Установка клиента глобального безопасного доступа для macOS

Клиент Глобального безопасного доступа, важный компонент Глобального безопасного доступа, помогает организациям управлять и защищать сетевой трафик на пользовательских устройствах. Основная роль клиента заключается в маршрутизации трафика, который должен быть защищен глобальным безопасным доступом к облачной службе. Весь остальной трафик передается непосредственно в сеть. Профили пересылки, настроенные на портале, определяют, какой трафик направляет клиент Global Secure Access в облачную службу.

В этой статье описывается, как скачать и установить клиент Глобального безопасного доступа для macOS.

Prerequisites

  • Устройство Mac с процессором Intel, M1, M2, M3 или M4 под управлением macOS версии 14 или более поздней версии.
  • Устройство, зарегистрированное в клиенте Microsoft Entra через приложение Корпоративный портал.
  • Клиент Microsoft Entra, подключенный к глобальному безопасному доступу.
  • Подключение к Интернету.
  • Для единого входа для пользователя, вошедшего в приложение Корпоративный портал, требуется развертывание подключаемого модуля Майкрософт Enterprise SSO для устройств Apple.

Скачивание клиента

С Центр администрирования Microsoft Entra можно скачать самую последнюю версию клиента Глобального безопасного доступа:

  1. Войдите в Центр администрирования Microsoft Entra как администратор Global Secure Access Administrator.

  2. Перейдите к Глобальный Безопасный Доступ>Connect>загрузить клиента.

  3. Выберите вкладку macOS .

  4. Выберите Загрузить клиент.

Снимок экрана: панель загрузки клиента. Выделена кнопка

Установка клиента

Автоматическая установка

Используйте следующую команду для тихой установки. замените путь к файлу в соответствии с расположением скачивания файла .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Клиент использует расширения системы и прозрачный прокси приложения, который необходимо утвердить во время установки. Для автоматического развертывания без запроса пользователю разрешить эти компоненты разверните политику для автоматического утверждения компонентов с помощью управления мобильными устройствами (MDM).

Развертывание с помощью Microsoft Intune

Чтобы развернуть файл .pkg клиента Global Secure Access через Microsoft Intune в качестве управляемого приложения:

  1. Скачайте файл GlobalSecureAccessClient.pkg из Центр администрирования Microsoft Entra.

  2. В центре администрирования Microsoft Intune/c0> выберите Apps>All Apps>Create.

  3. В области "Выбор типа приложения" в разделе "Другие типы приложений" выберите приложение macOS (PKG). Затем нажмите кнопку "Выбрать".

  4. На вкладке "Файл пакета приложения" выберите "Выбрать файл пакета приложения". Перейдите к файлу GlobalSecureAccessClient.pkg и нажмите кнопку "ОК".

  5. На вкладке "Сведения о приложении" введите необходимые сведения и нажмите кнопку "Далее".

  6. На вкладке "Требования" установите минимальную операционную систему для macOS 14.0 и нажмите кнопку "Далее".

  7. На вкладке "Правила обнаружения " просмотрите список включенных приложений , чтобы убедиться, что клиентское приложение Глобального безопасного доступа обнаружено правильно. Затем выберите Далее.

  8. На вкладке "Назначения" назначьте приложение соответствующим группам устройств или пользователей. Затем выберите Далее.

  9. Просмотрите конфигурацию и нажмите Создать.

Разрешить расширения системы с помощью управления мобильными устройствами

Это важно

В предыдущих версиях этих инструкций упоминался устаревший тип профиля Расширения. Если ваша организация ранее развернула системные расширения с помощью профиля расширений , перейдите к параметру разрешенных системных расширений в каталоге параметров , как описано в следующих шагах.

Ниже приведены инструкции для Microsoft Intune. Их можно адаптировать для различных решений MDM.

  1. В центре администрирования Microsoft Intune выберите Устройства>Управление устройствами>Конфигурация>Политики>Создать>Новая политика.

  2. Создайте профиль с набором платформыдля macOS и типа профиля в каталоге параметров. Затем выберите Создать.

    Снимок экрана: форма для создания профиля с выделенным типом платформы и профиля.

  3. На вкладке "Основные сведения" введите имя нового профиля и нажмите кнопку "Далее".

  4. На вкладке параметров конфигурации выберите + Добавить параметры.

  5. В средства выбора параметров разверните категорию "Конфигурация системы" и выберите "Расширения системы".

  6. В подкатегории расширений системы выберите разрешенные системные расширения.

    Снимок экрана: средство выбора параметров с выделенными выбранными категориями и подкатегориями.

  7. Закройте средство выбора параметров.

  8. В списке разрешенных системных расширений выберите +Изменить экземпляр.

  9. В диалоге "Настройка экземпляра" настройте параметры нагрузки системных расширений со следующими записями:

    Идентификатор пакета Идентификатор команды
    com.microsoft.globalsecureaccess.tunnel UBF8T346G9
    com.microsoft.globalsecureaccess UBF8T346G9

  10. Нажмите кнопку "Сохранить>далее".

  11. На вкладке теги области действия добавьте теги соответствующим образом.

  12. На вкладке Назначения назначьте профиль группе устройств или пользователей macOS.

  13. На вкладке "Просмотр и создание " просмотрите конфигурацию и нажмите кнопку "Создать".

Разрешить прозрачный прокси приложения через MDM

Ниже приведены инструкции для Microsoft Intune. Их можно адаптировать для различных решений MDM.

  1. В центре администрирования Microsoft Intune выберите Устройства>Управление устройствами>Конфигурация>Политики>Создать>Новая политика.

  2. Создайте профиль для платформы macOS на основе шаблона типа Custom, а затем нажмите кнопку "Создать".

    Снимок экрана: форма создания профиля с выделенной платформой, типом профиля и типом шаблона.

  3. На вкладке "Основные сведения" введите значение "Имя " для профиля.

  4. На вкладке "Параметры конфигурации" введите значение имени пользовательского профиля конфигурации .

  5. Оставьте канал развертывания установленным на Device Channel.

  6. Отправьте файл .xml, содержащий следующие данные:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>PayloadUUID</key>
    <string>87cbb424-6af7-4748-9d43-f1c5dda7a0a6</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadOrganization</key>
    <string>Microsoft Corporation</string>
    <key>PayloadIdentifier</key>
    <string>com.microsoft.globalsecureaccess</string>
    <key>PayloadDisplayName</key>
    <string>Global Secure Access Proxy Configuration</string>
    <key>PayloadDescription</key>
    <string>Add Global Secure Access Proxy Configuration</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadContent</key>
    <array>
      <dict>
        <key>PayloadUUID</key>
        <string>04e13063-2bb8-4b72-b1ed-45290f91af68</string>
        <key>PayloadType</key>
        <string>com.apple.vpn.managed</string>
        <key>PayloadOrganization</key>
        <string>Microsoft Corporation</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.globalsecureaccess</string>
        <key>PayloadDisplayName</key>
        <string>Global Secure Access Proxy Configuration</string>
        <key>PayloadDescription</key>
        <string/>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>TransparentProxy</key>
        <dict>
          <key>AuthenticationMethod</key>
          <string>Password</string>
          <key>Order</key>
          <integer>1</integer>
          <key>ProviderBundleIdentifier</key>
          <string>com.microsoft.globalsecureaccess.tunnel</string>
          <key>ProviderDesignatedRequirement</key>
          <string>identifier "com.microsoft.globalsecureaccess.tunnel" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
          <key>ProviderType</key>
          <string>app-proxy</string>
          <key>RemoteAddress</key>
          <string>100.64.0.0</string>
        </dict>
        <key>UserDefinedName</key>
        <string>Global Secure Access Proxy Configuration</string>
        <key>VPNSubType</key>
        <string>com.microsoft.globalsecureaccess</string>
        <key>VPNType</key>
        <string>TransparentProxy</string>
      </dict>
    </array>
  </dict>
</plist>

  7. Завершите создание профиля, назначив пользователей и устройств в соответствии с вашими потребностями.

Установка клиента вручную

  1. GlobalSecureAccessClient.pkg Запустите файл установки. Запускается мастер установки . Следуйте инструкциям.

  2. На шаге "Введение" нажмите кнопку "Продолжить".

