Freigeben über

Installieren des globalen Secure Access-Clients für macOS (Vorschau)

Der Client für globalen sicheren Zugriff, ein wesentlicher Bestandteil des globalen sicheren Zugriffs, hilft Organisationen beim Verwalten und Sichern des Netzwerkdatenverkehrs auf Endbenutzergeräten. Die Hauptaufgabe des Clients besteht darin, Datenverkehr weiterzuleiten, der durch den globalen sicheren Zugriff auf den Clouddienst gesichert werden muss. Der gesamte andere Datenverkehr wird direkt an das Netzwerk übertragen. Die Vorwärts-Profile, die im Portal konfiguriert sind, bestimmen, welchen Datenverkehr der Global Secure Access-Client an den Clouddienst weiterleitet.

Wichtig

Der Client für globalen sicheren Zugriff für macOS befindet sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts. Wesentliche Änderungen vor dem Release sind vorbehalten. Microsoft übernimmt hinsichtlich der hier bereitgestellten Informationen keine Gewährleistungen, weder ausdrücklich noch konkludent.

In diesem Artikel wird beschrieben, wie Sie den Client für globalen sicheren Zugriff für macOS herunterladen und installieren.

Voraussetzungen

  • Ein Mac-Gerät mit einem Intel-, M1-, M2-, M3- oder M4-Prozessor mit macOS, Version 13 oder höher.
  • Ein Gerät, das beim Microsoft Entra-Mandant über das Unternehmensportal registriert wurde.
  • Ein Microsoft Entra-Mandant, der in den globalen sicheren Zugriff integriert ist
  • Eine Internetverbindung.
  • Stellen Sie für eine SSO-Erfahrung, die auf dem Benutzer basiert, der beim Unternehmensportal angemeldet ist, das Microsoft Enterprise Single Sign-On (SSO)-Plug-In für Apple-Geräte bereit.

Herunterladen des Clients

Die neueste Version des Clients für globalen sicheren Zugriff steht zum Herunterladen über das Microsoft Entra Admin Center zur Verfügung.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
  2. Durchsuchen Sie Global Secure Access>Verbinden>Client herunterladen.
  3. Wählen Sie Client herunterladen aus. Screenshot des Client-Downloadbildschirms mit hervorgehobener Schaltfläche „Client herunterladen“.

Den Global Secure Access-Client installieren

Automatische Installation

Verwenden Sie den folgenden Befehl für die stille Installation. Ersetzen Sie Ihren Dateipfad entsprechend dem Speicherort der heruntergeladenen .pkg-Datei.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Der Client verwendet Systemerweiterungen und einen transparenten Anwendungsproxy, der während der Installation genehmigt werden muss. Für eine automatische Bereitstellung ohne Aufforderung des Endbenutzers, diese Komponenten zuzulassen, können Sie eine Richtlinie bereitstellen, um die Komponenten automatisch mit der Verwaltung mobiler Geräte zu genehmigen.

Zulassen von Systemerweiterungen über die Verwaltung mobiler Geräte (Mobile Device Management, MDM)

Die folgenden Anweisungen sind für Microsoft Intune und Sie können sie für verschiedene MDMs anpassen:

  1. Im Microsoft Intune Admin Center aktivieren Sie Geräte>Geräte verwalten>Konfiguration>Richtlinien>Erstellen>Neue Richtlinie.
  2. Erstellen Sie ein Profil mit einer Plattform von macOS und einem Profiltyp, der auf Einstellungen-Katalog gesetzt ist. Wählen Sie Erstellen aus. Screenshot des Formulars „Profil erstellen“ mit der macOS-Plattform und dem Katalog „Einstellungen“ Profiltyp hervorgehoben.
  3. Auf der Registerkarte Allgemeine Informationen geben Sie einen Namen für das neue Profil ein und aktivieren Sie Weiter.
  4. Aktivieren Sie auf der Registerkarte Konfigurationseinstellungen+ Einstellungen hinzufügen“.
  5. Erweitern Sie in der Einstellungsauswahldie Kategorie Systemkonfiguration, und wählen Sie Systemerweiterungenaus.
  6. Wählen Sie aus der Unterkategorie Systemerweiterungen die zulässigen Systemerweiterungen aus. Screenshot der Einstellungsauswahl mit hervorgehobener Auswahl der Kategorie und der Unterkategorie.
  7. Schließen Sie die Einstellungen-Auswahl.
  8. Wählen Sie in der Liste der zulässigen Systemerweiterungendie Option + Bearbeiten der Instanzaus.
  9. Im Dialogfeld "Instanz konfigurieren" konfigurieren Sie die Einstellungen der Systemerweiterungen-Ladung mit den folgenden Einträgen:
Bündel-Bezeichner Team-ID
com.microsoft.globalsecureaccess.tunnel UBF8T346G9
com.microsoft.globalsecureaccess UBF8T346G9
  1. Wählen Sie Save (Speichern) und anschließend Next (Weiter) aus.
  2. Auf der Registerkarte Umfang-Kategorien RFID-Transponder hinzufügen, wie es angemessen ist.
  3. Weisen Sie auf der Registerkarte Aufgaben das Profil einer Gruppe von macOS-Geräten oder -Benutzern zu.
  4. Überprüfen Sie auf der Registerkarte Review + erstellen die Konfiguration und aktivieren Sie Erstellen.

Zulassen des transparenten Anwendungsproxys durch MDM

Die folgenden Anweisungen sind für Microsoft Intune und Sie können sie für verschiedene MDMs anpassen:

  1. Im Microsoft Intune Admin Center aktivieren Sie Geräte>Geräte verwalten>Konfiguration>Richtlinien>Erstellen>Neue Richtlinie.
  2. Erstellen Sie ein Profil für die macOS-Plattform basierend auf einer Vorlage vom Typ Benutzerdefiniert und aktivieren Sie Erstellen. Screenshot des Formulars „Profil erstellen“ mit den hervorgehobenen Optionen macOS-Plattform, Vorlagenprofiltyp und Benutzerdefinierte Vorlage.
  3. Geben Sie auf der Registerkarte Allgemeine Informationen einen Namen für das Profil ein.
  4. Geben Sie auf der Registerkarte Konfigurationseinstellungen einen benutzerdefinierten Konfigurationsprofilnamen ein.
  5. Halten Sie den Bereitstellungskanal auf „Gerätekanal“ eingestellt.
  6. Laden Sie eine .xml-Datei hoch, die die folgenden Daten enthält:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
	<dict>
		<key>PayloadUUID</key>
		<string>87cbb424-6af7-4748-9d43-f1c5dda7a0a6</string>
		<key>PayloadType</key>
		<string>Configuration</string>
		<key>PayloadOrganization</key>
		<string>Microsoft Corporation</string>
		<key>PayloadIdentifier</key>
		<string>com.microsoft.globalsecureaccess</string>
		<key>PayloadDisplayName</key>
		<string>Global Secure Access Proxy Configuration</string>
		<key>PayloadDescription</key>
		<string>Add Global Secure Access Proxy Configuration</string>
		<key>PayloadVersion</key>
		<integer>1</integer>
		<key>PayloadEnabled</key>
		<true/>
		<key>PayloadRemovalDisallowed</key>
		<true/>
		<key>PayloadScope</key>
		<string>System</string>
		<key>PayloadContent</key>
		<array>
			<dict>
				<key>PayloadUUID</key>
				<string>04e13063-2bb8-4b72-b1ed-45290f91af68</string>
				<key>PayloadType</key>
				<string>com.apple.vpn.managed</string>
				<key>PayloadOrganization</key>
				<string>Microsoft Corporation</string>
				<key>PayloadIdentifier</key>
				<string>com.microsoft.globalsecureaccess</string>
				<key>PayloadDisplayName</key>
				<string>Global Secure Access Proxy Configuration</string>
				<key>PayloadDescription</key>
				<string/>
				<key>PayloadVersion</key>
				<integer>1</integer>
				<key>TransparentProxy</key>
				<dict>
					<key>AuthenticationMethod</key>
					<string>Password</string>
					<key>Order</key>
					<integer>1</integer>
					<key>ProviderBundleIdentifier</key>
					<string>com.microsoft.globalsecureaccess.tunnel</string>
					<key>ProviderDesignatedRequirement</key>
					<string>identifier "com.microsoft.globalsecureaccess.tunnel" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
					<key>ProviderType</key>
					<string>app-proxy</string>
					<key>RemoteAddress</key>
					<string>100.64.0.0</string>
				</dict>
				<key>UserDefinedName</key>
				<string>Global Secure Access Proxy Configuration</string>
				<key>VPNSubType</key>
				<string>com.microsoft.globalsecureaccess</string>
				<key>VPNType</key>
				<string>TransparentProxy</string>
			</dict>
		</array>
	</dict>
</plist>
  1. Schließen Sie die Erstellung des Profils ab, indem Sie Benutzer und Geräte entsprechend Ihren Anforderungen zuweisen.

Manuelle interaktive Installation

So installieren Sie den Client für globalen sicheren Zugriff manuell:

  1. Führen Sie die GlobalSecureAccessClient.pkg Setup-Datei aus. Der Installations-Assistent wird gestartet. Folge dann den Anweisungen.

  2. Im Einführungs-Schritt aktivieren Sie Weiter.

  3. Im Lizenz-Schritt aktivieren Sie Weiter und dann aktivieren Sie Zustimmen, um den Lizenzvertrag zu akzeptieren. Screenshot des Installationsassistenten im Schritt

  4. Im Installations-Schritt aktivieren Sie Installieren.

  5. Im Zusammenfassung-Schritt, wenn die Installation abgeschlossen ist, aktivieren Sie Schließen.

  6. Zulassen der Global Secure Access-Erweiterung.

    1. Im Dialogfeld „Systemerweiterung blockiert“ aktivieren Sie Systemeinstellungen öffnen.
      Screenshot des Dialogfelds

    2. Erlauben Sie die Global Secure Access Clienterweiterung, indem Sie Zulassen aktivieren. Screenshot der Systemeinstellungen, geöffnet zu den Datenschutz-& Sicherheitsoptionen, zeigt eine blockierte Anwendungsnachricht mit der hervorgehobenen Schaltfläche

    3. Geben Sie im Dialogfeld Datenschutz und Sicherheit Ihren Benutzernamen und Ihr Kennwort ein, um die Genehmigung der Systemerweiterung zu überprüfen. Wählen Sie dann Einstellungen ändern aus.
      Screenshot des Datenschutz-&-Sicherheitspop-ups, das Anmeldeinformationen anfordert und die Schaltfläche

    4. Schließen Sie den Prozess ab, indem Sie Zulassen auswählen, um den Global Secure Access Client zu aktivieren, Proxy-Konfigurationen hinzuzufügen.
      Der Screenshot des Clients für globalen sicheren Zugriff zeigt ein Popup zum Hinzufügen von Proxykonfigurationen, in dem die Schaltfläche „Zulassen“ hervorgehoben ist.

  7. Nach Abschluss der Installation werden Sie möglicherweise aufgefordert, sich bei Microsoft Entra anzumelden.

Hinweis

Wenn das Microsoft Enterprise SSO Plug-In für Apple-Geräte bereitgestellt wird, ist das Standardverhalten die Nutzung von Single Sign-On mit den im Unternehmensportal eingegebenen Anmeldeinformationen.

  1. Das Symbol Global Secure Access – Connected erscheint im Systemtray und zeigt eine erfolgreiche Verbindung mit dem Global Secure Access an.
    Screenshot des System-Trays mit dem hervorgehobenen Global Secure Access - Verbunden-Symbol.

Upgraden Sie den Global Secure Access Client

Das Clientinstallationsprogramm unterstützt Upgrades. Sie können den Installations-Assistenten verwenden, um eine neue Version auf einem Gerät zu installieren, auf dem derzeit eine frühere Clientversion ausgeführt wird.

