Пакет SDK для приложений Intune для iOS — планирование интеграции

Пакет SDK для приложений Microsoft Intune для iOS позволяет интегрировать политики защиты приложений Intune (также известные как политики приложений или MAM) в собственное приложение iOS. Приложение с поддержкой MAM интегрировано с пакетом SDK для приложений Intune. ИТ-администраторы могут развертывать политики защиты приложений в мобильном приложении, когда Intune активно управляет приложением.

Важно!

Intune регулярно выпускает обновления для пакета SDK для приложений Intune. Мы рекомендуем подписываться на репозитории пакета SDK для приложений Intune для обновлений, чтобы вы могли включить обновление в цикл выпуска разработки программного обеспечения и убедиться, что приложения поддерживают последние параметры политики защиты приложений.

Запланируйте обязательное обновление пакета SDK для приложений Intune до каждого основного выпуска ОС, чтобы обеспечить бесперебойную работу приложения, так как обновления ОС могут привести к критическим изменениям. Если вы не обновите до последней версии до основного выпуска ОС, вы можете столкнуться с критическим изменением и (или) не сможете применить политики защиты приложений к приложению.

Этап 1. Планирование интеграции

Это руководство предназначено для разработчиков iOS, которые хотят добавить поддержку политик защиты приложений Microsoft Intune в существующем приложении iOS.

Цели этапа

  • Узнайте, какие параметры политики защиты приложений доступны для iOS и как эти политики будут работать в приложении.
  • Изучите ключевые моменты принятия решений в процессе интеграции пакета SDK и спланируйте интеграцию приложения.
  • Изучите требования к приложениям, интегрирующим пакет SDK.
  • Создайте тестовый клиент Intune и настройте политику защиты приложений iOS.

Основные сведения о MAM

Прежде чем приступить к интеграции пакета SDK для приложений Intune в приложение iOS, ознакомьтесь с решением Microsoft Intune для управления мобильными приложениями:

Ключевые решения для интеграции пакета SDK

Нужно ли зарегистрировать приложение на платформе удостоверений Майкрософт?

Да, все приложения, интегрирующиеся с пакетом SDK для Intune, должны быть зарегистрированы на платформе удостоверений Майкрософт. Выполните действия, описанные в разделе Краткое руководство. Регистрация приложения на платформе удостоверений Майкрософт — платформа удостоверений Майкрософт.

Есть ли у меня доступ к исходному коду приложения?

Если у вас нет доступа к исходному коду приложения и у вас есть доступ только к скомпилированному приложению в формате .app или IPA, вы не сможете интегрировать пакет SDK в приложение. Однако приложение по-прежнему может быть совместимо с политиками защиты приложений Intune. Дополнительные сведения см. в статье Средство упаковки приложений для iOS .

Должно ли приложение интегрировать библиотеку проверки подлинности Майкрософт (MSAL)?

Да, перед интеграцией пакета SDK для Intune необходимо выполнить интеграцию с MSAL. Перед интеграцией с MSAL все приложения должны быть зарегистрированы на платформе удостоверений Майкрософт. Выполните действия, описанные в разделе Краткое руководство. Регистрация приложения на платформе удостоверений Майкрософт — платформа удостоверений Майкрософт.

Инструкции по интеграции MSAL и дополнительные сведения о сценариях удостоверений в приложении см. в разделе Этап 2. Предварительные требования и настройка MSAL .

Одно или несколько удостоверений приложения?

Как приложение без поддержки политики защиты приложений Intune обрабатывает проверку подлинности пользователей и учетные записи?

  • В настоящее время приложение разрешает вход только с одной учетной записью? Заставляет ли приложение явно вошедший в систему учетную запись выходить из системы и удалять данные предыдущей учетной записи, прежде чем разрешить вход другой учетной записи? В этом случае приложение является единым удостоверением.

  • Разрешает ли в настоящее время приложение входить в систему второй учетной записи, даже если в нее уже вошли другие учетные записи? Отображает ли приложение данные нескольких учетных записей на общем экране? Хранит ли приложение данные нескольких учетных записей? Позволяет ли ваше приложение пользователям переключаться между разными учетными записями, которые вошли в систему? Если это так, приложение имеет несколько удостоверений , и вам потребуется выполнить этап 5. Включение нескольких удостоверений. Этот раздел является обязательным для приложения.

Даже если ваше приложение имеет несколько удостоверений, следуйте инструкциям в этом руководстве по интеграции. Первоначально интеграция и тестирование в качестве одного удостоверения поможет обеспечить правильную интеграцию и предотвратить ошибки, когда корпоративные данные в конечном итоге не защищены.

Что делать, если мое приложение выполняет сборку с использованием пользовательского интерфейса мультиплатформенного приложения .NET (.NET MAUI)?

