適用於 Android 的行動應用程式管理 Microsoft Tunnel

  • 文章

注意事項

這項功能可做為 Intune 附加元件。 如需詳細資訊,請參閱使用 Intune 套件附加元件功能

當您將適用於行動應用程式管理的 Microsoft Tunnel (MAM) 新增至租使用者時,您可以使用 Microsoft Tunnel VPN 閘道 搭配未註冊的 Android 裝置來支援 MAM 案例。 透過 MAM 的支援,您未註冊的裝置可以使用 Tunnel 安全地連線到您的組織,讓使用者和應用程式安全地存取您的組織數據。

適用於:

  • Android Enterprise

若要擴充現有的 Microsoft Tunnel 設定以支援 MAM,請在未註冊的裝置上建立並部署三個配置檔來設定此支援:

  • 適用於 Microsoft Defender 的應用程式設定原則。 此原則會將裝置上的 適用於端點的 Microsoft Defender 設定為 VPN 通道用戶端應用程式。
  • Microsoft Edge 的應用程式設定原則。 此原則會將 Microsoft Edge 設定為支援身分識別切換,這會在從 Microsoft「公司或學校」帳戶切換至 Microsoft Edge 中的 Microsoft「個人帳戶」時,自動連線並中斷 VPN 信道的連線和中斷連線。
  • 應用程式防護 原則,在裝置上啟用 MAM 的應用程式存取公司資源時,自動啟動與 Microsoft Tunnel 的連線。

有了這些原則之後,通道的現有月臺和伺服器設定支援從未在 Intune 中註冊的裝置存取。 此外,您可以選擇將 MAM 通道的設定部署到已註冊的裝置,而不是使用 MDM 通道設定。 不過,已註冊的裝置必須只使用 MDM 通道設定或 MAM 通道組態,但不能同時使用兩者。 例如,註冊的裝置不能有 Microsoft Edge 之類的應用程式使用 MAM 通道設定,而其他應用程式則使用 MDM 通道設定。

試用互動式示範
適用於 Android 的行動應用程式管理 Microsoft Tunnel 互動式示範示範適用於 MAM 的 Tunnel 如何擴充 Microsoft Tunnel VPN 閘道,以支援未向 Intune 註冊的 Android 裝置。

必要條件

基礎結構和租使用者

MAM 的通道需要與針對已註冊裝置使用通道相同的考慮和必要條件。 如需詳細資訊,請參閱 通道必要條件

設定 Microsoft Tunnel 之後,您就可以開始新增兩個應用程式設定原則,以及可讓未註冊裝置使用 Tunnel 的 應用程式防護 原則。 下列各節會詳細說明這些原則的設定。

裝置

未向 Intune 註冊的裝置用戶必須先在其 Android 裝置上安裝下列應用程式,才能使用適用於 MAM 的通道案例。 這些應用程式都可以從Google Play 商店手動安裝:

  1. Microsoft Defender – 從 Microsoft Defender 取得 - Google Play 上的應用程式。 Microsoft Defender 包含裝置用來連線到 Microsoft Tunnel 的通道用戶端應用程式。 若要支援 MAM 的通道,適用於端點的 Microsoft Defender 必須是 1.0.4722.0101 版或更高版本。

  2. Microsoft Edge – 從 Microsoft Edge 取得:網頁瀏覽器 - Google Play 上的應用程式

  3. 公司入口網站 – 在 Intune 公司入口網站 取得 - Google Play 上的應用程式。 裝置必須安裝 公司入口網站 應用程式,即使使用者不需要登入應用程式或使用 Intune 註冊其裝置。

企業營運應用程式

針對您的企業營運 (LOB) 應用程式,將它們與 MAM SDK 整合。 稍後,您可以 將 LOB 應用程式新 增至 MAM 通道的應用程式保護原則和應用程式設定原則。 請參閱 開始使用適用於 Android 的 MAM

注意事項

請確定您的 Android LOB 應用程式支援適用於 MDM 和 MAM 的直接 Proxy 或 Proxy 自動設定 (PAC) 。

MAM SDK 版本

若要使用適用於 適用於 MAM 的 Microsoft Tunnel 的 Android 受信任根功能需要 9.5.0 版或更新版本的 MAM SDK,請移至 github.com 上的版本 9.5.0 · msintuneappsdk/ms-intune-app-sdk-android

設定原則以支援 適用於 MAM 的 Microsoft Tunnel

若要支援使用適用於 MAM 的通道,請建立並部署下列各節中詳述的三個配置檔。 您可以依任何順序建立這些原則:

當這三者都設定並部署到相同的群組時,應用程式保護原則會在每次啟動 Microsoft Edge 時自動觸發 Tunnel 以連線到 VPN。

當受 信任的憑證配置檔 必須連線到內部部署資源,並受到內部部署或私人證書頒發機構單位 (CA) 所簽發的 SSL/TLS 憑證保護時,您也可以將受信任的憑證配置檔設定為與 Microsoft Edge 及您的企業營運應用程式搭配使用。 根據預設,Microsoft Edge 支援受信任的跟證書。 針對 LOB 應用程式,您可以 使用 MAM SDK 來新增受信任跟證書的支援。

適用於 Microsoft Defender 的應用程式設定原則

建立應用程式設定原則,以在裝置上設定 適用於端點的 Microsoft Defender,以作為通道用戶端應用程式。

注意事項

請確定只有單一 Defender 應用程式設定原則會以未註冊的裝置為目標。 針對具有適用於端點的 Defender 不同通道設定的 1 個以上應用程式設定原則,將會在裝置上建立通道連線問題。

  1. 登入 Microsoft Intune 系統管理中心,然後移至 [應用程式>應用程式組態 原則>新增>Managed Apps]

  2. 在 [ 基本] 索引標籤上

    1. 輸入此原則的 [名稱 ],然後輸入 [描述] (選擇性)
    2. 按兩下 [選取公用應用程式],選取 [Microsoft Defender Android 端點],然後按兩下 [選取]

    當 Microsoft Defender 端點列示為 [公用應用程式] 時,請選取 [下一步]

    設定應用程式設定原則的螢幕快照,其中 Microsoft Defender 端點作為公用應用程式。

  3. 在 [ 設定] 索引標籤 上,略過 [ 一般 組態設定] 類別,這不會用於此原則。 針對 Microsoft Tunnel 設定 類別,請進行下列設定:

    • [使用 Microsoft Tunnel VPN] 設定為 [是]
    • 針對 [連線名稱],指定 VPN 的連線名稱。

    接下來,按兩下 [選取網站]

    • 針對 [網站名稱],選取可用的網站,然後按兩下 [ 確定]

    • 個別應用程式 VPN (僅限 Android) 是選擇性設定。 選取公用或自訂應用程式,以限制使用這些指定應用程式的通道 VPN 連線。

      重要事項

      若要確保 Microsoft Edge 內的無縫身分識別切換和精確通道通知,請務必在每個應用程式的 VPN 清單中包含 Edge。

      已新增 Microsoft Edge 的個別應用程式組態設定螢幕快照。

      重要事項

      適用於 Android 的 MAM 通道不支援使用 Always-on VPN。 當 Always-on VPN 設定為 [啟用] 時,Tunnel 不會成功連線,並將連線失敗通知傳送給裝置使用者。

    • Proxy 是選擇性設定。 設定 Proxy 設定以符合您的內部部署網路需求。

      注意事項

      Android 10 版之前的版本不支援 Proxy 伺服器設定。 如需詳細資訊,請參閱該 Android 開發人員檔中的 VpnService.Builder

    準備就緒時,請選取 [下一步 ] 繼續。

    應用程式設定原則設定組態的螢幕快照。

  4. 在 [指派] 索引標籤上,選取 [新增群組],然後選取您部署 Microsoft Edge 應用程式組態配置檔的相同 Microsoft Entra 群組,然後選取 [下一步]

