Global Secure Access 客户端是全局安全访问的重要组成部分,可帮助组织管理和保护最终用户设备上的网络流量。 客户端的主要角色是将需要由全球安全访问保护的流量路由到云服务。 所有其他流量直接流向网络。 门户中配置的转发配置文件确定全球安全访问客户端路由到云服务的流量。
本文介绍如何下载和安装适用于 macOS 的全局安全访问客户端。
Prerequisites
- 具有 Intel、M1、M2、M3 或 M4 处理器的 Mac 设备,运行 macOS 版本 13 或更高版本。
- 使用公司门户注册到 Microsoft Entra 租户的设备。
- 载入到全球安全访问的 Microsoft Entra 租户。
- 互联网连接。
- 对于基于登录到公司门户的用户的 SSO 体验,请 为 Apple 设备部署 Microsoft Enterprise 单一登录 (SSO) 插件。
下载客户端
全局安全访问客户端的最新版本可从 Microsoft Entra 管理中心下载。
- 以 全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“全球安全访问”“连接”>“客户端下载”>。
- 选择 macOS 选项卡。
- 选择“下载客户端”。
安装全局安全访问客户端
自动安装
使用以下命令进行无提示安装。 根据.pkg文件的下载位置替换文件路径。
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
客户端使用在安装过程中需要批准的系统扩展和透明应用程序代理。 对于无需提示最终用户允许组件的静默部署,可以通过部署策略与移动设备管理系统一同自动批准这些组件。
使用 Microsoft Intune 进行部署
若要通过 Microsoft Intune 将全局安全访问客户端 (.pkg) 部署为托管应用程序:
- 从 Microsoft Entra 管理中心下载GlobalSecureAccessClient.pkg文件。
- 在 Intune 管理中心Microsoft,选择“ 应用>所有应用>创建”。
- 在 “选择应用类型 ”窗格中的 “其他 应用类型”下,选择 macOS 应用(PKG), 然后选择“ 选择”。
- 在 “应用包文件 ”选项卡上, 选择“选择应用包文件”,浏览到GlobalSecureAccessClient.pkg文件,然后选择“ 确定”。
- 在 “应用信息 ”选项卡上,填写所需的详细信息,然后选择“ 下一步”。
- 在“ 要求 ”选项卡上,将最低作系统设置为 macOS 13.0 ,然后选择“ 下一步”。
- 在 “检测规则 ”选项卡上,查看 “包含的应用 ”列表,验证是否已正确检测到全局安全访问客户端应用,然后选择“ 下一步”。
- 在“ 分配 ”选项卡上,将应用分配到相应的设备或用户组,然后选择“ 下一步”。
- 查看配置,然后选择“创建”。
允许通过移动设备管理(MDM)进行系统扩展
重要
这些说明的早期版本引用了已弃用的 扩展 配置文件类型。 如果你的组织以前使用扩展配置文件部署的系统扩展,请迁移到“设置”目录中的“允许的系统扩展”设置,如以下步骤中所述。
以下说明适用于 Microsoft Intune,你可以针对不同的 MDM 对其进行调整:
- 在 Microsoft Intune 管理中心,选择 设备>管理设备>配置>策略>创建>新策略。
- 创建具有平台为macOS且配置文件类型设置为设置目录的配置文件。 选择 创建。
- 在“基本信息”选项卡上,输入新配置文件的名称,然后选择“下一步”。
- 在 “配置设置 ”选项卡上,选择“ + 添加设置”。
- 在 “设置”选取器中,展开 “系统配置 ”类别,然后选择“ 系统扩展”。
- 从 “系统扩展 ”子类别中,选择 “允许的系统扩展”。
- 关闭 “设置”选取器。
- 在 “允许的系统扩展”列表中,选择“ + 编辑实例”。
- 在 “配置实例 ”对话框中,使用以下条目配置系统扩展有效负载设置:
| 包标识符 | 团队标识符 |
|---|---|
| com.microsoft.globalsecureaccess.tunnel | UBF8T346G9 |
| com.microsoft.globalsecureaccess | UBF8T346G9 |
- 依次选择“保存”和“下一步” 。
- 在 “作用域标记 ”选项卡上,根据需要添加标记。
- 在“ 分配 ”选项卡上,将配置文件分配给一组 macOS 设备或用户。
- 在“ 审阅 + 创建 ”选项卡上,查看配置并选择“ 创建”。
通过 MDM 允许透明的应用程序代理
以下说明适用于 Microsoft Intune,你可以针对不同的 MDM 对其进行调整:
- 在 Microsoft Intune 管理中心,选择 设备>管理设备>配置>策略>创建>新策略。
- 基于“自定义”类型的模板为 macOS 平台创建配置文件,并选择“创建”。
- 在“基本信息”选项卡上,输入配置文件的名称。
- 在“配置设置”选项卡上,输入“自定义配置文件名称”。
- 将 部署通道 设置为“设备通道”。
- 上传包含以下数据的 .xml 文件:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>87cbb424-6af7-4748-9d43-f1c5dda7a0a6</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.globalsecureaccess</string>
<key>PayloadDisplayName</key>
<string>Global Secure Access Proxy Configuration</string>
<key>PayloadDescription</key>
<string>Add Global Secure Access Proxy Configuration</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>04e13063-2bb8-4b72-b1ed-45290f91af68</string>
<key>PayloadType</key>
<string>com.apple.vpn.managed</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.globalsecureaccess</string>
<key>PayloadDisplayName</key>
<string>Global Secure Access Proxy Configuration</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>TransparentProxy</key>
<dict>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>Order</key>
<integer>1</integer>
<key>ProviderBundleIdentifier</key>
<string>com.microsoft.globalsecureaccess.tunnel</string>
<key>ProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.globalsecureaccess.tunnel" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
<key>ProviderType</key>
<string>app-proxy</string>
<key>RemoteAddress</key>
<string>100.64.0.0</string>
</dict>
<key>UserDefinedName</key>
<string>Global Secure Access Proxy Configuration</string>
<key>VPNSubType</key>
<string>com.microsoft.globalsecureaccess</string>
<key>VPNType</key>
<string>TransparentProxy</string>
</dict>
</array>
</dict>
</plist>
- 根据需要分配用户和设备,完成配置文件的创建。
手动交互式安装
手动安装全局安全访问客户端:
运行GlobalSecureAccessClient.pkg安装程序文件。 “安装”向导启动。 按照提示操作。
在“简介”步骤中,选择“继续”。
在 许可证 步骤中,选择 继续,然后选择 同意 接受许可协议。
在 安装 步骤中,选择 安装。
在 摘要 步骤中,安装完成后,选择 关闭。
允许全球安全访问系统扩展。
在“已阻止系统扩展”对话框中,选择“打开系统设置”。
选择“允许”,允许全球安全访问客户端系统扩展。
在 隐私 & 安全 对话框中,输入用户名和密码以验证系统扩展的批准。 然后选择 修改设置。
选择“允许”,允许全球安全访问客户端添加代理配置,完成此过程。
安装完成后,系统可能会提示你登录到 Microsoft Entra。
Note
如果在 Apple 设备上部署 Microsoft Enterprise SSO 插件,则默认行为是使用在公司门户中输入的凭据进行单一登录。
- “全球安全访问 - 已连接”图标显示在系统托盘中,指示已成功连接到全球安全访问。
升级全局安全访问客户端
客户端安装程序支持升级。 可以使用安装向导在当前运行以前的客户端版本的设备上安装新版本。
对于无提示升级,请运行以下命令。
根据.pkg文件的下载位置替换文件路径。
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
卸载全局安全访问客户端
若要手动卸载全局安全访问客户端,请使用以下任一方法:
- 运行 卸载全局安全访问客户端应用程序 。
Or
- 运行下面的命令:
sudo /Applications/GlobalSecureAccessClient/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall
如果使用 MDM,请使用 MDM 卸载客户端。
客户端操作
若要查看可用的客户端菜单操作,请右键单击全局安全访问系统托盘图标。
| Action | Description |
|---|---|
| Disable | 禁用客户端,直到用户再次启用它。 当用户禁用客户端时,系统会提示他们输入业务理由并重新输入其登录凭据。 记录业务理由。 |
| Enable | 启用客户端。 |
| Pause | 将客户端暂停 10 分钟,直到用户恢复客户端或设备重启为止。 当用户暂停客户端时,系统会提示他们输入业务理由并重新输入其登录凭据。 记录业务理由。 |
| Resume | 恢复暂停的客户端。 |
| Restart | 重启客户端。 |
| 收集日志 | 收集客户端日志并将其存档在 zip 文件中,以便与Microsoft支持人员共享以进行调查。 |
| Settings | 打开“设置”和“高级诊断”工具。 |
| About | 显示有关产品版本的信息。 |
系统托盘图标中的客户端状态
| Icon | Message | Description |
|---|---|---|
|
全球安全访问客户端 | 客户端正在初始化并检查其与全局安全访问的连接。 |
|
全球安全访问客户端 - 已连接 | 客户端已连接到 Global Secure Access。 |
|
全局安全访问客户端 - 已禁用 | 由于服务处于脱机状态或用户禁用客户端,因此客户端被禁用。 |
|
全球安全访问客户端 - 已断开连接 | 客户端无法连接到全局安全访问。 |
|
全局安全访问客户端 - 某些通道无法访问 | 客户端部分连接到全球安全访问(即至少以下一个通道的连接失败:Microsoft Entra、Microsoft 365、专用访问、Internet 访问)。 |
|
|
全球安全访问客户端 - 已被您的组织禁用 | 组织已禁用客户端(即,所有流量转发配置文件均已禁用)。 |
|
|
全局安全访问 - 禁用专用访问 | 用户在此设备上禁用了专用访问。 |
|
|
全局安全访问 - 无法连接到 Internet | 客户端无法检测到 Internet 连接。 设备连接到没有互联网连接的网络,或连接到需要门户认证的网络。 |
设置和故障排除
在“设置”窗口中,可以设置不同的配置并执行一些高级作。 “设置”窗口有两个选项卡:
Settings
| Option | Description |
|---|---|
| 遥测全面诊断 | 将完整的遥测数据发送到Microsoft,以改进应用程序。 |
| 启用详细日志记录 | 允许在将日志导出到 zip 文件时收集详细日志记录和网络捕获。 |
Troubleshooting
| Action | Description |
|---|---|
| 获取最新策略 | 下载并应用适合你的组织的最新转发配置。 |
| 清除缓存的数据 | 删除与身份验证、转发配置文件、FQDN 和 IP 相关的客户端内部缓存数据。 |
| 导出日志 | 将与客户端相关的日志和配置文件导出到 zip 文件。 |
| 高级诊断工具 | 用于监视和排查客户端行为问题的高级工具。 |
隐藏或取消隐藏系统托盘菜单按钮
管理员可以通过在下表中部署值来显示或隐藏客户端系统托盘图标菜单中的特定按钮。
| Value | 类型 | Data | 默认行为 | Description |
|---|---|---|---|---|
| HideDisablePrivateAccessButton | 布尔 | false = 显示 true = 隐藏 | 隐藏 | 设置此值可显示或隐藏 “禁用专用访问 ”按钮。 此选项适用于以下情况:设备直接连接到公司网络,而用户更喜欢直接通过网络而不是全局安全访问访问来访问专用应用程序。 |
| HideDisableButton | 布尔 | false = 显示 true = 隐藏 | shown | 设置此值可显示或隐藏 “禁用” 作。 可见时,用户可以禁用 Global Secure Access 客户端。 客户端将保持禁用状态,直到用户再次启用或重启设备。 |
| 隐藏暂停按钮 | 布尔 | false = 显示 true = 隐藏 | shown | 设置此值以显示或隐藏 “暂停” 作。 当可见时,用户可以暂停全局安全访问客户端。 客户端暂停 10 分钟或直到用户再次启用它。 |
| 隐藏退出按钮 | 布尔 | false = 显示 true = 隐藏 | 隐藏 | 设置此值以显示或隐藏 Quit 作。 当可见时,用户可以退出全局安全访问客户端,这会关闭客户端应用程序。 若要再次打开它,请从 Finder 运行全局安全访问应用程序。 |
还可以使用 Microsoft Intune 配置客户端系统托盘图标菜单:
- 按照说明 创建用户资料。
- 对于 首选项域名,请输入
com.microsoft.globalsecureaccess。 - 对于 属性列表文件,上传类似于以下示例的 XML 文件。 修改 XML 以匹配首选项。
<key>HidePauseButton</key>
<false/>
<key>HideDisableButton</key>
<false/>
<key>HideQuitButton</key>
<true/>
<key>HideDisablePrivateAccessButton</key>
<true/>
已知的限制
有关已知问题和限制的详细信息,请参阅 全局安全访问的已知限制。
相关内容
- 适用于 Microsoft Windows 的
全局安全访问客户端 - 适用于 iOS 的
全局安全访问客户端 - 适用于 Android 的
全局安全访问客户端