次の方法で共有

Intune App SDK for Android - MSAL の前提条件について

  • [アーティクル]

Microsoft Intune App SDK for Android を使用すると、Intuneアプリ保護ポリシー (APP または MAM ポリシーとも呼ばれます) をネイティブの Java/Kotlin Android アプリに組み込むことができます。 Intuneマネージド アプリケーションは、Intune App SDK と統合されたアプリケーションです。 Intune管理者は、アプリをアクティブに管理する場合に、Intuneマネージド アプリにアプリ保護ポリシー Intune簡単にデプロイできます。

注:

このガイドは、いくつかの異なるステージに分かれています。 まず、「 ステージ 1: 統合を計画する」を確認します。

ステージ 2: MSAL の前提条件

ステージ Goals

  • アプリケーションをMicrosoft Entra IDに登録します。
  • MSAL を Android アプリケーションに統合します。
  • アプリケーションが、保護されたリソースへのアクセスを許可するトークンを取得できることを確認します。

背景

Microsoft 認証ライブラリ (MSAL) を使用すると、Microsoft Entra IDと Microsoft アカウントをサポートすることで、アプリケーションで Microsoft Cloud を使用できるようになります

MSAL は、Intuneに固有ではありません。 IntuneはMicrosoft Entra IDに依存します。すべてのIntune ユーザー アカウントはMicrosoft Entra アカウントです。 その結果、Intune App SDK を統合する Android アプリケーションの大部分は、前提条件として MSAL を統合する必要があります。

SDK ガイドのこのステージでは、INTUNEに関連する MSAL 統合プロセスの概要を説明します。リンクされた MSAL ガイドに完全に従ってください

Intune App SDK 統合プロセスを簡略化するために、Android アプリ開発者は、Intune App SDK をダウンロードする前に MSAL を完全に統合してテストすることを強くお勧めします。Intune App SDK 統合プロセスでは、MSAL トークンの取得に関するコードの変更が必要です。 アプリの元のトークン取得の実装が期待どおりに動作することを既に確認している場合は、Intune固有のトークン取得の変更をテストする方が簡単になります。

Microsoft Entra IDの詳細については、「Microsoft Entra IDとは」を参照してください。

MSAL の詳細については、 MSAL WikiMSAL ライブラリの一覧を参照してください。

アプリケーションをMicrosoft Entra IDに登録する

MSAL を Android アプリケーションに統合する前に、すべてのアプリをMicrosoft ID プラットフォームに登録する必要があります。 「クイック スタート: Microsoft ID プラットフォーム - Microsoft ID プラットフォームにアプリを登録する」の手順に従います。 これにより、アプリケーションの クライアント ID が 生成されます。

次に、指示に従って、アプリに Intune Mobile App Management サービスへのアクセス権を付与します。

Microsoft 認証ライブラリ (MSAL) を構成する

まず、 GitHub の MSAL リポジトリにある MSAL 統合ガイドライン、具体的には MSAL を使用するセクションを参照してください。

このガイドでは、次の方法について説明します。

  • ANDROID アプリケーションに依存関係として MSAL を追加します。
  • MSAL 構成ファイルを作成します。
  • アプリケーションの AndroidManifest.xmlを構成します。
  • トークンを取得するコードを追加します。

ブローカー認証

シングル サインオン (SSO) を使用すると、ユーザーは資格情報を 1 回だけ入力でき、これらの資格情報はアプリケーション間で自動的に機能します。 MSAL では、アプリスイート全体で SSO を有効にすることができます。ブローカー アプリケーション (Microsoft Authenticator または Microsoft Intune ポータル サイト) を使用すると、デバイス全体で SSO を拡張できます。 条件付きアクセスには、ブローカー認証も必要です。 ブローカー認証の詳細については、「 MSAL を使用して Android でアプリ間 SSO を有効にする 」を参照してください。

このガイドでは、上記のリンクの手順に従って、アプリケーション内でブローカー認証を有効にしていることを前提としています。特に 、ブローカーのリダイレクト URI を生成 し、構成に ブローカーを使用するように MSAL を構成 し、テスト用 にブローカー統合を確認 します。

アプリケーションでブローカー認証を有効にしていない場合は、Intune固有の MSAL 構成に特に注意してください。

Intune固有の MSAL 環境の構成

既定では、IntuneはMicrosoft Entraパブリック環境からトークンを要求します。 アプリケーションでソブリン クラウドなどの既定以外の環境が必要な場合は、次の設定をアプリケーションの AndroidManifest.xmlに追加する必要があります。 設定すると、入力したMicrosoft Entra機関がアプリケーションのトークンを発行します。 これにより、Intuneの認証ポリシーが適切に適用されます。

<meta-data
    android:name="com.microsoft.intune.mam.aad.Authority"
    android:value="https://AAD authority/" />

注意

ほとんどのアプリでは、Authority パラメーターを設定しないでください。 さらに、MSAL を統合しないアプリケーションでは、マニフェストにこのプロパティを含 めないでください

Intune固有ではない MSAL 構成オプションの詳細については、「Android Microsoft Authentication Library 構成ファイル」を参照してください。

ソブリン クラウドの詳細については、「 国内クラウド環境での MSAL の使用」を参照してください。

終了条件

  • MSAL をアプリケーションに統合しましたか?
  • リダイレクト URI を生成し、MSAL 構成ファイルに設定することで、ブローカー認証を有効にしましたか?
  • AndroidManifest.xmlでIntune固有の MSAL 設定を構成しましたか?
  • ブローカー認証をテストし、職場アカウントが Android のアカウント マネージャーに追加されていることを確認し、他の Microsoft 365 アプリとの SSO をテストしましたか?
  • 条件付きアクセスを実装した場合、CA の実装を検証するために、デバイス ベースの CA とアプリベースの CA の両方をテストしましたか?

FAQ

ADAL はどうですか?

Microsoft の以前の認証ライブラリ である Azure Active Directory 認証ライブラリ (ADAL)非推奨になりました

アプリケーションが既に ADAL を統合している場合は、「 Microsoft Authentication Library (MSAL) を使用するようにアプリケーションを更新する」を参照してください。 アプリを ADAL から MSAL に移行するには、「 Android ADAL を MSAL に移行する 」と「 ADAL と MSAL の違い」を参照してください。

Intune App SDK を統合する前に、ADAL から MSAL に移行することをお勧めします。

次の手順

上記のすべての終了条件を完了したら、「ステージ 3: MAM を使用したはじめに」に進みます。