Client Accès global sécurisé pour Windows (préversion)

  • Article

Découvrez comment installer le client Accès global sécurisé pour Windows.

Prérequis

  • Le client Accès global sécurisé est pris en charge sur les versions 64 bits de Windows 11 ou Windows 10.
    • Azure Virtual Desktop à session unique est pris en charge.
    • Azure Virtual Desktop multisession n’est pas pris en charge.
    • Windows 365 est pris en charge.
  • Les appareils doivent disposer d’une jointure Microsoft Entra, hybride ou non.
    • Les appareils inscrits à Microsoft Entra ne sont pas pris en charge.
  • Les informations d’identification de l’administrateur local sont requises pour l’installation.
  • La préversion nécessite une licence Microsoft Entra ID P1. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai.

Limitations connues

  • Plusieurs sessions utilisateur sur le même appareil, comme celles d’un serveur Bureau à distance (RDP), ne sont pas prises en charge.
  • Les réseaux qui utilisent un portail captif, comme certaines solutions de réseau sans fil invité, sont susceptibles d’entraîner l’échec de la connexion client. En guise de solution de contournement, vous pouvez suspendre le client Accès global sécurisé.
  • Les machines virtuelles sur lesquelles le client Accès global sécurisé est installé sur les systèmes d’exploitation hôtes et invités ne sont pas prises en charge. Les machines virtuelles individuelles sur laquelle le client est installé sont prises en charge.
  • Le service ignore le trafic lorsque le client Accès global sécurisé ne parvient pas à se connecter au service (par exemple, en raison d’un échec d’accès conditionnel ou d’autorisation). Le trafic est envoyé directement et localement au lieu d’être bloqué. Dans ce scénario, vous pouvez créer une stratégie d’accès conditionnel pour la vérification de la conformité réseau afin de bloquer le trafic si le client ne peut pas se connecter au service.
  • Le client Accès global sécurisé sur l’architecture ARM64 n’est pas encore pris en charge. Toutefois, la prise en charge d’ARM64 est prévue.

Il existe plusieurs autres limitations basées sur le profil de transfert de trafic utilisé :

Profil de transfert de trafic Limitation
Microsoft 365 Le tunneling du trafic IPv6 n’est actuellement pas pris en charge.
Microsoft 365 et Accès privé Pour procéder au tunneling du trafic réseau en fonction des règles de noms de domaine complets (dans le profil de transfert), Domain Name System (DNS) sur HTTPS (DNS sécurisé) doit être désactivé.
Microsoft 365 Actuellement, le client Accès global sécurisé ne prend en charge que le trafic TCP (Transmission Control Protocol). Exchange Online utilise le protocole QUIC pour certains trafics sur le port User Datagram Protocol (UDP) 443, ce qui force ce trafic à utiliser HTTPS (443 TCP) en bloquant le trafic QUIC avec une règle de pare-feu locale. Les protocoles non HTTP, tels que POP3, IMAP et SMTP, ne sont pas acquis auprès du client et sont envoyés directement et localement.
Microsoft 365 et Accès privé Si l’appareil de l’utilisateur final est configuré pour utiliser un serveur proxy, les emplacements pour lesquels vous souhaitez procéder au tunneling à l’aide du client Accès global sécurisé doivent être exclus de cette configuration. Pour obtenir des exemples, consultez Exemple de configuration de proxy.
Accès privé Les domaines à étiquette unique, comme https://contosohome pour les applications privées, ne sont pas pris en charge. Saisissez un nom de domaine complet (FQDN), comme https://contosohome.contoso.com. Les administrateurs peuvent également choisir d’ajouter des suffixes DNS via Windows.

Télécharger le client

La version la plus récente du client Accès global sécurisé peut être téléchargée à partir du Centre d’administration Microsoft Entra.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.

  2. Accédez à l’Accès global sécurisé (aperçu)>Connecter>Téléchargement client.

  3. Sélectionnez Téléchargement du client.

    Capture d’écran du bouton Télécharger le client Windows.

Installer le client

Les organisations peuvent installer le client de manière interactive, silencieuse avec le commutateur /quiet, ou utiliser des plateformes de gestion des appareils mobiles comme Microsoft Intune pour le déployer sur leurs appareils.

  1. Copiez le fichier d’installation du client Accès global sécurisé sur votre ordinateur client.

  2. Exécutez le fichier d’installation GlobalSecureAccessClient.exe. Acceptez les termes du contrat de licence logicielle.

