Microsoft Tunnel para Gerenciamento de Aplicativos Móveis para Android

  • Artigo

Observação

Esse recurso está disponível como um complemento Intune. Para obter mais informações, consulte Usar recursos de complemento do Intune Suite.

Ao adicionar o MAM (Microsoft Tunnel for Mobile Application Management) ao seu locatário, você pode usar o Microsoft Tunnel Gateway de VPN com dispositivos Android não registrados para dar suporte a cenários de MAM. Com suporte para MAM, seus dispositivos não registrados podem usar o Tunnel para se conectar com segurança à sua organização, permitindo aos usuários e aplicativos acesso seguro aos seus dados organizacionais.

Aplicável a:

  • Android Enterprise

Para estender a configuração existente do Microsoft Tunnel para dar suporte ao MAM, crie e implante três perfis que configurem esse suporte em seus dispositivos não registrados:

  • Política de configuração de aplicativo para Microsoft Defender. Essa política configura Microsoft Defender para Ponto de Extremidade em um dispositivo como o aplicativo cliente do túnel VPN.
  • Política de configuração de aplicativo para o Microsoft Edge. Essa política configura o Microsoft Edge para dar suporte à opção de identidade, que conecta e desconecta automaticamente o túnel VPN ao alternar de uma conta "trabalho ou escola" da Microsoft para uma "conta pessoal" da Microsoft no Microsoft Edge.
  • Proteção de aplicativos política para iniciar automaticamente a conexão com o Microsoft Tunnel quando o aplicativo habilitado para MAM no dispositivo acessar recursos corporativos.

Com essas políticas em vigor, as configurações existentes do Site e do Servidor para acesso de suporte ao Túnel de dispositivos que não estão registrados no Intune. Além disso, você pode optar por implantar suas configurações para o Túnel MAM em dispositivos registrados em vez de usar configurações do Túnel MDM. No entanto, um dispositivo registrado deve usar apenas as configurações do Túnel MDM ou as configurações do Túnel MAM, mas não ambos. Por exemplo, os dispositivos registrados não podem ter um aplicativo como o Microsoft Edge que usa configurações de túnel MAM enquanto outros aplicativos usam configurações do Túnel MDM.

Experimente a demonstração interativa:
A demonstração interativa do Microsoft Tunnel for Mobile Application Management para Android mostra como o Tunnel for MAM estende a Gateway de VPN do Microsoft Tunnel para dar suporte a dispositivos Android não registrados com Intune.

Pré-requisitos

Infraestrutura e locatário:

O túnel para MAM requer as mesmas considerações e pré-requisitos que usar o Tunnel para dispositivos registrados. Para obter mais informações, consulte Pré-requisitos de túnel.

Depois de configurar o Microsoft Tunnel, você estará pronto para adicionar as duas políticas de configuração de aplicativo e a política de Proteção de aplicativos que permite que dispositivos não registrados usem o Tunnel. A configuração dessas políticas é detalhada nas seções a seguir.

Dispositivos:

Os usuários de dispositivos que não estão registrados com Intune devem instalar os seguintes aplicativos em seu dispositivo Android antes de poderem usar o cenário Tunnel for MAM. Todos esses aplicativos podem ser instalados manualmente na Google Play Store:

  1. Microsoft Defender – Obtê-lo de Microsoft Defender – Aplicativos no Google Play. Microsoft Defender inclui o aplicativo cliente do túnel que o dispositivo usa para se conectar ao Microsoft Tunnel. Para dar suporte ao Tunnel para MAM, Microsoft Defender para Ponto de Extremidade deve ser a versão 1.0.4722.0101 ou superior.

  2. Microsoft Edge – Obtenha-o do Microsoft Edge: Navegador da Web – Aplicativos no Google Play.

  3. Portal da Empresa – Obtê-lo em Portal da Empresa do Intune – Aplicativos no Google Play. Os dispositivos devem instalar o aplicativo Portal da Empresa, embora os usuários não precisem entrar no aplicativo ou registrar seu dispositivo com Intune.

Aplicativos de linha de negócios:

Para seus aplicativos LOB (Linha de Negócios), integre-os ao SDK do MAM. Posteriormente, você pode adicionar seus aplicativos LOB à política de proteção de aplicativo e às polícias de configuração de aplicativo para o Túnel MAM. Consulte Introdução ao MAM para Android.

Observação

Verifique se seus aplicativos LOB Android dão suporte a proxy direto ou PAC (Configuração Automática de Proxy) para MDM e MAM.

