重要
macOS 用のグローバル セキュリティで保護されたアクセス クライアントは現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。
グローバル セキュリティで保護されたアクセスの重要なコンポーネントである Global Secure Access クライアントは、組織がエンド ユーザー デバイス上のネットワーク トラフィックを管理およびセキュリティで保護するのに役立ちます。 クライアントの主な役割は、グローバル セキュリティで保護されたアクセスによって保護される必要があるトラフィックをクラウド サービスにルーティングすることです。 その他のすべてのトラフィックは、ネットワークに直接送信されます。 ポータルで構成された 転送プロファイルによって、グローバル セキュア アクセス クライアントがクラウド サービスにルーティングするトラフィックが決まります。
この記事では、macOS 用のグローバル セキュア アクセス クライアントをダウンロードしてインストールする方法について説明します。
前提 条件
- macOS バージョン 13 以降を実行している Intel、M1、M2、M3、または M4 プロセッサを搭載した Mac デバイス。
- ポータル サイトを使用して Microsoft Entra テナントに登録されたデバイス。
- グローバル セキュリティで保護されたアクセスにオンボードされた Microsoft Entra テナント。
- Microsoft Enterprise シングル サインオン (SSO) プラグインを Apple デバイス用に展開、ポータル サイトにサインインしているユーザーに基づいて SSO エクスペリエンスを実現することをお勧めします。
- インターネット接続。
クライアントをダウンロードする
最新バージョンのグローバル セキュア アクセス クライアントは、Microsoft Entra 管理センターからダウンロードできます。
- グローバル セキュリティで保護されたアクセス管理者として、Microsoft Entra 管理センター にサインインします。
- [グローバル セキュア アクセス]>[接続]>[クラウド ダウンロード] に移動します。
- [ダウンロード クライアント] を選択します。
![[クライアントのダウンロード] ボタンが強調表示された [クライアントのダウンロード] 画面のスクリーンショット。](media/how-to-install-macos-client/macos-client-download-screen-pubpreview.png)
グローバル セキュリティで保護されたアクセス クライアントをインストールする
自動インストール
サイレント インストールには、次のコマンドを使用します。 .pkg ファイルのダウンロード場所に従ってファイル パスを置き換える必要があります。
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
クライアントは、インストール中に承認する必要があるシステム拡張機能と透過的なアプリケーション プロキシを使用します。 エンド ユーザーにこれらのコンポーネントの許可を求めずにサイレント展開を行う場合は、モバイル デバイス管理でコンポーネントを自動的に承認するポリシーを展開できます。
モバイル デバイス管理 (MDM) を使用してシステム拡張機能を許可する
次の手順は、Microsoft Intune
- Microsoft Intune 管理センターで、[デバイス]
[デバイスの管理] [構成 ポリシー] [新しいポリシー 作成] を選択します。 -
macOS のプラットフォームとプロファイルの種類が [設定] カタログに設定されたプロファイルを作成します。
[作成]を選択します
![macOS プラットフォームと設定カタログのプロファイルの種類が強調表示された [プロファイルの作成] フォームのスクリーンショット。](media/how-to-install-macos-client/macos-client-create-profile.png)
- [
基本 ] タブで、新しいプロファイルの名前を入力し、[次へ]選択します。 - [ 構成設定 ] タブで、[ + 設定の追加] を選択します。
- [設定] ピッカーで、[システム構成] カテゴリを展開し、[システム拡張機能] を選択します。
-
[システム拡張機能] サブカテゴリで、[許可されているシステム拡張機能] を選択します。
![カテゴリとサブカテゴリの選択が強調表示されている [設定] ピッカーのスクリーンショット。](media/how-to-install-macos-client/macos-settings-picker.png)
- [設定] ピッカーを閉じます。
- [許可されているシステム拡張機能] の一覧で、[+ インスタンスの編集] を選択します。
- [ インスタンスの構成 ] ダイアログで、次のエントリを使用してシステム拡張機能のペイロード設定を構成します。
| バンドル識別子 | チーム識別子 |
|---|---|
| com.microsoft.naas.globalsecure.tunnel-df | UBF8T346G9 |
| com.microsoft.naas.globalsecure-df | UBF8T346G9 |
- [保存] を選択し、 [次へ] を選択します。
- [ スコープ タグ ] タブで、必要に応じてタグを追加します。
- [ 割り当て ] タブで、macOS デバイスまたはユーザーのグループにプロファイルを割り当てます。
- [ 確認と作成 ] タブで、構成を確認し、[ 作成] を選択します。
MDM を介して透過的なアプリケーション プロキシを許可する
次の手順は、Microsoft Intune
- Microsoft Intune 管理センターで、[デバイス]
[デバイスの管理] [構成 ポリシー] [新しいポリシー 作成] を選択します。 - macOS プラットフォーム用のプロファイルを、カスタム の種類のテンプレート
に基づいて作成し、[作成] を 選択します。 
- [基本] タブで、プロファイルの 名 を入力します。
- [構成設定] タブで、カスタム構成プロファイル名入力します。
- 展開チャネル "デバイス チャネル" に設定したままにします。
- 次のデータを含む .xml ファイルをアップロードします。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadUUID</key>
<string>87cbb424-6af7-4748-9d43-f1c5dda7a0a6</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.naas.globalsecure-df</string>
<key>PayloadDisplayName</key>
<string>Global Secure Access Proxy Configuration</string>
<key>PayloadDescription</key>
<string>Add Global Secure Access Proxy Configuration</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadEnabled</key>
<true/>
<key>PayloadRemovalDisallowed</key>
<true/>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadUUID</key>
<string>04e13063-2bb8-4b72-b1ed-45290f91af68</string>
<key>PayloadType</key>
<string>com.apple.vpn.managed</string>
<key>PayloadOrganization</key>
<string>Microsoft Corporation</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.naas.globalsecure-df</string>
<key>PayloadDisplayName</key>
<string>Global Secure Access Proxy Configuration</string>
<key>PayloadDescription</key>
<string/>
<key>PayloadVersion</key>
<integer>1</integer>
<key>TransparentProxy</key>
<dict>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>Order</key>
<integer>1</integer>
<key>ProviderBundleIdentifier</key>
<string>com.microsoft.naas.globalsecure.tunnel-df</string>
<key>ProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.naas.globalsecure.tunnel-df" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
<key>ProviderType</key>
<string>app-proxy</string>
<key>RemoteAddress</key>
<string>100.64.0.0</string>
</dict>
<key>UserDefinedName</key>
<string>Global Secure Access Proxy Configuration</string>
<key>VPNSubType</key>
<string>com.microsoft.naas.globalsecure-df</string>
<key>VPNType</key>
<string>TransparentProxy</string>
</dict>
</array>
</dict>
</plist>
- 必要に応じてユーザーとデバイスを割り当てることで、プロファイルの作成を完了します。
手動で行う対話型インストール
グローバル セキュリティで保護されたアクセス クライアントを手動でインストールするには:
GlobalSecureAccessClient.pkgセットアップ ファイルを実行します。 インストール ウィザードが起動します。 画面の指示に従います。
[概要 ステップ]で、[続行]を選択します。
[ライセンス] ステップで、[続行] を選択し、[同意 を選択して使用許諾契約書に同意します。
インストール ステップで、インストールを選択します。
サマリー の手順で、インストールが完了したら、[閉じる]を選択します。
グローバル セキュリティで保護されたアクセス システム拡張機能を許可します。
[システム拡張機能のブロック] ダイアログで、[システム設定を開く] を選択します。
![[システム拡張機能がブロックされました] ダイアログ ボックスのスクリーンショット。[システム設定を開く] が強調表示されています。](media/how-to-install-macos-client/macos-client-open-system-settings.png)
[を許可する] を選択して、グローバル セキュア アクセス クライアント システム拡張機能
許可します。 ![[システム設定] のスクリーンショット。[プライバシー & セキュリティ] オプションが開き、[許可] ボタンが強調表示された、ブロックされたアプリケーション メッセージが表示されます。](media/how-to-install-macos-client/macos-allow-blocked-application.png)
[プライバシー & セキュリティ] ダイアログボックスで、ユーザー名とパスワードを入力して、システム拡張機能の承認を検証します。 次に、設定を変更を選択します。
![サインイン資格情報を要求する [プライバシー & セキュリティ] ポップアップのスクリーンショット。[設定の変更] ボタンが強調表示されています。](media/how-to-install-macos-client/macos-client-credentials.png)
[ を許可
選択して、グローバル セキュア アクセス クライアントでプロキシ構成を追加できるようにすることで、プロセスを完了します。
![グローバル セキュア アクセス クライアントがプロキシ構成を追加しようとするポップアップのスクリーンショットで、[許可] ボタンが強調表示されています。](media/how-to-install-macos-client/macos-add-proxy.png)
インストールが完了すると、Microsoft Entra にサインインするように求められる場合があります。
手記
Apple デバイス用の Microsoft Enterprise SSO プラグイン が展開されている場合、既定の動作では、ポータル サイトに入力された資格情報でシングル サインオンを使用します。
-
グローバル セキュア アクセス - 接続 アイコンがシステム トレイに表示され、グローバル セキュア アクセスへの正常な接続が示されます。
