SDK da Aplicação Intune para Android – Planear a integração
O SDK da Aplicação Microsoft Intune para Android permite-lhe incorporar Intune políticas de proteção de aplicações (também conhecidas como políticas de APLICAÇÃO ou MAM) na sua aplicação Java/Kotlin Android nativa. Uma aplicação gerida Intune é uma aplicação integrada no SDK da Aplicação Intune. Intune administradores podem facilmente implementar políticas de proteção de aplicações na sua aplicação gerida Intune quando Intune gere ativamente a aplicação.
Fase 1: Planear a Integração
Este guia destina-se a programadores Android que pretendem adicionar suporte para as Políticas de Proteção de Aplicações do Microsoft Intune dentro da aplicação Android existente.
Fase Goals
- Saiba que definições da Política de Proteção de Aplicações estão disponíveis para Android e como estas políticas irão funcionar dentro da sua aplicação.
- Compreenda os pontos de decisão principais durante o processo de integração do SDK e planeie a integração da sua aplicação.
- Compreenda os requisitos das aplicações que integram o SDK.
- Crie um teste Intune inquilino e configure uma Política de Proteção de Aplicações Android.
Compreender a MAM
Antes de começar a integrar o SDK da Aplicação Intune na sua aplicação Android, dedique algum tempo a familiarizar-se com a solução de Gestão de Aplicações Móveis do Microsoft Intune:
- Microsoft Intune gestão de aplicações fornece uma descrição geral de alto nível das capacidades de MAM em diferentes plataformas e onde encontrar estas funcionalidades no centro de administração do Microsoft Intune.
- Intune descrição geral do SDK da Aplicação vai uma camada mais profunda, descrevendo as funcionalidades atuais do SDK.
- As definições de política de proteção de aplicações android descrevem cada definição do Android em detalhe. A sua aplicação irá suportar estas definições ao integrar o SDK. Durante o processo de integração do SDK, também irá configurar estas definições no seu próprio inquilino de teste para validação.
Observação
Algumas definições da Política de Proteção de Aplicações android requerem código específico para suportar. Consulte Fase 7: Funcionalidades de Participação da Aplicação para obter mais detalhes.
Decisões-chave para a integração do SDK
Preciso de registar a minha aplicação no plataforma de identidade da Microsoft?
Sim, todas as aplicações integradas no SDK Intune são necessárias para se registarem no plataforma de identidade da Microsoft. Siga os passos em Início Rápido: Registar uma aplicação no plataforma de identidade da Microsoft - plataforma de identidade da Microsoft.
Tenho acesso ao código fonte da minha aplicação?
Se não tiver acesso ao código fonte da aplicação e só tiver acesso à aplicação compilada no formato .apk ou .aab, não poderá integrar o SDK na sua aplicação. No entanto, a sua aplicação ainda pode ser compatível com Intune políticas de proteção de aplicações. Consulte App Wrapping Tool para Android para obter mais detalhes.
A minha aplicação deve integrar a Biblioteca de Autenticação da Microsoft (MSAL)?
Veja Descrição Geral da Biblioteca de Autenticação da Microsoft (MSAL) para determinar se a sua aplicação terá de integrar o MSAL. A maioria das aplicações tem de integrar o MSAL antes de integrar o SDK Intune.
A sua aplicação só pode ignorar a integração do MSAL se todas as seguintes afirmações forem verdadeiras:
- A sua aplicação não tem ou precisa de uma experiência interativa de utilizador final de início de sessão e de início de sessão.
- A sua aplicação não suporta várias contas com sessão iniciada em simultâneo.
- A sua aplicação não precisa de suportar contas não Intune.
- A sua aplicação não concede acesso a quaisquer recursos protegidos pelo Acesso Condicional.
Se a sua aplicação cumprir todas as condições acima e não integrar a MSAL, ainda pode ser protegida pela Política de Proteção de Aplicações, embora sem qualquer opção de utilização não gerida. Veja Inscrição Predefinida para obter detalhes.
Veja Fase 2: Pré-requisito da MSAL para obter instruções sobre a integração do MSAL e detalhes adicionais sobre cenários de identidade na sua aplicação.
A minha aplicação é de identidade única ou de várias identidades?
