Megosztás a következőn keresztül:

Globális biztonságos hozzáférésű ügyfél Windowshoz

  • Cikk

Megtudhatja, hogyan telepítheti a Global Secure Access-ügyfelet a Windowshoz.

Előfeltételek

  • A Global Secure Access-ügyfél a Windows 11 vagy a Windows 10 64 bites verzióiban támogatott.
    • Az Azure Virtual Desktop egyszeri munkamenete támogatott.
    • Az Azure Virtual Desktop több munkamenete nem támogatott.
    • A Windows 365 támogatott.
  • Az eszközöknek Microsoft Entra vagy Microsoft Entra hibrid csatlakoztatásúaknak kell lenniük.
    • A Microsoft Entra regisztrált eszközök nem támogatottak.
  • A telepítéshez helyi rendszergazdai hitelesítő adatok szükségesek.
  • A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.

Ismert korlátozások

  • Ugyanazon az eszközön több felhasználói munkamenet, például távoli asztali kiszolgálóról (RDP) származó munkamenetek nem támogatottak.
  • A kötött portált használó hálózatok, például néhány vendég vezeték nélküli hálózati megoldás, az ügyfélkapcsolat meghiúsulását okozhatják. Áthidaló megoldásként szüneteltetheti a Global Secure Access-ügyfelet.
  • Azok a virtuális gépek, amelyeken a gazdagép és a vendég operációs rendszer is rendelkezik a Global Secure Access ügyfélprogramtal, nem támogatottak. A telepített ügyféllel rendelkező egyes virtuális gépek támogatottak.
  • A szolgáltatás áthalad a forgalomon , ha a globális biztonságos hozzáférésű ügyfél nem tud csatlakozni a szolgáltatáshoz (például engedélyezési vagy feltételes hozzáférési hiba miatt). A forgalom a letiltás helyett közvetlenül és helyien lesz elküldve. Ebben a forgatókönyvben létrehozhat egy feltételes hozzáférési szabályzatot a megfelelő hálózatellenőrzéshez, amely letiltja a forgalmat, ha az ügyfél nem tud csatlakozni a szolgáltatáshoz.
  • Az ARM64-architektúrán futó Global Secure Access-ügyfél még nem támogatott. Az ARM64 azonban szerepel az ütemtervben.

A használatban lévő forgalomtovábbítási profilon alapuló számos egyéb korlátozás is van:

Forgalomtovábbítási profil Korlátozás
Microsoft forgalmi profil Az IPv6-forgalom bújtatása jelenleg nem támogatott.
Microsoft forgalmi profil és privát hozzáférés A teljes tartománynevek (a továbbítási profilban ) szabályai alapján történő hálózati forgalom bújtatásához le kell tiltani a tartománynévrendszert (DNS) HTTPS-en (biztonságos DNS-en) keresztül.
Microsoft - és privát hozzáférés Ha a végfelhasználói eszköz proxykiszolgáló használatára van konfigurálva, azokat a helyeket, amelyeket a Global Secure Access-ügyfél használatával szeretne alagútba ágyazni, ki kell zárni a konfigurációból. Példák: Proxykonfigurációs példa.
Privát hozzáférés Az egycímkés tartományok, például https://contosohome a magánalkalmazások esetében nem támogatottak. Ehelyett használjon teljes tartománynevet (FQDN), például https://contosohome.contoso.com. A rendszergazdák dönthetnek úgy is, hogy hozzáfűzik a DNS-utótagokat a Windowson keresztül.

Az ügyfél letöltése

A Global Secure Access-ügyfél legújabb verziója letölthető a Microsoft Entra felügyeleti központból.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális biztonságos hozzáférésű rendszergazdaként.

  2. Tallózással keresse meg a Global Secure Access>Connect-ügyfél>letöltését.

  3. Válassza a Letöltési ügyfél lehetőséget.

    Képernyőkép a Windows-ügyfél letöltési gombjáról.

Az ügyfél telepítése

A szervezetek interaktívan, csendesen telepíthetik az ügyfelet a /quiet kapcsolóval, vagy mobileszköz-felügyeleti platformokat, például a Microsoft Intune-t használhatják az eszközeiken való üzembe helyezéshez.

  1. Másolja a Global Secure Access ügyfélbeállítási fájlját az ügyfélszámítógépre.

  2. Futtassa a GlobalSecureAccessClient.exe telepítőfájlt. Fogadja el a szoftverlicenc feltételeit.

  3. Az ügyfél telepítve van, és a rendszer kéri a felhasználókat, hogy jelentkezzenek be a Microsoft Entra hitelesítő adataikkal.

