Partilhar via


Cliente Global Secure Access para macOS (Pré-visualização)

Importante

O cliente Global Secure Access para macOS está atualmente em pré-visualização. Estas informações referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações fornecidas aqui.

O cliente Global Secure Access, um componente essencial do Global Secure Access, ajuda as organizações a gerenciar e proteger o tráfego de rede em dispositivos de usuários finais. O principal papel do cliente é rotear o tráfego que precisa ser protegido pelo Global Secure Access para o serviço de nuvem. Todo o restante tráfego vai diretamente para a rede. Os Perfis de Encaminhamento, configurados no portal, determinam qual tráfego o cliente Global Secure Access encaminha para o serviço de nuvem.

Este artigo descreve como baixar e instalar o cliente Global Secure Access para macOS.

Pré-requisitos

  • Um dispositivo Mac com um processador Intel, M1, M2, M3 ou M4, executando o macOS versão 13 ou mais recente.
  • Um dispositivo registado no inquilino do Microsoft Entra através do Portal da Empresa.
  • Um locatário do Microsoft Entra integrado ao Global Secure Access.
  • A implantação do plug-in de logon único (SSO) Microsoft Enterprise para dispositivos Apple é recomendada para a experiência de SSO com base no usuário que está conectado ao portal da empresa.
  • Uma ligação à Internet.

Faça o download do cliente

A versão mais recente do cliente Global Secure Access está disponível para download no centro de administração do Microsoft Entra.

  1. Entre no centro de administração do Microsoft Entra como umAdministrador de Acesso Seguro Global .
  2. Navegue até Global Secure Access>Connect>download do cliente.
  3. Selecione Download Client. Captura de ecrã do ecrã de transferência do Cliente com o botão Transferir Cliente realçado.

Instalar o cliente Global Secure Access

Instalação automatizada

Use o seguinte comando para instalação silenciosa. Substitua o caminho do arquivo de acordo com o local de download do arquivo .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

O cliente usa extensões de sistema e um proxy de aplicativo transparente que precisa ser aprovado durante a instalação. Para uma implantação silenciosa sem solicitar que o usuário final permita esses componentes, você pode implantar uma política para aprovar automaticamente os componentes.

Permitir extensões do sistema através da gestão de dispositivos móveis (MDM)

As instruções a seguir são para do Microsoft Intune e você pode adaptá-las para MDMs diferentes:

  1. No centro de administração do Microsoft Intune, selecione Dispositivos>Gerir dispositivos>Definições>Políticas>Criar>Nova política.
  2. Crie um perfil para a plataforma macOS com base em um modelo do tipo Extensões. Selecione Criar. Captura de ecrã do formulário Criar um perfil com a plataforma macOS, o tipo de perfil 'Templates' e o modelo 'Extensões' realçados.
  3. Na guia Noções básicas, insira um nome para o novo perfil e selecione Avançar.
  4. No separador Definições de Configuração, insira o identificador de Bundle e o identificador de Equipa das duas extensões, conforme a tabela a seguir. Selecione Avançar.
Identificador do pacote Identificador da equipa
com.microsoft.naas.globalsecure.tunnel-df UBF8T346G9
com.microsoft.naas.globalsecure-df UBF8T346G9
  1. Conclua a criação do perfil atribuindo usuários e dispositivos de acordo com suas necessidades.

Permitir proxy de aplicativo transparente por meio do MDM

As instruções a seguir são para do Microsoft Intune e você pode adaptá-las para MDMs diferentes:

  1. No centro de administração do Microsoft Intune, selecione Dispositivos>Gerir dispositivos>Definições>Políticas>Criar>Nova política.
  2. Crie um perfil para a plataforma macOS com base em um modelo do tipo Custom e selecione Create. Captura de ecrã do formulário Criar um perfil com a Plataforma macOS, Tipo de perfil Modelos e Modelo personalizado realçados.
  3. Na guia Noções básicas, insira um Nome para o perfil. image.png
  4. Na guia Definições de configuração, insira um nome de Perfil de configuração personalizado.
  5. Mantenha o canal de implementação predefinido como "Canal do dispositivo".
  6. Carregue um arquivo .xml que contenha os seguintes dados:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadDescription</key>
    <string>Ttransparent proxy settings</string>
    <key>PayloadDisplayName</key>
    <string>Global Secure Access Client - AppProxy</string>
    <key>PayloadIdentifier</key>
    <string>com.microsoft.naas.globalsecure-df.</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>68C6A9A4-ECF8-4FB7-BA00-291610F998D6</string>
    <key>PayloadVersion</key>
    <real>1</real>
    <key>TransparentProxy</key>
    <dict>
        <key>AuthName</key>
        <string>NA</string>
        <key>AuthPassword</key>
        <string>NA</string>
        <key>AuthenticationMethod</key>
        <string>Password</string>
        <key>ProviderBundleIdentifier</key>
        <string>com.microsoft.naas.globalsecure.tunnel-df</string>
        <key>RemoteAddress</key>
        <string>100.64.0.0</string>
        <key>ProviderDesignatedRequirement</key>
        <string>identifier &quot;com.microsoft.naas.globalsecure.tunnel-df&quot; and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
        <key>Order</key>
        <string>1</string>
    </dict>
    <key>UserDefinedName</key>
    <string>Global Secure Access Client - AppProxy</string>
    <key>VPNSubType</key>
    <string>com.microsoft.naas.globalsecure.tunnel-df</string>
    <key>VPNType</key>
    <string>TransparentProxy</string>
</dict>
</plist>

Captura de ecrã do separador Definições de configuração que mostra uma parte dos dados .xml.

  1. Conclua a criação do perfil atribuindo usuários e dispositivos de acordo com suas necessidades.

Instalação interativa manual

Para instalar manualmente o cliente Global Secure Access:

  1. Execute o arquivo de instalação do GlobalSecureAccessClient.pkg. O assistente de Instalação é iniciado. Siga as instruções.

  2. Na etapa Introdução, selecione Continuar.

  3. Na etapa Licença, selecione Continuar e, em seguida, selecione Concordar para aceitar o contrato de licença. Captura de tela do assistente de Instalação na etapa SumLicense, mostrando o pop-up do contrato de licença de software.

  4. Na etapa Instalação, selecione Instalar.

  5. Na etapa Resumo, quando a instalação estiver concluída, selecione Fechar.

  6. Permita a extensão do sistema Global Secure Access.

    1. Na caixa de diálogo Extensão de Sistema Bloqueada, selecione Abrir Configurações do Sistema.
      Captura de ecrã da caixa de diálogo Extensão de Sistema Bloqueada com a opção Abrir Definições do Sistema realçada.

    2. Permita a extensão de sistema do cliente Global Secure Access selecionando Permitir. Captura de ecrã das Definições do Sistema, abra as opções Privacidade & Segurança, mostrando uma mensagem de aplicação bloqueada, com o botão Permitir realçado.

    3. Na caixa de diálogo Privacidade & Segurança, introduza o seu nome de utilizador e palavra-passe para validar a aprovação da extensão do sistema. Em seguida, selecione Modificar configurações.
      Captura de ecrã do pop-up Privacidade & Segurança a solicitar credenciais de início de sessão e o botão Modificar Definições realçado.

    4. Conclua o processo selecionando Permitir para habilitar o cliente Global Secure Access para adicionar configurações de proxy.
      Captura de ecrã do cliente Global Secure Access a solicitar a adição de configurações de proxy através de um pop-up com o botão Permitir destacado.

  7. Após a conclusão da instalação, poderá ser-lhe pedido para iniciar sessão no Microsoft Entra.

Observação

Se o plug-in Microsoft Enterprise SSO para dispositivos Apple for implantado, o comportamento padrão será usar o logon único com as credenciais inseridas no portal da empresa.

  1. O ícone Global Secure Access - Connected aparece na bandeja do sistema, indicando uma conexão bem-sucedida com o Global Secure Access.
    Captura de ecrã da bandeja do sistema com o ícone Global Secure Access - Connected realçado.

Atualizar o cliente Global Secure Access

O instalador do cliente suporta atualizações. Você pode usar o assistente de instalação para instalar uma nova versão em um dispositivo que esteja executando uma versão anterior do cliente.

Para uma atualização silenciosa, use o seguinte comando.
Substitua o caminho do arquivo de acordo com o local de download do arquivo .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Desinstale o cliente Global Secure Access

Para desinstalar manualmente o cliente Global Secure Access, use o seguinte comando.

sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall

Se você estiver usando um MDM, desinstale o cliente com o MDM.

Ações do cliente

Para visualizar as ações disponíveis do menu do cliente, clique com o botão direito do mouse no ícone da bandeja do sistema Global Secure Access.
Captura de tela mostrando a lista de ações do cliente Global Secure Access.

Ação Descrição
Desativar Desativa o cliente até que o usuário o habilite novamente. Quando o usuário desabilita o cliente, ele é solicitado a inserir uma justificativa comercial e inserir novamente suas credenciais de entrada. A justificação comercial é registada.
Ativar Ativa o cliente.
Pausa Pausa o cliente por 10 minutos, até que o usuário retome o cliente ou até que o dispositivo seja reiniciado. Quando o usuário pausa o cliente, ele é solicitado a inserir uma justificativa comercial e inserir novamente suas credenciais de entrada. A justificação comercial é registada.
Currículo Retoma o cliente pausado.
Reiniciar Reinicia o cliente.
Recolher registos Coleta logs de clientes e os arquiva em um arquivo zip para compartilhar com o Suporte da Microsoft para investigação.
Configurações Abre a ferramenta Configurações e diagnóstico avançado.
Sobre Mostra informações sobre a versão do produto.

Estados do cliente no ícone da área de notificação do sistema

Ícone Mensagem Descrição
Cliente de Acesso Seguro Global O cliente está inicializando e verificando sua conexão com o Global Secure Access.
Cliente Global Secure Access - Conectado O cliente está conectado ao Global Secure Access.
Cliente Global Secure Access - Desativado O cliente está desativado porque os serviços estão offline ou o usuário desabilitou o cliente.
Cliente Global Secure Access - Desconectado O cliente não conseguiu se conectar ao Global Secure Access.
Global Secure Access Client - Alguns canais estão inacessíveis O cliente está parcialmente conectado ao Global Secure Access (ou seja, a conexão com pelo menos um canal falhou: Microsoft Entra, Microsoft 365, Private Access, Internet Access).
Global Secure Access Client - Desativado pela sua organização Sua organização desabilitou o cliente (ou seja, todos os perfis de encaminhamento de tráfego estão desabilitados).
Acesso Seguro Global - O Acesso Privado está desativado O utilizador desativou o Acesso Privado neste dispositivo.
Acesso Seguro Global - não foi possível conectar-se à Internet O cliente não conseguiu detetar uma conexão com a Internet. O dispositivo está ligado a uma rede sem ligação à Internet ou a uma rede que requer autenticação através de portal cativo.

Configurações e solução de problemas

A janela Configurações permite que você defina diferentes configurações e faça algumas ações avançadas. A janela de configurações contém duas guias:

Configurações

Opção Descrição
Diagnóstico completo de telemetria Envia dados completos de telemetria para a Microsoft para melhoria do aplicativo.
Ativar Registo Verboso Permite que o registo verboso e a captura de rede sejam recolhidos ao exportar os logs para um ficheiro zip.

Captura de ecrã da vista Definições e Resolução de problemas do macOS, com o separador Definições selecionado.

Solução de problemas

Ação Descrição
Obtenha a política mais recente Transfere e aplica o perfil de encaminhamento mais recente para a sua organização.
Limpar dados armazenados em cache Exclui os dados internos armazenados em cache do cliente relacionados à autenticação, perfil de encaminhamento, FQDNs e IPs.
Exportar logs Exporta logs e arquivos de configuração relacionados ao cliente para um arquivo zip.
Ferramenta de Diagnóstico Avançado Uma ferramenta avançada para monitorar e solucionar problemas de comportamento do cliente.

Captura de ecrã da vista Definições e Resolução de Problemas do macOS, com o separador Resolução de problemas selecionado.

Limitações conhecidas

As limitações conhecidas para a versão atual do cliente Global Secure Access incluem:

Sistema de Nomes de Domínio Seguro (DNS)

Se o DNS Seguro estiver ativado no navegador ou no macOS e o servidor DNS suportar DNS Seguro, então o cliente não transferirá através de túnel o tráfego a ser resolvido pelo FQDN. (O tráfego de rede adquirido por IP não é afetado e é encapsulado de acordo com o perfil de encaminhamento.) Para atenuar o problema do DNS seguro, desative o DNS seguro, defina um servidor DNS que não suporte o DNS seguro ou crie regras baseadas no IP.

IPv6 não suportado

O cliente encapsula apenas o tráfego IPv4. O tráfego IPv6 não é adquirido pelo cliente e, portanto, roteado diretamente para a rede. Para se certificar de que todo o tráfego é encaminhado para o Acesso Seguro Global, desative o IPv6.

Solução de contingência para a conexão

Se houver um erro de ligação ao serviço de nuvem, o cliente irá alternar para uma ligação direta à Internet ou bloqueará a ligação, com base no valor de proteção da regra correspondente no perfil de encaminhamento.

Geolocalização do endereço IP de origem

Para o tráfego de rede encapsulado para o serviço de nuvem, o servidor da aplicação (site) detecta o IP de origem da conexão como o endereço IP do ponto de acesso (e não como o endereço IP do dispositivo do utilizador). Esse cenário pode afetar os serviços que dependem da geolocalização.

Dica

Para que o Office 365 e o Entra detetem o verdadeiro IP de origem do dispositivo, considere ativar restauração do IP de origem.

Suporte à virtualização com UTM

  • Quando a rede está no modo de ponte e o cliente de Acesso Seguro Global é instalado na máquina host:
    • Se o cliente Global Secure Access estiver instalado na máquina virtual, o tráfego de rede da máquina virtual estará sujeito à sua política local. A política da máquina host não afeta o perfil de encaminhamento na máquina virtual.
    • Se o do cliente Global Secure Access não estiver instalado na máquina virtual, o tráfego de rede da máquina virtual será ignorado.
  • O cliente Global Secure Access não suporta o modo partilhado de rede porque pode bloquear o tráfego de rede da máquina virtual.
  • Se a rede estiver no modo partilhado, poderá instalar o cliente Global Secure Access numa máquina virtual que execute o macOS, desde que o cliente não esteja também instalado na máquina host.

QUIC não suportado para acesso à Internet

Como o QUIC ainda não é suportado para acesso à Internet, o tráfego para as portas 80 UDP e 443 UDP não pode ser tunnelizado.

Dica

Atualmente, o QUIC é suportado em cargas de trabalho do Private Access e do Microsoft 365. Os administradores podem desativar o protocolo QUIC nos navegadores, fazendo com que os clientes voltem para HTTPS sobre TCP, que é totalmente suportado no Acesso à Internet. Para obter mais informações, consulte QUIC não suportado para acesso à Internet.