Freigeben über

Vorbereiten von iOS-Apps für App-Schutzrichtlinien mit dem Intune App Wrapping Tool

Verwenden Sie die Microsoft Intune App Wrapping Tool für iOS, um Intune App-Schutzrichtlinien für interne iOS-Apps zu aktivieren, ohne den Code der App selbst zu ändern.

Das Tool ist eine macOS-Befehlszeilenanwendung, die einen Wrapper um eine App erstellt. Nachdem eine App verarbeitet wurde, können Sie die Funktionalität der App ändern, indem Sie App-Schutzrichtlinien dafür bereitstellen.

Informationen zum Herunterladen des Tools finden Sie unter Microsoft Intune App Wrapping Tool für iOS auf GitHub.

Hinweis

Wenn Sie Probleme mit der Verwendung des Intune App Wrapping Tool mit Ihren Apps haben, senden Sie eine Anfrage um Unterstützung auf GitHub.

Allgemeine Voraussetzungen für die App Wrapping Tool

Bevor Sie die App Wrapping Tool ausführen, müssen Sie einige allgemeine Voraussetzungen erfüllen:

  • Laden Sie die Microsoft Intune App Wrapping Tool für iOS von GitHub herunter.

  • Ein macOS-Computer, auf dem das Xcode-Toolset Version 16.0 oder höher installiert ist.

  • Ihr Unternehmen oder ein unabhängiger Softwareanbieter (Independent Software Vendor, ISV) muss die Eingabe-iOS-App entwickeln und signieren.

    • Die Datei muss die Erweiterung IPA oder .app haben.

    • Es muss für iOS 16.0 oder höher kompiliert werden.

    • sie kann nicht verschlüsselt werden.

    • Keine erweiterten Dateiattribute.

    • Legen Sie Berechtigungen fest, bevor Sie die App mit dem Intune App Wrapping Tool verarbeiten. Berechtigungen bieten der App mehr Berechtigungen und Funktionen, die über die üblicherweise gewährten Berechtigungen hinausgehen. Anweisungen finden Sie unter Festlegen von App-Berechtigungen .

  • Stellen Sie sicher, dass gültige Signaturzertifikate in Ihrem Systemschlüsselbund vorhanden sind. Wenn Probleme beim Signieren von App-Code auftreten, führen Sie die folgenden Schritte aus, um dies zu beheben:
    • Zurücksetzen der Vertrauenseinstellungen für alle zugehörigen Zertifikate
    • Installieren von Zwischenzertifikaten im Systemschlüsselbund und Anmeldeschlüsselbund
    • Deinstallieren und erneutes Installieren aller zugehörigen Zertifikate

Registrieren Ihrer App bei Microsoft Entra ID

  1. Registrieren Sie Ihre Apps bei Microsoft Entra ID. Weitere Informationen finden Sie unter Registrieren einer Anwendung beim Microsoft Identity Platform.
  2. Fügen Sie die benutzerdefinierte Umleitungs-URL zu Ihren App-Einstellungen hinzu. Weitere Informationen finden Sie unter Konfigurieren von MSAL.
  3. Gewähren Sie Ihrer App Zugriff auf den Intune MAM-Dienst. Weitere Informationen finden Sie unter Gewähren des Zugriffs auf den Intune Verwaltungsdienst für mobile Apps für Ihre App.
  4. Sobald die oben genannten Änderungen abgeschlossen sind, führen Sie die neueste Version des tools Intune App Wrapping aus. Konfigurieren Sie Ihre Apps für die Microsoft-Authentifizierungsbibliothek (Microsoft Authentication Library, MSAL): Fügen Sie die client-ID der Microsoft Entra Anwendung den Befehlszeilenparametern mit dem Intune App Wrapping Tool hinzu. Weitere Informationen finden Sie unter Befehlszeilenparameter.

Hinweis

Die Parameter -ac und -ar sind erforderliche Parameter. Jede App benötigt einen eindeutigen Satz dieser Parameter. -aa ist nur für Einzelmandantenanwendungen erforderlich.

  1. Stellen Sie die App bereit.

Voraussetzungen für Apple Developer für die App Wrapping Tool

Um umschlossene Apps ausschließlich an die Benutzer Ihrer organization zu verteilen, benötigen Sie ein Konto beim Apple Developer Enterprise Program und mehrere Entitäten für die App-Signierung, die mit Ihrem Apple Developer-Konto verknüpft sind.

Weitere Informationen zum internen Verteilen von iOS-Apps an die Benutzer Ihrer organization finden Sie im offiziellen Leitfaden zum Verteilen von Apple Developer Enterprise Program-Apps.

Sie benötigen Folgendes, um Apps zu verteilen, die von Intune umschlossen sind:

  • Ein Entwicklerkonto mit dem Apple Developer Enterprise-Programm.

  • Internes und Ad-hoc-Verteilungssignaturzertifikat mit gültigem Teambezeichner.

    • Sie benötigen den SHA1-Hash des Signaturzertifikats als Parameter für die Intune App Wrapping Tool.

  • Internes Verteilungsbereitstellungsprofil.

Erstellen eines Apple Developer Enterprise-Kontos

  1. Wechseln Sie zur Website des Apple Developer Enterprise-Programms.

  2. Wählen Sie oben rechts auf der Seite Registrieren aus.

  3. Lesen Sie die Checkliste, was Sie für die Registrierung benötigen. Wählen Sie unten auf der Seite Registrierung starten aus.

  4. Melden Sie sich mit dem Apple-Konto Ihres organization an. Wenn Sie noch keins haben, wählen Sie Apple-Konto erstellen aus.

