Intune App SDK for iOS - 規劃整合

  • 發行項

Microsoft Intune App SDK for iOS 可讓您將 Intune 應用程式保護原則 (也稱為應用程式或 MAM 原則) 併入原生 iOS 應用程式。 啟用 MAM 的應用程式是與 Intune App SDK 整合的應用程式。 當 Intune 主動管理應用程式時,IT 系統管理員可以將應用程式保護原則部署到您的行動應用程式。

重要事項

Intune 定期發行 Intune App SDK 的更新。 建議您訂閱 Intune App SDK 存放庫以取得更新,讓您可以將更新納入軟體開發發行週期,並確保您的應用程式支援最新的應用程式保護原則設定。

規劃在每個主要 OS 版本之前採取必要的 Intune App SDK 更新,以確保您的應用程式能繼續順暢地執行,因為作業系統更新可能會導致重大變更。 如果您未在主要作業系統發行之前更新為最新版本,您可能會遇到重大變更和/或無法將應用程式保護原則套用至應用程式的風險。

階段 1:規劃整合

本指南適用於想要在其現有 iOS 應用程式內新增 Microsoft Intune 應用程式保護原則支援的 iOS 開發人員。

階段 Goals

  • 瞭解哪些應用程式防護原則設定適用於 iOS,以及這些原則在應用程式內的運作方式。
  • 瞭解 SDK 整合程式期間的重要決策點,並規劃應用程式的整合。
  • 瞭解整合SDK的應用程式需求。
  • 建立測試 Intune 租使用者,並設定iOS應用程式保護原則。

瞭解 MAM

開始將 Intune App SDK 整合到 iOS 應用程式之前,請花點時間熟悉 Microsoft Intune 的行動應用程式管理解決方案:

SDK 整合的重要決策

我需要向 Microsoft 身分識別平台 註冊我的應用程式嗎?

是,所有與 Intune SDK 整合的應用程式都必須向 Microsoft 身分識別平台 註冊。 請遵循快速入門:在 Microsoft 身分識別平台 中註冊應用程式 - Microsoft 身分識別平台 中的步驟。

我可以存取應用程式的原始程式碼嗎?

如果您沒有應用程式原始碼的存取權,而且只能存取.app或 .ipa 格式的已編譯應用程式,您將無法將 SDK 整合到您的應用程式中。 不過,您的應用程式可能仍然與 Intune 應用程式保護原則相容。 如需詳細資訊,請參閱適用於 iOS 的 App Wrapping Tool

我的應用程式是否應該整合 Microsoft 驗證連結庫 (MSAL) ?

是,您必須先與 MSAL 整合,才能整合 Intune SDK。 與 MSAL 整合之前,所有應用程式都必須向 Microsoft 身分識別平台 註冊。 請遵循快速入門:在 Microsoft 身分識別平台 中註冊應用程式 - Microsoft 身分識別平台 中的步驟。

如需整合 MSAL 的指示,以及應用程式內身分識別案例的其他詳細數據,請參閱 階段 2:MSAL 必要條件和設定

我的應用程式是單一身分識別還是多重身分識別?

如果沒有 Intune 應用程式保護原則支援,您的應用程式如何處理使用者驗證和帳戶?

  • 您的應用程式目前是否只允許單一帳戶登入? 您的應用程式是否在允許另一個帳戶登入之前,明確地強制登入帳戶註銷並刪除先前帳戶的數據? 如果是,您的應用程式是 單一身分識別

  • 即使已登入不同的帳戶,您的應用程式目前是否允許第二個帳戶登入? 您的應用程式是否在共享畫面上顯示多個帳戶的數據? 您的應用程式是否儲存多個帳戶的數據? 您的應用程式是否可讓使用者在不同登入的帳戶之間切換? 如果是,您的應用程式是 多重身分識別 ,您必須遵循 階段 5:啟用多重身分識別您的應用程式需要此區段。

即使您的應用程式是多重身分識別,請依序遵循此整合指南。 一開始整合和測試為單一身分識別有助於確保適當的整合,並防止公司數據最終未受保護的錯誤。

如果我的應用程式是使用 .NET 多平臺應用程式 UI (.NET MAUI) 建置, 該怎麼辦?

