Stato aggiornato al 25 settembre 2025: il client Global Secure Access per macOS è disponibile e scaricabile dal portale Entra. Per iOS è in public preview tramite l’app Microsoft Defender for Endpoint. Di seguito panoramica completa, prerequisiti e guida operativa al rollout.
Perché questo aggiornamento è importante
Chi utilizza Microsoft Entra Private Access (parte della soluzione Global Secure Access, GSA) ha chiesto a lungo quando i client per dispositivi Apple sarebbero usciti dalla fase di accesso anticipato. Oggi il quadro è finalmente più chiaro: l’ecosistema client copre tutte le piattaforme principali; su iOS il client è in public preview, mentre su macOS è disponibile con procedure d’installazione e gestione consolidate. Questo consente di estendere gli scenari Zero Trust a flotte miste senza ripiegare su VPN legacy.
Sintesi in un colpo d’occhio
- Windows: client GSA maturo e distribuibile con criteri MDM/Intune; piena integrazione con criteri di rete, diagnostica e controlli del tray.
- Android: client in‑app all’interno di Microsoft Defender for Endpoint; gestione via Intune con chiavi di configurazione dedicate.
- macOS: client GSA disponibile, scaricabile dall’Entra admin center, con supporto a estensioni di sistema e Transparent Application Proxy.
- iOS/iPadOS: client in public preview tramite l’app Microsoft Defender for Endpoint e profilo VPN locale (self‑loopback); gestione e blocchi utente via Intune.
Tabella stato piattaforme (aggiornata a settembre 2025)
Piattaforma | Stato di rilascio | App/Client | Distribuzione consigliata | Note operative |
---|---|---|---|---|
Windows | Disponibile | Client GSA dedicato | MSI/EXE o Intune; criteri di chiave di registro per controlli UI | Supporta scenari AADJ/HAADJ; diagnostica avanzata integrata |
Android | Disponibile | Microsoft Defender for Endpoint (Android) | Intune con chiavi “Global Secure Access” e “GlobalSecureAccessPrivateChannel” | Supporto Android 10+; gestione BYOD e COPE |
macOS | Disponibile | Client GSA dedicato (pkg) | Download dal portale Entra; distribuzione con Intune e approvazione estensioni | Richiede macOS 13+ e Microsoft Enterprise SSO plug‑in per esperienza SSO |
iOS/iPadOS | Public preview | Microsoft Defender for Endpoint (iOS) con componente GSA | Intune: app Defender + profilo VPN Custom e chiavi EnableGSA | Richiede iOS 15+; possibile bloccare la disattivazione dell’automatic VPN |
Da dove partivamo (aprile 2024) e cosa è cambiato
Nel 2024 le uniche indicazioni per Apple parlavano di early access senza date di anteprima pubblica ufficiali; circolavano slide interne che suggerivano H2 2024 per iOS e un futuro allineamento del client macOS con il Defender unificato. Oggi:
- macOS ha un client ufficialmente scaricabile dal portale Entra, con guida completa a prerequisiti, installazione automatizzata (
pkg
) e disinstallazione. - iOS ha raggiunto la public preview: il client GSA è integrato in Microsoft Defender for Endpoint per iOS e si attiva con un profilo VPN locale gestito da Intune.
Cos’è Global Secure Access ed il ruolo di Entra Private Access
Global Secure Access (GSA) è l’ombrello che racchiude Entra Internet Access (Secure Web Gateway identitario) ed Entra Private Access (ZTNA per risorse private). Il client GSA instrada verso il servizio solo il traffico dichiarato “protetto” nei Forwarding Profiles; tutto il resto esce in chiaro secondo le policy di rete locali. In questo modello, Conditional Access, conformità del dispositivo e CAE diventano enforcement di rete universale, inclusi scenari “non moderni”.
