Intune App SDK for Android - 瞭解 MSAL 必要條件
Microsoft Intune App SDK for Android 可讓您將 Intune 應用程式保護原則 (也稱為 應用程式 或 MAM 原則) 納入原生 Java/Kotlin Android 應用程式中。 Intune 受控應用程式是與 Intune App SDK 整合的應用程式。 當 Intune 主動管理應用程式時,Intune 系統管理員可以輕鬆地將應用程式保護原則部署到受 Intune 管理的應用程式。
注意事項
本指南分成數個不同的階段。 從檢閱 階段 1:規劃整合開始。
階段 2:MSAL 必要條件
階段目標
- 使用 Microsoft Entra ID 註冊您的應用程式。
- 將 MSAL 整合到您的 Android 應用程式。
- 確認您的應用程式可以取得令牌,以授與受保護資源的存取權。
Background
Microsoft驗證連結庫 (MSAL) 可讓您的應用程式支援 Microsoft Entra ID 和 Microsoft 帳戶,以使用 Microsoft Cloud。
MSAL 不是 Intune 特有的。 Intune 相依於 Microsoft Entra ID;所有 Intune 用戶帳戶都Microsoft Entra 帳戶。 因此,大部分整合 Intune App SDK 的 Android 應用程式都必須整合 MSAL 作為必要條件。
SDK 指南的這個階段概觀與 Intune 相關的 MSAL 整合程式; 完整遵循連結的 MSAL 指南。
為了簡化 Intune App SDK 整合程式, 強烈建議 Android 應用程式開發人員在下載 Intune App SDK 之前完全整合和測試 MSAL。 Intune App SDK 整合程式 確實 需要針對 MSAL 令牌取得進行程式代碼變更。 如果您已經確認應用程式的原始令牌擷取實作如預期般運作,測試 Intune 特定令牌取得變更會比較容易。
若要深入瞭解 Microsoft Entra ID,請參閱 什麼是 Microsoft Entra ID?
若要深入瞭解 MSAL,請參閱 MSAL Wiki 和 MSAL 連結庫清單。
使用 Microsoft Entra ID 註冊您的應用程式
將 MSAL 整合到您的 Android 應用程式之前,所有應用程式都必須向Microsoft身分識別平台註冊。 請遵循 快速入門:在Microsoft身分識別平台中註冊應用程式 - Microsoft身分識別平臺中的步驟。 這會為您的應用程式產生 用戶端標識 碼。
接下來,請遵循指示, 讓您的應用程式能夠存取 Intune 行動應用程式管理服務。
設定 MSAL) (Microsoft驗證連結庫
首先,請閱讀 在 GitHub 上的 MSAL 存放庫中找到的 MSAL 整合指導方針,特別是 使用 MSAL 的一節。
本指南說明如何:
- 將 MSAL 新增為 Android 應用程式的相依性。
- 建立 MSAL 組態檔。
- 設定應用程式的
AndroidManifest.xml
。 - 新增程序代碼以取得令牌。
代理驗證
單一登錄 (SSO) 可讓使用者只輸入其認證一次,並讓這些認證自動在應用程式中運作。 MSAL 可以跨您的應用程式套件啟用 SSO;藉由在 Microsoft Authenticator 或 Microsoft Intune 公司入口網站) (使用訊息代理程式應用程式,您可以將 SSO 延伸至整個裝置。 條件式存取也需要代理驗證。 如需代理驗證的詳細資訊,請參閱 使用 MSAL 在 Android 上啟用跨應用程式 SSO 。
本指南假設您在應用程式內啟用代理驗證 () 遵循上述連結中的步驟,特別是 產生訊息代理程式的重新導向 URI ,以及設定 MSAL 使用訊息代理 程式進行設定,以及 驗證代理程式整合 以進行測試。
如果您未在應用程式中啟用代理驗證,請特別注意 Intune 特定的 MSAL 設定。
Intune 特定的 MSAL 環境設定
根據預設,Intune 會向 Microsoft Entra 公用環境要求令牌。 如果應用程式需要非預設環境,例如主權雲端,則必須將下列設定新增至應用程式的 AndroidManifest.xml
。
設定時,輸入的 Microsoft Entra 授權單位將會發出應用程式的令牌。
這可確保 Intune 的驗證原則已正確強制執行。
<meta-data
android:name="com.microsoft.intune.mam.aad.Authority"
android:value="https://AAD authority/" />
注意
大部分的應用程式不應該設定 Authority 參數。 此外,未整合 MSAL 的應用程式 不得 在指令清單中包含此屬性。
如需非 Intune 特定 MSAL 組態選項的詳細資訊,請參閱 Android Microsoft 驗證連結庫組態檔。
如需主權雲端的詳細資訊,請 參閱在國家雲端環境中使用 MSAL。
結束準則
- 您是否已將 MSAL 整合到應用程式中?
- 您是否已藉由產生重新導向 URI 並在 MSAL 組態檔中設定代理程式驗證來啟用代理程式驗證?
- 您是否已在
AndroidManifest.xml
中設定 Intune 特定的 MSAL 設定? - 您是否已測試代理驗證、確認工作帳戶已新增至 Android 的帳戶管理員,並已與其他Microsoft 365 應用程式測試 SSO?
- 如果您已實作條件式存取,是否已測試裝置型 CA 和應用程式型 CA 來驗證 CA 實作?
常見問題集
ADAL 呢?
Microsoft先前的驗證連結庫 Azure Active Directory 驗證連結庫 (ADAL) 已被 取代。
如果您的應用程式已整合ADAL,請參閱 更新您的應用程式以使用 Microsoft 驗證連結庫 (MSAL) 。 若要將應用程式從ADAL移轉至 MSAL,請參閱將 Android ADAL 移轉至 MSAL 和 ADAL 與 MSAL 之間的差異。
建議您先從 ADAL 移轉至 MSAL,再整合 Intune App SDK。
後續步驟
完成上述所有 結束準則 之後,請繼續進行 第 3 階段:開始使用 MAM。