Freigeben über

Installieren des globalen Secure Access-Clients für Microsoft Windows

Der Global Secure Access-Client ist ein wesentlicher Bestandteil des globalen sicheren Zugriffs. Sie hilft Organisationen beim Verwalten und Sichern des Netzwerkdatenverkehrs auf Endbenutzergeräten. Der Client leitet Datenverkehr weiter, der durch den globalen sicheren Zugriff auf den Clouddienst gesichert werden muss. Alle anderen Datenverkehr geht direkt zum Netzwerk. Die im Portal eingerichteten Weiterleitungsprofile bestimmen, welcher Datenverkehr der Global Secure Access-Client an den Clouddienst weiterleitet.

Hinweis

Der globale Secure Access Client ist auch für macOS, Android und iOS verfügbar. Informationen zum Installieren des globalen Secure Access-Clients auf diesen Plattformen finden Sie unter Global Secure Access Client für macOS, Global Secure Access Client für Androidund Global Secure Access Client für iOS.

Dieser Artikel beschreibt, wie Sie den Global Secure Access Client für Windows herunterladen und installieren.

Voraussetzungen

  • Ein Microsoft Entra-Mandant, der in den globalen sicheren Zugriff integriert ist
  • Ein verwaltetes Gerät, das dem aufgenommenen Mandant beigetreten ist. Das Gerät muss entweder Microsoft Entra repliziert oder Microsoft Entra hybrid repliziert sein.
    • Microsoft Entra registrierte Geräte werden nicht unterstützt.
  • Der Global Secure Access-Client benötigt eine 64-Bit-Version von Windows 10 oder Windows 11 oder eine Arm64-Version von Windows 11.
    • Azure Virtual Desktop (einzelne Sitzung) wird unterstützt.
    • Azure Virtual Desktop, mehrere Sitzungen, wird nicht unterstützt.
    • Windows 365 wird unterstützt.
  • Sie benötigen lokale Administratoranmeldeinformationen, um den globalen Secure Access-Client zu installieren oder zu aktualisieren.
  • Der Global Secure Access-Client benötigt eine Lizenz. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen kaufen oder Testlizenzen erhalten.

Laden Sie den Client herunter.

Die aktuellste Version des Global Secure Access Clients ist im Microsoft Entra Admin Center zum Herunterladen verfügbar.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
  2. Durchsuchen Sie Global Secure Access>Verbinden>Client herunterladen.
  3. Wählen Sie Client herunterladen aus. Screenshot des Client-Downloadbildschirms mit hervorgehobener Schaltfläche „Client herunterladen“.

Installieren Sie den Global Secure Access Client

Automatisierte Installation

Organisationen können den Global Secure Access Client lautlos mit dem „/quiet“-Switch installieren oder mobile Geräteverwaltungslösungen wie „Microsoft Intune“ nutzen, um den Client auf ihre Geräte bereitzustellen.

Bereitstellung des Global Secure Access Client mit Intune

In diesem Abschnitt erfahren Sie, wie Sie den globalen Secure Access-Client manuell auf einem Windows 11-Clientgerät mit Intune installieren.

Voraussetzungen

  • Eine Sicherheitsgruppe mit Geräten oder Benutzern, um zu ermitteln, wo der globalen Secure Access-Client installiert werden soll

Paketieren des Client

Konvertieren Sie die .exe Datei in eine .intunewin Datei.

  1. Laden Sie den globalen Secure Access-Client aus dem Microsoft Entra Admin Center>Global Secure Access>Connect>Client herunter. Unter Windows 11 wählen Sie "Client herunterladen" aus.

  2. Wechseln Sie zu Microsoft Win32 Content Prep Tool. Wählen Sie IntuneWinAppUtil.exeaus.

    Screenshot der Auswahl der Installationsdatei des Vorbereitungstools.