Prerequisiti di alto livello per Apple
Area | macOS | iOS/iPadOS |
---|---|---|
Versione OS | macOS 13 o superiore (Intel/Apple Silicon) | iOS/iPadOS 15 o superiore |
Gestione dispositivo | Registrazione a Entra tramite Company Portal; MDM (Intune) consigliato | Registrazione a Entra; Intune per distribuzione app e profilo VPN |
Licenze | Tenant onboarded a Global Secure Access con licenze idonee | Entra Suite/Entra Internet & Private Access per attivare i canali |
Componenti aggiuntivi | Microsoft Enterprise SSO plug‑in per esperienza Single Sign‑On | App Microsoft Defender for Endpoint dall’App Store |
Guida operativa per macOS
Percorso di distribuzione consigliato
- Scarico del client: dal portale Entra → Global Secure Access → Connect → Client download → scheda macOS.
- Distribuzione con Intune: caricare il
.pkg
e creare una policy di configurazione Settings catalog per System Extensions:- Consentire i bundle del client GSA (tunnel e app) e l’App Proxy trasparente.
- Assegnare ai gruppi dispositivi o utenti target.
- Approva il Transparent Application Proxy: creare un profilo personalizzato (Custom) che definisca il payload VPN di tipo
TransparentProxy
e l’identificativo del provider GSA. - Installazione silente (se necessario): utilizzare lo
sudo installer -pkg GlobalSecureAccessClient.pkg -target /
in script o pacchetti MDM. - Impostazioni facoltative UI: tramite preferenze MDM (dominio
com.microsoft.globalsecureaccess
) è possibile nascondere/mostrare voci del menu del client (pausa, disabilita, esci) per impedire interventi dell’utente.
Best practice macOS
- SSO nativo: distribuisci il Microsoft Enterprise SSO plug‑in per evitare re‑autenticazioni e migliorare l’esperienza utente.
- Policy di rete progressive: abilita gradualmente i canali (Microsoft 365, Private Access, Internet Access) e usa gruppi pilota.
- Coesistenza con EDR/AV: se noti CPU elevata, prevedi esclusioni per i processi del client GSA nel tuo antivirus/EDR.
- Raccolta log e diagnostica: il client include strumenti avanzati e funzione “Collect logs” utili per il supporto.
Guida operativa per iOS (public preview)
Su iOS il client GSA è integrato nell’app Microsoft Defender for Endpoint e si attiva tramite un profilo VPN Custom con local/self‑loopback. Questo approccio riduce attrito lato utente e centralizza l’enforcement in Intune.
Passi chiave con Intune
- Distribuisci Defender for Endpoint su iOS (minimo iOS 15): aggiungi l’app dall’App Store, imposta l’OS minimo e assegna ai gruppi richiesti.
- Crea un profilo VPN di tipo Custom:
- Imposta l’indirizzo server sul loopback (
127.0.0.1
), disabilita split tunneling, definisci l’ID del provider GSA. - Configura chiavi/valori per l’attivazione:
EnableGSA
=1
/2
/3
per mostrare la tile e pre‑abilitare il client (con3
l’utente non può disabilitare).EnableGSAPrivateChannel
=0
/1
/2
/3
per controllo fine del canale Private Access (incluso blocco del toggle).
- Regola le On‑Demand Rules per garantire l’attivazione del tunnel sui domini desiderati.
- Imposta l’indirizzo server sul loopback (
- Impedisci la disattivazione della VPN: nella policy VPN abilita l’opzione per bloccare gli utenti dal disabilitare l’automatic VPN (raccomandato per BYOD e flotte sensibili).
- Verifica in app: dopo la sincronizzazione, la tile “Global Secure Access” appare nella dashboard di Defender; lo stato “Enabled/Disabled” riflette le chiavi impostate.
Limitazioni note e suggerimenti
- Non supportati i shared devices/userless su iOS: mantieni enrollment utente‑centrico per policy di conformità e CA.
- In BYOD, combina App Protection Policies con la VPN locale per agganciare l’enforcement ai soli contesti di lavoro.
- Se il toggle appare disattivabile, verifica
EnableGSA
e l’opzione “block users from disabling automatic VPN”.
