Resumo rápido para quem precisa decidir agora: em agosto de 2025, o cliente do Global Secure Access (GSA) para macOS está em GA (disponível para produção) e o de iOS permanece em Public Preview. A distribuição do cliente macOS é feita via download no Entra admin center; no iOS, o cliente opera dentro do aplicativo Microsoft Defender para Endpoint com um perfil de VPN local gerenciado pelo Intune.
Visão geral em uma frase
macOS: GA, com instalação e governança via MDM/Intune, incluindo extensões de sistema e Transparent Application Proxy; iOS: Public Preview, integrado ao app Defender para Endpoint, ativado por perfil de VPN local (loopback) e chaves de configuração para exibir/forçar o serviço.
O que mudou de 2024 para 2025
- Serviço GSA/Entra Private Access: o serviço consolidado (Internet Access + Private Access) já estava em GA desde 2024. Em 2025, houve consolidação de recursos de governança (como restrições de tenant e verificação de rede compatível) e evolução do cliente multiplataforma.
- Cliente macOS: entrou em General Availability com versões de 2025 que trouxeram identificadores de distribuição atualizados, suporte a mTLS, melhorias de telemetria, coleta de logs e ajustes de compatibilidade.
- Cliente iOS: seguiu em Public Preview, entregue por meio do Microsoft Defender for Endpoint para iOS e gerenciado pelo Intune com um Custom VPN profile de loopback (127.0.0.1) — com chaves para exibir/ativar o “tile” do GSA no app.
Status atual (agosto/2025)
| Plataforma | Status | Como obter | Sistema suportado | Observações |
|---|---|---|---|---|
| macOS | GA | Entra admin center > Global Secure Access > Connect > Client download > macOS | macOS 13 ou superior (Intel/Apple Silicon) | Requer aprovação de system extensions e Transparent Application Proxy via MDM; suporte a instalação silenciosa. |
| iOS | Public Preview | App Microsoft Defender (iOS) via Intune + perfil de VPN (Custom) loopback | iOS 16+ efetivamente (o app Defender encerrou suporte a iOS 15 em 31/01/2025) | Chaves como EnableGSA e EnableGSAPrivateChannel controlam visibilidade/ativação e bloqueio do usuário. |
Nota importante sobre iOS mínimo: embora guias antigos do GSA citem iOS 15+, o Microsoft Defender for Endpoint (que hospeda o cliente) passou a exigir iOS/iPadOS 16+ a partir de 31/01/2025. Planeje o parque de dispositivos considerando 16+ como baseline.
Quando estará em GA no iOS?
Até agosto de 2025, não há data pública oficial para GA do cliente de iOS. Para necessidades de roteiro formal (por exemplo, auditoria, “go/no-go” executivo), recomenda-se abrir um ticket de suporte pelo tenant para obter confirmação oficial e acompanhar os canais “What’s new”/Tech Community.
Guia prático de implantação
macOS (GA)
Pré-requisitos
- Dispositivo macOS 13+ (Intel/M1/M2/M3/M4) registrado na organização (Company Portal) e tenant habilitado no Global Secure Access.
- Conectividade de internet e licenciamento adequado.
- (Recomendado) Plug‑in Microsoft Enterprise SSO para Apple para experiência de SSO.
Download e instalação
- No Entra admin center, acesse Global Secure Access > Connect > Client download e baixe o cliente para macOS.
- Instalação silenciosa (automatizada):
sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR - Aprovar componentes via MDM: o cliente utiliza system extensions e um Transparent Application Proxy. Para não interromper o usuário durante a instalação, distribua políticas MDM aprovando previamente:
- Bundle IDs:
com.microsoft.globalsecureaccess.tunnelecom.microsoft.globalsecureaccess - Team ID:
UBF8T346G9
- Bundle IDs:
Perfil de Transparent Application Proxy (exemplo simplificado)
Crie um perfil Custom no Intune com um PayloadType de VPN gerenciada que contenha o TransparentProxy. Um esqueleto mínimo (adapte para seu MDM):
<dict>
<key>PayloadType</key><string>com.apple.vpn.managed</string>
<key>TransparentProxy</key>
<dict>
<key>ProviderBundleIdentifier</key>
<string>com.microsoft.globalsecureaccess.tunnel</string>
<key>ProviderType</key><string>app-proxy</string>
<key>ProviderDesignatedRequirement</key>
<string>... OU=UBF8T346G9 ...</string>
<key>RemoteAddress</key><string>100.64.0.0</string>
</dict>
<key>VPNType</key><string>TransparentProxy</string>
<key>VPNSubType</key><string>com.microsoft.globalsecureaccess</string>
</dict>
Controles do menu do cliente (governança)
Para ocultar botões do menu do ícone (por exemplo, impedir Pause/Disable), aplique preferências no domínio com.microsoft.globalsecureaccess pelo Intune:
| Chave | Tipo | Comportamento (true/false) | Padrão |
|---|---|---|---|
HideDisableButton | Boolean | true oculta / false mostra | mostrado |
HidePauseButton | Boolean | true oculta / false mostra | mostrado |
HideQuitButton | Boolean | true oculta / false mostra | oculto |
HideDisablePrivateAccessButton | Boolean | true oculta / false mostra | oculto |
Pós-implantação e operações
- Coleta de logs: disponível no menu do cliente (gera ZIP para suporte).