  5. 在 [ 檢閱 + 建立] 索引標籤上,選取 [ 建立 ] 以完成原則的建立,並將原則部署至指派的群組。

新的原則會出現在應用程式設定原則清單中。

Microsoft Edge 的應用程式設定原則

建立 Microsoft Edge 的應用程式設定原則。 此原則會將 Microsoft Edge 設定為支援身分識別切換,讓您能夠在登入或切換至 Microsoft「公司或學校」帳戶時自動連線 VPN 通道,並在切換至 Microsoft 個人帳戶時自動中斷 VPN 通道的連線。

  1. 登入 Microsoft Intune 系統管理中心,然後移至 [應用程式>應用程式組態 原則>新增>Managed Apps]

  2. 在 [ 基本] 索引標籤上

    1. 輸入 原則的 [名稱 ],然後輸入 [描述] (選擇性)
    2. 按兩下 [選取公用應用程式],選取 [適用於AndroidMicrosoft Edge],然後按兩下 [選取]

    列出 公用應用程式的 Microsoft Edge 之後,選取 [ 下一步]

    以 Microsoft Edge 作為公用應用程式設定應用程式設定原則的螢幕快照。

  3. 在 [設定] 索引標籤上,設定 [一般組態設定] 類別中的 [名稱] 和 [] 配對,如下所示:

    名稱 描述
    com.microsoft.intune.mam.managedbrowser.StrictTunnelMode

    True    		 當設定為 True時,它會提供Edge 的 Strict Tunnel Mode 支援。 當使用者使用組織帳戶登入Edge時,如果 VPN 未連線,則 Strict Tunnel 模式 會封鎖因特網流量。

    當 VPN 重新連線時,會再次提供因特網流覽。
    com.microsoft.intune.mam.managedbrowser.TunnelAvailable.IntuneMAMOnly

    True    		 當設定為 True時,它會提供 Edge的身分識別交換器 支援。

    當使用者使用 公司帳戶或學校帳戶登入時,Edge 會自動連線到 VPN。 當使用者啟用私人瀏覽時,Edge 會切換至 個人帳戶 ,並中斷 VPN 的連線。

    下圖顯示 Identity switch Microsoft Edge 應用程式設定原則中的設定:

    顯示在 Microsoft Intune 中非受控 Android 裝置上 MAM 通道的身分識別交換器設定金鑰和值的影像。

    注意事項

    請確定 [一般] 組態設定的結尾沒有尾端空格。

    您可以使用此相同原則,在 Microsoft Edge 組態設定類別中 設定其他 Microsoft Edge 設定 。 Microsoft Edge 的任何其他設定準備就緒之後,請選取 [ 下一步]

  4. 在 [指派] 索引標籤上,選取 [新增群組],然後選取一或多個將接收此原則的 Microsoft Entra 群組。 設定群組之後,選取 [ 下一步]

  5. 在 [ 檢閱 + 建立] 索引標籤上,選取 [ 建立 ] 以完成原則的建立,並將原則部署至指派的群組。

新的原則會出現在應用程式設定原則清單中。

適用於 Microsoft Edge 的 應用程式防護 原則

建立應用程式保護原則,以在應用程式啟動時自動啟動 Microsoft Tunnel VPN 連線。

注意事項

當應用程式啟動時,通道 VPN 聯機會嘗試啟動,一旦啟動,裝置將可透過 Microsoft Tunnel 閘道取可用的內部部署網路路由。 如果您想要限制特定應用程式的通道網路存取,請設定「個別應用程式 VPN (Android 僅) 設定。

  1. 登入 Microsoft Intune 系統管理中心,然後移至 [應用程式>應用程式防護 原則>建立原則>Android]

  2. 在 [ 基本] 索引標籤上 ,輸入此原則的 [名稱 ],並輸入 [描述] (選擇性) ,然後選取 [ 下一步]

  3. 在 [ 應用程式] 索引 標籤上,按兩下 [選取公用應用程式],選取 [Microsoft Edge],然後按兩下 [ 選取]

    針對 公用應用程式列出 Microsoft Edge 時,請選取 [ 下一步]

    使用 Microsoft Edge 設定應用程式保護原則作為公用應用程式的螢幕快照。

  4. 在 [ 數據保護] 索引 標籤上,捲動至底部,並將 應用程式啟動時的 [啟動 Microsoft Tunnel 連線 ] 設定為 [ ],然後選取 [ 下一步]

