Microsoft Intune App SDK for iOS 允许将 Intune 应用保护策略 (也称为 APP 或 MAM 策略) 合并到本机 iOS 应用中。 已启用 MAM 的应用程序是与 Intune 应用 SDK 集成的应用程序。 当 Intune 主动管理应用时,IT 管理员可以将应用保护策略部署到移动应用。
重要
Intune 定期发布 Intune 应用 SDK 的更新。 建议订阅 Intune 应用 SDK 存储库以获取更新,以便将更新合并到软件开发发布周期,并确保应用支持最新的应用保护策略设置。
计划在每个主要 OS 版本之前执行必需的 Intune 应用 SDK 更新,以确保应用继续顺利运行,因为 OS 更新可能会导致中断性变更。 如果未在主要 OS 版本之前更新到最新版本,则可能会遇到中断性变更和/或无法将应用保护策略应用到应用的风险。
阶段 1:规划集成
本指南面向希望在其现有 iOS 应用中添加对 Microsoft Intune 应用保护策略的支持的 iOS 开发人员。
阶段Goals
- 了解哪些应用保护策略设置可用于 iOS,以及这些策略如何在应用程序中工作。
- 了解 SDK 集成过程中的关键决策点,并规划应用的集成。
- 了解集成 SDK 的应用程序的要求。
- 创建测试 Intune 租户并配置 iOS 应用保护策略。
了解 MAM
在开始将 Intune App SDK 集成到 iOS 应用程序之前,请花点时间熟悉 intune 的移动应用程序管理解决方案Microsoft:
- 什么是 Microsoft Intune 应用管理 提供了不同平台上的 MAM 功能的高级概述,以及可在 Microsoft Intune 管理中心中找到这些功能的位置。
- Intune 应用 SDK 概述 更深入地介绍了 SDK 的当前功能。
- Intune 应用 SDK 入门指南 介绍了如何在每个受支持的平台上准备集成。
- iOS 应用保护策略设置 详细描述了每个 iOS 设置。 你的应用将通过集成 SDK 来支持这些设置。 在 SDK 集成过程中,你还将在自己的测试租户中配置这些设置,以便进行验证。
- (Microsoft Intune 中的移动应用程序管理的可选) 计划 - 培训 |Microsoft Learn 介绍了如何使用 Microsoft Intune 规划移动应用程序管理,重点是将应用添加到 Intune、使用应用保护策略和应用配置策略以及排查应用保护策略部署问题。
SDK 集成的关键决策
是否需要将应用程序注册到 Microsoft 标识平台?
是的,与 Intune SDK 集成的所有应用都需要注册到 Microsoft 标识平台。 请按照快速入门:在 Microsoft 标识平台 - Microsoft 标识平台 中注册应用中的步骤作。
我是否有权访问应用程序的源代码?
如果无权访问应用程序的源代码,并且只能以 .app 或 .ipa 格式访问已编译的应用程序,则无法将 SDK 集成到应用程序中。 但是,应用程序可能仍与 Intune 应用保护策略兼容。 有关更多详细信息,请参阅适用于 iOS 的App Wrapping Tool。
我的应用程序是否应将 Microsoft 身份验证库 (MSAL) 集成?
是的,在集成 Intune SDK 之前,需要与 MSAL 集成。 在与 MSAL 集成之前,所有应用都需要向Microsoft 标识平台注册。 请按照快速入门:在 Microsoft 标识平台 - Microsoft 标识平台 中注册应用中的步骤作。
有关集成 MSAL 的说明和有关应用程序中标识方案的其他详细信息,请参阅 阶段 2:MSAL 先决条件和设置 。
我的应用程序是单标识还是多标识?
如果没有 Intune 应用保护策略支持,应用程序如何处理用户身份验证和帐户?
应用程序当前是否只允许一个帐户登录? 应用程序是否在允许另一个帐户登录之前显式强制登录帐户注销并删除该上一帐户的数据? 如果是,则应用程序是 单一标识。
应用程序当前是否允许第二个帐户登录,即使其他帐户已登录? 应用程序是否在共享屏幕上显示多个帐户的数据? 应用程序是否存储多个帐户的数据? 应用程序是否允许用户在不同的登录帐户之间切换? 如果是这样,则应用程序是 多标识的 ,你将需要遵循 阶段 5:启用多标识。 你的应用需要此部分。
即使应用程序是多标识的,也按顺序遵循此集成指南。 最初,集成和测试作为单一标识将有助于确保正确集成,并防止出现公司数据最终不受保护的 bug。
如果我的应用使用 .NET 多平台应用 UI (.NET MAUI) 生成,该怎么办?
