Instalación del cliente de Acceso seguro global para Android

En este artículo se describe cómo implementar el cliente de acceso seguro global en dispositivos Android mediante Microsoft Intune y Microsoft Defender for Endpoint en Android. El cliente Android está integrado en la aplicación Android de Defender para Endpoint, lo que simplifica la forma en que los usuarios se conectan al Acceso Seguro Global. El cliente Global Secure Access Android facilita a los usuarios conectarse a los recursos que necesitan sin tener que configurar manualmente las opciones de VPN en sus dispositivos.

Requisitos previos

  • El producto requiere licencias. Para obtener más información, consulte la sección de licencias de ¿Qué es el acceso seguro global?. Si es necesario, compre licencias o obtenga licencias de prueba.

  • Habilite al menos un perfil de reenvío de tráfico de acceso seguro global.

  • Necesita permisos de instalación de dispositivos para instalar el cliente.

  • Los dispositivos Android deben ejecutar Android 11.0 o posterior.

  • Los dispositivos Android deben estar registrados como dispositivos de Microsoft Entra.

    • Los dispositivos que su organización no administra deben tener instalada la aplicación Microsoft Authenticator.
    • Los dispositivos no administrados a través de Intune deben tener instalada la aplicación Company Portal.
    • La inscripción de dispositivos es necesaria para hacer cumplir las directivas de cumplimiento de dispositivos de Intune.

  • Para habilitar una experiencia de inicio de sesión único (SSO) de Kerberos, instale y configure un cliente de SSO que no sea de Microsoft.

Limitaciones conocidas

Para obtener información detallada sobre los problemas conocidos y las limitaciones, consulte Limitaciones conocidas del acceso seguro global.

Escenarios admitidos

El cliente de Acceso seguro global para Android admite la implementación en estos escenarios de Android Enterprise:

  • Dispositivos de usuario de propiedad corporativa y totalmente administrados
  • Dispositivos corporativos con un perfil de trabajo
  • Dispositivos personales con un perfil de trabajo

Administración de dispositivos móviles no Microsoft

El cliente de acceso seguro global también admite escenarios de administración de dispositivos móviles (MDM) que no son Microsoft. Estos escenarios, conocidos como modo de acceso seguro global, requieren habilitar un perfil de reenvío de tráfico y configurar la aplicación en función de la documentación del proveedor.

Al configurar a través de una solución MDM que no sea de Microsoft, use los siguientes pares clave-valor en la configuración de la aplicación administrada:

Clave de configuración Importancia Detalles
Global Secure Access 13 Obligatorio. Controla si el acceso seguro global está habilitado en la aplicación Defender. Para obtener descripciones de valores detalladas, consulte la tabla más adelante en este artículo.
GlobalSecureAccessPrivateChannel 03 Opcional. Controla el canal de acceso privado. Para obtener descripciones de valores detalladas, consulte la tabla más adelante en este artículo.

Implementación de Microsoft Defender for Endpoint en Android

Para implementar Microsoft Defender for Endpoint en Android, cree un perfil de MDM y configure el acceso seguro global:

  1. En el centro de administración Microsoft Intune vaya a Apps>Android>Administrar aplicaciones>Configuration.

  2. Seleccione + Crear y, después, seleccione Dispositivos administrados. Se abre el formulario Crear directiva de configuración de aplicaciones .

  3. En la pestaña Aspectos básicos :

    1. Introduzca un valor Nombre.
    2. Establezca Plataforma en Android Enterprise.
    3. Establezca Tipo de perfil en Perfil de trabajo totalmente administrado, dedicado y de propiedad corporativa solamente.
    4. Establezca Targeted app en Microsoft Defender.

    Captura de pantalla de la pestaña Aspectos básicos del panel para crear una directiva de configuración de aplicaciones.

  4. Seleccione Siguiente.

  5. En la pestaña Configuración :

    1. Establezca Formato de configuración en Usar diseñador de configuración.
    2. Seleccione el botón + Agregar .
    3. En el cuadro de búsqueda, escriba global y seleccione las claves de configuración de Acceso seguro global que aparecen en la tabla siguiente.
    4. Establezca los valores adecuados para cada clave de configuración según la tabla siguiente.

    Nota:

    Las claves de configuración de Android difieren de las claves de cliente de iOS. En Android, use Global Secure Access y GlobalSecureAccessPrivateChannel como se muestra aquí. No use los nombres de clave de iOS (EnableGSA, EnableGSAPrivateChannel).

    La GlobalSecureAccessPA clave de configuración ya no se admite.

    Clave de configuración Importancia Detalles
    Global Secure Access Sin valor El acceso seguro global no está habilitado y el icono no está visible.
    0 El acceso seguro global no está habilitado y el icono no está visible.
    1 El icono es visible y tiene como valor predeterminado false (estado deshabilitado). El usuario puede habilitar o deshabilitar el acceso seguro global mediante el botón de alternancia en la aplicación.
    2 El icono es visible y tiene como valor predeterminado true (estado habilitado). El usuario puede invalidar el acceso seguro global. El usuario puede habilitar o deshabilitar el acceso seguro global mediante el botón de alternancia en la aplicación.
    3 El icono es visible y tiene como valor predeterminado true (estado habilitado). El usuario no puede deshabilitar el acceso seguro global.
    GlobalSecureAccessPrivateChannel Sin valor El acceso seguro global tiene como comportamiento predeterminado el valor 2.
    0 El acceso privado no está habilitado y la opción de alternancia no es visible para el usuario.
    1 El botón de alternancia de Acceso privado está visible y, por defecto, se encuentra en el estado deshabilitado. El usuario puede habilitar o deshabilitar el acceso privado.
    2 El interruptor de Acceso privado es visible y está habilitado por defecto. El usuario puede habilitar o deshabilitar el acceso privado.
    3 El botón de alternancia de acceso privado es visible, pero no está disponible, y el valor predeterminado es el estado habilitado. El usuario no puede deshabilitar el acceso privado.

    Captura de pantalla de la pestaña Configuración del panel para crear una directiva de configuración de aplicaciones.

  6. Seleccione Siguiente.

  7. En la pestaña Etiquetas de ámbito , configure las etiquetas de ámbito según sea necesario y, a continuación, seleccione Siguiente.

  8. En la pestaña Asignaciones , seleccione + Agregar grupos para asignar la directiva de configuración y habilitar Acceso seguro global.

    Captura de pantalla de la pestaña Asignaciones del panel para crear una directiva de configuración de aplicaciones.

    Sugerencia

    Para habilitar la directiva para todos los usuarios, pero algunos específicos, seleccione Agregar todos los dispositivos en la sección Grupos incluidos . A continuación, agregue los usuarios o grupos para excluirlos en la sección Grupos excluidos .

  9. Seleccione Siguiente.

  10. Revise el resumen de configuración y, a continuación, seleccione Crear.

Confirmar que "Global Secure Access" aparece en la aplicación de Defender

Dado que el cliente Android está integrado con Defender para punto de conexión, resulta útil comprender la experiencia del usuario. El cliente aparece en el panel de Defender después de que se incorpore a Global Secure Access. La incorporación se realiza habilitando un perfil de reenvío de tráfico.

Captura de pantalla del icono de Acceso seguro global en el panel del Defender app.

El cliente está deshabilitado de forma predeterminada cuando se implementa en dispositivos de usuario. Los usuarios deben habilitar el cliente desde la aplicación Defender. Para habilitar el cliente, pulse el interruptor.

Captura de pantalla del cliente de acceso seguro global en un estado deshabilitado.

Para ver los detalles del cliente, pulse el icono en el panel. Cuando el cliente está habilitado y funciona correctamente, el panel muestra un mensaje "Habilitado". También muestra la fecha y hora en que el cliente se conecta al acceso seguro global.

Captura de pantalla del cliente de acceso seguro global en un estado habilitado.

Si el cliente no se puede conectar, aparece un interruptor para deshabilitar el servicio. Los usuarios pueden volver más adelante para habilitar el cliente.

Captura de pantalla de un cliente de acceso seguro global que no se puede conectar.

Solución de problemas

Si el icono de Acceso seguro global no aparece después de incorporar el inquilino al servicio, reinicie la aplicación Defender.

Al intentar acceder a una aplicación de acceso privado, es posible que la conexión caduque después de un inicio de sesión interactivo correcto. Vuelva a cargar la aplicación actualizando el explorador web.

Contenido relacionado

  • Last updated on