Sdílet prostřednictvím

Globální klient zabezpečeného přístupu pro macOS (Preview)

  • Článek

Klient globálního zabezpečeného přístupu, základní komponenta globálního zabezpečeného přístupu, pomáhá organizacím spravovat a zabezpečit síťový provoz na zařízeních koncových uživatelů. Hlavní rolí klienta je směrování provozu, které musí být zabezpečeno globálním zabezpečeným přístupem do cloudové služby. Veškerý ostatní provoz směřuje přímo do sítě. Profily předávání nakonfigurované na portálu určí, který provoz klient Global Secure Access směruje ke cloudové službě.

Tento článek popisuje, jak stáhnout a nainstalovat klienta globálního zabezpečeného přístupu pro macOS.

Požadavky

  • Zařízení Mac s procesorem Intel, M1, M2, M3 nebo M4 se systémem macOS verze 13 nebo novější.
  • Zařízení zaregistrované v tenantovi Microsoft Entra prostřednictvím aplikace Company Portal.
  • Tenant Microsoft Entra je připojen k Globálnímu zabezpečenému přístupu.
  • Nasazení plug-inu pro jednotné přihlašování (SSO) od Microsoft Enterprise pro zařízení Apple se doporučuje pro dosažení SSO zkušenosti na základě přihlášeného uživatele do firemního portálu.
  • Připojení k internetu.

Stažení klienta

Nejnovější verze klienta globálního zabezpečeného přístupu je k dispozici ke stažení z Centra pro správu Microsoft Entra.

  1. Přihlaste se do centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
  2. Přejděte na Globální zabezpečený přístup>Connect>Klient ke stažení.
  3. Vyberte klienta ke stažení. snímek obrazovky pro stažení klienta se zvýrazněným tlačítkem Stáhnout klienta

Instalace klienta globálního zabezpečeného přístupu

Automatizovaná instalace

Pro bezobslužnou instalaci použijte následující příkaz. Nahraďte cestu k souboru podle odpovídajícího umístění staženého souboru .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Klient používá systémová rozšíření a transparentní proxy aplikace, které je potřeba schválit během instalace. Pokud chcete bezobslužné nasazení bez výzvy koncového uživatele povolit tyto komponenty, můžete nasadit zásadu pro automatické schvalování komponent.

Povolení systémových rozšíření prostřednictvím správy mobilních zařízení (MDM)

Následující pokyny jsou určené pro Microsoft Intune a můžete je přizpůsobit různým MDM:

  1. V Centru pro správu Microsoft Intune vyberte Zařízení>Spravovat zařízení>Zásady konfigurace>>Vytvořit>Nové zásady.
  2. Vytvořte profil pro platformu macOS na základě šablony typu Rozšíření. Vyberte Vytvořit. snímek obrazovky s formulářem Vytvořit profil a se zvýrazněnou platformou macOS, typem profilu Šablony a šablonou Rozšíření
  3. Na kartě Základy zadejte název nového profilu a klikněte na Další.
  4. Na kartě Nastavení konfigurace zadejte identifikátor sady a identifikátor týmu těchto dvou rozšíření podle následující tabulky. Vyberte Další.
Identifikátor sady Identifikátor týmu
com.microsoft.naas.globalsecure.tunnel-df UBF8T346G9
com.microsoft.naas.globalsecure-df UBF8T346G9
  1. Dokončete vytváření profilu přiřazením uživatelů a zařízení podle svých potřeb.

Povolit transparentní proxy pro aplikace prostřednictvím MDM

Následující pokyny jsou určené pro Microsoft Intune a můžete je přizpůsobit různým MDM:

  1. V Centru pro správu Microsoft Intune vyberte Zařízení>Spravovat zařízení>Zásady konfigurace>>Vytvořit>Nové zásady.
  2. Vytvořte profil pro platformu macOS na základě šablony typu Vlastní a vyberte Vytvořit. cs-CZ: Snímek obrazovky formuláře Vytvořit profil, se zvýrazněnou platformou macOS, typem profilu Šablony a vlastní šablonou.
  3. Na kartě Základy zadejte pro profil název. image.png
  4. Na kartě Nastavení konfigurace zadejte název vlastního konfiguračního profilu.
  5. Ponechte kanál pro nasazení nastavený na "Kanál zařízení".
  6. Nahrajte soubor .xml, který obsahuje následující data:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadDescription</key>
    <string>Ttransparent proxy settings</string>
    <key>PayloadDisplayName</key>
    <string>Global Secure Access Client - AppProxy</string>
    <key>PayloadIdentifier</key>
    <string>com.microsoft.naas.globalsecure-df.</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>68C6A9A4-ECF8-4FB7-BA00-291610F998D6</string>
    <key>PayloadVersion</key>
    <real>1</real>
    <key>TransparentProxy</key>
    <dict>
        <key>AuthName</key>
        <string>NA</string>
        <key>AuthPassword</key>
        <string>NA</string>
        <key>AuthenticationMethod</key>
        <string>Password</string>
        <key>ProviderBundleIdentifier</key>
        <string>com.microsoft.naas.globalsecure.tunnel-df</string>
        <key>RemoteAddress</key>
        <string>100.64.0.0</string>
        <key>ProviderDesignatedRequirement</key>
        <string>identifier &quot;com.microsoft.naas.globalsecure.tunnel-df&quot; and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
        <key>Order</key>
        <string>1</string>
    </dict>
    <key>UserDefinedName</key>
    <string>Global Secure Access Client - AppProxy</string>
    <key>VPNSubType</key>
    <string>com.microsoft.naas.globalsecure.tunnel-df</string>
    <key>VPNType</key>
    <string>TransparentProxy</string>
</dict>
</plist>

snímek obrazovky karty s nastaveními konfigurace, který zobrazuje část dat .xml

  1. Dokončete vytváření profilu přiřazením uživatelů a zařízení podle svých potřeb.

Ruční interaktivní instalace

Ruční instalace klienta globálního zabezpečeného přístupu:

  1. Spusťte instalační soubor GlobalSecureAccessClient.pkg. Spustí se průvodce Instalace. Postupujte podle pokynů.

  2. V kroku Úvod vyberte Pokračovat.

  3. V kroku Licence vyberte Pokračovat a poté vyberte Souhlasím k přijetí licenční smlouvy. snímek obrazovky s průvodcem instalací v kroku SumLicense zobrazující automaticky otevírané okno licenční smlouvy se softwarem.

  4. V kroku Instalace vyberte Nainstalovat.

  5. Na kroku Souhrn, po dokončení instalace, vyberte Zavřít.

  6. Povolte rozšíření globálního systému zabezpečeného přístupu.

    1. V dialogovém okně System Extension Blocked vyberte Otevřít nastavení systému.
      Snímek obrazovky dialogového okna s názvem 'Blokované rozšíření systému', kde je zvýrazněna možnost 'Otevřít nastavení systému'

    2. Povolte rozšíření klientského systému globálního zabezpečeného přístupu výběrem možnosti Povolit. snímek obrazovky s nastavením systému, otevřete možnosti Ochrany osobních údajů & Zabezpečení se zprávou o blokované aplikaci se zvýrazněným tlačítkem Povolit.

    3. V dialogovém okně Ochrana osobních údajů & Zabezpečení zadejte uživatelské jméno a heslo a ověřte schválení rozšíření systému. Pak vyberte Upravit nastavení.
      Snímek obrazovky vyskakovacího okna Ochrana osobních údajů a zabezpečení & s žádostí o přihlašovací údaje a zvýrazněným tlačítkem Změnit nastavení

    4. Dokončete proces tak, že vyberete Povolit, aby klient globálního zabezpečeného přístupu mohl přidávat konfigurace proxy serveru.
      Snímek obrazovky klienta služby Globálního zabezpečeného přístupu chce přidat konfigurace proxy se zvýrazněným tlačítkem Povolit.

  7. Po dokončení instalace se může zobrazit výzva k přihlášení k Microsoft Entra.

Poznámka

Pokud je nasazen modul plug-in jednotného přihlašování Microsoft Enterprise pro zařízení Apple, výchozím chováním je použití jednotného přihlašování s přihlašovacími údaji zadanými na portálu společnosti.

