Globális biztonságos hozzáférésű ügyfél Windowshoz
Megtudhatja, hogyan telepítheti a Global Secure Access-ügyfelet a Windowshoz.
Előfeltételek
- A Global Secure Access-ügyfél a Windows 11 vagy a Windows 10 64 bites verzióiban támogatott.
- Az Azure Virtual Desktop egyszeri munkamenete támogatott.
- Az Azure Virtual Desktop több munkamenete nem támogatott.
- A Windows 365 támogatott.
- Az eszközöknek Microsoft Entra vagy Microsoft Entra hibrid csatlakoztatásúaknak kell lenniük.
- A Microsoft Entra regisztrált eszközök nem támogatottak.
- A telepítéshez helyi rendszergazdai hitelesítő adatok szükségesek.
- A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.
Ismert korlátozások
- Ugyanazon az eszközön több felhasználói munkamenet, például távoli asztali kiszolgálóról (RDP) származó munkamenetek nem támogatottak.
- A kötött portált használó hálózatok, például néhány vendég vezeték nélküli hálózati megoldás, az ügyfélkapcsolat meghiúsulását okozhatják. Áthidaló megoldásként szüneteltetheti a Global Secure Access-ügyfelet.
- Azok a virtuális gépek, amelyeken a gazdagép és a vendég operációs rendszer is rendelkezik a Global Secure Access ügyfélprogramtal, nem támogatottak. A telepített ügyféllel rendelkező egyes virtuális gépek támogatottak.
- A szolgáltatás áthalad a forgalomon , ha a globális biztonságos hozzáférésű ügyfél nem tud csatlakozni a szolgáltatáshoz (például engedélyezési vagy feltételes hozzáférési hiba miatt). A forgalom a letiltás helyett közvetlenül és helyien lesz elküldve. Ebben a forgatókönyvben létrehozhat egy feltételes hozzáférési szabályzatot a megfelelő hálózatellenőrzéshez, amely letiltja a forgalmat, ha az ügyfél nem tud csatlakozni a szolgáltatáshoz.
- Az ARM64-architektúrán futó Global Secure Access-ügyfél még nem támogatott. Az ARM64 azonban szerepel az ütemtervben.
A használatban lévő forgalomtovábbítási profilon alapuló számos egyéb korlátozás is van:
Forgalomtovábbítási profil | Korlátozás |
---|---|
Microsoft forgalmi profil | Az IPv6-forgalom bújtatása jelenleg nem támogatott. |
Microsoft forgalmi profil és privát hozzáférés | A teljes tartománynevek (a továbbítási profilban ) szabályai alapján történő hálózati forgalom bújtatásához le kell tiltani a tartománynévrendszert (DNS) HTTPS-en (biztonságos DNS-en) keresztül. |
Microsoft - és privát hozzáférés | Ha a végfelhasználói eszköz proxykiszolgáló használatára van konfigurálva, azokat a helyeket, amelyeket a Global Secure Access-ügyfél használatával szeretne alagútba ágyazni, ki kell zárni a konfigurációból. Példák: Proxykonfigurációs példa. |
Privát hozzáférés | Az egycímkés tartományok, például https://contosohome a magánalkalmazások esetében nem támogatottak. Ehelyett használjon teljes tartománynevet (FQDN), például https://contosohome.contoso.com . A rendszergazdák dönthetnek úgy is, hogy hozzáfűzik a DNS-utótagokat a Windowson keresztül. |
Az ügyfél letöltése
A Global Secure Access-ügyfél legújabb verziója letölthető a Microsoft Entra felügyeleti központból.
Jelentkezzen be a Microsoft Entra felügyeleti központba globális biztonságos hozzáférésű rendszergazdaként.
Tallózással keresse meg a Global Secure Access>Connect-ügyfél>letöltését.
Válassza a Letöltési ügyfél lehetőséget.
Az ügyfél telepítése
A szervezetek interaktívan, csendesen telepíthetik az ügyfelet a /quiet
kapcsolóval, vagy mobileszköz-felügyeleti platformokat, például a Microsoft Intune-t használhatják az eszközeiken való üzembe helyezéshez.
Másolja a Global Secure Access ügyfélbeállítási fájlját az ügyfélszámítógépre.
Futtassa a GlobalSecureAccessClient.exe telepítőfájlt. Fogadja el a szoftverlicenc feltételeit.
Az ügyfél telepítve van, és a rendszer kéri a felhasználókat, hogy jelentkezzenek be a Microsoft Entra hitelesítő adataikkal.
A felhasználók bejelentkeznek, és a kapcsolat ikonja zöldre változik. A kapcsolatikonra duplán kattintva megnyílik egy értesítés, amelyen az ügyfél adatai egy csatlakoztatott állapotot mutatnak.
Hibaelhárítás
A Global Secure Access-ügyfél hibaelhárításához kattintson a jobb gombbal az ügyfél ikonra a tálcán.
- Bejelentkezés más felhasználóként
- Kényszeríti a bejelentkezési képernyőt a felhasználó módosítására vagy a meglévő felhasználó újbóli hitelesítésére.
- Szünet
- Ezzel a beállítással ideiglenesen letilthatja a forgalom bújtatását. Mivel ez az ügyfél a szervezet biztonsági helyzetének része, javasoljuk, hogy hagyja mindig futni.
- Ez a beállítás leállítja az ügyfélhez kapcsolódó Windows-szolgáltatásokat. A szolgáltatások leállítása után a forgalom már nem bújtatható az ügyfélszámítógépről a felhőszolgáltatásba. A hálózati forgalom úgy viselkedik, mintha az ügyfél nincs telepítve az ügyfél szüneteltetése alatt. Ha az ügyfélszámítógép újraindul, a szolgáltatások automatikusan újraindulnak vele.
- Folytatás
- Ez a beállítás elindítja a globális biztonságos hozzáférési ügyfélhez kapcsolódó mögöttes szolgáltatásokat. Ezzel a beállítással folytathatja a munkát, miután ideiglenesen szüneteltette az ügyfelet hibaelhárítás céljából. A forgalom újraindul az ügyfélről a felhőszolgáltatásba való bújtatásra.
- Újraindítás
- Ez a beállítás leállítja és elindítja az ügyfélhez kapcsolódó Windows-szolgáltatásokat.
- Naplók gyűjtése
- Gyűjtsön naplókat a támogatáshoz és a további hibaelhárításhoz. Ezeket a naplókat a rendszer alapértelmezés szerint összegyűjti és tárolja
C:\Program Files\Global Secure Access Client\Logs
.- Ezek a naplók tartalmazzák az ügyfélszámítógép adatait, a szolgáltatások kapcsolódó eseménynaplóit és a beállításjegyzék értékeit, beleértve az alkalmazott forgalomtovábbítási profilokat.
- Gyűjtsön naplókat a támogatáshoz és a további hibaelhárításhoz. Ezeket a naplókat a rendszer alapértelmezés szerint összegyűjti és tárolja
- Ügyfél-ellenőrző
- Szkriptet futtat az ügyfél összetevőinek teszteléséhez, biztosítva, hogy az ügyfél konfigurálva legyen, és a várt módon működjön.
- A Kapcsolatdiagnosztika élőben jeleníti meg az ügyfél állapotát és az ügyfél által a Global Secure Access szolgáltatáshoz bújtatott kapcsolatokat
- Az Összefoglalás lapon általános információk láthatók az ügyfélkonfigurációról, többek között a használt szabályzatverzióról, a legutóbbi szabályzatfrissítés dátumáról és időpontjáról, valamint annak a bérlőnek az azonosítójáról, akivel az ügyfél konfigurálva van.
- A gazdagépnév-beszerzés állapota zöldre változik, ha az FQDN által beszerzett új forgalmat sikeresen alagútba adják a forgalomtovábbítási profilban lévő cél teljes tartománynév egyezése alapján.
- A folyamatok a végfelhasználói eszköz által kezdeményezett és az ügyfél által a Global Secure Access élére bújtatott kapcsolatok élő listáját jelenítik meg. Minden kapcsolat új sor.
- Az időbélyeg a kapcsolat első létrehozásának időpontja.
- A kapcsolat célhelyének teljes tartományneve (FQDN). Ha a kapcsolat bújtatására vonatkozó döntés a továbbítási házirend egyik IP-szabálya alapján történt, nem teljes tartománynév-szabály alapján, akkor a teljes tartománynév oszlopban az N/A látható.
- A kapcsolat végfelhasználói eszközének forrásportja .
- A cél IP-címe a kapcsolat célja.
- Jelenleg csak a TCP protokoll támogatott.
- A kapcsolatot kezdeményező folyamat neve.
- A Flow active állapotot biztosít arról, hogy a kapcsolat továbbra is nyitva van-e.
- Az elküldött adatok a végfelhasználói eszköz által a kapcsolaton keresztül küldött bájtok számát biztosítják.
- A fogadott adatok a végfelhasználói eszköz által a kapcsolaton keresztül fogadott bájtok számát biztosítják.
- A korrelációs azonosító minden, az ügyfél által alagútba bújtatott kapcsolathoz meg van adva. Ez az azonosító lehetővé teszi a kapcsolat nyomon követését az ügyfélnaplókban. Az ügyfélnaplók eseménynaplóból, eseménykövetésből (ETL) és globális biztonságos hozzáférésű forgalmi naplókból (előzetes verzió) állnak.
- A folyamatazonosító az ETL-fájlban látható ügyfél által használt kapcsolat belső azonosítója.
- A csatorna neve azonosítja azt a forgalomtovábbítási profilt, amelyhez a kapcsolat alagútba van ásva. Ez a döntés a továbbítási profil szabályainak megfelelően történik.
- A HostNameAcquisition azoknak a gazdagépneveknek a listáját tartalmazza, amelyeket az ügyfél a továbbítási profil FQDN-szabályai alapján szerzett be. Minden állomásnév egy új sorban jelenik meg. Ugyanannak a gazdagépnek a jövőbeli beszerzése egy másik sort hoz létre, ha a DNS egy másik IP-címre oldja fel a gazdagépnevet (FQDN).
- Az időbélyeg a kapcsolat első létrehozásának időpontja.
- A feloldott teljes tartománynév .
- A generált IP-cím az ügyfél által belső célokra létrehozott IP-cím. Ez az IP-cím a folyamatok lapon jelenik meg a relatív teljes tartománynévvel létesített kapcsolatok esetében.
- Az eredeti IP-cím az első IPv4-cím a DNS-válaszban a teljes tartománynév lekérdezésekor. Ha az a DNS-kiszolgáló, amelyre a végfelhasználói eszköz mutat, nem ad vissza IPv4-címet a lekérdezéshez, az eredeti IP-cím jelenik meg
0.0.0.0
.
- A szolgáltatások a Globális biztonságos hozzáférési ügyfélhez kapcsolódó Windows-szolgáltatások állapotát jelenítik meg. Az elindított szolgáltatások zöld állapotikonnal rendelkeznek, a leállított szolgáltatások piros állapotikont jelennek meg. Mindhárom Windows-szolgáltatást el kell indítani ahhoz, hogy az ügyfél működjön.
- A csatornák felsorolják az ügyfélhez rendelt forgalomtovábbítási profilokat és a globális biztonságos hozzáférés peremhálózatához való csatlakozás állapotát.
- Az Összefoglalás lapon általános információk láthatók az ügyfélkonfigurációról, többek között a használt szabályzatverzióról, a legutóbbi szabályzatfrissítés dátumáról és időpontjáról, valamint annak a bérlőnek az azonosítójáról, akivel az ügyfél konfigurálva van.
Eseménynaplók
A Global Secure Access-ügyfélhez kapcsolódó eseménynaplók a Eseménynapló alatt Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational
találhatók. Ezek az események hasznos információkat nyújtanak az ügyfél által létrehozott állapotról, szabályzatokról és kapcsolatokról.
Az IPv6 letiltása és a DNS védelme
Ha segítségre van szüksége az IPv6 letiltásához vagy a DNS biztonságossá tételéhez Windows-eszközökön, az alábbi szkript nyújt segítséget.
function CreateIfNotExists
{
param($Path)
if (-NOT (Test-Path $Path))
{
New-Item -Path $Path -Force | Out-Null
}
}
$disableBuiltInDNS = 0x00
# Prefer IPv4 over IPv6 with 0x20, disable IPv6 with 0xff, revert to default with 0x00.
# This change takes effect after reboot.
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value
# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS
# For the Google Chrome browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS
Példa proxykonfigurációra
Kizárásokat tartalmazó példa proxy PAC-fájl:
function FindProxyForURL(url, host) { // basic function; do not change
if (isPlainHostName(host) ||
dnsDomainIs(host, ".contoso.com") || //tunneled
dnsDomainIs(host, ".fabrikam.com")) // tunneled
return "DIRECT"; // If true, sets "DIRECT" connection
else // for all other destinations
return "PROXY 10.1.0.10:8080"; // transfer the traffic to the proxy.
}
A szervezeteknek ezután létre kell hozniuk egy olyan, a proxykiszolgáló végfelhasználói gépeken konfigurálásához hasonló http://10.1.0.10:8080
értékkel ellátott grpc_proxy
rendszerváltozót, amely lehetővé teszi, hogy a Global Secure Access ügyfélszolgáltatások az alábbiak konfigurálásával használják a proxyt.
Használati Feltételek
A Microsoft Entra privát hozzáférés és Microsoft Entra internet-hozzáférés előzetes verziójú szolgáltatások és szolgáltatások használatára az előzetes verziójú online szolgáltatási feltételek vonatkoznak, amelyek alapján a szolgáltatásokat beszerezte. Az előzetes verziókra kisebb vagy eltérő biztonsági, megfelelőségi és adatvédelmi kötelezettségvállalások vonatkozhatnak, amint azt az online szolgáltatásokra vonatkozó általános licencfeltételek, valamint a Microsoft Termékek és szolgáltatások adatvédelmi bővítménye ("DPA") és az előzetes verzióval kapcsolatos egyéb közlemények is ismertetik.
Következő lépések
A Microsoft Entra internet-hozzáférés használatának első lépéseinek következő lépése az univerzális bérlői korlátozások engedélyezése.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: