Udostępnij za pośrednictwem

Globalny klient bezpiecznego dostępu dla systemu macOS (wersja zapoznawcza)

  • Artykuł

Ważny

Globalny klient bezpiecznego dostępu dla systemu macOS jest obecnie w wersji zapoznawczej. Te informacje odnoszą się do produktu w wersji wstępnej, który może zostać znacząco zmodyfikowany przed jego wydaniem. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani domniemanych, w odniesieniu do podanych tutaj informacji.

Klient globalnego bezpiecznego dostępu, podstawowy składnik globalnego bezpiecznego dostępu, pomaga organizacjom zarządzać i zabezpieczać ruch sieciowy na urządzeniach użytkowników końcowych. Główną rolą klienta jest kierowanie ruchu, który musi być zabezpieczony przez globalny bezpieczny dostęp do usługi w chmurze. Cały inny ruch przechodzi bezpośrednio do sieci. Profile przekazywania , skonfigurowane w portalu, określają, który ruch klient Global Secure Access kieruje do usługi w chmurze.

W tym artykule opisano sposób pobierania i instalowania klienta globalnego bezpiecznego dostępu dla systemu macOS.

Warunki wstępne

  • Urządzenie Mac z procesorem Intel, M1, M2, M3 lub M4 z systemem macOS w wersji 13 lub nowszej.
  • Urządzenie zarejestrowane u dzierżawcy Microsoft Entra przy użyciu Portalu Firmowego.
  • Dzierżawca Microsoft Entra zintegrowany z Globalnym Bezpiecznym Dostępem.
  • Zaleca się wdrożenie wtyczki jednokrotnego logowania (SSO) Microsoft Enterprise dla urządzeń Apple, aby zapewnić doświadczenie SSO oparte na użytkowniku zalogowanym do portalu firmowego.
  • Połączenie internetowe.

Pobieranie klienta

Najnowsza wersja klienta globalnego bezpiecznego dostępu jest dostępna do pobrania z centrum administracyjnego firmy Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako administrator globalnego bezpiecznego dostępu .
  2. Przejdź do Global Secure Access>Connect>i pobierz aplikację klienta.
  3. Wybierz Pobierz klienta. zrzut ekranu pobierania klienta z wyróżnionym przyciskiem Pobierz klienta.

Zainstaluj klienta Globalny Bezpieczny Dostęp

Instalacja automatyczna

Użyj następującego polecenia do instalacji dyskretnej. Zastąp ścieżkę pliku zgodnie z lokalizacją pobierania pliku .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Klient używa rozszerzeń systemowych i przezroczystego serwera proxy do aplikacji, które muszą zostać zatwierdzone podczas instalacji. W przypadku wdrożenia dyskretnego bez monitowania użytkownika końcowego o zezwolenie na te składniki można wdrożyć zasady w celu automatycznego zatwierdzania składników.

Zezwalaj na rozszerzenia systemowe za pomocą zarządzania urządzeniami przenośnymi (MDM)

Poniższe instrukcje dotyczą usługi Microsoft Intune i można je dostosować do różnych systemów MDM (systemów zarządzania urządzeniami przenośnymi):

  1. W centrum administracyjnym usługi Microsoft Intune wybierz pozycję Urządzenia >Zarządzaj urządzeniami>Zasady konfiguracji>>Utwórz nowe zasady>.
  2. Utwórz profil dla platformy macOS na podstawie szablonu typu Extensions. Wybierz pozycję Utwórz. Zrzut ekranu przedstawiający formularz Tworzenie profilu z wyróżnionymi elementami: platforma systemu macOS, typ profilu Szablony i szablon Rozszerzenia.
  3. Na karcie Podstawowe wprowadź nazwę nowego profilu i wybierz pozycję Dalej.
  4. Na karcie Ustawienia konfiguracji wprowadź identyfikator pakietu i identyfikator zespołu dwóch rozszerzeń zgodnie z poniższą tabelą. Wybierz pozycję Dalej.
Identyfikator pakietu Identyfikator zespołu
com.microsoft.naas.globalsecure.tunnel-df UBF8T346G9
com.microsoft.naas.globalsecure-df UBF8T346G9
  1. Ukończ tworzenie profilu, przypisując użytkowników i urządzenia zgodnie z potrzebami.

Zezwalaj na przezroczysty serwer proxy aplikacji za pośrednictwem rozwiązania MDM

Poniższe instrukcje dotyczą usługi Microsoft Intune i można je dostosować do różnych systemów MDM (systemów zarządzania urządzeniami przenośnymi):

  1. W centrum administracyjnym usługi Microsoft Intune wybierz pozycję Urządzenia >Zarządzaj urządzeniami>Zasady konfiguracji>>Utwórz nowe zasady>.
  2. Utwórz profil dla platformy systemu macOS na podstawie szablonu typu Niestandardowy i wybierz Utwórz. Zrzut ekranu przedstawiający formularz
  3. Na karcie Podstawowe wprowadź nazwę profilu. image.png
  4. Na karcie Ustawienia konfiguracji wprowadź nazwę profilu konfiguracji niestandardowej .
  5. Zachowaj kanał wdrażania ustawiony na "Kanał urządzenia".
  6. Przekaż plik .xml zawierający następujące dane:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadDescription</key>
    <string>Ttransparent proxy settings</string>
    <key>PayloadDisplayName</key>
    <string>Global Secure Access Client - AppProxy</string>
    <key>PayloadIdentifier</key>
    <string>com.microsoft.naas.globalsecure-df.</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>68C6A9A4-ECF8-4FB7-BA00-291610F998D6</string>
    <key>PayloadVersion</key>
    <real>1</real>
    <key>TransparentProxy</key>
    <dict>
        <key>AuthName</key>
        <string>NA</string>
        <key>AuthPassword</key>
        <string>NA</string>
        <key>AuthenticationMethod</key>
        <string>Password</string>
        <key>ProviderBundleIdentifier</key>
        <string>com.microsoft.naas.globalsecure.tunnel-df</string>
        <key>RemoteAddress</key>
        <string>100.64.0.0</string>
        <key>ProviderDesignatedRequirement</key>
        <string>identifier &quot;com.microsoft.naas.globalsecure.tunnel-df&quot; and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
        <key>Order</key>
        <string>1</string>
    </dict>
    <key>UserDefinedName</key>
    <string>Global Secure Access Client - AppProxy</string>
    <key>VPNSubType</key>
    <string>com.microsoft.naas.globalsecure.tunnel-df</string>
    <key>VPNType</key>
    <string>TransparentProxy</string>
</dict>
</plist>

Zrzut ekranu przedstawiający kartę Ustawienia konfiguracji z częścią danych .xml.

  1. Ukończ tworzenie profilu, przypisując użytkowników i urządzenia zgodnie z potrzebami.

Ręczna instalacja interaktywna

Aby ręcznie zainstalować klienta globalnego bezpiecznego dostępu:

  1. Uruchom plik instalacyjny GlobalSecureAccessClient.pkg. Uruchomi się kreator instalacji . Postępuj zgodnie z monitami.

  2. W kroku Wprowadzenie wybierz pozycję Kontynuuj.

  3. W kroku licencji wybierz pozycję Kontynuuj, a następnie wybierz pozycję Zgadzam się, aby zaakceptować umowę licencyjną. Zrzut ekranu kreatora instalacji na etapie SumLicense, pokazujący wyskakujące okienko z umową licencyjną oprogramowania.

  4. W kroku Instalacja wybierz pozycję Zainstaluj.

  5. W kroku Podsumowanie po zakończeniu instalacji wybierz pozycję Zamknij.

  6. Zezwalaj na rozszerzenie systemu Global Secure Access.

    1. W oknie dialogowym Rozszerzenie systemowe zablokowane wybierz pozycję Otwórz ustawienia systemowe.
      Zrzut ekranu przedstawiający okno dialogowe Zablokowane rozszerzenie systemu z wyróżnioną pozycją Otwórz ustawienia systemowe.

    2. Zezwól na rozszerzenie systemu klienta Global Secure Access, wybierając opcję Zezwalaj. Zrzut ekranu przedstawiający ustawienia systemowe, otwórz opcje Prywatność & Zabezpieczenia z wyświetlonym komunikatem o zablokowanej aplikacji z wyróżnionym przyciskiem Zezwalaj.

    3. W oknie dialogowym Privacy & Security wprowadź nazwę użytkownika i hasło, aby zweryfikować zatwierdzenie rozszerzenia systemowego. Następnie wybierz pozycję Modyfikuj ustawienia.
      Zrzut ekranu przedstawiający wyskakujące okienko Prywatność & Security z żądaniem poświadczeń logowania i wyróżniony przycisk Modyfikuj ustawienia.

    4. Zakończ proces, wybierając pozycję Zezwalaj, aby umożliwić klientowi Global Secure Access dodanie konfiguracji serwera proxy.
      Zrzut ekranu przedstawiający aplikację Global Secure Access, która chce dodać konfiguracje serwera proxy, z przyciskiem

  7. Po zakończeniu instalacji może zostać wyświetlony monit o zalogowanie się do firmy Microsoft Entra.

Notatka

Jeśli wdrożono wtyczkę logowania jednokrotnego Microsoft Enterprise dla urządzeń firmy Apple, domyślne zachowanie polega na użyciu logowania jednokrotnego z poświadczeniami wprowadzonymi w portalu firmy.

  1. Ikona Global Secure Access - Połączony wyświetla się na pasku zadań systemu, wskazując pomyślne połączenie z Global Secure Access.
    Zrzut ekranu przedstawiający pasek zadań z wyróżnioną ikoną Global Secure Access — Connected (Bezpieczny dostęp globalny — połączony).

Uaktualnianie klienta globalnego bezpiecznego dostępu

Instalator klienta obsługuje uaktualnienia. Możesz użyć kreatora instalacji, aby zainstalować nową wersję na urządzeniu, na którym jest obecnie uruchomiona poprzednia wersja klienta.

W przypadku uaktualnienia dyskretnego użyj następującego polecenia.
Zastąp ścieżkę pliku zgodnie z lokalizacją pobierania pliku .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Odinstaluj klienta bezpiecznego globalnego dostępu

Aby ręcznie odinstalować klienta globalnego bezpiecznego dostępu, użyj następującego polecenia.

sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall

Jeśli używasz rozwiązania MDM, odinstaluj klienta za pomocą rozwiązania MDM.

Akcje klienta

Aby wyświetlić dostępne akcje menu klienta, kliknij prawym przyciskiem myszy ikonę globalnego paska zadań systemu bezpiecznego dostępu.
Zrzut ekranu przedstawiający listę globalnych akcji klienta bezpiecznego dostępu.

Akcja Opis
Wyłącz Wyłącza klienta do momentu ponownego włączenia go przez użytkownika. Gdy użytkownik wyłączy klienta, zostanie wyświetlony monit o wprowadzenie uzasadnienia biznesowego i ponowne wprowadzenie poświadczeń logowania. Uzasadnienie biznesowe jest rejestrowane.
Włącz Włącza klienta.
Wstrzymaj Wstrzymuje klienta przez 10 minut, aż użytkownik wznowi klienta lub do momentu ponownego uruchomienia urządzenia. Gdy użytkownik wstrzymuje klienta, zostanie wyświetlony monit o wprowadzenie uzasadnienia biznesowego i ponowne wprowadzenie poświadczeń logowania. Uzasadnienie biznesowe jest rejestrowane.
CV Wznawia wstrzymany klient.
uruchom ponownie Uruchamia ponownie klienta.
Zbieranie dzienników Zbiera dzienniki klienta i archiwizuje je w pliku zip, aby udostępnić je pomocy technicznej firmy Microsoft w celu zbadania.
Ustawienia Otwiera narzędzie Ustawienia i Zaawansowana diagnostyka.
o Przedstawia informacje dotyczące wersji produktu.

Stan klienta w ikonie paska zadań systemu

Ikona Komunikat Opis
Globalny klient bezpiecznego dostępu Klient inicjuje i sprawdza swoje połączenie z globalnym bezpiecznym dostępem.
Globalny klient bezpiecznego dostępu — połączony Klient jest połączony z globalnym bezpiecznym dostępem.
Globalny klient bezpiecznego dostępu — wyłączony Klient jest wyłączony, ponieważ usługi są w trybie offline lub użytkownik wyłączył klienta.
Globalny klient bezpiecznego dostępu — rozłączony Klient nie może nawiązać połączenia z globalnym bezpiecznym dostępem.
Globalny klient bezpiecznego dostępu — niektóre kanały są niedostępne Klient jest częściowo połączony z globalnym bezpiecznym dostępem (czyli połączenie z co najmniej jednym kanałem nie powiodło się: Microsoft Entra, Microsoft 365, Private Access, Internet Access).
Globalny klient bezpiecznego dostępu — wyłączony przez organizację Twoja organizacja wyłączyła klienta (oznacza to, że wszystkie profile przesyłania dalej ruchu są wyłączone).
Globalny bezpieczny dostęp — dostęp prywatny jest wyłączony Użytkownik wyłączył dostęp prywatny na tym urządzeniu.
Globalny bezpieczny dostęp — nie można nawiązać połączenia z Internetem Klient nie może wykryć połączenia internetowego. Urządzenie jest połączone z siecią, która nie ma dostępu do Internetu lub z siecią wymagającą uwierzytelnienia w portalu.

Ustawienia i rozwiązywanie problemów

Okno Ustawienia umożliwia ustawianie różnych konfiguracji i wykonywanie pewnych zaawansowanych akcji. Okno ustawień zawiera dwie karty:

Ustawienia

Opcja Opis
pełna diagnostyka telemetrii Wysyła pełne dane telemetryczne do firmy Microsoft w celu ulepszenia aplikacji.
Włącz szczegółowe rejestrowanie Umożliwia zbieranie szczegółowego rejestrowania i przechwytywania sieci podczas kompresowania dzienników do pliku zip.

Zrzut ekranu przedstawiający widok macOS Ustawienia i Rozwiązywanie problemów, z wybraną zakładką Ustawienia.

Rozwiązywanie problemów

Akcja Opis
Pobierz najnowszą politykę Pobiera i stosuje najnowszy profil przekazywania dla twojej organizacji.
Wyczyść buforowane dane Usuwa wewnętrzne dane klienta związane z uwierzytelnianiem, przekazywaniem profilu, nazwami FQDN oraz adresami IP.
Eksportuj dzienniki Eksportuje dzienniki i pliki konfiguracji związane z klientem do pliku zip.
narzędzia do diagnostyki zaawansowanej Zaawansowane narzędzie do monitorowania i rozwiązywania problemów z zachowaniem klienta.

Zrzut ekranu przedstawiający widok Preferencje i Rozwiązywanie Problemów w systemie macOS, z wybraną kartą Rozwiązywanie Problemów.

Znane ograniczenia

Ta funkcja ma co najmniej jedno znane ograniczenia. Aby uzyskać bardziej szczegółowe informacje na temat znanych problemów i ograniczeń tej funkcji, zapoznaj się z Znane Ograniczenia dotyczące Globalnego Bezpiecznego Dostępu.

Powiązana zawartość