macOS용 전역 보안 액세스 클라이언트(미리 보기)
중요하다
macOS용 전역 보안 액세스 클라이언트는 현재 미리 보기로 제공됩니다. 이 정보는 릴리스되기 전에 실질적으로 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시적이거나 묵시적인 보증을 하지 않습니다.
글로벌 보안 액세스의 필수 구성 요소인 Global Secure Access 클라이언트는 조직이 최종 사용자 디바이스에서 네트워크 트래픽을 관리하고 보호하는 데 도움이 됩니다. 클라이언트의 주요 역할은 글로벌 보안 액세스로 보호해야 하는 트래픽을 클라우드 서비스로 라우팅하는 것입니다. 다른 모든 트래픽은 네트워크로 직접 이동합니다. 포털에 구성된 전달 프로필은 Global Secure Access 클라이언트가 어떤 트래픽을 클라우드 서비스로 라우팅할지 결정합니다.
이 문서에서는 macOS용 Global Secure Access 클라이언트를 다운로드하고 설치하는 방법을 설명합니다.
필수 구성 요소
- MacOS 버전 13 이상을 실행하는 Intel, M1, M2, M3 또는 M4 프로세서가 있는 Mac 디바이스입니다.
- 회사 포털을 사용하여 Microsoft Entra 테넌트에 등록된 디바이스입니다.
- 글로벌 보안 액세스에 가입된 Microsoft Entra 테넌트입니다.
- 회사의 포털에 로그인한 사용자에 기반한 SSO 경험을 위해, Apple 디바이스에 Microsoft Enterprise SSO() 플러그인()을 배포하는 것이 권장됩니다.
- 인터넷 연결
클라이언트 다운로드
최신 버전의 Global Secure Access 클라이언트는 Microsoft Entra 관리 센터에서 다운로드할 수 있습니다.
- 전역 보안 액세스 관리자Microsoft Entra 관리 센터 로그인합니다.
- Global Secure Access>Connect>클라이언트 다운로드로 이동합니다.
-
다운로드 클라이언트선택합니다.
글로벌 보안 액세스 클라이언트 설치
자동화된 설치
조용한 설치에 다음 명령을 사용합니다. .pkg 파일의 다운로드 위치에 따라 파일 경로를 대체합니다.
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
클라이언트는 설치 중에 승인해야 하는 시스템 확장 및 투명한 애플리케이션 프록시를 사용합니다. 최종 사용자에게 이러한 구성 요소를 허용하라는 메시지를 표시하지 않고 자동 배포의 경우 구성 요소를 자동으로 승인하는 정책을 배포할 수 있습니다.
MDM(모바일 디바이스 관리)을 통해 시스템 확장 허용
다음 지침은 Microsoft Intune에 대한 것으로, 다른 MDM에 맞게 조정할 수 있습니다.
- Microsoft Intune 관리 센터에서 디바이스 관리>디바이스 관리>구성>정책>만들기>새 정책을 선택합니다.
-
Extensions형식의 템플릿을 기반으로 macOS 플랫폼에 대한 프로필을 만듭니다.
만들기선택합니다.
- 기본 탭에서 새 프로필의 이름을 입력하고 다음을 선택합니다.
- 구성 설정 탭에서 다음 표에 따라 번들 식별자팀 식별자 입력합니다. 다음선택합니다.
| 번들 식별자 | 팀 식별자 |
|---|---|
| com.microsoft.naas.globalsecure.tunnel-df | UBF8T346G9 |
| com.microsoft.naas.globalsecure-df | UBF8T346G9 |
- 필요에 따라 사용자 및 디바이스를 할당하여 프로필 만들기를 완료합니다.
MDM을 통해 투명한 애플리케이션 프록시 허용
다음 지침은 Microsoft Intune에 대한 것으로, 다른 MDM에 맞게 조정할 수 있습니다.
- Microsoft Intune 관리 센터에서 디바이스 관리>디바이스 관리>구성>정책>만들기>새 정책을 선택합니다.
- macOS 플랫폼에서 사용자 지정 형식의
템플릿을 기반으로 프로필을 생성하고 만들기 를 선택합니다.
- 기본 탭에서 프로필의 이름 입력합니다. image.png
- 구성 설정 탭에서 사용자 지정 구성 프로필 이름입력합니다.
- 배포 채널 "디바이스 채널"로 설정된 상태로 유지합니다.
- 다음 데이터가 포함된 .xml 파일을 업로드합니다.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadDescription</key>
<string>Ttransparent proxy settings</string>
<key>PayloadDisplayName</key>
<string>Global Secure Access Client - AppProxy</string>
<key>PayloadIdentifier</key>
<string>com.microsoft.naas.globalsecure-df.</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>68C6A9A4-ECF8-4FB7-BA00-291610F998D6</string>
<key>PayloadVersion</key>
<real>1</real>
<key>TransparentProxy</key>
<dict>
<key>AuthName</key>
<string>NA</string>
<key>AuthPassword</key>
<string>NA</string>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>ProviderBundleIdentifier</key>
<string>com.microsoft.naas.globalsecure.tunnel-df</string>
<key>RemoteAddress</key>
<string>100.64.0.0</string>
<key>ProviderDesignatedRequirement</key>
<string>identifier "com.microsoft.naas.globalsecure.tunnel-df" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
<key>Order</key>
<string>1</string>
</dict>
<key>UserDefinedName</key>
<string>Global Secure Access Client - AppProxy</string>
<key>VPNSubType</key>
<string>com.microsoft.naas.globalsecure.tunnel-df</string>
<key>VPNType</key>
<string>TransparentProxy</string>
</dict>
</plist>
- 필요에 따라 사용자 및 디바이스를 할당하여 프로필 만들기를 완료합니다.
수동 대화형 설치
Global Secure Access 클라이언트를 수동으로 설치하려면 다음을 수행합니다.
GlobalSecureAccessClient.pkg 설치 파일을 실행합니다. 설치 마법사가 시작됩니다. 프롬프트를 따릅니다.
소개 단계에서 계속선택하세요.
라이선스 단계에서 계속을 선택한 다음, 동의를 선택하여 사용권 계약에 동의합니다.
설치 단계에서 설치선택합니다.
요약 단계에서 설치가 완료되면 닫기버튼을 선택합니다.
전역 보안 액세스 시스템 확장을 허용합니다.
시스템 확장 차단 대화 상자에서 시스템 설정 열기를 선택합니다.
허용을 선택하여 전역 보안 액세스 클라이언트 시스템 확장을 허용합니다. 시스템 설정 스크린샷은 개인 정보 보호 및 보안 옵션이 열려 있음을 보여주며, 차단된 애플리케이션 메시지와 허용 단추가 강조 표시되어 있습니다.
개인 정보 & 보안 대화 상자에서 사용자 이름과 암호를 입력하여 시스템 확장 승인의 유효성을 검사합니다. 그런 다음 설정 수정을 선택합니다.
선택하여 전역 보안 액세스 클라이언트가 프록시 구성을 추가할 수 있도록 허용하여 프로세스를 완료합니다.
설치가 완료되면 Microsoft Entra에 로그인하라는 메시지가 표시될 수 있습니다.
메모
Apple 디바이스에
- 시스템 트레이에 전역 보안 액세스 - 연결된 아이콘이 표시되며, 이는 전역 보안 액세스에 성공적으로 연결되었음을 나타냅니다.
전역 보안 액세스 클라이언트 업그레이드
클라이언트 설치 관리자는 업그레이드를 지원합니다. 설치 마법사를 사용하여 현재 이전 클라이언트 버전을 실행 중인 디바이스에 새 버전을 설치할 수 있습니다.
조용히 업그레이드하려면 다음 명령을 사용하세요.
.pkg 파일의 다운로드 위치에 따라 파일 경로를 대체합니다.
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR
글로벌 시큐어 액세스 클라이언트 제거
Global Secure Access 클라이언트를 수동으로 제거하려면 다음 명령을 사용합니다.
sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall
MDM을 사용하는 경우 MDM을 사용하여 클라이언트를 제거합니다.
