適用於 Android 的 Microsoft Intune 應用程式 SDK 可讓您將 Intune 應用程式保護原則 (也稱為 MAM 原則) 併入原生 Java/Kotlin Android 應用程式。 Intune 受控應用程式是與 Intune 應用程式 SDK 整合的應用程式。 當 Intune 主動管理應用程式時,Intune 系統管理員可以輕鬆地將應用程式保護原則部署至 Intune 管理的應用程式。
注意事項
本指南分為幾個不同的階段。 首先檢閱第 1 階段:規劃整合。
階段 2:MSAL 必要條件
階段 Goals
- 使用 Microsoft Entra ID 註冊您的應用程式。
- 將 MSAL 整合至您的 Android 應用程式。
- 確認您的應用程式可以取得權杖,以授與受保護資源的存取權。
Background
MSAL (Microsoft 驗證程式庫) 可讓您的應用程式支援 Microsoft Entra ID 和 Microsoft 帳戶,以使用 Microsoft 雲端。
MSAL 並非 Intune 專屬。 Intune 相依於 Microsoft Entra ID;所有 Intune 使用者帳戶都是 Microsoft Entra 帳戶。 因此,絕大多數整合 Intune 應用程式 SDK 的 Android 應用程式都需要整合 MSAL 作為必要條件。
SDK 指南的此階段概觀與 Intune 相關的 MSAL 整合程式;完整 遵循連結的 MSAL 指南。
為了簡化 Intune 應用程式 SDK 整合程式, 強烈建議 Android 應用程式開發人員在下載 Intune 應用程式 SDK 之前完全整合和測試 MSAL。 Intune 應用程式 SDK 整合程式 確實 需要變更 MSAL 權杖取得的程式代碼。 如果您已確認應用程式的原始權杖取得實作如預期般運作,則測試 Intune 特定的權杖取得變更會更容易。
若要深入瞭解 Microsoft Entra ID,請參閱什麼是 Microsoft Entra ID?
若要深入瞭解 MSAL,請參閱 MSAL Wiki 和 MSAL 程式庫清單。
使用 Microsoft Entra ID 註冊您的應用程式
在將 MSAL 整合至 Android 應用程式之前,所有應用程式都必須向 Microsoft 身分識別平台註冊。 請遵循快速入門:在 Microsoft 身分識別平台中註冊應用程式 - Microsoft 身分識別平台中的步驟。 這會為您的應用程式產生 用戶端識別碼 。
接下來,請遵循指示, 讓您的應用程式存取 Intune 行動應用程式管理服務。
設定 MSAL) (Microsoft驗證程式庫
首先,請閱讀 GitHub 上 MSAL 存放庫中的 MSAL 整合指導方針,特別是 使用 MSAL 的區段。
本指南說明如何:
- 將 MSAL 新增為 Android 應用程式的相依性。
- 建立 MSAL 組態檔。
- 設定應用程式的
AndroidManifest.xml. - 新增程式碼以取得權杖。
代理驗證
單一登入 (SSO) 允許使用者只輸入一次憑證,並讓這些憑證自動跨應用程式運作。 MSAL 可以在您的應用程式套件中啟用 SSO;透過使用代理程式應用程式 (Microsoft Authenticator 或 Microsoft Intune 公司入口網站) ,您可以將 SSO 延伸至整個裝置。 條件式存取也需要代理驗證。 如需代理驗證的詳細資訊,請參閱使用 MSAL 在 Android 上啟用跨應用程式 SSO 。
本指南假設您遵循上述連結中的步驟, (在應用程式內啟用代理驗證) ,特別是 產生代理程式的重新導向 URI 和 設定 MSAL 以使用代理程式 進行設定,以及 驗證代理程式整合 進行測試。
如果您未在應用程式中啟用代理驗證,請特別注意 Intune 特定的 MSAL 設定。
Intune 特定的 MSAL 環境設定
根據預設,Intune 會從 Microsoft Entra 公用環境要求權杖。 如果您的應用程式需要非預設環境 (例如主權雲端) ,則必須將下列設定新增至應用程式的 AndroidManifest.xml。
設定時,輸入的 Microsoft Entra 授權單位會為您的應用程式發出權杖。
這可確保正確強制執行 Intune 的驗證原則。
<meta-data
android:name="com.microsoft.intune.mam.aad.Authority"
android:value="https://AAD authority/" />
注意
大部分的應用程式都不應設定 Authority 參數。 此外,未整合 MSAL 的應用程式 不得 在資訊清單中包含此屬性。
如需非 Intune 特定 MSAL 組態選項的詳細資訊,請參閱 Android Microsoft 驗證程式庫組態檔。
如需主權雲端的詳細資訊,請參閱 在 國家雲端環境中使用 MSAL。
退出條件
- 您是否已將 MSAL 整合至您的應用程式?
- 您是否已產生重新導向 URI 並在 MSAL 組態檔中設定它,以啟用代理程式驗證?
- 您是否在 ?
AndroidManifest.xml - 您是否測試過代理驗證、確認公司帳戶已新增至 Android 的帳戶管理員,以及測試其他 Microsoft 365 應用程式的 SSO?
- 如果您實作條件式存取,您是否同時測試了裝置型 CA 和應用程式型 CA,以驗證您的 CA 實作?
常見問題集
ADAL 呢?
Microsoft 先前的驗證程式庫 Azure Active Directory 驗證程式庫 (ADAL) ,已被 取代。
如果您的應用程式已整合 ADAL,請參閱 更新您的應用程式以使用 MSAL (驗證程式庫) Microsoft 。 若要將應用程式從 ADAL 移轉至 MSAL,請參閱 將 Android ADAL 移轉至 MSAL 和 ADAL 與 MSAL 之間的差異。
建議先從 ADAL 移轉至 MSAL,再整合 Intune 應用程式 SDK。
後續步驟
完成上述所有結束準則之後,請繼續進行階段 3:使用者入門使用 MAM。