如果应用使用 .NET 多平台应用 UI (.NET MAUI) 生成,请参阅 适用于 .NET MAUI 的 Intune App SDK - iOS。
我的应用程序是否具有或需要应用程序配置设置?
Intune 支持适用于 SDK 集成应用程序的应用程序配置,而不管设备管理模式如何。 管理员可以在 Microsoft Intune 管理中心中为托管应用配置这些应用程序配置策略。
Intune App SDK 支持这两种类型的应用程序配置,并提供单个 API 用于从两个通道访问配置。 如果应用程序具有或将支持上述任一类型的应用程序配置,则需要遵循 第 4 阶段:为 iOS 应用程序启用目标配置 (APP/MAM 应用配置) 。
有关如何在 iOS 中创建面向 MAM 的应用配置策略的详细信息,请参阅 如何使用适用于 iOS/iPadOS 的 Microsoft Intune 应用配置策略中的面向 MAM 的应用配置部分。
应用程序是否需要为数据入口和出口定义精细保护?
如果你的应用允许用户将数据保存到云服务或设备位置或从云服务或设备位置打开数据,则必须进行更改以支持增强的数据传输策略。 请参阅 管理 Microsoft Intune 中的 iOS 应用之间的数据传输。
我的应用程序是否具有应受条件访问保护的资源?
条件访问 (CA) 是一项Microsoft Entra ID 功能,可用于控制对Microsoft Entra资源的访问。 Intune 管理员可以定义仅允许从 Intune 管理的设备或应用进行资源访问的 CA 规则。
Intune 支持两种类型的 CA: 基于设备的 CA 和 基于应用的 CA,也称为 应用保护 CA。 在 Intune 管理整个设备之前,基于设备的 CA 会阻止对受保护资源的访问。 在 Intune 应用保护策略管理特定应用之前,基于应用的 CA 会阻止对受保护资源的访问。
如果应用获取任何Microsoft Entra访问令牌并访问可受 CA 保护的资源,则需要遵循 [阶段 4:应用保护 CA 支持]。
创建测试 iOS 应用保护策略
演示租户设置
如果你的公司还没有租户,则可以创建包含或不具有预生成数据的演示租户。 必须注册为 Microsoft合作伙伴 才能访问 CDX Microsoft。 若要创建新帐户,请执行以下作:
- 导航到 Microsoft CDX 租户创建站点并创建Microsoft 365 企业版租户。
- 设置 Intune 以启用移动设备管理 (MDM) 。
- 创建用户。
- 创建组。
- 根据测试情况分配许可证。
应用保护策略配置
在 Microsoft Intune 管理中心中创建和分配应用保护策略。 除了创建应用保护策略外,还可以在 Intune 中创建和分配 应用配置策略 。
在自己的应用程序中测试应用保护策略设置之前,熟悉这些设置在其他 SDK 集成应用程序中的行为方式会很有帮助。
提示
如果你的应用未在 Microsoft Intune 管理中心列出,则可以通过选择“ 更多应用 ”选项并在文本框中提供包名称,从而使用策略将其作为目标。 必须使用应用保护策略将应用作为目标,并将策略部署到用户才能成功测试集成。 即使策略是针对和部署的,应用在成功集成 SDK 之前不会正确强制实施策略。
退出条件
- 你是否已熟悉 iOS 应用程序中不同的应用保护策略设置的行为?
- 你是否已查看应用,并规划了围绕 MSAL、条件访问、多标识、应用程序配置和所有其他 SDK 功能的应用集成?
- 是否已在测试租户中创建 iOS 应用保护策略?
常见问题
从何处下载 SDK?
若要下载 SDK,请参阅 下载 SDK 文件。
在何处报告将 Intune 应用 SDK 集成到应用中的问题?
请在 GitHub 上提交 协助请求 。
后续步骤
完成上述所有 退出条件 后,请继续学习 阶段 2:MSAL 先决条件和设置。