클라이언트 작업
사용 가능한 클라이언트 메뉴 작업을 보려면 전역 보안 액세스 시스템 트레이 아이콘을 마우스 오른쪽 단추로 클릭합니다.
| 행동 | 설명 |
|---|---|
| 사용 안 함 | 사용자가 클라이언트를 다시 사용하도록 설정할 때까지 클라이언트를 사용하지 않도록 설정합니다. 사용자가 클라이언트를 사용하지 않도록 설정하면 비즈니스 근거를 입력하고 로그인 자격 증명을 다시 입력하라는 메시지가 표시됩니다. 비즈니스 정당성이 기록됩니다. |
| 활성화 | 클라이언트를 사용하도록 설정합니다. |
| 일시 중지 | 사용자가 클라이언트를 다시 시작할 때까지 또는 디바이스가 다시 시작될 때까지 10분 동안 클라이언트를 일시 중지합니다. 사용자가 클라이언트를 일시 중지하면 비즈니스 근거를 입력하고 로그인 자격 증명을 다시 입력하라는 메시지가 표시됩니다. 비즈니스 정당성이 기록됩니다. |
| 다시 시작 | 일시 중지된 클라이언트를 다시 시작합니다. |
| 다시 시작 | 클라이언트를 다시 시작합니다. |
| 로그 수집 | 클라이언트 로그를 수집하고 zip 파일에 보관하여 조사를 위해 Microsoft 지원과 공유합니다. |
| 설정 | 설정 및 고급 진단 도구를 엽니다. |
| 정보 | 제품 버전에 대한 정보를 표시합니다. |
시스템 트레이 아이콘의 클라이언트 상태
| 아이콘 | 메시지 | 설명 |
|---|---|---|
|
글로벌 보안 액세스 클라이언트 | 클라이언트가 전역 보안 액세스에 대한 연결을 초기화하고 확인합니다. |
|
전역 보안 액세스 클라이언트 - 연결됨 | 클라이언트가 전역 보안 액세스에 연결됩니다. |
|
전역 보안 액세스 클라이언트 - 사용 안 함 | 서비스가 오프라인 상태이거나 사용자가 클라이언트를 사용하지 않도록 설정했기 때문에 클라이언트를 사용할 수 없습니다. |
|
글로벌 보안 액세스 클라이언트 - 연결이 끊김 | 클라이언트가 글로벌 보안 액세스에 연결하지 못했습니다. |
|
글로벌 보안 액세스 클라이언트 - 일부 채널에 연결할 수 없음 | 클라이언트는 전역 보안 액세스에 부분적으로 연결됩니다(즉, 하나 이상의 채널에 대한 연결이 실패했습니다. Microsoft Entra, Microsoft 365, Private Access, Internet Access). |
|
|
글로벌 보안 액세스 클라이언트 - 조직에서 사용하지 않도록 설정 | 조직에서 클라이언트를 사용하지 않도록 설정했습니다(즉, 모든 트래픽 전달 프로필이 비활성화됨). |
|
|
전역 보안 액세스 - 프라이빗 액세스가 사용하지 않도록 설정됨 | 사용자가 이 디바이스에서 Private Access를 사용하지 않도록 설정했습니다. |
|
|
글로벌 보안 액세스 - 인터넷에 연결할 수 없음 | 클라이언트에서 인터넷 연결을 검색할 수 없습니다. 디바이스는 인터넷에 연결되지 않은 네트워크 또는 Captive Portal 로그인이 필요한 네트워크에 연결됩니다. |
설정 및 문제 해결
설정 창을 사용하면 다른 구성을 설정하고 몇 가지 고급 작업을 수행할 수 있습니다. 설정 창에는 다음 두 개의 탭이 있습니다.
설정
| 선택 | 설명 |
|---|---|
| 원격 분석 전체 진단 |
애플리케이션 개선을 위해 전체 원격 분석 데이터를 Microsoft에 보냅니다. |
| 자세한 로깅 활성화 | 로그를 zip 파일로 내보낼 때 자세한 로깅 및 네트워크 캡처를 수집할 수 있습니다. |
문제 해결
| 행동 | 설명 |
|---|---|
| 최신 정책 가져오기 | 조직을 위한 최신 포워딩 프로필을 다운로드하고 적용합니다. |
| 캐시된 데이터 지우기 | 인증, 전달 프로필, FQDN 및 IP와 관련된 클라이언트의 내부 캐시된 데이터를 삭제합니다. |
| 로그 내보내기 | 클라이언트와 관련된 로그 및 구성 파일을 zip 파일로 내보냅니다. |
| 고급 진단 도구 | 클라이언트의 동작을 모니터링하고 문제를 해결하는 고급 도구입니다. |
알려진 제한 사항
현재 버전의 Global Secure Access 클라이언트에 대한 알려진 제한 사항은 다음과 같습니다.
