Bagikan melalui

Menginstal klien Akses Aman Global untuk Microsoft Windows

Klien Akses Aman Global adalah bagian penting dari Akses Aman Global. Ini membantu organisasi mengelola dan mengamankan lalu lintas jaringan di perangkat pengguna akhir. Klien merutekan lalu lintas yang perlu diamankan oleh Akses Aman Global ke layanan cloud. Semua lalu lintas lainnya langsung masuk ke jaringan. Profil Penerusan yang Anda siapkan di portal menentukan lalu lintas mana yang akan dirutekan oleh klien Akses Aman Global ke layanan cloud.

Catatan

Klien Akses Aman Global juga tersedia untuk macOS, Android, dan iOS. Untuk mempelajari cara menginstal klien Akses Aman Global di platform ini, lihat klien Akses Aman Global untukmacOS , klien Akses Aman Global untuk Android, dan klien Akses Aman Global untuk iOS.

Artikel ini menjelaskan cara mengunduh dan menginstal klien Akses Aman Global untuk Windows.

Prasyarat

  • Pengguna Microsoft Entra didaftarkan ke Akses Global Aman.
  • Perangkat yang bergabung atau terdaftar (pratinjau) di penyewa yang telah diintegrasikan:
    • Perangkat harus tergabung dengan Microsoft Entra, tergabung hibrida Microsoft Entra, atau terdaftar Microsoft Entra. Untuk mempelajari selengkapnya, lihat Gambaran umum klien Akses Aman Global.
    • Jika perangkat tidak bergabung atau terdaftar, klien Akses Aman Global mendaftarkannya ke penyewa saat pengguna masuk.
    • Jika perangkat tidak tergabung dan memiliki beberapa pendaftaran, masuklah dengan pengguna Microsoft Entra pada penyewa yang harus dihubungkan oleh Akses Aman Global.
    • Di perangkat terdaftar Microsoft Entra, hanya lalu lintas Akses Privat yang didukung.
  • Klien Akses Aman Global memerlukan Windows 10 versi 64-bit (LTSC 2021 atau yang lebih baru), Windows 11, atau Windows 11 versi Arm64.
    • Sesi tunggal Azure Virtual Desktop didukung.
    • Azure Virtual Desktop multi-sesi tidak didukung.
    • Windows 365 didukung.
    • Windows pada perangkat Arm (seperti Surface Pro dan Surface Laptop dengan prosesor Snapdragon) memerlukan alat penginstal klien terpisah, tersedia di https://aka.ms/GlobalSecureAccess-WindowsOnArm. Jangan gunakan alat penginstal x64 standar pada perangkat Arm64.
  • Anda memerlukan kredensial admin lokal untuk menginstal atau memutakhirkan klien Akses Aman Global.
  • Klien Akses Aman Global memerlukan lisensi. Untuk detailnya, lihat bagian lisensi dari Apa itu Akses Aman Global. Jika diperlukan, Anda dapat membeli lisensi atau mendapatkan lisensi uji coba.

Mengunduh klien

Versi terbaru klien Akses Aman Global tersedia untuk diunduh dari pusat admin Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Akses Aman Global.

  2. Telusuri ke Global Secure Access>Connect> dan unduh Client.

  3. Pilih Unduh Klien.

    Cuplikan layar unduhan Klien dengan tombol Unduh Klien disorot.

Menginstal klien Akses Aman Global

Penginstalan otomatis

Organisasi dapat menginstal klien Akses Aman Global dengan cara diam-diam menggunakan sakelar /quiet, atau menggunakan solusi Mobile Device Management (MDM), seperti Microsoft Intune, untuk menyebarkan klien ke perangkat mereka.

Menggunakan Microsoft Intune untuk menyebarkan klien Akses Aman Global

Bagian ini menjelaskan cara menggunakan Intune untuk menginstal klien Akses Aman Global pada perangkat klien Windows 11.

Prasyarat

  • Sebuah grup keamanan yang berisi perangkat atau pengguna untuk menentukan lokasi pemasangan klien Akses Aman Global.

Menyiapkan paket untuk klien

Kemas skrip penginstalan ke dalam .intunewin file.

  1. Simpan skrip PowerShell berikut ke perangkat Anda. Letakkan skrip PowerShell dan alat penginstal Akses .exe Aman Global ke dalam folder.

    Catatan

    Nama file .exe harus GlobalSecureAccessClient.exe agar skrip penginstalan PowerShell berfungsi dengan baik. Jika Anda mengubah nama .exe file menjadi yang lain, Anda juga harus mengubah $installerPath di skrip PowerShell.

