適用於 Android 的 Microsoft Intune 應用程式 SDK 可讓您將 Intune 應用程式保護原則 (也稱為 MAM 原則) 併入原生 Java/Kotlin Android 應用程式。 Intune 受控應用程式是與 Intune 應用程式 SDK 整合的應用程式。 當 Intune 主動管理應用程式時,Intune 系統管理員可以輕鬆地將應用程式保護原則部署至 Intune 管理的應用程式。
第 1 階段:規劃整合
本指南適用於想要在其現有 Android 應用程式內新增 Microsoft Intune 應用程式保護原則支援的 Android 開發人員。
階段 Goals
- 瞭解哪些應用程式保護政策設定適用於 Android,以及這些政策如何在應用程式內運作。
- 瞭解 SDK 整合程式中的關鍵決策點,並規劃應用程式的整合。
- 瞭解整合 SDK 的應用程式需求。
- 建立測試 Intune 租用戶,並設定 Android 應用程式保護原則。
了解 MAM
開始將 Intune 應用程式 SDK 整合至 Android 應用程式之前,請花點時間熟悉 Microsoft Intune 的行動應用程式管理解決方案:
- Microsoft Intune 應用程式管理 提供不同平臺上 MAM 功能的高階概觀,以及在 Microsoft Intune 系統管理中心中找到這些功能的位置。
- Intune 應用程式 SDK 概觀 會深入一層,描述 SDK 的目前功能。
- Android 應用程式保護原則設定 會詳細說明每個 Android 設定。 您的應用程式將透過整合 SDK 來支援這些設定。 在 SDK 整合程式期間,您也會在自己的測試租用戶中設定這些設定以進行驗證。
注意事項
某些 Android 應用程式保護原則設定需要特定程式碼才能支援。 請參閱 第 7 階段:應用程式參與功能以 取得更多詳細資訊。
SDK 整合的關鍵決策
我需要向 Microsoft 身分識別平台註冊我的應用程式嗎?
是,所有與 Intune SDK 整合的應用程式都必須向 Microsoft 身分識別平台註冊。 請遵循快速入門:在 Microsoft 身分識別平台中註冊應用程式 - Microsoft 身分識別平台中的步驟。
我可以存取應用程式的原始程式碼嗎?
如果您無法存取應用程式的原始程式碼,且只能存取 .apk 或 .aab 格式的編譯應用程式,則無法將 SDK 整合到應用程式中。 不過,您的應用程式可能仍與 Intune 應用程式保護原則相容。 如需詳細資訊,請參閱適用於 Android 的 App Wrapping Tool。
我的應用程式應該將 Microsoft 驗證程式庫整合 (MSAL) 嗎?
請參閱 MSAL (Microsoft驗證程式庫概觀) ,以判斷您的應用程式是否需要整合 MSAL。 大部分的應用程式都必須先整合 MSAL,才能整合 Intune SDK。
只有 在下列所有條件都成立時,您的應用程式才能略過整合 MSAL:
- 您的應用程式沒有或不需要互動式登入和登出使用者體驗。
- 您的應用程式不支援同時登入多個帳戶。
- 您的應用程式不需要支援非 Intune 帳戶。
- 您的應用程式不會授與任何受條件式存取保護之資源的存取權。
如果您的應用程式符合 上述所有條件 ,且未整合 MSAL,則它仍然可以受到應用程式保護原則的保護,雖然沒有未受控使用量的選項。 如需詳細資訊,請參閱 預設註冊 。
如需整合 MSAL 的指示,以及應用程式內身分識別案例的其他詳細資料,請參閱階段 2:MSAL 必要條件 。
我的應用程式是單一身分識別還是多重身分識別?
如果沒有 Intune 應用程式保護原則支援,您的應用程式如何處理使用者驗證和帳戶?
您的應用程式目前是否只允許登入單一帳戶? 您的應用程式是否在允許另一個帳戶登入之前明確強制登入帳戶登出並刪除先前帳戶的資料? 如果是,您的應用程式是 單一身分識別。
您的應用程式目前是否允許第二個帳戶登入,即使已登入其他帳戶? 您的應用程式是否在共用畫面上顯示多個帳戶的資料? 您的應用程式是否儲存多個帳戶的資料? 您的應用程式是否允許使用者在不同的登入帳戶之間切換? 如果是,您的應用程式是 多重身分識別 ,您必須遵循 階段 5:多重身分識別。 您的應用程式需要此區段。
即使您的應用程式是多重身分識別,也請依序遵循此整合指南。 最初作為單一身分進行整合和測試將有助於確保正確的整合並防止公司資料最終不受保護的錯誤。
我的應用程式是否有或需要應用程式組態設定?