Versão do SDK do MAM:

Para usar a Funcionalidade de Raízes Confiáveis do Android para Microsoft Tunnel para MAM requer uma versão do SDK do MAM do 9.5.0 ou posterior, acesse Versão 9.5.0 · msintuneappsdk/ms-intune-app-sdk-android no github.com.

Configurar políticas para dar suporte a Microsoft Tunnel para MAM

Para dar suporte ao uso do Tunnel para MAM, crie e implante os três perfis detalhados nas seções a seguir. Essas políticas podem ser criadas em qualquer ordem:

Quando todos os três são configurados e implantados nos mesmos grupos, a política de proteção de aplicativo dispara automaticamente o Tunnel para se conectar à VPN sempre que o Microsoft Edge é iniciado.

Você também pode configurar um perfil de certificado confiável para uso com o Microsoft Edge e com seus aplicativos de linha de negócios quando eles devem se conectar a recursos locais e são protegidos por um certificado SSL/TLS emitido por uma autoridade de certificado local ou privada (AC). Por padrão, o Microsoft Edge dá suporte a certificados raiz confiáveis. Para aplicativos LOB, você usa o SDK do MAM para adicionar suporte a certificados raiz confiáveis.

Política de configuração de aplicativo para Microsoft Defender

Crie uma política de configuração de aplicativo para configurar Microsoft Defender para Ponto de Extremidade no dispositivo para uso como o aplicativo cliente do túnel.

Observação

Verifique se apenas uma única política de configuração do aplicativo Defender tem como destino o dispositivo não registrado. Direcionar mais de 1 política de configuração de aplicativo com diferentes configurações de túnel para Defender para Ponto de Extremidade criará problemas de conexão de túnel no dispositivo.

  1. Entre no centro de administração Microsoft Intune e vá para Aplicativos>Configuração de Aplicativos políciasAdicionam>Aplicativos Gerenciados>.

  2. Na guia Noções Básicas:

    1. Insira um Nome para essa política e uma Descrição (opcional).
    2. Clique em Selecionar aplicativos públicos, selecione Microsoft Defender Ponto de Extremidade para Android e clique em Selecionar.

    Quando Microsoft Defender Ponto de Extremidade estiver listado para aplicativos públicos, selecione Avançar.

    Captura de tela da configuração de uma política de configuração de aplicativo com Microsoft Defender Ponto de Extremidade como um aplicativo público.

  3. Na guia Configurações , ignore a categoria Configurações gerais , que não é usada para essa política. Para a categoria configurações do Microsoft Tunnel , faça as seguintes configurações:

    • Defina Usar VPN do Microsoft Tunnel como Sim.
    • Para o nome da conexão, especifique o nome da conexão de sua VPN.

    Em seguida, clique em Selecionar um site:

    • Para Nome do Site, selecione um site disponível e clique em OK.

    • VPN por aplicativo (somente Android) é uma configuração opcional. Selecione aplicativos públicos ou personalizados para restringir o uso da conexão VPN do Túnel a esses aplicativos especificados.

      Importante

      Para garantir a comutação contínua de identidade e notificações precisas do Túnel no Microsoft Edge, é essencial incluir o Edge em sua lista de VPN por aplicativo.

      Captura de tela da configuração por aplicativo com o Microsoft Edge adicionado.

      Importante

      O Túnel MAM para Android não dá suporte ao uso de VPN always-on. Quando a VPN always-on é definida como Habilitar, o Tunnel não se conecta com êxito e envia notificações de falha de conexão ao usuário do dispositivo.

    • Proxy é uma configuração opcional. Configure as configurações de proxy para atender aos requisitos de rede locais.

      Observação

      Não há suporte para configurações de servidor proxy com versões do Android antes da versão 10. Para obter mais informações, consulte VpnService.Builder nessa documentação do desenvolvedor do Android.

    Quando estiver pronto, selecione Avançar para continuar.

    Captura de tela da configuração de políticas de configuração do aplicativo.

  4. Na guia Atribuições, selecione Adicionar Grupos e selecione os mesmos grupos de Microsoft Entra para os quais você implantou o perfil de configuração do Aplicativo Microsoft Edge e selecione Avançar.

  5. Na guia Revisar + Criar , selecione Criar para concluir a criação da política e implantar a política nos grupos atribuídos.

A nova política aparece na lista de políticas de configuração de aplicativo.

