重要
适用于 macOS 的全局安全访问客户端目前以预览版提供。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft对此处提供的信息不作任何明示或暗示的保证。
Global Secure Access 客户端是全局安全访问的重要组成部分,可帮助组织管理和保护最终用户设备上的网络流量。 客户端的主要角色是将需要由全球安全访问保护的流量路由到云服务。 所有其他流量直接流向网络。 门户中配置的转发配置文件确定全球安全访问客户端路由到云服务的流量。
本文介绍如何下载和安装适用于 macOS 的全局安全访问客户端。
先决条件
- 具有 Intel、M1、M2、M3 或 M4 处理器的 Mac 设备,运行 macOS 版本 13 或更高版本。
- 使用公司门户注册到 Microsoft Entra 租户的设备。
- 载入到全球安全访问的 Microsoft Entra 租户。
- 建议为 Apple 设备部署 Microsoft Enterprise 单一登录(SSO)插件,以便提供基于登录到公司门户的用户的 SSO 体验。
- 互联网连接。
下载客户端
全局安全访问客户端的最新版本可从 Microsoft Entra 管理中心下载。
- 以 全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“全球安全访问”“连接”>“客户端下载”>。
- 选择“下载客户端”。
安装全局安全访问客户端
自动安装
使用以下命令进行无提示安装。 根据.pkg文件的下载位置替换文件路径。
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
客户端使用在安装过程中需要批准的系统扩展和透明应用程序代理。 对于无需提示最终用户允许组件的静默部署,可以通过部署策略与移动设备管理系统一同自动批准这些组件。
允许通过移动设备管理(MDM)进行系统扩展
以下说明适用于 Microsoft Intune,你可以针对不同的 MDM 对其进行调整:
- 在 Microsoft Intune 管理中心,选择 设备>管理设备>配置>策略>创建>新策略。
- 创建具有平台为macOS且配置文件类型设置为设置目录的配置文件。 选择 创建。
- 在“基本信息”选项卡上,输入新配置文件的名称,然后选择“下一步”。
- 在 “配置设置 ”选项卡上,选择“ + 添加设置”。
- 在 “设置”选取器中,展开 “系统配置 ”类别,然后选择“ 系统扩展”。
- 从 “系统扩展 ”子类别中,选择 “允许的系统扩展”。
- 关闭 “设置”选取器。
- 在 “允许的系统扩展”列表中,选择“ + 编辑实例”。
- 在 “配置实例 ”对话框中,使用以下条目配置系统扩展有效负载设置:
| 捆绑标识符 | 团队标识符 |
|---|---|
| com.microsoft.naas.globalsecure.tunnel-df | UBF8T346G9 |
| com.microsoft.naas.globalsecure-df | UBF8T346G9 |
- 依次选择“保存”和“下一步” 。
- 在 “作用域标记 ”选项卡上,根据需要添加标记。
- 在“ 分配 ”选项卡上,将配置文件分配给一组 macOS 设备或用户。
- 在“ 审阅 + 创建 ”选项卡上,查看配置并选择“ 创建”。
通过 MDM 允许透明的应用程序代理
以下说明适用于 Microsoft Intune,你可以针对不同的 MDM 对其进行调整:
- 在 Microsoft Intune 管理中心,选择 设备>管理设备>配置>策略>创建>新策略。
- 基于“自定义”类型的模板为 macOS 平台创建配置文件,并选择“创建”。
- 在“基本信息”选项卡上,输入配置文件的名称。
- 在“配置设置”选项卡上,输入“自定义配置文件名称”。
- 将 部署通道 设置为“设备通道”。
- 上传包含以下数据的 .xml 文件:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>87cbb424-6af7-4748-9d43-f1c5dda7a0a6</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.naas.globalsecure-df</string>
<key>PayloadDisplayName</key>
<string>Global Secure Access Proxy Configuration</string>
<key>PayloadDescription</key>
<string>Add Global Secure Access Proxy Configuration</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>04e13063-2bb8-4b72-b1ed-45290f91af68</string>
<key>PayloadType</key>
<string>com.apple.vpn.managed</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.naas.globalsecure-df</string>
<key>PayloadDisplayName</key>
<string>Global Secure Access Proxy Configuration</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>TransparentProxy</key>
<dict>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>Order</key>
<integer>1</integer>
<key>ProviderBundleIdentifier</key>
<string>com.microsoft.naas.globalsecure.tunnel-df</string>
