Partager via


Client Accès global sécurisé pour Microsoft Windows

Le client de l’Accès global sécurisé, composant essentiel de l’Accès global sécurisé, aide les organisations à gérer et à sécuriser le trafic réseau sur les appareils des utilisateurs finaux. Le rôle principal du client est d’acheminer le trafic qui doit être sécurisé par l’Accès global sécurisé, vers le service cloud. Tous les autres trafics sont directement acheminés vers le réseau. Les profils de transfert, configurés dans le portail, déterminent le trafic que le client de l’Accès global sécurisé achemine vers le service cloud.

Remarque

Le client Global Secure Access est également disponible pour macOS, Android et iOS. Pour savoir comment installer le client Global Secure Access sur ces plateformes, consultez client Global Secure Access pour macOS, client Global Secure Access pour Androidet client Global Secure Access pour iOS.

Cet article explique comment télécharger et installer le client de l’Accès global sécurisé pour Windows.

Prérequis

  • Un tenant (locataire) Microsoft Entra intégré à Accès global sécurisé.
  • Un appareil géré joint au locataire intégré. L’appareil doit être joint à Microsoft Entra, de manière hybride ou non.
    • Les appareils inscrits à Microsoft Entra ne sont pas pris en charge.
  • Le client Accès global sécurisé nécessite une version 64 bits de Windows 10 ou Windows 11.
    • Azure Virtual Desktop à session unique est pris en charge.
    • Azure Virtual Desktop multisession n’est pas pris en charge.
    • Windows 365 est pris en charge.
  • Les informations d’identification de l’administrateur local sont requises pour installer ou mettre à niveau le client.
  • Le client de l’Accès global sécurisé nécessite des licences. Pour plus de détails, consultez la section sur les licences dans Qu’est-ce que l’Accès global sécurisé ? Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’évaluation gratuite.

Télécharger le client

La version la plus récente du client de l’Accès global sécurisé peut être téléchargée à partir du centre d’administration Microsoft Entra.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.
  2. Accédez à Accès global sécurisé>Se connecter>Téléchargement du client.
  3. Sélectionnez Téléchargement du client. Capture d’écran de l’écran de téléchargement du client, avec le bouton Télécharger le client mis en surbrillance.

Installer le client de l’Accès global sécurisé

Installation automatisée

Les organisations peuvent installer le client de l’Accès global sécurisé de manière silencieuse à l’aide du commutateur /quiet, ou utiliser des solutions de gestion des appareils mobiles comme Microsoft Intune pour déployer le client sur leurs appareils.

Déployer un client Global Secure Access avec Intune

Dans cette section, vous allez apprendre à installer manuellement le client Accès sécurisé global sur un appareil client Windows 11 avec Intune.

Prérequis

  • Groupe de sécurité avec des appareils ou des utilisateurs pour identifier où installer le client Global Secure Access

Empaqueter le client

Convertissez le .exe fichier en fichier .intunewin .

  1. Téléchargez le client Global Secure Access à partir du centre d'administration Microsoft Entra, de >> et du >. Sélectionnez Télécharger le client sous Windows 11.

  2. Accédez à l’outil de préparation de contenu Microsoft Win32. Sélectionnez IntuneWinAppUtil.exe.

    Capture d’écran de la sélection du fichier d’installation de l’outil de préparation.

  3. Dans le coin supérieur droit, sélectionnez le menu à trois points. Sélectionnez Télécharger.

    Capture d’écran de trois points de menu pour sélectionner Télécharger.

  4. Accédez à et exécutez IntuneWinAppUtil.exe. Une invite de commandes s'ouvre.

  5. Entrez l’emplacement du chemin d’accès au dossier du fichier Global Secure Access .exe . Sélectionnez Enter (Entrer).

  6. Entrez le nom du fichier Global Secure Access .exe . Sélectionnez Enter (Entrer).

  7. Entrez le chemin du dossier dans lequel placer le .intunewin fichier. Sélectionnez Enter (Entrer).

  8. Entrez N. Sélectionnez Entrée.

    Capture d’écran de la ligne de commande pour installer le client.

Le .intunewin fichier est prêt pour vous permettre de déployer Microsoft Intune.

Déployer un client Global Secure Access avec Intune

Consultez des instructions détaillées sur l’ajout et l’affectation d’applications Win32 à Microsoft Intune.

  1. Accédez à https://intune.microsoft.com.

  2. Sélectionnez Applications>Toutes les applications>Ajouter.

  3. Dans Sélectionner le type d’application, sous Autres types d’applications, sélectionnez Application Windows (Win32).

  4. Sélectionnez Sélectionner. Les étapes de l'ajout d'une application apparaissent.

  5. Sélectionnez Sélectionner le fichier de package d’application.

  6. Sélectionnez l’icône de dossier. Ouvrez le .intunewin fichier que vous avez créé dans la section précédente.

    Capture d’écran de la sélection du fichier de package d’application.

  7. Cliquez sur OK.

  8. Configurez ces champs :

    • Nom : entrez un nom pour l’application cliente.
    • Description : entrez une description.
    • Éditeur : entrez Microsoft.
    • Version de l’application(facultatif) : entrez la version du client.
  9. Vous pouvez utiliser les valeurs par défaut dans les champs restants. Cliquez sur Suivant.

    Capture d’écran de l’ajout d’une application pour installer le client.

  10. Configurez ces champs :

    • Commande Installer : utilisez le nom d’origine du .exe fichier pour "OriginalNameOfFile.exe" /install /quiet /norestart.
    • Commande Désinstaller : utilisez le nom d’origine du .exe fichier pour "OriginalNameOfFile.exe" /uninstall /quiet /norestart.
    • Autoriser la désinstallation disponible : Sélectionnez Non.
    • Comportement d’installation : sélectionnez Système.
    • Comportement de redémarrage de l’appareil : sélectionnez Déterminer le comportement en fonction des codes de retour.
Code de retour Type de code
0 Succès
1707 Succès
3010 Succès
1641 Succès
1618 Réessayer

Remarque

Les codes de retour sont remplis par les codes de sortie par défaut de Windows. Dans ce cas, nous avons modifié deux des types de code en Success pour éviter les redémarrages inutiles de l’appareil.

Capture d’écran du programme pour configurer les paramètres d’installation.

  1. Cliquez sur Suivant.

  2. Configurez ces champs :

    • Architecture du système d’exploitation : sélectionnez votre configuration minimale requise.
    • Système d’exploitation minimal : sélectionnez votre configuration minimale requise.

    Capture d’écran des conditions requises pour configurer les paramètres d’installation.

  3. Laissez les champs restants vides. Cliquez sur Suivant.

  4. Sous Format Règles, sélectionnez Configurer manuellement les règles de détection.

  5. Sélectionnez Ajouter.

  6. Sous Type de règle, sélectionnez Fichier.

  7. Configurez ces champs :

    • Chemin d’accès : Entrée C:\Program Files\Global Secure Access Client\TrayApp.
    • Fichier ou dossier : Entrée GlobalSecureAccessClient.exe.
    • Méthode de détection : Sélectionner une chaîne (version).
    • Opérateur : sélectionnez Supérieur ou égal à.
    • Valeur : entrez le numéro de version du client.
    • Associé à une application 32 bits sur un client 64 bits : sélectionnez Non.

    Capture d’écran de la règle de détection pour le client.

  8. Cliquez sur OK. Cliquez sur Suivant.

  9. Sélectionnez Suivant deux fois de plus pour accéder aux missions.

  10. Sous Obligatoire, sélectionnez +Ajouter un groupe. Sélectionnez un groupe d’utilisateurs ou d’appareils. Sélectionnez Sélectionner.

  11. Cliquez sur Suivant. Cliquez sur Créer.

Mettre à jour le client vers une version plus récente

Pour effectuer une mise à jour vers la version la plus récente du client, suivez les étapes de mise à jour d’une application métier . Veillez à mettre à jour les paramètres suivants en plus du chargement du nouveau .intunewin fichier :

  • Version du client
  • Installer et désinstaller des commandes
  • Valeur de règle de détection définie sur le nouveau numéro de version du client

Dans un environnement de production, il est recommandé de déployer de nouvelles versions clientes dans une approche de déploiement par phases :

  1. Laissez l’application existante en place pour l’instant.
  2. Ajoutez une nouvelle application pour la nouvelle version du client, répétant les étapes précédentes.
  3. Affectez la nouvelle application à un petit groupe d’utilisateurs pour piloter la nouvelle version du client. Il est possible d’affecter ces utilisateurs à l’application avec l’ancienne version du client pour une mise à niveau sur place.
  4. Augmentez lentement l’appartenance au groupe pilote jusqu’à ce que vous déployiez le nouveau client sur tous les appareils souhaités.
  5. Supprimez l’application avec l’ancienne version du client.

Installation manuelle

Pour installer manuellement le client de l’Accès global sécurisé :

  1. Exécutez le fichier d’installation GlobalSecureAccessClient.exe. Acceptez les termes du contrat de licence logicielle.
  2. Le client s’installe et vous connecte de manière silencieuse à l’aide de vos informations d’identification Microsoft Entra. Si la connexion silencieuse échoue, le programme d’installation vous invite à vous connecter manuellement.
  3. Se connecter. L’icône de connexion devient verte.
  4. Pointez sur l’icône de connexion pour ouvrir la notification de statut du client, qui doit afficher Connecté.
    Capture d’écran montrant que le client est connecté.

Actions du client

Pour afficher les actions disponibles dans le menu du client, cliquez avec le bouton droit sur l’icône de l’Accès global sécurisé dans la zone de notification. Capture d’écran montrant la liste complète des actions du client de l’Accès global sécurisé.

Conseil

Les actions dans le menu du client de l’Accès global sécurisé varient en fonction de la configuration de vos clés de Registre du client.

Action Descriptif
Se déconnecter Masqué par défaut. Utilisez l’action Se déconnecter quand vous devez vous connecter au client Accès global sécurisé avec un utilisateur Microsoft Entra autre que celui utilisé pour la connexion à Windows. Pour rendre cette action disponible, mettez à jour les clés de Registre du client appropriées.
Désactiver Sélectionnez l’action Désactiver pour désactiver le client. Le client reste désactivé jusqu’à ce que vous l’activiez ou que vous redémarriez la machine.
Activer Active le client Accès global sécurisé.
Désactiver l’Accès privé Masqué par défaut. Utilisez l’action Désactiver l’Accès privé lorsque vous souhaitez contourner l’Accès global sécurisé chaque fois que vous connectez votre appareil directement au réseau de l’entreprise pour accéder directement aux applications privées via le réseau plutôt que via l’Accès global sécurisé. Pour rendre cette action disponible, mettez à jour les clés de Registre du client appropriées.
Collecter les journaux d’activité Sélectionnez cette action pour collecter les journaux du client (informations sur l’ordinateur client, les journaux d’événements associés pour les services, et les valeurs de Registre) et archivez-les dans un fichier ZIP à partager avec le support Microsoft à des fins d’examen. L’emplacement par défaut des journaux est C:\Program Files\Global Secure Access Client\Logs. Vous pouvez également collecter les journaux du client sur Windows en entrant la commande suivante à l’invite de commandes : C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>.
Diagnostics avancés Sélectionnez cette action pour lancer l’utilitaire de diagnostics avancés et accéder à un assortiment d’outils de résolution de problèmes.

Indicateurs de statut du client

Notification de statut

Double-cliquez sur l’icône Accès global sécurisé pour ouvrir la notification de statut du client et afficher le statut de chaque canal configuré pour le client.
Capture d’écran montrant que le statut du client est connecté.

Statuts du client sur l’icône de la zone de notification

Icône Message Descriptif
Accès global sécurisé Le client s’initialise et vérifie sa connexion à l’Accès global sécurisé.
Accès global sécurisé - Connecté Le client est connecté à l’Accès global sécurisé.
Accès global sécurisé - Désactivé Le client est désactivé car les services sont hors ligne ou l’utilisateur l’a désactivé.
Accès global sécurisé - Déconnecté Le client n’a pas pu se connecter à l’Accès global sécurisé.
Accès global sécurisé - Certains canaux sont inaccessibles Le client est partiellement connecté à Accès global sécurisé (en d’autres termes, la connexion à au moins un canal a échoué : Microsoft Entra, Microsoft 365, Accès privé, Accès Internet).
Accès global sécurisé - Désactivé par votre organisation Votre organisation a désactivé le client (en d’autres termes, tous les profils de transfert de trafic sont désactivés).
Client de l’accès global sécurisé - L’Accès privé est désactivé L’utilisateur a désactivé l’Accès privé sur cet appareil.
Accès global sécurisé - Impossible de se connecter à internet Le client n’a pas pu détecter de connexion internet. L’appareil est connecté à un réseau qui ne dispose pas d’une connexion internet ou à un réseau qui nécessite une connexion par portail captif.

Limitations connues

Pour plus d’informations sur les problèmes connus et les limitations, consultez les limitations connues pour l’accès sécurisé global.

Dépannage

Pour résoudre les problèmes liés au client de l’Accès global sécurisé, cliquez avec le bouton droit sur l’icône du client dans la barre des tâches et sélectionnez l’une des options de résolution des problèmes : Collecter les journaux ou Diagnostics avancés.

Conseil

Les administrateurs peuvent modifier les options du menu du client de l’Accès global sécurisé en révisant les clés de Registre du client.

Pour plus d’informations sur la résolution des problèmes liés au client de l’Accès global sécurisé, consultez les articles suivants :

Clés de Registre du client

Le client de l’Accès global sécurisé utilise des clés de Registre spécifiques pour activer ou désactiver différentes fonctionnalités. Les administrateurs peuvent utiliser des solutions de gestion des appareils mobiles, telles que Microsoft Intune ou une stratégie de groupe pour contrôler les valeurs du Registre.

Attention

Ne modifiez pas d’autres valeurs de Registre, sauf indication du Support Microsoft.

Restreindre les utilisateurs non privilégiés

L’administrateur peut empêcher les utilisateurs non privilégiés de l’appareil Windows de désactiver ou d’activer le client en définissant la clé de Registre suivante :
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD

Données Descriptif
0x0 Les utilisateurs non privilégiés de l’appareil Windows peuvent désactiver et activer le client.
0x1 Les utilisateurs non privilégiés de l’appareil Windows ne sont pas autorisés à désactiver et activer le client. Une invite UAC (Contrôle de compte d’utilisateur) impose l’entrée d’informations d’identification d’administrateur local pour les options de désactivation et d’activation. L’administrateur peut également masquer le bouton de désactivation (consultez Masquer ou afficher les boutons de menu de la barre système).

Désactiver ou activer l’Accès privé dans le client

Cette valeur de Registre contrôle si l’Accès privé est activé ou désactivé pour le client. Si un utilisateur est connecté au réseau de l’entreprise, il peut choisir de contourner l’Accès global sécurisé et d’accéder directement aux applications privées.

Les utilisateurs peuvent désactiver et activer l’Accès privé via le menu de la zone de notification.

Conseil

Cette option est disponible dans le menu uniquement si elle n’est pas masquée (voir Masquer ou afficher les boutons du menu de la barre d’état système) et l’accès privé est activé pour ce locataire.

Les administrateurs peuvent désactiver ou activer l’Accès privé pour l’utilisateur en définissant la clé de Registre :
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Valeur Catégorie Données Descriptif
Accès Privé Désactivé par l'Utilisateur REG_DWORD 0x0 L’Accès privé est activé sur cet appareil. Le trafic réseau vers les applications privées passe par l’Accès global sécurisé.
Accès Privé Désactivé par l'Utilisateur REG_DWORD 0x1 L’Accès privé est désactivé sur cet appareil. Le trafic réseau vers les applications privées est directement acheminé vers le réseau.

Capture d’écran montrant l’Éditeur du Registre avec la clé de Registre IsPrivateAccessDisabledByUser mise en surbrillance.

Si la valeur de Registre n’existe pas, la valeur par défaut est 0x0, l’Accès privé est activé.

Masquer ou afficher les boutons du menu de la zone de notification

L’administrateur peut afficher ou masquer des boutons spécifiques dans le menu de l’icône du client dans la zone de notification. Créez les valeurs dans la clé de Registre suivante :
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Valeur Catégorie Données Comportement par défaut Descriptif
MasquerLeBoutonDéconnexion REG_DWORD 0x0 - affiché 0x1 - masqué caché Configurez ce paramètre pour afficher ou masquer l’action Se déconnecter. Cette option est destinée aux scénarios spécifiques où un utilisateur doit se connecter au client avec un autre compte d’utilisateur Microsoft Entra que celui utilisé pour se connecter à Windows. Remarque : vous devez vous connecter au client avec un compte d’utilisateur appartenant au même tenant (locataire) Microsoft Entra que celui auquel l’appareil est joint. Vous pouvez également utiliser l’action Se déconnecter pour réauthentifier l’utilisateur existant.
MasquerDésactiverBoutonAccèsPrivé REG_DWORD 0x0 - affiché 0x1 - masqué caché Configurez ce paramètre pour afficher ou masquer l’action Désactiver l’Accès privé. Cette option est destinée au scénario lorsque l’appareil est directement connecté au réseau de l’entreprise et que l’utilisateur préfère accéder directement aux applications privées via le réseau au lieu de l’Accès sécurisé global.
CacherDésactiverBouton REG_DWORD 0x0 - affiché 0x1 - masqué Affiché Configurez ce paramètre pour afficher ou masquer l’action Désactiver. Quand l’action est visible, l’utilisateur peut désactiver le client Accès global sécurisé. Le client reste désactivé jusqu’à ce que l’utilisateur le réactive. Si l’action Désactiver est masquée, un utilisateur non privilégié ne peut pas désactiver le client.

Capture d’écran montrant l’Éditeur du Registre avec les clés de Registre HideSignOutButton et HideDisablePrivateAccessButton mises en surbrillance.

Pour plus d’informations, consultez Instructions relatives à la configuration d’IPv6 dans Windows pour les utilisateurs avancés.