Android 用グローバル セキュア アクセス クライアント (プレビュー)
グローバル セキュア アクセス クライアントは、Android 上で Microsoft Intune と Microsoft Defender for Endpoint を使って、準拠した Android デバイスに展開できます。 Android クライアントは Defender for Endpoint Android アプリに組み込まれており、エンド ユーザーがグローバル セキュア アクセスに接続する方法が効率化されます。 グローバル セキュア アクセス Android クライアントを使うと、エンド ユーザーはデバイスで VPN 設定を手動で構成することなく、必要なリソースに簡単に接続できるようになります。
この記事では、前提条件と、クライアントを Android デバイスに展開する方法について説明します。
前提条件
- グローバル セキュア アクセス プレビューには Microsoft Entra ID P1 ライセンスが必要です。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
- 少なくとも 1 つのグローバル セキュア アクセス トラフィック転送プロファイルを有効にする必要があります。
- インストールには、デバイスに対するデバイスのインストール権限が必要です。
- Android デバイスは Android 10.0 以降を実行している必要があります。
- Android デバイスは Microsoft Entra 登録済みデバイスである必要があります。
- 組織によって管理されていないデバイスには、Microsoft Authenticator アプリがインストールされている必要があります。
- Intune で管理されていないデバイスには、ポータル サイト アプリがインストールされている必要があります。
- Intune デバイス コンプライアンス ポリシーを適用するには、デバイスの登録が必要です。
既知の制限事項
- Android (Go エディション) を実行しているモバイル デバイスは、現在サポートされていません。
- 共有デバイス上の Android 上の Microsoft Defender for Endpoint は現在サポートされていません。
- IPv6 トラフィックのトンネリングは現在サポートされていません。
- デバイス上でプライベート ドメイン ネーム システム (DNS) を無効にする必要があります。 多くの場合、この設定は [システム] > [ネットワークとインターネット] オプションにあります。
- Microsoft 以外のエンドポイント保護製品を Microsoft Defender for Endpoint と同時に実行すると、パフォーマンスの問題や予期しないシステム エラーが発生する可能性があります。
サポートされるシナリオ
Android 用グローバル セキュア アクセス クライアントは、レガシ Device Administrator および Android Enterprise シナリオでの展開をサポートしています。 次の Android Enterprise シナリオがサポートされています。
- 会社所有のフル マネージド ユーザー デバイス
- 仕事用プロファイルが含まれる企業所有のデバイス
- 仕事用プロファイルが含まれる個人用デバイス。
Microsoft 以外のモバイル デバイス管理
Microsoft 以外のモバイル デバイス管理 (MDM) シナリオもサポートされています。 グローバル セキュア アクセスのみのモードと呼ばれるこれらのシナリオでは、トラフィック転送プロファイルを有効にして、ベンダーのドキュメントに従ってアプリを構成するだけで済みます。
Microsoft Defender for Endpoint Android の展開
Android 用グローバル セキュア アクセス クライアントを使うには、展開モードとシナリオの組み合わせがいくつかあります。
トラフィック転送プロファイルを有効にしてネットワークを構成すると、グローバル セキュア アクセス Android クライアントが Defender アプリに自動的に表示されます。ただし、グローバル セキュア アクセス クライアントは既定では無効になっています。 ユーザーは Defender アプリからクライアントを有効にすることができます。 クライアントを有効にする手順は、「Defender アプリにグローバル セキュア アクセスが表示されることを確認する」セクションに記載されています。
このレガシ登録モードでは、Microsoft Intune ポータル サイト - デバイス管理者登録済みデバイスを使用して、Android に Defender for Endpoint を展開できます。
おおまかなプロセスは次のとおりです。
Intune に登録されている Android デバイスに Defender を展開します。
Defender を展開するための詳述プロセスは次のとおりです。
Intune 管理者として [Microsoft Intune 管理センター] にサインインします。
[アプリ]>[Android]>[追加]>[Android ストア アプリ]>[選択] の順に移動します。
名前、説明、発行元を入力します。
[Appstore URL] フィールドに URL を入力します。
https://play.google.com/store/apps/details?id=com.microsoft.scmx
その他のすべてのフィールドは既定値のままにして、[次へ] を選択します。
[必須] セクションで、[グループの追加] を選択し、[アプリを割り当てるグループ] を選択し、[次へ] を選択します。
- 選択したグループは、Intune に登録されているユーザーで構成されている必要があります。
- 後でグループを編集または追加できます。
[確認と作成] タブで、情報が正しいことを確認し、[作成] を選択します。
新着アプリの詳細ページで、[デバイスのインストール状態] を選択し、アプリがインストールされていることを確認します。
ユーザーは Defender アプリでクライアントを有効にする必要があります。 既定では無効になっています。 次のセクションに進み、アプリがインストールされていることを確認し、クライアントを有効にする方法を確認します。
Defender アプリにグローバル セキュア アクセスが表示されたことを確認する
Android クライアントは Defender for Endpoint と統合されているため、エンド ユーザー エクスペリエンスを理解するのに役立ちます。 グローバル セキュア アクセスにオンボードすると、クライアントは Defender ダッシュボードに表示されます。 オンボードするには、トラフィック転送プロファイルを有効にします。
クライアントは、ユーザー デバイスに展開されると、既定で無効になります。 ユーザーは Defender アプリからクライアントを有効にする必要があります。 クライアントを有効にするには、トグルをタップします。
クライアントの詳細を表示するには、ダッシュボードのタイルをタップします。 有効になっていて適切に動作している場合、クライアントには「有効」というメッセージが表示されます。 クライアントがグローバル セキュア アクセスに接続した日時も表示されます。
クライアントが接続できない場合は、サービスを無効にするための切り替えが表示されます。 ユーザーは、後で戻ってクライアントを有効にしてみることができます。
トラブルシューティング
テナントをサービスにオンボーディングした後、[グローバル セキュア アクセス] タイルは表示されません。 Defender アプリを再起動します。
プライベート アクセス アプリケーションにアクセスしようとすると、対話型ログインが成功した後に接続がタイムアウトする場合があります。 Web ブラウザーの更新を使用してアプリケーションをリロードすると、問題が解決されるはずです。