Microsoft Tunnel para Gerenciamento de Aplicativos Móveis para Android
Observação
Esse recurso está disponível como um complemento Intune. Para obter mais informações, consulte Usar recursos de complemento do Intune Suite.
Ao adicionar o MAM (Microsoft Tunnel for Mobile Application Management) ao seu locatário, você pode usar o Microsoft Tunnel Gateway de VPN com dispositivos Android não registrados para dar suporte a cenários de MAM. Com suporte para MAM, seus dispositivos não registrados podem usar o Tunnel para se conectar com segurança à sua organização, permitindo aos usuários e aplicativos acesso seguro aos seus dados organizacionais.
Aplicável a:
- Android Enterprise
Para estender a configuração existente do Microsoft Tunnel para dar suporte ao MAM, crie e implante três perfis que configurem esse suporte em seus dispositivos não registrados:
- Política de configuração de aplicativo para Microsoft Defender. Essa política configura Microsoft Defender para Ponto de Extremidade em um dispositivo como o aplicativo cliente do túnel VPN.
- Política de configuração de aplicativo para o Microsoft Edge. Essa política configura o Microsoft Edge para dar suporte à opção de identidade, que conecta e desconecta automaticamente o túnel VPN ao alternar de uma conta "trabalho ou escola" da Microsoft para uma "conta pessoal" da Microsoft no Microsoft Edge.
- Proteção de aplicativos política para iniciar automaticamente a conexão com o Microsoft Tunnel quando o aplicativo habilitado para MAM no dispositivo acessar recursos corporativos.
Com essas políticas em vigor, as configurações existentes do Site e do Servidor para acesso de suporte ao Túnel de dispositivos que não estão registrados no Intune. Além disso, você pode optar por implantar suas configurações para o Túnel MAM em dispositivos registrados em vez de usar configurações do Túnel MDM. No entanto, um dispositivo registrado deve usar apenas as configurações do Túnel MDM ou as configurações do Túnel MAM, mas não ambos. Por exemplo, os dispositivos registrados não podem ter um aplicativo como o Microsoft Edge que usa configurações de túnel MAM enquanto outros aplicativos usam configurações do Túnel MDM.
Experimente a demonstração interativa:
A demonstração interativa do Microsoft Tunnel for Mobile Application Management para Android mostra como o Tunnel for MAM estende a Gateway de VPN do Microsoft Tunnel para dar suporte a dispositivos Android não registrados com Intune.
Pré-requisitos
Infraestrutura e locatário:
O túnel para MAM requer as mesmas considerações e pré-requisitos que usar o Tunnel para dispositivos registrados. Para obter mais informações, consulte Pré-requisitos de túnel.
Depois de configurar o Microsoft Tunnel, você estará pronto para adicionar as duas políticas de configuração de aplicativo e a política de Proteção de aplicativos que permite que dispositivos não registrados usem o Tunnel. A configuração dessas políticas é detalhada nas seções a seguir.
Dispositivos:
Os usuários de dispositivos que não estão registrados com Intune devem instalar os seguintes aplicativos em seu dispositivo Android antes de poderem usar o cenário Tunnel for MAM. Todos esses aplicativos podem ser instalados manualmente na Google Play Store:
Microsoft Defender – Obtê-lo de Microsoft Defender – Aplicativos no Google Play. Microsoft Defender inclui o aplicativo cliente do túnel que o dispositivo usa para se conectar ao Microsoft Tunnel. Para dar suporte ao Tunnel para MAM, Microsoft Defender para Ponto de Extremidade deve ser a versão 1.0.4722.0101 ou superior.
Microsoft Edge – Obtenha-o do Microsoft Edge: Navegador da Web – Aplicativos no Google Play.
Portal da Empresa – Obtê-lo em Portal da Empresa do Intune – Aplicativos no Google Play. Os dispositivos devem instalar o aplicativo Portal da Empresa, embora os usuários não precisem entrar no aplicativo ou registrar seu dispositivo com Intune.
Aplicativos de linha de negócios:
Para seus aplicativos LOB (Linha de Negócios), integre-os ao SDK do MAM. Posteriormente, você pode adicionar seus aplicativos LOB à política de proteção de aplicativo e às polícias de configuração de aplicativo para o Túnel MAM. Consulte Introdução ao MAM para Android.
