Android 用グローバル セキュア アクセス クライアント

グローバル セキュア アクセス クライアントは、Android 上で Microsoft Intune と Microsoft Defender for Endpoint を使って、準拠した Android デバイスに展開できます。 Android クライアントは Defender for Endpoint Android アプリに組み込まれており、エンド ユーザーがグローバル セキュア アクセスに接続する方法が効率化されます。 グローバル セキュア アクセス Android クライアントを使うと、エンド ユーザーはデバイスで VPN 設定を手動で構成することなく、必要なリソースに簡単に接続できるようになります。

この記事では、前提条件と、クライアントを Android デバイスに展開する方法について説明します。

前提条件

• この製品にはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
• 少なくとも 1 つのグローバル セキュア アクセス トラフィック転送プロファイルを有効にする必要があります。
• インストールには、デバイスに対するデバイスのインストール権限が必要です。
• Android デバイスは Android 10.0 以降を実行している必要があります。
• Android デバイスは Microsoft Entra 登録済みデバイスである必要があります。
  • 組織によって管理されていないデバイスには、Microsoft Authenticator アプリがインストールされている必要があります。
  • Intune で管理されていないデバイスには、ポータル サイト アプリがインストールされている必要があります。
  • Intune デバイス コンプライアンス ポリシーを適用するには、デバイスの登録が必要です。

既知の制限事項

• Android (Go エディション) を実行しているモバイル デバイスは、現在サポートされていません。
• 共有デバイス上の Android 上の Microsoft Defender for Endpoint は現在サポートされていません。
• IPv6 トラフィックのトンネリングは現在サポートされていません。
• デバイス上でプライベート ドメイン ネーム システム (DNS) を無効にする必要があります。 多くの場合、この設定は [システム] > [ネットワークとインターネット] オプションにあります。
• Microsoft 以外のエンドポイント保護製品を Microsoft Defender for Endpoint と同時に実行すると、パフォーマンスの問題や予期しないシステム エラーが発生する可能性があります。
• Microsoft Tunnel とのグローバル セキュア アクセス (GSA) の共存は現在サポートされていません。 詳細については、「Intune での Microsoft Tunnel の前提条件」をご覧ください。

サポートされるシナリオ

Android 用グローバル セキュア アクセス クライアントは、レガシ Device Administrator および Android Enterprise シナリオでの展開をサポートしています。 次の Android Enterprise シナリオがサポートされています。

• 会社所有のフル マネージド ユーザー デバイス
• 仕事用プロファイルが含まれる企業所有のデバイス
• 仕事用プロファイルが含まれる個人用デバイス。

Microsoft 以外のモバイル デバイス管理

Microsoft 以外のモバイル デバイス管理 (MDM) シナリオもサポートされています。 グローバル セキュア アクセスのみのモードと呼ばれるこれらのシナリオでは、トラフィック転送プロファイルを有効にして、ベンダーのドキュメントに従ってアプリを構成するだけで済みます。

Microsoft Defender for Endpoint Android の展開

Android 用グローバル セキュア アクセス クライアントを使うには、展開モードとシナリオの組み合わせがいくつかあります。

トラフィック転送プロファイルを有効にしてネットワークを構成すると、グローバル セキュア アクセス Android クライアントが Defender アプリに自動的に表示されます。ただし、グローバル セキュア アクセス クライアントは既定では無効になっています。 ユーザーは Defender アプリからクライアントを有効にすることができます。 クライアントを有効にする手順は、「Defender アプリにグローバル セキュア アクセスが表示されることを確認する」セクションに記載されています。

デバイス管理者

このレガシ登録モードでは、Microsoft Intune ポータル サイト - デバイス管理者登録済みデバイスを使用して、Android に Defender for Endpoint を展開できます。

おおまかなプロセスは次のとおりです。

1. Intune に登録されている Android デバイスに Defender を展開します。

2. Defender が既に展開されている場合は、少なくとも 1 つのトラフィック転送プロファイルを有効にします。

3. Defender アプリにグローバル セキュア アクセスが表示されたことを確認します。

Defender を展開するための詳述プロセスは次のとおりです。

1. Intune 管理者として [Microsoft Intune 管理センター] にサインインします。

2. [アプリ]>[Android]>[追加]>[Android ストア アプリ]>[選択] の順に移動します。

   

3. 名前、説明、発行元を入力します。

4. [Appstore URL] フィールドに URL を入力します。

   • https://play.google.com/store/apps/details?id=com.microsoft.scmx

5. その他のすべてのフィールドは既定値のままにして、[次へ] を選択します。

   

