عميل الوصول الآمن العمومي لنظام التشغيل Windows (معاينة)

مقالة
10/05/2023

يسمح عميل الوصول الآمن العالمي للمؤسسات بالتحكم في نسبة استخدام الشبكة في جهاز حوسبة المستخدم النهائي، ما يمنح المؤسسات القدرة على توجيه ملفات تعريف نسبة استخدام الشبكة المحددة من خلال الوصول للإنترنت عبر Microsoft Entra الوصول الخاص عبر Microsoft Entra. يسمح توجيه نسبة استخدام الشبكة في هذا الأسلوب بمزيد من عناصر التحكم مثل تقييم الوصول المستمر (CAE) أو توافق الجهاز أو المصادقة متعددة العوامل المطلوبة للوصول إلى الموارد.

يكتسب عميل الوصول الآمن العمومي نسبة استخدام الشبكة باستخدام برنامج تشغيل عامل تصفية خفيف الوزن (LWF)، بينما تتكامل العديد من حلول حافة خدمة الأمان الأخرى (SSE) كاتصال شبكة ظاهرية خاصة (VPN). يسمح هذا التمييز لعميل الوصول الآمن العالمي بالتعايش مع هذه الحلول الأخرى. يكتسب عميل الوصول الآمن العمومي نسبة استخدام الشبكة استنادا إلى ملفات تعريف إعادة توجيه نسبة استخدام الشبكة التي تقوم بتكوينها قبل حلول أخرى.

المتطلبات الأساسية

يتم دعم عميل الوصول الآمن العمومي على إصدارات 64 بت من Windows 11 أو Windows 10.
يجب أن تكون الأجهزة إما منضمة Microsoft Entra أو Microsoft Entra مختلط.
- Microsoft Entra الأجهزة المسجلة غير مدعومة.
بيانات اعتماد المسؤول المحلي مطلوبة للتثبيت.
تتطلب المعاينة ترخيص معرف Microsoft Entra P1. إذا لزم الأمر، يمكنك شراء التراخيص أو الحصول على تراخيص تجريبية.

القيود المعروفة

جلسات عمل مستخدم متعددة على نفس الجهاز، مثل تلك من خادم سطح المكتب البعيد (RDP)، غير مدعومة.
قد يفشل الاتصال بالشبكات التي تستخدم مدخلا مقيدا، مثل بعض حلول الشبكة اللاسلكية الضيف. كحل بديل، يمكنك إيقاف عميل الوصول الآمن العمومي مؤقتا.
الأجهزة الظاهرية حيث يكون لدى كل من أنظمة تشغيل المضيف والضيف عميل الوصول الآمن العمومي مثبتا غير مدعومة. يتم دعم الأجهزة الظاهرية الفردية التي تم تثبيت العميل عليها.
إذا لم يتمكن عميل الوصول الآمن العمومي من الاتصال بالخدمة (على سبيل المثال بسبب التخويل أو فشل الوصول المشروط)، تتجاوز الخدمة نسبة استخدام الشبكة. يتم إرسال نسبة استخدام الشبكة مباشرة ومحلة بدلا من حظرها. في هذا السيناريو، يمكنك إنشاء نهج وصول مشروط للتحقق من الشبكة المتوافقة، لحظر نسبة استخدام الشبكة إذا لم يتمكن العميل من الاتصال بالخدمة.

هناك العديد من القيود الأخرى استنادا إلى ملف تعريف إعادة توجيه نسبة استخدام الشبكة قيد الاستخدام:

ملف تعريف إعادة توجيه نسبة استخدام الشبكة	القيود
Microsoft 365	نقل بيانات IPv6 لأسفل غير مدعوم حاليا.
Microsoft 365 والوصول الخاص	لنسبة استخدام الشبكة النفقية استنادا إلى قواعد FQDNs (في ملف تعريف إعادة التوجيه)، يجب تعطيل DNS عبر HTTPS (DNS الآمن).
Microsoft 365	يدعم عميل الوصول الآمن العمومي حاليا نسبة استخدام الشبكة TCP فقط. يستخدم Exchange Online بروتوكول QUIC لبعض نسبة استخدام الشبكة عبر منفذ UDP 443 لفرض نسبة استخدام الشبكة هذه على استخدام HTTPS (443 TCP) عن طريق حظر نسبة استخدام الشبكة QUIC باستخدام قاعدة جدار حماية محلية. لا يتم الحصول على بروتوكولات غير HTTP، مثل POP3 وIMAP وSMTP من العميل ويتم إرسالها مباشرة ومحلا.
Microsoft 365 والوصول الخاص	إذا تم تكوين جهاز المستخدم النهائي لاستخدام خادم وكيل، فيجب استبعاد المواقع التي ترغب في نفقها باستخدام عميل الوصول الآمن العمومي من هذا التكوين. للحصول على أمثلة، راجع مثال تكوين الوكيل.
وصول خاص	مجالات التسمية الفردية، مثل `https://contosohome` التطبيقات الخاصة غير مدعومة، بدلا من ذلك استخدم اسم مجال مؤهل بالكامل (FQDN)، مثل `https://contosohome.contoso.com`. يمكن للمسؤولين أيضا اختيار إلحاق لاحقات DNS عبر Windows.

تنزيل العميل

يمكن تنزيل أحدث إصدار من Global Secure Access Client من مركز إدارة Microsoft Entra.

سجل الدخول إلى مركز إدارة Microsoft Entra كمسؤول وصول آمن عمومي.
استعرض للوصول الآمن العمومي (معاينة)>عملاء الأجهزة>.
اختر ⁧⁩تنزيل⁧⁩.

تثبيت العميل

يمكن للمؤسسات تثبيت العميل بشكل تفاعلي أو بصمت باستخدام /quiet مفتاح التبديل أو استخدام الأنظمة الأساسية لإدارة الأجهزة المحمولة مثل Microsoft Intune لنشره على أجهزتها.

انسخ ملف إعداد عميل الوصول الآمن العمومي إلى جهاز العميل الخاص بك.
قم بتشغيل ملف الإعداد، مثل GlobalSecureAccessInstaller 1.5.527. اقبل شروط ترخيص البرنامج.
بعد تثبيت العميل، تتم مطالبة المستخدمين بتسجيل الدخول باستخدام بيانات اعتماد Microsoft Entra الخاصة بهم.
بعد تسجيل دخول المستخدمين، تتحول أيقونة الاتصال إلى اللون الأخضر، ويؤدي النقر المزدوج فوقها إلى فتح إعلام يحتوي على معلومات العميل تظهر حالة متصلة.

استكشاف الأخطاء وإصلاحها

لاستكشاف أخطاء عميل الوصول الآمن العمومي وإصلاحها، انقر بزر الماوس الأيمن فوق أيقونة العميل في شريط المهام.

تبديل المستخدم
- فرض شاشة تسجيل الدخول لتغيير المستخدم أو إعادة مصادقة المستخدم الحالي.
Pause
- يمكن استخدام هذا الخيار لتعطيل نفق نسبة استخدام الشبكة مؤقتا. نظرا لأن هذا العميل هو جزء من الوضع الأمني لمؤسستك، نوصي بتركه يعمل دائما.
- يوقف هذا الخيار خدمات Windows المتعلقة بالعميل. عند إيقاف هذه الخدمات، لم تعد نسبة استخدام الشبكة نفقا من جهاز العميل إلى الخدمة السحابية. تعمل حركة مرور الشبكة كما لو لم يتم تثبيت العميل أثناء إيقاف العميل مؤقتا. إذا تمت إعادة تشغيل جهاز العميل، تتم إعادة تشغيل الخدمات تلقائيا معه.
استئناف
- يبدأ هذا الخيار الخدمات الأساسية المتعلقة بعميل الوصول الآمن العمومي. سيتم استخدام هذا الخيار لاستئنافه بعد إيقاف العميل مؤقتا لاستكشاف الأخطاء وإصلاحها. تستأنف نسبة استخدام الشبكة التوجيه لأسفل من العميل إلى الخدمة السحابية.
إعادة التشغيل
- يقوم هذا الخيار بإيقاف خدمات Windows المتعلقة بالعميل وبدء تشغيلها.
اجمع السجلات
- اجمع السجلات للحصول على الدعم والمزيد من استكشاف الأخطاء وإصلاحها. يتم تجميع هذه السجلات وتخزينها C:\Program Files\Global Secure Access Client\Logs بشكل افتراضي.
  - تتضمن هذه السجلات معلومات حول جهاز العميل وسجلات الأحداث ذات الصلة للخدمات وقيم التسجيل بما في ذلك ملفات تعريف إعادة توجيه نسبة استخدام الشبكة المطبقة.
مدقق العميل
- تشغيل برنامج نصي لاختبار مكونات العميل لضمان تكوين العميل والعمل كما هو متوقع.
توفر Connection Diagnostics عرضا مباشرا لحالة العميل والاتصالات التي تم توجيهها نفقا بواسطة العميل إلى خدمة Global Secure Access.
- تعرض علامة تبويب الملخص معلومات عامة حول تكوين العميل بما في ذلك: إصدار النهج قيد الاستخدام وتاريخ ووقت تحديث النهج الأخير ومعرف المستأجر الذي تم تكوين العميل للعمل معه.
  - تتغير حالة الحصول على اسم المضيف إلى اللون الأخضر عند توجيه نسبة استخدام الشبكة الجديدة التي تم الحصول عليها بواسطة FQDN بنجاح استنادا إلى تطابق FQDN الوجهة في ملف تعريف إعادة توجيه نسبة استخدام الشبكة.
- تعرض التدفقات قائمة مباشرة بالاتصالات التي بدأها جهاز المستخدم النهائي وتم توجيهها نفقا بواسطة العميل إلى حافة الوصول الآمن العالمي. كل اتصال صف جديد.
  - الطابع الزمني هو الوقت الذي تم فيه إنشاء الاتصال لأول مرة.
  - اسم المجال المؤهل بالكامل (FQDN) لوجهة الاتصال. إذا تم اتخاذ قرار نفق الاتصال استنادا إلى قاعدة IP في نهج إعادة التوجيه وليس بواسطة قاعدة FQDN، يظهر العمود FQDN N/A.
  - منفذ المصدر لجهاز المستخدم النهائي لهذا الاتصال.
  - عنوان IP الوجهة هو وجهة الاتصال.
  - بروتوكول TCP فقط مدعوم حاليا.
  - اسم العملية الذي بدأ الاتصال.
  - يوفر Flow active حالة ما إذا كان الاتصال لا يزال مفتوحا.
  - توفر البيانات المرسلة عدد وحدات البايت المرسلة بواسطة جهاز المستخدم النهائي عبر الاتصال.
  - توفر البيانات المستلمة عدد وحدات البايت التي يتلقاها جهاز المستخدم النهائي عبر الاتصال.
  - يتم توفير معرف الارتباط لكل اتصال نفقي بواسطة العميل. يسمح هذا المعرف بتتبع الاتصال في سجلات العميل (عارض الأحداث وملف ETL) وسجلات نسبة استخدام الشبكة للوصول الآمن العمومي.
  - معرف التدفق هو المعرف الداخلي للاتصال المستخدم من قبل العميل الموضح في ملف ETL.
  - يحدد اسم القناة ملف تعريف إعادة توجيه نسبة استخدام الشبكة الذي يتم توجيه الاتصال إليه نفقا. يتم اتخاذ هذا القرار وفقا للقواعد الواردة في ملف تعريف إعادة التوجيه.
- يوفر HostNameAcquisition قائمة بأسماء المضيفين التي حصل عليها العميل استنادا إلى قواعد FQDN في ملف تعريف إعادة التوجيه. يتم عرض كل اسم مضيف في صف جديد. ينشئ الاكتساب المستقبلي لنفس اسم المضيف صفا آخر إذا حل DNS اسم المضيف (FQDN) إلى عنوان IP مختلف.
  - الطابع الزمني هو الوقت الذي تم فيه إنشاء الاتصال لأول مرة.
  - FQDN الذي تم حله.
  - عنوان IP الذي تم إنشاؤه هو عنوان IP تم إنشاؤه بواسطة العميل لأغراض داخلية. يتم عرض عنوان IP هذا في علامة تبويب التدفقات للاتصالات التي تم إنشاؤها إلى FQDN النسبي.
  - عنوان IP الأصلي هو أول عنوان IPv4 في استجابة DNS عند الاستعلام عن FQDN. إذا لم يرجع خادم DNS الذي يشير إليه جهاز المستخدم النهائي عنوان IPv4 للاستعلام، يظهر 0.0.0.0عنوان IP الأصلي .
- تعرض الخدمات حالة خدمات Windows المتعلقة بعميل الوصول الآمن العالمي. الخدمات التي بدأت لها أيقونة حالة خضراء، تعرض الخدمات التي تم إيقافها أيقونة حالة حمراء. يجب بدء تشغيل جميع خدمات Windows الثلاثة لكي يعمل العميل.
- تسرد القنوات ملفات تعريف إعادة توجيه نسبة استخدام الشبكة المعينة للعميل وحالة الاتصال بحافة الوصول الآمن العالمي.

سجلات الأحداث

يمكن العثور على سجلات الأحداث المتعلقة بعميل الوصول الآمن العمومي في عارض الأحداث ضمن Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational. توفر هذه الأحداث تفاصيل مفيدة فيما يتعلق بالحالة والنهج والاتصالات التي أجراها العميل.

تعطيل IPv6 وتأمين DNS

إذا كنت بحاجة إلى مساعدة في تعطيل IPv6 أو DNS الآمن على أجهزة Windows التي تحاول المعاينة معها، فإن البرنامج النصي التالي يوفر المساعدة.

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

مثال على تكوين الوكيل

مثال على ملف PAC الوكيل الذي يحتوي على استثناءات:

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||    
      dnsDomainIs(host, ".contoso.com") || //tunneled  
      dnsDomainIs(host, ".fabrikam.com")) // tunneled  
      return "DIRECT";                    // If true, sets "DIRECT" connection  
      else                                   // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

يجب على المؤسسات بعد ذلك إنشاء متغير نظام باسم grpc_proxy بقيمة مثل http://10.1.0.10:8080 التي تطابق تكوين الخادم الوكيل على أجهزة المستخدم النهائي للسماح لخدمات عميل الوصول الآمن العالمي باستخدام الوكيل عن طريق تكوين ما يلي.

حظر QUIC عند التوجيه النفقي Exchange Online نسبة استخدام الشبكة

نظرا لأن حركة مرور UDP غير مدعومة في المعاينة الحالية، يجب على المؤسسات التي تخطط لأنفاق نسبة استخدام الشبكة Exchange Online تعطيل بروتوكول QUIC (443 UDP). يمكن للمسؤولين تعطيل هذا البروتوكول الذي يؤدي إلى تشغيل العملاء للعودة إلى HTTPS (443 TCP) باستخدام قاعدة جدار حماية Windows التالية:

New-NetFirewallRule -DisplayName "Block QUIC for Exchange Online" -Direction Outbound -Action Block -Protocol UDP -RemoteAddress 13.107.6.152/31,13.107.18.10/31,13.107.128.0/22,23.103.160.0/20,40.96.0.0/13,40.104.0.0/15,52.96.0.0/14,131.253.33.215/32,132.245.0.0/16,150.171.32.0/22,204.79.197.215/32,6.6.0.0/16 -RemotePort 443

تستند قائمة عناوين IPv4 هذه إلى عناوين URL Office 365 ونطاقات عناوين IP كتلة IPv4 المستخدمة من قبل عميل الوصول الآمن العالمي.

شروط الاستخدام

يخضع استخدامك لتجارب وميزات الوصول الخاص عبر Microsoft Entra والمعاينة الوصول للإنترنت عبر Microsoft Entra إلى أحكام وشروط الخدمة عبر الإنترنت للاتفاقية (الاتفاقيات) التي حصلت بموجبها على الخدمات. قد تخضع المعاينات لالتزامات أمان وتوافق وخصوصية مخفضة أو مختلفة، كما هو موضح أيضا في شروط الترخيص العام للخدمات عبر الإنترنت وملحق حماية بيانات منتجات وخدمات Microsoft ("DPA") وأي إشعارات أخرى يتم توفيرها مع المعاينة.

الخطوات التالية

الخطوة التالية لبدء استخدام الوصول للإنترنت عبر Microsoft Entra هي تمكين قيود المستأجر العالمية.

مشاركة عبر