Installieren des globalen Secure Access-Clients für Android

In diesem Artikel wird beschrieben, wie Sie den Global Secure Access Client mithilfe von Microsoft Intune und Microsoft Defender for Endpoint auf Android-Geräten bereitstellen. Der Android-Client ist in die Defender für Endpunkt Android-App integriert, wodurch optimiert wird, wie Benutzer eine Verbindung mit globalen sicheren Zugriff herstellen. Der Android-Client für den globalen sicheren Zugriff erleichtert Es Ihren Benutzern, eine Verbindung mit den benötigten Ressourcen herzustellen, ohne die VPN-Einstellungen auf ihren Geräten manuell konfigurieren zu müssen.

Voraussetzungen

  • Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist globaler sicherer Zugriff?. Erwerben Sie bei Bedarf Lizenzen, oder erhalten Sie Testlizenzen.

  • Aktivieren Sie mindestens ein Traffic-Weiterleitungsprofil für Globalen Sicheren Zugriff.

  • Sie benötigen Geräteinstallationsberechtigungen, um den Client zu installieren.

  • Android-Geräte müssen Android 11.0 oder höher ausführen.

  • Android-Geräte müssen als Microsoft Entra-registrierte Geräte registriert sein.

    • Geräte, die Ihre Organisation nicht verwaltet, müssen die Microsoft Authenticator-App installiert haben.
    • Geräte, die nicht über Intune verwaltet werden, müssen die Company Portal-App installiert haben.
    • Die Geräteregistrierung ist erforderlich, um Intune-Gerätekompatibilitätsrichtlinien zu erzwingen.

  • Um eine Kerberos-SSO-Umgebung (Single Sign-On) zu aktivieren, installieren und konfigurieren Sie einen nicht Microsoft SSO-Client.

Bekannte Einschränkungen

Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie unter "Bekannte Einschränkungen für den globalen sicheren Zugriff".

Unterstützte Szenarios

Der globale Secure Access-Client für Android unterstützt die Bereitstellung in diesen Android Enterprise-Szenarien:

  • Unternehmenseigene, vollständig verwaltete Benutzergeräte
  • Unternehmenseigene Geräte mit einem Arbeitsprofil
  • Persönliche Geräte mit einem Arbeitsprofil

Verwaltung mobiler Geräte ohne Microsoft

Der Global Secure Access-Client unterstützt auch Szenarien, die nicht Microsoft mobile Geräteverwaltung (Mobile Device Management, MDM) sind. Für diese Szenarien, die als Modus Globaler Sicherer Zugriff nur bezeichnet werden, muss ein Traffic-Weiterleitungsprofil aktiviert und die App basierend auf der Herstellerdokumentation konfiguriert werden.

Wenn Sie eine NICHT-Microsoft MDM-Lösung konfigurieren, verwenden Sie die folgenden Schlüssel-Wert-Paare in der Konfiguration der verwalteten App:

Konfigurationsschlüssel Wert Einzelheiten
Global Secure Access 13 Erforderlich. Steuert, ob der globale sichere Zugriff in der Defender-App aktiviert ist. Ausführliche Beschreibungen zu Werten finden Sie in der Tabelle weiter unten in diesem Artikel.
GlobalSecureAccessPrivateChannel 03 Dies ist optional. Steuert den Kanal für den privaten Zugriff. Ausführliche Beschreibungen zu Werten finden Sie in der Tabelle weiter unten in diesem Artikel.

Bereitstellen von Microsoft Defender for Endpoint unter Android

Um Microsoft Defender for Endpoint unter Android bereitzustellen, erstellen Sie ein MDM-Profil, und konfigurieren Sie den globalen sicheren Zugriff:

  1. Im Microsoft Intune Admin Center wechseln Sie zu Apps>Android>Manage Apps>Configuration.

  2. Wählen Sie +Erstellen und dann verwaltete Geräte aus. Das Formular "App-Konfigurationsrichtlinien erstellen " wird geöffnet.

  3. Auf der Registerkarte "Grundlagen":

    1. Geben Sie einen Namenwert ein.
    2. Plattform aufAndroid Enterprise festlegen.
    3. Setzen Sie Profiltyp auf "Vollständig verwaltet, dediziert und nur vom Unternehmen verwaltetes Arbeitsprofil".
    4. Legen Sie Targeted-App auf Microsoft Defender fest.

    Screenshot der Registerkarte

  4. Wählen Sie Weiteraus.

  5. Auf der Registerkarte "Einstellungen" :

    1. Legen Sie das Format der Konfigurationseinstellungen auf " Konfigurations-Designer verwenden" fest.
    2. Wählen Sie die Schaltfläche +Hinzufügen aus.
    3. Geben Sie im Suchfeld global ein, und wählen Sie die globalen Konfigurationsschlüssel für den sicheren Zugriff aus, die in der folgenden Tabelle aufgeführt sind.
    4. Legen Sie die entsprechenden Werte für jeden Konfigurationsschlüssel gemäß der folgenden Tabelle fest.

    Hinweis

    Die Android-Konfigurationsschlüssel unterscheiden sich von den iOS-Clientschlüsseln. Verwenden Sie auf Android Global Secure Access und GlobalSecureAccessPrivateChannel, wie hier gezeigt. Verwenden Sie nicht die iOS-Schlüsselnamen (EnableGSA, EnableGSAPrivateChannel).