Observação
Verifique se seus aplicativos LOB Android dão suporte a proxy direto ou PAC (Configuração Automática de Proxy) para MDM e MAM.
Versão do SDK do MAM:
Para usar a Funcionalidade de Raízes Confiáveis do Android para Microsoft Tunnel para MAM requer uma versão do SDK do MAM do 9.5.0 ou posterior, acesse Versão 9.5.0 · msintuneappsdk/ms-intune-app-sdk-android no github.com.
Configurar políticas para dar suporte a Microsoft Tunnel para MAM
Para dar suporte ao uso do Tunnel para MAM, crie e implante os três perfis detalhados nas seções a seguir. Essas políticas podem ser criadas em qualquer ordem:
- Política de configuração de aplicativo para o Microsoft Edge
- Política de configuração de aplicativo para Microsoft Defender
- Proteção de aplicativos política para o Microsoft Edge
Quando todos os três são configurados e implantados nos mesmos grupos, a política de proteção de aplicativo dispara automaticamente o Tunnel para se conectar à VPN sempre que o Microsoft Edge é iniciado.
Você também pode configurar um perfil de certificado confiável para uso com o Microsoft Edge e com seus aplicativos de linha de negócios quando eles devem se conectar a recursos locais e são protegidos por um certificado SSL/TLS emitido por uma autoridade de certificado local ou privada (AC). Por padrão, o Microsoft Edge dá suporte a certificados raiz confiáveis. Para aplicativos LOB, você usa o SDK do MAM para adicionar suporte a certificados raiz confiáveis.
Política de configuração de aplicativo para Microsoft Defender
Crie uma política de configuração de aplicativo para configurar Microsoft Defender para Ponto de Extremidade no dispositivo para uso como o aplicativo cliente do túnel.
Observação
Verifique se apenas uma única política de configuração do aplicativo Defender tem como destino o dispositivo não registrado. Direcionar mais de 1 política de configuração de aplicativo com diferentes configurações de túnel para Defender para Ponto de Extremidade criará problemas de conexão de túnel no dispositivo.
Entre no centro de administração Microsoft Intune e vá para Aplicativos>Configuração de Aplicativos políciasAdicionam>Aplicativos Gerenciados>.
Na guia Noções Básicas:
- Insira um Nome para essa política e uma Descrição (opcional).
- Clique em Selecionar aplicativos públicos, selecione Microsoft Defender Ponto de Extremidade para Android e clique em Selecionar.
Quando Microsoft Defender Ponto de Extremidade estiver listado para aplicativos públicos, selecione Avançar.
Na guia Configurações , ignore a categoria Configurações gerais , que não é usada para essa política. Para a categoria configurações do Microsoft Tunnel , faça as seguintes configurações:
- Defina Usar VPN do Microsoft Tunnel como Sim.
- Para o nome da conexão, especifique o nome da conexão de sua VPN.
Em seguida, clique em Selecionar um site:
Para Nome do Site, selecione um site disponível e clique em OK.
VPN por aplicativo (somente Android) é uma configuração opcional. Selecione aplicativos públicos ou personalizados para restringir o uso da conexão VPN do Túnel a esses aplicativos especificados.
Importante
Para garantir a comutação contínua de identidade e notificações precisas do Túnel no Microsoft Edge, é essencial incluir o Edge em sua lista de VPN por aplicativo.
Importante
O Túnel MAM para Android não dá suporte ao uso de VPN always-on. Quando a VPN always-on é definida como Habilitar, o Tunnel não se conecta com êxito e envia notificações de falha de conexão ao usuário do dispositivo.
Proxy é uma configuração opcional. Configure as configurações de proxy para atender aos requisitos de rede locais.
Observação
Não há suporte para configurações de servidor proxy com versões do Android antes da versão 10. Para obter mais informações, consulte VpnService.Builder nessa documentação do desenvolvedor do Android.
Quando estiver pronto, selecione Avançar para continuar.
Na guia Atribuições, selecione Adicionar Grupos e selecione os mesmos grupos de Microsoft Entra para os quais você implantou o perfil de configuração do Aplicativo Microsoft Edge e selecione Avançar.
Na guia Revisar + Criar , selecione Criar para concluir a criação da política e implantar a política nos grupos atribuídos.
A nova política aparece na lista de políticas de configuração de aplicativo.
