Teilen über

Client für globalen sicheren Zugriff für macOS (Vorschau)

  • Artikel

Wichtig

Der Client für globalen sicheren Zugriff für macOS befindet sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts. Wesentliche Änderungen vor dem Release sind vorbehalten. Microsoft übernimmt hinsichtlich der hier bereitgestellten Informationen keine Gewährleistungen, weder ausdrücklich noch konkludent.

Der Client für globalen sicheren Zugriff, ein wesentlicher Bestandteil des globalen sicheren Zugriffs, hilft Organisationen beim Verwalten und Sichern des Netzwerkdatenverkehrs auf Endbenutzergeräten. Die Hauptaufgabe des Clients besteht darin, Datenverkehr weiterzuleiten, der durch den globalen sicheren Zugriff auf den Clouddienst gesichert werden muss. Der gesamte andere Datenverkehr wird direkt an das Netzwerk übertragen. Die Weiterleitungsprofile, die im Portal konfiguriert sind, bestimmen, welchen Datenverkehr der Global Secure Access-Client an den Clouddienst leitet.

In diesem Artikel wird beschrieben, wie Sie den Client für globalen sicheren Zugriff für macOS herunterladen und installieren.

Voraussetzungen

  • Ein Mac-Gerät mit einem Intel-, M1-, M2-, M3- oder M4-Prozessor mit macOS Version 13 oder höher.
  • Ein Gerät, das im Microsoft Entra-Mandanten mithilfe des Firmenportals registriert ist.
  • Ein Microsoft Entra-Mandant, der in den globalen sicheren Zugriff integriert ist.
  • Die Bereitstellung des Microsoft Enterprise Single Sign-On (SSO)-Plug-Ins für Apple-Geräte wird empfohlen, um ein einheitliches SSO-Erlebnis für Benutzende zu gewährleisten, die beim Unternehmensportal angemeldet sind.
  • Eine Internetverbindung.

Herunterladen des Clients

Die neueste Version des Clients für globalen sicheren Zugriff steht zum Herunterladen über das Microsoft Entra Admin Center zur Verfügung.

  1. Melden Sie sich im Microsoft Entra Admin Center als Global Secure Access-Administrator an.
  2. Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Client herunterladen.
  3. Wählen Sie Client herunterladen aus. Screenshot: Client-Download-Bildschirm mit hervorgehobener Client-Download-Schaltfläche.

Den Global Secure Access-Client installieren

Automatische Installation

Verwenden Sie den folgenden Befehl für die stille Installation. Ersetzen Sie Ihren Dateipfad entsprechend dem Speicherort des Downloads der PKG-Datei.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Der Client verwendet Systemerweiterungen und einen transparenten Anwendungsproxy, der während der Installation genehmigt werden muss. Für eine automatische Bereitstellung ohne Aufforderung des Endbenutzers, diese Komponenten zuzulassen, können Sie eine Richtlinie bereitstellen, um die Komponenten automatisch mit der Verwaltung mobiler Geräte zu genehmigen.

Zulassen von Systemerweiterungen über die Verwaltung mobiler Geräte (Mobile Device Management, MDM)

Die folgenden Instruktionen gelten für Microsoft Intune und Sie können sie so anpassen, dass sie auch für andere MDMs geeignet sind:

  1. Wählen Sie im Microsoft Intune Admin Center Geräte>Verwalten von Geräten>Konfiguration>Richtlinien>Erstellen>Neue Richtlinie aus.
  2. Erstellen Sie ein Profil mit einer Plattform von macOS und einem Profiltyp, der auf Einstellungskatalog festgelegt ist. Klicken Sie auf Erstellen. Screenshot des Formulars „Erstellen eines Profils“ mit macOS-Plattform und Einstellungskatalog-Profiltyp hervorgehoben.
  3. Geben Sie auf der Registerkarte Grundlagen einen Namen für das neue Profil ein, und wählen Sie Weiter aus.
  4. Wählen Sie auf der Registerkarte Konfigurationseinstellungen die Option + Einstellungen hinzufügen aus.
  5. Erweitern Sie in der Einstellungsauswahldie Kategorie Systemkonfiguration, und wählen Sie Systemerweiterungenaus.
  6. Wählen Sie aus der Unterkategorie Systemerweiterungen die zulässigen Systemerweiterungen aus. Screenshot der Einstellungsauswahl mit hervorgehobener Kategorie- und Unterkategorieauswahl.
  7. Schließen Sie die Einstellungsauswahl.
  8. Wählen Sie in der Liste der zulässigen Systemerweiterungendie Option + Bearbeiten der Instanzaus.
  9. Konfigurieren Sie im Dialogfeld Instanz konfigurieren die Nutzlasteinstellungen für Systemerweiterungen mit den folgenden Einträgen:
Bündelbezeichner Team-ID
com.microsoft.naas.globalsecure.tunnel-df UBF8T346G9
com.microsoft.naas.globalsecure-df UBF8T346G9
  1. Wählen Sie Speichern und anschließend Weiter aus.
  2. Fügen Sie auf der Registerkarte Bereichstags nach Bedarf Tags hinzu.
  3. Weisen Sie auf der Registerkarte Aufgaben das Profil einer Gruppe von macOS-Geräten oder -Benutzern zu.
  4. Überprüfen Sie auf der Registerkarte Überprüfen+ Erstellen die Konfiguration, und wählen Sie Erstellen aus.

Transparenten Anwendungsproxy über MDM zulassen

Die folgenden Instruktionen gelten für Microsoft Intune und Sie können sie so anpassen, dass sie auch für andere MDMs geeignet sind:

  1. Wählen Sie im Microsoft Intune Admin Center Geräte>Verwalten von Geräten>Konfiguration>Richtlinien>Erstellen>Neue Richtlinie aus.
  2. Erstellen Sie ein Profil für die macOS-Plattform basierend auf einer Vorlage vom Typ Benutzerdefiniert und wählen Sie Erstellen aus. Screenshot: Formular „Profil erstellen“ mit der macOS-Plattform, dem Profiltyp „Vorlagen“ und der hervorgehobenen benutzerdefinierten Vorlage.
  3. Geben Sie auf der Registerkarte Grundlagen einen Namen für die Richtlinie ein.
  4. Geben Sie auf der Registerkarte Konfigurationseinstellungen einen benutzerdefinierten Konfigurationsprofilnamen ein.
  5. Behalten Sie den Bereitstellungskanal bei, der auf „Gerätekanal“ festgelegt ist.
  6. Laden Sie eine .xml-Datei hoch, die die folgenden Daten enthält:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
	<dict>
		<key>PayloadUUID</key>
		<string>87cbb424-6af7-4748-9d43-f1c5dda7a0a6</string>
		<key>PayloadType</key>
		<string>Configuration</string>
		<key>PayloadOrganization</key>
		<string>Microsoft Corporation</string>
		<key>PayloadIdentifier</key>
		<string>com.microsoft.naas.globalsecure-df</string>
		<key>PayloadDisplayName</key>
		<string>Global Secure Access Proxy Configuration</string>
		<key>PayloadDescription</key>
		<string>Add Global Secure Access Proxy Configuration</string>
		<key>PayloadVersion</key>
		<integer>1</integer>
		<key>PayloadEnabled</key>
		<true/>
		<key>PayloadRemovalDisallowed</key>
		<true/>
		<key>PayloadScope</key>
		<string>System</string>
		<key>PayloadContent</key>
		<array>
			<dict>
				<key>PayloadUUID</key>
				<string>04e13063-2bb8-4b72-b1ed-45290f91af68</string>
				<key>PayloadType</key>
				<string>com.apple.vpn.managed</string>
				<key>PayloadOrganization</key>
				<string>Microsoft Corporation</string>
				<key>PayloadIdentifier</key>
				<string>com.microsoft.naas.globalsecure-df</string>
				<key>PayloadDisplayName</key>
				<string>Global Secure Access Proxy Configuration</string>
				<key>PayloadDescription</key>
				<string/>
				<key>PayloadVersion</key>
				<integer>1</integer>
				<key>TransparentProxy</key>
				<dict>
					<key>AuthenticationMethod</key>
					<string>Password</string>
					<key>Order</key>
					<integer>1</integer>
					<key>ProviderBundleIdentifier</key>
					<string>com.microsoft.naas.globalsecure.tunnel-df</string>
					<key>ProviderDesignatedRequirement</key>
					<string>identifier "com.microsoft.naas.globalsecure.tunnel-df" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
					<key>ProviderType</key>
					<string>app-proxy</string>
					<key>RemoteAddress</key>
					<string>100.64.0.0</string>
				</dict>
				<key>UserDefinedName</key>
				<string>Global Secure Access Proxy Configuration</string>
				<key>VPNSubType</key>
				<string>com.microsoft.naas.globalsecure-df</string>
				<key>VPNType</key>
				<string>TransparentProxy</string>
			</dict>
		</array>
	</dict>
</plist>
  1. Schließen Sie die Erstellung des Profils ab, indem Sie Benutzer und Geräte entsprechend Ihren Anforderungen zuweisen.