    設定應用程式保護原則設定以在應用程式啟動時使用 Tunnel 的螢幕快照。

  5. 繼續超過 [ 存取需求 ] 和 [條件式啟動 ] 索引標籤。

  6. 在 [指派] 索引標籤上,選取 [新增群組],然後選取您部署兩個應用程式組態配置檔的相同 Microsoft Entra 群組,然後選取 [下一步]

  7. 在 [ 檢閱 + 建立] 索引標籤上,選取 [ 建立 ] 以完成原則的建立,並將原則部署至指派的群組。

新的原則會出現在應用程式設定原則清單中。

設定企業營運應用程式

如果您已將 LOB 應用程式與 MAM SDK 整合,您可以將它們新增為您先前建立的三個 MAM 通道原則中的自定義應用程式,以搭配 Microsoft Tunnel 使用它們。

如需將自定義應用程式新增至原則的詳細資訊,請參閱下列這兩種原則類型的文章:

若要在未註冊的裝置上支援LOB應用程式,應用程式必須從Microsoft Intune系統管理中心內部署為可用的應用程式。 您無法使用 Intune 將應用程式部署為已取消註冊裝置的必要應用程式。

使用受信任的憑證配置檔

在 Android 上使用 MAM 通道的 LOB 應用程式必須與 Intune App SDK 整合,而且必須使用新的適用於 MAM 信任管理員的通道,才能針對其 LOB 應用程式使用受信任的跟證書支援。 若要支援受信任的跟證書,您必須使用最低 SDK 版本 (或更新版本) 如本文 的必要 條件一節中所述。

受信任的跟證書管理

如果您的應用程式需要內部部署或私人證書頒發機構單位所簽發的 SSL/TLS 憑證,以提供內部網站和應用程式的安全存取權,Intune 應用程式 SDK 已新增使用 API 類別 MAMTrustedRootCertsManagerMAMCertTrustWebViewClient 進行憑證信任管理的支援。

需求

  • MAM Android 通道支援的憑證格式

    • DER 編碼的二進位 X.509
    • Pem

  • MAMCertTrustWebViewClient 支援:

    • Android 10 或更新版本

  • MAMTrustedRootCertsManager 支援:

    • SSLContext
    • SSLSocketFactory
    • TrustManager
    • WebView

針對將使用 Tunnel for MAM 的應用程式設定應用程式組態設定檔期間,選取將使用的憑證設定檔:

  1. 在應用程式組態配置檔 的 [設定 ] 索引標籤上,展開 [ 行動應用程式管理設定的 Microsoft Tunnel]在應用程式設定原則中檢視通道設定。

  2. 設定下列選項:

    1. [使用 適用於 MAM 的 Microsoft Tunnel] 設定為 [是]
    2. 針對 [連線名稱],指定此連線的使用者面向名稱,例如 mam-tunnel-vpn
    3. 接下來, 選取 [選取網站],然後選擇其中一個 Microsoft Tunnel 閘道網站。 如果您尚未設定通道閘道閘道網站,請參閱設定 Microsoft Tunnel
    4. 如果您的應用程式需要受信任的憑證,請選取 [跟證書 ] 以開啟 [ 選取跟證書 ] 窗格,然後選取要使用的受信任憑證配置檔。

    跟證書選取窗格的檢視。

    如需設定跟證書配置檔的相關信息,請參閱 Microsoft Intune 的受信任跟證書配置檔

  3. 設定 Tunnel MAM 設定之後,選取 [下一步 ] 以開啟 [ 指派] 索引卷 標。

已知問題

以下是適用於Android的MAM通道的已知問題或限制。

行動應用程式管理的通道不支援個人配置檔模式 Microsoft Defender

如需個人配置檔模式中 Microsoft Defender 的資訊,請參閱在 BYOD 模式的 Android Enterprise 上,於個人設定檔中 Microsoft Defender。

因應措施:無。

使用 MDM 通道時不支援 MAM 通道

您可以選擇搭配已註冊的裝置使用 MAM 通道,而不是使用 MDM 通道設定。 不過,已註冊的裝置必須只使用 MDM 通道設定或 MAM 通道組態,但不能同時使用兩者。 例如,註冊的裝置不能有 Microsoft Edge 之類的應用程式使用 MAM 通道設定,而其他應用程式則使用 MDM 通道設定。

因應措施:無。

使用 WebView 和 Intune SDK 進行受信任根支援的企業營運應用程式,內部端點是無法轉譯的

因應措施:在未註冊的 Android 裝置上手動部署並安裝受信任的跟證書,這些裝置使用 LOB Apps 搭配通道上的 WebView。

當您使用私人證書頒發機構單位時,Android 無法建置憑證鏈結

在 MAM 中搭配 MAMCertTrustWebViewClient 使用 WebView 來驗證憑證時,MAM 會委派給 Android,以從系統管理員和伺服器所提供的憑證建立憑證鏈結。 如果使用私人憑證的伺服器提供連線 WebView 的完整鏈結,但系統管理員只部署跟證書,則 Android 可能會無法建置憑證鏈結,並在檢查伺服器信任時失敗。 之所以發生此行為,是因為Android需要中繼憑證,才能將鏈結建置至可接受的層級。

因應措施:若要確保憑證驗證正確,系統管理員必須在 Intune 中部署跟證書和所有中繼憑證。 如果未部署跟證書以及所有中繼憑證,Android 可能會無法建置憑證鏈結,且無法信任伺服器。

從私人證書頒發機構單位使用 TLS/SSL 憑證時發生適用於端點的 Defender 憑證錯誤

當 Microsoft Tunnel 閘道伺服器使用私人 (內部部署) CA 所簽發的 TLS/SSL 憑證時,適用於端點的 Microsoft Defender 在嘗試連線時產生憑證錯誤。

因應措施:在Android裝置上手動安裝私人證書頒發機構單位的對應受信任跟證書。 適用於端點的 Defender 應用程式未來更新將會提供支援,並移除手動安裝受信任跟證書的需求。

Microsoft Edge 在啟動之後,一小段時間就無法連線到內部資源

在 Microsoft Edge 開啟之後,瀏覽器會在成功連線到 Tunnel 之前,立即嘗試連線到內部資源。 此行為會導致瀏覽器報告資源或目的地 URL 無法使用。

因應措施:重新整理裝置上的瀏覽器連線。 建立與 Tunnel 的連線之後,資源就會變成可用。

在裝置上的 公司入口網站 應用程式中看不到支援未註冊裝置之 Tunnel 所需的三個應用程式

在 Microsoft Edge、適用於端點的 Microsoft Defender 和 公司入口網站 指派給裝置之後,無論是否註冊,目標使用者都無法在 公司入口網站 或 portal.manage.microsoft.com 中找到應用程式。

因應措施:從Google Play商店手動安裝這三個應用程式。 您可以在本文章的必要條件一節中找到 Google Play 上所有三個應用程式 連結。

錯誤:「MSTunnel VPN 無法啟動,請連絡 IT 系統管理員以尋求協助」

即使通道已連線,還是可能會發生此錯誤訊息。

因應措施:可以忽略此訊息。

錯誤:授權無效,請連絡系統管理員

當 適用於端點的 Microsoft Defender 版本不支援 Tunnel 時,就會發生此錯誤。

因應措施:從Google Play上的 Microsoft Defender - Apps 安裝適用於端點的Defender支援版本。

不支持針對 Defender 使用多個原則為不同的應用程式設定不同的通道網站

不支援針對指定不同通道月臺的 Microsoft Defender 使用兩個或多個應用程式設定原則,而且可能會導致競爭狀況導致無法成功使用 Tunnel。

因應措施:針對每個裝置使用單一應用程式設定原則來 Microsoft Defender,確保每個未註冊的裝置都設定為只使用一個月臺。

GCC High 和 FIPS 支援

適用於 MAM 的 Microsoft Tunnel 不支援 GCC High 環境,適用於 MAM 的 Microsoft Tunnel 不支援美國聯邦資訊處理標準 (FIPS) 。 適用於 MAM 的 Microsoft Tunnel 在函式環境中不受支援

後續步驟

另請參閱: