Intune App SDK för Android – Planera integreringen
Med Microsoft Intune App SDK för Android kan du införliva Intune appskyddsprinciper (även kallade APP- eller MAM-principer) i din interna Java/Kotlin Android-app. Ett Intune-hanterat program är ett program som är integrerat med Intune App SDK. Intune administratörer kan enkelt distribuera appskyddsprinciper till din Intune-hanterade app när Intune aktivt hanterar appen.
Steg 1: Planera integreringen
Den här guiden är avsedd för Android-utvecklare som vill lägga till stöd för Microsoft Intune appskyddsprinciper i sin befintliga Android-app.
Steg Goals
- Lär dig vilka inställningar för appskyddsprinciper som är tillgängliga för Android och hur dessa principer fungerar i ditt program.
- Förstå de viktigaste beslutspunkterna under SDK-integreringsprocessen och planera din apps integrering.
- Förstå kraven för program som integrerar SDK.
- Skapa ett test Intune klientorganisation och konfigurera en Android-appskyddsprincip.
Förstå MAM
Innan du börjar integrera Intune App SDK i ditt Android-program bör du bekanta dig med Microsoft Intune lösning för hantering av mobilprogram:
- Microsoft Intune apphantering ger en översikt över MAM-funktioner på olika plattformar och var du hittar dessa funktioner i Microsoft Intune administrationscenter.
- Intune App SDK-översikten går ett lager djupare och beskriver de aktuella funktionerna i SDK:et.
- Principinställningar för Android-appskydd beskriver varje Android-inställning i detalj. Appen stöder de här inställningarna genom att integrera SDK:t. Under SDK-integreringsprocessen konfigurerar du även de här inställningarna i din egen testklient för validering.
Obs!
Vissa inställningar för Android-appskyddsprinciper kräver specifik kod som stöds. Mer information finns i Steg 7: Funktioner för app med deltagande .
Viktiga beslut för SDK-integrering
Behöver jag registrera mitt program med Microsofts identitetsplattform?
Ja, alla appar som integreras med Intune SDK måste registreras med Microsofts identitetsplattform. Följ stegen i Snabbstart: Registrera en app i Microsofts identitetsplattform – Microsofts identitetsplattform.
Har jag åtkomst till mitt programs källkod?
Om du inte har åtkomst till programmets källkod och bara har åtkomst till det kompilerade programmet i antingen .apk- eller .aab-format kan du inte integrera SDK:t i ditt program. Ditt program kan dock fortfarande vara kompatibelt med Intune appskyddsprinciper. Mer information finns i App Wrapping Tool för Android.
Ska mitt program integrera Microsoft Authentication Library (MSAL)?
Se Översikt över Microsofts autentiseringsbibliotek (MSAL) för att avgöra om ditt program behöver integrera MSAL. De flesta program måste integrera MSAL innan du integrerar Intune SDK.
Din app kan hoppa över integreringen av MSAL endast om alla följande är sanna:
- Programmet har inte eller behöver en interaktiv slutanvändarupplevelse för inloggning och utloggning.
- Programmet stöder inte flera konton som loggas in samtidigt.
- Programmet behöver inte ha stöd för konton som inte är Intune.
- Programmet beviljar inte åtkomst till resurser som skyddas av villkorlig åtkomst.
Om din app uppfyller alla ovanstående villkor och inte integrerar MSAL kan den fortfarande skyddas av appskyddsprincipen, om än utan något alternativ för ohanterad användning. Mer information finns i Standardregistrering .
Se Steg 2: MSAL-förutsättningen för instruktioner om integrering av MSAL och ytterligare information om identitetsscenarier i ditt program.
Är mitt program enkel identitet eller flera identiteter?
Hur hanterar programmet användarautentisering och konton utan stöd för Intune appskyddsprincip?
Tillåter ditt program för närvarande bara att ett enda konto loggas in? Tvingar ditt program uttryckligen det inloggade kontot att logga ut – och ta bort det tidigare kontots data – innan ett annat konto tillåts logga in? I så fall är programmet en enda identitet.
Tillåter ditt program för närvarande ett andra konto att logga in, även om ett annat konto redan är inloggat? Visar programmet flera kontons data på en delad skärm? Lagrar programmet flera kontons data? Låter ditt program användarna växla mellan olika inloggade konton? I så fall är ditt program flera identiteter och du måste följa steg 5: Flera identiteter. Det här avsnittet krävs för din app.
Även om ditt program har flera identiteter följer du den här integreringsguiden i ordning. När du först integrerar och testar som en enskild identitet kan du säkerställa korrekt integrering och förhindra buggar där företagsdata slutar vara oskyddade.
Har eller behöver mitt program App Configuration inställningar?
Android stöder programspecifika hanteringskonfigurationer som gäller för program som distribueras under Android Enterprise-hanteringslägen. Administratörer kan konfigurera dessa programkonfigurationsprinciper för hanterade Android Enterprise-enheter i Microsoft Intune administrationscenter.