    Der GlobalSecureAccessPA Konfigurationsschlüssel wird nicht mehr unterstützt.

    Konfigurationsschlüssel Wert Einzelheiten
    Global Secure Access Kein Wert Der globale sichere Zugriff ist nicht aktiviert, und die Kachel ist nicht sichtbar.
    0 Der globale sichere Zugriff ist nicht aktiviert, und die Kachel ist nicht sichtbar.
    1 Die Kachel ist sichtbar und im deaktivierten Zustand standardmäßig auf false voreingestellt. Der Benutzer kann den globalen sicheren Zugriff mithilfe der Umschaltfläche in der App aktivieren oder deaktivieren.
    2 Die Kachel ist sichtbar und standardmäßig true auf (aktivierter Zustand) festgelegt. Der Benutzer kann den globalen sicheren Zugriff außer Kraft setzen. Der Benutzer kann den globalen sicheren Zugriff mithilfe der Umschaltfläche in der App aktivieren oder deaktivieren.
    3 Die Kachel ist sichtbar und wird standardmäßig auf true (aktivierter Zustand). Der Benutzer kann den globalen sicheren Zugriff nicht deaktivieren.
    GlobalSecureAccessPrivateChannel Kein Wert Der globale sichere Zugriff ist standardmäßig auf das Verhalten des Werts 2 festgelegt.
    0 Der private Zugriff ist nicht aktiviert, und die Umschaltoption ist für den Benutzer nicht sichtbar.
    1 Der Umschalter für den privaten Zugriff ist sichtbar und wird standardmäßig auf den Status "Deaktiviert" festgelegt. Der Benutzer kann den privaten Zugriff aktivieren oder deaktivieren.
    2 Der Umschalter für den privaten Zugriff ist sichtbar und wird standardmäßig auf den aktivierten Zustand festgelegt. Der Benutzer kann den privaten Zugriff aktivieren oder deaktivieren.
    3 Der Umschalter für den privaten Zugriff ist sichtbar, aber nicht verfügbar, und er wird standardmäßig auf den aktivierten Zustand festgelegt. Der Benutzer kann den privaten Zugriff nicht deaktivieren.

    Screenshot der Registerkarte

  6. Wählen Sie Weiteraus.

  7. Konfigurieren Sie auf der Registerkarte " Bereichstags " die Bereichstags nach Bedarf, und wählen Sie dann "Weiter" aus.

  8. Wählen Sie auf der Registerkarte " Aufgaben " +Gruppen hinzufügen aus, um die Konfigurationsrichtlinie zuzuweisen und den globalen sicheren Zugriff zu aktivieren.

    Screenshot der Registerkarte

    Tipp

    Um die Richtlinie für alle, aber einige bestimmte Benutzer zu aktivieren, wählen Sie im Abschnitt "Eingeschlossene Gruppen" die Option "Alle Geräte hinzufügen" aus. Fügen Sie dann die Benutzer oder Gruppen hinzu, die im Abschnitt "Ausgeschlossene Gruppen" ausgeschlossen werden sollen.

  9. Wählen Sie Weiteraus.

  10. Überprüfen Sie die Konfigurationszusammenfassung, und wählen Sie dann "Erstellen" aus.

Bestätigen, dass der globale sichere Zugriff in der Defender-App angezeigt wird

Da der Android-Client in Defender für Endpunkt integriert ist, ist es hilfreich, die Benutzererfahrung zu verstehen. Der Client wird nach dem Onboarding zum globalen sicheren Zugriff im Defender-Dashboard angezeigt. Das Onboarding erfolgt durch das Aktivieren eines Datenverkehrsweiterleitungsprofils.

Screenshot der Kachel

Der Client ist standardmäßig deaktiviert, wenn er auf Benutzergeräten bereitgestellt wird. Benutzer müssen den Client über die Defender-App aktivieren. Um den Client zu aktivieren, tippen Sie auf die Umschaltfläche.

Screenshot des Global Secure Access-Clients in einem deaktivierten Zustand.

Zum Anzeigen von Clientdetails tippen Sie auf die Kachel im Dashboard. Wenn der Client aktiviert und ordnungsgemäß funktioniert, zeigt das Dashboard eine Meldung "Aktiviert" an. Außerdem wird das Datum und die Uhrzeit angezeigt, zu dem der Client mit dem globalen sicheren Zugriff verbunden ist.

Screenshot des globalen Secure Access-Clients in einem aktivierten Zustand.

Wenn der Client keine Verbindung herstellen kann, wird ein Umschalter angezeigt, um den Dienst zu deaktivieren. Benutzer können später zurückkehren, um den Client zu aktivieren.

Screenshot eines globalen Clients für den sicheren Zugriff, der keine Verbindung herstellen kann.

Problembehandlung

Wenn die Kachel für den globalen sicheren Zugriff nach dem Onboarding des Mandanten in den Dienst nicht angezeigt wird, starten Sie die Defender-App neu.

Wenn Sie versuchen, auf eine Private Access-Anwendung zuzugreifen, ist die Verbindung nach einer erfolgreichen interaktiven Anmeldung möglicherweise nicht mehr vorhanden. Laden Sie die Anwendung erneut, indem Sie den Webbrowser aktualisieren.

Zugehöriger Inhalt

  • Last updated on