Política de configuração de aplicativo para o Microsoft Edge
Crie uma política de configuração de aplicativo para o Microsoft Edge. Essa política configura o Microsoft Edge para dar suporte à opção de identidade, fornecendo a capacidade de conectar automaticamente o Túnel VPN ao entrar ou alternar para uma conta "Trabalho ou escola" da Microsoft e desconectar automaticamente o túnel VPN ao alternar para um Microsoft conta pessoal.
Entre no centro de administração Microsoft Intune e vá para Aplicativos>Configuração de Aplicativos políciasAdicionam>Aplicativos Gerenciados>.
Na guia Noções Básicas:
- Insira um Nome para a política e uma Descrição (opcional).
- Clique em Selecionar aplicativos públicos, selecione Microsoft Edge para Android e clique em Selecionar.
Depois que o Microsoft Edge for listado para aplicativos públicos, selecione Avançar.
Na guia Configurações , configure o par Nome e Valor na categoria Configurações gerais da seguinte maneira:
Nome Descrição com.microsoft.intune.mam.managedbrowser.StrictTunnelMode
Valor:True
Quando definido como True
, ele fornece suporte ao Modo de Túnel Rigoroso para o Edge. Quando os usuários entram no Edge com uma conta de organização, se a VPN não estiver conectada, o Modo de Túnel Rigoroso bloqueará o tráfego da Internet.
Quando a VPN se reconecta, a navegação na Internet estará disponível novamente.com.microsoft.intune.mam.managedbrowser.TunnelAvailable.IntuneMAMOnly
Valor:True
Quando definido como True
, ele fornece suporte ao comutador de identidade para o Edge.
Quando os usuários entrem com a conta de trabalho ou a conta da escola, o Edge se conecta automaticamente à VPN. Quando os usuários habilitam a navegação privada, o Edge muda para uma conta pessoal e desconecta a VPN.A imagem a seguir mostra a
Identity switch
configuração em uma política de configuração de aplicativo para o Microsoft Edge:Observação
Verifique se não há espaços à direita no final da configuração geral.
Você pode usar essa mesma política para configurar outras configurações do Microsoft Edge na categoria de configurações do Microsoft Edge . Depois que as configurações adicionais do Microsoft Edge estiverem prontas, selecione Avançar.
Na guia Atribuições, selecione Adicionar Grupos e selecione um ou mais grupos Microsoft Entra que receberão essa política. Depois de configurar grupos, selecione Avançar.
Na guia Revisar + Criar , selecione Criar para concluir a criação da política e implantar a política nos grupos atribuídos.
A nova política aparece na lista de políticas de configuração de aplicativo.
Proteção de aplicativos política para o Microsoft Edge
Crie uma política de proteção de aplicativo para iniciar automaticamente a conexão VPN do Microsoft Tunnel quando o aplicativo for iniciado.
Observação
Quando o aplicativo for iniciado, a conexão VPN do Túnel tentará iniciar, uma vez iniciada, o dispositivo terá acesso às rotas de rede locais disponíveis por meio do Microsoft Tunnel Gateway. Se você quiser limitar o acesso à rede de túnel a aplicativos específicos, configure as configurações de VPN por aplicativo (somente Android).
Entre no centro de administração Microsoft Intune e vá para Aplicativos>Proteção de aplicativos políticas>Crie a política>Android.
Na guia Noções básicas, insira um Nome para essa política e uma Descrição (opcional)e selecione Avançar.
Na guia Aplicativos , clique em Selecionar aplicativos públicos, selecione Microsoft Edge e clique em Selecionar.
Quando o Microsoft Edge estiver listado para aplicativos públicos, selecione Avançar.
Na guia Proteção de dados , role até a parte inferior e defina Iniciar conexão do Microsoft Tunnel no lançamento do aplicativo como Sim e selecione Avançar.
Continue além dos requisitos de acesso e guias de inicialização condicional .
Na guia Atribuições, selecione Adicionar Grupos e selecione os mesmos grupos de Microsoft Entra para os quais você implantou os dois perfis de configuração do aplicativo e selecione Avançar.
Na guia Revisar + Criar , selecione Criar para concluir a criação da política e implantar a política nos grupos atribuídos.
A nova política aparece na lista de políticas de configuração do aplicativo.
