пакет SDK для приложений Intune для Android — планирование интеграции

Пакет SDK для приложений Microsoft Intune для Android позволяет включить Intune политики защиты приложений (также известные как политики приложений или MAM) в собственное приложение Android для Java или Kotlin. Управляемое Intune приложение интегрировано с пакетом SDK для приложений Intune. администраторы Intune могут легко развертывать политики защиты приложений в приложении, управляемом Intune, когда Intune активно управляет приложением.

Этап 1. Планирование интеграции

Это руководство предназначено для разработчиков Android, которые хотят добавить поддержку политик защиты приложений Microsoft Intune в существующем приложении Android.

Этап Goals

  • Узнайте, какие параметры политики защиты приложений доступны для Android и как эти политики будут работать в приложении.
  • Изучите ключевые моменты принятия решений в процессе интеграции пакета SDK и спланируйте интеграцию приложения.
  • Изучите требования к приложениям, интегрирующим пакет SDK.
  • Создайте тестовый клиент Intune и настройте политику защиты приложений Android.

Основные сведения о MAM

Прежде чем приступить к интеграции пакета SDK для приложений Intune в приложение Android, ознакомьтесь с решением для управления мобильными приложениями Microsoft Intune:

Примечание.

Для поддержки некоторых параметров политики защиты приложений Android требуется определенный код. Дополнительные сведения см. в разделе Этап 7. Функции участия в приложениях .

Ключевые решения для интеграции пакета SDK

Нужно ли зарегистрировать приложение в платформа удостоверений Майкрософт?

Да, все приложения, интегрирующиеся с пакетом SDK для Intune, должны быть зарегистрированы в платформа удостоверений Майкрософт. Выполните действия, описанные в статье Краткое руководство. Регистрация приложения в платформа удостоверений Майкрософт — платформа удостоверений Майкрософт.

Есть ли у меня доступ к исходному коду приложения?

Если у вас нет доступа к исходному коду приложения и у вас есть доступ только к скомпилированному приложению в формате .apk или AAB, вы не сможете интегрировать пакет SDK в приложение. Однако приложение по-прежнему может быть совместимо с Intune политиками защиты приложений. Дополнительные сведения см. в разделе App Wrapping Tool для Android.

Должно ли приложение интегрировать библиотеку проверки подлинности Майкрософт (MSAL)?

Ознакомьтесь с обзором библиотеки проверки подлинности Майкрософт (MSAL), чтобы определить, потребуется ли приложению интегрировать MSAL. Большинство приложений должны интегрировать MSAL перед интеграцией пакета SDK для Intune.

Приложение может пропустить интеграцию MSAL только в том случае, если выполняются все перечисленные ниже действия.

  • Приложение не имеет и не нуждается в интерактивном входе и выходе конечных пользователей.
  • Приложение не поддерживает несколько учетных записей, вошедшего в систему одновременно.
  • Приложению не требуется поддержка учетных записей, отличных от Intune.
  • Приложение не предоставляет доступ к ресурсам, защищенным условным доступом.

Если приложение удовлетворяет всем приведенным выше условиям и не интегрирует MSAL, его по-прежнему можно защитить с помощью политики защиты приложений, хотя и без возможности неуправляемого использования. Дополнительные сведения см. в разделе Регистрация по умолчанию .

Инструкции по интеграции MSAL и дополнительные сведения о сценариях идентификации в приложении см. в разделе Этап 2. Предварительные требования MSAL .

Одно или несколько удостоверений приложения?

Без поддержки политики защиты приложений Intune как приложение обрабатывает проверку подлинности пользователей и учетные записи?

  • В настоящее время приложение разрешает вход только с одной учетной записью? Заставляет ли приложение явно вошедшего в систему учетную запись выходить из системы и удалять данные предыдущей учетной записи, прежде чем разрешить вход другой учетной записи? В этом случае приложение является единым удостоверением.

  • Разрешает ли в настоящее время приложение входить в систему второй учетной записи, даже если в нее уже вошли другие учетные записи? Отображает ли приложение данные нескольких учетных записей на общем экране? Хранит ли приложение данные нескольких учетных записей? Позволяет ли ваше приложение пользователям переключаться между разными учетными записями, которые вошли в систему? Если это так, приложение является мультиудидентным, и вам потребуется выполнить этап 5. Этот раздел является обязательным для приложения.

Даже если ваше приложение имеет несколько удостоверений, следуйте инструкциям в этом руководстве по интеграции. Первоначально интеграция и тестирование в качестве одного удостоверения поможет обеспечить правильную интеграцию и предотвратить ошибки, когда корпоративные данные в конечном итоге не защищены.

Мое приложение имеет или нуждается в параметрах Конфигурация приложений?

Android поддерживает конфигурации управления для конкретных приложений , которые применяются к приложениям, развернутыми в режимах управления Android Enterprise. Администраторы могут настроить эти политики конфигурации приложений для управляемых устройств Android Enterprise в центре администрирования Microsoft Intune.

Intune также поддерживает конфигурации приложений, которые применяются к приложениям, интегрированным с пакетом SDK, независимо от режима управления устройствами. Администраторы могут настроить эти политики конфигурации приложений для управляемых приложений в Центре администрирования Microsoft Intune.

