通过

适用于 Android 的全局安全访问客户端

可以使用 Android 上的 Microsoft Intune 和 Microsoft Defender for Endpoint 将全局安全访问客户端部署到合规的 Android 设备。 Android 客户端内置于 Defender for Endpoint Android 应用中,简化了最终用户如何连接到全局安全访问。 全局安全访问 Android 客户端使最终用户能够更轻松地连接到所需的资源,而无需在其设备上手动配置 VPN 设置。

本文介绍如何将全局安全访问客户端部署到 Android 设备。

先决条件

  • 产品需要经过许可。 有关详细信息,请参阅什么是全球安全访问的许可部分。 如果需要, 购买许可证或获取试用许可证
  • 启用至少一个全局安全访问 流量转发配置文件
  • 需要设备安装权限才能安装客户端。
  • Android 设备需要运行 Android 10.0 或更高版本。
  • Android 设备需要Microsoft Entra 注册的设备。
    • 组织未管理的设备需要安装 Microsoft Authenticator 应用。
    • 未通过 Intune 管理的设备需要安装公司门户应用。
    • 强制实施 Intune 设备符合性策略需要设备注册。
  • 若要启用 Kerberos 单一登录(SSO)体验,请安装和配置第三方 SSO 客户端。

已知限制

有关已知问题和限制的详细信息,请参阅 全局安全访问的已知限制

支持的方案

适用于 Android 的 Global Secure Access 客户端支持在这些 Android Enterprise 方案中部署:

  • 公司拥有的完全托管的用户设备。
  • 企业拥有的具有工作配置文件的设备。
  • 具有工作配置文件的个人设备。

非 Microsoft 移动设备管理

Global Secure Access 客户端还支持非Microsoft移动设备管理(MDM)方案。 这些方案称为 “仅限全局安全访问”模式,需要启用流量转发配置文件,并根据供应商文档配置应用。

在 Android 上部署 Microsoft Defender for Endpoint

若要在 Android 上部署 Microsoft Defender for Endpoint,请创建 MDM 配置文件并配置全局安全访问。

  1. Microsoft Intune 管理中心,转到 应用>Android>管理应用>配置

  2. 选择 “+ 创建”,然后选择“ 托管设备”。 此时会打开 “创建应用配置策略 ”窗体。

  3. “基本信息 ”选项卡上:

    1. 输入“名称”。
    2. 平台 设置为 Android Enterprise
    3. 配置文件类型 设置为 “完全托管”、“专用”和“仅 Corporate-Owned 工作配置文件”。
    4. 目标应用 设置为 Microsoft Defender

  4. 选择“下一步”。 “基本信息”选项卡上“创建应用配置策略”的屏幕截图。

  5. “设置” 选项卡上:

    1. 配置设置格式 设置为 “使用配置设计器”。

    2. 使用 JSON 编辑器配置禁用的配置密钥:

      1. 选择“ + 添加 ”按钮。
      2. 在搜索字段中,键入 global 并选择以下配置键:
        • 全局安全访问 (启用全局安全访问需要此密钥)。
        • GlobalSecureAccessPrivateChannel (此可选密钥启用全局安全访问专用通道)。
      3. 根据下表为每个配置键设置适当的值:
      配置密钥 价值 详细信息
      全球安全访问 无值 未启用全局安全访问,磁贴不可见。
      0 未启用全局安全访问,磁贴不可见。
      1 磁贴可见,默认为 false(禁用状态)。 用户可以使用应用中的切换开关启用或禁用全局安全访问。
      2 磁贴可见,默认为 true(已启用状态)。 用户可以替代全局安全访问。 用户可以使用应用中的切换开关启用或禁用全局安全访问。
      3 磁贴可见,默认为 true(已启用状态)。 用户 无法 禁用全局安全访问。
      GlobalSecureAccessPrivateChannel 无值 全局安全访问默认为值 2 行为。
      0 未启用专用访问,并且切换选项对用户不可见。
      1 专用访问开关可见,默认为禁用状态。 用户可以启用或禁用专用访问。
      2 “专用访问”切换是可见的,默认为启用状态。 用户可以启用或禁用专用访问。
      3 “专用访问”开关可见,但灰显,默认为启用状态。 用户 无法 禁用专用访问。

    注释

    不再支持 GlobalSecureAccessPA 配置密钥。

  6. 选择“下一步”。 “设置”选项卡上“创建应用配置策略”的屏幕截图。

  7. 在“ 作用域标记 ”选项卡上,根据需要配置作用域标记,然后选择“ 下一步”。

  8. 在“ 分配 ”选项卡上,选择“ + 添加组 ”以分配配置策略并启用全局安全访问。 “分配”选项卡上“创建应用配置策略”的屏幕截图。

小窍门

若要为所有特定用户启用策略,请选择“包含的组”部分中的所有设备。 然后,在 “排除的组 ”部分中添加要排除的用户或组。

  1. 选择“下一步”。
  2. 查看配置摘要,然后选择“ 创建”。

确认全局安全访问出现在 Defender 应用中

由于 Android 客户端与 Defender for Endpoint 集成,因此了解最终用户体验很有帮助。 加入到全局安全访问后,客户端会显示在 Defender 仪表板中。 通过启用流量转发配置文件进行加入。

Defender 应用的屏幕截图,显示仪表板上的全局安全访问磁贴。

客户端部署到用户设备时,默认处于禁用状态。 用户需要从 Defender 应用启用客户端。 若要启用客户端,请点击开关。

处于禁用状态的全局安全访问客户端的屏幕截图。

若要查看客户端详细信息,请点击仪表板上的磁贴。 启用并正常工作时,客户端会显示“已启用”消息。 它还显示客户端连接到全局安全访问的日期和时间。

处于启用状态的全局安全访问客户端的屏幕截图。

如果客户端无法连接,将显示一个切换开关来禁用服务。 用户可以稍后返回以启用客户端。

无法连接的全局安全访问客户端的屏幕截图。

故障排除

如果将租户加入服务后未显示全局安全访问磁贴,请重启 Defender 应用。

尝试访问专用访问应用程序时,连接可能会在成功进行交互式登录后超时。 通过刷新 Web 浏览器重新加载应用程序。

相关内容