通过

Microsoft Tunnel for Mobile Application Management for Android

  • 项目

注意

此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能

将 Microsoft Tunnel for Mobile Application Management (MAM) 添加到租户时,可以将 Microsoft Tunnel VPN 网关 与未注册的 Android 设备配合使用,以支持 MAM 方案。 借助 MAM 支持,未注册的设备可以使用 Tunnel 安全地连接到组织,使用户和应用能够安全访问组织数据。

应用于:

  • Android Enterprise

若要扩展现有的 Microsoft Tunnel 配置 以支持 MAM,请创建并部署三个配置文件,用于在未注册的设备上配置此支持:

  • Microsoft Defender的应用配置策略。 此策略将设备上的Microsoft Defender for Endpoint配置为 VPN 隧道客户端应用。
  • Microsoft Edge 的应用配置策略。 此策略将 Microsoft Edge 配置为支持标识切换,在从 Microsoft“工作或学校”帐户切换到 Microsoft Edge 中的Microsoft“个人帐户”时,该交换机会自动连接和断开 VPN 隧道。
  • 应用保护策略,以便在设备上启用 MAM 的应用访问公司资源时自动启动与 Microsoft Tunnel 的连接。

这些策略到位后,用于 Tunnel 的现有站点和服务器配置支持从未在 Intune 中注册的设备进行访问。 此外,可以选择将 MAM Tunnel 的配置部署到已注册的设备,而不是使用 MDM Tunnel 配置。 但是,已注册的设备必须仅使用 MDM 隧道配置或 MAM 隧道配置,而不能同时使用这两者。 例如,已注册的设备不能有一个应用(如 Microsoft Edge)使用 MAM 隧道配置,而其他应用则使用 MDM 隧道配置。

尝试交互式演示
Microsoft Tunnel for Mobile Application Management for Android 交互式演示演示了 Tunnel for MAM 如何扩展 Microsoft Tunnel VPN 网关,以支持未向 Intune 注册的 Android 设备。

先决条件

基础结构和租户

MAM 隧道需要与对已注册设备使用 Tunnel 相同的注意事项和先决条件。 有关详细信息,请参阅 隧道先决条件

配置Microsoft Tunnel 后,可以添加两个应用配置策略应用保护策略,使未注册的设备能够使用 Tunnel。 以下部分详细介绍了这些策略的配置。

设备

未使用 Intune 注册的设备的用户必须先在其 Android 设备上安装以下应用,然后才能使用 Tunnel for MAM 方案。 这些应用都可以从 Google Play 商店手动安装:

  1. Microsoft Defender – 从 Google Play 上的 Microsoft Defender - 应用获取它。 Microsoft Defender包括设备用于连接到 Microsoft Tunnel 的隧道客户端应用。 若要支持 MAM 的 Tunnel,Microsoft Defender for Endpoint版本必须为 1.0.4722.0101 或更高版本。

  2. Microsoft Edge – 从 Microsoft Edge 获取它:Web 浏览器 - Google Play 上的应用

  3. 公司门户 – 在 Intune 公司门户 - Google Play 上的应用获取它。 即使用户无需登录应用或使用 Intune 注册设备,设备也必须安装 公司门户 应用。

业务线应用

对于业务线 (LOB) 应用,请将其与 MAM SDK 集成。 稍后,可以将 LOB 应用添加到 MAM Tunnel 的应用保护策略和应用配置策略。 请参阅 适用于 Android 的 MAM 入门

注意

确保 Android LOB 应用程序支持 MDM 和 MAM (PAC) 的直接代理或代理自动配置。

MAM SDK 版本

若要使用适用于 适用于 MAM 的 Microsoft Tunnel的 Android 受信任根功能需要 MAM SDK 版本 9.5.0 或更高版本,请转到 github.com 上的发布版本 9.5.0 · msintuneappsdk/ms-intune-app-sdk-android

政府云支持

以下主权云环境支持 Android 上的适用于 MAM 的 Microsoft Tunnel:

  • 美国政府社区云 (GCC) 高
  • 美国国防部 (国防部)

Android 上的适用于 MAM 的 Microsoft Tunnel不支持联邦信息处理标准 (FIPS) 。

有关详细信息,请参阅美国政府 GCC 服务说明Microsoft Intune

配置策略以支持适用于 MAM 的 Microsoft Tunnel

若要支持使用 Tunnel for MAM,请创建并部署以下部分详述的三个配置文件。 可以按任意顺序创建这些策略:

当这三者都配置并部署到同一组时,每当启动 Microsoft Edge 时,应用保护策略都会自动触发 Tunnel 连接到 VPN。

受信任的证书配置文件 必须连接到本地资源并且受本地或专用证书颁发机构颁发的 SSL/TLS 证书 (CA) 保护时,还可以配置用于 Microsoft Edge 和业务线应用。 默认情况下,Microsoft Edge 支持受信任的根证书。 对于 LOB 应用, 可以使用 MAM SDK 添加对受信任的根证书的支持。