  1. Na hlavním panelu systému se zobrazí ikona Globální zabezpečený přístup – Připojená označující úspěšné připojení ke globálnímu zabezpečenému přístupu.
    Snímek obrazovky hlavního panelu systému se zvýrazněnou ikonou Globálního zabezpečeného přístupu – připojeno

Upgrade klienta globálního zabezpečeného přístupu

Instalační program klienta podporuje upgrady. Pomocí průvodce instalací můžete nainstalovat novou verzi na zařízení, na kterém je aktuálně spuštěná předchozí verze klienta.

V případě tichého upgradu použijte následující příkaz.
Zadejte svou cestu k souboru na základě umístění, kam byl soubor .pkg stažen.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Odinstalace klienta globálního zabezpečeného přístupu

Chcete-li ručně odinstalovat klienta globálního zabezpečeného přístupu, použijte následující příkaz.

sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall

Pokud používáte MDM, odinstalujte klienta pomocí MDM.

Akce klienta

Pokud chcete zobrazit dostupné akce nabídky klienta, klikněte pravým tlačítkem myši na ikonu hlavního panelu systému Global Secure Access.
snímek obrazovky se seznamem akcí klienta globálního zabezpečeného přístupu

Akce Popis
Zakázat Zakáže klienta, dokud ho uživatel znovu nezavolí. Když uživatel klienta zakáže, zobrazí se výzva k zadání obchodního odůvodnění a opětovnému zadání přihlašovacích údajů. Obchodní odůvodnění se zaprotokoluje.
Povolit Umožní klienta.
pozastavit Pozastaví klienta po dobu 10 minut, dokud uživatel neobnoví klienta, nebo dokud se zařízení nerestartuje. Když uživatel pozastaví klienta, zobrazí se výzva k zadání obchodního odůvodnění a opětovnému zadání přihlašovacích údajů. Obchodní odůvodnění se zaprotokoluje.
životopis Obnoví pozastaveného klienta.
Restartovat Restartuje klienta.
Sbírej protokoly Shromažďuje protokoly klientů a archivuje je v souboru ZIP pro sdílení s podporou Microsoftu pro účely šetření.
Nastavení Otevře nástroj Nastavení a Rozšířená diagnostika.
o Zobrazuje informace týkající se verze produktu.

Stav klienta v ikoně na hlavním panelu systému

Ikona Zpráva Popis
Globální klient zabezpečeného přístupu Klient inicializuje a kontroluje připojení ke globálnímu zabezpečenému přístupu.
Globální klient zabezpečeného přístupu – připojeno Klient je připojený ke globálnímu zabezpečenému přístupu.
Globální klient zabezpečeného přístupu – Zakázáno Klient je zakázán, protože služby jsou offline nebo uživatel zakázal klienta.
Globální klient zabezpečeného přístupu – Odpojeno Klientovi se nepodařilo připojit ke globálnímu zabezpečenému přístupu.
Globální klient zabezpečeného přístupu – Některé kanály jsou nedostupné Klient je částečně připojený ke globálnímu zabezpečenému přístupu (to znamená, že připojení k alespoň jednomu kanálu selhalo: Microsoft Entra, Microsoft 365, privátní přístup, internetový přístup).
Globální klient zabezpečeného přístupu – Zakázáno vaší organizací Vaše organizace zakázala klienta (to znamená, že všechny profily přesměrování provozu byly zakázány).
Globální zabezpečený přístup – Privátní přístup je zakázaný Uživatel na tomto zařízení zakázal privátní přístup.
Globální zabezpečený přístup – nejde se připojit k internetu Klient nemohl rozpoznat připojení k internetu. Zařízení je buď připojené k síti, která nemá připojení k internetu, nebo síť, která vyžaduje přihlášení k portálu v kaptivním přístupu.

Nastavení a řešení potíží

Okno Nastavení umožňuje nastavit různé konfigurace a provádět některé pokročilé akce. Okno nastavení obsahuje dvě karty:

Nastavení

Možnost Popis
Telemetrie úplná diagnostika Odesílá do Microsoftu úplná telemetrická data za účelem vylepšení aplikací.
Povolení podrobného protokolování Umožňuje podrobné protokolování a záznam sítě při exportu záznamů do souboru ZIP.

