Freigeben über


Intune App SDK für Android: Grundlegendes zu den MSAL-Voraussetzungen

Mit dem Microsoft Intune App SDK für Android können Sie Intune App-Schutzrichtlinien (auch als APP- oder MAM-Richtlinien bezeichnet) in Ihre native Java/Kotlin Android-App integrieren. Eine Intune verwaltete Anwendung ist eine Anwendung, die in das Intune App SDK integriert ist. Intune Administratoren können App-Schutzrichtlinien ganz einfach für Ihre Intune verwaltete App bereitstellen, wenn Intune die App aktiv verwaltet.

Hinweis

Dieser Leitfaden ist in mehrere unterschiedliche Phasen unterteilt. Sehen Sie sich zunächst Phase 1: Planen der Integration an.

Phase 2: Die MSAL-Voraussetzung

Stage Goals

  • Registrieren Sie Ihre Anwendung bei Microsoft Entra ID.
  • Integrieren Sie MSAL in Ihre Android-Anwendung.
  • Vergewissern Sie sich, dass Ihre Anwendung ein Token abrufen kann, das Zugriff auf geschützte Ressourcen gewährt.

Hintergrund

Die Microsoft Authentication Library (MSAL) bietet Ihrer Anwendung die Möglichkeit, die Microsoft Cloud zu verwenden, indem Microsoft Entra ID- und Microsoft-Konten unterstützt werden.

MSAL ist nicht spezifisch für Intune. Intune ist von Microsoft Entra ID abhängig. Alle Intune Benutzerkonten sind Microsoft Entra Konten. Daher muss die überwiegende Mehrheit der Android-Anwendungen, die das Intune App SDK integrieren, MSAL als Voraussetzung integrieren.

In dieser Phase des SDK-Handbuchs wird der MSAL-Integrationsprozess im Zusammenhang mit Intune beschrieben. Befolgen Sie die verknüpften MSAL-Leitfäden vollständig.

Um den Integrationsprozess des Intune App SDK zu vereinfachen, wird Android-App-Entwicklern dringend empfohlen, MSAL vollständig zu integrieren und zu testen, bevor sie das Intune App SDK herunterladen. Der Integrationsprozess für Intune App SDK erfordert Codeänderungen für den MSAL-Tokenabruf. Es ist einfacher, die Intune spezifischen Tokenabrufänderungen zu testen, wenn Sie bereits bestätigt haben, dass die ursprüngliche Tokenerwerbsimplementierung Ihrer App wie erwartet funktioniert.

Weitere Informationen zu Microsoft Entra ID finden Sie unter Was ist Microsoft Entra ID?

Weitere Informationen zu MSAL finden Sie im MSAL-Wiki und in der Liste der MSAL-Bibliotheken.

Registrieren Ihrer Anwendung bei Microsoft Entra ID

Vor der Integration von MSAL in Ihre Android-Anwendung müssen sich alle Apps beim Microsoft Identity Platform registrieren. Führen Sie die Schritte unter Schnellstart: Registrieren einer App im Microsoft Identity Platform – Microsoft Identity Platform aus. Dadurch wird eine Client-ID für Ihre Anwendung generiert.

Befolgen Sie als Nächstes die Anweisungen, um Ihrer App Zugriff auf den Intune Verwaltungsdienst für mobile Apps zu gewähren.

Konfigurieren der Microsoft-Authentifizierungsbibliothek (MICROSOFT Authentication Library, MSAL)

Lesen Sie zunächst die MSAL-Integrationsrichtlinien im MSAL-Repository auf GitHub, insbesondere den Abschnitt zur Verwendung von MSAL.

In diesem Leitfaden wird folgendes beschrieben:

  • Fügen Sie MSAL als Abhängigkeit zu Ihrer Android-Anwendung hinzu.
  • Erstellen Sie eine MSAL-Konfigurationsdatei.
  • Konfigurieren Sie den ihrer AndroidManifest.xmlAnwendung.
  • Fügen Sie Code hinzu, um ein Token abzurufen.