    Catatan

    Skrip penginstalan PowerShell menginstal klien Akses Aman Global, mengatur kunci registri IPv4Preferred agar lebih memilih IPv4 daripada lalu lintas IPv6, dan meminta reboot agar perubahan kunci registri diterapkan.

    # Create log directory and log helper
$logFile = "$env:ProgramData\GSAInstall\install.log"
New-Item -ItemType Directory -Path (Split-Path $logFile) -Force | Out-Null

function Write-Log {
    param([string]$message)
    $timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
    Add-Content -Path $logFile -Value "$timestamp - $message"
}

try {
    $ErrorActionPreference = 'Stop'
    Write-Log "Starting Global Secure Access client installation."

    # IPv4 preferred via DisabledComponents registry value
    $ipv4RegPath    = "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters"
    $ipv4RegName    = "DisabledComponents"
    $ipv4RegValue   = 0x20  # Prefer IPv4 over IPv6
    $rebootRequired = $false

    # Ensure the key exists
    if (-not (Test-Path $ipv4RegPath)) {
        New-Item -Path $ipv4RegPath -Force | Out-Null
        Write-Log "Created registry key: $ipv4RegPath"
    }

    # Get current value if present
    $existingValue = $null
    $valueExists = $false
    try {
        $existingValue = Get-ItemPropertyValue -Path $ipv4RegPath -Name $ipv4RegName -ErrorAction Stop
        $valueExists = $true
    } catch {
        $valueExists = $false
    }

    # Determine if we must change it
    $expected = [int]$ipv4RegValue
    $needsChange = -not $valueExists -or ([int]$existingValue -ne $expected)

    if ($needsChange) {
        if (-not $valueExists) {
            # Create as DWORD when missing
            New-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -PropertyType DWord -Value $expected -Force | Out-Null
            Write-Log ("IPv4Preferred value missing. Created '{0}' with value 0x{1} (dec {2})." -f $ipv4RegName, ([Convert]::ToString($expected,16)), $expected)
        } else {
            # Update if different
            Set-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -Value $expected
            Write-Log ("IPv4Preferred value differed. Updated '{0}' from 0x{1} (dec {2}) to 0x{3} (dec {4})." -f `
                $ipv4RegName, ([Convert]::ToString([int]$existingValue,16)), [int]$existingValue, ([Convert]::ToString($expected,16)), $expected)
        }
        $rebootRequired = $true
    } else {
        Write-Log ("IPv4Preferred already set correctly: {0}=0x{1} (dec {2}). No change." -f `
            $ipv4RegName, ([Convert]::ToString($expected,16)), $expected)
    }

    # Resolve installer path
    $ScriptRoot = if ($PSScriptRoot) { $PSScriptRoot } else { Split-Path -Parent $MyInvocation.MyCommand.Path }
    $installerPath = Join-Path -Path $ScriptRoot -ChildPath "GlobalSecureAccessClient.exe"
    Write-Log "Running installer from $installerPath"

    if (Test-Path $installerPath) {
        $installProcess = Start-Process -FilePath $installerPath -ArgumentList "/quiet" -Wait -PassThru

        if ($installProcess.ExitCode -eq 1618) {
            Write-Log "Another installation is in progress. Exiting with code 1618."
            exit 1618
        } elseif ($installProcess.ExitCode -ne 0) {
            Write-Log "Installer exited with code $($installProcess.ExitCode)."
            exit $installProcess.ExitCode
        }

        Write-Log "Installer completed successfully."
    } else {
        Write-Log "Installer not found at $installerPath"
        exit 1
    }

    if ($rebootRequired) {
        Write-Log "Reboot required due to registry value creation or update."
        exit 3010  # Soft reboot required
    } else {
        Write-Log "Installation complete. No reboot required."
        exit 0
    }
}
catch {
    Write-Log "Fatal error: $_"
    exit 1603
}

  2. Akses Alat Persiapan Konten Microsoft Win32. Pilih IntuneWinAppUtil.exe.

    Cuplikan layar pemilihan file alat persiapan penginstalan.

  3. Di sudut kanan atas, pilih Tindakan file lainnya lalu pilih Unduh.

    Cuplikan layar menu Tindakan file lainnya untuk memilih Unduh.

  4. Arahkan ke IntuneWinAppUtil.exe dan jalankan. Prompt perintah muncul.

  5. Masukkan lokasi jalur folder file Akses .exe Aman Global. Pilih Masukkan.

  6. Masukkan nama file penginstalan .ps1 Akses Aman Global. Pilih Masukkan.

  7. Masukkan jalur folder untuk menempatkan .intunewin file. Pilih Masukkan.

  8. Masukkan N. Pilih Enter.

    Cuplikan layar baris perintah untuk menginstal klien.