Пакет SDK для приложений Intune поддерживает оба типа конфигурации приложений и предоставляет единый API для доступа к конфигурациям из обоих каналов. Если приложение поддерживает или поддерживает любой из этих типов конфигурации приложений, необходимо выполнить этап 6: Конфигурация приложений.

Нужно ли моему приложению определять детализированную защиту для входящего и исходящего трафика данных?

Если приложение позволяет пользователям сохранять или открывать данные из облачных служб или расположений устройств, оно должно вносить изменения для поддержки расширенной политики передачи данных. См. раздел Политика ограничения передачи данных между приложениями и устройствами или облачными хранилищами на этапе 7. Функции участия в приложениях.

Отображает ли мое приложение уведомления, содержащие сведения о пользователе?

Приложения с несколькими удостоверениями должны вносить изменения в код, чтобы правильно соблюдать политику уведомлений. Приложения с одним удостоверением могут захотеть вносить изменения в код, чтобы эта политика уведомлений не блокировать 100 % уведомлений приложения. См . раздел Политика ограничения содержимого в уведомленияхна этапе 7. Возможности участия в приложениях.

Поддерживает ли мое приложение функции резервного копирования и восстановления Android?

Android поддерживает функции резервного копирования и восстановления для сохранения данных и персонализации для пользователей при обновлении на новое устройство или переустановке приложения.

Intune также поддерживает функции резервного копирования и восстановления для приложений, интегрированных с пакетом SDK, что гарантирует, что корпоративные данные не могут быть утечки через восстановление.

Если приложение поддерживает эту функцию, оно должно вносить изменения в код для защиты корпоративных данных во время восстановления. См. раздел Политика защиты данных резервного копирования на этапе 7. Функции участия в приложениях.

Есть ли у приложения ресурсы, которые должны быть защищены условным доступом?

Условный доступ (ЦС) — это Microsoft Entra ID функция, которую можно использовать для управления доступом к Microsoft Entra ресурсам. администраторы Intune могут определять правила ЦС, разрешающие доступ к ресурсам только с устройств или приложений, управляемых Intune.

Intune поддерживает два типа ЦС: ЦС на основе устройств и ЦС на основе приложений, также известный как ЦС защиты приложений. ЦС на основе устройств блокирует доступ к защищенным ресурсам, пока все устройство не будет управляться Intune. ЦС на основе приложений блокирует доступ к защищенным ресурсам, пока конкретное приложение не будет управляться политиками защиты приложений Intune.

Если приложение получает какие-либо маркеры доступа Microsoft Entra и обращается к ресурсам, которые могут быть защищены ЦС, необходимо следовать разделу Центр поддержки защиты приложений на этапе 7. Возможности участия в приложениях.

Есть ли в приложении отдельная тема, которая должна сохраняться в пользовательском интерфейсе, отображаемом пакетом SDK для Intune приложений?

По умолчанию пакет SDK для приложений Intune отображает компоненты пользовательского интерфейса принудительного применения политики в соответствии с темой по умолчанию.

Возможность переопределения темы по умолчанию является косметическим и необязательным. См . статью Предоставление пользовательской темы на этапе 7. Возможности участия в приложениях.

Требования

Приложение "Корпоративный портал"

Пакет SDK для приложений Intune для Android зависит от наличия приложения Корпоративный портал на устройстве, чтобы включить политики защиты приложений. Корпоративный портал извлекает политики защиты приложений из службы Intune. Когда приложение, интегрированное с пакетом SDK, инициализируется, оно загружает политику и код для принудительного применения этой политики из Корпоративный портал.

Примечание.

Если приложение Корпоративный портал отсутствует на устройстве, приложение, интегрированное с пакетом SDK, ведет себя так же, как обычное приложение, которое не поддерживает политики защиты приложений Intune. Даже если приложение Корпоративный портал находится на устройстве, приложение, интегрированное с пакетом SDK, ведет себя так же, как обычно, когда для конечного пользователя не применяется политика защиты приложений.

Пользователю не требуется вход или даже запуск приложения Корпоративный портал для работы политики защиты приложений.

Версии Android

Примечание.

Убедитесь, что приложение совместимо с требованиями Google Play.

Пакет SDK полностью поддерживает API Android 28 (Android 9.0) через API Android 35 (Android 15). Чтобы использовать ANDROID API 35 (Android 15), необходимо использовать пакет SDK v11.0.0 для приложений Intune или более поздней версии.

API с 26 по 27 (Android 8.0 – 8.1) поддерживаются в ограниченном количестве. Приложение Корпоративный портал не поддерживается ниже ANDROID API 26 (Android 8.0). Политика защиты приложений не поддерживается ниже API Android 28 (Android 9.0).

Если приложение объявляет minSdkVersion уровень API ниже API 28 (Android 9.0), пакет SDK для приложений для Intune не будет блокировать использование приложений для пользователей, на которых не применяется политика защиты приложений.