Política de configuração de aplicativo para o Microsoft Edge

Crie uma política de configuração de aplicativo para o Microsoft Edge. Essa política configura o Microsoft Edge para dar suporte à opção de identidade, fornecendo a capacidade de conectar automaticamente o Túnel VPN ao entrar ou alternar para uma conta "Trabalho ou escola" da Microsoft e desconectar automaticamente o túnel VPN ao alternar para um Microsoft conta pessoal.

  1. Entre no centro de administração Microsoft Intune e vá para Aplicativos>Configuração de Aplicativos políciasAdicionam>Aplicativos Gerenciados>.

  2. Na guia Noções Básicas:

    1. Insira um Nome para a política e uma Descrição (opcional).
    2. Clique em Selecionar aplicativos públicos, selecione Microsoft Edge para Android e clique em Selecionar.

    Depois que o Microsoft Edge for listado para aplicativos públicos, selecione Avançar.

    Captura de tela da configuração de uma política de configuração de aplicativo com o Microsoft Edge como um aplicativo público.

  3. Na guia Configurações , configure o par Nome e Valor na categoria Configurações gerais da seguinte maneira:

    Nome Descrição
    com.microsoft.intune.mam.managedbrowser.StrictTunnelMode

    Valor: True    		 Quando definido como True, ele fornece suporte ao Modo de Túnel Rigoroso para o Edge. Quando os usuários entram no Edge com uma conta de organização, se a VPN não estiver conectada, o Modo de Túnel Rigoroso bloqueará o tráfego da Internet.

    Quando a VPN se reconecta, a navegação na Internet estará disponível novamente.
    com.microsoft.intune.mam.managedbrowser.TunnelAvailable.IntuneMAMOnly

    Valor: True    		 Quando definido como True, ele fornece suporte ao comutador de identidade para o Edge.

    Quando os usuários entrem com a conta de trabalho ou a conta da escola, o Edge se conecta automaticamente à VPN. Quando os usuários habilitam a navegação privada, o Edge muda para uma conta pessoal e desconecta a VPN.

    A imagem a seguir mostra a Identity switch configuração em uma política de configuração de aplicativo para o Microsoft Edge:

    Imagem que mostra a chave e o valor da configuração do comutador de identidade para o Túnel MAM em dispositivos Android não gerenciados no Microsoft Intune.

    Observação

    Verifique se não há espaços à direita no final da configuração geral.

    Você pode usar essa mesma política para configurar outras configurações do Microsoft Edge na categoria de configurações do Microsoft Edge . Depois que as configurações adicionais do Microsoft Edge estiverem prontas, selecione Avançar.

  4. Na guia Atribuições, selecione Adicionar Grupos e selecione um ou mais grupos Microsoft Entra que receberão essa política. Depois de configurar grupos, selecione Avançar.

  5. Na guia Revisar + Criar , selecione Criar para concluir a criação da política e implantar a política nos grupos atribuídos.

A nova política aparece na lista de políticas de configuração de aplicativo.

Proteção de aplicativos política para o Microsoft Edge

Crie uma política de proteção de aplicativo para iniciar automaticamente a conexão VPN do Microsoft Tunnel quando o aplicativo for iniciado.

Observação

Quando o aplicativo for iniciado, a conexão VPN do Túnel tentará iniciar, uma vez iniciada, o dispositivo terá acesso às rotas de rede locais disponíveis por meio do Microsoft Tunnel Gateway. Se você quiser limitar o acesso à rede de túnel a aplicativos específicos, configure as configurações de VPN por aplicativo (somente Android).

  1. Entre no centro de administração Microsoft Intune e vá para Aplicativos>Proteção de aplicativos políticas>Crie a política>Android.

  2. Na guia Noções básicas, insira um Nome para essa política e uma Descrição (opcional)e selecione Avançar.

  3. Na guia Aplicativos , clique em Selecionar aplicativos públicos, selecione Microsoft Edge e clique em Selecionar.

    Quando o Microsoft Edge estiver listado para aplicativos públicos, selecione Avançar.

    Captura de tela da configuração de uma política de proteção de aplicativo com o Microsoft Edge como um aplicativo público.

  4. Na guia Proteção de dados , role até a parte inferior e defina Iniciar conexão do Microsoft Tunnel no lançamento do aplicativo como Sim e selecione Avançar.

    Captura de tela da configuração de uma configuração de política de proteção de aplicativo para usar Tunnel no lançamento do aplicativo.

