Freigeben über


Intune App SDK für Android – Planen der Integration

Mit dem Microsoft Intune App SDK für Android können Sie Intune App-Schutzrichtlinien (auch als APP- oder MAM-Richtlinien bezeichnet) in Ihre native Java/Kotlin Android-App integrieren. Eine Intune verwaltete Anwendung ist eine Anwendung, die in das Intune App SDK integriert ist. Intune Administratoren können App-Schutzrichtlinien ganz einfach für Ihre Intune verwaltete App bereitstellen, wenn Intune die App aktiv verwaltet.

Phase 1: Planen der Integration

Dieser Leitfaden richtet sich an Android-Entwickler, die Unterstützung für die App-Schutzrichtlinien von Microsoft Intune in ihrer vorhandenen Android-App hinzufügen möchten.

Stage Goals

  • Erfahren Sie, welche App-Schutzrichtlinie-Einstellungen für Android verfügbar sind und wie diese Richtlinien in Ihrer Anwendung funktionieren.
  • Machen Sie sich mit den wichtigsten Entscheidungspunkten während des SDK-Integrationsprozesses vertraut, und planen Sie die Integration Ihrer App.
  • Grundlegendes zu den Anforderungen für Anwendungen, die das SDK integrieren.
  • Erstellen Sie einen Test Intune Mandanten, und konfigurieren Sie eine Android-App-Schutzrichtlinie.

Grundlegendes zu MAM

Bevor Sie mit der Integration des Intune App SDK in Ihre Android-Anwendung beginnen, nehmen Sie sich einen Moment Zeit, um sich mit der Verwaltungslösung für mobile Anwendungen von Microsoft Intune vertraut zu machen:

  • Microsoft Intune App-Verwaltung bietet eine allgemeine Übersicht über MAM-Funktionen auf verschiedenen Plattformen und wo Sie diese Features im Microsoft Intune Admin Center finden.
  • Intune App SDK-Übersicht geht eine Ebene tiefer und beschreibt die aktuellen Features des SDK.
  • Einstellungen für Android-App-Schutzrichtlinien beschreiben jede Android-Einstellung im Detail. Ihre App unterstützt diese Einstellungen, indem sie das SDK integriert. Während des SDK-Integrationsprozesses konfigurieren Sie diese Einstellungen auch in Ihrem eigenen Testmandanten für die Überprüfung.

Hinweis

Einige Android App Protection Policy-Einstellungen erfordern spezifischen Code zur Unterstützung. Weitere Informationen finden Sie unter Phase 7: Features für die App-Teilnahme .

Wichtige Entscheidungen für die SDK-Integration

Muss ich meine Bewerbung beim Microsoft Identity Platform registrieren?

Ja, alle Apps, die in das Intune SDK integriert sind, müssen sich beim Microsoft Identity Platform registrieren. Führen Sie die Schritte unter Schnellstart: Registrieren einer App im Microsoft Identity Platform – Microsoft Identity Platform aus.

Habe ich Zugriff auf den Quellcode meiner Anwendung?

Wenn Sie keinen Zugriff auf den Quellcode Ihrer Anwendung haben und nur Zugriff auf die kompilierte Anwendung im .apk- oder AAB-Format haben, können Sie das SDK nicht in Ihre Anwendung integrieren. Ihre Anwendung ist jedoch möglicherweise weiterhin mit Intune App-Schutzrichtlinien kompatibel. Weitere Informationen finden Sie unter App Wrapping Tool für Android.

Sollte meine Anwendung die Microsoft Authentication Library (MSAL) integrieren?

Informationen dazu, ob Ihre Anwendung MSAL integrieren muss, finden Sie unter Übersicht über die Microsoft Authentication Library (MSAL). Die meisten Anwendungen müssen MSAL vor der Integration des Intune SDK integrieren.

Ihre App kann die Integration von MSAL nur überspringen, wenn alle der folgenden Punkte zutreffen:

  • Ihre Anwendung verfügt über keine interaktive Anmelde- und Abmeldeerfahrung für Endbenutzer oder benötigt diese.
  • Ihre Anwendung unterstützt nicht mehrere gleichzeitig angemeldete Konten.
  • Ihre Anwendung muss keine Nicht-Intune-Konten unterstützen.
  • Ihre Anwendung gewährt keinen Zugriff auf Ressourcen, die durch bedingten Zugriff geschützt sind.

