Sdílet prostřednictvím

Instalace klienta globálního zabezpečeného přístupu pro macOS

Klient globálního zabezpečeného přístupu, základní komponenta globálního zabezpečeného přístupu, pomáhá organizacím spravovat a zabezpečit síťový provoz na zařízeních koncových uživatelů. Hlavní rolí klienta je směrování provozu, které musí být zabezpečeno globálním zabezpečeným přístupem do cloudové služby. Veškerý ostatní provoz směřuje přímo do sítě. Profily předávání nakonfigurované na portálu určí, který provoz klient Global Secure Access směruje ke cloudové službě.

Tento článek popisuje, jak stáhnout a nainstalovat klienta globálního zabezpečeného přístupu pro macOS.

Prerequisites

  • Zařízení Mac s procesorem Intel, M1, M2, M3 nebo M4 se systémem macOS verze 13 nebo novější.
  • Zařízení zaregistrované v tenantovi Microsoft Entra pomocí aplikace Company Portal.
  • Tenant Microsoft Entra je připojen k Globálnímu zabezpečenému přístupu.
  • Připojení k internetu.
  • Pro prostředí jednotného přihlašování založeného na uživateli přihlášeného k Portálu společnosti nasaďte modul plug-in Jednotného přihlašování (SSO) Microsoft Enterprise pro zařízení Apple.

Stáhnout klienta

Nejnovější verze klienta globálního zabezpečeného přístupu je k dispozici ke stažení z Centra pro správu Microsoft Entra.

  1. Přihlaste se do centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
  2. Přejděte na Globální zabezpečený přístup>Connect>Klient ke stažení.
  3. Vyberte záložku macOS.
  4. Vyberte klienta ke stažení. Snímek obrazovky pro stažení klienta Tlačítko Stáhnout klienta je zvýrazněné.

Instalace klienta globálního zabezpečeného přístupu

Automated installation

Pro bezobslužnou instalaci použijte následující příkaz. Nahraďte cestu k souboru podle odpovídajícího umístění staženého souboru .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Klient používá systémová rozšíření a transparentní proxy aplikace, které je potřeba schválit během instalace. Pokud chcete bezobslužné nasazení bez výzvy koncového uživatele povolit tyto komponenty, můžete nasadit zásadu pro automatické schvalování komponent pomocí správy mobilních zařízení.

Povolení systémových rozšíření prostřednictvím správy mobilních zařízení (MDM)

Následující pokyny jsou určené pro Microsoft Intune a můžete je přizpůsobit různým MDM:

  1. V Centru pro správu Microsoft Intune vyberte Zařízení>Spravovat zařízení>Zásady konfigurace>>Vytvořit>Nové zásady.
  2. Vytvořte profil s platformou macOS a typ profilu nastaveným na katalogu Nastavení . Select Create. Snímek obrazovky formuláře Vytvořit profil s platformou macOS a katalogem nastavení, zvýrazněný typ profilu.
  3. Na kartě Základy zadejte název nového profilu a klikněte na Další.
  4. Na kartě Nastavení konfigurace vyberte + Přidat nastavení.
  5. Ve výběru nastavenírozbalte kategorii konfigurace systému a vyberte rozšíření systému.
  6. V podkategorii Systémová rozšíření vyberte Povolená systémová rozšíření. Snímek obrazovky s výběrem nastavení se zvýrazněnými výběry kategorií a podkategorií
  7. Zavřete výběr nastavení.
  8. V seznamu Povolené systémové rozšířenívyberte + Upravit instanci.
  9. V dialogovém okně Konfigurovat instanci nakonfigurujte nastavení payloadu Rozšíření systému s následujícími položkami:
Bundle identifier Team identifier
com.microsoft.globalsecureaccess.tunnel UBF8T346G9
com.microsoft.globalsecureaccess UBF8T346G9
  1. Vyberte Uložit a Další.
  2. Na kartě Značky oboru přidejte značky podle potřeby.
  3. Na kartě Přiřazení přiřaďte profil skupině zařízení macOS nebo uživatelů.
  4. Na kartě Revize a vytvoření zkontrolujte konfiguraci a vyberte Vytvořit.