Sem Intune suporte da Política de Proteção de Aplicações, como é que a sua aplicação processa a autenticação de utilizador e as contas?
Atualmente, a sua aplicação só permite que uma única conta tenha sessão iniciada? A sua aplicação força explicitamente a conta com sessão iniciada a terminar sessão e a eliminar os dados dessa conta anterior antes de permitir que outra conta inicie sessão? Em caso afirmativo, a sua aplicação é de identidade única.
Atualmente, a sua aplicação permite que uma segunda conta inicie sessão, mesmo que já tenha sessão iniciada uma conta diferente? A sua aplicação apresenta os dados de várias contas num ecrã partilhado? A sua aplicação armazena os dados de várias contas? A sua aplicação permite que os utilizadores alternem entre contas com sessão iniciada diferente? Se for o caso, a sua aplicação tem várias identidades e terá de seguir a Fase 5: Identidade Múltipla. Esta secção é necessária para a sua aplicação.
Mesmo que a sua aplicação seja de várias identidades, siga este guia de integração por ordem. Inicialmente, a integração e o teste como identidade única ajudarão a garantir uma integração adequada e a evitar erros em que os dados empresariais acabam por ficar desprotegidos.
A minha aplicação tem ou precisa de definições de Configuração de Aplicativos?
O Android suporta configurações de gestão específicas de aplicações que se aplicam a aplicações implementadas nos modos de gestão do Android Enterprise. Os administradores podem configurar estas políticas de configuração de aplicações para dispositivos Android Enterprise geridos no centro de administração do Microsoft Intune.
Intune também suporta configurações de aplicações que se aplicam a aplicações integradas no SDK, independentemente do modo de gestão de dispositivos. Os administradores podem configurar estas políticas de configuração de aplicações para aplicações geridas no centro de administração do Microsoft Intune.
O SDK da Aplicação Intune suporta ambos os tipos de configuração de aplicações e fornece uma única API para aceder às configurações de ambos os canais. Se a sua aplicação tiver ou suportar qualquer um destes tipos de configuração de aplicação, terá de seguir a Fase 6: Configuração de Aplicativos.
A minha aplicação precisa de definir proteção granular para entrada e saída de dados?
Se a sua aplicação permitir que os utilizadores guardem dados ou abram dados de serviços cloud ou em localizações de dispositivos, tem de fazer alterações para suportar a política de transferência de dados melhorada. Veja Política para limitar a transferência de dados entre aplicações e localizações de armazenamento na cloud ou dispositivo na Fase 7: Funcionalidades de Participação de Aplicações.
A minha aplicação apresenta notificações que contêm informações específicas do utilizador?
As aplicações de várias identidades têm de efetuar alterações de código para respeitar corretamente a política de notificação. As aplicações de identidade única podem querer fazer alterações de código para que esta política de notificação não bloqueie 100% das notificações da aplicação. Veja Política para restringir conteúdo dentro de notificações na Fase 7: Funcionalidades de Participação de Aplicações.
A minha aplicação suporta a funcionalidade de cópia de segurança e restauro do Android?
O Android suporta a funcionalidade de cópia de segurança e restauro para preservar os dados e a personalização dos utilizadores quando atualizam para um novo dispositivo ou reinstalam a sua aplicação.
Intune também suporta a funcionalidade de cópia de segurança e restauro para aplicações integradas no SDK, para garantir que os dados empresariais não podem ser vazados através de um restauro.
Se a sua aplicação suportar esta funcionalidade, terá de efetuar alterações de código para proteger os dados empresariais durante o restauro. Veja Política para proteger dados de cópia de segurança na Fase 7: Funcionalidades de Participação de Aplicações.
A minha aplicação tem recursos que devem ser protegidos pelo Acesso Condicional?
O Acesso Condicional (AC) é uma funcionalidade Microsoft Entra ID que pode ser utilizada para controlar o acesso a recursos Microsoft Entra. Intune administradores podem definir regras de AC que permitem o acesso a recursos apenas a partir de dispositivos ou aplicações que são geridos por Intune.
