Installare il client Di accesso sicuro globale per macOS

Il client Accesso sicuro globale, un componente essenziale di Accesso sicuro globale, consente alle organizzazioni di gestire e proteggere il traffico di rete nei dispositivi utente. Il ruolo principale del client consiste nel instradare il traffico che deve essere protetto dall'accesso sicuro globale al servizio cloud. Tutto l'altro traffico passa direttamente alla rete. I profili di inoltro configurati nel portale determinano il traffico che il client di accesso sicuro globale instrada al servizio cloud.

Questo articolo descrive come scaricare e installare il client Di accesso sicuro globale per macOS.

Prerequisites

  • Un dispositivo Mac con un processore Intel, M1, M2, M3 o M4 che esegue macOS versione 14 o successiva.
  • Un dispositivo registrato in un tenant di Microsoft Entra tramite l'app Portale aziendale.
  • Un tenant di Microsoft Entra è stato integrato in Accesso Sicuro Globale.
  • Una connessione Internet.
  • Per facilitare un'esperienza single sign-on (SSO) basata sull'utente connesso all'app Portale aziendale, è necessaria la distribuzione del plug-in Microsoft Enterprise SSO per i dispositivi Apple.

Scaricare il client

È possibile scaricare la versione più recente del client Di accesso sicuro globale dal Interfaccia di amministrazione di Microsoft Entra:

  1. Accedere al Interfaccia di amministrazione di Microsoft Entra come amministratore di accesso sicuro Global Secure Access Administrator.

  2. Passare a Accesso Sicuro Globale>Connect>Download del Client.

  3. Selezionare la scheda macOS .

  4. Selezionare Download Client.

Screenshot del pannello per i download client. Il pulsante Scarica client è evidenziato.

Installare il client

Installazione automatica

Usare il comando seguente per l'installazione invisibile all'utente. Sostituire il percorso del file in base alla posizione di download del file .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Il client usa le estensioni di sistema e un proxy applicazione trasparente che è necessario approvare durante l'installazione. Per una distribuzione invisibile all'utente senza chiedere all'utente di consentire questi componenti, distribuire un criterio per approvare automaticamente i componenti usando la gestione dei dispositivi mobili (MDM).

Eseguire la distribuzione con Microsoft Intune

Per distribuire il file di .pkg del client Di accesso sicuro globale tramite Microsoft Intune come app gestita:

  1. Scaricare il file GlobalSecureAccessClient.pkg dal Interfaccia di amministrazione di Microsoft Entra.

  2. Nell'interfaccia di amministrazione Microsoft Intune selezionare Apps>All Apps>Create.

  3. Nel riquadro Seleziona tipo di app selezionare app macOS (PKG) in Altri tipi di app. Quindi, scegli Seleziona.

  4. Nella scheda File del pacchetto dell'app, seleziona Seleziona file del pacchetto dell'app. Passare al GlobalSecureAccessClient.pkg file e quindi selezionare OK.

  5. Nella scheda Informazioni sull'app immettere i dettagli necessari e quindi selezionare Avanti.

  6. Nella scheda Requisiti impostare il sistema operativo minimo su macOS 14.0 e quindi selezionare Avanti.

  7. Nella scheda Regole di rilevamento esaminare l'elenco App incluse per verificare che l'app client Accesso sicuro globale sia stata rilevata correttamente. Quindi, seleziona Avanti.

  8. Nella scheda Assegnazioni assegnare l'app al dispositivo o ai gruppi di utenti appropriati. Quindi, seleziona Avanti.

  9. Controllare la configurazione e quindi selezionare Crea.

Consenti estensioni di sistema tramite la gestione dei dispositivi mobili

Importante

Le versioni precedenti di queste istruzioni si riferivano al tipo di profilo Estensioni deprecato. Se l'organizzazione ha distribuito in precedenza le estensioni di sistema usando il profilo Estensioni , eseguire la migrazione all'impostazione Estensioni di sistema consentite nel catalogo delle impostazioni , come descritto nei passaggi seguenti.

Le istruzioni seguenti sono disponibili per Microsoft Intune. È possibile adattarli per diverse soluzioni MDM.

  1. Nell'interfaccia di amministrazione di Microsoft Intune, selezionare Dispositivi>Gestire i dispositivi>Configurazione>Criteri>Crea>Nuovo criterio.

  2. Creare un profilo con Platform impostato su macOS e Tipo di profilo impostato su Catalogo impostazioni. Successivamente, seleziona Crea.

    Screenshot del modulo per la creazione di un profilo, con la piattaforma e il tipo di profilo evidenziati.

