Compartir a través de

Cliente de Acceso global seguro para Windows (versión preliminar)

  • Artículo

Más información sobre cómo instalar el cliente de acceso seguro global para Windows.

Requisitos previos

  • El cliente de acceso seguro global se admite en versiones de 64 bits de Windows 11 o Windows 10.
    • Se admite la sesión única de Azure Virtual Desktop.
    • No se admite la sesión múltiple de Azure Virtual Desktop.
    • Se admite Windows 365.
  • Los dispositivos deben estar unido a Microsoft Entra o a Microsoft Entra híbrido.
    • No se admiten dispositivos registrados en Microsoft Entra.
  • Las credenciales de administrador local son necesarias para la instalación.
  • La versión preliminar requiere una licencia P1 de Microsoft Entra ID. Si es necesario, puede adquirir una licencia u obtener licencias de prueba.

Limitaciones conocidas

  • No se admiten varias sesiones de usuario en el mismo dispositivo, como las de un servidor de Escritorio remoto (RDP).
  • Es posible que se produzca un error de conexión del cliente en las redes que usan un portal cautivo, como algunas soluciones de red inalámbrica invitadas. Como solución alternativa, puede pausar el cliente de acceso seguro global.
  • No se admiten las máquinas virtuales en las que el host y los sistemas operativos invitados tienen instalado el cliente de acceso seguro global. Se admiten máquinas virtuales individuales con el cliente instalado.
  • El servicio omite el tráfico si el cliente de Acceso seguro global no puede conectarse al servicio (por ejemplo, debido a un error de autorización o de Acceso condicional). El tráfico se envía de forma directa y local en lugar de bloquearse. En este escenario, puede crear una directiva de Acceso condicional para la comprobación de red compatible, para así bloquear el tráfico si el cliente no puede conectarse al servicio.
  • Todavía no se admite el cliente de acceso seguro global en la arquitectura ARM64. Sin embargo, ARM64 está en la hoja de ruta.

Hay otras limitaciones basadas en el perfil de reenvío de tráfico en uso:

Perfil de reenvío de tráfico Limitación
Perfil de tráfico de Microsoft Actualmente no se admite el tráfico IPv6 de tunelización.
Perfil de tráfico de Microsoft y Acceso privado Para tunelizar el tráfico de red basado en reglas de FQDN (en el perfil de reenvío), es necesario deshabilitar el sistema de nombres de dominio (DNS) a través de HTTPS (DNS seguro).
Microsoft y Acceso privado Si el dispositivo de usuario final está configurado para usar un servidor proxy, las ubicaciones que desea tunelizar mediante el cliente de acceso seguro global deben excluirse de esa configuración. Para obtener ejemplos, consulte Ejemplo de configuración de proxy.
Acceso privado No se admiten dominios de etiqueta única, como https://contosohome para aplicaciones privadas. En lugar un nombre debe ser un nombre de dominio completo (FQDN), como https://contosohome.contoso.com. Los administradores también pueden optar por anexar sufijos DNS a través de Windows.

Descarga del cliente

La versión actual del cliente de acceso seguro global se puede descargar desde el centro de administración de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de acceso seguro global.

  2. Vaya a Acceso global seguro (versión preliminar)>Conectar>Descargar cliente.

  3. Seleccione Descargar cliente.

    Captura de pantalla del botón descargar cliente de Windows.

Instalar el cliente

Las organizaciones pueden instalar el cliente de forma interactiva, silenciosa con el conmutador /quiet o usar plataformas de administración de dispositivos móviles como Microsoft Intune para implementarlo en sus dispositivos.

  1. Copie el archivo de instalación del cliente de acceso seguro global en la máquina cliente.

  2. Ejecute el archivo de instalación GlobalSecureAccessClient.exe. Acepte los términos de licencia del software.

  3. El cliente se instala y se pide a los usuarios que inicien sesión con sus credenciales de Microsoft Entra.

    Captura de pantalla que muestra el cuadro de inicio de sesión aparece una vez completada la instalación del cliente.

  4. Los usuarios inician sesión y el icono de conexión se vuelve verde. Al hacer doble clic en el icono de conexión se abre una notificación con información de cliente que muestra un estado conectado.

    Captura de pantalla que muestra que el cliente está conectado.

Solución de problemas

Para solucionar problemas del cliente de acceso seguro global, haga clic con el botón derecho en el icono de cliente de la barra de tareas.

Captura de pantalla que muestra el menú contextual del cliente de acceso seguro global.

  • Inicio de sesión como otro usuario
    • Obliga a la pantalla de inicio de sesión a cambiar el usuario o volver a autenticar al usuario existente.
  • Pausar
    • Esta opción se puede usar para deshabilitar temporalmente la tunelización del tráfico. Dado que este cliente forma parte de la posición de seguridad de la organización, se recomienda dejarla en ejecución siempre.
    • Esta opción detiene los servicios de Windows relacionados con el cliente. Cuando se detienen estos servicios, el tráfico ya no se tunelizará desde la máquina cliente al servicio en la nube. El tráfico de red se comporta como si el cliente no estuviera instalado mientras el cliente está en pausa. Si se reinicia la máquina cliente, los servicios se reinician automáticamente con ella.
  • Reanudar
    • Esta opción inicia los servicios subyacentes relacionados con el cliente de acceso seguro global. Esta opción se usaría para reanudarse después de pausar temporalmente el cliente para solucionar problemas. El tráfico reanuda la tunelización del cliente al servicio en la nube.
  • Restart (Reiniciar)
    • Esta opción detiene e inicia los servicios de Windows relacionados con el cliente.
  • Recopilación de registros
    • Recopile registros de soporte técnico y solución de problemas adicionales. Estos registros se recopilan y almacenan en C:\Program Files\Global Secure Access Client\Logs de forma predeterminada.
      • Estos registros incluyen información sobre la máquina cliente, los registros de eventos relacionados para los servicios y los valores del registro, incluidos los perfiles de reenvío de tráfico aplicados.
  • Comprobador de cliente
    • Ejecuta un script para probar los componentes de cliente que garantizan que el cliente está configurado y funciona según lo previsto.
  • Diagnóstico de conexión proporciona una visualización dinámica del estado del cliente y las conexiones tunelizado por el cliente al servicio de acceso seguro global
    • La pestaña Resumen muestra información general sobre la configuración de cliente, incluida: versión de directiva en uso, fecha y hora de la última actualización de directiva, y el identificador del inquilino con el que está configurado el cliente para trabajar.
      • El estado de adquisición del nombre de host cambia a verde cuando el nuevo tráfico adquirido por FQDN se tuneliza correctamente en función de una coincidencia del FQDN de destino en un perfil de reenvío de tráfico.
    • Los Flujos muestran una lista dinámica de conexiones iniciadas por el dispositivo de usuario final y tunelizado por el cliente perimetral de acceso seguro global. Cada conexión es nueva fila.
      • La Marca de tiempo es la hora en que se estableció por primera vez la conexión.
      • Nombre de dominio completo (FQDN) del destino de la conexión. Si la decisión de tunelizar la conexión se realizó en función de una regla IP en la directiva de reenvío no mediante una regla FQDN, la columna FQDN muestra N/A.
      • El puerto de Origen del dispositivo de usuario final para esta conexión.
      • La dirección IP de destino es el destino de la conexión.
      • Actualmente el protocolo solo admite TCP.
      • El nombre del proceso que ha iniciado la conexión.
      • El flujo activo proporciona un estado de si la conexión sigue abierta.
      • Los datos enviados proporcionan el número de bytes enviados por el dispositivo del usuario final a través de la conexión.
      • Los datos recibidos proporcionan el número de bytes recibidos por el dispositivo del usuario final a través de la conexión.
      • El identificador de correlación se proporciona a cada conexión tunelizado por el cliente. Este identificador permite el seguimiento de la conexión en los registros de cliente. Los registros de cliente constan del visor de eventos, el seguimiento de eventos (ETL) y los registros de tráfico de acceso seguro global.
      • El identificador de flujo es el identificador interno de la conexión utilizada por el cliente que se muestra en el archivo ETL.
      • El nombre del canal identifica el perfil de reenvío de tráfico al que está tunelizado la conexión. Esta decisión se toma según las reglas del perfil de reenvío.
    • HostNameAcquisition proporciona una lista de nombres de host que el cliente adquirió en función de las reglas de FQDN del perfil de reenvío. Cada nombre de host se muestra en una nueva fila. La adquisición futura del mismo nombre de host crea otra fila si DNS resuelve el nombre de host (FQDN) en una dirección IP diferente.
      • La Marca de tiempo es la hora en que se estableció por primera vez la conexión.
      • FQDN que se resuelve.
      • La dirección IP generada es una dirección IP generada por el cliente con fines internos. Esta dirección IP se muestra en la pestaña de flujos para las conexiones establecidas en el FQDN relativo.
      • La dirección IP original es la primera dirección IPv4 de la respuesta DNS al consultar el FQDN. Si el servidor DNS al que apunta el dispositivo del usuario final no devuelve una dirección IPv4 para la consulta, la dirección IP original muestra 0.0.0.0.
    • Los servicios muestran el estado de los servicios de Windows relacionados con el cliente de acceso seguro global. Los servicios que se inician tienen un icono de estado verde, los servicios que se detienen muestran un icono de estado rojo. Los tres servicios de Windows deben iniciarse para que el cliente funcione.
    • Los canales enumeran los perfiles de reenvío de tráfico asignados al cliente y el estado de la conexión al perímetro de acceso seguro global.

Registros de eventos

Los registros de eventos relacionados con el cliente de acceso seguro global se pueden encontrar en el Visor de eventos en Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational. Estos eventos proporcionan detalles útiles sobre el estado, las directivas y las conexiones realizadas por el cliente.

Deshabilitar IPv6 y DNS seguro

Si necesita ayuda para deshabilitar IPv6 o DNS seguro en dispositivos Windows con los que está probando la versión preliminar, el siguiente script proporciona ayuda.

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

Ejemplo de configuración de proxy

Archivo PAC de proxy de ejemplo que contiene exclusiones:

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||
      dnsDomainIs(host, ".contoso.com") || //tunneled
      dnsDomainIs(host, ".fabrikam.com"))  // tunneled
      return "DIRECT";                     // If true, sets "DIRECT" connection
      else                                 // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

A continuación, las organizaciones deben crear una variable del sistema denominada grpc_proxy con un valor como http://10.1.0.10:8080 que coincida con la configuración del servidor proxy en las máquinas de usuario final para permitir que los servicios de cliente de acceso seguro global usen el proxy mediante la configuración siguiente.

Términos de uso

El uso de las experiencias y características de las versiones preliminares de Microsoft Entra Private Access and Microsoft Entra Internet Access se rige por los términos y condiciones del servicio en línea en versión preliminar de los contratos en virtud de los cuales se obtuvieron los servicios. Las vistas previas pueden estar sujetas a compromisos de seguridad, cumplimiento y privacidad reducidos o diferentes, tal y como se explica con más detalle en las Condiciones universales de licencia de los servicios en línea y en el Anexo de protección de datos ("DPA") de los productos y servicios de Microsoft, así como en cualquier otro aviso proporcionado con la Versión preliminar.

Pasos siguientes

El siguiente paso para empezar a trabajar con Acceso a Internet de Microsoft Entra es habilitar restricciones de inquilino universal.