DNS(보안 도메인 이름 시스템)
브라우저 또는 macOS에서 보안 DNS를 사용하도록 설정하고 DNS 서버가 보안 DNS를 지원하는 경우 클라이언트는 FQDN에서 획득하도록 설정된 트래픽을 터널하지 않습니다. (IP에서 획득한 네트워크 트래픽은 영향을 받지 않으며 전달 프로필에 따라 터널링됩니다.) 보안 DNS 문제를 완화하려면 보안 DNS를 사용하지 않도록 설정하거나, 보안 DNS를 지원하지 않는 DNS 서버를 설정하거나, IP를 기반으로 규칙을 만듭니다.
IPv6이 지원되지 않음
클라이언트는 IPv4 트래픽만 터널합니다. IPv6 트래픽은 클라이언트에서 가져오지 않으므로 네트워크로 직접 라우팅됩니다. 모든 트래픽이 전역 보안 액세스로 라우팅되도록 하려면 IPv6을 사용하지 않도록 설정합니다.
연결 백업
클라우드 서비스에 연결 오류가 있는 경우, 클라이언트는 전달 프로필에서 일치하는 규칙의 강화 값에 따라 직접 인터넷 연결 또는 연결 차단으로 전환됩니다.
원본 IP 주소의 지리적 위치
클라우드 서비스로 터널된 네트워크 트래픽의 경우 애플리케이션 서버(웹 사이트)는 연결의 원본 IP를 에지의 IP 주소(사용자 디바이스의 IP 주소가 아님)로 검색합니다. 이 시나리오는 지리적 위치를 사용하는 서비스에 영향을 줄 수 있습니다.
팁
Office 365 및 Entra가 디바이스의 실제 원본 IP를 감지하려면 원본 IP 복원을 설정하는 것이 권장됩니다.
UTM을 사용하는 가상화 지원
- 네트워크가 모드로 브리지된
상태이고 "Global Secure Access 클라이언트"가 호스트 컴퓨터에 설치된 경우: - 전역 보안 액세스 클라이언트가 가상 머신에 설치된 경우 가상 머신의 네트워크 트래픽에는 로컬 정책이 적용됩니다. 호스트 머신의 정책은 가상 머신의 전달 프로필에 영향을 주지 않습니다.
- 전역 보안 액세스 클라이언트 가상 머신에 설치되지 않은 경우 가상 머신의 네트워크 트래픽이 무시됩니다.
- Global Secure Access 클라이언트는 가상 머신의 네트워크 트래픽을 차단할 수 있으므로 네트워크 공유 모드를 지원하지 않습니다.
- 네트워크가 공유 모드인 경우 클라이언트가 호스트 컴퓨터에 설치되지 않는 한 macOS를 실행하는 가상 머신에 Global Secure Access 클라이언트를 설치할 수 있습니다.
인터넷 액세스에 대해 QUIC가 지원되지 않음
QUIC는 인터넷 액세스에 대해 아직 지원되지 않으므로 포트 80 UDP 및 443 UDP로의 트래픽을 터널화할 수 없습니다.
팁
QUIC는 현재 프라이빗 액세스 및 Microsoft 365 워크로드에서 지원됩니다.
관리자는 브라우저에서 QUIC 프로토콜을 사용하지 않도록 설정하여 클라이언트가 인터넷 액세스에서 완전히 지원되는 TCP를 통해 HTTPS로 대체되도록 트리거할 수 있습니다. 자세한 내용은 인터넷 액세스지원되지 않는
관련 콘텐츠
- Microsoft Windows용 전역 보안 액세스 클라이언트
- iOS용 전역 보안 액세스 클라이언트
- Android용 글로벌 보안 액세스 클라이언트