Android 支援 應用程式特定的管理設定 ,這些設定適用於在 Android Enterprise 管理模式下部署的應用程式。 系統管理員可以在 Microsoft Intune 系統管理中心中為受控 Android Enterprise 裝置設定這些應用程式設定原則。
Intune 也支援套用至 SDK 整合應用程式的應用程式設定,而不論裝置管理模式為何。 系統管理員可以在 Microsoft Intune 系統管理中心為受控應用程式設定這些應用程式設定原則。
Intune 應用程式 SDK 支援這兩種類型的應用程式設定,並提供單一 API 來從這兩個通道存取設定。 如果您的應用程式具有或將支援其中一種類型的應用程式設定,您必須遵循階段 6:應用程式組態。
我的應用程式是否需要為資料輸入和輸出定義細微保護?
如果您的應用程式允許使用者將資料儲存至雲端服務或裝置位置,或從雲端服務或裝置位置開啟資料,則必須進行變更,以支援增強型資料傳輸原則。 請參閱第 7 階段:應用程式參與功能中限制應用程式與裝置或雲端儲存位置之間資料傳輸的政策。
我的應用程式是否顯示包含使用者特定資訊的通知?
多重身分識別應用程式必須進行程式代碼變更,才能正確遵守通知原則。 單一身分識別應用程式可能會想要變更程式碼,因此此通知原則不會封鎖其應用程式的 100% 通知。 請參閱第 7 階段:應用程式參與功能中限制通知內內容的政策。
我的應用程式支援 Android 的備份和還原功能嗎?
Android 支援 備份和還原 功能,可在使用者升級至新裝置或重新安裝應用程式時,為使用者保留資料和個人化功能。
Intune 也支援 SDK 整合應用程式的備份和還原功能,以確保公司數據不會透過還原外洩。
如果您的應用程式支援這項功能,則必須變更程式碼,才能在還原期間保護公司資料。 請參閱第 7 階段:應用程式參與功能中的保護備份資料的原則。
我的應用程式是否有應該受到條件式存取保護的資源?
條件式存取 (CA) 是一項 Microsoft Entra ID 功能,可用來控制對Microsoft Entra資源的存取。 Intune 系統管理員可以定義 CA 規則,只允許從 Intune 所管理的裝置或應用程式存取資源。
Intune 支援兩種類型的 CA:裝置型 CA 和應用程式型 CA,也稱為應用程式保護 CA。 裝置型 CA 會封鎖對受保護資源的存取,直到整個裝置由 Intune 管理為止。 應用程式型 CA 會封鎖受保護資源的存取,直到特定應用程式由 Intune 應用程式保護原則管理為止。
如果您的應用程式取得任何 Microsoft Entra 存取權杖,並存取可受 CA 保護的資源,您必須遵循階段 7:應用程式參與功能中的支援應用程式保護 CA。
我的應用程式是否有不同的主題,需要在 Intune 應用程式 SDK 所顯示的 UI 中持續存在?
根據預設,Intune 應用程式 SDK 會根據預設主題顯示著色的原則強制執行 UI 元件。
覆寫預設佈景主題的能力是裝飾性的,而且是可選的。 請參閱在階段 7:應用程式參與功能中提供自訂佈景主題。
需求
公司入口網站應用程式
適用於 Android 的 Intune 應用程式 SDK 依賴裝置上公司入口網站應用程式的存在,來啟用應用程式保護原則。 公司入口網站會從 Intune 服務擷取應用程式保護原則。 當 SDK 整合應用程式初始化時,它會載入原則和程式代碼,以從公司入口網站強制執行該原則。
注意事項
當公司入口網站應用程式不在裝置上時,SDK 整合應用程式的行為與不支援 Intune 應用程式保護原則的一般應用程式相同。 即使公司入口網站應用程式位於裝置上,當終端使用者未以應用程式保護原則為目標時,SDK 整合應用程式的行為也會與一般應用程式相同。
使用者不需要登入,甚至不需要啟動公司入口網站應用程式,應用程式保護原則即可運作。
安卓版本
注意事項
確保您的應用程式符合 Google Play 要求。
SDK 完全支援 Android API 28 (Android 9.0) ,以及 Android API 36 (Android 16) 。
若要以 Android API 36 (Android 16) 為目標,您必須使用 Intune 應用程式 SDK v12.0.0 或更新版本。
Android 8.0 - 8.1) (API 26 到 27 的支援有限。 Android API 26 (Android 8.0) 以下不支援 公司入口網站 應用程式。 Android API 28 (Android 9.0) 以下不支援應用程式保護原則。
如果您的應用程式宣 minSdkVersion 告至 API 28 (Android 9.0) 以下的 API 層級,則 Intune 應用程式 SDK 不會封鎖應用程式保護原則未以應用程式保護原則為目標的使用者使用應用程式。
