適用於 iOS 的全域安全存取用戶端 (預覽)
重要
適用於 iOS 的全域安全存取用戶端目前處於預覽狀態。 這項資訊與發行前版本產品有關,在發行前可能會大幅修改。 Microsoft針對此處提供的資訊,不提供任何明示或默示擔保。
本文說明如何將全域安全存取用戶端應用程式設定及部署至 iOS 和 iPadOS 裝置。 為了簡單起見,本文同時將 iOS 和 iPadOS 視為 iOS。
警告
在 iOS 上與適用於端點的 Defender 一起執行其他第三方端點保護產品,可能會導致效能問題和無法預測的系統錯誤。
注意
- 全域安全存取客戶端是透過 iOS 上的 適用於端點的 Microsoft Defender 部署。
- iOS 上的全域安全存取用戶端會使用 VPN。 此 VPN 不是一般 VPN。 而是本機/自我迴圈 VPN。
必要條件
- 若要使用全域安全存取 iOS 用戶端,請將 iOS 端點裝置設定為Microsoft Entra 已註冊的裝置。
- 若要為您的租用戶啟用全域安全存取,請參閱 授權需求。 如有需要,您可以購買授權或取得試用版授權。
- 將租用戶上線至全域安全存取,並設定一或多個流量轉送配置檔。 如需詳細資訊,請參閱 存取 Microsoft Entra 系統管理中心的全域安全存取區域。
需求
網路需求
針對 iOS 上的 適用於端點的 Microsoft Defender(可在 Apple App Store 中取得)在連線到網路時運作,您必須將防火牆/Proxy 設定為啟用對 適用於端點的 Microsoft Defender 服務 URL 的存取。
注意
iOS 上的 適用於端點的 Microsoft Defender 不支援使用者或共用裝置。
系統需求
iOS 裝置(手機或平板電腦)必須符合下列需求:
- 裝置已安裝 iOS 15.0 或更新版本。
- 裝置已安裝 Microsoft Authenticator 應用程式或 Intune 公司入口網站 應用程式。
- 裝置已註冊以強制執行 Intune 裝置合規性原則。
支援的模式
適用於 iOS 的 Global Secure Access 用戶端支援在已註冊裝置的兩種模式上安裝:受監督和未監督的裝置。
支援的流量轉送配置檔
適用於 iOS 的 Global Secure Access 用戶端支援Microsoft流量轉送配置檔和私人存取流量轉送設定檔。 如需詳細資訊,請參閱 全域安全存取流量轉送配置檔。
已知的限制
- 不支援通道快速用戶數據報通訊協定 (UDP) 因特網連線 (QUIC) 流量(Exchange Online 除外)。
- 目前不支援與 Microsoft Tunnel 共存的全域安全存取(GSA)。 如需詳細資訊,請參閱 Intune 中Microsoft 通道的必要條件。
安裝步驟
使用 Microsoft Intune 在裝置系統管理員註冊的裝置上部署
在 Microsoft Intune 系統管理中心,移至 [應用程式>iOS/iPadOS>新增>iOS 市集應用程式],然後選取 [選取]。
在 [新增應用程式] 頁面上,選取 [搜尋 App Store],然後在搜尋列中輸入 Microsoft Defender。
在搜尋結果中,選取 [Microsoft Defender ],然後選取 [ 選取]。
選取 [iOS 15.0] 作為最低作業系統。 檢閱應用程式的其他資訊,然後選取 [ 下一步]。
在 [指派] 區段中,移至 [必要] 區段,然後選取 [新增群組]。
![[新增應用程式] 畫面的螢幕快照,其中已醒目提示 [新增群組] 選項。](media/how-to-install-ios-client/ios-client-add-group.png)
選擇您想要以 iOS 應用程式上適用於端點的 Defender 為目標的使用者群組。
注意
選取的使用者群組應該由 Microsoft Intune 註冊的用戶所組成。
- 選取 [選取],然後選取 [下一步]。
- 在 [ 檢閱 + 建立] 區段中,確認輸入的所有資訊都正確,然後選取 [ 建立]。 幾分鐘后,已成功建立適用於端點的Defender應用程式,且頁面右上角會出現通知。
- 在應用程式資訊頁面上的 [監視] 區段中,選取 [ 裝置安裝狀態 ] 以確認裝置安裝是否順利完成。
![[裝置安裝狀態] 畫面的螢幕快照,其中顯示已安裝裝置的清單。](media/how-to-install-ios-client/ios-client-device-install-status.png)
建立 VPN 設定檔並設定 適用於端點的 Microsoft Defender 的全域安全存取
在 Microsoft Intune 系統管理中心,移至 >態配置檔] [建立配置檔]。>
將 [平臺 ] 設定為 iOS/iPadOS、將 [配置檔類型 ] 設定為 [範本],並將 [範本名稱 ] 設定為 [VPN]。
選取 建立。
輸入配置檔的名稱,然後選取 [ 下一步]。
將 [ 連線類型 ] 設定為 [自定義 VPN]。
在 [ 基底 VPN] 區段中,輸入下列專案:
- 線上名稱:適用於端點的 Microsoft Defender
- VPN 伺服器位址:127.0.0.1
- 驗證方法:“用戶名稱和密碼”
- 分割通道:停用
- VPN 識別符:com.microsoft.scmx
在索引鍵/ 值群組欄位中:
新增 Key SilentOnboard ,並將值設定為 True。
新增機碼 EnableGSA ,並從下表設定適當的值:
機碼 值 詳細資料 EnableGSA 沒有任何值 未啟用全域安全存取,且看不到圖格。 0 未啟用的全域安全存取,且不會顯示圖格。 1 磚是可見的,預設為 false (停用狀態)。 用戶可以使用來自應用程式的切換來啟用或停用全域安全存取。 2 磚是可見的,預設為 true (已啟用狀態)。 用戶可以覆寫。 用戶可以使用來自應用程式的切換來啟用或停用全域安全存取。 3 磚是可見的,預設為 true (已啟用狀態)。 用戶 無法 停用全域安全存取。 視需要新增更多索引鍵/值組(選擇性):
機碼 值 詳細資料 EnableGSAPrivateChannel 沒有任何值 默認會啟用全域安全存取。 用戶可以啟用或停用。 0 未啟用全域安全存取,且使用者看不到切換。 1 切換是可見的,預設為 false (停用狀態)。 用戶可以啟用或停用。 2 磚是可見的,預設為 true (已啟用狀態)。 用戶可以啟用或停用。 3 切換為可見且呈現灰色,預設為 true(已啟用狀態)。 用戶 無法 停用全域安全存取。
繼續填寫 VPN 表單:
- 自動 VPN 類型:隨選 VPN
-
隨選規則:選取 [ 新增 ],然後:
- 將 [我想要執行下列 動作] 設定為 [連線 VPN]。
- 將 [我想要限制 為 所有網域]。
若要防止終端使用者停用 VPN,請將 [封鎖使用者停用自動 VPN] 設定為 [是]。 根據預設,不會設定此設定,而且使用者只能在 [設定] 中停用 VPN。
若要允許使用者在應用程式中使用 VPN 切換,請新增機碼/值組 EnableVPNToggleInApp = TRUE。 根據預設,用戶無法從應用程式內變更切換。
選取 [ 下一步 ],並將配置檔指派給目標使用者。
在 [ 檢閱 + 建立] 區段中,確認所有資訊都正確無誤,然後選取 [ 建立]。
設定完成並與裝置同步之後,目標 iOS 裝置上就會執行下列動作:
- 適用於端點的 Microsoft Defender 會部署並以無訊息方式上線。
- 裝置會列在適用於端點的Defender入口網站中。
- 暫時通知會傳送至用戶裝置。
- 全域安全存取和其他已設定 適用於端點的 Microsoft Defender (MDE) 的功能會啟動。
確認全球安全存取顯示在 Defender 應用程式中
由於適用於 iOS 的 Global Secure Access 用戶端已與 適用於端點的 Microsoft Defender 整合,因此瞭解用戶體驗很有説明。 用戶端在上線至全球安全存取之後,會顯示在 Defender 儀表板中。
您可以在 VPN 設定檔中設定 EnableGSA 金鑰,以啟用或停用 iOS 的 全域安全存取用戶端。 視組態設定而定,終端使用者可以使用適當的切換來啟用或停用個別 服務 或用戶端本身。
![iOS 上全域安全存取用戶端的螢幕快照,其中顯示 [已啟用] 和 [已停用] 狀態畫面。](media/how-to-install-ios-client/ios-client-enabled-disabled.png)
如果用戶端無法連線,則會顯示切換以停用服務。 使用者稍後可以回來嘗試啟用用戶端。
疑難排解
- 在將租用戶上線之後,[全域安全存取] 圖格不會出現在Defender 應用程式中:
- 強制停止Defender應用程式並重新啟動。
- 存取 Private Access 應用程式會在成功進行互動式登錄之後,顯示連線逾時錯誤。
- 重載應用程式(或重新整理網頁瀏覽器)。
相關內容
- iOS 上的 適用於端點的 Microsoft Defender
- 使用 Microsoft Intune 在 iOS 上部署 適用於端點的 Microsoft Defender
- 適用於 macOS 的
Global Secure Access 用戶端 - Microsoft Windows 全球安全存取用戶端
- 適用於Android 的
全域安全存取用戶端