Compartir vía

Cliente de Acceso global seguro para Windows

  • Artículo

El cliente de Acceso global seguro, un componente esencial del Acceso global seguro, ayuda a las organizaciones a administrar y proteger el tráfico de red en dispositivos de usuario final. El rol principal del cliente es enrutar el tráfico que debe proteger el Acceso global seguro al servicio en la nube. El resto del tráfico va directamente a la red. Los perfiles de reenvío, configurados en el portal, determinan qué tráfico enruta el cliente de Acceso global seguro al servicio en la nube.

Este artículo describe cómo descargar e instalar el cliente de Acceso global seguro para Windows.

Requisitos previos

  • Un inquilino de Entra incorporado al Acceso global seguro.
  • Un dispositivo administrado unido al inquilino incorporado. Los dispositivos deben estar unidos a Microsoft Entra o a Microsoft Entra híbrido.
    • No se admiten dispositivos registrados en Microsoft Entra.
  • El cliente de Acceso global seguro requiere versiones de 64 bits de Windows 11 o Windows 10.
    • Se admite la sesión única de Azure Virtual Desktop.
    • No se admite la sesión múltiple de Azure Virtual Desktop.
    • Se admite Windows 365.
  • Las credenciales de administrador local son necesarias para instalar o actualizar el cliente.
  • El cliente de Acceso global seguro requiere licencias. Para obtener más información, consulta la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puedes comprar una licencia u obtener licencias de prueba.

Descarga del cliente

La versión más reciente del cliente de Acceso global seguro se puede descargar desde el Centro de administración de Microsoft Entra.

  1. Inicia sesión en el Centro de administración de Microsoft Entra como Administrador de acceso global seguro.
  2. Ve a Acceso global seguro>Conectar>Descarga de cliente.
  3. Selecciona Descargar cliente. Captura de pantalla de la descarga del cliente con el botón de descarga de cliente resaltado.

Instala el cliente de Acceso global seguro.

Instalación automatizada

Las organizaciones pueden instalar el cliente de Acceso global seguro de forma silenciosa con el modificador /quiet o usar soluciones de administración de dispositivos móviles (MDM), como Microsoft Intune, para implementarlo en sus dispositivos.

Instalación manual

Para instalar manualmente el cliente de Acceso global seguro.

  1. Ejecuta el archivo de instalación GlobalSecureAccessClient.exe. Acepta los términos de licencia del software.
  2. El cliente se instala e inicia sesión silenciosamente con tus credenciales de Microsoft Entra. Si se produce un error en el inicio de sesión silencioso, el instalador te pedirá que inicies sesión manualmente.
  3. Inicia sesión. El icono de conexión se vuelve verde.
  4. Mantén el puntero sobre el icono de conexión para abrir la notificación de estado del cliente, que debe mostrarse como Conectada.
    Captura de pantalla que muestra que el cliente está conectado.

Acciones del cliente

Para ver las acciones del menú cliente disponibles, haz clic con el botón derecho en el icono de la bandeja del sistema de Acceso global seguro. Captura de pantalla que muestra el menú contextual del cliente de Acceso global seguro.

Sugerencia

Las acciones de menú del cliente de Acceso global seguro variarán según la configuración de las claves del Registro de cliente.

Acción Descripción
Cerrar sesión Oculto de forma predeterminada. Use la acción Cerrar sesión cuando necesites iniciar sesión en el cliente de Acceso global seguro con un usuario Entra distinto del que se usa para iniciar sesión en Windows. Para que esta acción esté disponible, actualiza las claves del Registro de cliente adecuadas.
Pausar Selecciona la acción Pausar para pausar temporalmente el cliente. El cliente permanece en pausa hasta que reanudes el cliente o reinicies el equipo.
Reanudar Reanuda el cliente en pausa.
Deshabilitar Acceso privado Oculto de forma predeterminada. Use la acción Deshabilitar Acceso privado cuando desees omitir el Acceso global seguro siempre que conectes el dispositivo directamente a la red corporativa para acceder a las aplicaciones privadas directamente a través de la red en lugar de a través del Acceso global seguro. Para que esta acción esté disponible, actualiza las claves del Registro de cliente adecuadas.
Recopilación de registros Selecciona esta acción para recopilar registros de cliente (información sobre el equipo cliente, los registros de eventos relacionados para los servicios y los valores del Registro) y archivarlos en un archivo ZIP para compartirlos con el soporte técnico de Microsoft para su investigación. La ubicación predeterminada de los registros es C:\Program Files\Global Secure Access Client\Logs.
Diagnóstico avanzados Selecciona esta acción para iniciar la utilidad de diagnóstico avanzado y acceder a una variedad de herramientas de solución de problemas.

Indicadores de estado de cliente

Notificación de estado

Haz doble clic en el icono de Acceso global seguro para abrir la notificación de estado de cliente y ver el estado de cada canal configurado para el cliente.
Captura de pantalla que muestra estado de cliente como conectado.

