2. Aşama: MSAL önkoşulu ve kurulumu

  • Makale

Intune Uygulama SDK'sı, kimlik doğrulaması ve koşullu başlatma senaryoları için Microsoft Kimlik Doğrulama Kitaplığı'nı kullanır. Ayrıca cihaz kayıt senaryoları olmadan yönetim için kullanıcı kimliğini MAM hizmetine kaydetmek için MSAL kullanır.

Not

Bu kılavuz birkaç ayrı aşamaya ayrılmıştır. Başlangıç olarak 1. Aşama: Tümleştirmeyi Planlama'ya bakın.

Aşama Hedefleri

  • Uygulamanızı Microsoft Entra Id ile kaydedin.
  • MSAL'yi iOS uygulamanızla tümleştirin.
  • Uygulamanızın korumalı kaynaklara erişim izni veren bir belirteç alabildiğini doğrulayın.

Microsoft Entra uygulama kaydını ayarlama ve yapılandırma

MSAL, uygulamaya verilen belirteçlerin güvenliğini garanti etmek için uygulamaların Microsoft Entra Id ile kaydolmasını ve benzersiz bir istemci kimliği ve yeniden yönlendirme URI'si oluşturmasını gerektirir. Uygulamanız kendi kimlik doğrulaması için zaten MSAL kullanıyorsa, uygulamayla ilişkilendirilmiş bir Microsoft Entra uygulama kaydı/istemci kimliği/yeniden yönlendirme URI'si zaten olmalıdır.

Uygulamanız henüz MSAL kullanmıyorsa, Microsoft Entra Id'de bir uygulama kaydı yapılandırmanız ve Intune SDK'sının kullanması gereken istemci kimliğini ve yeniden yönlendirme URI'sini belirtmeniz gerekir.

Uygulamanız şu anda kullanıcıların kimliğini doğrulamak için ADAL kullanıyorsa uygulamanızı ADAL'den MSAL'ye geçirme hakkında daha fazla bilgi için bkz. Uygulamaları iOS ve macOS için MSAL'ye geçirme.

Uygulamanızın en son MSAL sürümüne bağlanmasını öneririz.

MSAL ikili dosyalarını uygulamanıza yerleştirmek için yükleme bölümünü izleyin.

MSAL'yi yapılandırma

MSAL'yi yapılandırmak için yapılandırma bölümünü izleyin. Yapılandırma bölümündeki tüm adımları izlediğinize emin olun. Uygulamanız Zaten Microsoft Entra Id'de kayıtlıysa birinci adımı göz ardı edin.

Aşağıdaki noktalar, MSAL'yi yapılandırmak ve buna bağlanmak için ek bilgiler içerir. Uygulamanıza uygulandıysa bunları izleyin.

  • Uygulamanızda tanımlı anahtarlık erişim grubu yoksa, uygulamanın paket kimliğini ilk grup olarak ekleyin.
  • Anahtarlık erişim gruplarına ekleyerek com.microsoft.adalcache MSAL çoklu oturum açmayı (SSO) etkinleştirin.
  • MSAL paylaşılan önbellek anahtar zinciri grubunu açıkça ayarlarsanız, olarak ayarlandığından <appidprefix>.com.microsoft.adalcacheemin olun. Geçersiz kılmadığınız sürece MSAL bunu sizin için ayarlar. öğesini değiştirmek com.microsoft.adalcacheiçin özel bir anahtar zinciri grubu belirtmek istiyorsanız, bunu IntuneMAMSettings altındaki Info.plist dosyasında anahtarını ADALCacheKeychainGroupOverridekullanarak belirtin.

Intune Uygulama SDK'sı için MSAL ayarlarını yapılandırma

Microsoft Entra ID'de uygulamanız için bir uygulama kaydı yapılandırıldıktan sonra, Intune Uygulama SDK'sını Microsoft Entra Id ile kimlik doğrulaması sırasında uygulama kaydınızdaki ayarları kullanacak şekilde yapılandırabilirsiniz. Aşağıdaki ayarları doldurma hakkında bilgi için bkz. Intune Uygulama SDK'sı ayarlarını yapılandırma :

  • ADALClientId
  • ADALAuthority
  • ADALRedirectUri
  • ADALRedirectScheme
  • ADALCacheKeychainGroupOverride

Aşağıdaki yapılandırmalar gereklidir:

  1. Projenin Info.plist dosyasında, anahtar adıyla ADALClientIdIntuneMAMSettings sözlüğü altında, MSAL çağrıları için kullanılacak istemci kimliğini belirtin.

  2. 1. adımda yapılandırılan istemci kimliğine eşlenen Microsoft Entra uygulama kaydı yalnızca tek bir Microsoft Entra kiracısında kullanılmak üzere yapılandırılmışsa, anahtarı uygulamanın Info.plist dosyasındaki IntuneMAMSettings sözlüğü altında yapılandırınADALAuthority. Intune mobil uygulama yönetimi hizmeti için belirteçleri almak için MSAL tarafından kullanılacak Microsoft Entra yetkilisini belirtin.