Телеметрия

Пакет SDK для приложений Intune для Android не управляет сбором данных из приложения. Приложение Корпоративный портал по умолчанию регистрирует системные данные. Эти данные отправляются в Microsoft Intune. Согласно Политике Майкрософт, Intune не собирает персональные данные.

Совет

Если пользователи решили не отправлять эти данные, они должны отключить телеметрию в разделе Параметры в приложении Корпоративный портал. Дополнительные сведения см. в статье Отключение сбора данных об использовании Майкрософт.

Создание тестовой политики защиты приложений Android

Настройка демонстрационного клиента

Если у вас еще нет клиента в вашей компании, вы можете создать демонстрационный клиент с предварительно созданными данными или без него. Чтобы получить доступ к Microsoft CDX, необходимо зарегистрироваться в качестве партнера Майкрософт. Чтобы создать новую учетную запись, выполните приведенные далее действия.

  1. Перейдите на сайт создания клиента Microsoft CDX и создайте клиент Microsoft 365 корпоративный.
  2. Настройте Intune для включения управления мобильными устройствами (MDM).
  3. Создание пользователей.
  4. Создание групп.
  5. Назначьте лицензии соответствующим образом для тестирования.

конфигурация политики защита приложений

Создание и назначение политик защиты приложений в Центре администрирования Microsoft Intune. Помимо создания политик защиты приложений, можно создать и назначить политику конфигурации приложений в Intune.

Прежде чем тестировать параметры политики защиты приложений в собственном приложении, полезно ознакомиться с поведением этих параметров в других приложениях, интегрированных с пакетом SDK.

Совет

Если ваше приложение не указано в центре администрирования Microsoft Intune, вы можете выбрать его с помощью политики, выбрав параметр "Дополнительные приложения" и указав имя пакета в текстовом поле. Чтобы успешно протестировать интеграцию, необходимо нацелиться на приложение с помощью политики защиты приложений и развернуть политику для пользователя. Даже если политика является целевой и развернутой, приложение не будет должным образом применять политики, пока не будет успешно интегрирован пакет SDK.

Условия выхода

  • Ознакомились ли вы с разными параметрами политики защиты приложений в приложении Android?
  • Вы проверили свое приложение и запланировали интеграцию приложения с MSAL, условным доступом, несколькими удостоверениями, Конфигурация приложений и всеми дополнительными функциями пакета SDK?
  • Вы создали политику защиты приложений Android в тестовом клиенте?

Вопросы и ответы

Почему приложение Корпоративный портал требуется для политик защиты приложений на Android?

Android Корпоративный портал извлекает и сохраняет политики защиты приложений из службы Intune от имени всех приложений с поддержкой MAM на устройстве. При инициализации приложений с поддержкой MAM сведения о политике и коде для применения этих параметров политики импортируются из Корпоративный портал. Корпоративный портал также содержит код для сокращения количества запросов на проверку подлинности, отображаемых конечным пользователям. Наконец, Корпоративный портал собирает системные данные для улучшения службы Intune. Дополнительные сведения см. в разделе Телеметрия.

Примечание.

Эта Корпоративный портал функция политики защиты приложений связана с Android.

Что происходит, если для пользователей с неподдерживаемых устройств используется политика защиты приложений?

Взаимодействие с конечным пользователем на устройствах Android, неподдерживаемых Intune политиками защиты приложений, зависит от версии ОС Android устройства:

Версии ОС Android Поведение Google Play Поведение приложения MAM
Ниже Android 8.0 Приложение Корпоративный портал будет недоступно для скачивания из Google Play. Устройства, на которых уже установлена Корпоративный портал, не смогут обновиться до новых версий Корпоративный портал. Функции MAM не будут заблокированы повсеместно. Однако, так как приложения, интегрированные с пакетом SDK, поставляются с новыми версиями пакета SDK, пользователям, предназначенным для MAM, будет запрещен вход в эти приложения, так как они не смогут обновить Корпоративный портал. Когда пользователь, который имеет целевую политику MAM и ранее вошел в приложение, запускает такое приложение, ей будет предложено обновить Корпоративный портал. Пользователи могут устранить это поведение, удалив из приложения учетную запись, предназначенную для MAM. Если пользователи удаляют Корпоративный портал, их учетная запись будет автоматически удалена из приложения, но они не смогут войти в систему с помощью учетной записи, ориентированной на MAM.
Android 8.x Приложение Корпоративный портал будет доступно для скачивания из Google Play. Устройства, на которых уже установлен Корпоративный портал, по-прежнему смогут обновляться до новых версий Корпоративный портал. Функции MAM не блокируются активно. Однако Android 8.x не поддерживается, и функции MAM могут работать неправильно.

Что такое средство упаковки приложений?

Разработчики приложений Android могут интегрировать Intune функции в свои приложения несколькими способами. Помимо пакета SDK, описанного в этом руководстве, разработчики также могут использовать App Wrapping Tool для Android. Подробное сравнение пакета SDK и средства упаковки приложений см. в статье Подготовка бизнес-приложений для политик защиты приложений .

Дальнейшие действия

Завершив все описанные выше условия выхода , перейдите к этапу 2. Предварительные требования MSAL.