Udostępnij za pośrednictwem

zestaw SDK aplikacji Intune dla systemu Android — omówienie wymagań wstępnych msal

  • Artykuł

Zestaw SDK aplikacji Microsoft Intune dla systemu Android umożliwia włączenie Intune zasad ochrony aplikacji (znanych również jako zasady aplikacji lub zarządzania aplikacjami mobilnymi) do natywnej aplikacji Java/Kotlin dla systemu Android. Aplikacja zarządzana Intune jest zintegrowana z zestawem Intune App SDK. Intune administratorzy mogą łatwo wdrażać zasady ochrony aplikacji w aplikacji zarządzanej Intune, gdy Intune aktywnie zarządza aplikacją.

Uwaga

Ten przewodnik jest podzielony na kilka odrębnych etapów. Zacznij od przejrzenia etapu 1. Planowanie integracji.

Etap 2. Wymaganie wstępne msal

Goals etapów

  • Zarejestruj aplikację przy użyciu Tożsamość Microsoft Entra.
  • Integrowanie biblioteki MSAL z aplikacją systemu Android.
  • Sprawdź, czy aplikacja może uzyskać token, który udziela dostępu do chronionych zasobów.

Tło

Biblioteka uwierzytelniania firmy Microsoft (MSAL) umożliwia aplikacji korzystanie z chmury firmy Microsoft przez obsługę kont Tożsamość Microsoft Entra i Microsoft.

Biblioteka MSAL nie jest specyficzna dla Intune. Intune jest zależna od Tożsamość Microsoft Entra. Wszystkie konta użytkowników Intune są Microsoft Entra kontami. W związku z tym zdecydowana większość aplikacji systemu Android, które integrują zestaw Intune App SDK, będzie musiała zintegrować bibliotekę MSAL jako warunek wstępny.

Ten etap przewodnika zestawu SDK zawiera omówienie procesu integracji msal w odniesieniu do Intune; postępuj zgodnie z połączonymi przewodnikami MSAL w całości.

Aby uprościć proces integracji zestawu Intune App SDK, deweloperzy aplikacji systemu Android są zdecydowanie zachęcani do pełnej integracji i testowania biblioteki MSAL przed pobraniem zestawu Intune App SDK.Proces integracji zestawu Intune App SDK wymaga zmian kodu dotyczących pozyskiwania tokenu MSAL. Łatwiej będzie przetestować zmiany pozyskiwania tokenów specyficzne dla Intune, jeśli już potwierdzono, że oryginalna implementacja pozyskiwania tokenu aplikacji działa zgodnie z oczekiwaniami.

Aby dowiedzieć się więcej na temat Tożsamość Microsoft Entra, zobacz Co to jest Tożsamość Microsoft Entra?

Aby dowiedzieć się więcej na temat biblioteki MSAL, zobacz witrynę typu wiki msal i listę bibliotek MSAL.

Rejestrowanie aplikacji przy użyciu Tożsamość Microsoft Entra

Przed zintegrowaniem biblioteki MSAL z aplikacją systemu Android wszystkie aplikacje muszą zarejestrować się w Platforma tożsamości Microsoft. Wykonaj kroki opisane w przewodniku Szybki start: rejestrowanie aplikacji w Platforma tożsamości Microsoft — Platforma tożsamości Microsoft. Spowoduje to wygenerowanie identyfikatora klienta dla aplikacji.

Następnie postępuj zgodnie z instrukcjami, aby zapewnić aplikacji dostęp do usługi Intune Mobile App Management.

Konfigurowanie biblioteki uwierzytelniania firmy Microsoft (MSAL)

Najpierw zapoznaj się z wytycznymi dotyczącymi integracji msal znajdującymi się w repozytorium MSAL w witrynie GitHub, w szczególności w sekcji przy użyciu biblioteki MSAL.

W tym przewodniku opisano sposób wykonywania następujących czynności:

  • Dodaj msal jako zależność do aplikacji systemu Android.
  • Utwórz plik konfiguracji MSAL.
  • Skonfiguruj AndroidManifest.xmlplik aplikacji .
  • Dodaj kod w celu uzyskania tokenu.