Architettura di instradamento e profili
Il client GSA applica Forwarding Profiles che determinano quali flussi passano nel servizio (e quale canale: Internet Access, Microsoft 365, Private Access). L’architettura trans‑proxy su Apple consente trasparenza all’utente e coesistenza con altri agenti. Le policy di accesso condizionale agiscono a livello di rete: è possibile revocare rapidamente la connettività quando aumenta il rischio, anche per applicazioni legacy che non espongono claim moderni.
Piano di adozione consigliato
- Costruisci il perimetro pilota: individua 50–100 utenti rappresentativi su macOS e 30–50 su iOS, segmentati per BU, tipologia device e profilo di rischio.
- Abilita prima il canale Microsoft 365 (se usato) e poi Private Access su una manciata di app a basso impatto; l’SWG (Internet Access) in iOS resta in anteprima: valuta attentamente il rollout.
- Definisci policy di break‑glass: CA con bypass temporaneo per IT e criteri di fallback documentati.
- Monitora log e telemetria: correlali con MDE e con i log GSA per anticipare colli di bottiglia e domini fuori profilo.
- Itera con cicli settimanali: ampliare canali, regolare On‑Demand Rules e Split tunneling (dove applicabile), estendere a reparti aggiuntivi.
Controlli di sicurezza e governance
- Conditional Access “Network‑aware”: sfrutta CAE e segnali di rischio in tempo quasi reale per chiudere sessioni non conformi.
- Segmentazione applicativa: in Private Access definisci FQDN/IP perimetrati per ridurre la superficie di attacco e impedire movimenti laterali.
- Device Compliance: rendi i profili GSA condizionati allo stato di conformità Intune (OS, passcode, cifratura, jailbreak/root detection).
- Privacy & trasparenza: comunica agli utenti cosa viene instradato e perché; usa le icone di stato del client per dare visibilità.
Troubleshooting: problemi tipici e rimedi rapidi
Sintomo | Piattaforma | Causa probabile | Rimedio |
---|---|---|---|
CPU elevata o lentezza | macOS | Coesistenza con antivirus/EDR | Configura esclusioni per i processi del client GSA; verifica estensioni approvate |
Tile GSA non visibile | iOS/Android | Chiavi di configurazione mancanti o profilo non assegnato | Controlla EnableGSA (iOS) o la coppia “Global Secure Access/PrivateChannel” (Android); verifica gruppi e stato installazione app |
Utente disattiva la VPN | iOS | Impostazioni predefinite consentono override | Abilita “block users from disabling automatic VPN” e usa EnableGSA=3 |
Errore nel connettersi a app private | iOS/macOS | Policy non sincronizzate o canale Private inattivo | Forza “Get latest policy” lato client (macOS) o riavvia app; verifica Private Access nel profilo |
Confronto tra “ieri” e “oggi”
Aprile 2024: Windows/Android in public preview; Apple solo early access; nessuna data ufficiale. Settembre 2025: client macOS disponibile, iOS in public preview all’interno di Defender; guide di installazione e prerequisiti espliciti per entrambe le piattaforme Apple.
Strategia di comunicazione con gli stakeholder
- IT Sec & Architettura: presentare i benefici Zero Trust (revoca rapida, segmentazione, meno superficie VPN) e il modello di coesistenza.
- HR & Legal: informativa sulla natura del traffico ispezionato e data handling; aggiornare policy BYOD.
- End‑user: “cosa cambia” in 5 punti (icona client, eventuale VPN locale, benefici, privacy, come segnalare problemi).
Azioni consigliate (aggiornate)
- Aprire un ticket di supporto Entra/Microsoft 365 per ricevere aggiornamenti canale ufficiale ed eventuali hotfix preview su iOS.
- Iscriversi ai canali preview e seguire gli annunci tecnici (Ignite/Build, blog prodotto) per sapere quando l’anteprima iOS evolverà.
- Preparare l’ambiente Apple:
- Verificare versioni OS (macOS 13+, iOS 15+), enrollment a Entra e prerequisiti Intune.
- Distribuire il Microsoft Enterprise SSO plug‑in su macOS.
- Creare profili di approvazione estensioni e Transparent Proxy su macOS.