File .intunewin siap bagi Anda untuk menyebarkan Microsoft Intune.

Menyebarkan klien Akses Aman Global dengan Intune

Untuk panduan mendetail, lihat Menambahkan dan menetapkan aplikasi Win32 ke Microsoft Intune.

  1. Pindah ke https://intune.microsoft.com.

  2. Pilih Tambahkan Aplikasi>Semua aplikasi>.

  3. Pada Pilih jenis aplikasi, di bawah Jenis aplikasi lain , pilih Aplikasi Windows (Win32).

  4. Pilih Pilih. Langkah Tambahkan aplikasi muncul.

  5. Pilih Pilih file paket aplikasi.

  6. Pilih ikon folder. Buka file yang .intunewin Anda buat di bagian sebelumnya.

    Cuplikan layar pemilihan file paket Aplikasi.

  7. Pilih OK.

  8. Pada tab Informasi Aplikasi , konfigurasikan bidang ini:

    • Nama: Masukkan nama untuk aplikasi klien.
    • Deskripsi: Masukkan deskripsi.
    • Publisher: Masukkan Microsoft.
    • Versi Aplikasi(opsional): Masukkan versi klien.

  9. Gunakan nilai default di bidang yang tersisa.

    Cuplikan layar Tambahkan Aplikasi untuk menginstal klien.

  10. Pilih Selanjutnya.

  11. Pada tab Program , konfigurasikan bidang ini:

    • Perintah pemasangan: Gunakan nama file asli dari .ps1 untuk powershell.exe -ExecutionPolicy Bypass -File OriginalNameOfFile.ps1.
    • Perintah copot pemasangan: "GlobalSecureAccessClient.exe" /uninstall /quiet /norestart.
    • Izinkan penghapusan instalasi yang tersedia: Pilih Tidak.
    • Perilaku penginstalan: Pilih Sistem.
    • Perilaku hidupkan ulang perangkat: Pilih Tentukan perilaku berdasarkan kode pengembalian.
Mengembalikan kode Jenis kode
0 Keberhasilan
3010 Reset ringan
1618 Coba Ulang

Cuplikan layar Program untuk mengonfigurasi parameter penginstalan.

  1. Pilih Selanjutnya.

  2. Pada tab Persyaratan , konfigurasikan bidang ini:

    • Periksa arsitektur sistem operasi: Pilih Ya. Tentukan sistem tempat aplikasi dapat diinstal..
      • Pilih opsi Instal pada sesuai dengan jenis sistem yang Anda sebarkan.
    • Sistem operasi minimum: Pilih persyaratan minimum Anda.

  3. Biarkan bidang yang tersisa kosong.

    Cuplikan layar Persyaratan untuk mengonfigurasi parameter penginstalan.

Catatan

Perangkat Windows di Arm memiliki klien mereka sendiri, yang tersedia di aka.ms/GlobalSecureAccess-WindowsOnArm.

  1. Pilih Selanjutnya.

  2. Pada tab Aturan deteksi , di bawah Format aturan, pilih Konfigurasikan aturan deteksi secara manual.

  3. Pilih Tambahkan.

  4. Di bawah Jenis aturan, pilih File.

  5. Konfigurasikan bidang-bidang ini:

    • Jalur: Masukkan C:\Program Files\Global Secure Access Client\TrayApp.
    • File atau folder: Ketik GlobalSecureAccessClient.exe.
    • Metode deteksi: Pilih String (versi).
    • Operator: Pilih Lebih besar dari atau sama dengan.
    • Nilai: Masukkan nomor versi klien.
    • Terkait dengan aplikasi 32-bit pada klien 64-bit: Pilih Tidak.

    Cuplikan layar aturan Deteksi untuk klien.

  6. Pilih OK. Pilih Selanjutnya.

  7. Pilih Berikutnya dua kali untuk masuk ke Penugasan.

  8. Di bawah Diperlukan, pilih +Tambahkan grup. Pilih sekelompok pengguna atau perangkat. Pilih Pilih.

  9. Atur Mulai ulang masa tenggang ke Diaktifkan untuk menghindari mengganggu pengguna dengan boot ulang perangkat yang tiba-tiba.

    Cuplikan layar tab Penugasan memperlihatkan grup yang diperlukan dan masa tenggang untuk memulai ulang diaktifkan.

  10. Pilih Selanjutnya. Pilih Buat.

Catatan

Menyebarkan klien Global Secure Access ke komputer virtual mungkin mematikan perintah untuk memulai ulang perangkat. Pengguna tidak akan melihat perintah reboot.

Memperbarui klien ke versi yang lebih baru

Untuk memperbarui ke versi klien terbaru, ikuti langkah-langkah Memperbarui aplikasi lini bisnis . Pastikan untuk memperbarui pengaturan berikut selain mengunggah file baru .intunewin :

  • Versi klien
  • Nilai aturan deteksi diatur ke nomor versi klien baru

Dalam lingkungan produksi, ini adalah praktik yang baik untuk menyebarkan versi klien baru dalam pendekatan penyebaran bertahap:

  1. Biarkan aplikasi yang sudah ada tetap seperti semula.
  2. Tambahkan aplikasi baru untuk versi klien baru, ulangi langkah-langkah sebelumnya.
  3. Tetapkan aplikasi baru ke sekelompok kecil pengguna untuk menguji versi klien baru. Tidak apa-apa untuk menyematkan pengguna ini pada aplikasi dengan versi klien lama untuk melakukan upgrade di tempat.
  4. Perlahan tingkatkan keanggotaan grup pilot hingga Anda menyebarkan klien baru ke semua perangkat yang diinginkan.
  5. Hapus aplikasi dengan versi klien lama.

Mengonfigurasi pengaturan klien Akses Aman Global dengan Intune

Administrator dapat menggunakan skrip remediasi di Intune untuk memberlakukan kontrol sisi klien, seperti mencegah pengguna umum menonaktifkan klien atau menyembunyikan tombol tertentu.

Penting

Tetapkan $gsaSettings ke nilai yang diperlukan oleh organisasi Anda dalam skrip deteksi dan remediasi.

Catatan

Pastikan untuk mengonfigurasi skrip ini untuk dijalankan di PowerShell 64-bit.

Cuplikan layar tab Buat pengaturan skrip kustom dengan opsi Jalankan skrip di PowerShell 64-bit diatur ke ya.

Petunjuk / Saran

Pilih untuk memperluas skrip PowerShell.

Skrip deteksi PowerShell

Skrip deteksi

# Check Global Secure Access registry keys 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 

} 

$nonCompliant = $false 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

$currentValue = (Get-ItemProperty -Path $gsaPath -Name $setting.Key -ErrorAction SilentlyContinue).$($setting.Key) 
 
if ($currentValue -ne $setting.Value) { 
 
    Write-Output "Non-compliant: $($setting.Key) is $currentValue, expected $($setting.Value)" 
 
    $nonCompliant = $true 
 
} 
  

} 

if (-not $nonCompliant) { 

Write-Output "Compliant" 
 
exit 0 
  

} else { 

Write-Output "Non-compliant" 
 
exit 1 
 

}
Skrip remediasi PowerShell

Skrip perbaikan

# Ensure Global Secure Access registry keys are present 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 
  

} 

if (-Not (Test-Path $gsaPath)) { 

New-Item -Path $gsaPath -Force | Out-Null 
  

} 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

Set-ItemProperty -Path $gsaPath -Name $setting.Key -Value $setting.Value -Type DWord -Force | Out-Null 
 
Write-Output "Set $($setting.Key) to $($setting.Value)" 
  

}

Mengonfigurasi pengaturan untuk Microsoft Entra Internet Access dengan Intune

Microsoft Entra Internet Access belum mendukung DNS melalui lalu lintas HTTPS atau Quick UDP Internet Connections (QUIC). Untuk mengurangi batasan ini, nonaktifkan protokol ini di browser pengguna. Instruksi berikut memberikan panduan tentang cara menerapkan kontrol ini menggunakan Intune.

Menonaktifkan QUIC di Microsoft Edge dan Chrome dengan Intune

Untuk menonaktifkan QUIC di Microsoft Edge dan Chrome dengan Intune:

  1. Di pusat admin Microsoft Intune, pilih Konfigurasi Perangkat>Kelola perangkat>.

  2. Pada tab Kebijakan , pilih + Buat>+ Kebijakan Baru.

  3. Dalam dialog Buat profil :

    • Atur Platform ke Windows 10 dan yang lebih baru.
    • Atur Jenis profil ke katalog Pengaturan.
    • Pilih Buat. Formulir Buat profil terbuka.

