Sdílet prostřednictvím

Globální klient zabezpečeného přístupu pro Android

Globálního klienta zabezpečeného přístupu je možné nasadit do kompatibilních zařízení s Androidem pomocí Microsoft Intune a Microsoft Defenderu pro koncový bod v Androidu. Klient androidu je integrovaný do aplikace Defender for Endpoint Pro Android, která zjednodušuje způsob připojení koncových uživatelů k globálnímu zabezpečenému přístupu. Globální klient zabezpečeného přístupu pro Android usnadňuje koncovým uživatelům připojení k prostředkům, které potřebují, aniž by museli na svých zařízeních konfigurovat nastavení sítě VPN ručně.

Tento článek popisuje, jak nasadit globálního klienta zabezpečeného přístupu do zařízení s Androidem.

Požadavky

  • Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby kupte licence nebo získejte zkušební licence.
  • Povolte alespoň jeden profil předávání přenosů s globálním zabezpečeným přístupem.
  • K instalaci klienta potřebujete oprávnění k instalaci zařízení.
  • Zařízení s Androidem musí používat Android 10.0 nebo novější.
  • Zařízení s Androidem musí být zaregistrovaná v Microsoft Entra.
    • Zařízení, která nespravuje vaše organizace, musí mít nainstalovanou aplikaci Microsoft Authenticator.
    • Zařízení, která nejsou spravovaná přes Intune, musí mít nainstalovanou aplikaci Portál společnosti.
    • Registrace zařízení se vyžaduje k vynucení zásad dodržování předpisů zařízením v Intune.
  • Pokud chcete povolit jednotné přihlašování přes Kerberos, nainstalujte a nakonfigurujte klienta jednotného přihlašování třetí strany.

Známá omezení

Podrobné informace o známých problémech a omezeních najdete v tématu Známá omezení globálního zabezpečeného přístupu.

Podporované scénáře

Globální klient zabezpečeného přístupu pro Android podporuje nasazení v těchto scénářích s Androidem Enterprise:

  • Společností vlastněná zařízení pro uživatele, která jsou plně spravovaná.
  • Zařízení vlastněná společností s pracovním profilem
  • Osobní zařízení s pracovním profilem

Správa mobilních zařízení jiných společností než Microsoft

Klient globálního zabezpečeného přístupu podporuje také scénáře správy mobilních zařízení (MDM) od jiných společností než Microsoft. Tyto scénáře, označované jako režim pouze globálního zabezpečeného přístupu, vyžadují povolení profilu předávání přenosů a konfiguraci aplikace na základě dokumentace dodavatele.

Nasazení Microsoft Defenderu pro koncový bod v Androidu

Pokud chcete nasadit Microsoft Defender for Endpoint v Androidu, vytvořte profil MDM a nakonfigurujte globální zabezpečený přístup.

  1. V Centru pro správu Microsoft Intune přejděte do části Správa>aplikací> proAndroid>.

  2. Vyberte + Vytvořit a pak vyberte Spravovaná zařízení. Otevře se formulář Vytvořit zásadu konfigurace aplikace .

  3. Na kartě Základy :

    1. Zadejte Název.
    2. Nastavte platformu na Android Enterprise.
    3. Nastavte typ profilupouze na plně spravovaný, vyhrazený a Corporate-Owned pracovní profil.
    4. Nastavte cílovou aplikaci na Microsoft Defender.

