この記事では、Android でMicrosoft IntuneとMicrosoft Defender for Endpointを使用して、グローバル セキュア アクセス クライアントを Android デバイスに展開する方法について説明します。 Android クライアントは、エンドポイント Android アプリのDefenderに組み込まれており、ユーザーがグローバル セキュア アクセスに接続する方法を効率化します。 グローバル セキュア アクセス Android クライアントを使用すると、ユーザーは自分のデバイスで VPN 設定を手動で構成しなくても、必要なリソースに簡単に接続できます。
前提条件
この製品にはライセンスが必要です。 詳細については、Global Secure Access とは?のライセンスセクションをご参照ください。 必要に応じて、 ライセンスを購入するか、試用版ライセンスを取得します。
少なくとも 1 つのグローバル セキュア アクセス トラフィック転送プロファイルを有効にします。
クライアントをインストールするには、デバイスのインストール権限が必要です。
Android デバイスでは、Android 11.0 以降を実行する必要があります。
Android デバイスはMicrosoft Entraに登録されたデバイスである必要があります。
- 組織が管理していないデバイスには、Microsoft Authenticator アプリがインストールされている必要があります。
- Intune で管理されていないデバイスには、ポータル サイト アプリがインストールされている必要があります。
- Intune デバイス コンプライアンス ポリシーを適用するには、デバイスの登録が必要です。
Kerberos シングル サインオン (SSO) エクスペリエンスを有効にするには、Microsoft以外の SSO クライアントをインストールして構成します。
既知の制限事項
既知の問題と制限事項の詳細については、「 グローバル セキュリティで保護されたアクセスの既知の制限事項」を参照してください。
サポートされるシナリオ
Android 用グローバル セキュア アクセス クライアントは、次の Android Enterprise シナリオでの展開をサポートしています。
- 会社所有のフル マネージド ユーザー デバイス
- 仕事用プロファイルを持つ企業所有のデバイス
- 仕事用プロファイルを持つ個人用デバイス
Microsoft以外のモバイル デバイス管理
グローバル セキュア アクセス クライアントは、Microsoft以外のモバイル デバイス管理 (MDM) シナリオもサポートしています。 グローバル セキュア アクセスのみのモードと呼ばれるこれらのシナリオでは、トラフィック転送プロファイルを有効にし、ベンダーのドキュメントに基づいてアプリを構成する必要があります。
Microsoft以外の MDM ソリューションを使用して構成する場合は、マネージド アプリ構成で次のキーと値のペアを使用します。
| 構成キー | 価値 | 詳細 |
|---|---|---|
Global Secure Access |
1–3 |
必須。 Defender アプリでグローバル セキュリティで保護されたアクセスを有効にするかどうかを制御します。 値の詳細については、 この記事の後半の表を参照してください。 |
GlobalSecureAccessPrivateChannel |
0–3 |
このフィールドは省略可能です。 プライベート アクセス チャネルを制御します。 値の詳細については、 この記事の後半の表を参照してください。 |
Android にMicrosoft Defender for Endpointをデプロイする
Android にMicrosoft Defender for Endpointを展開するには、MDM プロファイルを作成し、グローバル セキュリティで保護されたアクセスを構成します。
Microsoft Intune管理センターで、 Apps>Android>Manage Apps>Configuration に移動します。
[ + 作成] を選択し、[ 管理対象デバイス] を選択します。 [ アプリ構成ポリシーの作成 ] フォームが開きます。
[基本] タブで、次の 操作 を行います。
- 名前の値を入力してください。
- プラットフォームを Android Enterprise に設定します。
- プロファイルの種類をフル マネージド、専用、Corporate-Owned 仕事用プロファイルのみに設定します。
- Targeted app を Microsoft Defender に設定します。
![アプリ構成ポリシーを作成するためのペインの [基本] タブのスクリーンショット。](media/how-to-install-android-client/create-policy-basics.png)
[次へ] を選択します。
[設定] タブで、次の 手順を実行 します。
- [構成設定] の形式を [構成デザイナーを使用する] に設定します。
- [ + 追加 ] ボタンを選択します。
- 検索ボックスに「 global 」と入力し、次の表に示すグローバル セキュリティで保護されたアクセス構成キーを選択します。
- 次の表に従って、各構成キーに適切な値を設定します。
注
Android 構成キーは、iOS クライアント キーとは異なります。 Android では、次に示すように
Global Secure AccessとGlobalSecureAccessPrivateChannelを使用します。 iOS キー名 (EnableGSA、EnableGSAPrivateChannel) は使用しないでください。GlobalSecureAccessPA構成キーはサポートされなくなりました。構成キー 価値 詳細 Global Secure Access値なし グローバル セキュリティで保護されたアクセスが有効になっていないと、タイルが表示されません。 0グローバル セキュリティで保護されたアクセスが有効になっていないと、タイルが表示されません。 1タイルが表示され、既定で false(無効な状態) になっています。 ユーザーは、アプリのトグルを使用して、グローバル セキュリティで保護されたアクセスを有効または無効にすることができます。2タイルが表示され、既定で true(有効な状態) になっています。 ユーザーは、グローバル セキュリティで保護されたアクセスをオーバーライドできます。 ユーザーは、アプリのトグルを使用して、グローバル セキュリティで保護されたアクセスを有効または無効にすることができます。3タイルが表示され、既定で true(有効な状態) になっています。 ユーザーはグローバル セキュリティで保護されたアクセスを無効 にできません 。GlobalSecureAccessPrivateChannel値なし グローバルセキュアアクセスは、デフォルトで 2の動作になります。0プライベート アクセスが有効ではなく、トグル オプションがユーザーに表示されません。 1[プライベート アクセス] トグルが表示され、既定では無効状態になります。 ユーザーは、プライベート アクセスを有効または無効にすることができます。 2[プライベート アクセス] トグルが表示され、既定で有効な状態になります。 ユーザーは、プライベート アクセスを有効または無効にすることができます。 3[プライベート アクセス] トグルは表示されますが使用できず、既定では有効な状態になります。 ユーザーはプライベート アクセスを無効 にできません 。 ![アプリ構成ポリシーを作成するためのウィンドウの [設定] タブのスクリーンショット。](media/how-to-install-android-client/create-policy-settings.png)
[次へ] を選択します。
[ スコープ タグ ] タブで、必要に応じてスコープ タグを構成し、[ 次へ] を選択します。
[ 割り当て ] タブで、[ + グループの追加] を選択して構成ポリシーを割り当て、グローバル セキュリティで保護されたアクセスを有効にします。
![アプリ構成ポリシーを作成するためのウィンドウの [割り当て] タブのスクリーンショット。](media/how-to-install-android-client/create-policy-assignments.png)
ヒント
少数の特定のユーザー以外のすべてのユーザーに対してポリシーを有効にするには、[含まれるグループ] セクションで [すべてのデバイスを追加] を選択します。 次に、[除外するグループ] セクションで除外するユーザーまたは グループ を追加します。
[次へ] を選択します。
構成の概要を確認し、[ 作成] を選択します。
![アプリ構成ポリシーを作成するためのペインの [基本] タブのスクリーンショット。](media/how-to-install-android-client/create-policy-basics-expanded.png#lightbox)
![アプリ構成ポリシーを作成するためのウィンドウの [設定] タブのスクリーンショット。](media/how-to-install-android-client/create-policy-settings-expanded.png#lightbox)
![アプリ構成ポリシーを作成するためのウィンドウの [割り当て] タブのスクリーンショット。](media/how-to-install-android-client/create-policy-assignments-expanded.png#lightbox)
Defender アプリにグローバル セキュリティで保護されたアクセスが表示されたことを確認する
Android クライアントはエンドポイントのDefenderと統合されているため、ユーザー エクスペリエンスを理解すると便利です。 グローバル セキュリティで保護されたアクセスにオンボードすると、クライアントが Defender ダッシュボードに表示されます。 オンボードするには、トラフィック転送プロファイルを有効にします。
クライアントは、ユーザー デバイスに展開されると、既定で無効になります。 ユーザーは、Defender アプリからクライアントを有効にする必要があります。 クライアントを有効にするには、トグルをタップします。
クライアントの詳細を表示するには、ダッシュボードのタイルをタップします。 クライアントが有効で正常に動作すると、ダッシュボードに "有効" というメッセージが表示されます。 また、クライアントがグローバル セキュア アクセスに接続した日時も表示されます。
クライアントが接続できない場合は、切り替えが表示され、サービスが無効になります。 ユーザーは後でクライアントを有効にして戻ることができます。
トラブルシューティング
テナントをサービスにオンボードした後に [グローバル なセキュリティで保護されたアクセス] タイルが表示されない場合は、Defender アプリを再起動します。
プライベート アクセス アプリケーションにアクセスしようとすると、対話型サインインが成功した後に接続がタイムアウトすることがあります。 Web ブラウザーを更新して、アプリケーションを再読み込みします。
関連するコンテンツ
- エンドポイント向け Microsoft Defender on Android
Microsoft Intune - Intune を使用して Android Enterprise デバイスにマネージド Google Play アプリを追加する
Windows - macOS 用のグローバル セキュリティで保護されたアクセス クライアントをインストールする
- iOS 用のグローバル セキュリティで保護されたアクセス クライアントをインストールする