Führen Sie für ein stilles Upgrade den folgenden Befehl aus.
Ersetzen Sie Ihren Dateipfad entsprechend dem Speicherort der heruntergeladenen .pkg-Datei.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Deinstallieren des Global Secure Access-Clients

Um den globalen Secure Access-Client manuell zu deinstallieren, verwenden Sie eine der folgenden Methoden:

  • Führen Sie die Anwendung "Global Secure Access Client deinstallieren " aus.

oder

  • Führen Sie den folgenden Befehl aus:

sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall

Wenn Sie ein MDM verwenden, deinstallieren Sie den Client mit dem MDM.

Clientaktionen

Um die verfügbaren Aktionen des Clientmenüs anzuzeigen, klicken Sie mit der rechten Maustaste auf das Taskleistensymbol von Global Secure Access.
Screenshot zeigt die Liste der Global Secure Access Clientaktionen.

Aktion Beschreibung
Deaktivieren Deaktiviert den Client, bis der Benutzer ihn erneut aktiviert. Wenn der Benutzer den Client deaktiviert, wird er aufgefordert, eine geschäftliche Begründung und seine Anmeldeinformationen einzugeben. Die geschäftliche Begründung wird protokolliert.
aktivieren Aktiviert den Client.
Pause Anhalten des Clients entweder für 10 Minuten, bis der Benutzer den Client fortsetzt oder bis das Gerät neu gestartet wird. Wenn der Benutzer den Client angehalten hat, wird er aufgefordert, eine geschäftliche Begründung und seine Anmeldeinformationen einzugeben. Die geschäftliche Begründung wird protokolliert.
Lebenslauf Setzt den angehaltenen Client fort.
Neu starten Startet den Client neu.
Sammle Logdateien Sammelt Clientprotokolle und archiviert sie in einer ZIP-Datei, um sie dem Microsoft-Support für Untersuchungen freizugeben.
Einstellungen Öffnet die Einstellungen und das erweiterte Diagnose-Tool.
Info Zeigt Informationen zur Version des Produkts an.

Clientstatus im Infobereichssymbol

Symbol Nachricht Beschreibung
Global Secure Access Client Der Client initialisiert und überprüft seine Verbindung mit dem Global Secure Access.
Client für globalen sicheren Zugriff – Verbunden Der Client ist mit Global Secure Access verbunden.
Client für globalen sicheren Zugriff – Deaktiviert Der Client ist deaktiviert, da Dienste offline sind oder der Benutzer den Client deaktiviert hat.
Client für globalen sicheren Zugriff – Getrennt Der Client konnte keine Verbindung mit dem globalen sicheren Zugriff herstellen.
Client für globalen sicheren Zugriff – Einige Kanäle sind nicht erreichbar Der Client ist teilweise mit Globalem Sicheren Zugriff verbunden (d. h., die Verbindung zu mindestens einem Kanal ist fehlgeschlagen: Microsoft Entra, Microsoft 365, Privater Zugriff, Internetzugriff).
Client für globalen sicheren Zugriff – Von Ihrer Organisation deaktiviert Ihre Organisation hat den Client deaktiviert (d. h. alle Datenverkehrsweiterleitungsprofile sind deaktiviert).
Globaler sicherer Zugriff – Privater Zugriff ist deaktiviert Der Benutzer hat den privaten Zugriff auf diesem Gerät deaktiviert.
Globaler sicherer Zugriff – Es konnte keine Verbindung mit dem Internet hergestellt werden Der Client konnte keine Internetverbindung erkennen. Das Gerät ist entweder mit einem Netzwerk verbunden, das keine Internetverbindung hat, oder ein Netzwerk, das die Anmeldung über das Erfassungsportal erfordert.

Einstellungen und Problembehandlung

Im Fenster "Einstellungen" können Sie verschiedene Konfigurationen festlegen und einige erweiterte Aktionen ausführen. Das Einstellungsfenster hat zwei Registerkarten:

Einstellungen

Option Beschreibung
Telemetrie vollständige Diagnose Sendet vollständige Telemetriedaten zur Verbesserung der Anwendung an Microsoft.
Ausführliche Protokollierung aktivieren Ermöglicht die Sammlung von ausführlichen Protokollen und Netzwerkaufzeichnungen beim Exportieren der Protokolle in eine ZIP-Datei.

