Freigeben über

Client für den globalen sicheren Zugriff für Android

Der Client für global sicheren Zugriff kann mit Microsoft Intune und Microsoft Defender for Endpoint unter Android auf kompatiblen Android-Geräten bereitgestellt werden. Der Android-Client ist in die Android-App Defender für Endpunkt integriert, die optimiert, wie Endbenutzer eine Verbindung mit globalen sicheren Zugriff herstellen. Der Android-Client für global sicheren Zugriff erleichtert es Ihren Endbenutzern und Endbenutzerinnen, eine Verbindung mit den benötigten Ressourcen herzustellen, ohne die VPN-Einstellungen auf ihren Geräten manuell konfigurieren zu müssen.

In diesem Artikel wird beschrieben, wie Sie den globalen Secure Access-Client auf Android-Geräten bereitstellen.

Voraussetzungen

  • Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Erwerben Sie bei Bedarf Lizenzen, oder erhalten Sie Testlizenzen.
  • Aktivieren Sie mindestens ein globales Profil für die Weiterleitung von Sicherem Zugriff.
  • Sie benötigen Geräteinstallationsberechtigungen, um den Client zu installieren.
  • Android-Geräte müssen Android 10.0 oder höher ausführen.
  • Android-Geräte müssen microsoft Entra-registrierte Geräte sein.
    • Geräte, die nicht von Ihrer Organisation verwaltet werden, müssen die Microsoft Authenticator-App installiert haben.
    • Geräte, die nicht über Intune verwaltet werden, müssen die Unternehmensportal-App installiert haben.
    • Die Geräteregistrierung ist erforderlich, um Intune-Gerätekompatibilitätsrichtlinien zu erzwingen.
  • Um eine Kerberos-SSO-Umgebung (Single Sign-On) zu aktivieren, installieren und konfigurieren Sie einen SSO-Client eines Drittanbieters.

Bekannte Einschränkungen

Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie unter "Bekannte Einschränkungen für den globalen sicheren Zugriff".

Unterstützte Szenarios

Der globale Secure Access-Client für Android unterstützt die Bereitstellung in diesen Android Enterprise-Szenarien:

  • Unternehmenseigene, vollständig verwaltete Benutzergeräte.
  • Unternehmenseigene Geräte mit einem Arbeitsprofil.
  • Persönliche Geräte mit einem Arbeitsprofil.

Verwaltung mobiler Geräte mit Produkten von anderen Herstellern als Microsoft

Der Global Secure Access-Client unterstützt auch Szenarien, die nicht von Microsoft für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) verwendet werden. Für diese Szenarien, die als modus für den globalen sicheren Zugriff bezeichnet werden, muss ein Datenverkehrsweiterleitungsprofil aktiviert und die App basierend auf der Herstellerdokumentation konfiguriert werden.

Bereitstellen von Microsoft Defender für Endpunkt unter Android

Um Microsoft Defender für Endpunkt unter Android bereitzustellen, erstellen Sie ein MDM-Profil, und konfigurieren Sie den globalen sicheren Zugriff.

  1. Wechseln Sie im Microsoft Intune Admin Center zu "Apps>android>Manage Apps>Configuration".

  2. Wählen Sie +Erstellen und dann verwaltete Geräte aus. Das Formular "App-Konfigurationsrichtlinien erstellen " wird geöffnet.

  3. Auf der Registerkarte " Grundlagen" folgendes:

    1. Geben Sie einen Namen ein.
    2. Legen Sie die Plattform auf Android Enterprise fest.
    3. Legen Sie den Profiltypauf "Vollständig verwaltet", "Dediziert" und "nur Corporate-Owned Arbeitsprofil" fest.
    4. Legen Sie die zielorientierte App auf Microsoft Defender fest.

  4. Wählen Sie Weiteraus. Screenshot der App-Konfigurationsrichtlinie erstellen auf der Registerkarte

  5. Auf der Registerkarte "Einstellungen" :

    1. Legen Sie das Format der Konfigurationseinstellungen auf " Konfigurations-Designer verwenden" fest.

    2. Verwenden Sie den JSON-Editor, um die deaktivierten Konfigurationsschlüssel zu konfigurieren:

      1. Wählen Sie die Schaltfläche +Hinzufügen aus.
      2. Geben Sie global im Suchfeld die folgenden Konfigurationsschlüssel ein, und wählen Sie sie aus:
        • Globaler sicherer Zugriff (dieser Schlüssel ist erforderlich, um den globalen sicheren Zugriff zu aktivieren).
        • GlobalSecureAccessPrivateChannel (dieser optionale Schlüssel aktiviert den privaten Global Secure Access-Kanal).
      3. Legen Sie die entsprechenden Werte für jeden Konfigurationsschlüssel gemäß der folgenden Tabelle fest:
      Konfigurationsschlüssel Wert Einzelheiten
      Globaler sicherer Zugriff Kein Wert Der globale sichere Zugriff ist nicht aktiviert, und die Kachel ist nicht sichtbar.
      0 Der globale sichere Zugriff ist nicht aktiviert, und die Kachel ist nicht sichtbar.
      1 Die Kachel ist sichtbar und standardmäßig auf "false" (Status "Deaktiviert") festgelegt. Der Benutzer kann den globalen sicheren Zugriff mithilfe der Umschaltfläche in der App aktivieren oder deaktivieren.
      2 Die Kachel ist sichtbar und wird standardmäßig auf "true" (aktivierter Zustand) festgelegt. Der Benutzer kann den globalen sicheren Zugriff außer Kraft setzen. Der Benutzer kann den globalen sicheren Zugriff mithilfe der Umschaltfläche in der App aktivieren oder deaktivieren.
      3 Die Kachel ist sichtbar und wird standardmäßig auf "true" (aktivierter Zustand) festgelegt. Der Benutzer kann den globalen sicheren Zugriff nicht deaktivieren.
      GlobalSecureAccessPrivateChannel Kein Wert Global Secure Access standard to value 2 behavior.
      0 Der private Zugriff ist nicht aktiviert, und die Umschaltoption ist für den Benutzer nicht sichtbar.
      1 Der Umschalter für den privaten Zugriff ist sichtbar und wird standardmäßig auf den Status "Deaktiviert" festgelegt. Der Benutzer kann den privaten Zugriff aktivieren oder deaktivieren.
      2 Der Umschalter für den privaten Zugriff ist sichtbar und wird standardmäßig auf den aktivierten Zustand festgelegt. Der Benutzer kann den privaten Zugriff aktivieren oder deaktivieren.
      3 Die Umschaltfläche "Privater Zugriff" ist sichtbar, ist jedoch abgeblendet und wird standardmäßig im aktivierten Zustand angezeigt. Der Benutzer kann den privaten Zugriff nicht deaktivieren.

    Hinweis

    Der GlobalSecureAccessPA-Konfigurationsschlüssel wird nicht mehr unterstützt.

  6. Wählen Sie Weiteraus. Screenshot der App-Konfigurationsrichtlinie erstellen auf der Registerkarte

  7. Konfigurieren Sie auf der Registerkarte " Bereichstags " die Bereichstags nach Bedarf, und wählen Sie "Weiter" aus.

  8. Wählen Sie auf der Registerkarte " Aufgaben " +Gruppen hinzufügen aus, um die Konfigurationsrichtlinie zuzuweisen und den globalen sicheren Zugriff zu aktivieren. Screenshot der App-Konfigurationsrichtlinie erstellen auf der Registerkarte

Tipp

Um die Richtlinie für alle, aber einige bestimmte Benutzer zu aktivieren, wählen Sie im Abschnitt "Eingeschlossene Gruppen" die Option "Alle Geräte hinzufügen" aus. Fügen Sie dann die Benutzer oder Gruppen hinzu, die im Abschnitt "Ausgeschlossene Gruppen" ausgeschlossen werden sollen.

  1. Wählen Sie Weiteraus.
  2. Überprüfen Sie die Konfigurationszusammenfassung, und wählen Sie "Erstellen" aus.

Bestätigen, dass globaler sicherer Zugriff in der Defender-App angezeigt wird

Weil der Android-Client in Defender for Endpoint integriert ist, ist es hilfreich, die Endbenutzerumgebung zu verstehen. Der Client wird nach dem Onboarding des globalen sicheren Zugriffs im Defender-Dashboard angezeigt. Das Onboarding erfolgt durch das Aktivieren eines Datenverkehrsweiterleitungsprofils.

Screenshot der Defender-App mit der Kachel

Der Client ist standardmäßig deaktiviert, wenn er auf Benutzergeräten bereitgestellt wird. Benutzer müssen den Client über die Defender-App aktivieren. Um den Client zu aktivieren, tippen Sie auf die Umschaltfläche.

Screenshot des Global Secure Access-Clients in einem deaktivierten Zustand.

Zum Anzeigen von Clientdetails tippen Sie auf die Kachel im Dashboard. Wenn diese Option aktiviert und ordnungsgemäß funktioniert, zeigt der Client eine Meldung "Aktiviert" an. Außerdem wird das Datum und die Uhrzeit angezeigt, zu dem der Client mit dem globalen sicheren Zugriff verbunden ist.

Screenshot des globalen Secure Access-Clients in einem aktivierten Zustand.

Wenn der Client keine Verbindung herstellen kann, wird ein Umschalter angezeigt, um den Dienst zu deaktivieren. Benutzer können später zurückkehren, um den Client zu aktivieren.

Screenshot des Clients für den globalen sicheren Zugriff, der keine Verbindung herstellen kann.

Problembehandlung

Wenn die Kachel für den globalen sicheren Zugriff nach dem Onboarding des Mandanten in den Dienst nicht angezeigt wird, starten Sie die Defender-App neu.

Wenn Sie versuchen, auf eine Private Access-Anwendung zuzugreifen, ist die Verbindung nach einer erfolgreichen interaktiven Anmeldung möglicherweise nicht mehr vorhanden. Laden Sie die Anwendung erneut, indem Sie den Webbrowser aktualisieren.

Zugehöriger Inhalt

  • Last updated on