<key>ProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.naas.globalsecure.tunnel-df" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
<key>ProviderType</key>
<string>app-proxy</string>
<key>RemoteAddress</key>
<string>100.64.0.0</string>
</dict>
<key>UserDefinedName</key>
<string>Global Secure Access Proxy Configuration</string>
<key>VPNSubType</key>
<string>com.microsoft.naas.globalsecure-df</string>
<key>VPNType</key>
<string>TransparentProxy</string>
</dict>
</array>
</dict>
</plist>
- 根据需要分配用户和设备,完成配置文件的创建。
手动交互式安装
手动安装全局安全访问客户端:
运行GlobalSecureAccessClient.pkg安装程序文件。 “安装”向导启动。 按照提示操作。
在“简介”步骤中,选择“继续”。
在 许可证 步骤中,选择 继续,然后选择 同意 接受许可协议。
在 安装 步骤中,选择 安装。
在 摘要 步骤中,安装完成后,选择 关闭。
允许全球安全访问系统扩展。
在“已阻止系统扩展”对话框中,选择“打开系统设置”。
选择“允许”,允许全球安全访问客户端系统扩展。
在 隐私 & 安全 对话框中,输入用户名和密码以验证系统扩展的批准。 然后选择 修改设置。
选择“允许”,允许全球安全访问客户端添加代理配置,完成此过程。
安装完成后,系统可能会提示你登录到 Microsoft Entra。
注意
如果在 Apple 设备上部署 Microsoft Enterprise SSO 插件,则默认行为是使用在公司门户中输入的凭据进行单一登录。
- “全球安全访问 - 已连接”图标显示在系统托盘中,指示已成功连接到全球安全访问。
升级全局安全访问客户端
客户端安装程序支持升级。 可以使用安装向导在当前运行以前的客户端版本的设备上安装新版本。
对于无提示升级,请使用以下命令。
根据.pkg文件的下载位置替换文件路径。
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
卸载全局安全访问客户端
若要手动卸载全局安全访问客户端,请使用以下命令。
sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall
如果使用 MDM,请使用 MDM 卸载客户端。
客户端操作
若要查看可用的客户端菜单操作,请右键单击全局安全访问系统托盘图标。
| 操作 | 描述 |
|---|---|
| 禁用 | 禁用客户端,直到用户再次启用它。 当用户禁用客户端时,系统会提示他们输入业务理由并重新输入其登录凭据。 记录业务理由。 |
| 启用 | 启用客户端。 |
| 暂停 | 将客户端暂停 10 分钟,直到用户恢复客户端或设备重启为止。 当用户暂停客户端时,系统会提示他们输入业务理由并重新输入其登录凭据。 记录业务理由。 |
| 恢复 | 恢复暂停的客户端。 |
| 重启 | 重启客户端。 |
| 收集日志 | 收集客户端日志并将其存档在 zip 文件中,以便与Microsoft支持人员共享以进行调查。 |
| 设置 | 打开“设置”和“高级诊断”工具。 |
| 关于 | 显示有关产品版本的信息。 |
系统托盘图标中的客户端状态
| 图标 | 消息 | 描述 |
|---|---|---|
|
全球安全访问客户端 | 客户端正在初始化并检查其与全局安全访问的连接。 |
|
全球安全访问客户端 - 已连接 | 客户端已连接到 Global Secure Access。 |
|
全局安全访问客户端 - 已禁用 | 由于服务处于脱机状态或用户禁用客户端,因此客户端被禁用。 |
|
全球安全访问客户端 - 已断开连接 | 客户端无法连接到全局安全访问。 |
|
全局安全访问客户端 - 某些通道无法访问 | 客户端部分连接到全球安全访问(即至少以下一个通道的连接失败:Microsoft Entra、Microsoft 365、专用访问、Internet 访问)。 |
|
|
全球安全访问客户端 - 已被您的组织禁用 | 组织已禁用客户端(即,所有流量转发配置文件均已禁用)。 |
|
|
全局安全访问 - 禁用专用访问 | 用户在此设备上禁用了专用访问。 |
|
|
全局安全访问 - 无法连接到 Internet | 客户端无法检测到 Internet 连接。 设备连接到没有互联网连接的网络,或连接到需要门户认证的网络。 |
设置和故障排除
“设置”窗口允许设置不同的配置并执行一些高级操作。 设置窗口包含两个选项卡:
设置
| 选项 | 描述 |
|---|---|
| 遥测全面诊断 | 将完整的遥测数据发送到Microsoft,以改进应用程序。 |
| 启用详细日志记录 | 允许在将日志导出到 zip 文件时收集详细日志记录和网络捕获。 |
故障排除
| 操作 | 描述 |
|---|---|
| 获取最新策略 | 下载并应用适合你的组织的最新转发配置。 |
| 清除缓存的数据 | 删除与身份验证、转发配置文件、FQDN 和 IP 相关的客户端内部缓存数据。 |
| 导出日志 | 将与客户端相关的日志和配置文件导出到 zip 文件。 |
| 高级诊断工具 | 用于监视和排查客户端行为问题的高级工具。 |
已知限制
有关已知问题和限制的详细信息,请参阅 全局安全访问的已知限制。
相关内容
- 适用于 Microsoft Windows 的
全局安全访问客户端 - 适用于 iOS 的
全局安全访问客户端 - 适用于 Android 的
全局安全访问客户端