Installare il client Di accesso sicuro globale per Android

Questo articolo descrive come distribuire il client Accesso sicuro globale sui dispositivi Android utilizzando Microsoft Intune e Microsoft Defender per endpoint su Android. Il client Android è integrato nell'app Defender per Endpoint Android, che semplifica il modo in cui gli utenti si connettono all'accesso sicuro globale. Il client Android accesso sicuro globale semplifica la connessione degli utenti alle risorse necessarie senza dover configurare manualmente le impostazioni VPN nei propri dispositivi.

Prerequisiti

  • Il prodotto richiede licenze. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale?. Se necessario, acquistare licenze o richiedere licenze di prova.

  • Abilitare almeno un profilo di inoltro del traffico di accesso sicuro globale.

  • Sono necessarie autorizzazioni di installazione del dispositivo per installare il client.

  • I dispositivi Android devono eseguire Android 11.0 o versione successiva.

  • I dispositivi Android devono essere dispositivi registrati Microsoft Entra.

    • I dispositivi che l'organizzazione non gestisce devono avere installato l'app Microsoft Authenticator.
    • I dispositivi non gestiti tramite Intune devono avere installato l'app Portale aziendale.
    • La registrazione dei dispositivi è necessaria per applicare i criteri di conformità dei dispositivi di Intune.

  • Per abilitare un'esperienza SSO (Single Sign-On) Kerberos, installare e configurare un client SSO non Microsoft.

Limitazioni note

Per informazioni dettagliate su problemi noti e limitazioni, vedere Limitazioni note per l'accesso sicuro globale.

Scenari supportati

Il client Di accesso sicuro globale per Android supporta la distribuzione in questi scenari Android Enterprise:

  • Dispositivi utente completamente gestiti di proprietà dell'azienda
  • Dispositivi di proprietà dell'azienda con un profilo di lavoro
  • Dispositivi personali con un profilo di lavoro

Gestione di dispositivi mobili non Microsoft

Il client Di accesso sicuro globale supporta anche scenari di gestione di dispositivi mobili (MDM) non Microsoft. Questi scenari, noti come modalità solo accesso sicuro globale, richiedono l'abilitazione di un profilo di inoltro del traffico e la configurazione dell'app in base alla documentazione del fornitore.

Quando si configura tramite una soluzione MDM non Microsoft, usare le coppie chiave/valore seguenti nella configurazione dell'app gestita:

Chiave di configurazione Value Dettagli
Global Secure Access 13 Obbligatorio. Controlla se l'accesso sicuro globale è abilitato nell'app Defender. Per descrizioni dettagliate dei valori, vedere la tabella più avanti in questo articolo.
GlobalSecureAccessPrivateChannel 03 Optional. Controlla il canale Accesso privato. Per descrizioni dettagliate dei valori, vedere la tabella più avanti in questo articolo.

Distribuire Microsoft Defender per endpoint su Android

Per distribuire Microsoft Defender per endpoint in Android, creare un profilo MDM e configurare l'accesso sicuro globale:

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Apps>Android>Manage Apps>Configuration.

  2. Selezionare + Crea e quindi selezionare dispositivi gestiti. Verrà visualizzato il modulo Crea criteri di configurazione dell'app .

  3. Nella scheda Informazioni di base :

    1. Immettere un valore name .
    2. Impostare Platform su Android Enterprise.
    3. Impostare Tipo di profilo su Profilo di lavoro gestito completamente, dedicato e di proprietà aziendale.
    4. Imposta l'app di destinazione Targeted app su Microsoft Defender.

    Screenshot della scheda Informazioni di base nel riquadro per la creazione di un criterio di configurazione dell'app.

  4. Seleziona Avanti.

  5. Nella scheda Impostazioni :

    1. Impostare Formato delle impostazioni di configurazione su Usa il progettista della configurazione.
    2. Selezionare il pulsante + Aggiungi .
    3. Nella casella di ricerca digitare global e selezionare le chiavi di configurazione di Accesso sicuro globale elencate nella tabella seguente.
    4. Impostare i valori appropriati per ogni chiave di configurazione in base alla tabella seguente.

    Annotazioni

    Le chiavi di configurazione android differiscono dalle chiavi client iOS. In Android usare Global Secure Access e GlobalSecureAccessPrivateChannel come illustrato di seguito. Non usare i nomi delle chiavi iOS (EnableGSA, EnableGSAPrivateChannel).

