Клиент глобального безопасного доступа для iOS (предварительная версия)

Важный

Клиент глобального безопасного доступа для iOS в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.

В этой статье объясняется, как настроить и развернуть клиентское приложение Global Secure Access на устройствах iOS и iPadOS. Для простоты эта статья относится как к iOS, так и к iPadOS как iOS.

Внимание

Запуск других сторонних продуктов защиты конечных точек вместе с Defender для конечной точки в iOS, скорее всего, приведет к проблемам производительности и непредсказуемым системным ошибкам.

Примечание.

• Клиент глобального безопасного доступа развертывается с помощью Microsoft Defender для конечной точки в iOS.
• Клиент глобального безопасного доступа в iOS использует VPN. Этот VPN не является обычным VPN. Вместо этого это локальный или самозацикливный VPN.

Необходимые компоненты

• Чтобы использовать клиент iOS global Secure Access, настройте устройство конечной точки iOS в качестве зарегистрированного устройства Microsoft Entra.
• Чтобы включить глобальный безопасный доступ для клиента, ознакомьтесь с требованиями к лицензированию. При необходимости вы можете приобрести лицензии или получить пробные лицензии.
• Подключение клиента к глобальному безопасному доступу и настройка одного или нескольких профилей пересылки трафика. Дополнительные сведения см. в разделе "Доступ к области глобального безопасного доступа" центра администрирования Microsoft Entra.

Требования

Требования к сети

Чтобы Microsoft Defender для конечной точки в iOS (доступно в Apple App Store) функционировать при подключении к сети, необходимо настроить брандмауэр или прокси для включения доступа к URL-адресам службы Microsoft Defender для конечной точки.

Примечание.

Microsoft Defender для конечной точки в iOS не поддерживается на пользовательских или общих устройствах.

Требования к системе

Устройство iOS (телефон или планшет) должно соответствовать следующим требованиям:

• Устройство установлено на устройстве с iOS 15.0 или более поздней версии.
• Устройство имеет приложение Microsoft Authenticator или приложение Корпоративный портал Intune.
• Устройство зарегистрировано для применения политик соответствия устройств Intune.

Поддерживаемые режимы

Клиент Global Secure Access для iOS поддерживает установку на обоих режимах зарегистрированных устройств: защищенных и неуправляемых устройств.

Поддерживаемые профили пересылки трафика

Клиент глобального безопасного доступа для iOS поддерживает профиль пересылки трафика Майкрософт и профиль пересылки трафика частного доступа. Дополнительные сведения см. в разделе "Профили пересылки трафика глобального безопасного доступа".

Известные ограничения

• Трафик протокола UDP (UDP) подключения к Интернету (QUIC) туннелирования (за исключением Exchange Online) не поддерживается.
• Сосуществование глобального безопасного доступа (GSA) с Microsoft Tunnel в настоящее время не поддерживается. Дополнительные сведения см. в разделе "Предварительные требования" для Microsoft Tunnel в Intune.

Действия по установке

Развертывание на зарегистрированных устройствах администратора устройств с помощью Microsoft Intune

1. В Центре администрирования Microsoft Intune перейдите к >>> магазина iOS и выберите "Выбрать".
   

2. На странице "Добавление приложения" выберите "Поиск в Магазине приложений" и введите Microsoft Defender в строке поиска.

3. В результатах поиска выберите Microsoft Defender и выберите " Выбрать".

4. Выберите iOS 15.0 в качестве минимальной операционной системы. Просмотрите остальные сведения о приложении и нажмите кнопку "Далее".

5. В разделе "Назначения" перейдите в раздел "Обязательный" и выберите "Добавить группу".
   

6. Выберите группы пользователей, которые вы хотите нацелить на приложение Defender для конечной точки в приложении iOS.

Примечание.

Выбранная группа пользователей должна состоять из зарегистрированных пользователей Microsoft Intune.

7. Нажмите кнопку "Выбрать" и "Далее".
8. В разделе "Проверка и создание" убедитесь, что все введенные сведения правильные, а затем нажмите кнопку "Создать". Через несколько минут приложение Defender для конечной точки создается успешно, а уведомление появится в правом верхнем углу страницы.
9. На странице сведений о приложении в разделе "Монитор " выберите состояние установки устройства, чтобы убедиться, что установка устройства завершена успешно.
   

Создание профиля VPN и настройка глобального безопасного доступа для Microsoft Defender для конечной точки

1. В Центре администрирования Microsoft Intune перейдите к >

2. Задайте для платформы значение iOS/iPadOS, тип профиля — Шаблоны, а имя шаблона — VPN.

3. Нажмите кнопку создания.

4. Введите имя профиля и нажмите кнопку "Далее".

5. Задайте тип подключения для пользовательского VPN.

6. В разделе "Базовый VPN" введите следующее:

   • Имя подключения: Microsoft Defender для конечной точки
   • VPN-сервер: 127.0.0.1
   • Метод проверки подлинности: "Имя пользователя и пароль"
   • Разделение туннелирования: отключение
   • ИДЕНТИФИКАТОР VPN: com.microsoft.scmx

7. В полях пар "ключ-значение":

   • Добавьте ключ SilentOnboard и задайте значение True.

   • Добавьте ключ EnableGSA и задайте соответствующее значение из следующей таблицы:

     Ключ	Значение	Сведения
     EnableGSA	Нет значения	Глобальный безопасный доступ не включен, и плитка не отображается.
     	0	Глобальный безопасный доступ не включен и плитка не отображается.
     	1	Плитка отображается и по умолчанию имеет значение false (отключенное состояние). Пользователь может включить или отключить глобальный безопасный доступ с помощью переключателя из приложения.
     	2	Плитка отображается и по умолчанию имеет значение true (включенное состояние). Пользователь может переопределить. Пользователь может включить или отключить глобальный безопасный доступ с помощью переключателя из приложения.
     	3	Плитка отображается и по умолчанию имеет значение true (включенное состояние). Пользователь не может отключить глобальный безопасный доступ.

   • Добавьте дополнительные пары "ключ-значение" по мере необходимости (необязательно):

     Ключ	Значение	Сведения
     EnableGSAPrivateChannel	Нет значения	Глобальный безопасный доступ включен по умолчанию. Пользователь может включить или отключить.
     	0	Глобальный безопасный доступ не включен и переключатель не отображается пользователю.
     	1	Переключатель отображается и по умолчанию имеет значение false (отключенное состояние). Пользователь может включить или отключить.
     	2	Плитка отображается и по умолчанию имеет значение true (включенное состояние). Пользователь может включить или отключить.
     	3	Переключатель видим и неактивен и по умолчанию имеет значение true (включенное состояние). Пользователь не может отключить глобальный безопасный доступ.

8. Продолжить заполнение формы VPN:

   • Тип автоматического VPN: VPN по запросу
   • Правила по запросу: нажмите кнопку "Добавить ", а затем:
     • Задайте для подключения VPN следующиедействия.
     • Задайте для ограничения всех доменов.

9. Чтобы запретить конечным пользователям отключать VPN, установите параметр "Запретить пользователям отключать автоматический VPN " значение "Да". По умолчанию этот параметр не настроен, и пользователи могут отключить VPN только в параметрах.

10. Чтобы разрешить пользователям использовать переключатель VPN из приложения, добавьте пару "ключ-значение" EnableVPNToggleInApp = TRUE. По умолчанию пользователи не могут изменить переключатель из приложения.

11. Нажмите кнопку "Далее" и назначьте профиль целевым пользователям.

12. В разделе "Проверка и создание" убедитесь, что все сведения верны, а затем нажмите кнопку "Создать".

После завершения и синхронизации конфигурации с устройством на целевых устройствах iOS выполняются следующие действия:

• Microsoft Defender для конечной точки развертывается и автоматически подключен.
• Устройство отображается на портале Defender для конечной точки.
• Предварительное уведомление отправляется на устройство пользователя.
• Активируются глобальный безопасный доступ и другие Microsoft Defender для конечной точки (MDE) настроенные функции.

Подтверждение появления глобального безопасного доступа в приложении Defender

Так как клиент Глобального безопасного доступа для iOS интегрирован с Microsoft Defender для конечной точки, полезно понять взаимодействие с конечным пользователем. Клиент появится на панели мониторинга Defender после подключения к глобальному безопасному доступу.

Вы можете включить или отключить клиент глобального безопасного доступа для iOS, задав ключ EnableGSA в профиле VPN. В зависимости от параметров конфигурации конечные пользователи могут включать или отключать отдельные службы или сам клиент с помощью соответствующих переключателей.

Если клиент не может подключиться, переключатель появляется для отключения службы. Пользователи могут вернуться позже, чтобы попытаться включить клиент.

Устранение неполадок

• Плитка Global Secure Access не отображается в приложении Defender после подключения клиента:
  • Принудительно остановите приложение Defender и снова запустите его.
• Доступ к приложению Приватного доступа отображает ошибку времени ожидания подключения после успешного интерактивного входа.
  • Перезагрузите приложение (или обновите веб-браузер).

Связанный контент

• Microsoft Defender для конечной точки в iOS
• Развертывание Microsoft Defender для конечной точки в iOS с помощью Microsoft Intune
• клиент глобального безопасного доступа для macOS
• клиент глобального безопасного доступа для Microsoft Windows
• клиент глобального безопасного доступа для Android