  3. Nella scheda Informazioni di base immettere un nome per il nuovo profilo e quindi selezionare Avanti.

  4. Nella scheda impostazioni di configurazione selezionare + Aggiungi impostazioni.

  5. In Selezione impostazioni espandere la categoria Configurazione sistema e selezionare Estensioni di sistema.

  6. Nella sottocategoria Estensioni di sistema selezionare Estensioni di sistema consentite.

    Screenshot della selezione delle impostazioni con le selezioni di categoria e sottocategoria evidenziate.

  7. Chiudi selezione impostazioni.

  8. Nell'elenco Estensioni di sistema consentite selezionare + Modifica istanza.

  9. Nella finestra di dialogo Configura istanza configurare le impostazioni del payload delle estensioni di sistema con le voci seguenti:

    Identificatore del bundle Identificatore del team
    com.microsoft.globalsecureaccess.tunnel UBF8T346G9
    com.microsoft.globalsecureaccess UBF8T346G9

  10. Selezionare Salva>Avanti.

  11. Nella scheda Tag ambito, aggiungi i tag necessari.

  12. Nella scheda Assegnazioni assegnare il profilo a un gruppo di dispositivi o utenti macOS.

  13. Nella scheda Rivedi e crea esaminare la configurazione e quindi selezionare Crea.

Consentire un proxy di applicazione trasparente tramite MDM

Le istruzioni seguenti sono disponibili per Microsoft Intune. È possibile adattarli per diverse soluzioni MDM.

  1. Nell'interfaccia di amministrazione di Microsoft Intune, selezionare DispositiviGestire i dispositiviConfigurazioneCriteriCreaNuovo criterio.

  2. Creare un profilo per la piattaforma macOS in base a un modello di tipo Personalizzato e quindi selezionare Crea.

    Screenshot del modulo per la creazione di un profilo con la piattaforma, il tipo di profilo e il tipo di modello evidenziati.

  3. Nella scheda Informazioni di base immettere un valore Nome per il profilo.

  4. Nella scheda Impostazioni di configurazione immettere un valore del nome del profilo di configurazione personalizzato .

  5. Mantenere il canale di distribuzione impostato su Canale del dispositivo.

  6. Caricare un file .xml che contiene i dati seguenti:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>PayloadUUID</key>
    <string>87cbb424-6af7-4748-9d43-f1c5dda7a0a6</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadOrganization</key>
    <string>Microsoft Corporation</string>
    <key>PayloadIdentifier</key>
    <string>com.microsoft.globalsecureaccess</string>
    <key>PayloadDisplayName</key>
    <string>Global Secure Access Proxy Configuration</string>
    <key>PayloadDescription</key>
    <string>Add Global Secure Access Proxy Configuration</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadContent</key>
    <array>
      <dict>
        <key>PayloadUUID</key>
        <string>04e13063-2bb8-4b72-b1ed-45290f91af68</string>
        <key>PayloadType</key>
        <string>com.apple.vpn.managed</string>
        <key>PayloadOrganization</key>
        <string>Microsoft Corporation</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.globalsecureaccess</string>
        <key>PayloadDisplayName</key>
        <string>Global Secure Access Proxy Configuration</string>
        <key>PayloadDescription</key>
        <string/>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>TransparentProxy</key>
        <dict>
          <key>AuthenticationMethod</key>
          <string>Password</string>
          <key>Order</key>
          <integer>1</integer>
          <key>ProviderBundleIdentifier</key>
          <string>com.microsoft.globalsecureaccess.tunnel</string>
          <key>ProviderDesignatedRequirement</key>
          <string>identifier "com.microsoft.globalsecureaccess.tunnel" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
          <key>ProviderType</key>
          <string>app-proxy</string>
          <key>RemoteAddress</key>
          <string>100.64.0.0</string>
        </dict>
        <key>UserDefinedName</key>
        <string>Global Secure Access Proxy Configuration</string>
        <key>VPNSubType</key>
        <string>com.microsoft.globalsecureaccess</string>
        <key>VPNType</key>
        <string>TransparentProxy</string>
      </dict>
    </array>
  </dict>
</plist>

  7. Completare la creazione del profilo assegnando utenti e dispositivi in base alle esigenze.

Installare manualmente il client

  1. Eseguire il file di GlobalSecureAccessClient.pkg installazione. L'installazione guidata viene avviata. Seguire le istruzioni.

  2. Nel passaggio Introduzione selezionare Continua.

  3. Nel passaggio Licenza selezionare Continua e quindi selezionare Accetta per accettare il contratto di licenza.

    Screenshot del passaggio Licenza della procedura di installazione, che mostra la finestra di dialogo del contratto di licenza software.

