Cliente de Acceso global seguro para macOS (versión preliminar)

Importante

El cliente de Acceso global seguro para macOS está actualmente en VERSIÓN PRELIMINAR. Esta información está relacionada con un producto de versión preliminar que podría modificarse sustancialmente antes del lanzamiento. Microsoft no otorga ninguna garantía, explícita o implícita, con respecto a la información proporcionada aquí.

El cliente de Acceso global seguro, un componente esencial del Acceso global seguro, ayuda a las organizaciones a administrar y proteger el tráfico de red en dispositivos de usuario final. El papel principal del cliente es enrutar el tráfico que necesita ser asegurado por Global Secure Access hacia el servicio en la nube. El resto del tráfico va directamente a la red. Los perfiles de reenvío, configurados en el portal, determinan el tráfico que el cliente de Acceso global seguro enruta al servicio en la nube.

En este artículo se describe cómo descargar e instalar el cliente de Acceso global seguro para macOS.

Requisitos previos

• Un dispositivo Mac con un procesador Intel, M1, M2, M3 o M4 que ejecuta la versión 13 de macOS o posterior.
• Un dispositivo registrado en el inquilino de Microsoft Entra mediante el Portal de empresa.
• Un inquilino de Microsoft Entra incorporado al Acceso seguro global.
• Se recomienda la implementación del complemento de inicio de sesión único (SSO) de Microsoft Enterprise para dispositivos Apple para mejorar la experiencia de SSO basada en el usuario que ha iniciado sesión en el portal de la empresa.
• Una conexión a Internet.

Descargar el cliente

La versión más reciente del cliente de Acceso global seguro se puede descargar desde el Centro de administración de Microsoft Entra.

1. Inicie sesión en el centro de administración de Microsoft Entra como administrador de acceso seguro global.
2. Vaya a Acceso global seguro>Conectar>Descarga de cliente.
3. Seleccione Descargar cliente.

Instalar el cliente de Acceso global seguro

Instalación automatizada

Use el siguiente comando para la instalación silenciosa. Sustituya la ruta de archivo según la ubicación de descarga del archivo .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

El cliente usa extensiones del sistema y un proxy de aplicación transparente que debe aprobarse durante la instalación. Para una implementación silenciosa sin pedir al usuario final que permita estos componentes, puede implementar una directiva para aprobar automáticamente los componentes con la administración de dispositivos móviles.

Permitir extensiones del sistema a través de la administración de dispositivos móviles (MDM)

Las instrucciones siguientes son para Microsoft Intune y puede adaptarlas para diferentes MDM:

1. En el Centro de administración de Microsoft Intune, seleccione Dispositivos>Administrar dispositivos>Configuración>Directivas>Crear>Nueva directiva.
2. Cree un perfil con una plataforma de macOS y un tipo de perfil establecido en Catálogo de configuración. Seleccione Crear.
3. En la pestaña Aspectos básicos, escriba un nombre para el nuevo perfil y seleccione Siguiente.
4. En la pestaña Opciones de configuración, seleccione + Agregar configuración.
5. En el selector de configuración, expanda la categoría configuración del sistema y seleccione Extensiones del sistema.
6. En la subcategoría Extensiones de sistema, seleccione Extensiones de sistema permitidas.
7. Cierre el selector de ajustes .
8. En la lista de Extensiones de sistema permitidas, seleccione + Editar instancia.
9. En el cuadro de diálogo Configurar instancia, configure la configuración de carga útil de extensiones del sistema con las siguientes entradas:

Identificador de paquete	Identificador de equipo
com.microsoft.naas.globalsecure.tunnel-df	UBF8T346G9
com.microsoft.naas.globalsecure-df	UBF8T346G9

10. Seleccione Guardar y Siguiente.
11. En la pestaña Etiquetas de ámbito, agregue etiquetas según corresponda.
12. En la pestaña Tareas, asigne el perfil a un grupo de dispositivos macOS o usuarios.
13. En la pestaña Revisar y crear, revise la configuración y seleccione Crear.

