera Android App Bundle (AAB) till APK

Intunes programhanteringsverktyg stöder för närvarande endast APK-indata. Android-apppaket måste först konverteras till en APK för användning med verktyget.

Ett Android-apppaket kan konverteras till ett APK med hjälp av Googles kommandoradsverktyg, bundletool. Den senaste versionen av bundle-tool kan laddas ned från Googles bundletool GitHub-lagringsplats.

bundletool kan användas för att skapa en enda universell APK för användning med Intunes programhanteringsverktyg med följande kommando:

bundletool build-apks --bundle=input.aab --mode=universal --output=input.apks

Utdatafilen .apks är ett ZIP-arkiv som innehåller en enda universell APK-fil. Packa upp arkivet och använd APK-filen som indata till Intunes programhanteringsverktyg.

Se även