Cliente de acceso seguro global para macOS (versión preliminar)
Importante
El cliente de acceso seguro global para macOS está actualmente en versión preliminar. Esta información está relacionada con un producto de versión preliminar que puede modificarse sustancialmente antes de su lanzamiento. Microsoft no ofrece ninguna garantía, expresada o implícita, con respecto a la información proporcionada aquí.
El cliente global de acceso seguro, un componente esencial de Acceso seguro global, ayuda a las organizaciones a administrar y proteger el tráfico de red en dispositivos de usuario final. El papel principal del cliente es enrutar el tráfico que necesita ser asegurado por Global Secure Access hacia el servicio en la nube. El resto del tráfico va directamente a la red. Los perfiles de reenvío , configurados en el portal, determinan el tráfico que el cliente de acceso seguro global enruta al servicio en la nube.
En este artículo se describe cómo descargar e instalar el cliente de Acceso seguro global para macOS.
Prerrequisitos
- Un dispositivo Mac con un procesador Intel, M1, M2, M3 o M4, que ejecuta macOS versión 13 o posterior.
- Un dispositivo registrado en el inquilino de Microsoft Entra mediante el Portal de empresa.
- Un inquilino de Microsoft Entra incorporado al Acceso seguro global.
- Se recomienda la implementación del complemento de inicio de sesión único (SSO) de Microsoft Enterprise para dispositivos Apple para mejorar la experiencia de SSO basada en el usuario que ha iniciado sesión en el portal de la empresa.
- Una conexión a Internet.
Descarga del cliente
La versión más reciente del cliente de Acceso seguro global está disponible para descargarse desde el Centro de administración de Microsoft Entra.
- Inicie sesión en el centro de administración de Microsoft Entra como administrador de acceso seguro global.
- Vaya a Acceso global seguro>Conectar>Descarga de cliente.
- Seleccione Descargar cliente.
Instalación del cliente de Acceso seguro global
Instalación automatizada
Use el siguiente comando para la instalación silenciosa. Sustituya la ruta de archivo según la ubicación de descarga del archivo .pkg.
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
El cliente usa extensiones del sistema y un proxy de aplicación transparente que debe aprobarse durante la instalación. Para una implementación silenciosa sin pedir al usuario final que permita estos componentes, puede implementar una directiva para aprobar automáticamente los componentes.
Permitir extensiones del sistema a través de la administración de dispositivos móviles (MDM)
Las instrucciones siguientes son para microsoft Intune y puede adaptarlas para diferentes MDM:
- En el Centro de administración de Microsoft Intune, seleccione Dispositivos>Administrar dispositivos>Directivas de configuración>>Crear>Nueva directiva.
- Cree un perfil para la plataforma macOS basada en una plantilla de tipo Extensions. Seleccione Crear.
- En la pestaña Aspectos básicos, escriba un nombre para el nuevo perfil y seleccione Siguiente.
- En la pestaña de configuración de ajustes , introduzca el identificador del paquete y el identificador del equipo de las dos extensiones según la tabla siguiente. Seleccione Siguiente.
| Identificador de paquete | Identificador de equipo |
|---|---|
| com.microsoft.naas.globalsecure.tunnel-df | UBF8T346G9 |
| com.microsoft.naas.globalsecure-df | UBF8T346G9 |
- Complete la creación del perfil asignando usuarios y dispositivos según sus necesidades.
Permitir proxy de aplicación transparente a través de MDM
Las instrucciones siguientes son para microsoft Intune y puede adaptarlas para diferentes MDM:
- En el Centro de administración de Microsoft Intune, seleccione Dispositivos>Administrar dispositivos>Directivas de configuración>>Crear>Nueva directiva.
- Cree un perfil para la plataforma macOS basada en una plantilla de tipo Custom y seleccione Crear.
- En la pestaña Aspectos básicos, escriba un Nombre para el perfil. image.png
- En la pestaña Ajustes de configuración, introduzca un Nombre de perfil de configuración personalizado.
- Mantenga Canal de implementación en “Canal de dispositivo”.
- Cargue un archivo .xml que contenga los datos siguientes:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadDescription</key>
<string>Ttransparent proxy settings</string>
<key>PayloadDisplayName</key>
<string>Global Secure Access Client - AppProxy</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.naas.globalsecure-df.</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>68C6A9A4-ECF8-4FB7-BA00-291610F998D6</string>
<key>PayloadVersion</key>
<real>1</real>
<key>TransparentProxy</key>
<dict>
<key>AuthName</key>
<string>NA</string>
<key>AuthPassword</key>
<string>NA</string>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>ProviderBundleIdentifier</key>
<string>com.microsoft.naas.globalsecure.tunnel-df</string>
<key>RemoteAddress</key>
<string>100.64.0.0</string>
<key>ProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.naas.globalsecure.tunnel-df" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
<key>Order</key>
<string>1</string>
</dict>
<key>UserDefinedName</key>
<string>Global Secure Access Client - AppProxy</string>
<key>VPNSubType</key>
<string>com.microsoft.naas.globalsecure.tunnel-df</string>
<key>VPNType</key>
<string>TransparentProxy</string>
</dict>
</plist>
- Complete la creación del perfil asignando usuarios y dispositivos según sus necesidades.
Instalación interactiva manual
Para instalar manualmente el cliente de acceso seguro global:
Ejecute el archivo de instalación de GlobalSecureAccessClient.pkg. Se inicia el asistente de Instalación. Siga las indicaciones.
En el paso Introducción, seleccione Continuar.
En el paso Licencia, seleccione Continuar y, a continuación, seleccione Aceptar para aceptar el acuerdo de licencia.
En el paso Instalación, seleccione Instalar.
En el paso Resumen, cuando finalice la instalación, seleccione Cerrar.
Permitir la extensión del sistema de acceso seguro global.
En el cuadro de diálogo Extensión del sistema bloqueada, seleccione Abrir configuración del sistema.
Permita la extensión del sistema cliente de Acceso global seguro seleccionando Permitir.
En el cuadro de diálogo Privacidad & Seguridad, escriba el nombre de usuario y la contraseña para validar la aprobación de la extensión del sistema. A continuación, seleccione Modificar Configuración.
Complete el proceso seleccionando Permitir para habilitar el cliente de Acceso Seguro Global y agregar configuraciones de proxy.
Una vez completada la instalación, es posible que se le pida que inicie sesión en Microsoft Entra.
Nota
Si se implementa el complemento inicio de sesión único de Microsoft Enterprise para dispositivos Apple, el comportamiento predeterminado es usar el inicio de sesión único con las credenciales especificadas en el portal de empresa.
- El icono Global Secure Access - Connected aparece en la bandeja del sistema, indicando una conexión exitosa a Global Secure Access.
Actualización del cliente de acceso seguro global
El instalador de cliente admite actualizaciones. Puede usar el Asistente para la instalación para instalar una nueva versión en un dispositivo que ejecuta actualmente una versión de cliente anterior.
Para una actualización silenciosa, use el siguiente comando.
Sustituya la ruta de acceso del archivo según la ubicación de descarga del archivo .pkg.
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
Desinstalación del cliente de acceso seguro global
Para desinstalar manualmente el cliente de Acceso seguro global, use el siguiente comando.
sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall
Si está utilizando una MDM, desinstale el cliente mediante la MDM.
Acciones de cliente
Para ver las acciones del menú cliente disponibles, haga clic con el botón derecho en el icono de la bandeja del sistema de acceso seguro global.
| Acción | Descripción |
|---|---|
| Deshabilitar | Deshabilita el cliente hasta que el usuario lo vuelva a habilitar. Cuando el usuario deshabilita el cliente, se le pedirá que escriba una justificación comercial y vuelva a escribir sus credenciales de inicio de sesión. Se registra la justificación comercial. |
| Habilitar | Habilita el cliente. |
| Pausar | Pausa el cliente durante 10 minutos, hasta que el usuario reanude el cliente o hasta que se reinicie el dispositivo. Cuando el usuario pausa el cliente, se le pedirá que escriba una justificación comercial y vuelva a escribir sus credenciales de inicio de sesión. Se registra la justificación comercial. |
| Reanudar | Reanuda el cliente en pausa. |
| Reiniciar | Reinicia el cliente. |
| Recopilación de registros | Recopila los registros de cliente y los archiva en un archivo ZIP para compartirlos con el soporte técnico de Microsoft para su investigación. |
| Configuración | Abre la herramienta Configuración y Diagnóstico avanzado. |
| Acerca de | Muestra información sobre la versión del producto. |
Estado del cliente en el icono de la bandeja del sistema
| Icono | Mensaje | Descripción |
|---|---|---|
|
Cliente de acceso seguro global | El cliente está inicializando y comprobando su conexión a Acceso seguro global. |
|
Cliente de acceso seguro global: conectado | El cliente está conectado al acceso seguro global. |
|
Cliente de acceso seguro global: deshabilitado | El cliente está deshabilitado porque los servicios están sin conexión o el usuario deshabilitó el cliente. |
|
Cliente de acceso seguro global: desconectado | El cliente no se pudo conectar al acceso seguro global. |
|
Cliente de acceso seguro global: algunos canales no son accesibles | El cliente está parcialmente conectado a Acceso seguro global (es decir, se produjo un error en la conexión a al menos un canal: Microsoft Entra, Microsoft 365, Acceso privado, Acceso a Internet). |
|
|
Cliente de acceso seguro global: deshabilitado por su organización | La organización deshabilitó el cliente (es decir, todos los perfiles de reenvío de tráfico están deshabilitados). |
|
|
Acceso seguro global: el acceso privado está deshabilitado | El usuario deshabilitó el acceso privado en este dispositivo. |
|
|
Acceso seguro global: no se pudo conectar a Internet | El cliente no pudo detectar una conexión a Internet. El dispositivo está conectado a una red que no tiene conexión a Internet o a una red que requiere iniciar sesión en un portal cautivo. |
Configuración y solución de problemas
La ventana Configuración permite establecer configuraciones diferentes y realizar algunas acciones avanzadas. La ventana de configuración contiene dos pestañas:
Configuración
| Opción | Descripción |
|---|---|
| Diagnóstico completo de telemetría | Envía datos de telemetría completos a Microsoft para mejorar la aplicación. |
| Habilitar el registro detallado | Permite recopilar registros detallados y capturas de red al exportar los registros a un archivo ZIP. |
Solución de problemas
| Acción | Descripción |
|---|---|
| Obtener la política más reciente | Descarga y aplica el perfil de reenvío más reciente para su organización. |
| Borrar datos almacenados en caché | Elimina los datos almacenados en caché interna del cliente relacionados con la autenticación, el perfil de reenvío, los FQDN y las direcciones IP. |
| Exportar registros | Exporta registros y archivos de configuración relacionados con el cliente a un archivo ZIP. |
| Herramienta de Diagnóstico Avanzado | Herramienta avanzada para supervisar y solucionar problemas del comportamiento del cliente. |
Limitaciones conocidas
Entre las limitaciones conocidas de la versión actual del cliente de Acceso seguro global se incluyen las siguientes:
Sistema de nombres de dominio seguro (DNS)
Si el Secure DNS está habilitado en el navegador o en macOS y el servidor DNS admite Secure DNS, entonces el cliente no tunelizará el tráfico configurado para ser adquirido por el FQDN. (El tráfico de red adquirido por IP no se ve afectado y se tuneliza según el perfil de reenvío). Para mitigar el problema de DNS seguro, deshabilite DNS seguro, establezca un servidor DNS que no admita DNS seguro ni cree reglas basadas en ip.
No se admite IPv6
El cliente solo tuneliza el tráfico IPv4. El cliente no adquiere el tráfico IPv6 y, por tanto, se enruta directamente a la red. Para asegurarse de que todo el tráfico se enruta al acceso seguro global, deshabilite IPv6.
Alternativa de conexión
Si se produce un error de conexión con el servicio en la nube, el cliente vuelve a la conexión directa a Internet o bloquea la conexión, en función del valor protección de la regla de coincidencia en el perfil de reenvío.
Geolocalización de la dirección IP de origen
Para el tráfico de red que se tuneliza al servicio en la nube, el servidor de aplicaciones (sitio web) detecta la dirección IP de origen como la dirección IP del borde (y no como la dirección IP del dispositivo de usuario). Este escenario podría afectar a los servicios que dependen de la geolocalización.
Sugerencia
Para que Office 365 y Entra detecten la verdadera IP de origen del dispositivo, considere activar Restauración de IP de origen.
Compatibilidad de virtualización con UTM
- Cuando la red está en modo puente y el cliente de Acceso global seguro está instalado en el equipo host:
- Si el cliente de acceso seguro global está instalado en la máquina virtual, el tráfico de red de la máquina virtual está sujeto a su directiva local. La directiva de la máquina host no afecta al perfil de reenvío en la máquina virtual.
- Si el cliente de acceso seguro global no está instalado en la máquina virtual, se omite el tráfico de red de la máquina virtual.
- El cliente de Acceso global seguro no admite el modo compartido de red porque podría bloquear el tráfico de red de la máquina virtual.
- Si la red está en modo compartido, puede instalar el cliente de Acceso global seguro en una máquina virtual que ejecute macOS, siempre que el cliente no esté instalado también en la máquina host.
QUIC no se admite para el acceso a Internet
Dado que QUIC aún no se admite para el acceso a Internet, no se puede tunelizar el tráfico a los puertos 80 UDP y 443 UDP.
Sugerencia
QUIC se admite actualmente en cargas de trabajo de Acceso privado y Microsoft 365. Los administradores pueden deshabilitar el protocolo QUIC en los exploradores, lo que desencadena que los clientes vuelvan a HTTPS a través de TCP, que es totalmente compatible con el acceso a Internet. Para obtener más información, consulte QUIC no es compatible con el acceso a Internet.