适用于 iOS 的全局安全访问客户端(预览版)
重要说明
适用于 iOS 的全球安全访问客户端目前以预览版提供。 这些与预发行产品相关的信息在发布前可能进行重大修改。 对于此处提供的信息,Microsoft 不作任何明示或暗示的保证。
本文介绍如何在 iOS 和 iPadOS 设备上设置和部署全局安全访问客户端应用。 为简单起见,本文将 iOS 和 iPadOS 统称为“iOS”。
注意
同时在 iOS 上运行 Defender for Endpoint 和其他第三方终结点保护产品可能会导致性能问题和不可预知的系统错误。
注意
- 通过 Microsoft Defender for Endpoint 在 iOS 上部署全局安全访问客户端。
- iOS 上的全局安全访问客户端使用 VPN。 此处提及的 VPN 并非常规 VPN, 而是一种本地/自循环 VPN。
先决条件
- 若要使用全局安全访问 iOS 客户端,请将 iOS 终结点设备配置为已注册 Microsoft Entra 的设备。
- 若要为租户启用全局安全访问,请参阅许可要求。 如果需要,可以购买许可证或获取试用许可证。
- 将租户加入全局安全访问并配置一个或多个流量转发配置文件。 有关详细信息,请参阅访问 Microsoft Entra 管理中心的全局安全访问区域。
要求
网络要求
若要使 iOS 上的 Microsoft Defender for Endpoint(可在 Apple App Store 购买)能够在连接到网络时正常工作,您必须将防火墙/代理配置为启用 Microsoft Defender for Endpoint 服务 URL 访问权限。
注意
不支持在无用户或共享设备上使用 iOS 上的 Microsoft Defender for Endpoint。
系统要求
iOS 设备(手机或平板电脑)必须满足以下要求:
- 设备已安装 iOS 15.0 或更高版本。
- 设备已安装 Microsoft Authenticator 应用或 Intune 公司门户应用。
- 设备已完成注册,强制实施 Intune 设备合规性策略。
支持的模式
适用于 iOS 的全局安全访问客户端支持在以下两种模式的注册设备上安装:监督式和非监督式设备。
受支持的流量转发配置文件
适用于 iOS 的全局安全访问客户端支持 Microsoft 流量转发配置文件和专用访问流量转发配置文件。 有关详细信息,请参阅全局安全访问流量转发配置文件。
已知限制
此功能具有一个或多个已知限制。 有关此功能的已知问题和限制的更多详细信息,请参阅 全局安全访问的已知限制。
安装步骤
使用 Microsoft Intune 在设备管理员注册的设备上部署
在 Microsoft Intune 管理中心中,转到“应用”“iOS/iPadOS”>“添加”“iOS 应用商店应用”,然后选择“选择”>>。
在“添加应用”页上,选择“搜索 App Store”,并在搜索栏中键入“Microsoft Defender”。
在搜索结果中,依次选择“Microsoft Defender”和“选择”。
选择“iOS 15.0”作为最低操作系统版本。 查看该应用的其余信息,然后选择“下一步”。
在“分配”部分中,转到“必需”部分,然后选择“添加组”。
选择 iOS 上 Defender for Endpoint 应用的目标用户组。
注意
所选用户组应由 Microsoft Intune 注册用户构成。
- 依次选择“选择”和“下一步”。
- 在“查看 + 创建”部分中,确认输入的所有信息是否正确,然后选择“创建”。 片刻之后,Defender for Endpoint 应用创建成功,此时页面右上角会显示一条通知。
- 在应用信息页上的“监视”部分中,选择“设备安装状态”以确认设备安装是否已成功完成。
创建 VPN 配置文件并为 Microsoft Defender for Endpoint 配置全局安全访问
在 Microsoft Intune 管理中心中,转到“设备”“配置文件”>“创建配置文件”>。
将“平台”设置为”iOS/iPadOS”,“配置文件类型”设置为“模板”,“模板名称”设置为“VPN”。
选择创建。
键入配置文件的名称,然后选择“下一步”。
将“连接类型”设置为“自定义 VPN”。
在“基础 VPN”部分中,输入以下信息:
- 连接名称:Microsoft Defender for Endpoint
- VPN 服务器地址:127.0.0.1
- 身份验证方法:“用户名和密码”
- 拆分隧道:禁用
- VPN 标识符:com.microsoft.scmx
在键值对字段中:
添加键 SilentOnboard,将其值设置为“True”。
添加键 EnableGSA,并根据下表设置相应的值:
密钥 值 详细信息 EnableGSA 无值 未启用全局安全访问,磁贴不可见。 0 未启用全局安全访问,磁贴不可见。 1 磁贴可见,默认为“False”(禁用状态)。 用户可以使用应用的切换来启用或禁用全局安全访问。 2 磁贴可见,默认为“True”(启用状态)。 用户可以替代此设置。 用户可以使用应用的切换来启用或禁用全局安全访问。 3 磁贴可见,默认为“True”(启用状态)。 用户无法禁用全局安全访问。 根据需要添加更多键值对(可选):
密钥 值 详细信息 EnableGSAPrivateChannel 无值 全局安全访问默认处于启用状态。 用户可以执行启用或禁用操作。 0 未启用全局安全访问,切换对用户不可见。 1 切换可见,默认为“False”(禁用状态)。 用户可以执行启用或禁用操作。 2 磁贴可见,默认为“True”(启用状态)。 用户可以执行启用或禁用操作。 3 切换可见,呈灰显,默认为“True”(启用状态)。 用户无法禁用全局安全访问。
继续填写 VPN 表单:
- 自动 VPN 类型:按需 VPN
- 按需规则:选择“添加”,然后:
- 将“我要执行以下操作”设置为“连接 VPN”。
- 将“我要限制”设置为“所有域”。
若要防止最终用户禁用 VPN,请将“是否阻止用户禁用自动 VPN”设置为“是”。 默认情况下,此设置未配置,用户只能在“设置”中禁用 VPN。
若要允许用户从应用内部使用 VPN 切换,请添加键值对 EnableVPNToggleInApp = TRUE。 默认情况下,用户无法从应用内部更改切换。
选择“下一步”,然后将配置文件分配给目标用户。
在“查看 + 创建”部分中,确认所有信息是否正确,然后选择“创建”。
当配置完成且数据同步到设备后,目标 iOS 设备上将执行以下操作:
- Microsoft Defender for Endpoint 已部署,以无提示方式加入。
- 该设备被列入 Defender for Endpoint 门户。
- 临时通知会发送到用户设备。
- 全局安全访问和其他由 Microsoft Defender for Endpoint (MDE) 配置的功能已激活。
确认 Global Secure Access 显示在 Defender 应用中
由于适用于 iOS 的全局安全访问客户端与 Microsoft Defender for Endpoint 集成,因此了解最终用户体验很有帮助。 加入到全局安全访问后,客户端会显示在 Defender 仪表板中。
可以通过在“VPN 配置文件”中设置 EnableGSA 键来启用或禁用适用于 iOS 的全局安全访问客户端。 根据配置设置,最终用户可以使用相应的切换来启用或禁用各项服务或客户端本身。
如果客户端无法连接,将显示一个切换开关来禁用该服务。 稍后用户可以返回,尝试启用客户端。
故障排除
- 加入租户后,全局安全访问磁贴不会出现在 Defender 应用中:
- 强制停止 Defender 应用,然后重新启动它。
- 成功进行交互式登录后,访问“专用访问”应用程序会显示连接超时错误。
- 重新加载应用程序(或刷新 Web 浏览器)。