  4. Nel passaggio Installazione selezionare Installa.

  5. Nel passaggio Riepilogo , al termine dell'installazione, selezionare Chiudi.

  6. Consenti l'estensione del sistema di accesso sicuro globale:

    1. Nella finestra di dialogo Blocco dell'estensione di sistema, selezionare Apri impostazioni di sistema.

      Screenshot della finestra di dialogo Estensione sistema bloccata con Apri impostazioni di sistema evidenziate.

    2. Consentire l'estensione di sistema del client Accesso sicuro globale selezionando Consenti.

      Screenshot delle impostazioni di sistema, aperte alle opzioni di privacy e sicurezza, che mostra un messaggio di applicazione bloccata con il pulsante Consenti evidenziato.

    3. Nella finestra di dialogo Privacy & Security, inserisci il tuo nome utente e la tua password per convalidare l'approvazione dell'estensione di sistema. Selezionare quindi Modifica impostazioni.

      Screenshot della finestra di dialogo Privacy e sicurezza che richiede le credenziali di accesso, con il pulsante Modifica impostazioni evidenziato.

    4. Completare il processo selezionando Consenti per consentire al client Global Secure Access di aggiungere configurazioni proxy.

      Screenshot della finestra di dialogo che indica che il client Di accesso sicuro globale vuole aggiungere configurazioni proxy, con il pulsante Consenti evidenziato.

  7. Al termine dell'installazione, potrebbe essere richiesto di accedere a Microsoft Entra.

    Note

    Se viene distribuito il plug-in Microsoft Enterprise SSO per i dispositivi Apple, il comportamento predefinito consiste nell'usare SSO con le credenziali immesse nell'app Portale aziendale.

  8. Verificare che l'icona Accesso sicuro globale - Connesso sia visualizzata nell'area di notifica. Indica una connessione riuscita all'accesso sicuro globale.

    Screenshot della barra delle applicazioni con l'icona per la connettività all'accesso sicuro globale evidenziata.

Aggiornare il client

Il programma di installazione client supporta gli aggiornamenti. È possibile usare l'installazione guidata per installare una nuova versione in un dispositivo che esegue attualmente una versione client precedente.

Per un aggiornamento invisibile all'utente, eseguire il comando seguente. Sostituire il percorso del file in base alla posizione di download del file .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Disinstallare il client

Per disinstallare manualmente il client Di accesso sicuro globale, usare uno dei metodi seguenti:

  • Eseguire l'applicazione Uninstall Global Secure Access Client .
  • Eseguire il comando seguente: sudo /Applications/GlobalSecureAccessClient/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall.

Se si usa una soluzione MDM, disinstallare il client con la soluzione MDM.

Azioni cliente

Per visualizzare le azioni del menu client disponibili, fare clic con il pulsante destro del mouse sull'icona Accesso sicuro globale nella barra delle applicazioni.

Screenshot che mostra l'elenco delle azioni cliente di Global Secure Access.

Action Description
Disable Disabilita il client fino a quando non viene nuovamente abilitato. Quando si disabilita il client, viene richiesto di immettere una giustificazione aziendale e immettere nuovamente le credenziali di accesso. La motivazione aziendale viene registrata.
Enable Abilita il client.
Pause Sospende il client per 10 minuti, fino a quando non si riprende il client o fino al riavvio del dispositivo. Quando si sospende il client, viene richiesto di immettere una giustificazione aziendale e immettere nuovamente le credenziali di accesso. La motivazione aziendale viene registrata.
Resume Riprende il client sospeso.
Restart Riavvia il client.
Raccogliere i log Raccoglie i log client e li archivia in un file .zip da condividere con supporto tecnico Microsoft per l'analisi.
Settings Apre lo strumento Impostazioni e Diagnostica avanzata .
About Mostra informazioni sulla versione del prodotto.