6. [必須] セクションで、[グループの追加] を選択し、[アプリを割り当てるグループ] を選択し、[次へ] を選択します。

   • 選択したグループは、Intune に登録されているユーザーで構成されている必要があります。
   • 後でグループを編集または追加できます。

   

7. [確認と作成] タブで、情報が正しいことを確認し、[作成] を選択します。

8. 新着アプリの詳細ページで、[デバイスのインストール状態] を選択し、アプリがインストールされていることを確認します。

ユーザーは Defender アプリでクライアントを有効にする必要があります。 既定では無効になっています。 次のセクションに進み、アプリがインストールされていることを確認し、クライアントを有効にする方法を確認します。

Android エンタープライズ

Microsoft Defender for Endpoint アプリをマネージド Google Play ストアに追加するには、次の手順に従います。

おおまかなプロセスは次のとおりです。

1. Android Enterprise 登録済みデバイスに Defender を展開します。

2. 少なくとも 1 つのトラフィック転送プロファイルを有効にします。

3. Microsoft Defender for Endpoint アプリにグローバル セキュア アクセスが表示されたことを確認します。

Google Play ストアに展開する詳述プロセスは次のとおりです。

1. Intune 管理者として [Microsoft Intune 管理センター] にサインインします。

2. [アプリ]>[Android]>[追加]>[マネージド Google Play アプリ]>[選択] の順に移動します。

   

3. マネージド Google Play ページで、[Microsoft Defender] を検索し、検索結果から選択します。

4. Microsoft Defender の詳細ページで、[選択] ボタンを選択します。

5. 左上隅にある [同期] ボタンを選択します。 この手順では、Defender をアプリ一覧を最新に保ちます。

   

6. Android アプリ スクリーンで [更新] ボタンを選択して、Microsoft Defender for Endpoint がリストに表示されるようにします。

7. アプリ一覧から [Microsoft Defender] を選択し、[プロパティ]>[割り当て]>[編集] に移動します。

   

8. [必須] セクションで、[グループの追加] を選択し、[アプリを割り当てるグループ] を選択し、[次へ] を選択します。

9. [確認と保存] を選択し、詳細が確認されたら [保存] を選択します。

   

グループを割り当てると、ポータル サイト アプリを介したデバイスの次回の同期中に、アプリが職場プロファイルに自動的にインストールされます。

ユーザーは Defender アプリでクライアントを有効にする必要があります。 既定では無効になっています。 次のセクションに進み、アプリがインストールされていることを確認し、クライアントを有効にする方法を確認します。

Defender アプリにグローバル セキュア アクセスが表示されたことを確認する

Android クライアントは Defender for Endpoint と統合されているため、エンド ユーザー エクスペリエンスを理解するのに役立ちます。 グローバル セキュア アクセスにオンボードすると、クライアントは Defender ダッシュボードに表示されます。 オンボードするには、トラフィック転送プロファイルを有効にします。

クライアントは、ユーザー デバイスに展開されると、既定で無効になります。 ユーザーは Defender アプリからクライアントを有効にする必要があります。 クライアントを有効にするには、トグルをタップします。

クライアントの詳細を表示するには、ダッシュボードのタイルをタップします。 有効になっていて適切に動作している場合、クライアントには「有効」というメッセージが表示されます。 クライアントがグローバル セキュア アクセスに接続した日時も表示されます。

クライアントが接続できない場合は、サービスを無効にするための切り替えが表示されます。 ユーザーは、後で戻ってクライアントを有効にしてみることができます。

トラブルシューティング

テナントをサービスにオンボーディングした後、[グローバル セキュア アクセス] タイルは表示されません。 Defender アプリを再起動します。

プライベート アクセス アプリケーションにアクセスしようとすると、対話型ログインが成功した後に接続がタイムアウトする場合があります。 Web ブラウザーの更新を使用してアプリケーションをリロードすると、問題が解決されるはずです。

関連するコンテンツ

• Android 上の Microsoft Defender for Endpoint について
• Microsoft Intune を使用して Android 上に Microsoft Defender for Endpoint を展開する
• Intune を使用したマネージド Google Play アプリと Android Enterprise デバイスについて説明します
• Microsoft Windows 用グローバル セキュリティで保護されたアクセス クライアント
• macOS用のグローバルセキュアアクセスクライアント
• iOS 用グローバル・セキュア・アクセス クライアント