Povolit transparentní proxy pro aplikace prostřednictvím MDM

Následující pokyny jsou určené pro Microsoft Intune a můžete je přizpůsobit různým MDM:

  1. V Centru pro správu Microsoft Intune vyberte Zařízení>Spravovat zařízení>Zásady konfigurace>>Vytvořit>Nové zásady.
  2. Vytvořte profil pro platformu macOS na základě šablony typu Vlastní a vyberte Vytvořit. cs-CZ: Snímek obrazovky formuláře Vytvořit profil, se zvýrazněnou platformou macOS, typem profilu Šablony a vlastní šablonou.
  3. Na kartě Základy zadejte pro profil název.
  4. Na kartě Nastavení konfigurace zadejte název vlastního konfiguračního profilu.
  5. Ponechte kanál pro nasazení nastavený na "Kanál zařízení".
  6. Nahrajte soubor .xml, který obsahuje následující data:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
	<dict>
		<key>PayloadUUID</key>
		<string>87cbb424-6af7-4748-9d43-f1c5dda7a0a6</string>
		<key>PayloadType</key>
		<string>Configuration</string>
		<key>PayloadOrganization</key>
		<string>Microsoft Corporation</string>
		<key>PayloadIdentifier</key>
		<string>com.microsoft.globalsecureaccess</string>
		<key>PayloadDisplayName</key>
		<string>Global Secure Access Proxy Configuration</string>
		<key>PayloadDescription</key>
		<string>Add Global Secure Access Proxy Configuration</string>
		<key>PayloadVersion</key>
		<integer>1</integer>
		<key>PayloadEnabled</key>
		<true/>
		<key>PayloadRemovalDisallowed</key>
		<true/>
		<key>PayloadScope</key>
		<string>System</string>
		<key>PayloadContent</key>
		<array>
			<dict>
				<key>PayloadUUID</key>
				<string>04e13063-2bb8-4b72-b1ed-45290f91af68</string>
				<key>PayloadType</key>
				<string>com.apple.vpn.managed</string>
				<key>PayloadOrganization</key>
				<string>Microsoft Corporation</string>
				<key>PayloadIdentifier</key>
				<string>com.microsoft.globalsecureaccess</string>
				<key>PayloadDisplayName</key>
				<string>Global Secure Access Proxy Configuration</string>
				<key>PayloadDescription</key>
				<string/>
				<key>PayloadVersion</key>
				<integer>1</integer>
				<key>TransparentProxy</key>
				<dict>
					<key>AuthenticationMethod</key>
					<string>Password</string>
					<key>Order</key>
					<integer>1</integer>
					<key>ProviderBundleIdentifier</key>
					<string>com.microsoft.globalsecureaccess.tunnel</string>
					<key>ProviderDesignatedRequirement</key>
					<string>identifier "com.microsoft.globalsecureaccess.tunnel" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
					<key>ProviderType</key>
					<string>app-proxy</string>
					<key>RemoteAddress</key>
					<string>100.64.0.0</string>
				</dict>
				<key>UserDefinedName</key>
				<string>Global Secure Access Proxy Configuration</string>
				<key>VPNSubType</key>
				<string>com.microsoft.globalsecureaccess</string>
				<key>VPNType</key>
				<string>TransparentProxy</string>
			</dict>
		</array>
	</dict>
</plist>
  1. Dokončete vytváření profilu přiřazením uživatelů a zařízení podle svých potřeb.

Ruční interaktivní instalace

Ruční instalace klienta globálního zabezpečeného přístupu:

  1. Spusťte instalační soubor GlobalSecureAccessClient.pkg. Spustí se průvodce instalací. Postupujte podle pokynů.

  2. V kroku Úvod vyberte Pokračovat.

  3. V kroku Licence vyberte Pokračovat a poté vyberte Souhlasím k přijetí licenční smlouvy. snímek obrazovky s průvodcem instalací v kroku SumLicense zobrazující automaticky otevírané okno licenční smlouvy se softwarem.

  4. V kroku Instalace vyberte Nainstalovat.

  5. Na kroku Souhrn, po dokončení instalace, vyberte Zavřít.

  6. Povolte rozšíření globálního systému zabezpečeného přístupu.

    1. V dialogovém okně System Extension Blocked vyberte Otevřít nastavení systému.
      Snímek obrazovky dialogového okna s názvem 'Blokované rozšíření systému', kde je zvýrazněna možnost 'Otevřít nastavení systému'

    2. Povolte rozšíření klientského systému globálního zabezpečeného přístupu výběrem možnosti Povolit. Snímek obrazovky s nastaveními systému, otevřené možnosti Ochrany osobních údajů a Zabezpečení se zprávou o blokované aplikaci a zvýrazněným tlačítkem Povolit.