    Az ügyfél telepítése után megjelenik a bejelentkezési mező képernyőképe.

  4. A felhasználók bejelentkeznek, és a kapcsolat ikonja zöldre változik. A kapcsolatikonra duplán kattintva megnyílik egy értesítés, amelyen az ügyfél adatai egy csatlakoztatott állapotot mutatnak.

    Képernyőkép arról, hogy az ügyfél csatlakoztatva van.

Hibaelhárítás

A Global Secure Access-ügyfél hibaelhárításához kattintson a jobb gombbal az ügyfél ikonra a tálcán.

Képernyőkép a Global Secure Access-ügyfél helyi menüjéről.

  • Bejelentkezés más felhasználóként
    • Kényszeríti a bejelentkezési képernyőt a felhasználó módosítására vagy a meglévő felhasználó újbóli hitelesítésére.
  • Szünet
    • Ezzel a beállítással ideiglenesen letilthatja a forgalom bújtatását. Mivel ez az ügyfél a szervezet biztonsági helyzetének része, javasoljuk, hogy hagyja mindig futni.
    • Ez a beállítás leállítja az ügyfélhez kapcsolódó Windows-szolgáltatásokat. A szolgáltatások leállítása után a forgalom már nem bújtatható az ügyfélszámítógépről a felhőszolgáltatásba. A hálózati forgalom úgy viselkedik, mintha az ügyfél nincs telepítve az ügyfél szüneteltetése alatt. Ha az ügyfélszámítógép újraindul, a szolgáltatások automatikusan újraindulnak vele.
  • Folytatás
    • Ez a beállítás elindítja a globális biztonságos hozzáférési ügyfélhez kapcsolódó mögöttes szolgáltatásokat. Ezzel a beállítással folytathatja a munkát, miután ideiglenesen szüneteltette az ügyfelet hibaelhárítás céljából. A forgalom újraindul az ügyfélről a felhőszolgáltatásba való bújtatásra.
  • Újraindítás
    • Ez a beállítás leállítja és elindítja az ügyfélhez kapcsolódó Windows-szolgáltatásokat.
  • Naplók gyűjtése
    • Gyűjtsön naplókat a támogatáshoz és a további hibaelhárításhoz. Ezeket a naplókat a rendszer alapértelmezés szerint összegyűjti és tárolja C:\Program Files\Global Secure Access Client\Logs .
      • Ezek a naplók tartalmazzák az ügyfélszámítógép adatait, a szolgáltatások kapcsolódó eseménynaplóit és a beállításjegyzék értékeit, beleértve az alkalmazott forgalomtovábbítási profilokat.
  • Ügyfél-ellenőrző
    • Szkriptet futtat az ügyfél összetevőinek teszteléséhez, biztosítva, hogy az ügyfél konfigurálva legyen, és a várt módon működjön.
  • A Kapcsolatdiagnosztika élőben jeleníti meg az ügyfél állapotát és az ügyfél által a Global Secure Access szolgáltatáshoz bújtatott kapcsolatokat
    • Az Összefoglalás lapon általános információk láthatók az ügyfélkonfigurációról, többek között a használt szabályzatverzióról, a legutóbbi szabályzatfrissítés dátumáról és időpontjáról, valamint annak a bérlőnek az azonosítójáról, akivel az ügyfél konfigurálva van.
      • A gazdagépnév-beszerzés állapota zöldre változik, ha az FQDN által beszerzett új forgalmat sikeresen alagútba adják a forgalomtovábbítási profilban lévő cél teljes tartománynév egyezése alapján.
    • A folyamatok a végfelhasználói eszköz által kezdeményezett és az ügyfél által a Global Secure Access élére bújtatott kapcsolatok élő listáját jelenítik meg. Minden kapcsolat új sor.
      • Az időbélyeg a kapcsolat első létrehozásának időpontja.
      • A kapcsolat célhelyének teljes tartományneve (FQDN). Ha a kapcsolat bújtatására vonatkozó döntés a továbbítási házirend egyik IP-szabálya alapján történt, nem teljes tartománynév-szabály alapján, akkor a teljes tartománynév oszlopban az N/A látható.
      • A kapcsolat végfelhasználói eszközének forrásportja .
      • A cél IP-címe a kapcsolat célja.
      • Jelenleg csak a TCP protokoll támogatott.
      • A kapcsolatot kezdeményező folyamat neve.
      • A Flow active állapotot biztosít arról, hogy a kapcsolat továbbra is nyitva van-e.
      • Az elküldött adatok a végfelhasználói eszköz által a kapcsolaton keresztül küldött bájtok számát biztosítják.
      • A fogadott adatok a végfelhasználói eszköz által a kapcsolaton keresztül fogadott bájtok számát biztosítják.
      • A korrelációs azonosító minden, az ügyfél által alagútba bújtatott kapcsolathoz meg van adva. Ez az azonosító lehetővé teszi a kapcsolat nyomon követését az ügyfélnaplókban. Az ügyfélnaplók eseménynaplóból, eseménykövetésből (ETL) és globális biztonságos hozzáférésű forgalmi naplókból (előzetes verzió) állnak.
      • A folyamatazonosító az ETL-fájlban látható ügyfél által használt kapcsolat belső azonosítója.
      • A csatorna neve azonosítja azt a forgalomtovábbítási profilt, amelyhez a kapcsolat alagútba van ásva. Ez a döntés a továbbítási profil szabályainak megfelelően történik.
    • A HostNameAcquisition azoknak a gazdagépneveknek a listáját tartalmazza, amelyeket az ügyfél a továbbítási profil FQDN-szabályai alapján szerzett be. Minden állomásnév egy új sorban jelenik meg. Ugyanannak a gazdagépnek a jövőbeli beszerzése egy másik sort hoz létre, ha a DNS egy másik IP-címre oldja fel a gazdagépnevet (FQDN).
      • Az időbélyeg a kapcsolat első létrehozásának időpontja.
      • A feloldott teljes tartománynév .
      • A generált IP-cím az ügyfél által belső célokra létrehozott IP-cím. Ez az IP-cím a folyamatok lapon jelenik meg a relatív teljes tartománynévvel létesített kapcsolatok esetében.
      • Az eredeti IP-cím az első IPv4-cím a DNS-válaszban a teljes tartománynév lekérdezésekor. Ha az a DNS-kiszolgáló, amelyre a végfelhasználói eszköz mutat, nem ad vissza IPv4-címet a lekérdezéshez, az eredeti IP-cím jelenik meg 0.0.0.0.
    • A szolgáltatások a Globális biztonságos hozzáférési ügyfélhez kapcsolódó Windows-szolgáltatások állapotát jelenítik meg. Az elindított szolgáltatások zöld állapotikonnal rendelkeznek, a leállított szolgáltatások piros állapotikont jelennek meg. Mindhárom Windows-szolgáltatást el kell indítani ahhoz, hogy az ügyfél működjön.
    • A csatornák felsorolják az ügyfélhez rendelt forgalomtovábbítási profilokat és a globális biztonságos hozzáférés peremhálózatához való csatlakozás állapotát.

Eseménynaplók

A Global Secure Access-ügyfélhez kapcsolódó eseménynaplók a Eseménynapló alatt Applications and Services/Microsoft/Windows/Global Secure Access Client/Operationaltalálhatók. Ezek az események hasznos információkat nyújtanak az ügyfél által létrehozott állapotról, szabályzatokról és kapcsolatokról.

Az IPv6 letiltása és a DNS védelme

Ha segítségre van szüksége az IPv6 letiltásához vagy a DNS biztonságossá tételéhez Windows-eszközökön, az alábbi szkript nyújt segítséget.

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

Példa proxykonfigurációra

Kizárásokat tartalmazó példa proxy PAC-fájl:

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||
      dnsDomainIs(host, ".contoso.com") || //tunneled
      dnsDomainIs(host, ".fabrikam.com"))  // tunneled
      return "DIRECT";                     // If true, sets "DIRECT" connection
      else                                 // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

A szervezeteknek ezután létre kell hozniuk egy olyan, a proxykiszolgáló végfelhasználói gépeken konfigurálásához hasonló http://10.1.0.10:8080 értékkel ellátott grpc_proxy rendszerváltozót, amely lehetővé teszi, hogy a Global Secure Access ügyfélszolgáltatások az alábbiak konfigurálásával használják a proxyt.

Használati Feltételek

A Microsoft Entra privát hozzáférés és Microsoft Entra internet-hozzáférés előzetes verziójú szolgáltatások és szolgáltatások használatára az előzetes verziójú online szolgáltatási feltételek vonatkoznak, amelyek alapján a szolgáltatásokat beszerezte. Az előzetes verziókra kisebb vagy eltérő biztonsági, megfelelőségi és adatvédelmi kötelezettségvállalások vonatkozhatnak, amint azt az online szolgáltatásokra vonatkozó általános licencfeltételek, valamint a Microsoft Termékek és szolgáltatások adatvédelmi bővítménye ("DPA") és az előzetes verzióval kapcsolatos egyéb közlemények is ismertetik.

Következő lépések

A Microsoft Entra internet-hozzáférés használatának első lépéseinek következő lépése az univerzális bérlői korlátozások engedélyezése.