Intune stöder även programkonfigurationer som gäller för SDK-integrerade program, oavsett enhetshanteringsläge. Administratörer kan konfigurera dessa programkonfigurationsprinciper för hanterade appar i Microsoft Intune administrationscenter.
Intune App SDK stöder båda typerna av programkonfiguration och tillhandahåller ett enda API för åtkomst till konfigurationer från båda kanalerna. Om ditt program har eller har stöd för någon av dessa typer av programkonfiguration måste du följa steg 6: App Configuration.
Behöver mitt program definiera ett detaljerat skydd för inkommande och utgående data?
Om din app låter användare spara data till eller öppna data från molntjänster eller till enhetsplatser måste den göra ändringar för att stödja förbättrad dataöverföringsprincip. Se Princip för att begränsa dataöverföring mellan appar och enheter eller molnlagringsplatser i steg 7: Funktioner för app med deltagande.
Visar mitt program meddelanden som innehåller användarspecifik information?
Appar med flera identiteter måste göra kodändringar för att korrekt respektera meddelandeprincipen. Appar med en identitet kanske vill göra kodändringar så att den här meddelandeprincipen inte blockerar 100 % av appens meddelanden. Se Princip för att begränsa innehåll i meddelanden i steg 7: Funktioner för app med deltagande.
Stöder mitt program Androids funktioner för säkerhetskopiering och återställning?
Android stöder säkerhetskopierings- och återställningsfunktioner för att bevara data och anpassning för användare när de uppgraderar till en ny enhet eller installerar om din app.
Intune har också stöd för säkerhetskopierings- och återställningsfunktioner för SDK-integrerade program för att säkerställa att företagsdata inte kan läckas via en återställning.
Om din app stöder den här funktionen måste den vidta kodändringar för att skydda företagsdata under återställningen. Se Princip för att skydda säkerhetskopierade data i steg 7: Funktioner för app med deltagande.
Har mitt program resurser som ska skyddas av villkorlig åtkomst?
Villkorlig åtkomst (CA) är en Microsoft Entra ID funktion som kan användas för att styra åtkomsten till Microsoft Entra resurser. Intune administratörer kan definiera CA-regler som endast tillåter resursåtkomst från enheter eller appar som hanteras av Intune.
Intune stöder två typer av CA: enhetsbaserad CA och appbaserad CA, även kallat App Protection CA. Enhetsbaserad CERTIFIKAT:n blockerar åtkomsten till skyddade resurser tills hela enheten hanteras av Intune. Appbaserad CA blockerar åtkomsten till skyddade resurser tills den specifika appen hanteras av Intune appskyddsprinciper.
Om din app hämtar någon Microsoft Entra åtkomsttoken och får åtkomst till resurser som kan vara CA-skyddade måste du följa Support App Protection CA i steg 7: Funktioner för appdeltagande.
Har mitt program ett distinkt tema som måste bevaras i användargränssnittet som visas av Intune App SDK?
Som standard visar Intune App SDK komponenter för principframtvingande gränssnitt färgade enligt standardtemat.
Möjligheten att åsidosätta standardtemat är kosmetiskt och valfritt. Se Tillhandahålla ett anpassat tema i steg 7: Funktioner för app med deltagande.
Krav
Företagsportal app
Intune App SDK för Android förlitar sig på förekomsten av Företagsportal-appen på enheten för att aktivera appskyddsprinciper. Företagsportal hämtar appskyddsprinciper från Intune-tjänsten. När en SDK-integrerad app initieras läser den in principer och kod för att framtvinga principen från Företagsportal.
Obs!
När den Företagsportal appen inte finns på enheten fungerar en SDK-integrerad app på samma sätt som en normal app som inte stöder Intune appskyddsprinciper. Även om den Företagsportal appen finns på enheten fungerar en SDK-integrerad app på samma sätt som vanligt när slutanvändaren inte är mål för appskyddsprincipen.
Användaren behöver inte logga in på eller ens starta Företagsportal app för att appskyddsprincipen ska fungera.
Android-versioner
Obs!
Kontrollera att din app är kompatibel med Google Play-kraven.
SDK har fullt stöd för Android API 28 (Android 9.0) via Android API 35 (Android 15).
För att kunna rikta Android API 35 (Android 15) måste du använda Intune App SDK v11.0.0 eller senare.
API:er 26 till 27 (Android 8.0–8.1) har begränsat stöd. Den Företagsportal appen stöds inte under Android API 26 (Android 8.0). Appskyddsprincipen stöds inte under Android API 28 (Android 9.0).
Om din app deklarerar minSdkVersion till en API-nivå under API 28 (Android 9.0) blockerar inte Intune App SDK appanvändning för användare som inte är mål för appskyddsprincipen.