Permitir proxy de aplicación transparente a través de MDM

Las instrucciones siguientes son para Microsoft Intune y puede adaptarlas para diferentes MDM:

1. En el Centro de administración de Microsoft Intune, seleccione Dispositivos>Administrar dispositivos>Configuración>Directivas>Crear>Nueva directiva.
2. Cree un perfil para la plataforma macOS basada en una plantilla de tipo Custom y seleccione Crear.
3. En la pestaña Aspectos básicos, escriba un Nombre para el perfil.
4. En la pestaña Ajustes de configuración, introduzca un Nombre de perfil de configuración personalizado.
5. Mantenga Canal de implementación en “Canal de dispositivo”.
6. Cargue un archivo .xml que contenga los datos siguientes:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
	<dict>
		<key>PayloadUUID</key>
		<string>87cbb424-6af7-4748-9d43-f1c5dda7a0a6</string>
		<key>PayloadType</key>
		<string>Configuration</string>
		<key>PayloadOrganization</key>
		<string>Microsoft Corporation</string>
		<key>PayloadIdentifier</key>
		<string>com.microsoft.naas.globalsecure-df</string>
		<key>PayloadDisplayName</key>
		<string>Global Secure Access Proxy Configuration</string>
		<key>PayloadDescription</key>
		<string>Add Global Secure Access Proxy Configuration</string>
		<key>PayloadVersion</key>
		<integer>1</integer>
		<key>PayloadEnabled</key>
		<true/>
		<key>PayloadRemovalDisallowed</key>
		<true/>
		<key>PayloadScope</key>
		<string>System</string>
		<key>PayloadContent</key>
		<array>
			<dict>
				<key>PayloadUUID</key>
				<string>04e13063-2bb8-4b72-b1ed-45290f91af68</string>
				<key>PayloadType</key>
				<string>com.apple.vpn.managed</string>
				<key>PayloadOrganization</key>
				<string>Microsoft Corporation</string>
				<key>PayloadIdentifier</key>
				<string>com.microsoft.naas.globalsecure-df</string>
				<key>PayloadDisplayName</key>
				<string>Global Secure Access Proxy Configuration</string>
				<key>PayloadDescription</key>
				<string/>
				<key>PayloadVersion</key>
				<integer>1</integer>
				<key>TransparentProxy</key>
				<dict>
					<key>AuthenticationMethod</key>
					<string>Password</string>
					<key>Order</key>
					<integer>1</integer>
					<key>ProviderBundleIdentifier</key>
					<string>com.microsoft.naas.globalsecure.tunnel-df</string>
					<key>ProviderDesignatedRequirement</key>
					<string>identifier "com.microsoft.naas.globalsecure.tunnel-df" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
					<key>ProviderType</key>
					<string>app-proxy</string>
					<key>RemoteAddress</key>
					<string>100.64.0.0</string>
				</dict>
				<key>UserDefinedName</key>
				<string>Global Secure Access Proxy Configuration</string>
				<key>VPNSubType</key>
				<string>com.microsoft.naas.globalsecure-df</string>
				<key>VPNType</key>
				<string>TransparentProxy</string>
			</dict>
		</array>
	</dict>
</plist>

7. Complete la creación del perfil asignando usuarios y dispositivos según sus necesidades.

Instalación interactiva manual

Para instalar el cliente de Acceso global seguro manualmente:

1. Ejecute el archivo de instalación GlobalSecureAccessClient.pkg. Se inicia el asistente de Instalación. Siga las indicaciones.

2. En el paso Introducción, seleccione Continuar.

3. En el paso Licencia, seleccione Continuar y, a continuación, seleccione Aceptar para aceptar el acuerdo de licencia.

4. En el paso Instalación, seleccione Instalar.

5. En el paso Resumen, cuando finalice la instalación, seleccione Cerrar.

6. Permitir la extensión del sistema de Acceso global seguro.

   1. En el cuadro de diálogo Extensión del sistema bloqueada, seleccione Abrir configuración del sistema.
      

   2. Permita la extensión del sistema cliente de Acceso global seguro seleccionando Permitir.

   3. En el cuadro de diálogo Privacidad y seguridad, escriba el nombre de usuario y la contraseña para validar la aprobación de la extensión del sistema. A continuación, seleccione Modificar Configuración.
      

   4. Complete el proceso seleccionando Permitir para habilitar el cliente de Acceso Seguro Global y agregar configuraciones de proxy.
      

7. Una vez completada la instalación, es posible que se le pida que inicie sesión en Microsoft Entra.

Nota

Si se implementa el complemento Microsoft Enterprise SSO para dispositivos Apple, el comportamiento predeterminado es usar el inicio de sesión único con las credenciales especificadas en el portal de empresa.

8. El icono Global Secure Access - Connected aparece en la bandeja del sistema, indicando una conexión exitosa a Global Secure Access.
   

Actualizar el cliente de Acceso global seguro

El instalador de cliente admite actualizaciones. Puede usar el asistente para la instalación para instalar una nueva versión en un dispositivo que ejecuta actualmente una versión de cliente anterior.

Para una actualización silenciosa, use el siguiente comando.
Sustituya la ruta de archivo según la ubicación de descarga del archivo .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Desinstalar el cliente de Acceso global seguro

Para desinstalar manualmente el cliente de Acceso global seguro, use el siguiente comando.

sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall

Si está utilizando una MDM, desinstale el cliente mediante la MDM.

Acciones de cliente

Para ver las acciones del menú de cliente disponibles, haga clic con el botón derecho en el icono de la bandeja del sistema del Acceso global seguro.

Acción	Descripción
Deshabilitar	Deshabilita el cliente hasta que el usuario lo vuelva a habilitar. Cuando el usuario deshabilite el cliente, se le pedirá que escriba una justificación comercial y vuelva a escribir sus credenciales de inicio de sesión. Se ha registrado la justificación comercial.
Habilitación	Habilita el cliente.
Pausar	Pausa el cliente durante 10 minutos, hasta que el usuario reanude el cliente o hasta que se reinicie el dispositivo. Cuando el usuario pausa el cliente, se le pedirá que escriba una justificación comercial y vuelva a escribir sus credenciales de inicio de sesión. Se ha registrado la justificación comercial.
Reanudar	Reanuda el cliente en pausa.
Reiniciar	Reinicia el cliente.
Recopilación de registros	Recopila los registros de cliente y los archiva en un archivo ZIP para compartirlos con el Soporte técnico de Microsoft para su investigación.
Configuración	Abre la herramienta de Configuración y Diagnóstico avanzado.
Información	Muestra información sobre la versión del producto.

Estado del cliente en el icono de la bandeja del sistema

Icono	Mensaje	Descripción
	Cliente de Acceso global seguro	El cliente está inicializando y comprobando su conexión al Acceso global seguro.
	Cliente del Acceso global seguro: conectado	El cliente está conectado al Acceso global seguro.
	Cliente del Acceso global seguro: deshabilitado	El cliente está deshabilitado porque los servicios están sin conexión o el usuario deshabilitó el cliente.
	Cliente del Acceso global seguro: desconectado	El cliente no se pudo conectar al Acceso global seguro.
	Cliente del Acceso global seguro: algunos canales no son accesibles	El cliente está parcialmente conectado a Acceso global seguro (es decir, se produjo un error en la conexión a al menos un canal: Microsoft Entra, Microsoft 365, Acceso privado, Acceso a Internet).
	Cliente del Acceso global seguro: deshabilitado por su organización	La organización deshabilitó el cliente (es decir, todos los perfiles de reenvío de tráfico están deshabilitados).
	Acceso global seguro: el acceso privado está deshabilitado	El usuario deshabilitó el acceso privado en este dispositivo.
	Acceso global seguro: no se pudo conectar a Internet	El cliente no pudo detectar una conexión a Internet. El dispositivo está conectado a una red que no tiene conexión a Internet o a una red que requiere iniciar sesión en un portal cautivo.

Configuración y solución de problemas

La ventana de Configuración permite establecer configuraciones diferentes y realizar algunas acciones avanzadas. La ventana de configuración contiene dos pestañas:

Configuración

Opción	Descripción
Diagnóstico completo de telemetría	Envía datos de telemetría completos a Microsoft para mejorar la aplicación.
Habilitar el registro detallado	Permite recopilar registros detallados y capturas de red al exportar los registros a un archivo ZIP.

Solución de problemas

Acción	Descripción
Obtener la política más reciente	Descarga y aplica el perfil de reenvío más reciente para su organización.
Borrar datos almacenados en caché	Elimina los datos almacenados en caché interna del cliente relacionados con la autenticación, el perfil de reenvío, los FQDN y las direcciones IP.
Exportar registros	Exporta registros y archivos de configuración relacionados con el cliente a un archivo ZIP.
Herramienta de Diagnóstico Avanzado	Herramienta avanzada para supervisar y solucionar problemas del comportamiento del cliente.

Restricciones conocidas

Esta característica tiene una o varias limitaciones conocidas. Para obtener información más detallada sobre los problemas conocidos y las limitaciones de esta característica, consulte Limitaciones conocidas del acceso global seguro.

Contenido relacionado

• Cliente de Acceso global seguro para Microsoft Windows
• Cliente de acceso global seguro para iOS
• Cliente de acceso global seguro para Android