Client Global Secure Access pour macOS (préversion)

Important

Le client Global Secure Access pour macOS est actuellement en préversion. Cette information concerne un produit en version préliminaire susceptible d’être sensiblement modifié avant sa mise en production. Microsoft n’offre aucune garantie, exprimée ou implicite, en ce qui concerne les informations fournies ici.

Le client Global Secure Access, un composant essentiel de Global Secure Access, aide les organisations à gérer et sécuriser le trafic réseau sur les appareils des utilisateurs finaux. Le rôle principal du client est de router le trafic qui doit être sécurisé par l’accès global sécurisé au service cloud. Tous les autres trafics sont directement acheminés vers le réseau. Les profils de transfert , configurés dans le portail, déterminent le trafic que le client Accès sécurisé global achemine vers le service cloud.

Cet article explique comment télécharger et installer le client Global Secure Access pour macOS.

Conditions préalables

• Un appareil Mac avec un processeur Intel, M1, M2, M3 ou M4, exécutant macOS version 13 ou ultérieure.
• Un appareil inscrit auprès du locataire de Microsoft Entra à l’aide du Portail d’entreprise.
• Un client Microsoft Entra embarqué dans Global Secure Access.
• Le déploiement du plug-in d’authentification unique Microsoft Enterprise pour les appareils Apple est recommandé pour l’expérience d’authentification unique en fonction de l’utilisateur connecté au portail d’entreprise.
• Connexion Internet.

Télécharger le client

La version la plus récente du client Global Secure Access est disponible à télécharger à partir du Centre d’administration Microsoft Entra.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur global d’accès sécurisé .
2. Accédez à Accès global sécurisé>Se connecter>Téléchargement du client.
3. Sélectionnez Téléchargement du client.

Installer le client Global Secure Access

Installation automatisée

Utilisez la commande suivante pour l’installation silencieuse. Remplacez votre chemin d’accès de fichier en fonction de l’emplacement de téléchargement du fichier .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Le client utilise des extensions système et un proxy d’application transparent qui doivent être approuvés pendant l’installation. Pour un déploiement silencieux sans inviter l’utilisateur final à autoriser ces composants, vous pouvez déployer une stratégie pour approuver automatiquement les composants avec la gestion des appareils mobiles.

Autoriser les extensions système via la gestion des appareils mobiles (GPM)

Les instructions suivantes concernent Microsoft Intune et vous pouvez les adapter à différents MDMs :

1. Dans le Centre d'administration Microsoft Intune, sélectionnez Appareils>Gérer les appareils>Stratégies de configuration>>Créer>Nouvelle stratégie.
2. Créez un profil avec une plateformemacOS et un type de profil défini sur catalogue Paramètres. Sélectionnez Créer.
3. Sous l’onglet De base, entrez un nom pour le nouveau profil et sélectionnez suivant.
4. Sous l’onglet Paramètres de configuration , sélectionnez + Ajouter des paramètres.
5. Dans le sélecteur paramètres, développez la catégorie Configuration du système et sélectionnez Extensions système.
6. Dans la sous-catégorie Extensions système , sélectionnez Extensions système autorisées.
7. Fermez le sélecteur de paramètres.
8. Dans la liste des extensions système autorisées, sélectionnez + Modifier l’instance.
9. Dans la boîte de dialogue Configurer l’instance , configurez les paramètres de charge utile des extensions système avec les entrées suivantes :

Identificateur de paquet	Identificateur d’équipe
com.microsoft.naas.globalsecure.tunnel-df	UBF8T346G9
com.microsoft.naas.globalsecure-df	UBF8T346G9

10. Sélectionnez Save (Enregistrer) et Next (Suivant).
11. Sous l’onglet Balises d’étendue , ajoutez des balises selon les besoins.
12. Sous l’onglet Affectations , affectez le profil à un groupe d’appareils ou d’utilisateurs macOS.
13. Sous l’onglet Vérifier + créer , passez en revue la configuration et sélectionnez Créer.

Autoriser le proxy d’application transparent via MDM

Les instructions suivantes concernent Microsoft Intune et vous pouvez les adapter à différents MDMs :

1. Dans le Centre d'administration Microsoft Intune, sélectionnez Appareils>Gérer les appareils>Stratégies de configuration>>Créer>Nouvelle stratégie.
2. Créez un profil pour la plateforme macOS en fonction d’un modèle de type personnalisé, puis sélectionnez Créer.
3. Sous l’onglet Paramètres de base, entrez un Nom pour le profil.
4. Sous l’onglet Paramètres de configuration, entrez un nom de profil de configuration personnalisé .
5. Conservez le canal de déploiement défini sur « Canal d’appareil ».
6. Chargez un fichier .xml qui contient les données suivantes :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
	<dict>
		<key>PayloadUUID</key>
		<string>87cbb424-6af7-4748-9d43-f1c5dda7a0a6</string>
		<key>PayloadType</key>
		<string>Configuration</string>
		<key>PayloadOrganization</key>
		<string>Microsoft Corporation</string>
		<key>PayloadIdentifier</key>
		<string>com.microsoft.naas.globalsecure-df</string>
		<key>PayloadDisplayName</key>
		<string>Global Secure Access Proxy Configuration</string>
		<key>PayloadDescription</key>
		<string>Add Global Secure Access Proxy Configuration</string>
		<key>PayloadVersion</key>
		<integer>1</integer>
		<key>PayloadEnabled</key>
		<true/>
		<key>PayloadRemovalDisallowed</key>
		<true/>
		<key>PayloadScope</key>
		<string>System</string>
		<key>PayloadContent</key>
		<array>
			<dict>
				<key>PayloadUUID</key>
				<string>04e13063-2bb8-4b72-b1ed-45290f91af68</string>
				<key>PayloadType</key>
				<string>com.apple.vpn.managed</string>
				<key>PayloadOrganization</key>
				<string>Microsoft Corporation</string>
				<key>PayloadIdentifier</key>
				<string>com.microsoft.naas.globalsecure-df</string>
				<key>PayloadDisplayName</key>
				<string>Global Secure Access Proxy Configuration</string>
				<key>PayloadDescription</key>
				<string/>
				<key>PayloadVersion</key>
				<integer>1</integer>
				<key>TransparentProxy</key>
				<dict>
					<key>AuthenticationMethod</key>
					<string>Password</string>
					<key>Order</key>
					<integer>1</integer>
					<key>ProviderBundleIdentifier</key>
					<string>com.microsoft.naas.globalsecure.tunnel-df</string>
					<key>ProviderDesignatedRequirement</key>
					<string>identifier "com.microsoft.naas.globalsecure.tunnel-df" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
					<key>ProviderType</key>
					<string>app-proxy</string>
					<key>RemoteAddress</key>
					<string>100.64.0.0</string>
				</dict>
				<key>UserDefinedName</key>
				<string>Global Secure Access Proxy Configuration</string>
				<key>VPNSubType</key>
				<string>com.microsoft.naas.globalsecure-df</string>
				<key>VPNType</key>
				<string>TransparentProxy</string>
			</dict>
		</array>
	</dict>
</plist>

7. Terminez la création du profil en affectant des utilisateurs et des appareils en fonction de vos besoins.

Installation interactive manuelle

Pour installer manuellement le client Global Secure Access :

1. Exécutez le fichier d’installation GlobalSecureAccessClient.pkg. L’assistant Installation se lance. Suivez les instructions.

2. À l’étape Introduction, sélectionnez Continuer.

3. À l’étape Licence, sélectionnez Continuer, puis Accepter pour accepter le contrat de licence.

4. À l’étape Installation, sélectionnez Installer.

5. À l'étape Résumé, lorsque l’installation est terminée, sélectionnez Fermer.

6. Autoriser l’extension système d’accès sécurisé global.

   1. Dans la boîte de dialogue Extension système bloquée, sélectionnez l’option Ouvrir les paramètres système.
      

   2. Autorisez l’extension de système client Global Secure Access en sélectionnant Autoriser.

   3. Dans la boîte de dialogue Confidentialité & sécurité, entrez votre nom d’utilisateur et votre mot de passe pour valider l’approbation de l’extension système. Sélectionnez ensuite Modifier les paramètres.
      

   4. Terminez le processus en sélectionnant Autoriser pour permettre au client Global Secure Access d’ajouter des configurations proxy.
      

7. Une fois l’installation terminée, vous pouvez être invité à vous connecter à Microsoft Entra.

Remarque

Si le plug-in Microsoft Enterprise SSO pour les appareils Apple est déployé, le comportement par défaut consiste à utiliser l’authentification unique avec les informations d’identification entrées dans le portail d’entreprise.

8. L’icône Global Secure Access - Connected apparaît dans la barre d’état système, indiquant une connexion réussie à Global Secure Access.
   

