Настройка Mobile Application Management (MAM) для корпоративного приложения

TRUETECH занимается разработкой, поддержкой и обслуживанием мобильных приложений iOS, Android, PWA. Имеем большой опыт и экспертизу для публикации мобильных приложений в популярные маркеты Google Play, App Store, Amazon, AppGallery и другие.
8+Лет на рынке900+Реализованных проектов100+Разработчиков в штате19+Партнеров

Разработка и поддержка любых видов мобильных приложений:

Информационные и развлекательные мобильные приложения
Новостные приложения, игры, справочники, онлайн-каталоги, погодные, фитнес и здоровье, туристические, образовательные, социальные сети и мессенджеры, квиз, блоги и подкасты, форумы, агрегаторы
Мобильные приложения электронной коммерции
Интернет-магазины, B2B-приложения, маркетплейсы, онлайн-обменники, кэшбэк-сервисы, биржи, дропшиппинг-платформы, программы лояльности, доставка еды и товаров, платежные системы
Мобильные приложения для управления бизнес-процессами
CRM-системы, ERP-системы, управление проектами, инструменты для команды продаж, учет финансов, управление производством, логистика и доставка, управление персоналом, системы мониторинга данных
Мобильные приложения электронных услуг
Доски объявлений, онлайн-школы, онлайн-кинотеатры, платформы предоставления электронных услуг, платформы кешбека, видеохостинги, тематические порталы, платформы онлайн-бронирования и записи, платформы онлайн-торговли

Это лишь некоторые из типы мобильных приложений, с которыми мы работаем, и каждый из них может иметь свои специфические особенности и функциональность, а также быть адаптированным под конкретные потребности и цели клиента.

Услуги, которые мы предлагаем
Показано 1 из 1Все 1735 услуг
Настройка Mobile Application Management (MAM) для корпоративного приложения
Сложный
~3-5 дней
Часто задаваемые вопросы

Наши компетенции:

Этапы разработки

Последние работы

  • image_mobile-applications_feedme_467_0.webp
    Разработка мобильного приложения для компании FEEDME
    792
  • image_mobile-applications_xoomer_471_0.webp
    Разработка мобильного приложения для компании XOOMER
    671
  • image_mobile-applications_rhl_428_0.webp
    Разработка мобильного приложения для компании RHL
    1097
  • image_mobile-applications_zippy_411_0.webp
    Разработка мобильного приложения для компании ZIPPY
    969
  • image_mobile-applications_affhome_429_0.webp
    Разработка мобильного приложения для компании Affhome
    914
  • image_mobile-applications_flavors_409_0.webp
    Разработка мобильного приложения для компании FLAVORS
    495
Показать больше работ

Настройка Mobile Application Management (MAM) для корпоративного приложения

MDM управляет устройством целиком. MAM управляет только приложением — и это принципиальная разница для BYOD-сценария, где сотрудник не готов отдавать IT-отделу контроль над личным телефоном. MAM без MDM-регистрации устройства — именно тот инструмент, который позволяет защитить корпоративные данные внутри приложения, не затрагивая личное пространство пользователя.

MAM без MDM: как это работает

Классический MAM-сценарий на базе Microsoft Intune: сотрудник устанавливает приложение из App Store/Google Play на личный телефон, входит с корпоративным Azure AD аккаунтом — и с этого момента политики MAM применяются к данным этого приложения. MDM-профиль на устройство не устанавливается.

Политики MAM, которые можно применить без управления устройством:

  • Запрет copy-paste корпоративных данных в личные приложения.
  • Принудительное шифрование файлов, сохранённых приложением.
  • Требование PIN или биометрии для доступа к приложению (отдельный от системного).
  • Блокировка screenshot в приложении.
  • Remote selective wipe — удаление только корпоративных данных при увольнении, без wipe личных фото.
  • Запрет открытия ссылок в личном браузере (только в Managed Browser / Edge).

Intune App SDK: интеграция в iOS-приложение

Для работы MAM-политик Intune через SDK — приложение должно быть явно интегрировано. SDK перехватывает системные API (clipboard, file sharing, screenshot detection) и применяет политики.