  5. Wählen Sie Ihren Entitätstyp und dann Weiter aus.

  6. Füllen Sie das Formular mit den Informationen Ihrer organization aus. Wählen Sie Weiter. An diesem Punkt kontaktiert Apple Sie, um zu überprüfen, ob Sie berechtigt sind, Ihre organization zu registrieren.

  7. Wählen Sie nach der Überprüfung Lizenz zustimmen aus.

  8. Nachdem Sie der Lizenz zugestimmt haben, schließen Sie mit dem Kauf und der Aktivierung des Programms ab.

  9. Wenn Sie der Team-Agent sind (die Person, die am Apple Developer Enterprise Program für Ihre organization teilnimmt), laden Sie Teammitglieder ein, und weisen Sie Rollen zu, um Ihr Team aufzubauen. Informationen zum Verwalten Ihres Teams finden Sie in der Apple-Dokumentation unter Verwalten Ihres Entwicklerkontoteams.

Erstellen eines Apple-Signaturzertifikats

  1. Wechseln Sie zum Apple-Entwicklerportal.

  2. Wählen Sie oben rechts auf der Seite Konto aus.

  3. Melden Sie sich mit Ihrem Apple-Konto ihrer Organisation an.

  4. Wählen Sie Zertifikate, IDs & Profile aus.

    Apple-Entwicklerportal: Zertifikate, IDs & Profile

  5. Wählen Sie das Apple-Entwicklerportal aus, und melden Sie sich in der oberen rechten Ecke an. Durch diese Aktion wird ein iOS-Zertifikat hinzugefügt.

  6. Wählen Sie unter Produktion aus, ob Sie ein Inhouse- und Ad-hoc-Zertifikat erstellen möchten.

    Auswählen von In-House und Ad-hoc-Zertifikat

    Hinweis

    Wenn Sie die App nicht verteilen und nur intern testen möchten, können Sie ein iOS-App-Entwicklungszertifikat anstelle eines Zertifikats für die Produktion verwenden. Wenn Sie ein Entwicklungszertifikat verwenden, stellen Sie sicher, dass das mobile Bereitstellungsprofil die Geräte enthält, auf denen Sie die App installieren möchten.

  7. Wählen Sie unten auf der Seite Weiter aus.

  8. Lesen Sie die Anweisungen zum Erstellen einer Zertifikatsignieranforderung (Certificate Signing Request, CSR) mithilfe der Keychain Access-Anwendung auf Ihrem macOS-Computer.

    Anweisungen zum Erstellen einer CSR lesen

  9. Befolgen Sie die vorherigen Anweisungen, um eine Zertifikatsignieranforderung zu erstellen. Starten Sie auf Ihrem macOS-Computer die Anwendung Schlüsselbundzugriff .

  10. Wechseln Sie im macOS-Menü oben auf dem Bildschirm zu Keychain Access > Certificate Assistant > Anfordern eines Zertifikats von einer Zertifizierungsstelle.

    Anfordern eines Zertifikats von einer Zertifizierungsstelle in Keychain Access

  11. Befolgen Sie die Anweisungen der Apple-Entwicklerwebsite, um eine Zertifikatsignieranforderungsdatei (Certificate Signing Request, CSR) zu erstellen. Speichern Sie die CSR-Datei auf Ihrem macOS-Computer.

    Geben Sie Informationen für das angeforderte Zertifikat ein.

  12. Kehren Sie zur Apple-Entwicklerwebsite zurück. Wählen Sie Weiter. Laden Sie dann die CSR-Datei hoch.

  13. Apple generiert Ihr Signaturzertifikat. Laden Sie es herunter, und speichern Sie es an einem unvergesslichen Ort auf Ihrem macOS-Computer.

    Herunterladen Ihres Signaturzertifikats

  14. Doppelklicken Sie auf die zertifikatsdatei, die Sie heruntergeladen haben, um das Zertifikat einem Schlüsselbund hinzuzufügen.

  15. Öffnen Sie keychain Access erneut. Suchen Sie ihr Zertifikat, indem Sie in der suchleiste oben rechts nach seinem Namen suchen. Klicken Sie mit der rechten Maustaste auf das Element, um das Menü aufzurufen, und wählen Sie Informationen abrufen aus. In den Beispielbildschirmen wird anstelle eines Produktionszertifikats ein Entwicklungszertifikat verwendet.

    Hinzufügen Ihres Zertifikats zu einem Schlüsselbund

  16. Ein Informationsfenster wird angezeigt. Scrollen Sie nach unten, und suchen Sie unter der Bezeichnung Fingerabdrücke . Kopieren Sie die SHA1-Zeichenfolge (verschwommen), um sie als Argument für "-c" für die App Wrapping Tool zu verwenden.

    iPhone-Informationen – Sha1-Zeichenfolge für Fingerabdrücke

Erstellen eines In-House Verteilungsbereitstellungsprofils

  1. Zurück zum Apple Developer-Kontoportal und melden Sie sich mit Ihrem Apple-Konto ihrer Organisation an.

  2. Wählen Sie Zertifikate, IDs & Profile aus.

  3. Wählen Sie das Apple-Entwicklerportal aus, und melden Sie sich in der oberen rechten Ecke an. Durch diese Aktion wird ein iOS-Bereitstellungsprofil hinzugefügt.

  4. Wählen Sie unter Verteilung aus, um ein internes Bereitstellungsprofil zu erstellen.

    Auswählen des internen Bereitstellungsprofils

  5. Wählen Sie Weiter. Stellen Sie sicher, dass Sie das zuvor generierte Signaturzertifikat mit dem Bereitstellungsprofil verknüpfen.

  6. Führen Sie die Schritte aus, um Ihr Profil (mit erweiterung .mobileprovision) auf Ihren macOS-Computer herunterzuladen.

  7. Speichern Sie die Datei an einem einprägsamen Speicherort. Diese Datei wird für den Parameter -p verwendet, während der App Wrapping Tool verwendet wird.

