Поделиться через


Этап 2. Предварительные требования и настройка MSAL

Пакет SDK для приложений Intune использует библиотеку проверки подлинности Майкрософт для сценариев проверки подлинности и условного запуска. Он также использует MSAL для регистрации удостоверения пользователя в службе MAM для управления без регистрации устройств.

Примечание.

Это руководство разделено на несколько отдельных этапов. Для начала ознакомьтесь со статьей Этап 1. Планирование интеграции.

Этап Goals

  • Зарегистрируйте приложение в Microsoft Entra ID.
  • Интеграция MSAL с приложением iOS.
  • Убедитесь, что приложение может получить маркер, предоставляющий доступ к защищенным ресурсам.

Настройка и настройка регистрации приложения Microsoft Entra

MSAL требует, чтобы приложения регистрировались с помощью Microsoft Entra ID и создавали уникальный идентификатор клиента и URI перенаправления, чтобы гарантировать безопасность маркеров, предоставленных приложению. Если приложение уже использует MSAL для собственной проверки подлинности, с приложением уже должен быть связан URI регистрации, идентификатора клиента или перенаправления Microsoft Entra.

Если приложение еще не использует MSAL, необходимо настроить регистрацию приложения в Microsoft Entra ID и указать идентификатор клиента и URI перенаправления, который должен использовать пакет SDK для Intune.

Если в настоящее время приложение использует ADAL для проверки подлинности пользователей, дополнительные сведения о переносе приложения из ADAL в MSAL для iOS и macOS см. в статье Миграция приложений в MSAL .

Рекомендуется, чтобы приложение ссылалось на последний выпуск MSAL.

Следуйте инструкциям в разделе установки , чтобы поместить двоичные файлы MSAL в приложение.

Настройка MSAL

Следуйте инструкциям в разделе конфигурации , чтобы настроить MSAL. Убедитесь, что вы выполните все действия, описанные в разделе конфигурации. Игнорируйте первый шаг, если приложение уже зарегистрировано в Microsoft Entra ID.

В приведенных ниже пунктах содержатся дополнительные сведения о настройке MSAL и ссылка на нее. Следуйте этим инструкциям, если они относятся к вашему приложению.

  • Если в вашем приложении не определены связка ключей группы доступа, добавьте идентификатор пакета приложения в качестве первой группы.
  • Включите единый вход MSAL, добавив com.microsoft.adalcache в группы доступа связка ключей.
  • Если вы явно задаете общий кэш MSAL связка ключей группу, убедитесь, что для него задано значение <appidprefix>.com.microsoft.adalcache. MSAL установит это значение, если вы не переопределите его. Если вы хотите указать пользовательскую группу связка ключей для замены com.microsoft.adalcache, укажите ее в файле Info.plist в разделе IntuneMAMSettings с помощью ключа ADALCacheKeychainGroupOverride.

Настройка параметров MSAL для пакета SDK для приложений Intune

После настройки регистрации приложения в Microsoft Entra ID вы можете настроить пакет SDK для Intune приложений, чтобы использовать параметры из регистрации приложения во время проверки подлинности Microsoft Entra ID. Сведения о заполнении следующих параметров см. в статье Настройка параметров пакета SDK для Intune приложений:

  • ADALClientId
  • ADALAuthority
  • ADALRedirectUri
  • ADALRedirectScheme
  • ADALCacheKeychainGroupOverride

Требуются следующие конфигурации:

  1. В файле Info.plist проекта в словаре IntuneMAMSettings с именем ADALClientIdключа укажите идентификатор клиента, который будет использоваться для вызовов MSAL.

  2. Если Microsoft Entra регистрация приложения, сопоставленная с идентификатором клиента, настроенным на шаге 1, настроена для использования только в одном клиенте Microsoft Entra, настройте ADALAuthority ключ в словаре IntuneMAMSettings в файле Info.plist приложения. Укажите центр Microsoft Entra, который будет использоваться MSAL для получения маркеров для службы управления мобильными приложениями Intune.

  3. Кроме того, в словаре IntuneMAMSettings с именем ADALRedirectUriключа укажите URI перенаправления, который будет использоваться для вызовов MSAL. Кроме того, вместо этого можно указать ADALRedirectScheme , если URI перенаправления приложения имеет формат scheme://bundle_id.

    Кроме того, приложения могут переопределить эти Microsoft Entra параметры во время выполнения. Для этого просто задайте aadAuthorityUriOverrideсвойства , aadClientIdOverrideи aadRedirectUriOverride для IntuneMAMSettings класса .

  4. Убедитесь, что выполнены действия, чтобы предоставить приложению iOS разрешения для службы управления мобильными приложениями (MAM) Intune. Используйте инструкции из руководства по началу работы с пакетом SDK для Intune в разделе Предоставление приложению доступа к службе управления мобильными приложениями Intune.

    Примечание.

    Если политика защиты приложений связана с управляемыми устройствами, также необходимо создать профиль конфигурации приложения с Intune интегрированным.

    Подход Info.plist рекомендуется использовать для всех параметров, которые являются статическими и не должны определяться во время выполнения. Значения, назначенные свойствам IntuneMAMSettings класса во время выполнения, имеют приоритет над любыми соответствующими значениями, указанными в Info.plist, и сохраняются даже после перезапуска приложения. Пакет SDK будет продолжать использовать их для проверка политик до тех пор, пока пользователь не будет отменен или не будет очищен или изменен.

Особые рекомендации при использовании MSAL для проверки подлинности, инициированной приложением

Рекомендуется, чтобы приложения не использовали SFSafariViewController, SFAuthenticationSession или ASWebAuthenticationSession в качестве веб-представления для любых операций интерактивной проверки подлинности MSAL, инициированных приложением. По умолчанию MSAL использует ASWebAuthenticationSession, поэтому разработчикам приложений следует явно задать тип веб-представления WKWebView. Если по какой-либо причине ваше приложение должно использовать тип веб-представления, отличный от WKWebView, для любых интерактивных операций проверки подлинности MSAL, оно также должно задать значение SafariViewControllerBlockedOverridetrue в IntuneMAMSettings словаре в info.plist приложения.

Предупреждение

Это отключит перехватчики SafariViewController Intune для включения сеанса проверки подлинности. Это рискует утечкой данных в другом месте приложения, если приложение использует SafariViewController для просмотра корпоративных данных, поэтому приложение не должно отображать корпоративные данные ни в одном из этих типов веб-представлений.

Условия выхода

  • Зарегистрировано ли приложение на странице регистрации приложения Microsoft Entra?
  • Интегрируете ли вы MSAL в приложение?
  • Вы включили проверку подлинности брокера, создав URI перенаправления и задав его в файле конфигурации MSAL?
  • Убедились ли вы, что необходимые сведения о конфигурации для MSAL в словаре IntuneMAMSettings совпадают с данными в Microsoft Entra регистрации приложений?

Вопросы и ответы

Как насчет ADAL?

Предыдущая библиотека проверки подлинности Майкрософт, библиотека проверки подлинности Azure Active Directory (ADAL),устарела.

Если приложение уже интегрировало ADAL, см. статью Обновление приложений для использования библиотеки проверки подлинности Майкрософт (MSAL). Сведения о переносе приложения из ADAL в MSAL см. в статье Перенос приложений в MSAL для iOS и macOS.

Перед интеграцией пакета SDK для приложений для Intune рекомендуется выполнить миграцию с ADAL на MSAL.

Дальнейшие действия

После выполнения всех описанных выше условий выхода перейдите к этапу 3: Intune интеграции пакета SDK в приложение iOS.