  5. Continue além dos requisitos de acesso e guias de inicialização condicional .

  6. Na guia Atribuições, selecione Adicionar Grupos e selecione os mesmos grupos de Microsoft Entra para os quais você implantou os dois perfis de configuração do aplicativo e selecione Avançar.

  7. Na guia Revisar + Criar , selecione Criar para concluir a criação da política e implantar a política nos grupos atribuídos.

A nova política aparece na lista de políticas de configuração do aplicativo.

Configurar aplicativos da Linha de Negócios

Se você integrou seus aplicativos LOB ao SDK do MAM, poderá usá-los com o Microsoft Tunnel adicionando-os como aplicativos personalizados às três políticas do Túnel MAM que você criou anteriormente.

Para obter mais informações sobre como adicionar aplicativos personalizados às políticas, confira os seguintes artigos para os dois tipos de política:

Para dar suporte a aplicativos LOB em seus dispositivos não registrados, os aplicativos devem implantar como aplicativos disponíveis de dentro Microsoft Intune centro de administração. Você não pode usar Intune para implantar aplicativos como aplicativos necessários para dispositivos não registrados.

Usar um perfil de certificado confiável

Os aplicativos LOB que usam o túnel MAM no Android são necessários para se integrar ao SDK do aplicativo Intune e devem usar o novo gerenciador de confiança tunnel for MAM para utilizar o suporte confiável de certificado raiz para seus aplicativos LOB. Para dar suporte a certificados raiz confiáveis, você deve usar a versão mínima do SDK (ou posterior) conforme detalhado na seção Pré-requisitos deste artigo.

Gerenciamento de certificados raiz confiáveis:

Se seu aplicativo exigir certificados SSL/TLS emitidos por uma autoridade de certificado local ou privada para fornecer acesso seguro a sites e aplicativos internos, o SDK do aplicativo Intune adicionou suporte ao gerenciamento de confiança de certificado usando as classes de API MAMTrustedRootCertsManager e MAMCertTrustWebViewClient.

Requisitos:

  • Formatos de certificado compatíveis com o Tunnel para MAM Android:

    • X.509 binário codificado pelo DER
    • PEM

  • O MAMCertTrustWebViewClient dá suporte a:

    • Android 10 ou superior

  • O MAMTrustedRootCertsManager dá suporte a:

    • SSLContext
    • SSLSocketFactory
    • TrustManager
    • Webview

Durante a configuração do perfil de configuração do aplicativo para um aplicativo que usará Tunnel for MAM, selecione o perfil de certificado que será usado:

  1. Na guia Configurações do perfil de configuração do aplicativo, expanda as configurações do Microsoft Tunnel for Mobile Application Management. Exibição das configurações do Túnel em uma política de configuração de aplicativo.

  2. Configure as seguintes opções:

    1. Defina Usar Microsoft Tunnel para MAM como Sim.
    2. Para nome de conexão, especifique um nome de usuário voltado para essa conexão, como mam-tunnel-vpn.
    3. Em seguida, selecione Selecionar um Site e escolha um dos sites do Microsoft Tunnel Gateway. Se você ainda não configurou um site do Tunnel Gateway, consulte Configurar o Microsoft Tunnel.
    4. Se o aplicativo exigir um certificado confiável, selecione Certificado Raiz para abrir o painel Selecionar Certificados Raiz e selecione um perfil de certificado confiável a ser usado.

    Exibição do painel de seleção de certificado raiz.

    Para obter informações sobre como configurar perfis de certificado raiz, consulte Perfis de certificado raiz confiáveis para Microsoft Intune.

  3. Depois de configurar as configurações de MAM do Túnel, selecione Avançar para abrir a guia Atribuições .

Problemas Conhecidos

A seguir estão problemas ou limitações conhecidos para o Túnel MAM para Android.

O Tunnel for Mobile Application Management não dá suporte a Microsoft Defender no modo perfil pessoal

Para obter informações sobre Microsoft Defender no Modo de Perfil Pessoal, consulte Microsoft Defender no Perfil Pessoal no Android Enterprise no modo BYOD.

Solução alternativa: nenhuma.

Túnel MAM não tem suporte ao usar o Túnel MDM

Você pode optar por usar o Túnel MAM com dispositivos registrados em vez de usar configurações do Túnel MDM. No entanto, um dispositivo registrado deve usar apenas as configurações do Túnel MDM ou as configurações do Túnel MAM, mas não ambos. Por exemplo, os dispositivos registrados não podem ter um aplicativo como o Microsoft Edge que usa configurações de túnel MAM enquanto outros aplicativos usam configurações do Túnel MDM.