Laden Sie die App Wrapping Tool herunter.

  1. Laden Sie die Dateien für die App Wrapping Tool von GitHub auf einen macOS-Computer herunter.

  2. Doppelklicken Sie auf Microsoft Intune Application Restrictions Packager für iOS.dmg. Ein Fenster mit dem Endbenutzer-Lizenzvertrag (EULA) wird angezeigt. Lesen Sie das Dokument sorgfältig durch.

  3. Wählen Sie Zustimmen aus, um die Lizenzbedingungen zu akzeptieren, wodurch das Paket auf Ihrem Computer eingebunden wird.

Ausführen des App Wrapping Tool

Wichtig

Intune veröffentlicht regelmäßig Updates für die Intune App Wrapping Tool. Überprüfen Sie regelmäßig die Intune App Wrapping Tool für iOS auf Updates, und integrieren Sie sie in Ihren Releasezyklus für die Softwareentwicklung, um sicherzustellen, dass Ihre Apps die neuesten Einstellungen der App-Schutzrichtlinie unterstützen.

Terminal verwenden

Öffnen Sie das macOS-Terminal, und führen Sie den folgenden Befehl aus:

/Volumes/IntuneMAMAppPackager/IntuneMAMPackager/Contents/MacOS/IntuneMAMPackager -i /<path of input app>/<app filename> -o /<path to output folder>/<app filename> -p /<path to provisioning profile> -c <SHA1 hash of the certificate> -ac <client ID of input app> -ar <redirect URI of input app> [-aa <authority URI of input app>] [-b [<output app build string>]] [-v] [-e] [-x /<array of extension provisioning profile paths>] [-dt] [-dl] [-ds]

Hinweis

Einige Parameter sind optional, wie in der folgenden Tabelle gezeigt.

Beispiel: Der folgende Beispielbefehl führt die App Wrapping Tool für die App myApp.ipa aus. Ein Bereitstellungsprofil und ein SHA-1-Hash des Signaturzertifikats werden angegeben und zum Signieren der umschlossenen App verwendet. Die Ausgabe-App (MyApp_Wrapped.ipa) wird erstellt und in Ihrem Desktopordner gespeichert.

./IntuneMAMPackager/Contents/MacOS/IntuneMAMPackager -i ~/Desktop/MyApp.ipa -o ~/Desktop/MyApp_Wrapped.ipa -p ~/Desktop/My_Provisioning_Profile_.mobileprovision -c "12 A3 BC 45 D6 7E F8 90 1A 2B 3C DE F4 AB C5 D6 E7 89 0F AB" -ac "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" -ar "msauth.myAppsBundleID://auth" -v

Befehlszeilenparameter

Sie können die folgenden Befehlszeilenparameter mit dem App Wrapping Tool verwenden:

Beispiel: Der folgende Beispielbefehl führt die App Wrapping Tool aus, wobei die erforderlichen Befehle beim Umschließen einer Anwendung für die Verwendung innerhalb eines einzelnen Mandanten enthalten sind.

./IntuneMAMPackager/Contents/MacOS/IntuneMAMPackager -i ~/Desktop/MyApp.ipa -o ~/Desktop/MyApp_Wrapped.ipa -p ~/Desktop/My_Provisioning_Profile_.mobileprovision -c "12 A3 BC 45 D6 7E F8 90 1A 2B 3C DE F4 AB C5 D6 E7 89 0F AB" -aa https://login.microsoftonline.com/<tenantID> -ac "Client ID of the input app if the app uses the Microsoft Authentication Library" -ar "Redirect/Reply URI of the input app if the app uses the Microsoft Authentication Library"  -v
Eigenschaft Hinweise zur Verwendung
-i <Path of the input native iOS application file>. Der Dateiname muss auf .app oder IPA enden.
-o <Path of the wrapped output application>
-p <Path of your provisioning profile for iOS apps>
-c <SHA1 hash of the signing certificate>
-h Zeigt ausführliche Nutzungsinformationen zu den verfügbaren Befehlszeileneigenschaften für die App Wrapping Tool an.
-ac <Client ID of the input app if the app uses the Microsoft Authentication Library> Dies ist die GUID im Feld Client-ID aus dem Eintrag Ihrer App in der App-Registrierung.
-ar <Redirect/Reply URI of the input app if the app uses the Microsoft Authentication Library> Dies ist der Umleitungs-URI, der in Ihrer App-Registrierung konfiguriert ist. In der Regel ist es das URL-Protokoll der Anwendung, zu dem die Microsoft Authenticator-App nach der Brokerauthentifizierung zurückkehren würde.
-aa (Erforderlich für Einzelmandanten-Apps) <Authority URI of the input app> d.h. https://login.microsoftonline.com/<tenantID>/
-v (Optional) Gibt ausführliche Meldungen an die Konsole aus. Verwenden Sie dieses Flag, um Fehler zu debuggen.
-e (Optional) Verwenden Sie dieses Flag, damit die App Wrapping Tool fehlende Berechtigungen entfernen, während die App verarbeitet wird. Weitere Informationen finden Sie unter Festlegen von App-Berechtigungen.
-xe (Optional) Gibt Informationen zu den iOS-Erweiterungen in der App aus und gibt an, welche Berechtigungen für deren Verwendung erforderlich sind. Weitere Informationen finden Sie unter Festlegen von App-Berechtigungen.
-x (Optional) <An array of paths to extension provisioning profiles>. Verwenden Sie diese Eigenschaft, wenn Ihre App Erweiterungsbereitstellungsprofile benötigt.
-b (Optional) Verwenden Sie -b ohne Argument, wenn die umschlossene Ausgabe-App dieselbe Bündelversion wie die Eingabe-App haben soll (nicht empfohlen).