Microsoft Defender的应用配置策略

创建应用配置策略,在设备上配置Microsoft Defender for Endpoint以用作隧道客户端应用。

注意

确保只有一个 Defender 应用配置策略面向未注册的设备。 将具有不同隧道设置的 Defender for Endpoint 的 1 个以上的应用配置策略为目标将在设备上产生隧道连接问题。

  1. 登录到 Microsoft Intune 管理中心,转到“应用>应用程序配置策略>”“添加>托管应用”。

  2. 在“基础知识”选项卡上:

    1. 输入此策略 的名称 ,并输入 说明 (可选)
    2. 单击“选择公共应用”,选择“Microsoft Defender适用于 Android终结点”,然后单击“选择”。

    “公共应用”列出Microsoft Defender终结点时,选择“下一步”。

    将 Microsoft Defender 终结点配置为公共应用的应用配置策略的屏幕截图。

  3. “设置” 选项卡上,跳过“ 常规配置设置” 类别,该类别不用于此策略。 对于 “Microsoft隧道设置 ”类别,请进行以下配置:

    • “使用Microsoft隧道 VPN ”设置为 “是”。
    • 对于 “连接名称”,请指定 VPN 的连接名称。

    接下来,单击“ 选择站点”:

    • 对于 “站点名称”,选择可用站点,然后单击“ 确定”。

    • 每个应用 VPN (仅限 Android) 是一个可选设置。 选择“公共应用”或“自定义应用”,以限制使用这些指定应用的 Tunnel VPN 连接。

      重要

      为了确保在 Microsoft Edge 中无缝切换标识和准确的 Tunnel 通知,必须将 Edge 包含在每应用 VPN 列表中。

      添加了 Microsoft Edge 的按应用配置配置的屏幕截图。

      重要

      适用于 Android 的 MAM Tunnel 不支持使用 Always-on VPN。 当 Always-on VPN 设置为 “启用”时,Tunnel 不会成功连接,并向设备用户发送连接失败通知。

    • 代理 是可选设置。 配置代理设置以满足本地网络要求。

      注意

      低于版本 10 的 Android 版本不支持代理服务器配置。 有关详细信息,请参阅 Android 开发人员文档中的 VpnService.Builder

    准备就绪后,选择“下一步”继续操作

    应用配置策略设置配置的屏幕截图。

  4. 在“分配”选项卡上,选择“添加组”,然后选择Microsoft Edge App 配置文件部署到的相同Microsoft Entra组,然后选择“下一步”。

  5. 在“ 查看 + 创建 ”选项卡上,选择“ 创建 ”以完成策略的创建,并将策略部署到分配的组。

新策略将显示在应用配置策略列表中。

Microsoft Edge 的应用配置策略

为 Microsoft Edge 创建应用配置策略。 此策略将 Microsoft Edge 配置为支持标识切换,提供在登录或切换到Microsoft“工作或学校”帐户时自动连接 VPN 隧道的功能,并在切换到Microsoft 个人帐户时自动断开 VPN 隧道的连接。

  1. 登录到 Microsoft Intune 管理中心,转到“应用>应用程序配置策略>”“添加>托管应用”。

  2. 在“基础知识”选项卡上:

    1. 输入策略 的“名称 ”和 “说明” (可选)
    2. 单击“选择公共应用”,选择“Microsoft Android版 Edge”,然后单击“选择”。

    “公共应用”列出Microsoft Edge 后,选择“ 下一步”。

    使用 Microsoft Edge 作为公共应用配置应用配置策略的屏幕截图。

  3. “设置”选项卡上,在“常规配置设置”类别中配置“名称”和“”对,如下所示:

    名称 说明
    com.microsoft.intune.mam.managedbrowser.StrictTunnelMode

    True    		 True设置为 时,它将提供对 Edge 的严格隧道模式支持。 当用户使用组织帐户登录 Edge 时,如果未连接 VPN,则 严格隧道模式 会阻止 Internet 流量。

    当 VPN 重新连接时,Internet 浏览将再次可用。
    com.microsoft.intune.mam.managedbrowser.TunnelAvailable.IntuneMAMOnly

    True    		 True设置为 时,它将为 Edge 提供标识切换支持。

    当用户使用 工作帐户或学校帐户登录时,Edge 会自动连接到 VPN。 当用户启用专用浏览时,Edge 会切换到 个人帐户 并断开 VPN 的连接。

    下图显示了 Identity switch Microsoft Edge 的应用配置策略中的设置:

    显示 Microsoft Intune 中非托管 Android 设备上的 MAM Tunnel 的标识交换机配置键和值的图像。

    注意

    确保“常规”配置设置末尾没有尾随空格。

    可以使用此相同策略在 Microsoft Edge 配置设置类别中配置其他 Microsoft Edge 配置 。 Microsoft Edge 的任何其他配置准备就绪后,选择“ 下一步”。

  4. 在“分配”选项卡上,选择“添加组”,然后选择将接收此策略的一个或多个Microsoft Entra组。 配置组后,选择“ 下一步”。

  5. 在“ 查看 + 创建 ”选项卡上,选择“ 创建 ”以完成策略的创建,并将策略部署到分配的组。

新策略将显示在应用配置策略列表中。

Microsoft Edge 的应用保护策略

创建应用保护策略,以在应用启动时自动启动 Microsoft Tunnel VPN 连接。

注意

启动应用后,Tunnel VPN 连接将尝试启动,启动后,设备将有权访问通过 Microsoft Tunnel Gateway 提供的本地网络路由。 如果要将隧道网络访问限制为特定应用,请配置“每应用 VPN (Android 仅) 设置。

  1. 登录到 Microsoft Intune 管理中心,然后转到“应用>应用保护策略>”“创建策略>Android”。

  2. 在“ 基本信息 ”选项卡上,输入此策略 的名称 ,输入 “说明” (可选) ,然后选择“ 下一步”。

  3. 在“ 应用 ”选项卡上,单击“ 选择公共应用”,选择“ Microsoft Edge”,然后单击“ 选择”。

    “公共应用”列出Microsoft Edge 时,选择“ 下一步”。

    使用 Microsoft Edge 作为公共应用配置应用保护策略的屏幕截图。

  4. 在“ 数据保护 ”选项卡上,滚动到底部,将 “应用启动时启动Microsoft隧道连接 ”设置为“ ”,然后选择“ 下一步”。

    配置应用保护策略设置以在应用启动时使用 Tunnel 的屏幕截图。

  5. 继续执行 “访问要求 ”和“ 条件启动 ”选项卡。

  6. 在“分配”选项卡上,选择“添加组”,然后选择将两个应用配置文件部署到的相同Microsoft Entra组,然后选择“下一步”。

  7. 在“ 查看 + 创建 ”选项卡上,选择“ 创建 ”以完成策略的创建,并将策略部署到分配的组。

新策略将显示在应用配置策略列表中。

配置业务线应用程序

如果已将 LOB 应用与 MAM SDK 集成,则可以将它们与 Microsoft Tunnel 配合使用,方法是将它们作为 自定义应用 添加到 前面创建的三个 MAM Tunnel 策略中。

有关将自定义应用添加到策略的详细信息,请参阅以下两种策略类型的文章:

若要在未注册的设备上支持 LOB 应用,应用必须从 Microsoft Intune 管理中心内部署为可用应用。 不能使用Intune将应用作为所需应用部署到未注册的设备。

使用受信任的证书配置文件

Android 上使用 MAM 隧道的 LOB 应用需要与 Intune App SDK 集成,并且必须使用新的 Tunnel for MAM 信任管理器来对其 LOB 应用使用受信任的根证书支持。 若要支持受信任的根证书,必须使用最低 SDK 版本 (或更高版本) ,如本文的 先决条件 部分所述。

受信任的根证书管理

如果应用程序需要本地或专用证书颁发机构颁发的 SSL/TLS 证书来提供对内部网站和应用程序的安全访问,Intune App SDK 已使用 API 类 MAMTrustedRootCertsManagerMAMCertTrustWebViewClient 添加了对证书信任管理的支持。

要求

  • MAM Android 的 Tunnel 支持的证书格式

    • DER 编码的二进制 X.509
    • PEM

  • MAMCertTrustWebViewClient 支持:

    • Android 10 或更高版本

  • MAMTrustedRootCertsManager 支持:

    • SSLContext
    • SSLSocketFactory
    • TrustManager
    • WebView

在为将使用 Tunnel for MAM 的应用配置应用配置文件期间,选择要使用的证书配置文件:

  1. 在应用配置文件的“ 设置 ”选项卡上,展开 “Microsoft Tunnel for Mobile Application Management 设置”。 应用配置策略中的 Tunnel 设置的视图。

  2. 配置以下选项:

    1. “使用适用于 MAM 的 Microsoft Tunnel”设置为“是”。
    2. 对于 “连接名称”,请为此连接指定面向用户的名称,例如 mam-tunnel-vpn
    3. 接下来,选择“ 选择站点”,然后选择一个Microsoft Tunnel Gateway 站点。 如果尚未配置隧道网关站点,请参阅 配置Microsoft隧道
    4. 如果应用需要受信任的证书,请选择“ 根证书 ”以打开“ 选择根证书 ”窗格,然后选择要使用的受信任证书配置文件。