Mettre à niveau le client Global Secure Access

Le programme d’installation du client prend en charge les mises à niveau. Vous pouvez utiliser l’Assistant Installation pour installer une nouvelle version sur un appareil qui exécute actuellement une version précédente du client.

Pour une mise à niveau silencieuse, utilisez la commande suivante.
Remplacez votre chemin d’accès de fichier en fonction de l’emplacement de téléchargement du fichier .pkg.

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

Désinstaller le client Global Secure Access

Pour désinstaller manuellement le client Global Secure Access, utilisez la commande suivante.

sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall

Si vous utilisez un MDM, désinstallez le client avec le MDM.

Actions du client

Pour afficher les actions de menu client disponibles, cliquez avec le bouton droit sur l’icône de la barre d’état système Accès sécurisé global.

Action	Descriptif
désactiver	Désactive le client jusqu’à ce que l’utilisateur l’active à nouveau. Lorsque l’utilisateur désactive le client, il est invité à entrer une justification métier et à saisir ses informations d’identification de connexion. La justification métier est journalisée.
Activer	Active le client.
Suspendre	Suspend le client pendant 10 minutes, jusqu’à ce que l’utilisateur reprend le client, soit jusqu’à ce que l’appareil soit redémarré. Lorsque l’utilisateur interrompt le client, il est invité à entrer une justification métier et à réentérer ses informations d’identification de connexion. La justification métier est journalisée.
Reprendre	Reprend le client suspendu.
redémarrer	Redémarre le client.
Collecter les journaux d’activité	Collecte les journaux du client et les archive dans un fichier zip à partager avec le support Microsoft pour l’examen.
Paramètres	Ouvre l’outil Paramètres et diagnostics avancés.
À propos de	Affiche des informations concernant la version du produit.

États des clients dans l’icône de la barre d’état système

Icône	Message	Descriptif
	Client d’accès sécurisé global	Le client initialise et vérifie sa connexion à Global Secure Access.
	Client d’accès sécurisé global - Connecté	Le client est connecté à l’accès sécurisé global.
	Client d’accès sécurisé global - Désactivé	Le client est désactivé, car les services sont hors connexion ou l’utilisateur a désactivé le client.
	Client d’accès sécurisé global - Déconnecté	Le client n’a pas pu se connecter à l’accès sécurisé global.
	Client d’accès sécurisé global - Certains canaux sont inaccessibles	Le client est partiellement connecté à l’accès global sécurisé (autrement dit, la connexion à au moins un canal a échoué : Microsoft Entra, Microsoft 365, Accès privé, Accès Internet).
	Client d’accès sécurisé global - Désactivé par votre organisation	Votre organisation a désactivé le client (autrement dit, tous les profils de transfert de trafic sont désactivés).
	Accès sécurisé global - Accès privé désactivé	L’utilisateur a désactivé l’accès privé sur cet appareil.
	Accès sécurisé global : impossible de se connecter à Internet	Le client n’a pas pu détecter une connexion Internet. L’appareil est connecté à un réseau qui ne dispose pas d’une connexion Internet ou d’un réseau nécessitant une connexion de portail captif.

Paramètres et résolution des problèmes

La fenêtre Paramètres vous permet de définir différentes configurations et d’effectuer des actions avancées. La fenêtre paramètres contient deux onglets :

Paramètres

Choix	Descriptif
Diagnostic complet de télémétrie	Envoie des données de télémétrie complètes à Microsoft pour l’amélioration de l’application.
Activer la journalisation commentée	Permet de collecter la journalisation commentée et la capture réseau lors de l’exportation des journaux dans un fichier zip.

Dépannage

Action	Descriptif
Obtenir la dernière stratégie	Télécharge et applique le profil de transfert le plus récent pour votre organisation.
effacer les données mises en cache	Supprime les données mises en cache internes du client liées à l’authentification, au profil de transfert, aux noms de domaine complets et aux adresses IP.
Exporter les journaux d’activité	Exporte les journaux et les fichiers de configuration liés au client vers un fichier zip.
outil diagnostics avancés	Outil avancé pour surveiller et dépanner le comportement du client.

Limitations connues

Pour plus d’informations sur les problèmes connus et les limitations, consultez les limitations connues pour l’accès sécurisé global.

Contenu connexe

• Client d'accès sécurisé global pour Microsoft Windows
• Client Accès global sécurisé pour iOS
• Client Accès global sécurisé pour Android