    3. V dialogovém okně Ochrana osobních údajů & Zabezpečení zadejte uživatelské jméno a heslo a ověřte schválení rozšíření systému. Pak vyberte Upravit nastavení.
      Snímek obrazovky vyskakovacího okna Ochrana osobních údajů a zabezpečení & s žádostí o přihlašovací údaje a zvýrazněným tlačítkem Změnit nastavení

    4. Dokončete proces tak, že vyberete Povolit, aby klient globálního zabezpečeného přístupu mohl přidávat konfigurace proxy serveru.
      Snímek obrazovky klienta služby Globálního zabezpečeného přístupu chce přidat konfigurace proxy se zvýrazněným tlačítkem Povolit.

  7. Po dokončení instalace se může zobrazit výzva k přihlášení k Microsoft Entra.

Note

Pokud je nasazen modul plug-in jednotného přihlašování Microsoft Enterprise pro zařízení Apple, výchozím chováním je použití jednotného přihlašování s přihlašovacími údaji zadanými na portálu společnosti.

  1. Na hlavním panelu systému se zobrazí ikona Globální zabezpečený přístup – Připojená označující úspěšné připojení ke globálnímu zabezpečenému přístupu.
    Snímek obrazovky hlavního panelu systému se zvýrazněnou ikonou Globálního zabezpečeného přístupu – připojeno

Upgrade klienta globálního zabezpečeného přístupu

Instalační program klienta podporuje upgrady. Pomocí průvodce instalací můžete nainstalovat novou verzi na zařízení, na kterém je aktuálně spuštěná předchozí verze klienta.

V případě tichého upgradu spusťte následující příkaz.
Nahraďte cestu k souboru podle odpovídajícího umístění staženého souboru .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Odinstalace klienta globálního zabezpečeného přístupu

Chcete-li ručně odinstalovat klienta globálního zabezpečeného přístupu, použijte některou z následujících metod:

  • Spusťte aplikaci Odinstalovat Global Secure Access Client.

Or

  • Spusťte následující příkaz:

sudo /Applications/GlobalSecureAccessClient/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall

Pokud používáte MDM, odinstalujte klienta pomocí MDM.

Client actions

Pokud chcete zobrazit dostupné akce nabídky klienta, klikněte pravým tlačítkem myši na ikonu hlavního panelu systému Global Secure Access.
snímek obrazovky se seznamem akcí klienta globálního zabezpečeného přístupu

Action Description
Disable Zakáže klienta, dokud ho uživatel znovu nezavolí. Když uživatel klienta zakáže, zobrazí se výzva k zadání obchodního odůvodnění a opětovnému zadání přihlašovacích údajů. Obchodní odůvodnění se zaprotokoluje.
Enable Umožní klienta.
Pause Pozastaví klienta po dobu 10 minut, dokud uživatel neobnoví klienta, nebo dokud se zařízení nerestartuje. Když uživatel pozastaví klienta, zobrazí se výzva k zadání obchodního odůvodnění a opětovnému zadání přihlašovacích údajů. Obchodní odůvodnění se zaprotokoluje.
Resume Obnoví pozastaveného klienta.
Restart Restartuje klienta.
Collect logs Shromažďuje protokoly klientů a archivuje je v souboru ZIP pro sdílení s podporou Microsoftu pro účely šetření.
Settings Otevře nástroj Nastavení a Rozšířená diagnostika.
About Zobrazuje informace týkající se verze produktu.

Stav klienta v ikoně na hlavním panelu systému

Icon Message Description
Globální klient zabezpečeného přístupu Klient inicializuje a kontroluje připojení ke globálnímu zabezpečenému přístupu.
Globální klient zabezpečeného přístupu – připojeno Klient je připojený ke globálnímu zabezpečenému přístupu.
Globální klient zabezpečeného přístupu – Zakázáno Klient je zakázán, protože služby jsou offline nebo uživatel zakázal klienta.
Globální klient zabezpečeného přístupu – Odpojeno Klientovi se nepodařilo připojit ke globálnímu zabezpečenému přístupu.
Globální klient zabezpečeného přístupu – Některé kanály jsou nedostupné Klient je částečně připojený ke globálnímu zabezpečenému přístupu (to znamená, že připojení k alespoň jednomu kanálu selhalo: Microsoft Entra, Microsoft 365, privátní přístup, internetový přístup).
Globální klient zabezpečeného přístupu – Zakázáno vaší organizací Vaše organizace zakázala klienta (to znamená, že všechny profily přesměrování provozu byly zakázány).
Globální zabezpečený přístup – Privátní přístup je zakázaný Uživatel na tomto zařízení zakázal privátní přístup.
Globální zabezpečený přístup – nejde se připojit k internetu Klient nemohl rozpoznat připojení k internetu. Zařízení je buď připojené k síti, která nemá připojení k internetu, nebo síť, která vyžaduje přihlášení k portálu v kaptivním přístupu.

Nastavení a řešení potíží

V okně Nastavení můžete nastavit různé konfigurace a provádět některé pokročilé akce. Okno Nastavení má dvě karty:

Settings

Option Description
Telemetrie úplná diagnostika Odesílá do Microsoftu úplná telemetrická data za účelem vylepšení aplikací.
Povolení podrobného protokolování Umožňuje podrobné protokolování a záznam sítě při exportu záznamů do souboru ZIP.

Snímek obrazovky se zobrazením nastavení a řešení potíží s macOS a vybranou kartou Nastavení

Troubleshooting

Action Description
Získat nejnovější zásady Stáhne a použije nejnovější profil předávání pro vaši organizaci.
Vymazat dat uložených v mezipaměti Odstraní interní data klienta uložená v mezipaměti související s ověřováním, profilem předávání, plně kvalifikovanými názvy domén a IP adresami.
Export Logs Exportuje protokoly a konfigurační soubory související s klientem do souboru ZIP.
nástroje pro pokročilou diagnostiku Pokročilý nástroj pro monitorování a řešení potíží s chováním klienta.

Snímek obrazovky se zobrazením nastavení a řešení potíží s macOS a vybranou kartou Řešení potíží

Skrytí nebo zobrazení tlačítek v systémové liště

Správce může zobrazit nebo skrýt konkrétní tlačítka v nabídce ikon na hlavním panelu klienta nasazením hodnot v následující tabulce.

Value Typ Data Default behavior Description
HideDisablePrivateAccessButton logický nepravda = zobrazeno pravda = skryto skrytý Nastavte tuto hodnotu tak, aby se zobrazovala nebo skrývala tlačítko Zakázat privátní přístup . Tato možnost je určená pro scénář, kdy je zařízení přímo připojené k podnikové síti a uživatel preferuje přístup k privátním aplikacím přímo přes síť místo prostřednictvím globálního zabezpečeného přístupu.
HideDisableButton logický nepravda = zobrazeno pravda = skryto shown Nastavte tuto hodnotu tak, aby se zobrazila nebo skryla akce Zakázat . Když je uživatel viditelný, může zakázat klienta globálního zabezpečeného přístupu. Klient zůstane zakázaný, dokud ho uživatel znovu neaktivuje nebo restartuje zařízení.
HidePauseButton logický nepravda = zobrazeno pravda = skryto shown Nastavte tuto hodnotu tak, aby se zobrazila nebo skryla akce Pozastavit . Když je uživatel viditelný, může pozastavit klienta globálního zabezpečeného přístupu. Aplikace se pozastaví na 10 minut, nebo dokud ji uživatel znovu nepovolí.
HideQuitButton logický nepravda = zobrazeno pravda = skryto skrytý Nastavte tuto hodnotu tak, aby se zobrazila nebo skryla akce Ukončit . Když je uživatel viditelný, může ukončit klienta globálního zabezpečeného přístupu, který klientskou aplikaci zavře. Pokud ho chcete znovu otevřít, spusťte aplikaci Global Secure Access z Finderu.

Nabídku ikon na hlavním panelu klientského systému můžete nakonfigurovat také v Microsoft Intune:

  1. Podle pokynů vytvořte profil.
  2. Jako název domény předvoleb zadejte com.microsoft.globalsecureaccess.
  3. V případě souboru seznamu vlastností nahrajte soubor XML podobný následujícímu příkladu. Upravte kód XML tak, aby odpovídal vašim preferencím.
<key>HidePauseButton</key>
<false/>
<key>HideDisableButton</key>
<false/>
<key>HideQuitButton</key>
<true/>
<key>HideDisablePrivateAccessButton</key>
<true/>

Snímek obrazovky Centra pro správu Microsoft Intune v kroku Konfigurace s ukázkovým kódem XML

Known limitations

Podrobné informace o známých problémech a omezeních najdete v tématu Známá omezení globálního zabezpečeného přístupu.

Related content

  • Last updated on