Intune适用于 iOS 的应用 SDK - 规划集成

使用适用于 iOS 的 Microsoft Intune App SDK,可以将Intune应用保护策略 (也称为应用或 MAM 策略) 合并到本机 iOS 应用中。 已启用 MAM 的应用程序是与 Intune 应用 SDK 集成的应用程序。 当Intune主动管理应用时,IT 管理员可以将应用保护策略部署到移动应用。

重要

Intune定期发布Intune应用 SDK 的更新。 建议订阅Intune应用 SDK 存储库以获取更新,以便将更新合并到软件开发发布周期,并确保应用支持最新的应用保护策略设置。

计划在每个主要 OS 版本之前执行强制Intune应用 SDK 更新,以确保应用继续顺利运行,因为 OS 更新可能会导致中断性变更。 如果未在主要 OS 版本之前更新到最新版本,则可能会遇到中断性变更和/或无法将应用保护策略应用到应用的风险。

阶段 1:规划集成

本指南面向希望在其现有 iOS 应用中添加对Microsoft Intune应用保护策略的支持的 iOS 开发人员。

阶段Goals

  • 了解哪些应用保护策略设置可用于 iOS,以及这些策略如何在应用程序中工作。
  • 了解 SDK 集成过程中的关键决策点,并规划应用的集成。
  • 了解集成 SDK 的应用程序的要求。
  • 创建测试Intune租户并配置 iOS 应用保护策略。

了解 MAM

在开始将 Intune App SDK 集成到 iOS 应用程序之前,请花点时间熟悉Microsoft Intune的移动应用程序管理解决方案:

SDK 集成的关键决策

是否需要将应用程序注册到 Microsoft 标识平台?

是的,与 Intune SDK 集成的所有应用都需要注册到 Microsoft 标识平台。 请按照快速入门:在 Microsoft 标识平台 - Microsoft 标识平台 中注册应用中的步骤操作。

我是否有权访问应用程序的源代码?

如果无权访问应用程序的源代码,并且只能以 .app 或 .ipa 格式访问已编译的应用程序,则无法将 SDK 集成到应用程序中。 但是,应用程序可能仍与Intune应用保护策略兼容。 有关更多详细信息,请参阅适用于 iOS 的App Wrapping Tool

我的应用程序是否应将 Microsoft 身份验证库 (MSAL) 集成?

是的,在集成 Intune SDK 之前,需要与 MSAL 集成。 在与 MSAL 集成之前,所有应用都需要向Microsoft 标识平台注册。 请按照快速入门:在 Microsoft 标识平台 - Microsoft 标识平台 中注册应用中的步骤操作。

有关集成 MSAL 的说明和有关应用程序中标识方案的其他详细信息,请参阅 阶段 2:MSAL 先决条件和设置

我的应用程序是单标识还是多标识?

如果没有Intune应用保护策略支持,应用程序如何处理用户身份验证和帐户?

  • 应用程序当前是否只允许一个帐户登录? 应用程序是否在允许另一个帐户登录之前显式强制登录帐户注销并删除该上一帐户的数据? 如果是,则应用程序是 单一标识

  • 应用程序当前是否允许第二个帐户登录,即使其他帐户已登录? 应用程序是否在共享屏幕上显示多个帐户的数据? 应用程序是否存储多个帐户的数据? 应用程序是否允许用户在不同的登录帐户之间切换? 如果是这样,则应用程序是 多标识的 ,你将需要遵循 阶段 5:启用多标识你的应用需要此部分。

即使应用程序是多标识的,也按顺序遵循此集成指南。 最初,集成和测试作为单一标识将有助于确保正确集成,并防止出现公司数据最终不受保护的 bug。

如果我的应用使用 .NET 多平台应用 UI (.NET MAUI) 生成,该怎么办?

如果应用使用 .NET 多平台应用 UI (.NET MAUI) 生成,请参阅 Intune 适用于 .NET MAUI 的应用 SDK - iOS

我的应用程序是否具有或需要应用程序配置设置?

Intune支持适用于 SDK 集成应用程序的应用程序配置,而不管设备管理模式如何。 管理员可以在Microsoft Intune管理中心为托管应用配置这些应用程序配置策略

Intune应用 SDK 支持这两种类型的应用程序配置,并提供单个 API 用于从这两个通道访问配置。 如果应用程序具有或将支持上述任一类型的应用程序配置,则需要遵循 第 4 阶段:为 iOS 应用程序启用目标配置 (APP/MAM 应用配置)

有关如何在 iOS 中创建面向 MAM 的应用配置策略的详细信息,请参阅如何使用 iOS/iPadOS Microsoft Intune应用配置策略中的 MAM 目标应用配置部分。

应用程序是否需要为数据入口和出口定义精细保护?

如果你的应用允许用户将数据保存到云服务或设备位置或从云服务或设备位置打开数据,则必须进行更改以支持增强的数据传输策略。 请参阅在 Microsoft Intune 中管理 iOS 应用之间的数据传输

我的应用程序是否具有应受条件访问保护的资源?

条件访问 (CA) 是一项Microsoft Entra ID功能,可用于控制对Microsoft Entra资源的访问。 Intune管理员可以定义仅允许从由Intune管理的设备或应用访问资源的 CA 规则。

Intune支持两种类型的 CA:基于设备的 CA基于应用的 CA,也称为应用保护 CA。 基于设备的 CA 会阻止对受保护资源的访问,直到整个设备由 Intune 管理。 基于应用的 CA 会阻止对受保护资源的访问,直到特定应用由Intune应用保护策略管理。

如果应用获取任何Microsoft Entra访问令牌并访问可受 CA 保护的资源,则需要遵循 [阶段 4:应用保护 CA 支持]。

创建测试 iOS 应用保护策略

演示租户设置

如果你的公司还没有租户,则可以创建包含或不具有预生成数据的演示租户。 必须注册为 Microsoft合作伙伴 才能访问 CDX Microsoft。 若要创建新帐户,请执行以下操作:

  1. 导航到 Microsoft CDX 租户创建站点并创建Microsoft 365 企业版租户。
  2. 设置Intune以启用移动设备管理 (MDM) 。
  3. 创建用户
  4. 创建组
  5. 根据测试情况分配许可证

应用保护策略配置

在 Microsoft Intune 管理中心中创建和分配应用保护策略。 除了创建应用保护策略外,还可以在 Intune 中创建和分配应用配置策略

在自己的应用程序中测试应用保护策略设置之前,熟悉这些设置在其他 SDK 集成应用程序中的行为方式会很有帮助。

提示

如果你的应用未在Microsoft Intune管理中心列出,则可以通过选择“更多应用”选项并在文本框中提供包名称来使用策略来定位应用。
必须使用应用保护策略将应用作为目标,并将策略部署到用户才能成功测试集成。
即使策略是针对和部署的,应用在成功集成 SDK 之前不会正确强制实施策略。

退出条件

  • 你是否已熟悉 iOS 应用程序中不同的应用保护策略设置的行为?
  • 你是否已查看应用,并规划了围绕 MSAL、条件访问、多标识、应用程序配置和所有其他 SDK 功能的应用集成?
  • 是否已在测试租户中创建 iOS 应用保护策略?

常见问题

从何处下载 SDK?

若要下载 SDK,请参阅 下载 SDK 文件

在何处报告将 Intune 应用 SDK 集成到应用中的问题?

请在 GitHub 上提交 协助请求

后续步骤

完成上述所有 退出条件 后,请继续学习 阶段 2:MSAL 先决条件和设置