Wenn Ihre App alle oben genannten Bedingungen erfüllt und MSAL nicht integriert, kann sie trotzdem durch App-Schutzrichtlinie geschützt werden, wenn auch ohne Option für die nicht verwaltete Verwendung. Weitere Informationen finden Sie unter Standardregistrierung .

Anweisungen zur Integration von MSAL und weitere Details zu Identitätsszenarien in Ihrer Anwendung finden Sie unter Phase 2: Die MSAL-Voraussetzung .

Handelt es sich bei meiner Anwendung um eine einzelne Identität oder um mehrere Identitäten?

Wie behandelt Ihre Anwendung die Benutzerauthentifizierung und Konten ohne unterstützung von Intune App-Schutzrichtlinie?

  • Lässt Ihre Anwendung derzeit nur die Anmeldung eines einzelnen Kontos zu? Erzwingt Ihre Anwendung explizit die Abmeldung des angemeldeten Kontos und das Löschen der Daten des vorherigen Kontos, bevor sie die Anmeldung eines anderen Kontos zulässt? Wenn ja, handelt es sich bei Ihrer Anwendung um eine einzelne Identität.

  • Lässt Ihre Anwendung derzeit die Anmeldung eines zweiten Kontos zu, auch wenn bereits ein anderes Konto angemeldet ist? Zeigt Ihre Anwendung die Daten mehrerer Konten auf einem freigegebenen Bildschirm an? Speichert Ihre Anwendung die Daten mehrerer Konten? Ermöglicht Ihre Anwendung Benutzern den Wechsel zwischen verschiedenen angemeldeten Konten? Wenn dies der Fall ist, handelt es sich bei Ihrer Anwendung um mehrere Identitäten , und Sie müssen Phase 5: Mehrere Identitäten befolgen. Dieser Abschnitt ist für Ihre App erforderlich.

Auch wenn Ihre Anwendung mehrere Identitäten aufweist, befolgen Sie diesen Integrationsleitfaden in der richtigen Reihenfolge. Die anfängliche Integration und Das Testen als einzelne Identität trägt dazu bei, eine ordnungsgemäße Integration sicherzustellen und Fehler zu verhindern, bei denen Unternehmensdaten nicht geschützt werden.

Hat oder benötigt meine Anwendung App Configuration Einstellungen?

Android unterstützt anwendungsspezifische Verwaltungskonfigurationen , die für Anwendungen gelten, die im Android Enterprise-Verwaltungsmodus bereitgestellt werden. Administratoren können diese Anwendungskonfigurationsrichtlinien für verwaltete Android Enterprise-Geräte im Microsoft Intune Admin Center konfigurieren.

Intune unterstützt auch Anwendungskonfigurationen, die unabhängig vom Geräteverwaltungsmodus für SDK-integrierte Anwendungen gelten. Administratoren können diese Anwendungskonfigurationsrichtlinien für verwaltete Apps im Microsoft Intune Admin Center konfigurieren.

Das Intune App SDK unterstützt beide Arten von Anwendungskonfigurationen und stellt eine einzelne API für den Zugriff auf Konfigurationen aus beiden Kanälen bereit. Wenn Ihre Anwendung eine dieser Arten von Anwendungskonfigurationen unterstützt oder unterstützt, müssen Sie Phase 6: App Configuration befolgen.

Muss meine Anwendung einen präzisen Schutz für ein- und ausgehende Daten definieren?

Wenn Ihre App es Benutzern ermöglicht, Daten in Clouddiensten oder an Gerätestandorten zu speichern oder von diesen zu öffnen, müssen Änderungen vorgenommen werden, um eine erweiterte Datenübertragungsrichtlinie zu unterstützen. Weitere Informationen finden Sie unter Richtlinie zum Einschränken der Datenübertragung zwischen Apps und Geräten oder Cloudspeicherorten in Phase 7: Features für die App-Teilnahme.