Verwenden Sie -b <custom bundle version> , wenn die umschlossene App über eine benutzerdefinierte CFBundleVersion verfügen soll. Wenn Sie eine benutzerdefinierte CFBundleVersion angeben, sollten Sie die CFBundleVersion der nativen App um die am wenigsten signifikante Komponente erhöhen, z. B. 1.0.0 -> 1.0.1.
-f (Optional) <Path to a plist file specifying arguments.> Verwenden Sie dieses Flag vor der plist-Datei , wenn Sie die plist-Vorlage verwenden möchten, um die restlichen IntuneMAMPackager-Eigenschaften wie -i, -o und -p anzugeben. Weitere Informationen finden Sie unter Verwenden einer plist zum Eingeben von Argumenten.
-dt (Optional) Deaktivieren Sie die Sammlung von Microsoft Intune Clientdaten.
-dl (Optional) Deaktivieren Sie MSAL-Protokolle aus den Intune-Protokollen für Anwendungen, die in MSAL integriert sind, und implementieren Sie einen eigenen MSAL-Protokollierungsrückruf.
-ds (Optional) Deaktivieren Sie Intune Schutz für SFSafariViewController, SFAuthSession und ASWebAuthenticationSession.

Verwenden einer Plist zum Eingeben von Argumenten

Eine einfache Möglichkeit zum Ausführen der App Wrapping Tool besteht darin, alle Befehlsargumente in eine plist-Datei einzufügen. Plist ist ein Dateiformat ähnlich wie XML, mit dem Sie Ihre Befehlszeilenargumente mithilfe einer Formularschnittstelle eingeben können.

Öffnen Sie Parameters.plist im Ordner IntuneMAMPackager/Contents/macOS (eine leere plist-Vorlage) mit einem Text-Editor oder Xcode. Geben Sie Ihre Argumente für die folgenden Schlüssel ein:

Plist-Schlüssel Typ Standardwert Hinweise
Eingabe des Anwendungspaketpfads Zeichenfolge leer Identisch mit -i
Ausgabeanwendungspaketpfad Zeichenfolge leer Identisch mit -o
Bereitstellungsprofilpfad Zeichenfolge leer Identisch mit -p
SHA-1-Zertifikathash Zeichenfolge leer Identisch mit -c
MSAL-Autorität Zeichenfolge leer Identisch mit -aa
MSAL-Client-ID Zeichenfolge leer Identisch mit -ac
MSAL-Antwort-URI Zeichenfolge leer Identisch mit -ar
Ausführlich aktiviert Boolean false Identisch mit -v
Entfernen fehlender Berechtigungen Boolean false Identisch mit -e
Verhindern des Standardmäßigen Buildupdates Boolean false Entspricht der Verwendung von -b ohne Argumente
Buildzeichenfolgenüberschreibung Zeichenfolge leer Die benutzerdefinierte CFBundleVersion der umschlossenen Ausgabe-App
Pfade für erweiterungsbereitstellungsprofil Array von Zeichenfolgen leer Ein Array von Erweiterungsbereitstellungsprofilen für die App.
Deaktivieren der Telemetrie Boolean false Identisch mit -dt
Deaktivieren der MSAL-Protokollüberschreibung Boolean false Identisch mit -dl

Führen Sie IntuneMAMPackager mit der plist als einzigem Argument aus:

./IntuneMAMPackager –f Parameters.plist

Nach dem Umbruch

Nach Abschluss des Umbruchvorgangs wird die Meldung "Die Anwendung wurde erfolgreich umschlossen" angezeigt. Wenn ein Fehler auftritt, finden Sie hilfe unter Fehlermeldungen .

Die umschlossene App wird in dem zuvor angegebenen Ausgabeordner gespeichert. Sie können die App in das Intune Admin Center hochladen und sie einer Verwaltungsrichtlinie für mobile Anwendungen zuordnen.

Wichtig

Beim Hochladen einer umschlossenen App können Sie versuchen, eine ältere Version der App zu aktualisieren, wenn bereits eine ältere (umschlossene oder native) Version in Intune bereitgestellt wurde. Wenn ein Fehler auftritt, laden Sie die App als neue App hoch, und löschen Sie die ältere Version.

Sie können die App jetzt für Ihre Benutzergruppen bereitstellen und App-Schutzrichtlinien für die App als Ziel festlegen. Die App wird auf dem Gerät mit den von Ihnen angegebenen App-Schutzrichtlinien ausgeführt.

Wie oft sollte ich meine iOS-Anwendung mit dem Intune App Wrapping Tool erneut packen?

Die wichtigsten Szenarien, in denen Sie Ihre Anwendungen neu packen müssen, lauten wie folgt:

  • Die Anwendung selbst hat eine neue Version veröffentlicht. Die vorherige Version der App wurde umschlossen und in das Intune Admin Center hochgeladen.
  • Die Intune App Wrapping Tool für iOS hat eine neue Version veröffentlicht, die wichtige Fehlerbehebungen oder neue, spezifische Intune Features von Anwendungsschutzrichtlinien ermöglicht. Die Veröffentlichung einer neuen Version erfolgt alle 6 bis 8 Wochen über das GitHub-Repository für die Microsoft Intune App Wrapping Tool für iOS.

Für iOS/iPadOS können Sie die App mit einem anderen Zertifikat oder Bereitstellungsprofil umschließen als das, das ursprünglich zum Signieren der App verwendet wurde. Wenn das neue Bereitstellungsprofil jedoch nicht die in der App angegebenen Berechtigungen enthält, schlägt der Umbruchvorgang fehl. Wenn Sie die Befehlszeilenoption "-e" verwenden, mit der alle fehlenden Berechtigungen aus der App entfernt werden, kann das Erzwingen, dass das Wrapping in diesem Szenario nicht fehlschlägt, zu fehlerhaften Funktionen in der App führen.