  4. Vyberte Další. Snímek obrazovky se zásadami konfigurace aplikace na kartě Základy

  5. Na kartě Nastavení :

    1. Nastavte formát nastavení konfigurace tak, aby používal návrháře konfigurace.

    2. Pomocí editoru JSON nakonfigurujte zakázané konfigurační klíče:

      1. Vyberte tlačítko + Přidat .
      2. Do vyhledávacího pole zadejte global a vyberte tyto konfigurační klíče:
        • Globální zabezpečený přístup (tento klíč je nutný k povolení globálního zabezpečeného přístupu).
        • GlobalSecureAccessPrivateChannel (tento volitelný klíč umožňuje privátní kanál globálního zabezpečeného přístupu).
      3. Nastavte odpovídající hodnoty pro každý konfigurační klíč podle následující tabulky:
      Konfigurační klíč Hodnota Podrobnosti
      Globální zabezpečený přístup Žádná hodnota Globální zabezpečený přístup není povolený a dlaždice není viditelná.
      0 Globální zabezpečený přístup není povolený a dlaždice není viditelná.
      1 Dlaždice je viditelná a výchozí hodnota je false (zakázaný stav). Uživatel může povolit nebo zakázat globální zabezpečený přístup pomocí přepínače v aplikaci.
      2 Dlaždice je viditelná a výchozí hodnota je true (povolený stav). Uživatel může přepsat globální zabezpečený přístup. Uživatel může povolit nebo zakázat globální zabezpečený přístup pomocí přepínače v aplikaci.
      3 Dlaždice je viditelná a výchozí hodnota je true (povolený stav). Uživatel nemůže zakázat globální zabezpečený přístup.
      GlobalSecureAccessPrivateChannel Žádná hodnota Globální zabezpečený přístup má výchozí hodnotu 2.
      0 Privátní přístup není povolený a přepínač není uživateli viditelný.
      1 Přepínač Privátní přístup je viditelný a ve výchozím nastavení je zakázaný. Uživatel může povolit nebo zakázat privátní přístup.
      2 Přepínač Privátní přístup je viditelný a ve výchozím nastavení je povolený. Uživatel může povolit nebo zakázat privátní přístup.
      3 Přepínač Privátní přístup je viditelný, ale zobrazený šedě a ve výchozím nastavení je povolený stav. Uživatel nemůže zakázat privátní přístup.

    Poznámka:

    Konfigurační klíč GlobalSecureAccessPA se už nepodporuje.

  6. Vyberte Další. Snímek obrazovky se zásadami konfigurace aplikace na kartě Nastavení

  7. Na kartě Značky oboru nakonfigurujte značky oboru podle potřeby a vyberte Další.

  8. Na kartě Přiřazení vyberte + Přidat skupiny , abyste přiřadili zásady konfigurace a povolili globální zabezpečený přístup. Snímek obrazovky se zásadami konfigurace aplikace na kartě Přiřazení

Návod

Pokud chcete zásadu povolit pro všechny, ale jenom několik konkrétních uživatelů, vyberte Možnost Přidat všechna zařízení v části Zahrnuté skupiny . Potom přidejte uživatele nebo skupiny, které chcete vyloučit v části Vyloučené skupiny .

  1. Vyberte Další.
  2. Projděte si souhrn konfigurace a vyberte Vytvořit.

Potvrzení, že se v aplikaci Defender zobrazí globální zabezpečený přístup

Vzhledem k tomu, že klient Androidu je integrovaný s programem Defender for Endpoint, je užitečné porozumět prostředí koncového uživatele. Po onboardingu do globálního zabezpečeného přístupu se klient zobrazí na řídicím panelu Defenderu. Onboarding probíhá povolením profilu přesměrování provozu.

Snímek obrazovky aplikace Defender zobrazující dlaždici Globální zabezpečený přístup na řídicím panelu

Když je klient nasazený na uživatelská zařízení, ve výchozím nastavení je zakázaný. Uživatelé musí povolit klienta z aplikace Defender. Pokud chcete klienta povolit, klepněte na přepínač.

Snímek obrazovky klienta globálního zabezpečeného přístupu v zakázaném stavu

Pokud chcete zobrazit podrobnosti klienta, klepněte na dlaždici na řídicím panelu. Když je povoleno a funguje správně, zobrazí se v klientovi zpráva "Povoleno". Zobrazuje také datum a čas, kdy se klient připojil ke globálnímu zabezpečenému přístupu.

Snímek obrazovky klienta globálního zabezpečeného přístupu v povoleném stavu

Pokud se klient nemůže připojit, zobrazí se přepínač, který službu zakáže. Uživatelé se můžou později vrátit, aby povolili klienta.

Snímek obrazovky klienta globálního zabezpečeného přístupu, který se nemůže připojit

Řešení problému

Pokud se po připojení tenanta ke službě nezobrazí dlaždice Globální zabezpečený přístup, restartujte aplikaci Defender.

Když se pokusíte získat přístup k aplikaci privátního přístupu, může dojít k vypršení časového limitu připojení po úspěšném interaktivním přihlášení. Znovu načtěte aplikaci aktualizací webového prohlížeče.

Související obsah

  • Last updated on