Zeigt meine Anwendung Benachrichtigungen an, die benutzerspezifische Informationen enthalten?

Apps mit mehreren Identitäten müssen Codeänderungen vornehmen, um die Benachrichtigungsrichtlinie ordnungsgemäß zu berücksichtigen. Apps mit nur einer Identität möchten möglicherweise Codeänderungen vornehmen, damit diese Benachrichtigungsrichtlinie nicht 100 % der Benachrichtigungen ihrer App blockiert. Weitere Informationen finden Sie unter Richtlinie zum Einschränken von Inhalten in Benachrichtigungen in Phase 7: Features für die App-Teilnahme.

Unterstützt meine Anwendung die Sicherungs- und Wiederherstellungsfunktionen von Android?

Android unterstützt Sicherungs- und Wiederherstellungsfunktionen , um Daten und Personalisierung für Benutzer beizubehalten, wenn sie ein Upgrade auf ein neues Gerät durchführen oder Ihre App neu installieren.

Intune unterstützt auch Sicherungs- und Wiederherstellungsfunktionen für SDK-integrierte Anwendungen, um sicherzustellen, dass Unternehmensdaten nicht durch eine Wiederherstellung kompromittiert werden können.

Wenn Ihre App diese Funktionalität unterstützt, müssen Codeänderungen vorgenommen werden, um Unternehmensdaten während der Wiederherstellung zu schützen. Weitere Informationen finden Sie unter Richtlinie zum Schutz von Sicherungsdaten in Phase 7: Features für die App-Teilnahme.

Verfügt meine Anwendung über Ressourcen, die durch bedingten Zugriff geschützt werden sollten?

Bedingter Zugriff ist ein Microsoft Entra ID Feature, das zum Steuern des Zugriffs auf Microsoft Entra Ressourcen verwendet werden kann. Intune Administratoren können ZS-Regeln definieren, die den Ressourcenzugriff nur von Geräten oder Apps zulassen, die von Intune verwaltet werden.

Intune unterstützt zwei Arten von Zertifizierungsstellen: gerätebasierte Zertifizierungsstelle und App-basierte Zertifizierungsstelle, auch bekannt als App-Schutzzertifizierungsstelle. Die gerätebasierte Zertifizierungsstelle blockiert den Zugriff auf geschützte Ressourcen, bis das gesamte Gerät von Intune verwaltet wird. App-basierte Zertifizierungsstelle blockiert den Zugriff auf geschützte Ressourcen, bis die jeweilige App von Intune App-Schutzrichtlinien verwaltet wird.

Wenn Ihre App Microsoft Entra Zugriffstoken abruft und auf Ressourcen zugreift, die durch die Zertifizierungsstelle geschützt werden können, müssen Sie Support App Protection CA in Phase 7: App-Teilnahmefeatures befolgen.

Verfügt meine Anwendung über ein eigenes Design, das auf der gesamten Benutzeroberfläche beibehalten werden muss, die vom Intune App SDK angezeigt wird?

Standardmäßig zeigt das Intune App SDK komponenten der Richtlinienerzwingungs-UI an, die gemäß dem Standarddesign farbig sind.

Die Möglichkeit, das Standarddesign zu überschreiben, ist kosmetisch und optional. Weitere Informationen finden Sie unter Bereitstellen eines benutzerdefinierten Designs in Phase 7: Features für die App-Teilnahme.

Anforderungen

Unternehmensportal-App

Das Intune App SDK für Android basiert auf dem Vorhandensein der Unternehmensportal-App auf dem Gerät, um App-Schutzrichtlinien zu aktivieren. Die Unternehmensportal ruft App-Schutzrichtlinien aus dem Intune-Dienst ab. Wenn eine SDK-integrierte App initialisiert wird, werden Richtlinie und Code geladen, um diese Richtlinie aus dem Unternehmensportal zu erzwingen.