Uwierzytelnianie obsługiwane przez brokera

Logowanie jednokrotne (SSO) umożliwia użytkownikom wprowadzanie poświadczeń tylko raz i automatyczne działanie tych poświadczeń w aplikacjach. Usługa MSAL może włączyć logowanie jednokrotne w całym zestawie aplikacji; Za pomocą aplikacji brokera (Microsoft Authenticator lub Microsoft Intune Portal firmy) można rozszerzyć logowania jednokrotnego na całym urządzeniu. Uwierzytelnianie obsługiwane przez brokera jest również wymagane w przypadku dostępu warunkowego. Aby uzyskać więcej informacji na temat uwierzytelniania obsługiwanego przez brokera, zobacz Włączanie logowania jednokrotnego między aplikacjami w systemie Android przy użyciu biblioteki MSAL .

W tym przewodniku założono, że włączasz uwierzytelnianie obsługiwane przez brokera w aplikacjach, wykonując kroki opisane w powyższym linku, w szczególności wygeneruj identyfikator URI przekierowania dla brokera i skonfiguruj msal do korzystania z brokera na potrzeby konfiguracji i weryfikacji integracji brokera na potrzeby testowania.

Jeśli nie włączasz uwierzytelniania obsługiwanego przez brokera w aplikacji, zwróć szczególną uwagę na konfigurację msal specyficzną dla Intune.

konfiguracja środowiska MSAL specyficzna dla Intune

Domyślnie Intune będzie żądać tokenów ze środowiska publicznego Microsoft Entra. Jeśli aplikacja wymaga środowiska nie domyślnego, takiego jak suwerenna chmura AndroidManifest.xml, następujące ustawienie musi zostać dodane do aplikacji . Po ustawieniu wprowadzony urząd Microsoft Entra wystawi tokeny dla aplikacji. Dzięki temu zasady uwierzytelniania Intune są prawidłowo wymuszane.

<meta-data
    android:name="com.microsoft.intune.mam.aad.Authority"
    android:value="https://AAD authority/" />

Uwaga

Większość aplikacji nie powinna ustawiać parametru Urząd. Ponadto aplikacje, które nie integrują biblioteki MSAL, nie mogą uwzględniać tej właściwości w manifeście.

Aby uzyskać więcej szczegółów na temat opcji konfiguracji msal specyficznych dla Intune, zobacz Plik konfiguracji biblioteki uwierzytelniania microsoft systemu Android.

Aby uzyskać więcej szczegółów na temat suwerennych chmur, zobacz Korzystanie z biblioteki MSAL w środowisku chmury krajowej.

Kryteria zakończenia

  • Czy zintegrowano usługę MSAL z aplikacją?
  • Czy włączono uwierzytelnianie brokera przez wygenerowanie identyfikatora URI przekierowania i ustawienie go w pliku konfiguracji MSAL?
  • Czy skonfigurowano ustawienia msal specyficzne dla Intune w AndroidManifest.xmlpliku ?
  • Czy przetestowano uwierzytelnianie obsługiwane przez brokera, potwierdzono, że konto służbowe zostało dodane do Menedżera konta systemu Android i przetestowano logowania jednokrotnego z innymi aplikacjami platformy Microsoft 365?
  • Czy w przypadku zaimplementowania dostępu warunkowego przetestowano zarówno urząd certyfikacji oparty na urządzeniach, jak i urząd certyfikacji oparty na aplikacji w celu zweryfikowania implementacji urzędu certyfikacji?

Często zadawane pytania

A co z biblioteką ADAL?

Poprzednia biblioteka uwierzytelniania firmy Microsoft, Biblioteka uwierzytelniania usługi Azure Active Directory (ADAL), jest przestarzała.

Jeśli twoja aplikacja ma już zintegrowaną bibliotekę ADAL, zobacz Aktualizowanie aplikacji w celu korzystania z biblioteki uwierzytelniania firmy Microsoft (MSAL). Aby przeprowadzić migrację aplikacji z biblioteki ADAL do biblioteki MSAL, zobacz Migrowanie biblioteki ADAL systemu Android do biblioteki MSAL i różnice między biblioteką ADAL i biblioteką MSAL.

Zaleca się przeprowadzenie migracji z biblioteki ADAL do biblioteki MSAL przed zintegrowaniem zestawu Intune App SDK.

Następne kroki

Po zakończeniu wszystkich powyższych kryteriów zakończenia przejdź do etapu 3: Wprowadzenie z aplikacjami mobilnymi.