  3. Le client est installé et les utilisateurs sont invités à se connecter avec leurs informations d’identification Microsoft Entra.

    Capture d’écran de la fenêtre de connexion une fois le client installé.

  4. Lorsque les utilisateurs se connectent, l’icône de connexion devient verte. Double-cliquer cette icône ouvre une notification avec des informations client montrant un état connecté.

    Capture d’écran montrant que le client est connecté.

Dépannage

Pour résoudre les problèmes liés au client Accès global sécurisé, cliquez avec le bouton droit sur l’icône du client dans la barre des tâches.

Capture d’écran montrant le menu contextuel du client de l’Accès sécurisé global.

  • Connecté en tant qu’utilisateur différent
    • Force l’écran de connexion à modifier l’utilisateur ou à réauthentifier l’utilisateur existant.
  • Pause
    • Cette option peut être utilisée pour désactiver temporairement le tunneling du trafic. Étant donné que ce client fait partie de la posture de sécurité de votre organisation, nous vous recommandons de le laisser toujours en cours d’exécution.
    • Cette option arrête les services Windows liés au client. Lorsque ces services sont arrêtés, le trafic n’est plus tunnelisé de l’ordinateur client vers le service cloud. Le trafic réseau se comporte comme si le client n’était pas installé pendant la pause du client. Si l’ordinateur client est redémarré, les services redémarrent automatiquement.
  • Reprendre
    • Cette option démarre les services sous-jacents liés au client Accès global sécurisé. Cette option serait utilisée pour reprendre après la suspension temporaire du client pour la résolution des problèmes. Le trafic reprend le tunneling du client vers le service cloud.
  • Restart
    • Cette option arrête et démarre les services Windows liés au client.
  • Collecter les journaux d’activité
    • Collectez les journaux pour le support et la résolution des problèmes. Ces journaux sont collectés et stockés dans C:\Program Files\Global Secure Access Client\Logs par défaut.
      • Ces journaux incluent des informations sur l’ordinateur client, les journaux d’événements associés pour les services et les valeurs de Registre, y compris les profils de transfert de trafic appliqués.
  • Vérificateur du client
    • Exécute un script pour tester les composants clients en veillant à ce que le client soit configuré et fonctionne comme prévu.
  • Diagnostics de connexion fournit un affichage dynamique de l’état du client et des connexions qui font l’objet d’un tunneling par le client vers le service Accès global sécurisé.
    • L’onglet Résumé affiche des informations générales sur la configuration du client, notamment la version de la stratégie en cours d’utilisation, la date et l’heure de la dernière mise à jour de la stratégie, ainsi que l’ID du locataire avec lequel le client est configuré.
      • L’état d’acquisition du nom d’hôte passe au vert lorsque le nouveau trafic acquis par le nom de domaine complet est tunnelisé en fonction d’une correspondance du nom de domaine complet de destination dans un profil de transfert de trafic.
    • Flux affiche une liste dynamique des connexions initiées par l’appareil de l’utilisateur final et tunnelisées par le client vers la périphérie Global Secure Access. Chaque connexion est une nouvelle ligne.
      • Timestamp est l’heure à laquelle la connexion a été établie pour la première fois.
      • Nom de domaine complet (FQDN) de la destination de la connexion. Si la décision de tunneliser la connexion a été prise en fonction d’une règle IP dans la stratégie de transfert et non par une règle de nom de domaine complet, la colonne FQDN affiche N/A.
      • Port source de l’appareil de l’utilisateur final pour cette connexion.
      • IP de destination est la destination de la connexion.
      • Protocole : seul TCP est actuellement pris en charge.
      • Processus : nom du processus qui a initié la connexion.
      • Flux : le flux actif indique si la connexion est toujours ouverte.
      • Données envoyées fournit le nombre d’octets envoyés par l’appareil de l’utilisateur final sur la connexion.
      • Données reçues fournit le nombre d’octets reçus par l’appareil de l’utilisateur final sur la connexion.
      • ID de corrélation est fourni à chaque connexion tunnelisée par le client. Cet ID permet le suivi de la connexion dans les journaux du client. Les journaux du client se composent de la visionneuse d’événements, de la trace d’événements (ETL) et des journaux de trafic d’Accès global sécurisé.
      • ID de flux est l’ID interne de la connexion utilisée par le client indiqué dans le fichier ETL.
      • Nom du canal identifie le profil de transfert de trafic vers lequel la connexion est tunnelisée. Cette décision est prise conformément aux règles du profil de transfert.
    • HostNameAcquisition fournit une liste de noms d’hôte que le client a acquis en fonction des règles de nom de domaine complet dans le profil de transfert. Chaque nom d’hôte est affiché dans une nouvelle ligne. L’acquisition ultérieure du même nom d’hôte crée une autre ligne si DNS résout le nom d’hôte (FQDN) en une autre adresse IP.
      • Timestamp est l’heure à laquelle la connexion a été établie pour la première fois.
      • Nom de domaine complet résolu.
      • Adresse IP générée est une adresse IP générée par le client à des fins internes. Cette adresse IP est affichée sous l’onglet Flux pour les connexions établies au nom de domaine complet relatif.
      • Adresse IP d’origine est la première adresse IPv4 dans la réponse DNS lors de l’interrogation du nom de domaine complet. Si le serveur DNS vers lequel l’appareil de l’utilisateur final pointe ne retourne pas d’adresse IPv4 pour la requête, l’adresse IP d’origine affiche 0.0.0.0.
    • Services affiche l’état des services Windows liés au client Accès global sécurisé. Les services démarrés ont une icône d’état verte. Les services arrêtés affichent une icône d’état rouge. Les trois services Windows doivent être démarrés pour que le client fonctionne.
    • Canaux répertorie les profils de transfert de trafic attribués au client et l’état de la connexion à la périphérie Global Secure Access.

Journaux d’événements

Les journaux des événements liés au client Accès global sécurisé se trouvent dans l’observateur d'événements sous Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational. Ces événements fournissent des détails utiles concernant l’état, les stratégies et les connexions établies par le client.

Désactiver IPv6 et le DNS sécurisé

Si vous avez besoin d’aide pour désactiver IPv6 ou le DNS sécurisé sur les appareils Windows avec lesquels vous essayez la préversion, le script suivant fournit une assistance.

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

Exemple de configuration de proxy

Exemple de fichier PAC de proxy contenant des exclusions :

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||
      dnsDomainIs(host, ".contoso.com") || //tunneled
      dnsDomainIs(host, ".fabrikam.com"))  // tunneled
      return "DIRECT";                     // If true, sets "DIRECT" connection
      else                                 // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

Les organisations doivent ensuite créer une variable système nommée grpc_proxy avec une valeur semblable à http://10.1.0.10:8080 qui correspond à la configuration de votre serveur proxy sur les ordinateurs des utilisateurs finaux. Cette procédure permet aux services du client Accès global sécurisé d’utiliser le proxy en configurant les éléments suivants.

Bloquer QUIC lors du tunneling du trafic Exchange Online

Étant donné que le trafic UDP n’est pas pris en charge dans la préversion actuelle, les organisations qui prévoient de tunneliser leur trafic Exchange Online doivent désactiver le protocole QUIC (UDP 443). Les administrateurs peuvent désactiver ce protocole en déclenchant le retour des clients à HTTPS (TCP 443) avec la règle de pare-feu Windows suivante :

New-NetFirewallRule -DisplayName "Block QUIC for Exchange Online" -Direction Outbound -Action Block -Protocol UDP -RemoteAddress 13.107.6.152/31,13.107.18.10/31,13.107.128.0/22,23.103.160.0/20,40.96.0.0/13,40.104.0.0/15,52.96.0.0/14,131.253.33.215/32,132.245.0.0/16,150.171.32.0/22,204.79.197.215/32,6.6.0.0/16 -RemotePort 443

Cette liste d’adresses IPv4 est basée sur les URL Office 365 et les plages d’adresses IP, ainsi que sur le bloc IPv4 utilisé par le client Accès global sécurisé. Pour obtenir des informations sur l’adresse de service Global Secure Access, consultez Points de présence et adresses de service.

Conditions d'utilisation

Votre utilisation des expériences et fonctionnalités des préversions d'Accès privé Microsoft Entra et d'Accès internet Microsoft Entra est régie par les conditions générales du service en ligne en préversion des contrats en vertu desquels vous avez obtenu les services. Les préversions peuvent être soumises à des engagements de sécurité, de conformité et de confidentialité réduits ou différents, comme expliqué plus en détail dans les Termes du contrat de licence universel pour les services en ligne et l'Addendum sur la protection des données des produits et services Microsoft (« DPA ») et dans tout autre avis fourni avec la préversion.

Étapes suivantes

L’étape suivante pour bien démarrer avec Accès Internet Microsoft Entra consiste à activer les restrictions liées au locataire universelles.