遙測
適用於 Android 的 Intune 應用程式 SDK 不會控制來自您應用程式的資料收集。 公司入口網站應用程式預設會記錄系統產生的資料。 此數據會傳送至 Microsoft Intune。 根據 Microsoft 原則,Intune 不會收集任何個人資料。
提示
如果終端使用者選擇不傳送此數據,他們必須在公司入口網站應用程式的 [設定] 底下關閉遙測。 若要深入瞭解,請參閱 關閉 Microsoft 使用量資料收集。
建立測試 Android 應用程式保護原則
示範租用戶設定
如果您還沒有公司的租用戶,您可以建立示範租用戶,無論是否包含預先產生的資料。 您必須註冊為 Microsoft 合作夥伴 ,才能存取 Microsoft CDX。 若要建立新帳戶:
- 流覽至 Microsoft CDX 租用戶建立網站,並建立 Microsoft 365 企業版租用戶。
- 設定 Intune 以啟用 MDM) (行動裝置管理。
- 建立使用者。
- 建立群組。
- 根據您的測試分配適當的許可證。
應用程式防護原則設定
在 Microsoft Intune 系統管理中心建立和指派應用程式保護原則。 除了建立應用程式保護原則之外,您還可以在 Intune 中建立和指派 應用程式設定原則 。
在您自己的應用程式中測試應用程式保護原則設定之前,熟悉這些設定在其他 SDK 整合應用程式中的行為方式會很有幫助。
提示
如果您的應用程式未列在 Microsoft Intune 系統管理中心中,您可以選取 [ 更多應用程式 ] 選項,並在文字方塊中提供套件名稱,以原則為目標。 您必須使用應用程式保護原則來鎖定您的應用程式,並將原則部署至使用者,才能成功測試您的整合。 即使原則是目標並部署,您的應用程式在成功整合 SDK 之前,也不會正確強制執行原則。
退出條件
- 您是否熟悉不同的應用程式保護策略設定在 Android 應用程式中的行為方式?
- 您是否已檢閱您的應用程式,並規劃應用程式圍繞 MSAL、條件式存取、多重身分識別、應用程式組態和所有其他 SDK 功能的整合?
- 您是否在測試租用戶內建立 Android 應用程式保護原則?
常見問題集
為什麼 Android 上的應用程式保護原則需要公司入口網站應用程式?
Android 公司入口網站會代表裝置上所有已啟用 MAM 的應用程式,從 Intune 服務擷取並保存應用程式保護原則。 當已啟用 MAM 的應用程式初始化時,會從公司入口網站匯入原則詳細數據和強制執行這些原則設定的程式代碼。 公司入口網站也包含程式代碼,以減少向終端使用者顯示的驗證提示數目。 最後,公司入口網站會收集系統資料以改善 Intune 服務;如需詳細資訊,請參閱遙測。
注意事項
此應用程式保護原則的公司入口網站功能是 Android 特有的。
當具有不支援裝置的使用者以應用程式保護原則為目標時,會發生什麼事?
Intune 應用程式保護原則不支援的 Android 裝置上的終端使用者體驗取決於裝置的 Android OS 版本:
| Android 作業系統版本 | Google Play 行為 | MAM 應用程式行為 |
|---|---|---|
| Android 8.0 以下 | 無法從 Google Play 下載公司入口網站應用程式。 已安裝公司入口網站的裝置將無法更新至新版本的公司入口網站。 | MAM 功能不會普遍封鎖。 不過,由於 SDK 整合的應用程式隨附新版本的 SDK,因此 MAM 目標使用者將遭到封鎖,無法進入這些應用程式,因為他們無法更新公司入口網站。 當具有 MAM 原則目標且先前已登入應用程式的使用者啟動這類應用程式時,系統會提示他們升級公司入口網站。 使用者可以從應用程式中移除 MAM 目標帳戶,以減輕此行為。 如果使用者解除安裝公司入口網站,其帳戶會自動從應用程式中移除,但他們將無法使用 MAM 目標帳戶重新登入。 |
| Android 8.x | 公司入口網站應用程式將可從 Google Play 下載。 已安裝公司入口網站的裝置仍可更新至新版本的公司入口網站。 | MAM 功能不會主動封鎖。 但是,Android 8.x 不受支持,MAM 功能可能無法如預期運行。 |
什麼是應用程式包裝工具?
Android 應用程式開發人員有多種方式將 Intune 功能整合到其應用程式中。 除了本指南所述的 SDK 之外,開發人員還可以使用 App Wrapping Tool for Android。 如需 SDK 與應用程式包裝工具之間的詳細比較,請參閱 準備應用程式保護原則的企業營運應用程式 。
後續步驟
完成上述所有 結束準則 之後,請繼續進行 階段 2:MSAL 必要條件。