Estados del cliente en el icono de bandeja del sistema

Iconos Mensaje Descripción
Cliente de Acceso global seguro El cliente está inicializando y comprobando su conexión a Acceso global seguro.
Cliente de Acceso global seguro: conectado El cliente está conectado a Acceso global seguro.
Cliente de Acceso global seguro: deshabilitado El cliente está deshabilitado porque los servicios están sin conexión o el usuario deshabilitó el cliente.
Cliente de Acceso global seguro: desconectado El cliente no se pudo conectarse al Acceso global seguro.
Cliente de Acceso global seguro: algunos canales no son accesibles El cliente está parcialmente conectado a Acceso global seguro (es decir, se produjo un error en la conexión a al menos un canal: Entra, Microsoft 365, Acceso privado, Acceso a Internet).
Cliente de Acceso global seguro: deshabilitado por la organización La organización ha deshabilitado el cliente (es decir, todos los perfiles de reenvío de tráfico están deshabilitados).
Acceso global seguro: Acceso privado está deshabilitado El usuario deshabilitó el Acceso privado en este dispositivo.
Acceso global seguro: no se pudo conectar a Internet El cliente no pudo detectar una conexión a Internet. El dispositivo está conectado a una red que no tiene una conexión a Internet o una red que requiere el inicio de sesión del portal cautivo.

Restricciones conocidas

Entre las limitaciones conocidas de la versión actual del cliente de Acceso global seguro se incluyen las siguientes:

Sistema de nombres de dominio (DNS) seguro

El cliente de Acceso global seguro no admite actualmente DNS seguro en sus distintas versiones, como DNS sobre HTTPS (DoH), DNS sobre TLS (DoT) o Extensiones de seguridad DNS (DNSSEC). Para configurar el cliente para que pueda adquirir tráfico de red, debes deshabilitar el DNS seguro. Para deshabilitar el DNS seguro en el explorador, consulta DNS seguro deshabilitado en exploradores.

DNS sobre TCP

DNS usa el puerto 53 UDP para la resolución de nombres. Algunos exploradores tienen su propio cliente DNS que también admite el puerto 53 TCP. Actualmente, el cliente de Acceso global seguro no admite el puerto DNS 53 TCP. Para mitigarlo, deshabilita el cliente DNS del explorador estableciendo los siguientes valores del Registro:

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
  • Chrome
    [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    Agrega también la exploración de chrome://flags y la deshabilitación de Async DNS resolver .

No se admite IPv6.

El cliente solo tuneliza el tráfico IPv4. El cliente no adquiere el tráfico IPv6 y, por tanto, se transfiere directamente a la red. Para permitir que todo el tráfico pertinente se tunelizará, establece las propiedades del adaptador de red en IPv4 preferida.

Reserva de conexión

Si se produce un error de conexión al servicio en la nube, el cliente vuelve a la conexión directa a Internet o bloquea la conexión, en función del valor de protección de la regla de coincidencia del perfil de reenvío.

Geolocalización

Para el tráfico de red que se tuneliza al servicio en la nube, el servidor de aplicaciones (sitio web) detecta la dirección IP de origen de la conexión como la dirección IP de Edge (y no como la dirección IP del dispositivo de usuario). Este escenario podría afectar a los servicios que dependen de la geolocalización.

Sugerencia

Para que Office 365 y Entra detecten la verdadera dirección IP de origen del dispositivo, considera la posibilidad de habilitar la restauración de IP de origen.

Compatibilidad con la virtualización

No se puede instalar el cliente de Acceso global seguro en un dispositivo que hospeda máquinas virtuales. Sin embargo, puedes instalar el cliente de Acceso global seguro en una máquina virtual, siempre y cuando el cliente no esté instalado en la máquina host. Por el mismo motivo, un Subsistema de Windows para Linux (WSL) no adquiere tráfico de un cliente instalado en la máquina host.

Proxy

Si un proxy está configurado en el nivel de aplicación (por ejemplo, un explorador) o en el nivel del sistema operativo, configura un archivo de configuración automática de proxy (PAC) para excluir todos los FQDN y direcciones IP que esperas que el cliente tunelice.

Para evitar que las solicitudes HTTP de FQDN o direcciones IP específicas tunelicen al proxy, agrega los FQDN o direcciones IP al archivo PAC como excepciones. (Estos FQDN o direcciones IP se encuentran en el perfil de reenvío del Acceso global seguro para la tunelización). Por ejemplo:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Si no es posible una conexión directa a Internet, configura el cliente para conectarse al servicio de Acceso global seguro a través de un proxy. Por ejemplo, establece la variable del sistema grpc_proxy para que coincida con el valor del proxy, como http://proxy:8080.

Para aplicar los cambios de configuración, reinicia los servicios de Windows del cliente de Acceso global seguro.

Inserción de paquetes

El cliente solo tuneliza el tráfico enviado mediante sockets. No tunelizar el tráfico insertado en la pila de red mediante un controlador (por ejemplo, parte del tráfico generado por el asignador de red (Nmap)). Los paquetes insertados van directamente a la red.

Multisesión

El cliente de Acceso global seguro no admite sesiones simultáneas en la misma máquina. Esta limitación se aplica a los servidores RDP y soluciones de VDI, como Azure Virtual Desktop (AVD) que están configurados para varias sesiones.

Arm64

Todavía no se admite el cliente de Acceso global seguro en la arquitectura ARM64.

QUIC no se admite para el Acceso a Internet

Dado que QUIC aún no se admite para el Acceso a Internet, no se puede tunelizar el tráfico a los puertos 80 UDP y 443 UDP.

Sugerencia

QUIC se admite actualmente en cargas de trabajo de Acceso privado y Microsoft 365.

Los administradores pueden deshabilitar el protocolo QUIC que desencadena clientes para revertir a HTTPS sobre TCP, que es totalmente compatible con el Acceso a Internet. Para obtener más información, consulta QUIC no se admite para el Acceso a Internet.

Solución de problemas

Para solucionar problemas del cliente de Acceso global seguro, haz clic con el botón derecho en el icono de cliente de la barra de tareas y selecciona una de las opciones de solución de problemas: Recopilar registros o Diagnóstico avanzado.

Sugerencia

Los administradores pueden modificar las opciones de menú del cliente de Acceso global seguro revisando las claves del Registro de cliente.

Para obtener información más detallada sobre cómo solucionar problemas del cliente de Acceso global seguro, consulta los siguientes artículos:

Claves del Registro de cliente

El cliente de Acceso global seguro usa claves del Registro específicas para habilitar o deshabilitar distintas funcionalidades. Los administradores pueden usar soluciones de administración de dispositivos móviles (MDM), como Microsoft Intune o la directiva de grupo, para controlar los valores del Registro.

Precaución

No cambies otros valores del Registro a menos que el soporte técnico de Microsoft lo indique.

Deshabilitar o habilitar el Acceso privado en el cliente

Este valor del Registro controla si el Acceso privado está habilitado o deshabilitado para el cliente. Si un usuario está conectado a la red corporativa, puede optar por omitir el acceso global seguro y acceder directamente a las aplicaciones privadas.

Los usuarios pueden deshabilitar y habilitar el Acceso privado a través del menú de la bandeja del sistema.

Sugerencia

Esta opción solo está disponible en el menú si no está oculta (consulta Ocultar o mostrar botones de menú de la bandeja del sistema) y el Acceso privado está habilitado para este inquilino.

Los administradores pueden deshabilitar o habilitar el Acceso privado para el usuario estableciendo la clave del Registro:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Valor Tipo data Descripción
IsPrivateAccessDisabledByUser REG_DWORD 0x0 El Acceso privado está habilitado en este dispositivo. El tráfico de red a las aplicaciones privadas pasa por el Acceso global seguro.
IsPrivateAccessDisabledByUser REG_DWORD 0x1 El Acceso privado está deshabilitado en este dispositivo. El tráfico de red a las aplicaciones privadas pasa directamente a la red.

Captura de pantalla que muestra el Editor del Registro con la clave del Registro IsPrivateAccessDisabledByUser resaltada.

Si el valor del Registro no existe, el valor predeterminado es 0x0, Acceso privado está habilitado.

Ocultar o mostrar botones de menú de la bandeja del sistema

El administrador puede mostrar u ocultar botones específicos en el menú icono de la bandeja del sistema cliente. Crea los siguientes valores de clave del Registro:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Valor Tipo Data Comportamiento predeterminado Descripción
HideSignOutButton REG_DWORD 0x0 - shown 0x1 - hidden hidden Configura esta opción para mostrar u ocultar la acción Cerrar sesión. Esta opción es para escenarios específicos cuando un usuario necesita iniciar sesión en el cliente con un usuario Entra diferente al que se usa para iniciar sesión en Windows. Nota: debes iniciar sesión en el cliente con un usuario en el mismo inquilino de Entra al que está unido el dispositivo. También puedes usar la acción Cerrar sesión para volver a autenticar al usuario existente.
HideDisablePrivateAccessButton REG_DWORD 0x0 - shown 0x1 - hidden hidden Configura esta opción para mostrar u ocultar la acción Deshabilitar Acceso privado. Esta opción es para un escenario en el que el dispositivo está conectado directamente a la red corporativa y el usuario prefiere acceder a aplicaciones privadas directamente a través de la red en lugar de a través del Acceso global seguro.

Captura de pantalla que muestra el Editor del Registro con las claves del Registro HideSignOutButton y HideDisablePrivateAccessButton resaltadas.

Para obtener más información, consulta Instrucciones para configurar IPv6 en Windows para usuarios avanzados.