Brokerauthentifizierung

Mit dem einmaligen Anmelden (Single Sign-On, SSO) können Benutzer ihre Anmeldeinformationen nur einmal eingeben, sodass diese Anmeldeinformationen anwendungsübergreifend automatisch funktionieren. MSAL kann SSO in Ihrer App-Suite aktivieren. Mithilfe einer Brokeranwendung (entweder Microsoft Authenticator oder Microsoft Intune Unternehmensportal) können Sie einmaliges Anmelden auf das gesamte Gerät erweitern. Die Brokerauthentifizierung ist auch für bedingten Zugriff erforderlich. Weitere Informationen zur Brokerauthentifizierung finden Sie unter Aktivieren des app-übergreifenden einmaligen Anmeldens unter Android mithilfe von MSAL .

In diesem Leitfaden wird davon ausgegangen, dass Sie die Brokerauthentifizierung in Ihren Anwendungen aktivieren, indem Sie die Schritte unter dem obigen Link ausführen, insbesondere Generieren eines Umleitungs-URI für einen Broker und Konfigurieren von MSAL für die Verwendung eines Brokers für die Konfiguration und Überprüfen der Brokerintegration für Tests.

Wenn Sie in Ihrer Anwendung keine Brokerauthentifizierung aktivieren, achten Sie besonders auf Intune spezifische MSAL-Konfiguration.

konfiguration der Intune-spezifischen MSAL-Umgebung

Standardmäßig fordern Intune Token aus der Microsoft Entra öffentlichen Umgebung an. Wenn Ihre Anwendung eine nicht standardmäßige Umgebung erfordert, z. B. eine Sovereign Cloud, muss der -Einstellung Ihrer Anwendung AndroidManifest.xmldie folgende Einstellung hinzugefügt werden. Wenn festgelegt, stellt die eingegebene Microsoft Entra-Autorität die Token für Ihre Anwendung aus. Dadurch wird sichergestellt, dass die Authentifizierungsrichtlinie Intune ordnungsgemäß erzwungen wird.

<meta-data
    android:name="com.microsoft.intune.mam.aad.Authority"
    android:value="https://AAD authority/" />

Achtung

Die meisten Apps sollten den Parameter Authority nicht festlegen. Darüber hinaus dürfen Anwendungen, die MSAL nicht integrieren, diese Eigenschaft nicht im Manifest enthalten.

Weitere Informationen zu nicht Intune spezifischen MSAL-Konfigurationsoptionen finden Sie unter Konfigurationsdatei der Android-Microsoft-Authentifizierungsbibliothek.

Weitere Informationen zu Sovereign Clouds finden Sie unter Verwenden von MSAL in einer nationalen Cloudumgebung.

Exitkriterien

  • Haben Sie MSAL in Ihre Anwendung integriert?
  • Haben Sie die Brokerauthentifizierung aktiviert, indem Sie einen Umleitungs-URI generiert und in der MSAL-Konfigurationsdatei festgelegt haben?
  • Haben Sie die Intune-spezifischen MSAL-Einstellungen im AndroidManifest.xmlkonfiguriert?
  • Haben Sie die Brokerauthentifizierung getestet, bestätigt, dass dem Konto-Manager von Android ein Geschäftskonto hinzugefügt wird, und haben Sie einmaliges Anmelden mit anderen Microsoft 365-Apps getestet?
  • Wenn Sie den bedingten Zugriff implementiert haben, haben Sie sowohl die gerätebasierte Als auch die appbasierte Zertifizierungsstelle getestet, um Ihre Implementierung der Zertifizierungsstelle zu überprüfen?

Häufig gestellte Fragen

Was ist mit ADAL?

Die vorherige Authentifizierungsbibliothek von Microsoft, die Azure Active Directory-Authentifizierungsbibliothek (ADAL), ist veraltet.

Wenn Ihre Anwendung bereits ADAL integriert hat, finden Sie weitere Informationen unter Aktualisieren Ihrer Anwendungen für die Verwendung der Microsoft-Authentifizierungsbibliothek (MICROSOFT Authentication Library, MSAL). Informationen zum Migrieren Ihrer App von ADAL zu MSAL finden Sie unter Migrieren von Android ADAL zu MSAL und Unterschiede zwischen ADAL und MSAL.

Es wird empfohlen, vor der Integration des Intune App SDK von ADAL zu MSAL zu migrieren.

Nächste Schritte

Nachdem Sie alle oben genannten Exitkriterien erfüllt haben, fahren Sie mit Phase 3: Erste Schritte mit MAM fort.