    La GlobalSecureAccessPA chiave di configurazione non è più supportata.

    Chiave di configurazione Value Dettagli
    Global Secure Access Nessun valore L'accesso sicuro globale non è abilitato e il riquadro non è visibile.
    0 L'accesso sicuro globale non è abilitato e il riquadro non è visibile.
    1 Il riquadro è visibile e per impostazione predefinita è nello stato disabilitato. L'utente può abilitare o disabilitare l'accesso sicuro globale usando l'interruttore nell'app.
    2 Il riquadro è visibile e ha come impostazione predefinita true (stato abilitato). L'utente può eseguire l'override dell'accesso sicuro globale. L'utente può abilitare o disabilitare l'accesso sicuro globale usando l'interruttore nell'app.
    3 Il riquadro è visibile e il valore predefinito è (stato abilitato) true. L'utente non può disabilitare l'accesso sicuro globale.
    GlobalSecureAccessPrivateChannel Nessun valore L'impostazione predefinita di Accesso Sicuro Globale si concentra sul comportamento del valore di 2.
    0 L'accesso privato non è abilitato e l'opzione di attivazione/disattivazione non è visibile all'utente.
    1 L'interruttore Accesso privato è visibile ed è impostato su disattivato per impostazione predefinita. L'utente può abilitare o disabilitare l'accesso privato.
    2 L'interruttore Accesso privato è visibile e per impostazione predefinita viene impostato sullo stato abilitato. L'utente può abilitare o disabilitare l'accesso privato.
    3 L'interruttore Accesso privato è visibile ma non disponibile e viene impostato per impostazione predefinita sullo stato abilitato. L'utente non può disabilitare l'accesso privato.

    Schermata della scheda Impostazioni nella finestra per la creazione di una politica di configurazione dell'app.

  6. Seleziona Avanti.

  7. Nella scheda Tag di ambito, configura i tag in base alle esigenze e quindi seleziona Avanti.

  8. Nella scheda Assegnazioni selezionare + Aggiungi gruppi per assegnare i criteri di configurazione e abilitare l'accesso sicuro globale.

    Screenshot della scheda Assegnazioni nel riquadro per la creazione di un criterio di configurazione dell'app.

    Suggerimento

    Per abilitare i criteri per tutti gli utenti, ma alcuni utenti specifici, selezionare Aggiungi tutti i dispositivi nella sezione Gruppi inclusi . Aggiungere quindi gli utenti o i gruppi da escludere nella sezione Gruppi esclusi .

  9. Seleziona Avanti.

  10. Esaminare il riepilogo della configurazione e quindi selezionare Crea.

Verificare che l'accesso sicuro globale venga visualizzato nell'app Defender

Poiché il client Android è integrato con Defender per endpoint, è utile comprendere l'esperienza utente. Il client viene visualizzato nel dashboard Defender dopo essere abilitato su Global Secure Access. L'onboarding avviene abilitando un profilo di inoltro del traffico.

Screenshot del tile Globale di Accesso Sicuro nel dashboard dell'app Defender.

Quando viene distribuito nei dispositivi utente, il client è disabilitato per impostazione predefinita. Gli utenti devono abilitare il client dall'app Defender. Per abilitare il client, toccare l'interruttore.

Screenshot del client Global Secure Access in stato disattivato.

Per visualizzare i dettagli del client, toccare il riquadro nel dashboard. Quando il client è abilitato e funziona correttamente, nel dashboard viene visualizzato un messaggio "Abilitato". Mostra anche la data e l'ora in cui il client è connesso all'accesso sicuro globale.

Screenshot del client Global Secure Access abilitato.

Se il client non riesce a connettersi, viene visualizzato un interruttore per disabilitare il servizio. Gli utenti possono tornare in un secondo momento per abilitare il client.

Screenshot di un client dell'accesso sicuro globale che non è in grado di connettersi.

Risoluzione dei problemi

Se il riquadro Accesso sicuro globale non viene visualizzato dopo l'onboarding del tenant nel servizio, riavviare l'app Defender.

Quando si tenta di accedere a un'applicazione di Private Access, la connessione potrebbe interrompersi dopo un accesso interattivo riuscito. Ricaricare l'applicazione aggiornando il Web browser.

Contenuto correlato

  • Last updated on