Cliente Global Secure Access para macOS (Pré-visualização)
Importante
O cliente Global Secure Access para macOS está atualmente em pré-visualização. Estas informações referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações fornecidas aqui.
O cliente Global Secure Access, um componente essencial do Global Secure Access, ajuda as organizações a gerenciar e proteger o tráfego de rede em dispositivos de usuários finais. O principal papel do cliente é rotear o tráfego que precisa ser protegido pelo Global Secure Access para o serviço de nuvem. Todo o restante tráfego vai diretamente para a rede. Os Perfis de Encaminhamento, configurados no portal, determinam qual tráfego o cliente Global Secure Access encaminha para o serviço de nuvem.
Este artigo descreve como baixar e instalar o cliente Global Secure Access para macOS.
Pré-requisitos
- Um dispositivo Mac com um processador Intel, M1, M2, M3 ou M4, executando o macOS versão 13 ou mais recente.
- Um dispositivo registado no inquilino do Microsoft Entra através do Portal da Empresa.
- Um locatário do Microsoft Entra integrado ao Global Secure Access.
- A implantação do plug-in de logon único (SSO) Microsoft Enterprise para dispositivos Apple é recomendada para a experiência de SSO com base no usuário que está conectado ao portal da empresa.
- Uma ligação à Internet.
Faça o download do cliente
A versão mais recente do cliente Global Secure Access está disponível para download no centro de administração do Microsoft Entra.
- Entre no centro de administração do
Microsoft Entra como umAdministrador de Acesso Seguro Global. - Navegue até Global Secure Access>Connect>download do cliente.
- Selecione Download Client.
Instalar o cliente Global Secure Access
Instalação automatizada
Use o seguinte comando para instalação silenciosa. Substitua o caminho do arquivo de acordo com o local de download do arquivo .pkg.
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
O cliente usa extensões de sistema e um proxy de aplicativo transparente que precisa ser aprovado durante a instalação. Para uma implantação silenciosa sem solicitar que o usuário final permita esses componentes, você pode implantar uma política para aprovar automaticamente os componentes.
Permitir extensões do sistema através da gestão de dispositivos móveis (MDM)
As instruções a seguir são para do Microsoft Intune e você pode adaptá-las para MDMs diferentes:
- No centro de administração do Microsoft Intune, selecione Dispositivos>Gerir dispositivos>Definições>Políticas>Criar>Nova política.
- Crie um perfil para a plataforma macOS com base em um modelo do tipo Extensões. Selecione Criar.
- Na guia Noções básicas, insira um nome para o novo perfil e selecione Avançar.
- No separador Definições de Configuração, insira o identificador de Bundle e o identificador de Equipa das duas extensões, conforme a tabela a seguir. Selecione Avançar.
Identificador do pacote | Identificador da equipa |
---|---|
com.microsoft.naas.globalsecure.tunnel-df | UBF8T346G9 |
com.microsoft.naas.globalsecure-df | UBF8T346G9 |
- Conclua a criação do perfil atribuindo usuários e dispositivos de acordo com suas necessidades.
Permitir proxy de aplicativo transparente por meio do MDM
As instruções a seguir são para do Microsoft Intune e você pode adaptá-las para MDMs diferentes:
- No centro de administração do Microsoft Intune, selecione Dispositivos>Gerir dispositivos>Definições>Políticas>Criar>Nova política.
- Crie um perfil para a plataforma macOS com base em um modelo do tipo Custom e selecione Create.
- Na guia Noções básicas, insira um Nome para o perfil. image.png
- Na guia Definições de configuração, insira um nome de Perfil de configuração personalizado.
- Mantenha o canal de implementação predefinido como "Canal do dispositivo".
- Carregue um arquivo .xml que contenha os seguintes dados:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadDescription</key>
<string>Ttransparent proxy settings</string>
<key>PayloadDisplayName</key>
<string>Global Secure Access Client - AppProxy</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.naas.globalsecure-df.</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>68C6A9A4-ECF8-4FB7-BA00-291610F998D6</string>
<key>PayloadVersion</key>
<real>1</real>
<key>TransparentProxy</key>
<dict>
<key>AuthName</key>
<string>NA</string>
<key>AuthPassword</key>
<string>NA</string>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>ProviderBundleIdentifier</key>
<string>com.microsoft.naas.globalsecure.tunnel-df</string>
<key>RemoteAddress</key>
<string>100.64.0.0</string>
<key>ProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.naas.globalsecure.tunnel-df" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
<key>Order</key>
<string>1</string>
</dict>
<key>UserDefinedName</key>
<string>Global Secure Access Client - AppProxy</string>
<key>VPNSubType</key>
<string>com.microsoft.naas.globalsecure.tunnel-df</string>
<key>VPNType</key>
<string>TransparentProxy</string>
</dict>
</plist>
- Conclua a criação do perfil atribuindo usuários e dispositivos de acordo com suas necessidades.