Telemetri
Intune App SDK för Android styr inte datainsamling från din app. Det Företagsportal programmet loggar systemgenererade data som standard. Dessa data skickas till Microsoft Intune. Enligt Microsoft Policy samlar Intune inte in några personuppgifter.
Tips
Om slutanvändarna väljer att inte skicka dessa data måste de inaktivera telemetri under Inställningar i Företagsportal appen. Mer information finns i Inaktivera Microsofts insamling av användningsdata.
Skapa en testprincip för Android-appskydd
Demoinstallation av klientorganisation
Om du inte redan har en klientorganisation med ditt företag kan du skapa en demoklientorganisation med eller utan förgenererade data. Du måste registrera dig som Microsoft-partner för att få åtkomst till Microsoft CDX. Så här skapar du ett nytt konto:
- Gå till webbplatsen för skapande av Microsoft CDX-klientorganisation och skapa en Microsoft 365 Enterprise klientorganisation.
- Konfigurera Intune för att aktivera hantering av mobila enheter (MDM).
- Skapa användare.
- Skapa grupper.
- Tilldela licenser efter behov för testningen.
Appskydd principkonfiguration
Skapa och tilldela appskyddsprinciper i Microsoft Intune administrationscenter. Förutom att skapa appskyddsprinciper kan du skapa och tilldela en appkonfigurationsprincip i Intune.
Innan du testar inställningar för appskyddsprinciper i ditt eget program är det bra att bekanta dig med hur de här inställningarna beter sig i andra SDK-integrerade program.
Tips
Om din app inte visas i Microsoft Intune administrationscenter kan du rikta den mot en princip genom att välja alternativet fler appar och ange paketnamnet i textrutan. Du måste rikta din app mot en appskyddsprincip och distribuera principen till en användare för att kunna testa integreringen. Även om principen är riktad och distribuerad kommer appen inte att tillämpa principer korrekt förrän den har integrerat SDK:t.
Avslutsvillkor
- Har du bekantat dig med hur olika inställningar för appskyddsprinciper kommer att fungera i ditt Android-program?
- Har du granskat din app och planerat appens integrering kring MSAL, villkorsstyrd åtkomst, multiidentitet, App Configuration och alla ytterligare SDK-funktioner?
- Har du skapat en Android-appskyddsprincip i testklientorganisationen?
Vanliga frågor och svar
Varför krävs den Företagsportal appen för programskyddsprinciper på Android?
Android-Företagsportal hämtar och bevarar appskyddsprinciper från Intune-tjänsten för alla MAM-aktiverade program på enheten. När MAM-aktiverade program initieras importeras principinformation och kod för att framtvinga dessa principinställningar från Företagsportal. Företagsportal innehåller också kod för att minska antalet autentiseringsprompter som visas för slutanvändarna. Slutligen samlar Företagsportal in systemdata för att förbättra Intune-tjänsten. Mer information finns i Telemetri.
Obs!
Den här Företagsportal funktionen för appskyddsprincip är specifik för Android.
Vad händer när användare med enheter som inte stöds har en appskyddsprincip riktad?
Slutanvändarens upplevelse på Android-enheter som inte stöds av Intune appskyddsprinciper beror på enhetens Android OS-version:
| Android OS-versioner | Google Play-beteende | MAM-appbeteende |
|---|---|---|
| Under Android 8.0 | Den Företagsportal appen är inte tillgänglig för nedladdning från Google Play. Enheter som redan har Företagsportal installerade kommer inte att kunna uppdatera till nya versioner av Företagsportal. | MAM-funktioner blockeras inte universellt. Men eftersom SDK-integrerade appar levereras med nya versioner av SDK blockeras MAM-riktade användare från att ange dessa appar, eftersom de inte kan uppdatera Företagsportal. När en användare, som har MAM-principen riktad och tidigare har loggat in i appen, startar en sådan app uppmanas de att uppgradera Företagsportal. Användare kan minimera det här beteendet genom att ta bort MAM-målkontot från programmet. Om användarna avinstallerar Företagsportal tas deras konto automatiskt bort från appen, men de kan inte logga in igen med MAM-målkontot. |
| Android 8.x | Appen Företagsportal kan laddas ned från Google Play. Enheter som redan har Företagsportal installerade kommer fortfarande att kunna uppdatera till nya versioner av Företagsportal. | MAM-funktioner blockeras inte aktivt. Android 8.x stöds dock inte och MAM-funktioner kanske inte fungerar som förväntat. |
Vad är programhanteringsverktyget?
Android-apputvecklare har flera sätt att integrera Intune funktioner i sina program. Förutom SDK, som beskrivs i den här guiden, kan utvecklare också använda App Wrapping Tool för Android. Se Förbereda verksamhetsspecifika appar för appskyddsprinciper för en detaljerad jämförelse mellan SDK och programhanteringsverktyget.
Nästa steg
När du har slutfört alla avslutsvillkor ovan fortsätter du till steg 2: MSAL-förutsättningen.