- Definire profilo VPN locale su iOS con
EnableGSA
e blocco disattivazione.
- Disegnare i Forwarding Profiles e mappare le app private per una segmentazione minima ma efficace fin dai test.
- Monitorare la Microsoft 365 Roadmap e le note “What’s new” per cogliere cambi di stato (dalla preview a GA) e nuove limitazioni note.
Esempi di policy e impostazioni utili
- macOS – installazione silente: pacchetta il
.pkg
e distribuisci con Intune. Pre‑approva System Extensions del client GSA e configura il payload TransparentProxy. Senza approvazione preventiva, l’utente vedrà prompt interattivi. - iOS – enforcement utente: usa
EnableGSA=3
per impedire la disattivazione del client; abilita il blocco dell’automatic VPN. Se vuoi solo visibilità senza enforcement, impostaEnableGSA=1
. - Android – onboarding veloce: nell’app config di Intune, attiva “Global Secure Access” e “GlobalSecureAccessPrivateChannel”; assegna ai gruppi e valida che la tile compaia nell’app Defender.
Domande frequenti
Il client iOS supporta sia Internet Access sia Private Access?
Il componente GSA su iOS si attiva via profilo VPN locale ed è configurabile per esporre separatamente i toggle dei servizi. Tramite le chiavi di profilo puoi decidere se mostrare/abilitare anche il canale Private Access in aggiunta allo SWG.
Posso impedire agli utenti di spegnere il client?
Sì. Su iOS usa EnableGSA=3
e abilita il blocco della disattivazione della VPN; su macOS puoi nascondere i pulsanti (pausa/disabilita) via preferenze MDM; su Windows esistono chiavi di registro per limitare gli utenti non privilegiati.
Come gestisco la convivenza con antivirus/EDR?
Prevedi esclusioni per i processi del client GSA dove necessario e monitora l’impatto. In caso di performance anomale, raccogli i log dal client e coinvolgi il supporto Microsoft.
È ancora necessario un VPN tradizionale?
Per molte app private no: Private Access fornisce ZTNA con identity‑centric enforcement. Valuta però casi particolari (protocolli non HTTP, flussi particolari, dispositivi non gestiti) e pianifica eventuali migrazioni graduali.
Conclusioni
La situazione che nel 2024 era nebulosa per i client Apple oggi è concreta: macOS dispone di un client Global Secure Access scaricabile e gestibile via MDM; iOS è in public preview integrato in Defender for Endpoint. È il momento ideale per preparare i profili Intune, definire i Forwarding Profiles e condurre un pilota serio. Finché l’anteprima iOS non passerà a disponibilità generale, mantieni un canale di comunicazione con il supporto Microsoft e monitora costantemente gli annunci ufficiali, così da pianificare il passaggio a produzione senza sorprese.
Stato precedente (aprile 2024) – per memoria
Piattaforma | Stato (apr 2024) | App oggi utilizzabile | Dettagli |
---|---|---|---|
Windows | Public preview | Client GSA dedicato | Supporto stabile, roadmap verso GA nel 2024 |
Android | Public preview | Defender for Endpoint (classic) | Funziona come agente GSA |
iOS | Solo early access | Non pubblica | Slide interne indicavano H2 2024 per la public preview |
macOS | Solo early access | Non pubblica | Discussioni sul client “in‑box Defender”, nessuna data ufficiale |
Cosa fare adesso
- Apri un ticket di supporto Entra/Microsoft 365 per essere inserito nei flussi di comunicazione e aprire escalation su temi preview (specialmente iOS).
- Iscriviti ai canali preview ufficiali e segui gli annunci degli eventi tecnici: spesso qui avvengono i passaggi di stato più rilevanti per i client.
- Prepara l’ambiente: verifica prerequisiti su Apple, consolida i criteri di Conditional Access, disegna la segmentazione e pre‑allestisci i profili Intune.
- Monitora la roadmap Microsoft 365 e le pagine “What’s new” per cogliere il passaggio a GA del client iOS e nuove funzionalità lato macOS.