  3. На шаге "Лицензия" нажмите кнопку "Продолжить", а затем нажмите кнопку "Согласиться" , чтобы принять лицензионное соглашение.

    Снимок экрана: этап лицензии мастера установки с диалоговым окном лицензионного соглашения программы.

  4. На шаге установки выберите "Установить".

  5. На шаге "Сводка " после завершения установки нажмите кнопку "Закрыть".

  6. Разрешить расширение системы глобального безопасного доступа:

    1. В диалоговом окне «Блокировка системного расширения» выберите «Открыть настройки системы».

      Снимок экрана диалогового окна

    2. Разрешите расширение системы клиента Global Secure Access, нажав кнопку "Разрешить".

      Снимок экрана: параметры системы, открытые для параметров конфиденциальности и безопасности, показывающие заблокированное сообщение приложения с выделенной кнопкой

    3. В диалоговом окне конфиденциальность и & безопасность введите имя пользователя и пароль, чтобы подтвердить утверждение расширения системы. Затем выберите Изменить параметры.

      Снимок экрана: диалоговое окно

    4. Завершите процедуру, выбрав Разрешить, чтобы разрешить клиенту Global Secure Access добавить настройки конфигурации прокси.

      Снимок экрана: диалоговое окно, в котором говорится, что клиент глобального безопасного доступа хотел бы добавить конфигурации прокси-сервера с выделенной кнопкой

  7. После завершения установки может появиться запрос на вход в Microsoft Entra.

    Note

    Если развернут подключаемый модуль Майкрософт Enterprise SSO для устройств Apple, по умолчанию используется единый вход в систему с учетными данными, введенными в приложении Корпоративный портал.

  8. Убедитесь, что в системном трее отображается значок "Глобальный безопасный доступ — подключенный". Это означает успешное подключение к глобальному безопасному доступу.

    Снимок экрана: область системы с значком подключения к глобальному безопасному доступу.

Обновление клиента

Установщик клиента поддерживает обновления. Мастер установки можно использовать для установки новой версии на устройстве, на котором в настоящее время выполняется предыдущая версия клиента.

Для незаметного обновления выполните следующую команду. замените путь к файлу в соответствии с расположением скачивания файла .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Удалите клиент

Чтобы вручную удалить клиент Глобального безопасного доступа, используйте любой из следующих методов:

  • Запустите приложение Удаление клиента Global Secure Access.
  • Выполните следующую команду: sudo /Applications/GlobalSecureAccessClient/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall.

Если вы используете решение MDM, удалите клиент с решением MDM.

Действия клиента

Чтобы просмотреть доступные действия клиентского меню, щелкните правой кнопкой мыши значок Global Secure Access в области уведомлений.

Снимок экрана: список действий клиента глобального безопасного доступа.

Action Description
Disable Отключает клиент, пока не включите его еще раз. При отключении клиента вам будет предложено ввести бизнес-обоснование и повторно ввести учетные данные для входа. Бизнес-обоснование зарегистрировано.
Enable Активирует клиента.
Pause Приостанавливает клиент в течение 10 минут, пока не возобновляется клиент или пока устройство не будет перезапущено. При приостановке клиента вам будет предложено ввести бизнес-обоснование и повторно ввести учетные данные для входа. Бизнес-обоснование зарегистрировано.
Resume Возобновляет приостановленный клиент.
Restart Перезапускает клиент.
Сбор журналов Собирает журналы клиентов и архивирует их в файле .zip для совместного использования с служба поддержки Майкрософт для расследования.
Settings Открывает средство "Параметры и Расширенная диагностика".
About Отображает сведения о версии продукта.