Hinweis

Wenn sich die Unternehmensportal-App nicht auf dem Gerät befindet, verhält sich eine SDK-integrierte App genauso wie eine normale App, die Intune App-Schutzrichtlinien nicht unterstützt. Selbst wenn sich die Unternehmensportal-App auf dem Gerät befindet, verhält sich eine SDK-integrierte App genauso wie eine normale App, wenn der Endbenutzer nicht auf die App-Schutzrichtlinie abzielt.

Der Benutzer muss sich nicht bei der Unternehmensportal App anmelden oder starten, damit die App-Schutzrichtlinie funktioniert.

Android-Versionen

Hinweis

Stellen Sie sicher, dass Ihre App mit den Google Play-Anforderungen kompatibel ist.

Das SDK unterstützt vollständig Android API 28 (Android 9.0) bis Android API 35 (Android 15). Um android API 35 (Android 15) als Ziel zu verwenden, müssen Sie Intune App SDK v11.0.0 oder höher verwenden.

DIE APIs 26 bis 27 (Android 8.0 bis 8.1) werden nur eingeschränkt unterstützt. Die Unternehmensportal-App wird unter Android API 26 (Android 8.0) nicht unterstützt. App-Schutzrichtlinie wird unter Android API 28 (Android 9.0) nicht unterstützt.

Wenn Ihre App auf einer API-Ebene unterhalb von API 28 (Android 9.0) deklariert minSdkVersion wird, blockiert das Intune App SDK die App-Nutzung nicht für Benutzer, die nicht auf die App-Schutzrichtlinie ausgerichtet sind.

Telemetrie

Das Intune App SDK für Android steuert keine Datensammlung aus Ihrer App. Die Unternehmensportal Anwendung protokolliert standardmäßig vom System generierte Daten. Diese Daten werden an Microsoft Intune gesendet. Gemäß der Microsoft-Richtlinie sammelt Intune keine personenbezogenen Daten.

Tipp

Wenn Endbenutzer diese Daten nicht senden möchten, müssen sie die Telemetriedaten in der Unternehmensportal App unter Einstellungen deaktivieren. Weitere Informationen finden Sie unter Deaktivieren der Sammlung von Microsoft-Nutzungsdaten.

Erstellen einer Test-Android-App-Schutzrichtlinie

Einrichtung des Demomandanten

Wenn Sie noch keinen Mandanten mit Ihrem Unternehmen haben, können Sie einen Demomandanten mit oder ohne vorab generierte Daten erstellen. Sie müssen sich als Microsoft-Partner registrieren, um auf Microsoft CDX zugreifen zu können. So erstellen Sie ein neues Konto:

  1. Navigieren Sie zur Website zur Erstellung des Microsoft CDX-Mandanten, und erstellen Sie einen Microsoft 365 Enterprise Mandanten.
  2. Richten Sie Intune ein, um die Verwaltung mobiler Geräte (Mobile Device Management, MDM) zu aktivieren.
  3. Erstellen sie Benutzer.
  4. Erstellen sie Gruppen.
  5. Weisen Sie lizenzen entsprechend Ihren Tests zu.

App-Schutz-Richtlinienkonfiguration

Erstellen und Zuweisen von App-Schutzrichtlinien im Microsoft Intune Admin Center. Zusätzlich zum Erstellen von App-Schutzrichtlinien können Sie eine App-Konfigurationsrichtlinie in Intune erstellen und zuweisen.

Bevor Sie App-Schutzrichtlinieneinstellungen in Ihrer eigenen Anwendung testen, ist es hilfreich, sich mit dem Verhalten dieser Einstellungen in anderen SDK-integrierten Anwendungen vertraut zu machen.

Tipp

Wenn Ihre App nicht im Microsoft Intune Admin Center aufgeführt ist, können Sie eine Richtlinie verwenden, indem Sie die Option Weitere Apps auswählen und den Paketnamen im Textfeld angeben. Sie müssen Für Ihre App eine App-Schutzrichtlinie verwenden und die Richtlinie für einen Benutzer bereitstellen, um Ihre Integration erfolgreich zu testen. Selbst wenn die Richtlinie als Ziel verwendet und bereitgestellt wird, erzwingt Ihre App Richtlinien erst dann ordnungsgemäß, wenn sie das SDK erfolgreich integriert hat.

Exitkriterien

  • Haben Sie sich damit vertraut gemacht, wie sich unterschiedliche App-Schutzrichtlinieneinstellungen in Ihrer Android-Anwendung verhalten werden?
  • Haben Sie Ihre App überprüft und die Integration Ihrer App in Bezug auf MSAL, bedingten Zugriff, Mehrere Identitäten, App Configuration und alle zusätzlichen SDK-Features geplant?
  • Haben Sie eine Android-App-Schutzrichtlinie in Ihrem Testmandanten erstellt?

Häufig gestellte Fragen

Warum ist die Unternehmensportal-App für Anwendungsschutzrichtlinien unter Android erforderlich?

Die Android-Unternehmensportal ruft App-Schutzrichtlinien aus dem Intune-Dienst im Namen aller MAM-fähigen Anwendungen auf dem Gerät ab und speichert diese. Wenn MAM-fähige Anwendungen initialisiert werden, werden Richtliniendetails und Code zum Erzwingen dieser Richtlinieneinstellungen aus dem Unternehmensportal importiert. Die Unternehmensportal enthält auch Code, um die Anzahl der für Endbenutzer angezeigten Authentifizierungsaufforderungen zu reduzieren. Schließlich sammelt der Unternehmensportal Systemdaten, um den Intune Dienst zu verbessern. Weitere Informationen finden Sie unter Telemetrie.

Hinweis

Diese Unternehmensportal Funktionalität für App-Schutzrichtlinie ist spezifisch für Android.

Was geschieht, wenn Für Benutzer mit nicht unterstützten Geräten die App-Schutzrichtlinie verwendet wird?

Die Endbenutzererfahrung auf Android-Geräten, die von Intune App-Schutzrichtlinien nicht unterstützt werden, hängt von der Android-Betriebssystemversion des Geräts ab:

Android-Betriebssystemversionen Google Play-Verhalten MAM-App-Verhalten
Unter Android 8.0 Die Unternehmensportal-App kann nicht von Google Play heruntergeladen werden. Auf Geräten, auf denen das Unternehmensportal bereits installiert ist, kann kein Update auf neue Versionen des Unternehmensportal ausgeführt werden. MAM-Funktionen werden nicht universell blockiert. Da sdk-integrierte Apps jedoch mit neuen Versionen des SDK ausgeliefert werden, werden mamzielorientierte Benutzer daran gehindert, diese Apps zu verwenden, da sie die Unternehmensportal nicht aktualisieren können. Wenn ein Benutzer, für den eine MAM-Richtlinie gilt und sich zuvor bei der App angemeldet hat, eine solche App startet, wird er aufgefordert, das Unternehmensportal zu aktualisieren. Benutzer können dieses Verhalten verringern, indem sie das MAM-Zielkonto aus der Anwendung entfernen. Wenn Benutzer die Unternehmensportal deinstallieren, wird ihr Konto automatisch aus der App entfernt, aber sie können sich nicht wieder mit dem MAM-Zielkonto anmelden.
Android 8.x Die Unternehmensportal-App kann von Google Play heruntergeladen werden. Geräte, auf denen das Unternehmensportal bereits installiert ist, können weiterhin auf neue Versionen des Unternehmensportal aktualisiert werden. MAM-Funktionen werden nicht aktiv blockiert. Android 8.x wird jedoch nicht unterstützt, und MAM-Features funktionieren möglicherweise nicht wie erwartet.

Was ist das App Wrapping-Tool?

Android-App-Entwickler haben mehrere Möglichkeiten, Intune Funktionen in ihre Anwendungen zu integrieren. Zusätzlich zum SDK, das in diesem Leitfaden beschrieben wird, können Entwickler auch die App Wrapping Tool für Android verwenden. Einen ausführlichen Vergleich zwischen dem SDK und dem App Wrapping-Tool finden Sie unter Vorbereiten branchenspezifischer Apps für App-Schutzrichtlinien .

Nächste Schritte

Nachdem Sie alle oben genannten Exitkriterien erfüllt haben, fahren Sie mit Phase 2: Die MSAL-Voraussetzung fort.