Zu den bewährten Methoden für die Neuzuordnung gehören:

  • Sicherstellen, dass ein anderes Bereitstellungsprofil über alle erforderlichen Berechtigungen verfügt wie jedes vorherige Bereitstellungsprofil.

Fehlermeldungen und Protokolldateien

Verwenden Sie die folgenden Informationen, um Probleme mit dem App-Wrapping-Tool zu beheben.

Fehlermeldungen

Wenn das App-Wrapping-Tool nicht erfolgreich abgeschlossen werden kann, wird eine der folgenden Fehlermeldungen in der Konsole angezeigt:

Fehlermeldung Weitere Informationen
Sie müssen ein gültiges iOS-Bereitstellungsprofil angeben. Ihr Bereitstellungsprofil ist möglicherweise ungültig. Vergewissern Sie sich, dass Sie über die richtigen Berechtigungen für Geräte verfügen und dass Ihr Profil ordnungsgemäß auf die Entwicklung oder Verteilung ausgerichtet ist. Ihr Bereitstellungsprofil ist möglicherweise auch abgelaufen.
Geben Sie einen gültigen Namen der Eingabeanwendung an. Vergewissern Sie sich, dass der angegebene Name der Eingabeanwendung richtig ist.
Geben Sie einen gültigen Pfad zur Ausgabeanwendung an. Stellen Sie sicher, dass der Pfad zu der angegebenen Ausgabeanwendung vorhanden und richtig ist.
Geben Sie ein gültiges Eingabebereitstellungsprofil an. Stellen Sie sicher, dass Sie einen gültigen Bereitstellungsprofilnamen und eine gültige Erweiterung angegeben haben. Ihrem Bereitstellungsprofil fehlen möglicherweise Berechtigungen, oder die –p Befehlszeilenoption ist nicht enthalten.
Die von Ihnen angegebene Eingabeanwendung wurde nicht gefunden. Geben Sie einen gültigen Namen und Pfad für die Eingabeanwendung an. Stellen Sie sicher, dass ihr Eingabe-App-Pfad gültig ist und vorhanden ist. Stellen Sie sicher, dass die Eingabe-App an diesem Speicherort vorhanden ist.
Die angegebene Eingabebereitstellungsprofildatei wurde nicht gefunden. Geben Sie eine gültige Eingabebereitstellungsprofildatei an. Stellen Sie sicher, dass der Pfad zur Eingabebereitstellungsdatei gültig ist und dass die von Ihnen angegebene Datei vorhanden ist.
Der angegebene Ausgabeanwendungsordner wurde nicht gefunden. Geben Sie einen gültigen Pfad zur Ausgabeanwendung an. Stellen Sie sicher, dass der Ausgabepfad gültig ist und vorhanden ist.
Die Ausgabe-App verfügt nicht über die ERWEITERUNG IPA . Nur Apps mit den Erweiterungen .app und IPA werden vom App Wrapping Tool akzeptiert. Stellen Sie sicher, dass Ihre Ausgabedatei über eine gültige Erweiterung verfügt.
Es wurde ein ungültiges Signaturzertifikat angegeben. Geben Sie ein gültiges Apple-Signaturzertifikat an. Stellen Sie sicher, dass Sie das richtige Signaturzertifikat aus dem Apple-Entwicklerportal heruntergeladen haben. Ihr Zertifikat ist möglicherweise abgelaufen oder es fehlt ein öffentlicher oder privater Schlüssel. Wenn Ihr Apple-Zertifikat und Ihr Bereitstellungsprofil verwendet werden können, um eine App in Xcode ordnungsgemäß zu signieren, sind sie für die App Wrapping Tool gültig. Vergewissern Sie sich außerdem, dass das Signaturzertifikat einen eindeutigen Namen im Schlüsselbund des macOS-Hostcomputers aufweist. Wenn mehrere Versionen desselben Zertifikats im Schlüsselbund vorhanden sind, gibt das Tool diesen Fehler zurück.
Die angegebene Eingabeanwendung ist ungültig. Geben Sie eine gültige Anwendung an. Stellen Sie sicher, dass Ihre gültige iOS-Anwendung als .app - oder .ipa -Datei kompiliert wird.
Die angegebene Eingabeanwendung ist verschlüsselt. Geben Sie eine gültige unverschlüsselte Anwendung an. Die App Wrapping Tool unterstützt keine verschlüsselten Apps. Stellen Sie eine unverschlüsselte App bereit.
Die von Ihnen angegebene Eingabeanwendung weist kein PIE-Format (Position Independent Executable) auf. Geben Sie eine gültige Anwendung im PIE-Format an. PIE-Apps (Position Independent Executable) können bei der Ausführung an einer zufälligen Speicheradresse geladen werden. Dieses Feature kann Sicherheitsvorteile bieten. Weitere Informationen zu den Sicherheitsvorteilen finden Sie in ihrer Apple Developer-Dokumentation.
Die von Ihnen angegebene Eingabe-App wird umschlossen. Geben Sie eine gültige unwrappte Anwendung an. Sie können eine App nicht verarbeiten, wenn sie vom Tool bereits verarbeitet wurde. Wenn Sie eine App erneut verarbeiten möchten, führen Sie das Tool mit der ursprünglichen Version der App aus.
Die angegebene Eingabeanwendung ist nicht signiert. Geben Sie eine gültige signierte Anwendung an. Das App-Wrapping-Tool erfordert, dass Apps signiert sind. Informationen zum Signieren einer umschlossenen App finden Sie in ihrer Entwicklerdokumentation.
Die von Ihnen angegebene Eingabeanwendung muss im IPA- oder .app-Format vorliegen. Das App-Wrapping-Tool akzeptiert .app nur - und .ipa -Erweiterungen. Stellen Sie sicher, dass Ihre Eingabedatei über eine gültige Erweiterung verfügt und als .app - oder .ipa -Datei erfüllt ist.
Die angegebene Eingabe-App ist umschlossen und weist die neueste Version der Richtlinienvorlage auf. Die App Wrapping Tool packt eine vorhandene umschlossene App nicht mit der neuesten Richtlinienvorlagenversion neu.
WARNUNG: Sie haben keinen SHA1-Zertifikathash angegeben. Stellen Sie sicher, dass Ihre umschlossene Anwendung vor der Bereitstellung signiert ist. Stellen Sie sicher, dass Sie einen gültigen SHA1-Hash nach dem Befehlszeilenflag –c angeben.

Sammeln von Protokollen für ihre umschlossenen Anwendungen vom Gerät

Führen Sie die folgenden Schritte aus, um während der Problembehandlung Protokolle für Ihre umschlossenen Anwendungen abzurufen.

  1. Wechseln Sie auf Ihrem Gerät zur App iOS-Einstellungen, und wählen Sie Ihre BRANCHEN-App aus.
  2. Wählen Sie Microsoft Intune aus.
  3. Legen Sie die Einstellung Diagnosekonsole anzeigen auf Ein fest.
  4. Starten Sie Ihre BRANCHENanwendung.
  5. Wählen Sie den Link "Erste Schritte" aus.
  6. Sie können Protokolle jetzt direkt an Microsoft senden oder über eine andere Anwendung auf dem Gerät freigeben.

Hinweis

Die Protokollierungsfunktion ist für Apps aktiviert, die mit der Intune App Wrapping Tool Version 7.1.13 oder höher umschlossen sind.

Sammeln von Absturzprotokollen aus dem System

Ihre App protokolliert möglicherweise nützliche Informationen in der iOS-Clientgerätekonsole. Diese Informationen sind nützlich, wenn Sie Probleme mit der Anwendung haben und feststellen müssen, ob das Problem mit dem App Wrapping Tool oder der App selbst zusammenhängt. Führen Sie die folgenden Schritte aus, um diese Informationen abzurufen:

  1. Reproduzieren Sie das Problem, indem Sie die App ausführen.

  2. Erfassen Sie die Konsolenausgabe, indem Sie die Anweisungen von Apple zum Debuggen bereitgestellter iOS-Apps befolgen.

Umschlossene Apps bieten Benutzern auch die Möglichkeit, Protokolle direkt vom Gerät per E-Mail zu senden, nachdem die App abstürzt. Benutzer können die Protokolle an Sie senden, um sie zu überprüfen und bei Bedarf an Microsoft weiterzuleiten.

Zertifikat-, Bereitstellungsprofil- und Authentifizierungsanforderungen

Die App Wrapping Tool für iOS weist einige Anforderungen auf, die erfüllt sein müssen, um die volle Funktionalität zu gewährleisten.

Anforderung Details
iOS-Bereitstellungsprofil Stellen Sie sicher, dass das Bereitstellungsprofil gültig ist, bevor Sie es einschließen. Die App Wrapping Tool überprüft beim Verarbeiten einer iOS-App nicht, ob das Bereitstellungsprofil abgelaufen ist. Wenn Sie ein abgelaufenes Bereitstellungsprofil angeben, enthält das App-Wrapping-Tool es. Ein Problem wird erst angezeigt, wenn die App auf einem iOS-Gerät nicht installiert werden kann.
iOS-Signaturzertifikat Stellen Sie sicher, dass das Signaturzertifikat gültig ist, bevor Sie es angeben. Das Tool überprüft bei der Verarbeitung von iOS-Apps nicht, ob ein Zertifikat abgelaufen ist. Wenn der Hash für ein abgelaufenes Zertifikat bereitgestellt wird, verarbeitet und signiert das Tool die App, kann jedoch nicht auf Geräten installiert werden.

Stellen Sie sicher, dass das zum Signieren der umschlossenen App bereitgestellte Zertifikat im Bereitstellungsprofil übereinstimmt. Das Tool überprüft nicht, ob das Bereitstellungsprofil eine Übereinstimmung mit dem Zertifikat aufweist, das zum Signieren der umschlossenen Anwendung bereitgestellt wurde.
Authentifizierung Ein Gerät muss über eine PIN verfügen, damit die Verschlüsselung funktioniert. Auf Geräten, auf denen Sie eine umschlossene App bereitgestellt haben, muss sich der Benutzer beim Berühren der status-Leiste auf dem Gerät erneut mit einem Geschäfts-, Schul- oder Unikonto anmelden. Die Standardrichtlinie in einer umschlossenen App ist die Authentifizierung beim Neustart. iOS verarbeitet alle externen Benachrichtigungen (z. B. einen Telefonanruf), indem die App beendet und dann neu gestartet wird.

Festlegen von App-Berechtigungen

Bevor Sie Ihre App umschließen , können Sie Berechtigungen erteilen, um der App zusätzliche Berechtigungen und Funktionen zu gewähren, die über das hinausgehen, was eine App normalerweise tun kann. Eine Berechtigungsdatei wird während der Codesignatur verwendet, um spezielle Berechtigungen in Ihrer App anzugeben (z. B. Zugriff auf einen freigegebenen Schlüsselbund). Bestimmte App-Dienste, die als Funktionen bezeichnet werden, werden während der App-Entwicklung in Xcode aktiviert. Nach der Aktivierung werden die Funktionen in Ihrer Berechtigungsdatei angezeigt. Weitere Informationen zu Berechtigungen und Funktionen finden Sie unter Hinzufügen von Funktionen in der iOS-Entwicklerbibliothek. Eine vollständige Liste der unterstützten Funktionen finden Sie unter Unterstützte Funktionen.

Unterstützte Funktionen für die App Wrapping Tool für iOS

Funktion Beschreibung Empfohlene Anleitung
App-Gruppen Verwenden Sie App-Gruppen, um mehreren Apps den Zugriff auf freigegebene Container zu ermöglichen und eine stärker prozessübergreifende Kommunikation zwischen Apps zu ermöglichen.

Um App-Gruppen zu aktivieren, öffnen Sie den Bereich Funktionen , und wählen Sie ein in App-Gruppen aus. Sie können App-Gruppen hinzufügen oder vorhandene auswählen.		 Verwenden Sie die umgekehrte DNS-Notation (Domain Name System), wenn Sie App-Gruppen konfigurieren:

group.com.companyName.AppGroup
Hintergrundmodi Wenn Sie Hintergrundmodi aktivieren, kann Ihre iOS-App weiterhin im Hintergrund ausgeführt werden.
Datenschutz Der Datenschutz erhöht die Sicherheit von Dateien, die von Ihrer iOS-App auf dem Datenträger gespeichert werden. Der Datenschutz verwendet die integrierte Verschlüsselungshardware, die auf bestimmten Geräten vorhanden ist, um Dateien in einem verschlüsselten Format auf dem Datenträger zu speichern. Ihre App muss bereitgestellt werden, um den Datenschutz nutzen zu können.
In-App-Kauf Der In-App-Kauf bettet einen Store direkt in Ihre App ein, indem Sie eine Verbindung mit dem Store herstellen und Zahlungen vom Benutzer sicher verarbeiten können. Sie können den In-App-Kauf verwenden, um Zahlungen für erweiterte Funktionen oder für mehr Inhalte zu sammeln, die von Ihrer App verwendet werden können.
Schlüsselbundfreigabe Durch aktivieren der Schlüsselbundfreigabe kann Ihre App Kennwörter im Schlüsselbund mit anderen Apps teilen, die von Ihrem Team entwickelt wurden. Verwenden Sie bei verwendung der Schlüsselbundfreigabe die Reverse-DNS-Notation:

com.companyName.KeychainGroup
Persönliches VPN Aktivieren Sie persönliches VPN, damit Ihre App eine benutzerdefinierte System-VPN-Konfiguration mithilfe des Netzwerkerweiterungsframeworks erstellen und steuern kann.
Pushbenachrichtigungen Apple Push Notification Service (APNs) ermöglicht es einer App, die nicht im Vordergrund ausgeführt wird, den Benutzer darüber zu informieren, dass sie Über Informationen für den Benutzer verfügt. Damit Pushbenachrichtigungen funktionieren, müssen Sie ein App-spezifisches Bereitstellungsprofil verwenden.

Führen Sie die Schritte in der Apple-Entwicklerdokumentation aus.
Konfiguration des Drahtlosen Zubehörs Durch die Aktivierung der Konfiguration von Drahtlosem Zubehör wird das Externe Zubehörframework zu Ihrem Projekt hinzugefügt, und Ihre App kann Made for iPhone (MFi) Wi-Fi Zubehör einrichten.

Schritte zum Aktivieren von Berechtigungen

  1. Aktivieren von Funktionen in Ihrer App:

    a. Navigieren Sie in Xcode zum Ziel Ihrer App, und wählen Sie Funktionen aus.

    b. Aktivieren Sie die entsprechenden Funktionen. Ausführliche Informationen zu den einzelnen Funktionen und zum Ermitteln der richtigen Werte finden Sie unter Hinzufügen von Funktionen in der iOS-Entwicklerbibliothek.

    c. Notieren Sie sich alle IDs, die Sie während des Prozesses erstellt haben. Diese IDs können als Werte AppIdentifierPrefix bezeichnet werden.

    d. Erstellen und signieren Sie Ihre App, um sie umschlossen zu werden.

  2. Aktivieren Sie Berechtigungen in Ihrem Bereitstellungsprofil:

    a. Melden Sie sich beim Apple Developer Member Center an.

    b. Erstellen Sie ein Bereitstellungsprofil für Ihre App. Anweisungen finden Sie unter Abrufen der Voraussetzungen für die Intune App Wrapping Tool für iOS.

    c. Aktivieren Sie in Ihrem Bereitstellungsprofil die gleichen Berechtigungen wie in Ihrer App. Sie müssen die gleichen IDs (die AppIdentifierPrefix Werte) angeben, die Sie bei der Entwicklung Ihrer App angegeben haben.

    d. Schließen Sie den Bereitstellungsprofil-Assistenten ab, und laden Sie Ihre Datei herunter.

  3. Stellen Sie sicher, dass Sie alle Voraussetzungen erfüllen, und umschließen Sie dann die App.

Behandeln von häufigen Fehlern mit Berechtigungen

Wenn im App Wrapping Tool für iOS ein Berechtigungsfehler angezeigt wird, führen Sie die folgenden Schritte zur Problembehandlung aus.