如果您的應用程式是使用 .NET 多平臺應用程式 UI (.NET MAUI) 建置,請參閱 Intune App SDK for .NET MAUI - iOS

我的應用程式是否有或需要 應用程式組態 設定?

不論裝置管理模式為何,Intune 都支援適用於 SDK 整合應用程式的應用程式組態。 系統管理員可以在 Microsoft Intune 系統管理中心為受控應用程式設定這些應用程式設定原則

Intune App SDK 支援這兩種類型的應用程式組態,並提供單一 API 來存取來自這兩個通道的組態。 如果您的應用程式具有或將支援這其中一種應用程式設定,您必須遵循 第 4 階段:為您的 iOS 應用程式啟用目標設定 (APP/MAM 應用程式設定)

如需如何在 iOS 中建立 MAM 目標應用程式設定原則的詳細資訊,請參閱如何使用 iOS/iPadOS 的 Microsoft Intune 應用程式設定原則中的 MAM 目標應用程式設定一節。

我的應用程式是否需要定義數據輸入和輸出的細微保護?

如果您的應用程式可讓使用者將資料儲存至雲端服務或裝置位置或從裝置位置儲存或開啟數據,則必須進行變更以支援增強的數據傳輸原則。 請參閱在 Microsoft Intune 中管理 iOS 應用程式之間的資料傳輸

我的應用程式是否有應受條件式存取保護的資源?

條件式存取 (CA) Microsoft Entra ID 功能,可用來控制對 Microsoft Entra 資源的存取。 Intune 系統管理員可以定義 CA 規則,只允許從由 Intune 管理的裝置或應用程式存取資源。

Intune 支援兩種類型的 CA:裝置型 CA應用程式型 CA,也稱為應用程式保護 CA。 裝置型 CA 會封鎖對受保護資源的存取,直到 Intune 管理整個裝置為止。 應用程式型 CA 會封鎖對受保護資源的存取,直到特定應用程式由 Intune 應用程式保護原則管理為止。

如果您的應用程式取得任何 Microsoft Entra 存取令牌,並存取可受到 CA 保護的資源,您必須遵循 [階段 4:應用程式保護 CA 支援]。

建立測試 iOS 應用程式保護原則

示範租用戶設定

如果您的公司還沒有租使用者,您可以建立具有或不含預先產生數據的示範租使用者。 您必須註冊為 Microsoft 合作夥伴 才能存取 Microsoft CDX。 若要建立新帳戶:

  1. 流覽至 Microsoft CDX 租使用者建立網站,並建立 Microsoft 365 企業版 租使用者。
  2. 設定 Intune 以啟用行動裝置管理 (MDM) 。
  3. 建立使用者
  4. 建立群組
  5. 為您的測試指派適當的授權

應用程式防護 原則設定

在 Microsoft Intune 系統管理中心建立並指派應用程式保護原則。 除了建立應用程式保護原則之外,您還可以在 Intune 中建立及指派應用程式設定原則。

在您於自己的應用程式內測試應用程式保護原則設定之前,最好先熟悉這些設定在其他 SDK 整合應用程式內的行為。

提示

如果您的應用程式未列在 Microsoft Intune 系統管理中心,您可以選取 [更多應用程式] 選項並在文本框中提供套件名稱,以原則作為目標。
您必須以應用程式保護原則為目標,並將原則部署至使用者,以成功測試您的整合。
即使原則已設為目標並已部署,您的應用程式在成功整合 SDK 之前,將不會正確強制執行原則。

結束準則

  • 您是否已熟悉不同應用程式保護原則設定在 iOS 應用程式內的運作方式?
  • 您是否已檢閱您的應用程式,並規劃應用程式與 MSAL、條件式存取、多重身分識別、應用程式組態,以及所有其他 SDK 功能的整合?
  • 您是否已在測試租使用者內建立 iOS 應用程式保護原則?

常見問題集

我在哪裡下載 SDK?

若要下載 SDK,請參閱 下載 SDK 檔案

哪裡報告將 Intune App SDK 整合到我的應用程式的問題?

請在 GitHub 上提交 協助要求

後續步驟

完成上述所有 結束準則 之後,請繼續進行 第 2 階段:MSAL 必要條件和設定