Instalação interativa manual
Para instalar manualmente o cliente Global Secure Access:
Execute o arquivo de instalação do GlobalSecureAccessClient.pkg. O assistente de Instalação é iniciado. Siga as instruções.
Na etapa Introdução, selecione Continuar.
Na etapa Licença, selecione Continuar e, em seguida, selecione Concordar para aceitar o contrato de licença.
Na etapa Instalação, selecione Instalar.
Na etapa Resumo, quando a instalação estiver concluída, selecione Fechar.
Permita a extensão do sistema Global Secure Access.
Na caixa de diálogo Extensão de Sistema Bloqueada, selecione Abrir Configurações do Sistema.
Permita a extensão de sistema do cliente Global Secure Access selecionando Permitir.
Na caixa de diálogo Privacidade & Segurança, introduza o seu nome de utilizador e palavra-passe para validar a aprovação da extensão do sistema. Em seguida, selecione Modificar configurações.
Conclua o processo selecionando Permitir para habilitar o cliente Global Secure Access para adicionar configurações de proxy.
Após a conclusão da instalação, poderá ser-lhe pedido para iniciar sessão no Microsoft Entra.
Observação
Se o plug-in Microsoft Enterprise SSO para dispositivos Apple for implantado, o comportamento padrão será usar o logon único com as credenciais inseridas no portal da empresa.
- O ícone Global Secure Access - Connected aparece na bandeja do sistema, indicando uma conexão bem-sucedida com o Global Secure Access.
Atualizar o cliente Global Secure Access
O instalador do cliente suporta atualizações. Você pode usar o assistente de instalação para instalar uma nova versão em um dispositivo que esteja executando uma versão anterior do cliente.
Para uma atualização silenciosa, use o seguinte comando.
Substitua o caminho do arquivo de acordo com o local de download do arquivo .pkg.
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
Desinstale o cliente Global Secure Access
Para desinstalar manualmente o cliente Global Secure Access, use o seguinte comando.
sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall
Se você estiver usando um MDM, desinstale o cliente com o MDM.
Ações do cliente
Para visualizar as ações disponíveis do menu do cliente, clique com o botão direito do mouse no ícone da bandeja do sistema Global Secure Access.
Ação | Descrição |
---|---|
Desativar | Desativa o cliente até que o usuário o habilite novamente. Quando o usuário desabilita o cliente, ele é solicitado a inserir uma justificativa comercial e inserir novamente suas credenciais de entrada. A justificação comercial é registada. |
Ativar | Ativa o cliente. |
Pausa | Pausa o cliente por 10 minutos, até que o usuário retome o cliente ou até que o dispositivo seja reiniciado. Quando o usuário pausa o cliente, ele é solicitado a inserir uma justificativa comercial e inserir novamente suas credenciais de entrada. A justificação comercial é registada. |
Currículo | Retoma o cliente pausado. |
Reiniciar | Reinicia o cliente. |
Recolher registos | Coleta logs de clientes e os arquiva em um arquivo zip para compartilhar com o Suporte da Microsoft para investigação. |
Configurações | Abre a ferramenta Configurações e diagnóstico avançado. |
Sobre | Mostra informações sobre a versão do produto. |
Estados do cliente no ícone da área de notificação do sistema
Ícone | Mensagem | Descrição |
---|---|---|
Cliente de Acesso Seguro Global | O cliente está inicializando e verificando sua conexão com o Global Secure Access. | |
Cliente Global Secure Access - Conectado | O cliente está conectado ao Global Secure Access. | |
Cliente Global Secure Access - Desativado | O cliente está desativado porque os serviços estão offline ou o usuário desabilitou o cliente. | |
Cliente Global Secure Access - Desconectado | O cliente não conseguiu se conectar ao Global Secure Access. | |
Global Secure Access Client - Alguns canais estão inacessíveis | O cliente está parcialmente conectado ao Global Secure Access (ou seja, a conexão com pelo menos um canal falhou: Microsoft Entra, Microsoft 365, Private Access, Internet Access). | |
Global Secure Access Client - Desativado pela sua organização | Sua organização desabilitou o cliente (ou seja, todos os perfis de encaminhamento de tráfego estão desabilitados). | |
Acesso Seguro Global - O Acesso Privado está desativado | O utilizador desativou o Acesso Privado neste dispositivo. | |
Acesso Seguro Global - não foi possível conectar-se à Internet | O cliente não conseguiu detetar uma conexão com a Internet. O dispositivo está ligado a uma rede sem ligação à Internet ou a uma rede que requer autenticação através de portal cativo. |
Configurações e solução de problemas
A janela Configurações permite que você defina diferentes configurações e faça algumas ações avançadas. A janela de configurações contém duas guias:
Configurações
Opção | Descrição |
---|---|
Diagnóstico completo de telemetria | Envia dados completos de telemetria para a Microsoft para melhoria do aplicativo. |
Ativar Registo Verboso | Permite que o registo verboso e a captura de rede sejam recolhidos ao exportar os logs para um ficheiro zip. |
Solução de problemas
Ação | Descrição |
---|---|
Obtenha a política mais recente | Transfere e aplica o perfil de encaminhamento mais recente para a sua organização. |
Limpar dados armazenados em cache | Exclui os dados internos armazenados em cache do cliente relacionados à autenticação, perfil de encaminhamento, FQDNs e IPs. |
Exportar logs | Exporta logs e arquivos de configuração relacionados ao cliente para um arquivo zip. |
Ferramenta de Diagnóstico Avançado | Uma ferramenta avançada para monitorar e solucionar problemas de comportamento do cliente. |
Limitações conhecidas
As limitações conhecidas para a versão atual do cliente Global Secure Access incluem:
Sistema de Nomes de Domínio Seguro (DNS)
Se o DNS Seguro estiver ativado no navegador ou no macOS e o servidor DNS suportar DNS Seguro, então o cliente não transferirá através de túnel o tráfego a ser resolvido pelo FQDN. (O tráfego de rede adquirido por IP não é afetado e é encapsulado de acordo com o perfil de encaminhamento.) Para atenuar o problema do DNS seguro, desative o DNS seguro, defina um servidor DNS que não suporte o DNS seguro ou crie regras baseadas no IP.
IPv6 não suportado
O cliente encapsula apenas o tráfego IPv4. O tráfego IPv6 não é adquirido pelo cliente e, portanto, roteado diretamente para a rede. Para se certificar de que todo o tráfego é encaminhado para o Acesso Seguro Global, desative o IPv6.
Solução de contingência para a conexão
Se houver um erro de ligação ao serviço de nuvem, o cliente irá alternar para uma ligação direta à Internet ou bloqueará a ligação, com base no valor de proteção da regra correspondente
Geolocalização do endereço IP de origem
Para o tráfego de rede encapsulado para o serviço de nuvem, o servidor da aplicação (site) detecta o IP de origem da conexão como o endereço IP do ponto de acesso (e não como o endereço IP do dispositivo do utilizador). Esse cenário pode afetar os serviços que dependem da geolocalização.
Dica
Para que o Office 365 e o Entra detetem o verdadeiro IP de origem do dispositivo, considere ativar restauração do IP de origem.
Suporte à virtualização com UTM
- Quando a rede está no modo de ponte e o cliente de Acesso Seguro Global é instalado na máquina host:
- Se o cliente Global Secure Access estiver instalado na máquina virtual, o tráfego de rede da máquina virtual estará sujeito à sua política local. A política da máquina host não afeta o perfil de encaminhamento na máquina virtual.
- Se o do cliente Global Secure Access não estiver instalado na máquina virtual, o tráfego de rede da máquina virtual será ignorado.
- O cliente Global Secure Access não suporta o modo partilhado de rede porque pode bloquear o tráfego de rede da máquina virtual.
- Se a rede estiver no modo partilhado, poderá instalar o cliente Global Secure Access numa máquina virtual que execute o macOS, desde que o cliente não esteja também instalado na máquina host.
QUIC não suportado para acesso à Internet
Como o QUIC ainda não é suportado para acesso à Internet, o tráfego para as portas 80 UDP e 443 UDP não pode ser tunnelizado.
Dica
Atualmente, o QUIC é suportado em cargas de trabalho do Private Access e do Microsoft 365. Os administradores podem desativar o protocolo QUIC nos navegadores, fazendo com que os clientes voltem para HTTPS sobre TCP, que é totalmente suportado no Acesso à Internet. Para obter mais informações, consulte QUIC não suportado para acesso à Internet.