- Diagnóstico avançado: janela com ferramentas para acompanhar o comportamento do cliente.
- Políticas: atribua os perfis de encaminhamento (Microsoft/Private/Internet Access) e revise periodicamente as limitações conhecidas.
iOS (Public Preview)
Arquitetura e pré-requisitos
- O “cliente” do GSA em iOS é um componente do app Microsoft Defender (iOS).
- Dispositivo iOS/iPadOS com iOS 16+, registrado e enrolado no Intune para aplicar conformidade, app Defender distribuído e tenant habilitado no GSA.
Instalação e ativação (Intune)
- Publique o app Microsoft Defender (iOS) via Intune para os grupos-alvo.
- Crie um perfil de VPN > Custom:
- Connection Type: Custom VPN
- Connection Name: Microsoft Defender for Endpoint
- VPN server address:
127.0.0.1 - Split tunneling: Disable
- VPN identifier:
com.microsoft.scmx
- Adicione as chaves (key-value) na seção de configuração do VPN: Chave Valores Efeito
SilentOnboardTrueHabilita onboarding silencioso do Defender.EnableGSA0/1/2/3 0: oculto; 1: mostra tile desativado (usuário pode ativar); 2: mostra tile ativado (usuário pode desativar); 3: tile ativado e o usuário não pode desativar.EnableGSAPrivateChannel0/1/2/3 Controla a visibilidade/estado do canal Private Access (0 oculto; 1 visível desativado; 2 visível ativado; 3 visível e bloqueado ativado). - Configure On-demand VPN com regra “Connect” para “All domains” e ative “Block users from disabling automatic VPN”.
Perfis de encaminhamento suportados
O cliente iOS suporta os perfis Microsoft e Private Access. Após a sincronização, o “tile” do GSA aparece no painel do app Defender, refletindo o estado definido (EnableGSA).
Controles de governança (evitar desativação pelo usuário)
- Defina
EnableGSA=3para impedir que o usuário desligue o GSA. - Se necessário, bloqueie também o canal privado com
EnableGSAPrivateChannel=3.
Quadro de requisitos e compatibilidade
| Tópico | macOS | iOS |
|---|---|---|
| Sistema operacional mínimo | macOS 13+ | iOS/iPadOS 16+ (via Defender) |
| Entrega do cliente | Download no Entra admin center | Componente do app Microsoft Defender |
| MDM necessário | Sim (aprovar extensões/proxy transparente) | Sim (perfil VPN Custom e app Defender) |
| Perfis de encaminhamento | Microsoft / Private / Internet Access | Microsoft / Private Access |
| Recursos de SSO | Plug‑in Enterprise SSO para Apple (recomendado) | Authenticator/Company Portal para registro |
Limitações importantes (planejamento)
- Secure DNS: DoH/DoT/DNSSEC podem impedir a aquisição por FQDN; desabilite Secure DNS no navegador/sistema quando usar regras por FQDN.
- QUIC: tráfego QUIC (UDP 80/443) não é suportado no perfil de Internet Access; para Microsoft/Private Access há cobertura parcial.
- IPv6: o cliente prioriza IPv4; tráfego IPv6 pode escapar se não houver mitigação (defina adaptador como “IPv4 preferido” quando aplicável).
- Geo‑IP: destinos veem o IP do edge do GSA; avalie Source IP restoration para cenários que dependem de geolocalização (principalmente Microsoft/Entra).
- Virtualização: atenção a cenários com VMs e modos de rede compartilhada; preferir instalação do cliente na VM (não no host) quando necessário.
- Coexistência em mobile: no iOS, a coexistência com VPNs de terceiros é restrita; o GSA usa VPN local (loopback) e pode conflitar com outras soluções.
Melhores práticas de implantação
- Comece pequeno e medível: um anel piloto com 20–50 usuários, cobrindo macOS e iOS, com casos de uso representativos (Microsoft 365, apps privadas TCP/UDP, SaaS críticas).
- Neutralize variáveis de DNS: padronize navegadores sem Secure DNS durante o piloto para validar aquisição por FQDN de forma previsível.
- Bloqueio gradual do usuário: inicie com
EnableGSA=2(iOS) e menu visível no macOS; quando a estabilidade estiver comprovada, mude paraEnableGSA=3e oculte Pause/Disable no macOS. - Telemetria e logs: ative a coleta de logs apenas quando necessário (custo/privacidade), exporte artefatos em incidentes e utilize os deployment logs do GSA (quando disponíveis) para rastrear distribuições.