Manuelle interaktive Installation

So installieren Sie den Client für globalen sicheren Zugriff manuell:

  1. Führen Sie die GlobalSecureAccessClient.pkg Setup-Datei aus. Der Installations-Assistent wird gestartet. Befolgen Sie die Anweisungen.

  2. Wählen Sie im Schritt Einführung Weiter aus.

  3. Wählen Sie im Schritt Lizenz die Option Weiter und dann die Option Zustimmen aus, um den Lizenzvertrag zu akzeptieren. Screenshot des Installationsassistenten im Schritt

  4. Wählen Sie im Schritt Installation Installieren aus.

  5. Wählen Sie im Schritt Zusammenfassung nach Abschluss der Installation Schließen aus.

  6. Erlauben Sie die Systemerweiterung für den globalen sicheren Zugriff.

    1. Wählen Sie im Dialogfeld Systemerweiterung blockiert das Element Systemeinstellungen öffnen aus.
      Screenshot des Dialogfelds „Systemerweiterung blockiert“ mit hervorgehobener Option „Systemeinstellungen öffnen“.

    2. Erlauben Sie die Systemerweiterung für den Global Secure Access-Client, indem Sie Zulassen auswählen. Screenshot der Systemeinstellungen mit geöffneten Optionen für „Datenschutz und Sicherheit“, wobei eine Meldung einer blockierten Anwendung angezeigt wird und die Schaltfläche „Zulassen“ hervorgehoben ist.

    3. Geben Sie im Dialogfeld Datenschutz und Sicherheit Ihren Benutzernamen und Ihr Kennwort ein, um die Genehmigung der Systemerweiterung zu überprüfen. Wählen Sie dann Einstellungen ändern aus.
      Screenshot des Popups „Datenschutz und Sicherheit“, in dem Anmeldeinformationen angefordert werden und die Schaltfläche „Einstellungen ändern“ hervorgehoben ist.

    4. Schließen Sie den Vorgang ab, indem Sie Zulassen auswählen, um den Global Secure Access-Client zum Hinzufügen von Proxykonfigurationen zu aktivieren.
      Der Screenshot des Global Secure Access-Clients zeigt ein Popup zum Hinzufügen von Proxykonfigurationen, in dem die Schaltfläche „Zulassen“ hervorgehoben ist.

  7. Nach Abschluss der Installation werden Sie möglicherweise aufgefordert, sich bei Microsoft Entra anzumelden.

Hinweis

Wenn das Microsoft Enterprise SSO-Plug-In für Apple-Geräte bereitgestellt wird, wird standardmäßig die einmalige Anmeldung mit den im Unternehmensportal eingegebenen Anmeldeinformationen verwendet.

  1. Das Symbol Global Secure Access – Connected erscheint im Systemtray und zeigt eine erfolgreiche Verbindung mit dem Global Secure Access an.
    Screenshot: Infobereich mit hervorgehobenem Symbol „Globaler sicherer Zugriff – Verbunden“.

Upgrade des Clients für globalen sicheren Zugriff

Das Clientinstallationsprogramm unterstützt Upgrades. Sie können den Installations-Assistenten verwenden, um eine neue Version auf einem Gerät zu installieren, auf dem derzeit eine frühere Clientversion ausgeführt wird.

Verwenden Sie für ein stilles Upgrade den folgenden Befehl.
Ersetzen Sie Ihren Dateipfad entsprechend dem Speicherort des Downloads der PKG-Datei.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Deinstallieren des Global Secure Access-Clients

Um den Client für globalen sicheren Zugriff manuell zu deinstallieren, verwenden Sie den folgenden Befehl.

sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall

Wenn Sie ein MDM verwenden, deinstallieren Sie den Client mit dem MDM.

Clientaktionen

Um die verfügbaren Aktionen des Clientmenüs anzuzeigen, klicken Sie mit der rechten Maustaste auf das Taskleistensymbol von Global Secure Access.
Screenshot der Liste der Aktionen des Clients für globalen sicheren Zugriff.

Aktion Beschreibung
Deaktivieren Deaktiviert den Client, bis der Benutzer ihn erneut aktiviert. Wenn der Benutzer den Client deaktiviert, wird er aufgefordert, eine geschäftliche Begründung und seine Anmeldeinformationen einzugeben. Die geschäftliche Begründung wird protokolliert.
Aktivieren Aktiviert den Client.
Anhalten Hält den Client entweder für 10 Minuten an, bis der Benutzende den Client fortsetzt, oder bis das Gerät wieder gestartet wird. Wenn der Benutzer den Client angehalten hat, wird er aufgefordert, eine geschäftliche Begründung und seine Anmeldeinformationen einzugeben. Die geschäftliche Begründung wird protokolliert.
Fortsetzen Nimmt den angehaltenen Client wieder auf.
Neu starten Startet den Client neu.
Sammle Logdateien Sammelt Clientprotokolle und archiviert sie in einer ZIP-Datei, um sie dem Microsoft-Support für Untersuchungen freizugeben.
Einstellungen Öffnet das Tool „Einstellungen und Erweiterte Diagnose“.
Info Zeigt Informationen zur Version des Produkts an.

Clientstatus im Infobereichssymbol

Symbol Nachricht Beschreibung
Client für den globalen sicheren Zugriff Der Client initialisiert und überprüft seine Verbindung mit dem Global Secure Access.
Client für globalen sicheren Zugriff – Verbunden Der Client ist mit Global Secure Access verbunden.
Client für globalen sicheren Zugriff – Deaktiviert Der Client ist deaktiviert, da Dienste offline sind oder der Benutzer den Client deaktiviert hat.
Client für globalen sicheren Zugriff – Getrennt Der Client konnte keine Verbindung mit dem globalen sicheren Zugriff herstellen.
Client für globalen sicheren Zugriff – Einige Kanäle sind nicht erreichbar Der Client ist teilweise mit Globalem Sicheren Zugriff verbunden (d. h., die Verbindung zu mindestens einem Kanal ist fehlgeschlagen: Microsoft Entra, Microsoft 365, Privater Zugriff, Internetzugriff).
Client für globalen sicheren Zugriff – Von Ihrer Organisation deaktiviert Ihre Organisation hat den Client deaktiviert (d. h. alle Datenverkehrsweiterleitungsprofile sind deaktiviert).
Globaler sicherer Zugriff – Privater Zugriff ist deaktiviert Der Benutzer hat den privaten Zugriff auf diesem Gerät deaktiviert.
Globaler sicherer Zugriff – Es konnte keine Verbindung mit dem Internet hergestellt werden Der Client konnte keine Internetverbindung erkennen. Das Gerät ist entweder mit einem Netzwerk verbunden, das keine Internetverbindung hat, oder ein Netzwerk, das die Anmeldung über das Erfassungsportal erfordert.

Einstellungen und Problembehandlung

Im Fenster „Einstellungen“ können Sie verschiedene Konfigurationen festlegen und einige erweiterte Aktionen ausführen. Das Einstellungsfenster enthält zwei Registerkarten:

Einstellungen

Option Beschreibung
Vollständige Telemetrie-Diagnose Sendet vollständige Telemetriedaten zur Verbesserung der Anwendung an Microsoft.
Ausführliche Protokollierung aktivieren Ermöglicht die Sammlung von ausführlichen Protokollen und Netzwerkerfassungen beim Exportieren der Protokolle in eine ZIP-Datei.

Screenshot der Ansicht „macOS-Einstellungen und Problembehandlung“ mit ausgewählter Registerkarte „Einstellungen“.

Problembehandlung

Aktion Beschreibung
Neueste Richtlinie abrufen Lädt das neueste Weiterleitungsprofil für Ihre Organisation herunter und wendet es an.
Zwischengespeicherte Daten löschen Löscht die internen zwischengespeicherten Daten des Clients im Zusammenhang mit Authentifizierung, Weiterleitungsprofil, FQDNs und IPs.
Exportieren von Protokollen Exportiert Protokolle und Konfigurationsdateien im Zusammenhang mit dem Client in eine ZIP-Datei.
Erweitertes Diagnosetool Ein erweitertes Tool zum Überwachen und Problemlösen des Clientverhaltens.

Screenshot der Ansicht „macOS-Einstellungen und Problembehandlung“ mit ausgewählter Registerkarte „Problembehandlung“.

Bekannte Einschränkungen

Dieses Feature weist mindestens eine bekannte Einschränkung auf. Ausführlichere Informationen zu den bekannten Problemen und Einschränkungen dieses Features finden Sie unter Bekannten Einschränkungen für den globalen sicheren Zugriff.

Verwandte Inhalte