  3. Wählen Sie in der oberen rechten Ecke die Dateiaktionen "Weitere" und dann " Herunterladen" aus.

    Screenshot des Menüs

  4. Navigieren Sie zu und führen Sie „IntuneWinAppUtil.exe“ aus. Eine Eingabeaufforderung wird geöffnet.

  5. Geben Sie den Ordnerpfad der Global Secure Access-Datei .exe ein. Wählen Sie Geben Sieein.

  6. Geben Sie den Namen der Global Secure Access-Datei .exe ein. Wählen Sie Geben Sieein.

  7. Geben Sie den Ordnerpfad ein, in dem die .intunewin Datei platziert werden soll. Wählen Sie Geben Sieein.

  8. Geben Sie "N" ein. Wählen Sie die EINGABETASTE aus.

    Screenshot der Befehlszeile zum Installieren des Clients.

Die .intunewin Datei ist bereit, um Microsoft Intune bereitzustellen.

Bereitstellung des Global Secure Access Client mit Intune

Verweisen Sie auf detaillierte Anleitungen zum Hinzufügen und Zuweisen von Win32-Apps zu Microsoft Intune.

  1. Navigiere zu https://intune.microsoft.com.

  2. Auswählen Apps>Alle Apps>Hinzufügen.

  3. Wählen Sie unter "Andere App-Typen" unter "App-Typ auswählen" die Option "Windows-App (Win32)" aus.

  4. Wählen Sie Select aus. Die Hinzufügen App Schritte erscheinen.

  5. Wählen Sie "App-Paketdatei auswählen" aus.

  6. Wählen Sie das Ordnersymbol aus. Öffnen Sie die .intunewin Datei, die Sie im vorherigen Abschnitt erstellt haben.

    Screenshot der App-Paketdateiauswahl.

  7. Wählen Sie OK aus.

  8. Konfigurieren Sie diese Felder:

    • Name: Geben Sie einen Namen für die Client-App ein.
    • Beschreibung : Geben Sie eine Beschreibung ein.
    • Publisher: Geben Sie Microsoft ein.
    • App-Version(optional):Geben Sie die Clientversion ein.

  9. Sie können die Standardwerte in den verbleibenden Feldern verwenden. Wählen Sie Weiteraus.

    Screenshot von

  10. Konfigurieren Sie diese Felder:

    • Installationsbefehl: Verwenden Sie den ursprünglichen Namen der .exe Datei für "OriginalNameOfFile.exe" /install /quiet /norestart.
    • Deinstallationsbefehl: Verwenden Sie den ursprünglichen Namen der .exe Datei für "OriginalNameOfFile.exe" /uninstall /quiet /norestart.
    • Verfügbare Deinstallation zulassen: Wählen Sie "Nein" aus.
    • Installationsverhalten: Wählen Sie "System" aus.
    • Verhalten des Geräteneustarts: Wählen Sie "Verhalten basierend auf Rückgabecodes ermitteln" aus.
Rückgabecode Codetyp
0 Erfolg
1707 Erfolg
3010 Erfolg
1641 Erfolg
1618 Erneut versuchen

Hinweis

Die Rückgabecodes werden mit Standard-Windows-Exitcodes aufgefüllt. In diesem Fall haben wir zwei der Codetypen in "Success " geändert, um unnötige Geräteneustarts zu vermeiden.

Screenshot des Programms zum Konfigurieren von Installationsparametern.

  1. Wählen Sie Weiteraus.

  2. Konfigurieren Sie diese Felder:

    • Betriebssystemarchitektur: Wählen Sie Ihre Mindestanforderungen aus.
    • Mindestbetriebssystem: Wählen Sie Ihre Mindestanforderungen aus.

    Screenshot der Anforderungen zum Konfigurieren von Installationsparametern.

