Intune App SDK para Android: planear la integración

El SDK de aplicaciones de Microsoft Intune para Android le permite incorporar Intune directivas de protección de aplicaciones (también conocidas como directivas de APLICACIÓN o MAM) en su aplicación nativa de Java/Kotlin Para Android. Una aplicación administrada por Intune es una que se integra con el SDK de Intune App. Intune los administradores pueden implementar fácilmente directivas de protección de aplicaciones en la aplicación administrada por Intune cuando Intune administra activamente la aplicación.

Fase 1: Planear la integración

Esta guía está destinada a los desarrolladores de Android que buscan agregar compatibilidad con las directivas de protección de aplicaciones de Microsoft Intune dentro de su aplicación Android existente.

Goals de fase

  • Obtenga información sobre qué configuración de directiva de Protección de aplicaciones está disponible para Android y cómo funcionarán estas directivas dentro de la aplicación.
  • Comprenda los puntos clave de decisión durante el proceso de integración del SDK y planee la integración de la aplicación.
  • Comprenda los requisitos para las aplicaciones que integran el SDK.
  • Cree un inquilino de prueba Intune y configure una directiva de Protección de aplicaciones de Android.

Descripción de MAM

Antes de empezar a integrar el SDK de Intune App en la aplicación Android, tómese un momento para familiarizarse con la solución de administración de aplicaciones móviles de Microsoft Intune:

  • Microsoft Intune administración de aplicaciones proporciona una visión general de alto nivel de las funcionalidades de MAM en distintas plataformas y dónde encontrar estas características en el centro de administración de Microsoft Intune.
  • Intune introducción al SDK de aplicaciones profundiza en una capa y describe las características actuales del SDK.
  • La configuración de la directiva de protección de aplicaciones android describe cada configuración de Android en detalle. La aplicación admitirá esta configuración mediante la integración del SDK. Durante el proceso de integración del SDK, también configurará estas opciones en su propio inquilino de prueba para la validación.

Nota:

Algunas configuraciones de la directiva de Android App Protection requieren código específico para admitir. Consulta Fase 7: Características de participación de aplicaciones para obtener más detalles.

Decisiones clave para la integración del SDK

¿Tengo que registrar mi aplicación con el Plataforma de identidad de Microsoft?

Sí, todas las aplicaciones que se integran con el SDK de Intune son necesarias para registrarse con el Plataforma de identidad de Microsoft. Siga los pasos descritos en Inicio rápido: Registro de una aplicación en el Plataforma de identidad de Microsoft - Plataforma de identidad de Microsoft.

¿Tengo acceso al código fuente de la aplicación?

Si no tiene acceso al código fuente de la aplicación y solo tiene acceso a la aplicación compilada en formato .apk o .aab, no podrá integrar el SDK en la aplicación. Sin embargo, es posible que la aplicación siga siendo compatible con Intune directivas de protección de aplicaciones. Consulte App Wrapping Tool para Android para obtener más información.

¿Debe integrar mi aplicación la Biblioteca de autenticación de Microsoft (MSAL)?

Consulte Información general de la biblioteca de autenticación de Microsoft (MSAL) para determinar si la aplicación necesitará integrar MSAL. La mayoría de las aplicaciones deben integrar MSAL antes de integrar el SDK de Intune.

La aplicación puede omitir la integración de MSAL solo si se cumplen todas las siguientes condiciones:

  • La aplicación no tiene ni necesita una experiencia de usuario final interactiva de inicio de sesión y cierre de sesión.
  • La aplicación no admite varias cuentas iniciadas simultáneamente.
  • La aplicación no necesita admitir cuentas que no sean de Intune.
  • La aplicación no concede acceso a los recursos protegidos por el acceso condicional.

Si la aplicación satisface todas las condiciones anteriores y no integra MSAL, puede seguir estando protegida por la directiva de protección de aplicaciones, aunque sin opción para el uso no administrado. Consulte Inscripción predeterminada para obtener más información.

Consulte Fase 2: Requisito previo de MSAL para obtener instrucciones sobre la integración de MSAL y detalles adicionales sobre escenarios de identidad dentro de la aplicación.

¿Mi aplicación es una identidad única o una identidad múltiple?

Sin Intune compatibilidad con la directiva de Protección de aplicaciones, ¿cómo controla la aplicación la autenticación y las cuentas de usuario?

  • ¿La aplicación solo permite actualmente que se inicie sesión una sola cuenta? ¿La aplicación obliga explícitamente a la cuenta que ha iniciado sesión y elimina los datos de la cuenta anterior antes de permitir que otra cuenta inicie sesión? Si es así, la aplicación es de identidad única.

  • ¿La aplicación permite actualmente que una segunda cuenta inicie sesión, incluso si ya ha iniciado sesión otra cuenta? ¿La aplicación muestra los datos de varias cuentas en una pantalla compartida? ¿La aplicación almacena los datos de varias cuentas? ¿La aplicación permite a los usuarios cambiar entre diferentes cuentas que han iniciado sesión? Si es así, la aplicación es de varias identidades y deberá seguir la fase 5: Multi-Identity. Esta sección es necesaria para la aplicación.

Incluso si la aplicación tiene varias identidades, siga esta guía de integración en orden. La integración inicial y las pruebas como identidad única ayudarán a garantizar una integración adecuada y a evitar errores en los que los datos corporativos terminan desprotegidos.

¿Mi aplicación tiene o necesita App Configuration configuración?

Android admite configuraciones de administración específicas de la aplicación que se aplican a las aplicaciones implementadas en los modos de administración de Android Enterprise. Los administradores pueden configurar estas directivas de configuración de aplicaciones para dispositivos Android Enterprise administrados en el centro de administración de Microsoft Intune.

Intune también admite configuraciones de aplicaciones que se aplican a aplicaciones integradas con SDK, independientemente del modo de administración de dispositivos. Los administradores pueden configurar estas directivas de configuración de aplicaciones para aplicaciones administradas en el centro de administración de Microsoft Intune.

El SDK de Intune App admite ambos tipos de configuración de aplicación y proporciona una única API para acceder a las configuraciones desde ambos canales. Si la aplicación tiene o admitirá cualquiera de estos tipos de configuración de aplicación, deberá seguir la fase 6: App Configuration.

¿Necesita mi aplicación definir una protección pormenorizada para la entrada y salida de datos?

Si la aplicación permite a los usuarios guardar o abrir datos en servicios en la nube o en ubicaciones de dispositivos, debe realizar cambios para admitir la directiva de transferencia de datos mejorada. Consulte Directiva para limitar la transferencia de datos entre aplicaciones y ubicaciones de almacenamiento en la nube o dispositivos en fase 7: Características de participación de aplicaciones.

¿Mi aplicación muestra notificaciones que contienen información específica del usuario?

Las aplicaciones de varias identidades deben realizar cambios en el código para respetar correctamente la directiva de notificación. Es posible que las aplicaciones de identidad única quieran realizar cambios en el código para que esta directiva de notificación no bloquee el 100 % de las notificaciones de su aplicación. Consulta Directiva para restringir el contenido dentro de las notificaciones en Fase 7: Características de participación de aplicaciones.

¿Mi aplicación admite la funcionalidad de copia de seguridad y restauración de Android?

Android admite la funcionalidad de copia de seguridad y restauración para conservar los datos y la personalización de los usuarios cuando actualicen a un nuevo dispositivo o reinstalen la aplicación.

Intune también admite la funcionalidad de copia de seguridad y restauración para aplicaciones integradas con SDK, con el fin de garantizar que los datos corporativos no se puedan filtrar a través de una restauración.

Si la aplicación admite esta funcionalidad, debe realizar cambios en el código para proteger los datos corporativos durante la restauración. Consulte Directiva para proteger los datos de copia de seguridad en Fase 7: Características de participación de aplicaciones.

¿Mi aplicación tiene recursos que deben estar protegidos por el acceso condicional?

El acceso condicional (CA) es una característica de Microsoft Entra ID que se puede usar para controlar el acceso a Microsoft Entra recursos. Intune administradores pueden definir reglas de CA que permitan el acceso a recursos solo desde dispositivos o aplicaciones administrados por Intune.

Intune admite dos tipos de CA: CA basada en dispositivos y CA basada en aplicaciones, también conocida como CA de App Protection. La CA basada en dispositivos bloquea el acceso a los recursos protegidos hasta que Intune administra todo el dispositivo. La entidad de certificación basada en aplicaciones bloquea el acceso a los recursos protegidos hasta que la aplicación específica se administra mediante Intune directivas de Protección de aplicaciones.

Si la aplicación adquiere cualquier Microsoft Entra tokens de acceso y accede a recursos que pueden estar protegidos por entidad de certificación, deberá seguir la ca de protección de aplicaciones de soporte técnico de la fase 7: Características de participación de la aplicación.

¿Mi aplicación tiene un tema distinto que debe persistir en la interfaz de usuario que muestra el SDK de Intune App?

De forma predeterminada, el SDK de Intune aplicación mostrará los componentes de la interfaz de usuario de cumplimiento de directivas coloreados según el tema predeterminado.

La capacidad de invalidar el tema predeterminado es cosmética y opcional. Consulta Proporcionar un tema personalizado en la fase 7: Características de participación de aplicaciones.

Requisitos

Aplicación Portal de empresa

El SDK de aplicaciones de Intune para Android se basa en la presencia de la aplicación Portal de empresa en el dispositivo para habilitar las directivas de protección de aplicaciones. El Portal de empresa recupera las directivas de protección de aplicaciones del servicio Intune. Cuando se inicializa una aplicación integrada en el SDK, carga la directiva y el código para aplicar esa directiva desde el Portal de empresa.

Nota:

Cuando la aplicación Portal de empresa no está en el dispositivo, una aplicación integrada con SDK se comporta igual que una aplicación normal que no admite Intune directivas de protección de aplicaciones. Incluso si la aplicación Portal de empresa está en el dispositivo, una aplicación integrada con SDK se comporta igual que una normal cuando el usuario final no está destinado a la directiva de protección de aplicaciones.

No es necesario que el usuario inicie sesión o incluso inicie la aplicación Portal de empresa para que la directiva de Protección de aplicaciones funcione.

Versiones de Android

Nota:

Asegúrese de que la aplicación es compatible con los requisitos de Google Play.

El SDK es totalmente compatible con Android API 28 (Android 9.0) a través de Android API 35 (Android 15). Para tener como destino Android API 35 (Android 15), debe usar Intune APP SDK v11.0.0 o posterior.

Las API 26 a 27 (Android 8.0 - 8.1) están en soporte técnico limitado. La aplicación Portal de empresa no se admite debajo de Android API 26 (Android 8.0). La directiva de protección de aplicaciones no se admite debajo de Android API 28 (Android 9.0).

Si la aplicación se minSdkVersion declara en un nivel de API por debajo de LA API 28 (Android 9.0), el SDK de aplicación de Intune no bloqueará el uso de la aplicación para los usuarios que no están destinados a la directiva de Protección de aplicaciones.

Telemetría

El SDK de Intune App para Android no controla la recopilación de datos de la aplicación. La aplicación Portal de empresa registra los datos generados por el sistema de forma predeterminada. Estos datos se envían a Microsoft Intune. Según la directiva de Microsoft, Intune no recopila ningún dato personal.

Sugerencia

Si los usuarios finales deciden no enviar estos datos, deben desactivar la telemetría en Configuración en la aplicación Portal de empresa. Para más información, consulte Desactivar la recopilación de datos de uso de Microsoft.

Creación de una directiva de protección de aplicaciones Android de prueba

Configuración del inquilino de demostración

Si aún no tiene un inquilino con su empresa, puede crear un inquilino de demostración con o sin datos generados previamente. Debe registrarse como asociado de Microsoft para acceder a Microsoft CDX. Para crear una cuenta nueva:

  1. Vaya al sitio de creación de inquilinos de Microsoft CDX y cree un inquilino de Microsoft 365 Enterprise.
  2. Configure Intune para habilitar la administración de dispositivos móviles (MDM).
  3. Crear usuarios.
  4. Crear grupos.
  5. Asigne licencias según corresponda para las pruebas.

configuración de la directiva de Protección de aplicaciones

Cree y asigne directivas de protección de aplicaciones en el centro de administración de Microsoft Intune. Además de crear directivas de protección de aplicaciones, puede crear y asignar una directiva de configuración de aplicaciones en Intune.