    根证书选择窗格的视图。

    有关配置根证书配置文件的信息,请参阅Microsoft Intune的受信任的根证书配置文件

  3. 配置 Tunnel MAM 设置后,选择“ 下一步 ”以打开“ 分配 ”选项卡。

已知问题

以下是适用于 Android 的 MAM Tunnel 的已知问题或限制。

用于移动应用程序管理的隧道不支持在个人配置文件模式下Microsoft Defender

有关个人配置文件模式下Microsoft Defender的信息,请参阅 BYOD 模式下 Android Enterprise 上的个人配置文件中的Microsoft Defender

解决方法:无。

使用 MDM 隧道时不支持 MAM 隧道

可以选择将 MAM Tunnel 与已注册的设备配合使用,而不是使用 MDM Tunnel 配置。 但是,已注册的设备必须仅使用 MDM 隧道配置或 MAM 隧道配置,而不能同时使用这两者。 例如,已注册的设备不能有一个应用(如 Microsoft Edge)使用 MAM 隧道配置,而其他应用则使用 MDM 隧道配置。

解决方法:无。

使用 WebView 和 Intune SDK 实现受信任的根支持的业务线应用程序,内部终结点不可查询

解决方法:在未注册的 Android 设备上手动部署并安装受信任的根证书,这些设备将 LOB 应用与 Tunnel 上的 WebView 配合使用。

使用专用证书颁发机构时,Android 无法生成证书链

在 MAM 中使用 WebView 和 MAMCertTrustWebViewClient 来验证证书时,MAM 会委托 Android 根据管理员和服务器提供的证书生成证书链。 如果使用专用证书的服务器提供了与连接的 WebView 的完整链,但管理员仅部署根证书,则 Android 可能无法生成证书链,并在检查服务器信任时失败。 出现此行为的原因是 Android 需要中间证书才能将链构建到可接受的级别。

解决方法:为确保证书验证正确,管理员必须在 Intune 中部署根证书和所有中间证书。 如果未部署根证书以及所有中间证书,则 Android 可能无法生成证书链,并且无法信任服务器。

使用来自专用证书颁发机构的 TLS/SSL 证书时出现 Defender for Endpoint 证书错误

当Microsoft Tunnel 网关服务器使用专用 (本地) CA 颁发的 TLS/SSL 证书时,Microsoft Defender for Endpoint在尝试连接时生成证书错误。

解决方法:在 Android 设备上手动安装专用证书颁发机构的相应受信任的根证书。 Defender for Endpoint 应用的未来更新将提供支持,无需手动安装受信任的根证书。

Microsoft Edge 在启动后短时间内无法访问内部资源

Microsoft Edge 打开后,浏览器会立即尝试连接到内部资源,然后再成功连接到 Tunnel。 此行为会导致浏览器报告资源或目标 URL 不可用。

解决方法:刷新设备上的浏览器连接。 与 Tunnel 建立连接后,资源将变为可用。

支持未注册设备的 Tunnel 所需的三个应用在设备上的公司门户应用中不可见

将Microsoft Edge、Microsoft Defender for Endpoint和公司门户分配到设备(无论是否注册)后,目标用户无法在公司门户或 portal.manage.microsoft.com 找到应用。

解决方法:从 Google Play 商店手动安装所有三个应用。 可以在本文 先决条件 部分找到 Google Play 上所有三个应用的链接。

错误:“MSTunnel VPN 无法启动,请与 IT 管理员联系以获取帮助”

即使隧道已连接,也会发生此错误消息。

解决方法:可以忽略此消息。

错误:许可无效,请与管理员联系

当 Microsoft Defender for Endpoint 的版本不支持 Tunnel 时,会发生此错误。

解决方法:从 Microsoft Defender - Google Play 上的应用安装受支持的 Defender for Endpoint 版本。

不支持使用 Defender 的多个策略为不同的应用配置不同的隧道站点

不支持对指定不同隧道站点的Microsoft Defender使用两个或更多个应用配置策略,并可能导致争用条件,从而阻止成功使用 Tunnel。

解决方法:使用单个应用配置策略针对每个设备Microsoft Defender,确保每个未注册的设备配置为仅使用一个站点。

与业务线应用自动断开连接

不支持在业务线 (LOB) 方案中自动断开连接。

如果 Edge 是按应用 VPN 配置中列出的唯一应用程序,则自动断开连接功能将正常工作。 如果每个应用 VPN 配置中包含其他应用程序,则自动断开连接功能将不起作用。 在这种情况下,用户必须手动断开连接,以确保所有连接都终止。

解决方法:在 LOB 方案中,用户必须手动断开连接。

后续步骤

另请参阅: