Intune App SDK per Android - Pianificare l'integrazione

Microsoft Intune App SDK per Android consente di incorporare Intune criteri di protezione delle app (noti anche come criteri APP o MAM) nell'app Java/Kotlin Android nativa. Un'applicazione gestita da Intune è integrata con Intune App SDK. Intune gli amministratori possono distribuire facilmente i criteri di protezione delle app nell'app gestita da Intune quando Intune gestisce attivamente l'app.

Fase 1: Pianificare l'integrazione

Questa guida è destinata agli sviluppatori Android che vogliono aggiungere il supporto per i criteri di protezione delle app di Microsoft Intune all'interno dell'app Android esistente.

Fase Goals

  • Informazioni sulle impostazioni dei criteri di protezione delle app disponibili per Android e sul funzionamento di questi criteri all'interno dell'applicazione.
  • Comprendere i punti chiave durante il processo di integrazione dell'SDK e pianificare l'integrazione dell'app.
  • Comprendere i requisiti per le applicazioni che integrano l'SDK.
  • Creare un tenant di test Intune e configurare criteri di protezione delle app Android.

Informazioni su MAM

Prima di iniziare a integrare Intune App SDK nell'applicazione Android, acquisire familiarità con la soluzione di gestione delle applicazioni mobili di Microsoft Intune:

Nota

Alcune impostazioni dei criteri di protezione delle app Android richiedono codice specifico da supportare. Per altri dettagli , vedere Fase 7: Funzionalità di partecipazione alle app .

Decisioni chiave per l'integrazione dell'SDK

È necessario registrare l'applicazione con il Microsoft Identity Platform?

Sì, tutte le app che si integrano con Intune SDK sono necessarie per la registrazione con il Microsoft Identity Platform. Seguire la procedura descritta in Avvio rapido: Registrare un'app nel Microsoft Identity Platform - Microsoft Identity Platform.

È possibile accedere al codice sorgente dell'applicazione?

Se non si ha accesso al codice sorgente dell'applicazione e si ha accesso solo all'applicazione compilata in formato .apk o aab, non sarà possibile integrare l'SDK nell'applicazione. Tuttavia, l'applicazione potrebbe essere comunque compatibile con Intune criteri di protezione delle app. Per altri dettagli, vedere App Wrapping Tool per Android.

L'applicazione deve integrare Microsoft Authentication Library (MSAL)?

Fare riferimento a Panoramica di Microsoft Authentication Library (MSAL) per determinare se l'applicazione dovrà integrare MSAL. La maggior parte delle applicazioni deve integrare MSAL prima di integrare Intune SDK.

L'app può ignorare l'integrazione di MSAL solo se sono vere tutte le condizioni seguenti:

  • L'applicazione non ha o ha bisogno di un'esperienza utente finale di accesso e disconnessione interattiva.
  • L'applicazione non supporta più account connessi contemporaneamente.
  • L'applicazione non deve supportare account non Intune.
  • L'applicazione non concede l'accesso alle risorse protette dall'accesso condizionale.

Se l'app soddisfa tutte le condizioni precedenti e non integra MSAL, può comunque essere protetta dai criteri di protezione delle app, anche se non ha alcuna opzione per l'utilizzo non gestito. Per informazioni dettagliate, vedere Registrazione predefinita .

Vedere Fase 2: Prerequisito MSAL per istruzioni sull'integrazione di MSAL e dettagli aggiuntivi sugli scenari di identità all'interno dell'applicazione.

L'applicazione è a identità singola o multi-identità?

Senza Intune supporto dei criteri di protezione delle app, in che modo l'applicazione gestisce l'autenticazione utente e gli account?

  • L'applicazione attualmente consente l'accesso a un solo account? L'applicazione forza in modo esplicito l'account connesso a disconnettersi ed eliminare i dati dell'account precedente prima di consentire l'accesso a un altro account? In tal caso, l'applicazione è a identità singola.

  • L'applicazione attualmente consente l'accesso a un secondo account, anche se è già stato effettuato l'accesso a un altro account? L'applicazione visualizza i dati di più account in una schermata condivisa? L'applicazione archivia i dati di più account? L'applicazione consente agli utenti di passare da un account connesso all'altro? In tal caso, l'applicazione è multi-identità ed è necessario seguire la fase 5: Multi-Identity. Questa sezione è necessaria per l'app.

Anche se l'applicazione è multi-identità, seguire questa guida all'integrazione in ordine. L'integrazione e il test inizialmente come identità singola consentiranno di garantire un'integrazione corretta e di evitare bug in cui i dati aziendali non sono protetti.

L'applicazione ha o ha bisogno di impostazioni Configurazione app?

Android supporta configurazioni di gestione specifiche dell'applicazione che si applicano alle applicazioni distribuite in modalità di gestione Android Enterprise. Gli amministratori possono configurare questi criteri di configurazione dell'applicazione per i dispositivi Android Enterprise gestitinell'interfaccia di amministrazione Microsoft Intune.

Intune supporta anche configurazioni di applicazioni che si applicano alle applicazioni integrate nell'SDK, indipendentemente dalla modalità di gestione dei dispositivi. Gli amministratori possono configurare questi criteri di configurazione dell'applicazione per le app gestite nell'interfaccia di amministrazione Microsoft Intune.

Intune App SDK supporta entrambi i tipi di configurazione dell'applicazione e fornisce una singola API per l'accesso alle configurazioni da entrambi i canali. Se l'applicazione include o supporterà uno di questi tipi di configurazione dell'applicazione, sarà necessario seguire la fase 6: Configurazione app.

L'applicazione deve definire la protezione granulare per l'ingresso e l'uscita dei dati?

Se l'app consente agli utenti di salvare o aprire dati da servizi cloud o posizioni dei dispositivi, è necessario apportare modifiche per supportare criteri avanzati di trasferimento dei dati. Vedere Criteri per limitare il trasferimento dei dati tra app e posizioni di archiviazione di dispositivi o cloud nella fase 7: Funzionalità di partecipazione alle app.

L'applicazione visualizza notifiche che contengono informazioni specifiche dell'utente?

Le app multi-identità devono accettare modifiche al codice per rispettare correttamente i criteri di notifica. Le app con identità singola potrebbero voler apportare modifiche al codice in modo che questo criterio di notifica non blocchi il 100% delle notifiche dell'app. Vedere Criteri per limitare il contenuto all'interno delle notifiche nella fase 7: Funzionalità di partecipazione alle app.

L'applicazione supporta la funzionalità di backup e ripristino di Android?

Android supporta la funzionalità di backup e ripristino per mantenere i dati e la personalizzazione per gli utenti quando eseguono l'aggiornamento a un nuovo dispositivo o reinstallano l'app.

Intune supporta anche la funzionalità di backup e ripristino per le applicazioni integrate nell'SDK, per garantire che i dati aziendali non possano essere persi tramite un ripristino.

Se l'app supporta questa funzionalità, è necessario apportare modifiche al codice per proteggere i dati aziendali durante il ripristino. Vedere Criteri per la protezione dei dati di backup nella fase 7: Funzionalità di partecipazione alle app.

L'applicazione dispone di risorse che devono essere protette dall'accesso condizionale?

L'accesso condizionale è una funzionalità Microsoft Entra ID che può essere usata per controllare l'accesso alle risorse Microsoft Entra. Intune amministratori possono definire regole ca che consentono l'accesso alle risorse solo da dispositivi o app gestiti da Intune.

Intune supporta due tipi di CA: CA basata su dispositivo e CA basata su app, nota anche come CA di Protezione app. La CA basata su dispositivo blocca l'accesso alle risorse protette fino a quando l'intero dispositivo non viene gestito da Intune. La CA basata su app blocca l'accesso alle risorse protette fino a quando l'app specifica non viene gestita dai criteri di protezione delle app Intune.

Se l'app acquisisce Microsoft Entra token di accesso e accede alle risorse che possono essere protette da CA, è necessario seguire supportare la CA di Protezione app nella fase 7: Funzionalità di partecipazione alle app.

L'applicazione ha un tema distinto che deve essere persistente nell'interfaccia utente visualizzata dall'SDK Intune App?

Per impostazione predefinita, Intune App SDK visualizzerà i componenti dell'interfaccia utente di imposizione dei criteri colorati in base al tema predefinito.

La possibilità di eseguire l'override del tema predefinito è cosmetica e facoltativa. Vedere Fornire un tema personalizzato nella fase 7: Funzionalità di partecipazione alle app.

Requisiti

Portale aziendale'app

Intune App SDK per Android si basa sulla presenza dell'app Portale aziendale nel dispositivo per abilitare i criteri di protezione delle app. Il Portale aziendale recupera i criteri di protezione delle app dal servizio Intune. Quando un'app integrata nell'SDK viene inizializzata, carica criteri e codice per applicare tali criteri dal Portale aziendale.

Nota

Quando l'app Portale aziendale non è presente nel dispositivo, un'app integrata nell'SDK si comporta come un'app normale che non supporta Intune criteri di protezione delle app. Anche se l'app Portale aziendale si trova nel dispositivo, un'app integrata nell'SDK si comporta come una normale quando l'utente finale non è destinato ai criteri di protezione delle app.

L'utente non è tenuto ad accedere o ad avviare l'app Portale aziendale per il funzionamento dei criteri di protezione delle app.

Versioni di Android

Nota

Assicurarsi che l'app sia compatibile con i requisiti di Google Play.

L'SDK supporta completamente l'API Android 28 (Android 9.0) tramite l'API Android 35 (Android 15). Per avere come destinazione l'API Android 35 (Android 15), è necessario usare Intune App SDK v11.0.0 o versioni successive.

Le API da 26 a 27 (Android 8.0 - 8.1) sono supportate in modo limitato. L'app Portale aziendale non è supportata sotto l'API Android 26 (Android 8.0). I criteri di protezione delle app non sono supportati sotto l'API Android 28 (Android 9.0).

Se l'app dichiara minSdkVersion a un livello API inferiore all'API 28 (Android 9.0), il Intune App SDK non bloccherà l'utilizzo delle app per gli utenti non interessati dai criteri di protezione delle app.

Telemetria

Il Intune App SDK per Android non controlla la raccolta dati dall'app. L'applicazione Portale aziendale registra i dati generati dal sistema per impostazione predefinita. Questi dati vengono inviati a Microsoft Intune. In base ai criteri Microsoft, Intune non raccoglie dati personali.

Consiglio

Se gli utenti finali scelgono di non inviare questi dati, devono disattivare i dati di telemetria in Impostazioni nell'app Portale aziendale. Per altre informazioni, vedere Disattivare la raccolta di dati di utilizzo Microsoft.

Creazione di criteri di protezione delle app Android di test

Configurazione del tenant demo

Se non si ha già un tenant con l'azienda, è possibile creare un tenant demo con o senza dati pregenerati. È necessario registrarsi come partner Microsoft per accedere a Microsoft CDX. Per creare un nuovo account:

  1. Passare al sito di creazione del tenant CDX Microsoft e creare un tenant Microsoft 365 Enterprise.
  2. Configurare Intune per abilitare la gestione dei dispositivi mobili (MDM).
  3. Creare utenti.
  4. Creare gruppi.
  5. Assegnare le licenze in base alle esigenze per i test.

configurazione dei criteri di Protezione di app

Creare e assegnare criteri di protezione delle app nell'interfaccia di amministrazione Microsoft Intune. Oltre a creare criteri di protezione delle app, è possibile creare e assegnare criteri di configurazione delle app in Intune.

Prima di testare le impostazioni dei criteri di protezione delle app all'interno della propria applicazione, è utile acquisire familiarità con il comportamento di queste impostazioni all'interno di altre applicazioni integrate nell'SDK.

Consiglio

Se l'app non è elencata nell'interfaccia di amministrazione Microsoft Intune, è possibile assegnarle un criterio selezionando l'opzione più app e specificando il nome del pacchetto nella casella di testo. È necessario assegnare all'app criteri di protezione delle app e distribuirli a un utente per testare correttamente l'integrazione. Anche se i criteri sono destinati e distribuiti, l'app non applica correttamente i criteri fino a quando non ha integrato correttamente l'SDK.

Criteri di uscita

  • Hai familiarità con il comportamento delle diverse impostazioni dei criteri di protezione delle app all'interno dell'applicazione Android?
  • L'app è stata esaminata e pianificata l'integrazione dell'app in msal, accesso condizionale, multi-identità, Configurazione app e tutte le funzionalità sdk aggiuntive?
  • Sono stati creati criteri di protezione delle app Android all'interno del tenant di test?

Domande frequenti

Perché l'app Portale aziendale è necessaria per i criteri di protezione delle applicazioni in Android?

Il Portale aziendale Android recupera e rende persistenti i criteri di protezione delle app dal servizio Intune per conto di tutte le applicazioni abilitate per MAM nel dispositivo. Quando le applicazioni abilitate per MAM vengono inizializzate, i dettagli dei criteri e il codice per applicare tali impostazioni vengono importati dalla Portale aziendale. Il Portale aziendale contiene anche il codice per ridurre il numero di richieste di autenticazione visualizzate agli utenti finali. Infine, il Portale aziendale raccoglie i dati di sistema per migliorare il servizio Intune. Per informazioni dettagliate, vedere Telemetria.

Nota

Questa Portale aziendale funzionalità per i criteri di protezione delle app è specifica per Android.

Cosa accade quando agli utenti con dispositivi non supportati sono assegnati criteri di protezione delle app?

L'esperienza utente finale nei dispositivi Android non supportata dai criteri di protezione delle app Intune dipende dalla versione del sistema operativo Android del dispositivo:

Versioni del sistema operativo Android Comportamento di Google Play Comportamento dell'app MAM
Sotto Android 8.0 L'app Portale aziendale non sarà disponibile per il download da Google Play. I dispositivi in cui è già installato il Portale aziendale non saranno in grado di eseguire l'aggiornamento alle nuove versioni del Portale aziendale. La funzionalità MAM non verrà bloccata universalmente. Tuttavia, man mano che le app integrate nell'SDK vengono fornite con nuove versioni dell'SDK, agli utenti con destinazione MAM verrà impedito di immettere queste app, in quanto non possono aggiornare il Portale aziendale. Quando un utente, che ha un criterio MAM di destinazione e ha eseguito l'accesso all'app in precedenza, avvia un'app di questo tipo, gli verrà chiesto di aggiornare il Portale aziendale. Gli utenti possono attenuare questo comportamento rimuovendo l'account di destinazione MAM dall'applicazione. Se gli utenti disinstallano il Portale aziendale, il loro account verrà rimosso automaticamente dall'app, ma non potranno accedere di nuovo con l'account di destinazione MAM.
Android 8.x L'app Portale aziendale sarà disponibile per il download da Google Play. I dispositivi in cui è già installato il Portale aziendale saranno comunque in grado di eseguire l'aggiornamento alle nuove versioni del Portale aziendale. La funzionalità MAM non è attivamente bloccata. Tuttavia, Android 8.x non è supportato e le funzionalità MAM potrebbero non funzionare come previsto.

Che cos'è lo strumento di wrapping delle app?

Gli sviluppatori di app Android hanno diversi modi per integrare Intune funzionalità nelle applicazioni. Oltre all'SDK, descritto in questa guida, gli sviluppatori possono anche usare il App Wrapping Tool per Android. Vedere Preparare le app line-of-business per i criteri di protezione delle app per un confronto dettagliato tra l'SDK e lo strumento di wrapping delle app.

Operazioni successive

Dopo aver completato tutti i criteri di uscita precedenti, passare alla fase 2: Prerequisito MSAL.