Добавление через CocoaPods:

pod 'MSAL'
pod 'IntuneMAMSwift'

Минимальная инициализация в AppDelegate:

import IntuneMAMSwift

@main
class AppDelegate: UIResponder, UIApplicationDelegate, IntuneMAMPolicyDelegate {

    func application(_ app: UIApplication, didFinishLaunchingWithOptions options: [UIApplication.LaunchOptionsKey: Any]?) -> Bool {
        IntuneMAMPolicyManager.instance().delegate = self
        return IntuneMAMPolicyManager.instance().didFinishLaunching(withOptions: options)
    }

    func identitySwitchRequired(_ identity: String, forReason reason: IntuneMAMPolicyManagerIdentitySwitchReason, completionHandler completion: @escaping IntuneMAMAddIdentityCompletionHandler) {
        // Обработка смены identity при multi-account
        completion(.allowed)
    }
}

После интеграции SDK UIPasteboard автоматически ограничивается политикой, UIDocumentPickerViewController — тоже. Приложение само по себе не меняет — MAM-движок работает через method swizzling системных классов.

Критичный момент: SDK требует MSAL (Microsoft Authentication Library) для получения MAM-токена. Без корректной регистрации приложения в Azure AD (App Registration + MAM-разрешения) политики не применяются даже при наличии SDK. Типичная ошибка при первой интеграции — политики «не работают» именно из-за неправильного App Registration или отсутствия Intune App Protection Policy в Azure Portal.

MAM на Android: Intune App SDK для Android

// build.gradle
implementation 'com.microsoft.intune.mam:android-mam-sdk:10.0.0'

Для Android SDK важнее всего правильная конфигурация MAMApplication:

class MyApplication : MAMApplication() {
    override fun onCreate() {
        super.onCreate()
        // MAM SDK перехватывает Context, Activity, ContentProvider
    }
}

Android MAM SDK использует MAMActivity вместо AppCompatActivity, MAMContentProvider вместо ContentProvider. Это означает, что интеграция требует рефакторинга базовых классов — нельзя просто добавить зависимость без изменений кода.

Если переписывать базовые классы нежелательно (legacy-приложение, большая кодовая база), есть альтернатива — App Wrapping Tool. Это post-build инструмент, который добавляет MAM-логику в скомпилированный APK/IPA без изменения исходного кода. Точность применения политик чуть ниже, но для базового набора правил работает.

MAM-политики без Intune: альтернативы

Если Intune не в стеке, но нужны аналогичные ограничения:

  • VMware Workspace ONE SDK — аналог Intune SDK, интегрируется похоже.
  • MobileIron AppConnect — контейнер на уровне приложения с отдельным шифрованием.
  • Собственная реализация через UIPasteboard.withUniqueName(), отключение screenshot через UIScreen.isCaptured, шифрование файлов через CryptoKit с ключом в Keychain. Подходит для случаев, когда MAM-сервер не нужен, но базовые ограничения необходимы.

Selective Wipe: механика удаления данных

Remote selective wipe по MAM-политике — это не factory reset. Удаляются только данные приложения: Keychain-записи с тегом appID, файлы в Application Support/, кэш, cookies в WKWebView. Личные фото, контакты, другие приложения не затрагиваются.

Реализация wipe-обработчика в SDK:

// IntuneMAMPolicyDelegate
func wipeDataForAccount(_ account: String) -> Bool {
    DataVault.shared.deleteAll()
    KeychainManager.shared.clearCorporateKeys()
    URLCache.shared.removeAllCachedResponses()
    return true
}

IT-администратор инициирует wipe из Intune Portal в один клик. Следующий запуск приложения на устройстве — данных нет, нужна повторная авторизация.

Этапы работы

Аудит требований к политикам → выбор MAM-платформы → настройка Azure AD / EMM-консоли → разработка App Registration → интеграция SDK в iOS и Android → тестирование всех политик (clipboard, screenshot, save, wipe) → UAT с IT-командой → rollout.

Сроки: интеграция Intune MAM SDK в готовое приложение — 3–5 недель на платформу. Полный MAM-rollout с настройкой политик и обучением — 6–8 недель. Стоимость рассчитывается индивидуально.