Configurar aplicativos da Linha de Negócios
Se você integrou seus aplicativos LOB ao SDK do MAM, poderá usá-los com o Microsoft Tunnel adicionando-os como aplicativos personalizados às três políticas do Túnel MAM que você criou anteriormente.
Para obter mais informações sobre como adicionar aplicativos personalizados às políticas, confira os seguintes artigos para os dois tipos de política:
- Políticas de configuração de aplicativo para aplicativos gerenciados do SDK do aplicativo Intune
- Como criar e atribuir as políticas de proteção de aplicativo
Para dar suporte a aplicativos LOB em seus dispositivos não registrados, os aplicativos devem implantar como aplicativos disponíveis de dentro Microsoft Intune centro de administração. Você não pode usar Intune para implantar aplicativos como aplicativos necessários para dispositivos não registrados.
Usar um perfil de certificado confiável
Os aplicativos LOB que usam o túnel MAM no Android são necessários para se integrar ao SDK do aplicativo Intune e devem usar o novo gerenciador de confiança tunnel for MAM para utilizar o suporte confiável de certificado raiz para seus aplicativos LOB. Para dar suporte a certificados raiz confiáveis, você deve usar a versão mínima do SDK (ou posterior) conforme detalhado na seção Pré-requisitos deste artigo.
Gerenciamento de certificados raiz confiáveis:
Se seu aplicativo exigir certificados SSL/TLS emitidos por uma autoridade de certificado local ou privada para fornecer acesso seguro a sites e aplicativos internos, o SDK do aplicativo Intune adicionou suporte ao gerenciamento de confiança de certificado usando as classes de API MAMTrustedRootCertsManager e MAMCertTrustWebViewClient.
Requisitos:
Formatos de certificado compatíveis com o Tunnel para MAM Android:
- X.509 binário codificado pelo DER
- PEM
O MAMCertTrustWebViewClient dá suporte a:
- Android 10 ou superior
O MAMTrustedRootCertsManager dá suporte a:
- SSLContext
- SSLSocketFactory
- TrustManager
- Webview
Durante a configuração do perfil de configuração do aplicativo para um aplicativo que usará Tunnel for MAM, selecione o perfil de certificado que será usado:
Na guia Configurações do perfil de configuração do aplicativo, expanda as configurações do Microsoft Tunnel for Mobile Application Management.
Configure as seguintes opções:
- Defina Usar Microsoft Tunnel para MAM como Sim.
- Para nome de conexão, especifique um nome de usuário voltado para essa conexão, como mam-tunnel-vpn.
- Em seguida, selecione Selecionar um Site e escolha um dos sites do Microsoft Tunnel Gateway. Se você ainda não configurou um site do Tunnel Gateway, consulte Configurar o Microsoft Tunnel.
- Se o aplicativo exigir um certificado confiável, selecione Certificado Raiz para abrir o painel Selecionar Certificados Raiz e selecione um perfil de certificado confiável a ser usado.
Para obter informações sobre como configurar perfis de certificado raiz, consulte Perfis de certificado raiz confiáveis para Microsoft Intune.
Depois de configurar as configurações de MAM do Túnel, selecione Avançar para abrir a guia Atribuições .
Problemas Conhecidos
A seguir estão problemas ou limitações conhecidos para o Túnel MAM para Android.
O Tunnel for Mobile Application Management não dá suporte a Microsoft Defender no modo perfil pessoal
Para obter informações sobre Microsoft Defender no Modo de Perfil Pessoal, consulte Microsoft Defender no Perfil Pessoal no Android Enterprise no modo BYOD.
Solução alternativa: nenhuma.
Túnel MAM não tem suporte ao usar o Túnel MDM
Você pode optar por usar o Túnel MAM com dispositivos registrados em vez de usar configurações do Túnel MDM. No entanto, um dispositivo registrado deve usar apenas as configurações do Túnel MDM ou as configurações do Túnel MAM, mas não ambos. Por exemplo, os dispositivos registrados não podem ter um aplicativo como o Microsoft Edge que usa configurações de túnel MAM enquanto outros aplicativos usam configurações do Túnel MDM.
Solução alternativa: nenhuma.
Linha de aplicativo de negócios usando o WebView e Intune SDK para suporte raiz confiável, os pontos de extremidade internos não podem ser dobrados
Solução alternativa: implante e instale manualmente o certificado raiz confiável em dispositivos Android não registrados que usam aplicativos LOB com WebView no Túnel.
O Android falha ao criar a cadeia de certificados quando você usa a autoridade de certificação privada
Ao usar o WebView com o MAMCertTrustWebViewClient no MAM para validar certificados, o MAM delega para o Android para criar uma cadeia de certificados a partir de certificados fornecidos pelos administradores e pelo servidor. Se um servidor que usa certificados privados fornecer a cadeia completa ao WebView de conexão, mas o administrador implantar apenas o certificado raiz, o Android poderá falhar ao criar a cadeia de certificação e falhar ao verificar a confiança do servidor. Esse comportamento ocorre porque o Android exige certificados intermediários para criar a cadeia em um nível aceitável.
Solução alternativa: para garantir a validação adequada do certificado, os administradores devem implantar o certificado raiz e todos os certificados intermediários no Intune. Se o certificado raiz, juntamente com todos os certificados intermediários não forem implantados, o Android poderá falhar ao criar a cadeia de certificados e não confiar no servidor.
Erro de certificado do Defender para Ponto de Extremidade ao usar um certificado TLS/SSL de uma autoridade de certificado privado
Quando o servidor do Microsoft Tunnel Gateway usa um certificado TLS/SSL emitido por uma AC privada (local), Microsoft Defender para Ponto de Extremidade gera um erro de certificado ao tentar se conectar.
Contornar: instale manualmente o certificado raiz confiável correspondente da autoridade de certificado privado no dispositivo Android. Uma atualização futura do aplicativo Defender para Ponto de Extremidade fornecerá suporte e removerá a necessidade de instalar manualmente o certificado raiz confiável.
O Microsoft Edge não pode alcançar recursos internos por um curto período de tempo depois de ser iniciado
Imediatamente após a abertura do Microsoft Edge, o navegador tenta se conectar a recursos internos antes de se conectar com êxito ao Tunnel. Esse comportamento resulta no relatório do navegador de que o recurso ou a URL de destino não está disponível.
Solução alternativa: atualize a conexão do navegador no dispositivo. O recurso fica disponível depois que a conexão com Tunnel é estabelecida.
Os três aplicativos necessários para dar suporte ao Tunnel para dispositivos não registrados não estão visíveis no aplicativo Portal da Empresa em um dispositivo
Depois que o Microsoft Edge, Microsoft Defender para Ponto de Extremidade e o Portal da Empresa, são atribuídos a um dispositivo como disponível com ou sem registro, o usuário-alvo não pode encontrar os aplicativos no Portal da Empresa ou em portal.manage.microsoft.com.
Solução alternativa: instale todos os três aplicativos manualmente na Google Play Store. Você pode encontrar links para todos os três aplicativos no Google Play nesta seção Pré-requisitos de artigos .
Erro: "Falha no início da VPN do MSTunnel, entre em contato com o administrador de TI para obter ajuda"
Essa mensagem de erro pode ocorrer mesmo que o túnel esteja conectado.
Solução alternativa: essa mensagem pode ser ignorada.
Erro: Licenciamento inválido, entre em contato com o administrador
Esse erro ocorre quando a versão do Microsoft Defender para Ponto de Extremidade não dá suporte ao Tunnel.
Solução alternativa: instale a versão com suporte do Defender para Ponto de Extremidade do Microsoft Defender – Aplicativos no Google Play.
Não há suporte para o uso de várias políticas para o Defender para configurar diferentes sites de túnel para aplicativos diferentes
O uso de duas ou mais políticas de configuração de aplicativo para Microsoft Defender que especificam diferentes Sites de Túnel não tem suporte e pode resultar em uma condição de corrida que impede o uso bem-sucedido do Tunnel.
Solução alternativa: direcione cada dispositivo com uma única política de configuração de aplicativo para Microsoft Defender, garantindo que cada dispositivo não registrado esteja configurado para usar apenas um Site.
Suporte a GCC High e FIPS
Microsoft Tunnel para MAM não há suporte para ambientes do GCC High Microsoft Tunnel para MAM não dá suporte ao FIPS (Federal Information Processing Standard). Microsoft Tunnel para MAM não há suporte em ambientes fairfax
Próximas etapas
Confira também:
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de