适用于 Android 的全局安全访问客户端

可以使用 Android 上的 Microsoft Intune 和 Microsoft Defender for Endpoint 将全局安全访问客户端部署到合规的 Android 设备。 Android 客户端内置于 Defender for Endpoint Android 应用中，可简化最终用户连接到 Global Secure Access 的方式。 全局安全访问 Android 客户端使最终用户能够更轻松地连接到所需的资源，而无需在其设备上手动配置 VPN 设置。

本文介绍了先决条件以及如何将客户端部署到 Android 设备。

先决条件

• 产品需要经过许可。 有关详细信息，请参阅什么是全球安全访问的许可部分。 如果需要，可以购买许可证或获取试用许可证。
• 你必须至少启用一个全局安全访问流量转发配置文件。
• 需要设备上的设备安装权限才能安装。
• Android 设备须运行 Android 10.0 或更高版本。
• Android 设备必须是 Microsoft Entra 注册的设备。
  • 未由你的组织管理的设备必须安装 Microsoft Authenticator 应用。
  • 未通过 Intune 管理的设备必须安装公司门户应用。
  • 若要强制实施 Intune 设备合规策略，必须完成设备注册。

已知限制

• 目前不支持运行 Android（Go 版本）的移动设备。
• 目前不支持在共享设备上使用 Android 上的 Microsoft Defender for Endpoint。
• 目前不支持隧道 IPv6 流量。
• 必须在设备上禁用专用域名系统 (DNS)。 此设置通常出现在“系统”>“网络和 Internet”选项中。
• 同时运行 Microsoft Defender for Endpoint 和非 Microsoft 终结点保护产品可能会导致性能问题和不可预知的系统错误。
• 目前不支持与 Microsoft Tunnel 共存的全球安全访问（GSA）。 有关详细信息，请参阅 Intune 中 Microsoft Tunnel 的先决条件。

支持的方案

适用于 Android 的全局安全访问客户端支持为旧版设备管理员和 Android Enterprise 方案进行部署。 支持以下 Android Enterprise 方案：

• 企业拥有的完全托管型用户设备。
• 具有工作配置文件的企业拥有的设备。
• 具有工作配置文件的个人设备。

非 Microsoft 移动设备管理

还支持非 Microsoft 移动设备管理 (MDM) 方案。 在这些方案中，（称为“仅限全局安全访问模式”），只需启用流量转发配置文件，并根据供应商文档配置应用。

部署 Android 上的 Microsoft Defender for Endpoint

使用适用于 Android 的全局安全访问客户端的部署模式和方案有多种组合。

启用流量转发配置文件并配置网络后，全局安全访问 Android 客户端将自动显示在 Defender 应用中，但是全局安全访问客户端默认处于禁用状态。 用户可从 Defender 应用启用客户端。 确认全局安全访问显示在 Defender 应用中部分描述了启用客户端的步骤。

设备管理员

通过旧版注册模式，可以使用 Microsoft Intune 公司门户 - 设备管理员注册的设备在 Android 上部署 Defender for Endpoint。

概要过程如下所述：

1. 将 Defender 部署到已注册 Intune 的 Android 设备。

2. 如果已部署 Defender，请至少启用一个流量转发配置文件。

3. 确认全局安全访问显示在 Defender 应用中。

部署 Defender 的详细过程如下所示：

1. 以 Intune 管理员身份登录到 Microsoft Intune 管理中心。

2. 浏览到“应用”“Android”>“添加”“Android 应用商店应用”>“选择”。>>

   

3. 提供“名称”、“描述”和“发布者”。

4. 在 Appstore URL 字段中输入 URL。

   • https://play.google.com/store/apps/details?id=com.microsoft.scmx

5. 将所有其他字段保留为其默认值，然后选择“下一步”。

   

6. 在“必选”部分中，选择“添加组”，然后选择要向其分配应用的组，然后选择“下一步”。

   • 所选组应包含已注册 Intune 的用户。
   • 稍后可以编辑或添加更多组。

   

7. 在“查看 + 创建”选项卡中，确认信息正确无误然后选择“创建”。

8. 在新应用详细信息页上，选择“设备安装状态”并确认应用已安装。

用户需要在 Defender 应用中启用客户端。 此项默认禁用。 转到下一部分，确认应用已安装以及启用客户端的方式。

Android Enterprise

按照以下步骤将 Microsoft Defender for Endpoint 应用添加到托管的 Google Play 商店中。

概要过程如下所述：

1. 在已注册 Android Enterprise 的设备上部署 Defender。

2. 启用至少一个流量转发配置文件。

3. 确认全局安全访问显示在 Microsoft Defender for Endpoint 应用中。

部署到 Google Play 商店的详细过程如下所示：

1. 以 Intune 管理员身份登录到 Microsoft Intune 管理中心。

2. 浏览到“应用”“Android”>“添加”“托管的 Google Play 应用”>“选择”。>>

   

3. 在托管的 Google Play 页面上，搜索“Microsoft Defender”并在搜索结果中将其选中。

4. 在 Microsoft Defender 的详细信息页上，选择“选择”按钮。

5. 选择左上角的“同步”按钮。 此步骤将 Defender 与应用列表同步。

   

6. 在 Android 应用屏幕上选择“刷新”按钮，以便 Microsoft Defender for Endpoint 显示在列表中。

7. 从应用列表中选择“Microsoft Defender”，然后浏览到“属性”“分配”“编辑”。>>

   

8. 在“必选”部分中，选择“添加组”，然后选择要向其分配应用的组，然后选择“下一步”。

9. 选择“查看 + 保存”，确认详细信息后，选择“保存”。

   

分配组后，下次通过公司门户应用同步设备时，该应用会自动安装在“工作配置文件”中。

用户需要在 Defender 应用中启用客户端。 此项默认禁用。 转到下一部分，确认应用已安装以及启用客户端的方式。

确认 Global Secure Access 显示在 Defender 应用中

由于 Android 客户端与 Defender for Endpoint 集成，因此了解最终用户体验很有帮助。 加入到全局安全访问后，客户端会显示在 Defender 仪表板中。 通过启用流量转发配置文件进行加入。

客户端部署到用户设备时，默认处于禁用状态。 用户需要从 Defender 应用启用客户端。 若要启用客户端，请点击开关。

若要查看客户端的详细信息，请点击仪表板上的磁贴。 启用并正常工作时，客户端会显示消息“已启用”。 同时显示客户端连接到全局安全访问的日期和时间。

如果客户端无法连接，将显示一个切换开关来禁用该服务。 稍后用户可以返回，尝试启用客户端。

故障排除

将租户加入服务后，不会显示“全局安全访问”磁贴。 重启 Defender 应用。

尝试访问“专用访问”应用程序时，在交互式登录成功后，连接可能会超时。 通过 Web 浏览器刷新重新加载应用程序应可解决此问题。

相关内容

• Android 上的 Microsoft Defender for Endpoint
• 使用 Microsoft Intune 部署 Android 上的 Microsoft Defender for Endpoint
• 了解使用 Intune 托管的 Google Play 应用和 Android Enterprise 设备
• 适用于 Microsoft Windows 的 全局安全访问客户端
• 适用于 macOS 的 全局安全访问客户端
• 适用于 iOS 的 全局安全访问客户端