  3. Lassen Sie die restlichen Felder leer. Wählen Sie Weiteraus.

  4. Wählen Sie unter "Regelformat" die Option "Erkennungsregeln manuell konfigurieren" aus.

  5. Wählen Sie Hinzufügen aus.

  6. Wählen Sie unter "Regeltyp" die Option "Datei" aus.

  7. Konfigurieren Sie diese Felder:

    • Pfad: Geben Sie C:\Program Files\Global Secure Access Client\TrayAppein.
    • Datei oder Ordner: Geben Sie GlobalSecureAccessClient.exeein.
    • Erkennungsmethode: Wählen Sie Zeichenfolge (Version) aus.
    • Operator: Wählen Sie „größer oder gleich“ aus.
    • Wert: Geben Sie die Clientversionsnummer ein.
    • 32-Bit-App auf 64-Bit-Client zugeordnet: Wählen Sie "Nein" aus.

    Screenshot der Erkennungsregel für den Client.

  8. Wählen Sie OK aus. Wählen Sie Weiteraus.

  9. Wählen Sie "Weiter" zweimal aus, um zu Aufgaben zu gelangen.

  10. Wählen Sie unter "Erforderlich" die Option "+Gruppe hinzufügen" aus. Wählen Sie eine Gruppe von Benutzern oder Geräten aus. Wählen Sie Select aus.

  11. Wählen Sie Weiteraus. Wählen Sie "Erstellen" aus.

Aktualisieren des Clients auf eine neuere Version

Um auf die neueste Clientversion zu aktualisieren, führen Sie die Schritte zur Aktualisierung einer Branchen-App aus. Achten Sie darauf, die folgenden Einstellungen zusätzlich zum Hochladen der neuen .intunewin Datei zu aktualisieren:

  • Clientversion
  • Befehle zum Installieren und Deinstallieren
  • Erkennungsregelwert auf die neue Clientversionsnummer gesetzt

In einer Produktionsumgebung empfiehlt es sich, neue Clientversionen in einem phasenweisen Bereitstellungsansatz bereitzustellen:

  1. Lassen Sie die vorhandene App jetzt an Ort und Stelle.
  2. Fügen Sie eine neue App für die neue Clientversion hinzu, und wiederholen Sie die vorherigen Schritte.
  3. Weisen Sie die neue App einer kleinen Gruppe von Benutzern zu, um die neue Clientversion zu testen. Es ist in Ordnung, diese Benutzer der App mit der veralteten Clientversion für eine vor-Ort-Aktualisierung zuzuweisen.
  4. Erhöhen Sie die Mitgliedschaft der Pilotgruppe langsam, bis Sie den neuen Client auf allen gewünschten Geräten bereitstellen.
  5. Löschen Sie die App mit der alten Clientversion.

Manuelle Installation

Um den Global Secure Access Client manuell zu installieren:

  1. Führen Sie die Setupdatei GlobalSecureAccessClient.exe aus. Akzeptieren Sie die Softwarelizenzbedingungen.
  2. Der Client installiert und meldet Sie lautlos mit Ihren Microsoft Entra Anmeldeinformationen an. Wenn die lautlose Anmeldung fehlschlägt, fordert der Installer Sie auf, sich manuell anzumelden.
  3. Melden Sie sich an. Das Verbindungssymbol wird grün.
  4. Zeigen Sie auf das Verbindungssymbol, um die Clientstatus-Benachrichtigung zu öffnen, die als Connected angezeigt werden sollte.
    Screenshot: erfolgreiche Verbindung des Clients

Clientschnittstelle

Um die Clientschnittstelle für den globalen sicheren Zugriff zu öffnen, wählen Sie auf der Taskleiste das Symbol für den globalen sicheren Zugriff aus. Die Clientschnittstelle stellt eine Ansicht des aktuellen Verbindungsstatus, der für den Client konfigurierten Kanäle und den Zugriff auf Diagnosetools bereit.