Статусы клиента в области уведомлений

Icon Message Description
Клиент глобального безопасного доступа Клиент инициализирует и проверяет подключение к глобальному безопасному доступу.
Клиент глобального безопасного доступа — подключенный Клиент подключен к глобальному безопасному доступу.
Глобальный клиент безопасного доступа — отключен Клиент отключен, поскольку службы находятся в автономном режиме или вы отключили клиента.
Глобальный клиент безопасного доступа — отключен Клиенту не удалось подключиться к глобальному безопасному доступу.
Клиент глобального безопасного доступа. Некоторые каналы недоступны Клиент частично подключен к глобальному безопасному доступу. То есть подключение по крайней мере к одному каналу не удалось: Microsoft Entra, Microsoft 365, частный доступ, доступ к Интернету.
Глобальный клиент безопасного доступа — отключено вашей организацией Ваша организация отключила клиента. То есть все профили пересылки трафика отключены.
Глобальный безопасный доступ — закрытый доступ отключен На этом устройстве отключен закрытый доступ.
Глобальный безопасный доступ — не удалось подключиться к Интернету Клиент не мог обнаружить подключение к Интернету. Устройство подключено к сети, которая не имеет подключения к Интернету или подключена к сети, требующей входа на портал.

Параметры и устранение неполадок

В окне "Параметры " можно задать конфигурации и выполнить некоторые дополнительные действия. В окне "Параметры" есть две вкладки .

Вкладка "Параметры"

Option Description
полная диагностическая телеметрия Отправляет полные диагностические данные в Майкрософт для улучшения приложений.
Включить подробное журналирование Позволяет собирать подробные журналы и запись сети при экспорте журналов в файл .zip.

Снимок экрана: вкладка

Вкладка "Устранение неполадок"

Action Description
Получите последнюю версию политики Загружает и применяет новейший профиль пересылки для вашей организации.
Очистить кэшированные данные Удаляет внутренние кэшированные данные клиента, связанные с проверкой подлинности, профилем пересылки, полными доменными именами и IP-адресами.
Экспорт журналов Экспортирует журналы, связанные с клиентом, и файлы конфигурации в файл .zip.
Расширенное средство диагностики Открывает расширенное средство для мониторинга и устранения неполадок поведения клиента.

Снимок экрана: вкладка

Скрытие или отображение кнопок меню в области уведомлений

Администратор может отображать или скрывать определенные кнопки на меню значков в системном трее клиента, развернув значения в следующей таблице.

Value Type Data Поведение по умолчанию Description
HideDisablePrivateAccessButton Boolean false = показано true = скрыто Скрыто Установите это значение, чтобы отобразить или скрыть кнопку "Отключить закрытый доступ ". Этот параметр предназначен для сценария, когда устройство напрямую подключено к корпоративной сети, и пользователь предпочитает обращаться к частным приложениям непосредственно через сеть, а не через глобальный безопасный доступ.
HideDisableButton Boolean false = показывать true = скрывать Показано Чтобы показать или скрыть действие "Отключить, установите это значение. Когда действие отображается, пользователь может отключить клиент глобального безопасного доступа. Клиент остается отключенным, пока пользователь не включит его снова или перезагрузит устройство.
HidePauseButton Boolean false = показаны true = скрытые Показано Установите это значение, чтобы показать или скрыть действие Пауза. Когда действие отображается, пользователь может приостановить клиент глобального безопасного доступа. Клиент приостанавливается в течение 10 минут или пока пользователь не будет снова включать его.
HideQuitButton Boolean false = показано true = скрыто Скрыто Установите это значение, чтобы показать или скрыть действие Выход. Когда действие отображается, пользователь может выйти из клиента Global Secure Access, который закрывает клиентское приложение. Чтобы снова открыть его, запустите приложение Global Secure Access из Finder.

Вы также можете настроить меню значков в области уведомлений клиента с помощью Microsoft Intune.

  1. Следуйте инструкциям по созданию профиля.

  2. В поле "Имя домена предпочтения" введите com.microsoft.globalsecureaccess.

  3. Для файла списка свойств отправьте XML-файл, аналогичный следующему примеру. Пересматривайте XML, чтобы соответствовать вашим предпочтениям.

    <key>HidePauseButton</key>
<false/>
<key>HideDisableButton</key>
<false/>
<key>HideQuitButton</key>
<true/>
<key>HideDisablePrivateAccessButton</key>
<true/>

Screenshot шага конфигурации в центре администрирования Microsoft Intune с примером XML-кода.

Известные ограничения

Подробные сведения об известных проблемах и ограничениях см. в разделе "Известные ограничения для глобального безопасного доступа".

Связанный контент

  • Last updated on