Problem Ursache Fehlerbehebung
Fehler beim Analysieren von Berechtigungen, die von der Eingabeanwendung generiert wurden. Die App Wrapping Tool kann die Berechtigungsdatei, die aus der App extrahiert wurde, nicht lesen. Die Berechtigungsdatei ist möglicherweise falsch formatiert. Überprüfen Sie die Berechtigungsdatei für Ihre App. In den folgenden Anweisungen wird erläutert, wie Dies geschieht. Überprüfen Sie beim Überprüfen der Berechtigungsdatei auf falsch formatierte Syntax. Die Datei sollte im XML-Format vorliegen.
Berechtigungen fehlen im Bereitstellungsprofil (fehlende Berechtigungen sind aufgeführt). Packen Sie die App mit einem Bereitstellungsprofil neu, das über diese Berechtigungen verfügt. Es besteht ein Konflikt zwischen den im Bereitstellungsprofil aktivierten Berechtigungen und den in der App aktivierten Funktionen. Dieser Konflikt gilt auch für die IDs, die bestimmten Funktionen zugeordnet sind (z. B. App-Gruppen und Keychainzugriff). Im Allgemeinen können Sie ein neues Bereitstellungsprofil erstellen, das die gleichen Funktionen wie die App ermöglicht. Wenn die IDs zwischen dem Profil und der App nicht übereinstimmen, ersetzt der App Wrapping Tool die IDs, wenn dies möglich ist. Wenn dieser Fehler nach dem Erstellen eines neuen Bereitstellungsprofils weiterhin auftritt, können Sie versuchen, Berechtigungen aus der App mithilfe des –e Parameters zu entfernen (siehe Verwenden des –e Parameters zum Entfernen von Berechtigungen aus einer App).

Suchen der vorhandenen Berechtigungen einer signierten App

So überprüfen Sie die vorhandenen Berechtigungen einer signierten App und eines Bereitstellungsprofils:

  1. Suchen Sie die IPA-Datei, und ändern Sie die Erweiterung in .zip.

  2. Erweitern Sie die datei .zip. Mit dieser Aktion wird ein Nutzlastordner erstellt, der Ihr .app Bundle enthält.

  3. Verwenden Sie das Codesign-Tool, um die Berechtigungen für das .app-Bundle zu überprüfen, wobei YourApp.app der tatsächliche Name Ihres .app-Bündels ist.

    codesign -d --entitlements :- "Payload/YourApp.app"

  4. Verwenden Sie das Sicherheitstool, um die Berechtigungen des eingebetteten Bereitstellungsprofils der App zu überprüfen, wobei YourApp.app der tatsächliche Name Ihres .app Bundles ist.

    security cms -D -i "Payload/YourApp.app/embedded.mobileprovision"

Entfernen von Berechtigungen aus einer App mithilfe des Parameters "–e"

Dieser Befehl entfernt alle aktivierten Funktionen in der App, die nicht in der Berechtigungsdatei enthalten sind. Wenn Sie Funktionen entfernen, die von der App verwendet werden, kann dies ihre App unterbrechen. Ein Beispiel für das Entfernen fehlender Funktionen ist eine vom Hersteller erstellte App, die standardmäßig über alle Funktionen verfügt.

./IntuneMAMPackager/Contents/MacOS/IntuneMAMPackager –i /<path of input app>/<app filename> -o /<path to output folder>/<app filename> `–p` /<path to provisioning profile> –c <SHA1 hash of the certificate> -ac <client ID of input app> -ar <redirect URI of input app> -e

Sicherheit und Datenschutz für die App Wrapping Tool

Verwenden Sie die folgenden bewährten Methoden für Sicherheit und Datenschutz, wenn Sie die App Wrapping Tool verwenden.

  • Das Signaturzertifikat, das Bereitstellungsprofil und die branchenspezifische App, die Sie angeben, müssen sich auf demselben macOS-Computer befinden, den Sie zum Ausführen des App-Wrapping-Tools verwenden. Wenn sich die Dateien in einem UNC-Pfad befinden, stellen Sie sicher, dass der macOS-Computer darauf zugreifen kann. Der Pfad muss über IPsec- oder SMB-Signatur gesichert werden.

    Die in das Admin Center importierte umschlossene Anwendung sollte sich auf demselben Computer befinden, auf dem Sie das Tool ausführen. Wenn sich die Datei in einem UNC-Pfad befindet, stellen Sie sicher, dass auf dem Computer, auf dem das Admin Center ausgeführt wird, darauf zugegriffen werden kann. Der Pfad muss über IPsec- oder SMB-Signatur gesichert werden.

  • Die Umgebung, in der die App Wrapping Tool aus dem GitHub-Repository heruntergeladen wird, muss durch IPsec- oder SMB-Signatur geschützt werden.

  • Die von Ihnen verarbeitete App muss aus einer vertrauenswürdigen Quelle stammen, um den Schutz vor Angriffen sicherzustellen.

  • Stellen Sie sicher, dass der Ausgabeordner, den Sie im App Wrapping Tool angeben, geschützt ist, insbesondere, wenn es sich um einen Remoteordner handelt.

  • iOS-Apps, die ein Dialogfeld zum Hochladen von Dateien enthalten, können Benutzern das Umgehen, Ausschneiden, Kopieren und Einfügen von Einschränkungen ermöglichen, die auf die App angewendet werden. Beispielsweise kann ein Benutzer das Dialogfeld dateiupload verwenden, um einen Screenshot der App-Daten hochzuladen.

  • Wenn Sie den Ordner dokumente auf Ihrem Gerät in einer umschlossenen App überwachen, wird möglicherweise ein Ordner namens angezeigt .msftintuneapplauncher. Wenn Sie diese Datei ändern oder löschen, kann sich dies auf die ordnungsgemäße Funktionsweise eingeschränkter Apps auswirken.

  • Durch das Registrieren benutzerdefinierter URL-Schemas können bestimmte URLs in Ihre App umgeleitet werden. iOS und iPadOS ermöglichen es mehreren Apps, dasselbe benutzerdefinierte URL-Schema zu registrieren, und das Betriebssystem bestimmt, welche Anwendung aufgerufen wird. In der Apple-Dokumentation Definieren eines benutzerdefinierten URL-Schemas für Ihre App finden Sie Empfehlungen zur Vermeidung von Kollisionen mit benutzerdefinierten URL-Schemas und Sicherheitsrichtlinien für die Behandlung falsch formatierter URLs.

Zusätzliche Ressourcen

  • Last updated on