Intune suporta dois tipos de AC: AC baseada em dispositivos e AC baseada em aplicações, também conhecida como AC de Proteção de Aplicações. A AC baseada no dispositivo bloqueia o acesso a recursos protegidos até que todo o dispositivo seja gerido por Intune. A AC baseada na aplicação bloqueia o acesso a recursos protegidos até que a aplicação específica seja gerida pelas Políticas de Proteção de Aplicações Intune.
Se a sua aplicação adquirir qualquer Microsoft Entra tokens de acesso e aceder a recursos que possam ser protegidos por AC, terá de seguir a AC de Proteção de Aplicações de Suporte na Fase 7: Funcionalidades de Participação de Aplicações.
A minha aplicação tem um tema distinto que tem de persistir na IU mostrado pelo SDK da Aplicação Intune?
Por predefinição, o SDK da Aplicação Intune apresentará componentes da IU de imposição de políticas coloridos de acordo com o tema predefinido.
A capacidade de substituir o tema predefinido é cosmética e opcional. Consulte Fornecer um Tema Personalizado na Fase 7: Funcionalidades de Participação da Aplicação.
Requisitos
Aplicativo do Portal da Empresa
O SDK da Aplicação Intune para Android depende da presença da aplicação Portal da Empresa no dispositivo para ativar as políticas de proteção de aplicações. O Portal da Empresa obtém as políticas de proteção de aplicações do serviço Intune. Quando uma aplicação integrada no SDK inicializa, carrega a política e o código para impor essa política a partir do Portal da Empresa.
Observação
Quando a aplicação Portal da Empresa não está no dispositivo, uma aplicação integrada no SDK comporta-se da mesma forma que uma aplicação normal que não suporta Intune políticas de proteção de aplicações. Mesmo que a aplicação Portal da Empresa esteja no dispositivo, uma aplicação integrada no SDK tem o mesmo comportamento normal quando o utilizador final não é visado pela política de proteção de aplicações.
O utilizador não tem de iniciar sessão nem iniciar a aplicação Portal da Empresa para que a Política de Proteção de Aplicações funcione.
Versões do Android
Observação
Certifique-se de que a sua aplicação é compatível com os requisitos do Google Play.
O SDK suporta totalmente a API Android 28 (Android 9.0) através da API 35 do Android (Android 15).
Para ter como destino a API Android 35 (Android 15), tem de utilizar Intune SDK v11.0.0
da Aplicação ou posterior.
As APIs 26 a 27 (Android 8.0 - 8.1) têm suporte limitado. A aplicação Portal da Empresa não é suportada abaixo da API 26 do Android (Android 8.0). A Política de Proteção de Aplicações não é suportada abaixo da API Android 28 (Android 9.0).
Se a aplicação declarar minSdkVersion
um nível de API abaixo da API 28 (Android 9.0), o SDK da Aplicação Intune não bloqueará a utilização de aplicações para utilizadores que não são visados pela Política de Proteção de Aplicações.
Telemetria
O SDK da Aplicação Intune para Android não controla a recolha de dados da sua aplicação. A Portal da Empresa aplicação regista os dados gerados pelo sistema por predefinição. Estes dados são enviados para Microsoft Intune. De acordo com o Microsoft Policy, Intune não recolhe quaisquer dados pessoais.
Dica
Se os utilizadores finais optarem por não enviar estes dados, têm de desativar a telemetria em Definições na aplicação Portal da Empresa. Para saber mais, consulte Desativar a recolha de dados de utilização da Microsoft.
Criar uma política de proteção de aplicações Android de teste
Configuração do inquilino de demonstração
Se ainda não tiver um inquilino com a sua empresa, pode criar um inquilino de demonstração com ou sem dados pré-gerados. Tem de se registar como parceiro da Microsoft para aceder ao Microsoft CDX. Para criar uma nova conta:
- Navegue para o site de criação de inquilinos do Microsoft CDX e crie um inquilino Microsoft 365 Enterprise.
- Configure Intune para ativar a gestão de dispositivos móveis (MDM).
- Criar utilizadores.
- Criar grupos.
- Atribua licenças conforme adequado para o teste.
configuração da política de Proteção de aplicativos
Crie e atribua políticas de proteção de aplicações no centro de administração do Microsoft Intune. Além de criar políticas de proteção de aplicações, pode criar e atribuir uma política de configuração de aplicações no Intune.