Snímek obrazovky se zobrazením nastavení a řešení potíží s macOS a vybranou kartou Nastavení

Řešení problémů

Akce Popis
Získat nejnovější zásady Stáhne a použije nejnovější profil předávání pro vaši organizaci.
Vymazat dat uložených v mezipaměti Odstraní interní data klienta uložená v mezipaměti související s ověřováním, profilem předávání, plně kvalifikovanými názvy domén a IP adresami.
Export protokolů Exportuje protokoly a konfigurační soubory související s klientem do souboru ZIP.
nástroje pro pokročilou diagnostiku Pokročilý nástroj pro monitorování a řešení potíží s chováním klienta.

Snímek obrazovky se zobrazením nastavení a řešení potíží s macOS a vybranou kartou Řešení potíží

Známá omezení

Mezi známá omezení aktuální verze klienta globálního zabezpečeného přístupu patří:

Secure Domain Name System (DNS)

Pokud je v prohlížeči nebo v systému macOS povolený zabezpečený DNS a server DNS podporuje zabezpečený DNS, klient netuneluje provoz nastavený tak, aby byl získán pomocí FQDN (plně kvalifikovaným názvem domény). (Síťový provoz získaný IP adresou není ovlivněný a je tunelován podle profilu předávání.) Pokud chcete zmírnit problém se zabezpečeným DNS, zakažte zabezpečené DNS, nastavte server DNS, který nepodporuje zabezpečené DNS, nebo vytvořte pravidla na základě IP adresy.

Protokol IPv6 není podporován.

Klient tuneluje pouze provoz IPv4. Klient nezíská provoz IPv6, takže se ten provoz směruje přímo do sítě. Abyste měli jistotu, že se veškerý provoz směruje do globálního zabezpečeného přístupu, zakažte protokol IPv6.

Záložní připojení

Pokud dojde k chybě připojení ke cloudové službě, klient se vrátí k přímému připojení k internetu nebo blokuje připojení na základě posílení zabezpečení hodnoty odpovídajícího pravidla v profilu předávání.

Geografická poloha zdrojové IP adresy

U síťového provozu, který je tunelovaný do cloudové služby, aplikační server (web) zjistí zdrojovou IP adresu připojení jako IP adresu hraniční sítě (a ne jako IP adresu uživatelského zařízení). Tento scénář může mít vliv na služby, které se spoléhají na geografickou polohu.

Spropitné

Pokud chcete, aby Office 365 a Entra detekují skutečnou zdrojovou IP adresu zařízení, zvažte povolení obnovení zdrojové IP adresy.

Podpora virtualizace s UTM

  • Pokud je síť v režimu přemostění a na hostitelském počítači je nainstalován klient Globálního zabezpečeného přístupu:
    • Pokud je na virtuálním počítači nainstalovaný klient globálního zabezpečeného přístupu, bude síťový provoz virtuálního počítače podléhat jeho místním zásadám. Zásady hostitelského počítače nemají vliv na profil předávání na virtuálním počítači.
    • Pokud klient globálního zabezpečeného přístupu není nainstalovaný na virtuálním počítači, síťový provoz virtuálního počítače se vynechá.
  • Klient globálního zabezpečeného přístupu nepodporuje síťový sdílený režim, protože může blokovat síťový provoz virtuálního počítače.
  • Pokud je síť v sdíleném režimu, můžete na virtuální počítač se systémem macOS nainstalovat klienta globálního zabezpečeného přístupu, pokud se klient také nenainstaluje na hostitelský počítač.

QuIC není podporován pro internetový přístup

Vzhledem k tomu, že quIC zatím není podporovaný pro Internet Access, není možné tunelovat provoz na porty 80 UDP a 443 UDP.

Spropitné

QuIC se v současné době podporuje v privátním přístupu a úlohách Microsoftu 365. Správci můžou v prohlížečích zakázat protokol QUIC a aktivovat klienty pro návrat k protokolu HTTPS přes protokol TCP, který je plně podporovaný v internetovém accessu. Další informace najdete v tématu QUIC není podporován pro přístup k internetu.