Verbindungsansicht

In der Ansicht "Verbindungen " können Sie den Clientstatus und die für den Client konfigurierten Kanäle anzeigen. Wenn Sie den Client deaktivieren möchten, wählen Sie die Schaltfläche "Deaktivieren " aus. Sie können die Informationen im Abschnitt Zusätzliche Details verwenden, um Probleme mit der Clientverbindung zu beheben. Wählen Sie " Weitere Details anzeigen " aus, um den Abschnitt zu erweitern und weitere Informationen anzuzeigen.
Screenshot der Ansicht

Problembehandlungssicht

In der Ansicht "Problembehandlung " können Sie verschiedene Diagnoseaufgaben ausführen. Sie können Protokolle mit Ihrem IT-Administrator exportieren und freigeben. Sie können auch auf das Erweiterte Diagnosetool zugreifen, das eine Reihe von Tools zur Problembehandlung bereitstellt. Hinweis: Sie können das Tool " Erweiterte Diagnose" auch über das Symbolmenü "Taskleiste" des Clients starten.
Screenshot der Ansicht

Einstellungsansicht

Wechseln Sie zur Einstellungsansicht , um die installierte Version zu überprüfen oder auf die Microsoft-Datenschutzbestimmungen zuzugreifen.
Screenshot der Ansicht

Clientaktionen

Um die verfügbaren Client-Menüaktionen anzuzeigen, mit der rechten Maustaste auf das Global Secure Access-System-Tray-Symbol klicken.
Screenshot mit der vollständigen Liste der Global Secure Access-Clientaktionen.

Tipp

Die Aktionen im Global Secure Access Clientmenü variieren je nach Konfiguration der Clientregistrierungsschlüssel.

Aktion Beschreibung
Abmelden Ausgeblendet standardmäßig. Verwenden Sie die Abmelden-Aktion, wenn Sie sich mit einem anderen Microsoft Entra-Benutzer als dem, der für die Anmeldung bei Windows verwendet wurde, beim Global Secure Access Client anmelden müssen. Um diese Aktion verfügbar zu machen, aktualisieren Sie die entsprechenden Client-Registrierungsschlüssel.
Deaktivieren Wählen Sie die Deaktivieren-Aktion, um den Client zu deaktivieren. Der Client bleibt deaktiviert, bis Sie entweder den Client aktivieren oder den Computer neu starten.
aktivieren Aktivieren des Global Secure Access-Clients
Privaten Zugriff deaktivieren Ausgeblendet standardmäßig. Verwenden Sie die Privaten Zugriff deaktivieren Aktion, wenn Sie Global Secure Access umgehen möchten, indem Sie Ihr Gerät direkt mit dem Unternehmensnetzwerk verbinden, um private Anwendungen direkt über das Netzwerk statt über Global Secure Access zuzugreifen. Um diese Aktion verfügbar zu machen, aktualisieren Sie die entsprechenden Client-Registrierungsschlüssel.
Protokolle sammeln Aktivieren Sie diese Aktion, um Clientprotokolle (Informationen über den Client-Computer, die zugehörigen Ereignisprotokolle für die Dienste und Registrierungswerte) zu sammeln und in einer zip-Datei zu archivieren, um sie mit dem Microsoft-Support zur Untersuchung zu teilen. Der Standardaufenthaltsort für die Protokolle ist „C:\Program Files\Global Secure Access Client\Logs“. Sie können auch Client-Protokolle auf Windows sammeln, indem Sie den folgenden Befehl in der Eingabeaufforderung eingeben: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>Quelle: .
Erweiterte Diagnose Wählen Sie diese Aktion aus, um das erweiterte Diagnosehilfsprogramm zu starten und auf eine Auswahl von „Problembehandlung“-Werkzeugen zuzugreifen.