  3. Ayrıca anahtar adıyla ADALRedirectUriIntuneMAMSettings sözlüğü altında MSAL çağrıları için kullanılacak yeniden yönlendirme URI'sini belirtin. Alternatif olarak, uygulamanın yeniden yönlendirme URI'sinin biçiminde scheme://bundle_idolup olmadığını belirtebilirsinizADALRedirectScheme.

    Alternatif olarak, uygulamalar çalışma zamanında bu Microsoft Entra ayarlarını geçersiz kılabilir. Bunu yapmak için, sınıfındaki aadAuthorityUriOverride, aadClientIdOverrideve aadRedirectUriOverride özelliklerini ayarlamanız yeterlidir IntuneMAMSettings .

  4. iOS uygulamanıza Intune Mobil Uygulama Yönetimi (MAM) hizmeti için izin verme adımlarının izlendiğinden emin olun. Uygulamanızın Intune Mobil Uygulama Yönetimi hizmetine erişmesini sağlayın altındaki Intune SDK'sını kullanmaya başlama kılavuzundaki yönergeleri kullanın.

    Not

    Uygulama koruma ilkesi yönetilen cihazlarla ilgiliyse, Intune tümleşik olan uygulamanın uygulama yapılandırma profilini oluşturmak da gereklidir.

    Info.plist yaklaşımı, statik olan ve çalışma zamanında belirlenmesi gerekmeyen tüm ayarlar için önerilir. Çalışma zamanında sınıf özelliklerine IntuneMAMSettings atanan değerler, Info.plist dosyasında belirtilen karşılık gelen değerlerden önceliklidir ve uygulama yeniden başlatıldıktan sonra bile kalıcı olur. SDK, kullanıcı kaydı kaldırılana veya değerler temizlenene veya değiştirilene kadar ilke iadeleri için bunları kullanmaya devam eder.

Uygulama tarafından başlatılan kimlik doğrulaması için MSAL kullanırken dikkat edilmesi gereken özel noktalar

Uygulamaların uygulama tarafından başlatılan MSAL etkileşimli kimlik doğrulama işlemleri için web görünümü olarak SFSafariViewController, SFAuththenticationSession veya ASWebAuthenticationSession kullanmaması önerilir. Varsayılan olarak, MSAL ASWebAuthenticationSession kullanır, bu nedenle uygulama geliştiricilerinin web görünümü türünü açıkça WKWebView olarak ayarlaması gerekir. Herhangi bir nedenden dolayı uygulamanızın etkileşimli MSAL kimlik doğrulama işlemleri için WKWebView dışında bir web görünümü türü kullanması gerekiyorsa, uygulamanın Info.plist dosyasındaki sözlüğün altına IntuneMAMSettings da ayarlanması SafariViewControllerBlockedOverridetrue gerekir.

Uyarı

Bu, kimlik doğrulama oturumunu etkinleştirmek için Intune'un SafariViewController kancalarını kapatır. Bu, uygulama şirket verilerini görüntülemek için SafariViewController kullanıyorsa uygulamanın başka bir yerinde veri sızıntısı riskini göze alır, bu nedenle uygulamanın bu web görünümü türlerinin hiçbirinde şirket verilerini göstermemesi gerekir.

Çıkış Ölçütleri

  • Uygulamanızı Microsoft Entra uygulama kaydı sayfasına kaydettiniz mi?
  • MSAL'yi uygulamanızla tümleştirdiniz mi?
  • Yeniden yönlendirme URI'sini oluşturup MSAL yapılandırma dosyasında ayarlayarak aracı kimlik doğrulamasını etkinleştirdiniz mi?
  • IntuneMAMSettings sözlüğünüzdeki MSAL için gerekli yapılandırma bilgilerinin Microsoft Entra Uygulama Kayıtlarınızdakilerle eşleştiğinden emin misiniz?

SSS

ADAL ne olacak?

Microsoft'un önceki kimlik doğrulama kitaplığı olan Azure Active Directory Kimlik Doğrulama Kitaplığı (ADAL)kullanım dışı bırakıldı.

Uygulamanız zaten ADAL ile tümleştirilmişse bkz. Uygulamalarınızı Microsoft Kimlik Doğrulama Kitaplığı'nın (MSAL) kullanımına güncelleştirme. Uygulamanızı ADAL'dan MSAL'ye geçirmek için bkz . Uygulamaları iOS ve macOS için MSAL'ye geçirme

Intune Uygulama SDK'sını tümleştirmeden önce ADAL'den MSAL'ye geçmeniz önerilir.

Sonraki Adımlar

Yukarıdaki tüm Çıkış Ölçütlerini tamamladıktan sonra, iOS uygulamanızla 3. Aşama: Intune SDK tümleştirmesine geçin.