Antes de testar as definições de política de proteção de aplicações na sua própria aplicação, é útil familiarizar-se com o comportamento destas definições noutras aplicações integradas no SDK.
Dica
Se a sua aplicação não estiver listada no centro de administração do Microsoft Intune, pode direcioná-la para uma política ao selecionar a opção mais aplicações e ao fornecer o nome do pacote na caixa de texto. Tem de direcionar a sua aplicação para a política de proteção de aplicações e implementar a política num utilizador para testar com êxito a sua integração. Mesmo que a política seja direcionada e implementada, a sua aplicação não irá impor corretamente as políticas até que tenha integrado com êxito o SDK.
Critérios de Saída
- Já se familiarizou com o comportamento das diferentes definições de política de proteção de aplicações na sua aplicação Android?
- Reviu a sua aplicação e planeou a integração da sua aplicação em msAL, Acesso Condicional, Identidade Múltipla, Configuração de Aplicativos e todas as funcionalidades adicionais do SDK?
- Criou uma política de proteção de aplicações Android no seu inquilino de teste?
Perguntas frequentes
Porque é que a aplicação Portal da Empresa é necessária para políticas de proteção de aplicações no Android?
O Portal da Empresa Android obtém e mantém as políticas de proteção de aplicações do serviço de Intune em nome de todas as aplicações com MAM ativada no dispositivo. Quando as aplicações com MAM ativadas inicializam, os detalhes da política e o código para impor essas definições de política são importados do Portal da Empresa. O Portal da Empresa também contém código para reduzir o número de pedidos de autenticação apresentados aos utilizadores finais. Por fim, o Portal da Empresa recolhe dados do sistema para melhorar o serviço Intune; veja Telemetria para obter detalhes.
Observação
Esta Portal da Empresa funcionalidade da política de proteção de aplicações é específica do Android.
O que acontece quando os utilizadores com dispositivos não suportados têm a Política de Proteção de Aplicações direcionada?
A experiência do utilizador final em dispositivos Android não suportadas pelo Intune políticas de proteção de aplicações depende da versão do SO Android do dispositivo:
Versões do SO Android | Comportamento do Google Play | Comportamento da aplicação MAM |
---|---|---|
Abaixo do Android 8.0 | A aplicação Portal da Empresa não estará disponível para transferência a partir do Google Play. Os dispositivos que já têm o Portal da Empresa instalado não poderão atualizar para novas versões do Portal da Empresa. | A funcionalidade MAM não será bloqueada universalmente. No entanto, à medida que as aplicações integradas no SDK são enviadas com novas versões do SDK, os utilizadores visados pela MAM serão impedidos de entrar nestas aplicações, uma vez que não podem atualizar o Portal da Empresa. Quando um utilizador, que tem a política de MAM direcionada e iniciou sessão anteriormente na aplicação, inicia essa aplicação, ser-lhe-á pedido que atualize o Portal da Empresa. Os utilizadores podem mitigar este comportamento ao remover a conta de destino de MAM da aplicação. Se os utilizadores desinstalarem o Portal da Empresa, a conta será automaticamente removida da aplicação, mas não poderão voltar a iniciar sessão com a conta de destino da MAM. |
Android 8.x | A aplicação Portal da Empresa estará disponível para transferência a partir do Google Play. Os dispositivos que já têm a Portal da Empresa instalada continuarão a poder atualizar para novas versões do Portal da Empresa. | A funcionalidade MAM não está ativamente bloqueada. No entanto, o Android 8.x não é suportado e as funcionalidades de MAM podem não funcionar conforme esperado. |
O que é a ferramenta de Encapsulamento de Aplicações?
Os programadores de aplicações Android têm várias formas de integrar Intune funcionalidade nas respetivas aplicações. Além do SDK, que este guia descreve, os programadores também podem utilizar o App Wrapping Tool para Android. Veja Preparar aplicações de linha de negócio para políticas de proteção de aplicações para obter uma comparação detalhada entre o SDK e a ferramenta de Encapsulamento de Aplicações.
Próximas etapas
Depois de concluir todos os Critérios de Saída acima, avance para a Fase 2: o Pré-requisito do MSAL.