適用於 Android 的全域安全存取用戶端

可以使用 Microsoft Intune 和 Android 的「適用於端點的 Microsoft Defender」，將全球安全存取用戶端部署到相容的 Android 裝置。 Android 用戶端內建於「適用於端點的 Defender」Android 應用程式，可簡化終端使用者連線到全球安全存取的方式。 全球安全存取 Android 用戶端可讓您的終端使用者更輕鬆地連線到所需的資源，而不需要在其裝置上手動設定 VPN 設定。

本文說明必要條件，以及如何將用戶端部署至 Android 裝置。

必要條件

• 產品需要授權。 如需詳細資訊，請參閱什麼是全球安全存取的授權一節。 如有需要，您可以購買授權或取得試用版授權。
• 您必須啟用至少一個全球安全存取流量轉送設定檔。
• 需要裝置上的裝置安裝權限才能進行安裝。
• Android 裝置必須執行 Android 10.0 或更新版本。
• Android 裝置必須已註冊 Microsoft Entra。
  • 未受到貴組織管理的裝置必須安裝 Microsoft Authenticator 應用程式。
  • 未透過 Intune 管理的裝置必須安裝公司入口網站應用程式。
  • 裝置需要註冊，才能強制執行 Intune 裝置合規性原則。

已知的限制

• 目前不支援執行 Android (Go 版本) 的行動裝置。
• 目前不支援共用裝置上 Android 的「適用於端點的 Microsoft Defender」。
• 目前不支援 IPv6 流量的通道處理。
• 裝置上必須停用私人網域名稱系統 (DNS)。 此設定通常位於 [系統 > 網路] 和 [網際網路] 選項中。
• 與「適用於端點的 Microsoft Defender」一起執行非 Microsoft 端點保護產品，可能會導致效能問題和無法預測的系統錯誤。
• 目前不支援與 Microsoft Tunnel 共存的全域安全存取（GSA）。 如需詳細資訊，請參閱 Intune 中Microsoft 通道的必要條件。

支援的案例

適用於 Android 的全球安全存取用戶端支援部署舊版裝置系統管理員和 Android Enterprise 案例。 支援下列 Android Enterprise 案例：

• 公司所有且完全受控的使用者裝置。
• 公司所有且具有工作設定檔的裝置。
• 具有工作設定檔的個人裝置。

非 Microsoft 行動裝置管理

此外，也支援非 Microsoft 行動裝置管理 (MDM) 案例。 在這些稱為僅全球安全存取模式的案例中，您只需要啟用流量轉送設定檔，並根據廠商文件設定應用程式。

部署 Android 的適用於端點的 Microsoft Defender

使用適用於 Android 的全球安全存取用戶端時，有多種部署模式和案例的組合。

啟用流量轉送設定檔並設定網路之後，全球安全存取 Android 用戶端會自動顯示在 Defender 應用程式中；不過，依預設會停用全球安全存取用戶端。 使用者可以從 Defender 應用程式啟用用戶端。 啟用用戶端的步驟詳述於確認全球安全存取顯示在 Defender 應用程式中一節。

裝置管理員

此舊版註冊模式可讓您使用 Microsoft Intune 公司入口網站來部署 Android 的「適用於端點的 Microsoft Defender」- 已註冊裝置系統管理員的裝置。

高階流程如下所示：

1. 將 Defender 部署至已註冊 Intune 的 Android 裝置。

2. 如果已部署 Defender，請啟用至少一個流量轉送設定檔。

3. 確認全球安全存取顯示在 Defender 應用程式中。

部署 Defender 的詳細流程如下：

1. 以 Intune 系統管理員身分登入 Microsoft Intune 系統管理中心。

2. 瀏覽至 [應用程式]> [Android]> [新增]> [Android 商店應用程式]> [選取]。

   

3. 提供 [名稱]、[描述]和 [發行者]。

4. 在 [Appstore URL] 欄位中輸入 URL。

   • https://play.google.com/store/apps/details?id=com.microsoft.scmx

5. 將其他全部欄位維持為預設值，然後選取 [下一步]。

   

6. 在 [必要] 區段中，選取 [新增群組]，然後選取要指派應用程式的群組，然後選取 [下一步]。

   • 選取的群組應該包含您的 Intune 註冊使用者。
   • 稍後您可以編輯或新增更多群組。

   

7. 在 [檢閱 + 建立] 索引標籤上，確認資訊正確無誤，然後選取 [建立]。

8. 在新的應用程式詳細資料頁面上，選取 [裝置安裝狀態]，確認應用程式是否已安裝。

使用者必須在 Defender 應用程式中啟用用戶端。 此項目預設為停用。 繼續進行下一節以確認應用程式已安裝，以及了解如何啟用用戶端。

Android 企業版

請遵循下列步驟，將適用於端點的 Microsoft Defender 應用程式新增至受控 Google Play 商店。

高階流程如下所示：

1. 在已註冊 Android Enterprise 的裝置上部署 Defender。

2. 啟用至少一個流量轉送設定檔。

3. 確認全球安全存取顯示在適用於端點的 Microsoft Defender 應用程式中。

部署至 Google Play 商店的詳細流程如下：

1. 以 Intune 系統管理員身分登入 Microsoft Intune 系統管理中心。

2. 瀏覽至 [應用程式]> [Android]> [新增]> [受管理 Google Play 應用程式]> [選取]。

   

3. 在受控 Google Play 頁面上，搜尋 Microsoft Defender，然後從搜尋結果中選取。

4. 在 Microsoft Defender 的詳細資料頁面上，選取 [選取] 按鈕。

5. 選取左上角的 [同步] 按鈕。 此步驟會同步 Defender 與您的應用程式清單。

   

6. 選取 Android 應用程式畫面上的 [重新整理] 按鈕，讓「適用於端點的 Microsoft Defender」顯示在清單中。

7. 從應用程式清單中選取 [Microsoft Defender]，然後瀏覽至 [屬性]> [指派]> [編輯]。

   

8. 在 [必要] 區段中，選取 [新增群組]，然後選取要指派應用程式的群組，然後選取 [下一步]。

9. 選取 [檢閱 + 儲存] 並確認詳細資料後，請選取 [儲存]。

   

指派群組之後，應用程式會在下一次透過公司入口網站應用程式同步裝置期間，自動安裝在工作設定檔中。

使用者必須在 Defender 應用程式中啟用用戶端。 此項目預設為停用。 繼續進行下一節以確認應用程式已安裝，以及了解如何啟用用戶端。

確認全球安全存取顯示在 Defender 應用程式中

由於 Android 用戶端已與適用於端點的 Defender 整合，因此有助於了解終端使用者體驗。 用戶端在上線至全球安全存取之後，會顯示在 Defender 儀表板中。 啟用流量轉送設定檔即可上線。

依預設，用戶端在部署至使用者裝置時會停用。 使用者必須從 Defender 應用程式啟用用戶端。 若要啟用用戶端，請點選 [切換]。

若要檢視用戶端的詳細資料，請點選儀表板上的圖格。 啟用並正常運作時，用戶端會顯示「已啟用」訊息。 隨即也會顯示用戶端連線到全球安全存取的日期和時間。

如果用戶端無法連線，則會顯示切換以停用服務。 使用者稍後可以回來嘗試啟用用戶端。

疑難排解

將租用戶上線至服務之後，不會顯示 [全球安全存取] 圖格。 重新啟動 Defender 應用程式。

嘗試存取「私人存取」應用程式時，連線可能會在互動式登入成功之後逾時。 透過網頁瀏覽器重新整理來重載應用程式，應該可以解決此問題。

相關內容

• 關於 Android 適用於端點的 Microsoft Defender
• 使用 Microsoft Intune 部署 Android 的適用於端點的 Microsoft Defender
• 了解使用 Intune 的受控 Google Play 應用程式和 Android Enterprise 裝置
• 適用於 Microsoft Windows 的全域安全存取用戶端
• 適用於 macOS 的 Global Secure Access 用戶端
• 適用於 iOS 的 全域安全存取用戶端