Antes de probar la configuración de la directiva de protección de aplicaciones dentro de su propia aplicación, es útil familiarizarse con cómo se comportan estas opciones dentro de otras aplicaciones integradas en el SDK.

Sugerencia

Si la aplicación no aparece en el centro de administración de Microsoft Intune, puede seleccionar la opción más aplicaciones como destino con una directiva y proporcionar el nombre del paquete en el cuadro de texto. Debe tener como destino la aplicación con la directiva de protección de aplicaciones e implementarla en un usuario para probar correctamente la integración. Incluso si la directiva está dirigida e implementada, la aplicación no aplicará correctamente las directivas hasta que se haya integrado correctamente el SDK.

Criterios de salida

  • ¿Se ha familiarizado con la forma en que se comportarán las distintas configuraciones de directivas de protección de aplicaciones dentro de la aplicación Android?
  • ¿Ha revisado la aplicación y ha planeado la integración de la aplicación en torno a MSAL, acceso condicional, identidad múltiple, App Configuration y todas las características adicionales del SDK?
  • ¿Ha creado una directiva de protección de aplicaciones Android en el inquilino de prueba?

Preguntas más frecuentes

¿Por qué es necesaria la aplicación Portal de empresa para las directivas de protección de aplicaciones en Android?

Android Portal de empresa recupera y conserva las directivas de protección de aplicaciones del servicio Intune en nombre de todas las aplicaciones habilitadas para MAM en el dispositivo. Cuando se inicializan las aplicaciones habilitadas para MAM, los detalles de la directiva y el código para aplicar esa configuración de directiva se importan desde el Portal de empresa. El Portal de empresa también contiene código para reducir el número de mensajes de autenticación que se muestran a los usuarios finales. Por último, el Portal de empresa recopila datos del sistema para mejorar el servicio Intune; consulte Telemetría para obtener más información.

Nota:

Esta funcionalidad de Portal de empresa para la directiva de protección de aplicaciones es específica de Android.

¿Qué ocurre cuando los usuarios con dispositivos no compatibles tienen como destino la directiva de Protección de aplicaciones?

La experiencia del usuario final en dispositivos Android no admitida por Intune directivas de protección de aplicaciones depende de la versión del sistema operativo Android del dispositivo:

Versiones del sistema operativo Android Comportamiento de Google Play Comportamiento de la aplicación MAM
Debajo de Android 8.0 La aplicación Portal de empresa no estará disponible para su descarga desde Google Play. Los dispositivos que ya tengan instalado el Portal de empresa no podrán actualizar a las nuevas versiones de la Portal de empresa. La funcionalidad mam no se bloqueará universalmente. Sin embargo, a medida que las aplicaciones integradas en el SDK se incluyen con nuevas versiones del SDK, se bloqueará que los usuarios de destino mam entren en estas aplicaciones, ya que no pueden actualizar el Portal de empresa. Cuando un usuario, que tiene como destino la directiva mam y ha iniciado sesión anteriormente en la aplicación, inicia dicha aplicación, se le pedirá que actualice el Portal de empresa. Los usuarios pueden mitigar este comportamiento quitando la cuenta de destino mam de la aplicación. Si los usuarios desinstalan el Portal de empresa, su cuenta se quitará automáticamente de la aplicación, pero no podrán volver a iniciar sesión con la cuenta de destino mam.
Android 8.x La aplicación Portal de empresa estará disponible para descargar desde Google Play. Los dispositivos que ya tengan instalado el Portal de empresa podrán actualizar a las nuevas versiones del Portal de empresa. La funcionalidad mam no está bloqueada activamente. Sin embargo, Android 8.x no es compatible y es posible que las características de MAM no funcionen según lo esperado.

¿Qué es la herramienta de ajuste de aplicaciones?

Los desarrolladores de aplicaciones Android tienen varias maneras de integrar Intune funcionalidad en sus aplicaciones. Además del SDK, que se describe en esta guía, los desarrolladores también pueden usar la App Wrapping Tool para Android. Consulte Preparación de aplicaciones de línea de negocio para directivas de protección de aplicaciones para obtener una comparación detallada entre el SDK y la herramienta de ajuste de aplicaciones.

Pasos siguientes

Después de completar todos los criterios de salida anteriores, continúe con la fase 2: Requisito previo de MSAL.