- Condições de Acesso (CAE e rede compatível): aproveite a integração de Compliant network check, Universal CA e restauração de IP de origem para endurecer políticas com o cliente em execução.
Checklist de validação (PoC)
- Cliente macOS conecta e aplica perfis Microsoft/Private/Internet conforme regras (verificar ícone/estado e logs).
- Aplicativo privado (TCP) acessível apenas com cliente ativo; ao desabilitar o cliente, o acesso falha (esperado).
- No iOS, o painel do Defender exibe o “tile” GSA no estado definido; alternar EnableGSA entre 1/2/3 para confirmar comportamento.
- Web filtrada (Internet Access) respeita categorias/FQDNs; QUIC forçado a recuar para HTTPS/TCP quando necessário.
- Eventos/telemetria são recebidos (GSA e Defender) e as políticas de Condicional Access refletem Compliant network.
Problemas comuns e soluções
| Sintoma | Provável causa | Como resolver |
|---|---|---|
| “Tile” do GSA não aparece no app Defender (iOS) | Perfil VPN sem EnableGSA ou sincronização pendente | Forçar parada/relançar o app; confirmar EnableGSA e SilentOnboard=True no perfil; verificar atribuições Intune. |
| Usuário consegue pausar/desligar o cliente (macOS) | Preferências do menu não aplicadas | Aplicar chaves HidePauseButton/HideDisableButton=true via Intune (domínio com.microsoft.globalsecureaccess). |
| Apps por FQDN não são capturados | Secure DNS (DoH/DoT) ativo no navegador/SO | Desabilitar Secure DNS ou migrar a regra para IP enquanto testa; revisar perfil de encaminhamento. |
| Comportamento inconsistente após reinício (macOS) | Versão antiga do cliente ou conflito de perfis | Atualizar para a versão GA recente; remover perfis antigos com identificadores obsoletos antes de instalar os novos. |
| Dependência de geolocalização não confiável | Destino vê IP do edge do GSA | Habilitar Source IP restoration onde suportado (Microsoft/Entra); reavaliar políticas baseadas em IP. |
Notas de versão e mudanças que afetam implantação
- macOS – GA (29/07/2025): primeira versão em disponibilidade geral, com melhorias de estabilidade, log ampliado e suporte à coleta de logs por script.
- Identificadores atualizados (jun/2025): os identificadores de distribuição mudaram para
com.microsoft.globalsecureaccessecom.microsoft.globalsecureaccess.tunnel. Remova perfis antigos para evitar instalações lado a lado. - Compatibilidade futura: versões pós‑GA trouxeram correções para novos lançamentos do macOS; mantenha o cliente atualizado antes de grandes upgrades do sistema.
- iOS – mudanças no app Defender: com iOS 16+ como mínimo, revise políticas de app protection/rede e a integração do GSA dentro do app (tile, onboarding silencioso).
Roadmap e validação oficial
Para organizações que precisam de datas oficiais (especialmente o GA do iOS), o caminho formal continua sendo o suporte Microsoft via tenant. Além disso, monitore “What’s new” do Entra e as páginas dos clientes do GSA para status de disponibilidade por plataforma.
Conclusão
O movimento de 2025 consolidou o GSA nos dispositivos Apple: macOS já está pronto para produção, com pacote de governança e automação maduro via Intune/MDM; iOS já viabiliza cenários práticos em Public Preview por meio do app Defender e do perfil de VPN local gerenciado. Com um piloto bem desenhado, mitigação de Secure DNS, política de bloqueio ao usuário e o uso de recursos como Compliant network e Source IP restoration, é possível acelerar a jornada para um acesso moderno (ZTNA) sem depender de VPN legada, mantendo segurança, experiência e controle.
FAQ rápido
Posso usar Jamf em vez de Intune para macOS? Sim. A documentação mostra as mesmas exigências técnicas (aprovar extensões e o proxy transparente). Adapte os perfis ao seu MDM.
O GSA substitui totalmente a VPN? Para muitos cenários, sim — especialmente acesso a apps privados por FQDN/IP e políticas condicionais granulares. Entretanto, avalie protocolos/portas, QUIC e dependências específicas antes de aposentar a VPN.
Como garanto que usuários não “burlem” o GSA? No iOS, use EnableGSA=3 e bloqueie a desativação da VPN automática; no macOS, ocultar Pause/Disable e aplicar hardening nos perfis de encaminhamento.
Há impacto de performance? Em geral é mínimo, mas monitore em cargas intensas, QUIC desabilitado e cenários com proxies. Use os deployment logs/telemetria e colete logs do cliente para investigar.
Resumo final: hoje você pode implantar o cliente macOS do GSA em produção com automação, telemetria e governança sólidos; enquanto isso, o cliente iOS permanece em Public Preview — operacional e gerenciável via Defender/Intune — adequado para pilotos e alguns ambientes controlados, com atenção ao baseline iOS 16+ e às chaves de bloqueio para evitar interferência do usuário.