Если ваше приложение выполняет сборку с помощью пользовательского интерфейса мультиплатформенного приложения .NET (.NET MAUI), см. статьюПакет SDK для приложений Intune для .NET MAUI — iOS.

У моего приложения есть параметры конфигурации приложений или требуются ли они?

Intune поддерживает конфигурации приложений, которые применяются к приложениям, интегрированным с пакетом SDK, независимо от режима управления устройствами. Администраторы могут настроить эти политики конфигурации приложений для управляемых приложений в Центре администрирования Microsoft Intune.

Пакет SDK для приложений Intune поддерживает оба типа конфигурации приложений и предоставляет один API для доступа к конфигурациям из обоих каналов. Если приложение поддерживает или поддерживает любой из этих типов конфигурации приложений, необходимо выполнить этап 4. Включение целевой конфигурации (конфигурация приложения или MAM) для приложений iOS.

Дополнительные сведения о том, как создать политику конфигурации целевых приложений MAM в iOS, см. в разделе о целевой конфигурации приложений MAM статьи Использование политик конфигурации приложений Microsoft Intune для iOS/iPadOS.

Нужно ли моему приложению определять детализированную защиту для входящего и исходящего трафика данных?

Если приложение позволяет пользователям сохранять или открывать данные из облачных служб или расположений устройств, оно должно вносить изменения для поддержки расширенной политики передачи данных. См. статью Управление передачей данных между приложениями iOS в Microsoft Intune.

Есть ли у приложения ресурсы, которые должны быть защищены условным доступом?

Условный доступ (ЦС) — это функция идентификатора Microsoft Entra , которая может использоваться для управления доступом к ресурсам Microsoft Entra. Администраторы Intune могут определять правила ЦС, разрешающие доступ к ресурсам только с устройств или приложений, управляемых Intune.

Intune поддерживает два типа ЦС: ЦС на основе устройств и ЦС на основе приложений, также известный как ЦС защиты приложений. ЦС на основе устройств блокирует доступ к защищенным ресурсам до тех пор, пока все устройство не будет управляться Intune. ЦС на основе приложений блокирует доступ к защищенным ресурсам, пока конкретное приложение не будет управляться политиками защиты приложений Intune.

Если приложение получает какие-либо маркеры доступа Microsoft Entra и обращается к ресурсам, которые могут быть защищены ЦС, необходимо выполнить [этап 4. Поддержка ЦС защиты приложений].

Создание тестовой политики защиты приложений iOS

Настройка демонстрационного клиента

Если у вас еще нет клиента в вашей компании, вы можете создать демонстрационный клиент с предварительно созданными данными или без него. Чтобы получить доступ к Microsoft CDX, необходимо зарегистрироваться в качестве партнера Майкрософт. Чтобы создать новую учетную запись, выполните приведенные далее действия.

  1. Перейдите на сайт создания клиента Microsoft CDX и создайте клиент Microsoft 365 Корпоративный.
  2. Настройте Intune для включения управления мобильными устройствами (MDM).
  3. Создание пользователей.
  4. Создание групп.
  5. Назначьте лицензии соответствующим образом для тестирования.

Настройка политики защиты приложений

Создание и назначение политик защиты приложений в Центре администрирования Microsoft Intune. Помимо создания политик защиты приложений, вы можете создать и назначить политику конфигурации приложений в Intune.

Прежде чем тестировать параметры политики защиты приложений в собственном приложении, полезно ознакомиться с поведением этих параметров в других приложениях, интегрированных с пакетом SDK.

Совет

Если приложение не указано в Центре администрирования Microsoft Intune, его можно настроить с помощью политики, выбрав параметр "Дополнительные приложения " и указав имя пакета в текстовом поле.
Чтобы успешно протестировать интеграцию, необходимо нацелиться на приложение с помощью политики защиты приложений и развернуть политику для пользователя.
Даже если политика является целевой и развернутой, приложение не будет должным образом применять политики, пока не будет успешно интегрирован пакет SDK.

Условия выхода

  • Ознакомились ли вы с разными параметрами политики защиты приложений в приложении iOS?
  • Вы проверили свое приложение и запланировали интеграцию приложения с MSAL, условным доступом, несколькими удостоверениями, конфигурацией приложений и всеми дополнительными функциями пакета SDK?
  • Вы создали политику защиты приложений iOS в тестовом клиенте?

Вопросы и ответы

Где скачать пакет SDK?

Сведения о том, как скачать пакет SDK, см . в разделе Скачивание файлов пакета SDK.

Как сообщить о проблемах с интеграцией пакета SDK для приложений Intune в мои приложения?

Отправьте запрос на помощь на сайте GitHub.

Дальнейшие действия

Выполнив все описанные выше условия выхода , перейдите к этапу 2. Предварительные требования и настройка MSAL.