Intune App SDK for Android - 瞭解 MSAL 必要條件
Microsoft Intune App SDK for Android 可讓您將 Intune 應用程式保護原則 (也稱為應用程式或 MAM 原則) 併入您的原生 Java/Kotlin Android 應用程式。 Intune 受控應用程式是與 Intune App SDK 整合的應用程式。 Intune 系統管理員可以在 Intune 主動管理應用程式時,輕鬆地將應用程式保護原則部署到 Intune 管理的應用程式。
注意事項
本指南分成數個不同的階段。 從檢閱 階段 1:規劃整合開始。
階段 2:MSAL 必要條件
階段 Goals
- 向 Microsoft Entra ID 註冊您的應用程式。
- 將 MSAL 整合到您的 Android 應用程式。
- 確認您的應用程式可以取得令牌,以授與受保護資源的存取權。
Background
Microsoft驗證連結庫 (MSAL) 可讓您的應用程式透過支援 Microsoft Entra ID 和Microsoft帳戶來使用 Microsoft Cloud。
MSAL 並非專屬於 Intune。 Intune 相依於 Microsoft Entra ID;所有 Intune 用戶帳戶都會 Microsoft Entra 帳戶。 因此,大部分整合 Intune App SDK 的 Android 應用程式都必須整合 MSAL 作為必要條件。
SDK 指南的這個階段會概觀與 Intune 相關的 MSAL 整合程式;完整遵循連結的 MSAL 指南。
為了簡化 Intune App SDK 整合程式,強烈建議 Android 應用程式開發人員在下載 Intune App SDK 之前,先完全整合和測試 MSAL。Intune 應用程式 SDK 整合程式確實需要針對 MSAL 令牌取得進行程式代碼變更。 如果您已確認應用程式的原始令牌取得實作如預期般運作,則測試 Intune 特定令牌取得變更會比較容易。
若要深入瞭解 Microsoft Entra ID,請參閱什麼是 Microsoft Entra ID?
若要深入瞭解 MSAL,請參閱 MSAL Wiki 和 MSAL 連結庫清單。
向 Microsoft Entra ID 註冊您的應用程式
將 MSAL 整合到您的 Android 應用程式之前,所有應用程式都必須向 Microsoft 身分識別平台 註冊。 請遵循快速入門:在 Microsoft 身分識別平台 中註冊應用程式 - Microsoft 身分識別平台 中的步驟。 這會為您的應用程式產生 用戶端標識 碼。
接下來,請遵循指示,讓您的應用程式能夠存取 Intune 行動裝置應用程式管理服務。
設定 MSAL) (Microsoft驗證連結庫
首先,請閱讀 在 GitHub 上的 MSAL 存放庫中找到的 MSAL 整合指導方針,特別是 使用 MSAL 的一節。
本指南說明如何:
- 將 MSAL 新增為 Android 應用程式的相依性。
- 建立 MSAL 組態檔。
- 設定應用程式的
AndroidManifest.xml
。 - 新增程序代碼以取得令牌。
代理驗證
單一登錄 (SSO) 可讓使用者只輸入其認證一次,並讓這些認證自動在應用程式中運作。 MSAL 可以跨您的應用程式套件啟用 SSO;藉由使用訊息代理程式應用程式 (Microsoft驗證器或 Microsoft Intune 公司入口網站) ,您可以在整個裝置上擴充 SSO。 條件式存取也需要代理驗證。 如需代理驗證的詳細資訊,請參閱 使用 MSAL 在 Android 上啟用跨應用程式 SSO 。
本指南假設您在應用程式內啟用代理驗證 () 遵循上述連結中的步驟,特別是 產生訊息代理程式的重新導向 URI ,以及設定 MSAL 使用訊息代理 程式進行設定,以及 驗證代理程式整合 以進行測試。
如果您未在應用程式中啟用代理驗證,請特別注意 Intune 特定的 MSAL 設定。
Intune 特定 MSAL 環境設定
根據預設,Intune 會向 Microsoft Entra 公用環境要求令牌。 如果應用程式需要非預設環境,例如主權雲端,則必須將下列設定新增至應用程式的 AndroidManifest.xml
。
設定時,輸入的 Microsoft Entra 授權單位將會發出應用程式的令牌。
這可確保 Intune 的驗證原則會正確強制執行。
<meta-data
android:name="com.microsoft.intune.mam.aad.Authority"
android:value="https://AAD authority/" />
注意
大部分的應用程式不應該設定 Authority 參數。 此外,未整合 MSAL 的應用程式 不得 在指令清單中包含此屬性。
如需非 Intune 特定 MSAL 組態選項的詳細資訊,請參閱 Android Microsoft 驗證連結庫組態檔。
如需主權雲端的詳細資訊,請 參閱在國家雲端環境中使用 MSAL。
結束準則
- 您是否已將 MSAL 整合到應用程式中?
- 您是否已藉由產生重新導向 URI 並在 MSAL 組態檔中設定代理程式驗證來啟用代理程式驗證?
- 您是否已在 中設定 Intune 特定 MSAL 設定
AndroidManifest.xml
? - 您是否已測試代理驗證、確認工作帳戶已新增至 Android 的帳戶管理員,並已與其他Microsoft 365 應用程式測試 SSO?
- 如果您已實作條件式存取,是否已測試裝置型 CA 和應用程式型 CA 來驗證 CA 實作?
常見問題集
ADAL 呢?
Microsoft先前的驗證連結庫 Azure Active Directory 驗證連結庫 (ADAL) 已被 取代。
如果您的應用程式已整合ADAL,請參閱 更新您的應用程式以使用 Microsoft 驗證連結庫 (MSAL) 。 若要將應用程式從ADAL移轉至 MSAL,請參閱將 Android ADAL 移轉至 MSAL 和 ADAL 與 MSAL 之間的差異。
建議您先從 ADAL 移轉至 MSAL,再整合 Intune App SDK。
後續步驟
完成上述所有結束準則之後,請繼續進行第 3 階段:使用 MAM 使用者入門。