Microsoft Intune 应用 SDK 概述

适用于 iOS 和 Android 的 Intune 应用 SDK 使应用能够支持 Intune 应用保护策略。 在你的应用使用了应用保护策略后，可由 Intune 进行管理，并可由 Intune 识别为托管应用。 SDK 致力于尽量减少应用开发人员所需的代码更改量。 你会发现，可以在不更改应用行为的情况下启用 SDK 的大部分功能。 为了增强最终用户和 IT 管理员体验，可以利用 SDK 的 API 自定义应用行为，以支持需要应用参与的功能。

启用应用支持 Intune 应用保护策略后，IT 管理员可以部署这些策略来保护应用中的公司数据。

应用保护功能

下面是可通过 SDK 启用的 Intune 应用保护功能的示例。

控制用户移动公司文件的能力

IT 管理员可以控制可以移动应用中的工作或学校数据的位置。 例如，他们可以部署一个策略，该策略禁止应用将公司数据备份到云。

配置剪贴板限制

IT 管理员可以在 Intune 托管的应用中配置剪贴板行为。 例如，他们可以部署策略，以防止最终用户从应用剪切或复制数据，并粘贴到非托管的个人应用中。

对保存的数据强制加密

IT 管理员可以强制实施策略，确保对应用保存到设备的数据进行加密。

远程擦除公司数据

IT 管理员可以从 Intune 托管的应用远程擦除公司数据。 此功能基于标识，仅删除与最终用户的公司标识关联的文件。 为此，该功能需要应用的参与。 应用可以根据用户设置指定应为其执行擦除的标识。 如果应用中没有这些指定的用户设置，则默认行为是擦除应用程序目录，并通知最终用户访问权限已删除。

强制使用托管浏览器

IT 管理员可以强制使用 Microsoft Edge 应用打开应用中的 Web 链接。 此功能可确保企业环境中显示的链接保留在 Intune 托管应用的域中。

强制实施 PIN 策略

IT 管理员可以要求最终用户在访问应用中的公司数据之前输入 PIN。 这可确保使用该应用的人员是最初使用其工作或学校帐户登录的同一人。 最终用户配置其 PIN 时，Intune App SDK 使用Microsoft Entra ID来根据已注册的 Intune 帐户验证最终用户的凭据。

要求用户使用工作或学校帐户登录才能访问应用

IT 管理员可以要求用户使用其工作或学校帐户登录才能访问应用。 Intune App SDK 使用 Microsoft Entra ID 提供单一登录体验，输入凭据后，将重复使用该凭据进行后续登录。 我们还支持对与 Microsoft Entra ID 联合的标识管理解决方案进行身份验证。

检查设备运行状况和合规性

在最终用户访问应用之前，IT 管理员可以检查设备的运行状况及其与 Intune 策略的合规性。 在 iOS/iPadOS 上，此策略检查设备是否已越狱。 在 Android 上，此策略检查设备是否已获得 root 权限。

支持多标识

多标识支持是 SDK 的一项功能，可在单个应用中实现策略托管 (企业) 和非托管 (个人) 帐户共存。

例如，许多用户在适用于 iOS 和 Android 的 Office 移动应用中配置公司和个人电子邮件帐户。 当用户使用其公司帐户访问数据时，IT 管理员必须确信应用保护策略会应用。 但是，当用户访问个人电子邮件帐户时，该数据应不受 IT 管理员的控制。 Intune 应用 SDK 通过将应用保护策略仅面向 应用中的公司标识 来实现此目的。

多标识功能有助于解决组织在支持个人帐户和工作帐户的应用商店应用时面临的数据保护问题。

无需设备注册应用保护

重要

Intune App Wrapping Tools、Intune App SDK for Android、Intune App SDK for iOS 和 Intune App SDK Xamarin Bindings 提供无需设备注册的 Intune 应用保护。

许多拥有个人设备的用户希望在不向移动设备管理 (MDM) 提供商注册其个人设备的情况下访问公司数据。 由于 MDM 注册需要对设备的全局控制，用户通常不愿将个人设备的控制权移交给公司。

在没有设备注册的情况下应用保护，Microsoft Intune服务可以直接将应用保护策略部署到应用，而无需依赖设备管理通道来部署策略。

后续步骤

• Microsoft Intune应用 SDK 入门。