Stati del client nella barra delle applicazioni del sistema

Icon Message Description
Client di accesso sicuro globale Il client sta inizializzando e controllando la connessione ad Accesso sicuro globale.
Client di accesso sicuro globale - Connesso Il client è connesso all'accesso sicuro globale.
Client di accesso sicuro globale - Disabilitato Il client è disabilitato perché i servizi sono offline o il client è stato disabilitato.
Client di accesso sicuro globale - Disconnesso Il client non è riuscito a connettersi all'accesso sicuro globale.
Client di accesso sicuro globale - Alcuni canali non sono raggiungibili Il client è parzialmente connesso all'accesso sicuro globale. Ovvero, la connessione ad almeno un canale non è riuscita: Microsoft Entra, Microsoft 365, Accesso privato, Accesso Internet.
Client di accesso sicuro globale - Disabilitato dall'organizzazione L'organizzazione ha disabilitato il client. Ovvero, tutti i profili di trasmissione del traffico sono disabilitati.
Accesso sicuro globale : l'accesso privato è disabilitato L'accesso privato è stato disabilitato nel dispositivo.
Accesso sicuro globale: non è stato possibile connettersi a Internet Il client non è riuscito a rilevare una connessione Internet. Il dispositivo è connesso a una rete che non dispone di una connessione Internet o di una rete che richiede l'accesso a Captive Portal.

Impostazioni e risoluzione dei problemi

Nella finestra Impostazioni è possibile impostare le configurazioni ed eseguire alcune azioni avanzate. La finestra delle Impostazioni include due schede.

Scheda delle Impostazioni

Option Description
Diagnostica completa dei dati di telemetria Invia dati di diagnostica completi a Microsoft per migliorare l'applicazione.
Abilitare la registrazione dettagliata Abilita la registrazione dettagliata e l'acquisizione di rete da raccogliere quando si esportano i log in un file di .zip.

Screenshot della scheda Impostazioni macOS.

Scheda Risoluzione dei problemi

Action Description
Ottieni la politica più recente Scarica e applica il profilo di inoltro più recente per la vostra organizzazione.
Cancellare i dati memorizzati nella cache Elimina i dati interni memorizzati nella cache del client correlati all'autenticazione, al profilo di inoltro, ai nomi di dominio completi e agli indirizzi IP.
Esporta log Esporta i log e i file di configurazione correlati al client in un file di .zip.
strumento di diagnostica avanzata Apre uno strumento avanzato per monitorare e risolvere i problemi relativi al comportamento del client.

Screenshot della scheda risoluzione dei problemi di macOS.

Nascondere o visualizzare i pulsanti di menu nella barra delle applicazioni

L'amministratore può visualizzare o nascondere pulsanti specifici nel menu icona nella barra delle applicazioni del client distribuendo i valori nella tabella seguente.

Value Type Data Comportamento predefinito Description
HideDisablePrivateAccessButton Boolean false = mostrato true = nascosto Nascosto Impostare questo valore per visualizzare o nascondere il pulsante Disabilita accesso privato . Questa opzione è per uno scenario in cui il dispositivo è connesso direttamente alla rete aziendale e l'utente preferisce accedere alle applicazioni private direttamente tramite la rete anziché tramite l'accesso sicuro globale.
HideDisableButton Boolean false = mostrato true = nascosto Mostrato Impostare questo valore per visualizzare o nascondere l'azione Disabilita . Quando l'azione è visibile, l'utente può disabilitare il client accesso sicuro globale. Il client rimane disabilitato fino a quando l'utente non lo abilita nuovamente o riavvia il dispositivo.
HidePauseButton Boolean false = mostrato true = nascosto Mostrato Impostare questo valore per visualizzare o nascondere l'azione Sospendi . Quando l'azione è visibile, l'utente può sospendere il client accesso sicuro globale. Il client viene sospeso per 10 minuti o finché l'utente non lo abilita nuovamente.
HideQuitButton Boolean false = mostrato true = nascosto Nascosto Impostare questo valore per visualizzare o nascondere l'azione Esci . Quando l'azione è visibile, l'utente può uscire dal client Global Secure Access, chiudendo così l'applicazione client. Per aprirlo di nuovo, eseguire l'applicazione Accesso sicuro globale da Finder.

È anche possibile configurare il menu icona nell'area di notifica del client usando Microsoft Intune:

  1. Seguire le istruzioni per creare il profilo.

  2. Per Nome di dominio preferenza immettere com.microsoft.globalsecureaccess.

  3. Per File elenco proprietà caricare un file XML simile all'esempio seguente. Rivedere il codice XML in modo che corrisponda alle preferenze.

    <key>HidePauseButton</key>
<false/>
<key>HideDisableButton</key>
<false/>
<key>HideQuitButton</key>
<true/>
<key>HideDisablePrivateAccessButton</key>
<true/>

Screenshot del passaggio di configurazione nell'interfaccia di amministrazione di Microsoft Intune, che mostra il codice XML di esempio.

Limitazioni note

Per informazioni dettagliate su problemi noti e limitazioni, vedere Limitazioni note per l'accesso sicuro globale.

Contenuti correlati

  • Last updated on