グローバル セキュリティで保護されたアクセス クライアントをアップグレードする
クライアント インストーラーはアップグレードをサポートします。 インストール ウィザードを使用して、現在以前のクライアント バージョンを実行しているデバイスに新しいバージョンをインストールできます。
サイレント アップグレードの場合は、次のコマンドを使用します。
.pkg ファイルのダウンロード場所に従ってファイル パスを置き換える必要があります。
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
グローバル セキュリティで保護されたアクセス クライアントをアンインストールする
グローバル セキュア アクセス クライアントを手動でアンインストールするには、次のコマンドを使用します。
sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall
MDM を使用している場合は、MDM を使用してクライアントをアンインストールします。
クライアント アクション
使用可能なクライアント メニューアクションを表示するには、グローバルセキュアアクセスシステムトレイアイコンを右クリックします。
| アクション | 説明 |
|---|---|
| を無効にする | ユーザーが再度有効になるまで、クライアントを無効にします。 ユーザーがクライアントを無効にすると、業務上の正当な理由を入力し、サインイン資格情報を再入力するように求められます。 業務上の正当な理由がログに記録されます。 |
| を有効にする | クライアントを有効にします。 |
| 一時停止 | ユーザーがクライアントを再開するまで、またはデバイスが再起動されるまで、クライアントを 10 分間一時停止します。 ユーザーがクライアントを一時停止すると、業務上の正当な理由を入力し、サインイン資格情報を再入力するように求められます。 業務上の正当な理由がログに記録されます。 |
| 履歴書 | 一時停止しているクライアントを再開します。 |
| 再起動 | クライアントを再起動します。 |
| ログの収集 | クライアント ログを収集し、それらを zip ファイルにアーカイブして、調査のために Microsoft サポートと共有します。 |
| 設定 | 設定と高度な診断ツールを開きます。 |
| 概要 | 製品のバージョンに関する情報を表示します。 |
システム トレイ アイコンのクライアントの状態
| アイコン | メッセージ | 説明 |
|---|---|---|
|
グローバル セキュリティで保護されたアクセス クライアント | クライアントは、グローバル セキュリティで保護されたアクセスへの接続を初期化して確認しています。 |
|
グローバル セキュリティで保護されたアクセス クライアント - 接続済み | クライアントはグローバル セキュリティで保護されたアクセスに接続されています。 |
|
グローバル セキュリティで保護されたアクセス クライアント - 無効 | サービスがオフラインであるか、ユーザーがクライアントを無効にしているため、クライアントは無効になっています。 |
|
グローバルセキュアアクセスクライアント - 切断 | クライアントがグローバル セキュリティで保護されたアクセスに接続できませんでした。 |
|
グローバル セキュリティで保護されたアクセス クライアント - 一部のチャネルに到達できない | クライアントはグローバル セキュリティで保護されたアクセスに部分的に接続されています (つまり、Microsoft Entra、Microsoft 365、Private Access、Internet Access という少なくとも 1 つのチャネルへの接続に失敗しました)。 |
|
|
グローバルなセキュリティで保護されたアクセス クライアント - 組織によって無効になっている | 組織がクライアントを無効にしました (つまり、すべてのトラフィック転送プロファイルが無効になっています)。 |
|
|
グローバル セキュリティで保護されたアクセス - プライベート アクセスが無効になっている | ユーザーは、このデバイスでプライベート アクセスを無効にしました。 |
|
|
グローバルセキュリティで保護されたアクセス - インターネットに接続できませんでした | クライアントがインターネット接続を検出できませんでした。 デバイスは、インターネットに接続されていないネットワークまたはキャプティブ ポータルのサインインを必要とするネットワークに接続されています。 |
設定とトラブルシューティング
[設定] ウィンドウでは、さまざまな構成を設定し、いくつかの高度なアクションを実行できます。 設定ウィンドウには、次の 2 つのタブがあります。
設定
| オプション | 説明 |
|---|---|
| テレメトリの完全な診断 | アプリケーションの改善のために、完全なテレメトリ データを Microsoft に送信します。 |
| 詳細ログ を有効にする | ログを zip ファイルにエクスポートするときに、詳細ログとネットワーク キャプチャを収集できるようにします。 |
![macOS の [設定とトラブルシューティング] ビューのスクリーンショット。[設定] タブが選択されています。](media/how-to-install-macos-client/macos-client-settings-toggles.png)
トラブルシューティング
| アクション | 説明 |
|---|---|
| 最新のポリシーを取得する | 組織の最新の転送プロファイルをダウンロードして適用します。 |
| キャッシュされたデータ をクリアする | 認証、転送プロファイル、FQDN、IP に関連するクライアントの内部キャッシュ データを削除します。 |
| ログのエクスポート | クライアントに関連するログと構成ファイルを zip ファイルにエクスポートします。 |
| 高度な診断ツール | クライアントの動作を監視およびトラブルシューティングするための高度なツール。 |
![macOS の [設定とトラブルシューティング] ビューのスクリーンショット。[トラブルシューティング] タブが選択されています。](media/how-to-install-macos-client/macos-client-troubleshooting-toggles.png)
既知の制限事項
既知の問題と制限事項の詳細については、「 グローバル セキュリティで保護されたアクセスの既知の制限事項」を参照してください。
関連コンテンツ
- Microsoft Windows 用グローバルセキュアアクセス クライアント
- iOS用グローバルセキュアアクセスクライアント
- グローバル セキュア アクセス クライアント Android 用