Clientstatusindikatoren

Statusbenachrichtigung

Doppelklicken Sie auf das Global Secure Access-Symbol, um die Clientstatusbenachrichtigung zu öffnen und den Status jedes für den Client konfigurierten Kanals anzuzeigen.
Screenshot des Clientstatus „Verbunden“

Clientstatus im Infobereichssymbol

Symbol Meldung Beschreibung
Globaler sicherer Zugriff Der Client initialisiert und überprüft seine Verbindung zu Global Secure Access.
Global Secure Access - Verbunden Der Client ist mit Global Secure Access verbunden.
Global Secure Access - Deaktiviert Der Client ist deaktiviert, weil Dienste offline sind oder der Benutzer den Client deaktiviert hat.
Globaler sicherer Zugriff – getrennt Der Client konnte keine Verbindung zu Global Secure Access herstellen.
Global Secure Access - Einige Kanäle sind nicht erreichbar Der Client ist partiell mit Global Secure Access verbunden (das heißt, die Verbindung zu mindestens einem Kanal ist ausgefallen: Microsoft Entra, Microsoft 365, Privater Zugriff, Internetzugriff
Globaler sicherer Zugriff - Deaktiviert durch Ihre Organisation Ihre Organisation hat den Client deaktiviert (das heißt, alle Datenverkehrsweiterleitungsprofile sind deaktiviert).
Global Secure Access - Privat-Zugriff ist deaktiviert Der Benutzer hat den Privatzugriff auf diesem Gerät deaktiviert.
Global Secure Access - konnte keine Verbindung mit dem Internet herstellen Der Client konnte keine Internetverbindung erkennen. Das Gerät ist entweder mit einem Netzwerk verbunden, das keine Internetverbindung hat, oder mit einem Netzwerk, das eine Anmeldung im Erfassungsportal erfordert.

Bekannte Einschränkungen

Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie unter "Bekannte Einschränkungen für den globalen sicheren Zugriff".

Problembehandlung

Um den Global Secure Access Client zu Problembehandeln, klicken Sie mit der rechten Maustaste auf das Client-Symbol in der Taskleiste und aktivieren Sie eine der Problembehandlungsoptionen: Protokolle sammeln oder Erweiterte Diagnose.

Tipp

Administratoren können die Global Secure Access-Client-Menüoptionen ändern, indem sie die Client-Registrierungsschlüssel überarbeiten.

Für weitere detaillierte Informationen zur Problembehandlung des Global Secure Access-Clients, siehe die folgenden Artikel:

Client-Registrierungsschlüssel

Der Global Secure Access Client verwendet spezifische Registrierungsschlüssel, um verschiedene Funktionalitäten zu aktivieren oder zu deaktivieren. Administratoren können mobile Geräteverwaltung (MDM)-Lösungen wie Microsoft Intune oder Gruppenrichtlinie verwenden, um die Registrierungswerte zu kontrollieren.

Achtung

Ändern Sie keine anderen Registrierungswerte, es sei denn, sie werden vom Microsoft-Support angewiesen.

Benutzer mit eingeschränktem Zugriff einschränken

Der Administrator kann verhindern, dass nicht privilegierte Benutzer auf dem Windows-Gerät den Client deaktivieren oder aktivieren, indem er den folgenden Registrierungsschlüssel festlegt:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD

Daten Beschreibung
0x0 Nicht privilegierte Benutzer auf dem Windows-Gerät können den Client deaktivieren und aktivieren.
0x1 Benutzer mit eingeschränktem Zugriff auf dem Windows-Gerät sind daran gehindert, den Client zu deaktivieren und zu aktivieren. Eine UAC-Eingabeaufforderung erfordert lokale Administratoranmeldeinformationen für die Optionen deaktivieren und aktivieren. Der Administrator kann auch die Schaltfläche zum Deaktivieren ausblenden (siehe Menüschaltflächen im System-Tray ausblenden oder einblenden).

Privaten Zugriff auf dem Client deaktivieren oder aktivieren

Dieser Registrierungswert steuert, ob der private Zugriff für den Client aktiviert oder deaktiviert ist. Wenn ein Benutzer mit dem Unternehmensnetzwerk verbunden ist, kann er auswählen, Global Secure Access zu umgehen und direkt auf private Anwendungen zuzugreifen.

Benutzer können privaten Zugriff über das Systemmenü deaktivieren und aktivieren.

Tipp

Diese Option ist nur im Menü verfügbar, wenn sie nicht ausgeblendet ist (siehe Systemtray-Symbole ausblenden oder einblenden) und der Private Access für diesen Mandanten aktiviert ist.

Administratoren können den privaten Zugriff für den Benutzer deaktivieren oder aktivieren, indem sie den Registrierungsschlüssel festlegen:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

value Typ Daten Beschreibung
IsPrivateAccessDisabledByUser REG_DWORD 0x0 Privater Zugriff ist auf diesem Gerät aktiviert. Netzwerkdatenverkehr zu privaten Anwendungen geht durch Global Secure Access.
IsPrivateAccessDisabledByUser REG_DWORD 0x1 Privater Zugriff ist auf diesem Gerät deaktiviert. Netzwerkdatenverkehr mit privaten Anwendungen wird direkt an das Netzwerk weitergeleitet.

Screenshot zeigt den Registrierungs-Editor mit dem Registrierungsschlüssel IsPrivateAccessDisabledByUser hervorgehoben.

Wenn der Registrierungsschlüssel nicht existiert, ist der Standardwert 0x0, Privat-Zugriff ist aktiviert.

Ein- oder Ausblenden von Menüschaltflächen im Infobereich

Der Administrator kann bestimmte Schaltflächen im Menü des Client-System-Tray-Symbols ein- oder ausblenden. Erstellen Sie die Werte unter dem folgenden Registrierungsschlüssel:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

value Typ Daten Standardverhalten Beschreibung
AbmeldebuttonAusblenden REG_DWORD 0x0 - angezeigt 0x1 - ausgeblendet ausgeblendet Konfigurieren Sie diese Einstellung, um die Aktion Abmelden ein- oder auszublenden. Diese Option ist für spezifische Szenarien gedacht, wenn ein Benutzer sich mit einem anderen Microsoft Entra-Benutzer beim Client anmelden muss als dem, der für die Anmeldung bei Windows verwendet wurde. Hinweis Sie müssen sich beim Client mit einem Benutzer im selben Microsoft Entra-Mandant anmelden, dem das Gerät beigetreten ist. Sie können auch die Abmelden-Aktion verwenden, um den bestehenden Benutzer erneut zu authentifizieren.
HideDisablePrivateAccessButton REG_DWORD 0x0 - angezeigt 0x1 - ausgeblendet ausgeblendet Konfigurieren Sie diese Einstellung, um die Aktion „Privaten Zugriff deaktivieren“ ein- oder auszublenden. Diese Option ist für ein Szenario gedacht, bei dem das Gerät direkt mit dem Unternehmensnetzwerk verbunden ist und der Benutzer es bevorzugt, auf private Anwendungen direkt über das Netzwerk zuzugreifen, anstatt über den Global Secure Access.
HideDisableButton REG_DWORD 0x0 - angezeigt 0x1 - ausgeblendet eingeblendet Konfigurieren Sie diese Einstellung, um die Aktion Deaktivieren ein- oder auszublenden. Wenn sichtbar, kann der Benutzer den Global Secure Access Client deaktivieren. Der Client bleibt deaktiviert, bis der Benutzer ihn wieder aktiviert. Wenn die Deaktivieren-Aktion ausgeblendet ist, kann ein nicht privilegierter Benutzer den Client nicht deaktivieren.

Screenshot, der den Registrierungs-Editor mit den hervorgehobenen Registrierungsschlüsseln HideSignOutButton und HideDisablePrivateAccessButton zeigt.

Weitere Informationen finden Sie im Leitfaden zur Konfiguration von IPv6 in Windows für Advanced-Benutzer.

Verwandte Inhalte