Solução alternativa: nenhuma.

Linha de aplicativo de negócios usando o WebView e Intune SDK para suporte raiz confiável, os pontos de extremidade internos não podem ser dobrados

Solução alternativa: implante e instale manualmente o certificado raiz confiável em dispositivos Android não registrados que usam aplicativos LOB com WebView no Túnel.

O Android falha ao criar a cadeia de certificados quando você usa a autoridade de certificação privada

Ao usar o WebView com o MAMCertTrustWebViewClient no MAM para validar certificados, o MAM delega para o Android para criar uma cadeia de certificados a partir de certificados fornecidos pelos administradores e pelo servidor. Se um servidor que usa certificados privados fornecer a cadeia completa ao WebView de conexão, mas o administrador implantar apenas o certificado raiz, o Android poderá falhar ao criar a cadeia de certificação e falhar ao verificar a confiança do servidor. Esse comportamento ocorre porque o Android exige certificados intermediários para criar a cadeia em um nível aceitável.

Solução alternativa: para garantir a validação adequada do certificado, os administradores devem implantar o certificado raiz e todos os certificados intermediários no Intune. Se o certificado raiz, juntamente com todos os certificados intermediários não forem implantados, o Android poderá falhar ao criar a cadeia de certificados e não confiar no servidor.

Erro de certificado do Defender para Ponto de Extremidade ao usar um certificado TLS/SSL de uma autoridade de certificado privado

Quando o servidor do Microsoft Tunnel Gateway usa um certificado TLS/SSL emitido por uma AC privada (local), Microsoft Defender para Ponto de Extremidade gera um erro de certificado ao tentar se conectar.

Contornar: instale manualmente o certificado raiz confiável correspondente da autoridade de certificado privado no dispositivo Android. Uma atualização futura do aplicativo Defender para Ponto de Extremidade fornecerá suporte e removerá a necessidade de instalar manualmente o certificado raiz confiável.

O Microsoft Edge não pode alcançar recursos internos por um curto período de tempo depois de ser iniciado

Imediatamente após a abertura do Microsoft Edge, o navegador tenta se conectar a recursos internos antes de se conectar com êxito ao Tunnel. Esse comportamento resulta no relatório do navegador de que o recurso ou a URL de destino não está disponível.

Solução alternativa: atualize a conexão do navegador no dispositivo. O recurso fica disponível depois que a conexão com Tunnel é estabelecida.

Os três aplicativos necessários para dar suporte ao Tunnel para dispositivos não registrados não estão visíveis no aplicativo Portal da Empresa em um dispositivo

Depois que o Microsoft Edge, Microsoft Defender para Ponto de Extremidade e o Portal da Empresa, são atribuídos a um dispositivo como disponível com ou sem registro, o usuário-alvo não pode encontrar os aplicativos no Portal da Empresa ou em portal.manage.microsoft.com.

Solução alternativa: instale todos os três aplicativos manualmente na Google Play Store. Você pode encontrar links para todos os três aplicativos no Google Play nesta seção Pré-requisitos de artigos .

Erro: "Falha no início da VPN do MSTunnel, entre em contato com o administrador de TI para obter ajuda"

Essa mensagem de erro pode ocorrer mesmo que o túnel esteja conectado.

Solução alternativa: essa mensagem pode ser ignorada.

Erro: Licenciamento inválido, entre em contato com o administrador

Esse erro ocorre quando a versão do Microsoft Defender para Ponto de Extremidade não dá suporte ao Tunnel.

Solução alternativa: instale a versão com suporte do Defender para Ponto de Extremidade do Microsoft Defender – Aplicativos no Google Play.

Não há suporte para o uso de várias políticas para o Defender para configurar diferentes sites de túnel para aplicativos diferentes

O uso de duas ou mais políticas de configuração de aplicativo para Microsoft Defender que especificam diferentes Sites de Túnel não tem suporte e pode resultar em uma condição de corrida que impede o uso bem-sucedido do Tunnel.

Solução alternativa: direcione cada dispositivo com uma única política de configuração de aplicativo para Microsoft Defender, garantindo que cada dispositivo não registrado esteja configurado para usar apenas um Site.

Suporte a GCC High e FIPS

Microsoft Tunnel para MAM não há suporte para ambientes do GCC High Microsoft Tunnel para MAM não dá suporte ao FIPS (Federal Information Processing Standard). Microsoft Tunnel para MAM não há suporte em ambientes fairfax

Próximas etapas

Confira também: