SDK da Aplicação Intune para Android – Compreender o Pré-requisito do MSAL

O SDK da Aplicação Microsoft Intune para Android permite-lhe incorporar políticas de proteção de aplicações do Intune (também conhecidas como políticas de APLICAÇÃO ou MAM) na sua aplicação Java/Kotlin Android nativa. Uma aplicação gerida pelo Intune é uma aplicação integrada com o SDK da Aplicação intune. Os administradores do Intune podem facilmente implementar políticas de proteção de aplicações na sua aplicação gerida pelo Intune quando o Intune gere ativamente a aplicação.

Fase 2: o Pré-requisito do MSAL

Objetivos de Fase

• Registe a sua aplicação com o Microsoft Entra ID.
• Integre o MSAL na sua aplicação Android.
• Verifique se a aplicação pode obter um token que conceda acesso a recursos protegidos.

Histórico

A Biblioteca de Autenticação da Microsoft (MSAL) dá à sua aplicação a capacidade de utilizar a Microsoft Cloud ao suportar o Microsoft Entra ID e as contas Microsoft.

O MSAL não é específico do Intune. O Intune tem uma dependência do ID do Microsoft Entra; todas as contas de utilizador do Intune são contas do Microsoft Entra. Como resultado, a grande maioria das aplicações Android que integram o SDK da Aplicação Intune terá de integrar o MSAL como pré-requisito.

Esta fase do guia do SDK descreve o processo de integração do MSAL, uma vez que está relacionado com o Intune; siga os guias MSAL ligados na sua totalidade.

Para simplificar o processo de integração do SDK da Aplicação Intune, os programadores de aplicações Android são fortemente encorajados a integrar e testar totalmente o MSAL antes de transferir o SDK da Aplicação Intune. O processo de integração do SDK da Aplicação Intune requer alterações de código em torno da aquisição do token MSAL. Será mais fácil testar as alterações de aquisição de tokens específicas do Intune se já tiver confirmado que a implementação de aquisição de tokens original da sua aplicação funciona conforme esperado.

Para saber mais sobre o Microsoft Entra ID, consulte O que é o Microsoft Entra ID?

Para saber mais sobre a MSAL, veja o Wiki MSAL e a lista de bibliotecas MSAL.

Registar a sua Aplicação com o ID do Microsoft Entra

Antes de integrar a MSAL na sua aplicação Android, todas as aplicações são necessárias para se registarem na plataforma de identidades da Microsoft. Siga os passos em Início Rápido: Registar uma aplicação na plataforma de identidades da Microsoft – plataforma de identidades da Microsoft. Isto gera um ID de Cliente para a sua aplicação.

Em seguida, siga as instruções para conceder acesso à sua aplicação ao serviço Gestão de Aplicações Móveis do Intune.

Configurar a Biblioteca de Autenticação da Microsoft (MSAL)

Primeiro, leia as diretrizes de integração msal encontradas no repositório MSAL no GitHub, especificamente a secção com MSAL.

Este guia descreve como:

• Adicione a MSAL como uma dependência à sua aplicação Android.
• Crie um ficheiro de configuração MSAL.
• Configure o AndroidManifest.xml.
• Adicione código para adquirir um token.

Autenticação Mediada

O início de sessão único (SSO) permite que os utilizadores introduzam apenas as credenciais uma vez e que essas credenciais funcionem automaticamente em todas as aplicações. A MSAL pode ativar o SSO no seu conjunto de aplicações; ao utilizar uma aplicação de mediador (o Microsoft Authenticator ou o Portal da Empresa do Microsoft Intune), pode expandir o SSO em todo o dispositivo. A autenticação mediada também é necessária para o Acesso Condicional. Veja Ativar o SSO entre aplicações no Android com o MSAL para obter mais detalhes sobre a autenticação mediada.

Este guia pressupõe que está a ativar a autenticação mediada nas aplicações ao seguir os passos na ligação acima, especialmente Gerar um URI de redirecionamento para um mediador e Configurar a MSAL para utilizar um mediador para configuração e Verificar a integração do mediador para teste.

Se não estiver a ativar a autenticação mediada na sua aplicação, preste especial atenção à configuração MSAL específica do Intune.

Configuração de ambiente MSAL específica do Intune

Por predefinição, o Intune irá pedir tokens ao ambiente público do Microsoft Entra. Se a sua aplicação precisar de um ambiente não predefinido, como uma Cloud Soberana, a seguinte definição tem de ser adicionada ao AndroidManifest.xml. Quando definida, a autoridade do Microsoft Entra introduzida emitirá os tokens para a sua aplicação. Isto garante que a política de autenticação do Intune é aplicada corretamente.

<meta-data
    android:name="com.microsoft.intune.mam.aad.Authority"
    android:value="https://AAD authority/" />

Para obter mais detalhes sobre as opções de configuração MSAL não específicas do Intune, veja Ficheiro de configuração da Biblioteca de Autenticação da Microsoft para Android.

Para obter mais detalhes sobre clouds soberanas, veja Utilizar a MSAL num ambiente de cloud nacional.

Critérios de Saída

• Integrou o MSAL na sua aplicação?
• Ativou a autenticação do mediador ao gerar um URI de redirecionamento e defini-lo no ficheiro de configuração MSAL?
• Configurou as definições msal específicas do Intune no AndroidManifest.xml?
• Testou a autenticação mediada, confirmou que uma conta profissional foi adicionada ao Gestor de Contas do Android e testou o SSO com outras aplicações do Microsoft 365?
• Se implementou o Acesso Condicional, testou a AC baseada no dispositivo e a AC baseada na aplicação para validar a implementação da AC?

Perguntas frequentes

E a ADAL?

A biblioteca de autenticação anterior da Microsoft, a Biblioteca de Autenticação do Azure Active Directory (ADAL) foi preterida.

Se a sua aplicação já tiver integrado a ADAL, consulte Atualizar as aplicações para utilizar a Biblioteca de Autenticação da Microsoft (MSAL). Para migrar a sua aplicação da ADAL para a MSAL, consulte Migrar a ADAL android para MSAL e Diferenças entre a ADAL e a MSAL.

Recomenda-se migrar da ADAL para a MSAL antes de integrar o SDK da Aplicação intune.

Próximas etapas

Depois de concluir todos os Critérios de Saída acima, avance para a Fase 3: Introdução à MAM.