Этап 2. Предварительные требования и настройка MSAL
Пакет SDK для приложений Intune использует библиотеку проверки подлинности Майкрософт для сценариев проверки подлинности и условного запуска. Он также использует MSAL для регистрации удостоверения пользователя в службе MAM для управления без регистрации устройств.
Примечание.
Это руководство разделено на несколько отдельных этапов. Для начала ознакомьтесь со статьей Этап 1. Планирование интеграции.
Цели этапа
- Зарегистрируйте приложение с помощью идентификатора Microsoft Entra.
- Интеграция MSAL с приложением iOS.
- Убедитесь, что приложение может получить маркер, предоставляющий доступ к защищенным ресурсам.
Настройка и настройка регистрации приложения Microsoft Entra
MSAL требует, чтобы приложения регистрировались с идентификатором Microsoft Entra и создавали уникальный идентификатор клиента и URI перенаправления, чтобы гарантировать безопасность маркеров, предоставленных приложению. Если приложение уже использует MSAL для собственной проверки подлинности, с ним уже должен быть связан URI регистрации, идентификатора клиента или перенаправления приложения Microsoft Entra.
Если приложение еще не использует MSAL, необходимо настроить регистрацию приложения в Microsoft Entra ID и указать идентификатор клиента и URI перенаправления, который должен использовать пакет SDK для Intune.
Если в настоящее время приложение использует ADAL для проверки подлинности пользователей, дополнительные сведения о переносе приложения из ADAL в MSAL для iOS и macOS см. в статье Миграция приложений в MSAL .
Рекомендуется, чтобы приложение ссылалось на последний выпуск MSAL.
Связывание MSAL с проектом
Следуйте инструкциям в разделе установки , чтобы поместить двоичные файлы MSAL в приложение.
Настройка MSAL
Следуйте инструкциям в разделе конфигурации , чтобы настроить MSAL. Убедитесь, что вы выполните все действия, описанные в разделе конфигурации. Игнорирование шага 1, если приложение уже зарегистрировано в Идентификаторе Microsoft Entra.
В приведенных ниже пунктах содержатся дополнительные сведения о настройке MSAL и ссылка на нее. Следуйте этим инструкциям, если они относятся к вашему приложению.
- Если в приложении не определены группы доступа к цепочке ключей, добавьте идентификатор пакета приложения в качестве первой группы.
- Включите единый вход MSAL, добавив
com.microsoft.adalcache
в группы доступа к цепочке ключей. - Если вы явно задаете группу цепочки ключей общего кэша MSAL, убедитесь, что для нее задано значение
<appidprefix>.com.microsoft.adalcache
. MSAL установит это значение, если вы не переопределите его. Если вы хотите указать пользовательскую группу цепочки ключей для заменыcom.microsoft.adalcache
, укажите ее в файле Info.plist в разделе IntuneMAMSettings с помощью ключаADALCacheKeychainGroupOverride
.
Настройка параметров MSAL для пакета SDK для приложений Intune
После настройки регистрации приложения в Microsoft Entra ID можно настроить пакет SDK для приложений Intune для использования параметров из регистрации приложения во время проверки подлинности с использованием Идентификатора Microsoft Entra. Сведения о заполнении следующих параметров см. в статье Настройка параметров для пакета SDK для приложений Intune :
- ADALClientId
- ADALAuthority
- ADALRedirectUri
- ADALRedirectScheme
- ADALCacheKeychainGroupOverride
Требуются следующие конфигурации:
В файле Info.plist проекта в словаре IntuneMAMSettings с именем
ADALClientId
ключа укажите идентификатор клиента, который будет использоваться для вызовов MSAL.Если регистрация приложения Microsoft Entra, которая сопоставляется с идентификатором клиента, настроенным на шаге 1, настроена для использования только в одном клиенте Microsoft Entra, настройте
ADALAuthority
ключ в словаре IntuneMAMSettings в файле Info.plist приложения. Укажите центр Microsoft Entra, который будет использоваться MSAL для получения маркеров для службы управления мобильными приложениями Intune.Кроме того, в словаре IntuneMAMSettings с именем
ADALRedirectUri
ключа укажите URI перенаправления, который будет использоваться для вызовов MSAL. Кроме того, вместо этого можно указатьADALRedirectScheme
, если URI перенаправления приложения имеет форматscheme://bundle_id
.Кроме того, приложения могут переопределять эти параметры Microsoft Entra во время выполнения. Для этого просто задайте
aadAuthorityUriOverride
свойства ,aadClientIdOverride
иaadRedirectUriOverride
дляIntuneMAMSettings
класса .Убедитесь, что выполнены действия, чтобы предоставить приложению iOS разрешения для службы управления мобильными приложениями (MAM) Intune. Используйте инструкции из руководства по началу работы с пакетом SDK для Intune в разделе Предоставление приложению доступа к службе управления мобильными приложениями Intune.
Примечание.
Если политика защиты приложений связана с управляемыми устройствами, также необходимо создать профиль конфигурации приложения с интегрированным Intune.
Подход Info.plist рекомендуется использовать для всех параметров, которые являются статическими и не должны определяться во время выполнения. Значения, назначенные свойствам
IntuneMAMSettings
класса во время выполнения, имеют приоритет над любыми соответствующими значениями, указанными в Info.plist, и сохраняются даже после перезапуска приложения. Пакет SDK будет продолжать использовать их для возврата политик до тех пор, пока пользователь не будет отменен или не очистит или не изменит значения.
Особые рекомендации при использовании MSAL для проверки подлинности, инициированной приложением
Рекомендуется, чтобы приложения не использовали SFSafariViewController, SFAuthenticationSession или ASWebAuthenticationSession в качестве веб-представления для любых операций интерактивной проверки подлинности MSAL, инициированных приложением. По умолчанию MSAL использует ASWebAuthenticationSession, поэтому разработчикам приложений следует явно задать тип веб-представления WKWebView. Если по какой-либо причине ваше приложение должно использовать тип веб-представления, отличный от WKWebView, для любых интерактивных операций проверки подлинности MSAL, оно также должно задать значение SafariViewControllerBlockedOverride
true
в IntuneMAMSettings
словаре в info.plist приложения.
Предупреждение
Это отключит перехватчики SafariViewController Intune, чтобы включить сеанс проверки подлинности. Это рискует утечкой данных в другом месте приложения, если приложение использует SafariViewController для просмотра корпоративных данных, поэтому приложение не должно отображать корпоративные данные ни в одном из этих типов веб-представлений.
Условия выхода
- Зарегистрировано ли приложение на странице регистрации приложения Microsoft Entra?
- Интегрируете ли вы MSAL в приложение?
- Вы включили проверку подлинности брокера, создав URI перенаправления и задав его в файле конфигурации MSAL?
- Убедитесь, что требуемые сведения о конфигурации для MSAL в словаре IntuneMAMSettings совпадают с данными в регистрации приложений Microsoft Entra?
Вопросы и ответы
Как насчет ADAL?
Предыдущая библиотека проверки подлинности Майкрософт, библиотека проверки подлинности Azure Active Directory (ADAL),устарела.
Если приложение уже интегрировало ADAL, см. статью Обновление приложений для использования библиотеки проверки подлинности Майкрософт (MSAL). Сведения о переносе приложения из ADAL в MSAL см. в статье Перенос приложений в MSAL для iOS и macOS.
Перед интеграцией пакета SDK для приложений Intune рекомендуется выполнить миграцию с ADAL на MSAL.
Дальнейшие действия
После выполнения всех описанных выше условий выхода перейдите к этапу 3. Интеграция пакета SDK Intune с приложением iOS.