Screenshot der macOS-Einstellungen und der Problembehandlungsansicht, mit aktivierter Registerkarte „Einstellungen“.

Problembehandlung

Aktion Beschreibung
Neueste Richtlinie abrufen Downloads und wendet das neueste Weiterleitungsprofil für Ihre Organisation an.
Zwischengespeicherte Daten löschen Löscht die internen zwischengespeicherten Daten des Clients im Zusammenhang mit Authentifizierung, Weiterleitungsprofil, FQDNs und IPs.
Protokolle exportieren Exportiert Protokolle und Konfigurationsdateien im Zusammenhang mit dem Client in eine ZIP-Datei.
Erweitertes Diagnosetool Ein erweitertes Tool zum Überwachen und Problemlösen des Clientverhaltens.

Screenshot der Ansicht „macOS-Einstellungen und Problembehandlung“ mit ausgewählter Registerkarte „Problembehandlung“.

Ein- oder Ausblenden von Menüschaltflächen im Infobereich

Der Administrator kann bestimmte Schaltflächen im Menü des Taskleistensymbols des Clients ein- oder ausblenden, indem die Werte in der folgenden Tabelle angewendet werden.

value Typ Daten Standardverhalten Beschreibung
HideDisablePrivateAccessButton Boolescher Wert false = angezeigt true = ausgeblendet ausgeblendet Legen Sie diesen Wert fest, um die Schaltfläche " Privaten Zugriff deaktivieren " ein- oder auszublenden. Diese Option ist für ein Szenario vorgesehen, wenn das Gerät direkt mit dem Unternehmensnetzwerk verbunden ist und der Benutzer lieber direkt über das Netzwerk auf private Anwendungen zugreifen möchte, anstatt über den globalen sicheren Zugriff.
HideDisableButton Boolescher Wert false = angezeigt true = ausgeblendet eingeblendet Legen Sie diesen Wert fest, um die Aktion "Deaktivieren" ein- oder auszublenden. Wenn sichtbar, kann der Benutzer den Global Secure Access Client deaktivieren. Der Client bleibt deaktiviert, bis der Benutzer es erneut aktiviert oder das Gerät neu startet.
HidePauseButton Boolescher Wert false = angezeigt true = ausgeblendet eingeblendet Legen Sie diesen Wert fest, um die Pause-Aktion ein- oder auszublenden. Wenn sichtbar, kann der Benutzer den globalen Client für den sicheren Zugriff anhalten. Der Client wird für 10 Minuten oder bis der Benutzer ihn wieder aktiviert, unterbrochen.
HideQuitButton Boolescher Wert false = angezeigt true = ausgeblendet ausgeblendet Legen Sie diesen Wert fest, um die Aktion "Beenden " ein- oder auszublenden. Wenn sichtbar, kann der Benutzer den globalen Secure Access-Client beenden, der die Clientanwendung schließt. Um sie erneut zu öffnen, führen Sie die Anwendung für den globalen sicheren Zugriff über Finder aus.

Sie können auch das Menü "Taskleistensymbol" des Clients mit Microsoft Intune konfigurieren:

  1. Folgen Sie den Anweisungen zum Erstellen des Profils.
  2. Geben Sie für den Einstellungsdomänennamen die Zeichenfolge com.microsoft.globalsecureaccessein.
  3. Laden Sie für die Eigenschaftenlistendatei eine XML-Datei hoch, die dem folgenden Beispiel ähnelt. Überarbeiten Sie den XML-Code entsprechend Ihren Einstellungen.
<key>HidePauseButton</key>
<false/>
<key>HideDisableButton</key>
<false/>
<key>HideQuitButton</key>
<true/>
<key>HideDisablePrivateAccessButton</key>
<true/>

Screenshot des Microsoft Intune Admin Centers im Schritt

Bekannte Einschränkungen

Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie unter "Bekannte Einschränkungen für den globalen sicheren Zugriff".

Verwandte Inhalte