  4. Pada tab Dasar , beri nama dan deskripsi pada profil.

  5. Pilih Selanjutnya.

  6. Pada tab Pengaturan konfigurasi :

    1. Pilih + Tambahkan pengaturan.
    2. Di pemilih Pengaturan, cari "QUIC".
    3. Dari hasil pencarian:
      1. Pilih Microsoft Edge dan pilih pengaturan Perbolehkan protokol QUIC .
      2. Selanjutnya, pilih Google Google Chrome dan pilih pengaturan Izinkan protokol QUIC .
    4. Di pemilih Pengaturan, cari "DNS-over-HTTPS".
    5. Dari hasil pencarian:
      1. Pilih Microsoft Edge dan pilih mode Kontrol pengaturan DNS-over-HTTPS .
      2. Selanjutnya, pilih Google Google Chrome dan pilih mode Kontrol pengaturan DNS-over-HTTPS .
    6. Tutup pemilih Pengaturan.

  7. Untuk Google Chrome, atur kedua tombol ke Dinonaktifkan.

  8. Untuk Microsoft Edge, atur kedua tombol ke Dinonaktifkan.

    Cuplikan layar tab Pengaturan konfigurasi memperlihatkan pengaturan Microsoft Edge dan Chrome.

  9. Pilih Berikutnya dua kali.

  10. Pada tab Penugasan :

    1. Pilih Tambahkan grup.
    2. Pilih grup pengguna atau perangkat untuk menetapkan kebijakan.
    3. Pilih Pilih.

  11. Pilih Selanjutnya.

  12. Di tab Tinjau + buat, pilih Buat.

Mengonfigurasi pengaturan browser Firefox

Admin dapat menggunakan skrip remediasi di Intune untuk menonaktifkan DNS melalui protokol HTTPS dan QUIC di browser Firefox.

Catatan

Pastikan untuk mengonfigurasi skrip ini untuk dijalankan di PowerShell 64-bit.

Cuplikan layar tab Buat pengaturan skrip kustom dengan opsi Jalankan skrip di PowerShell 64-bit diatur ke ya.

Petunjuk / Saran

Pilih untuk memperluas skrip PowerShell.

Skrip deteksi PowerShell

Skrip deteksi

# Define the path to the Firefox policies.json file 

$destination = "C:\Program Files\Mozilla Firefox\distribution\policies.json" $compliant = $false 

# Check if the file exists 

if (Test-Path $destination) { try { # Read the file content $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { # Parse JSON content $json = $fileContent | ConvertFrom-Json 

       # Check if Preferences exist under policies 
        if ($json.policies -and $json.policies.Preferences) { 
            $prefs = $json.policies.Preferences 
 
            # Convert Preferences to hashtable if needed 
            if ($prefs -isnot [hashtable]) { 
                $temp = @{} 
                $prefs.psobject.Properties | ForEach-Object { 
                    $temp[$_.Name] = $_.Value 
                } 
                $prefs = $temp 
            } 
 
            # Initialize compliance flags 
            $quicCompliant = $false 
            $dohCompliant = $false 
 
            # Check if QUIC is disabled and locked 
            if ($prefs.ContainsKey("network.http.http3.enable")) { 
                $val = $prefs["network.http.http3.enable"] 
                if ($val.Value -eq $false -and $val.Status -eq "locked") { 
                    $quicCompliant = $true 
                } 
            } 
 
            # Check if DNS over HTTPS is disabled and locked 
            if ($prefs.ContainsKey("network.trr.mode")) { 
                $val = $prefs["network.trr.mode"] 
                if ($val.Value -eq 0 -and $val.Status -eq "locked") { 
                    $dohCompliant = $true 
                } 
            } 
 
            # Set overall compliance if both settings are correct 
            if ($quicCompliant -and $dohCompliant) { 
                $compliant = $true 
            } 
        } 
    } 
} catch { 
    Write-Warning "Failed to parse policies.json: $_" 
} 
  

} 

# Output compliance result 

if ($compliant) { Write-Output "Compliant" Exit 0 } else { Write-Output "Non-compliant" Exit 1 }
Skrip remediasi PowerShell

Skrip perbaikan

# Define paths 

$distributionDir = "C:\Program Files\Mozilla Firefox\distribution" $destination = Join-Path $distributionDir "policies.json" $backup = "$destination.bak" 

# Initialize variable for existing JSON 

$existingJson = $null 

# Try to read and parse existing policies.json 

if (Test-Path $destination) { $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { try { $existingJson = $fileContent | ConvertFrom-Json } catch { Write-Warning "Existing policies.json is malformed. Starting fresh." } } } 

#Create a new JSON structure if none exists 

if (-not $existingJson) { $existingJson = [PSCustomObject]@{ policies = [PSCustomObject]@{ Preferences = @{} } } } 

# Ensure policies and Preferences nodes exist 

if (-not $existingJson.policies) { $existingJson | Add-Member -MemberType NoteProperty -Name policies -Value ([PSCustomObject]@{}) } if (-not $existingJson.policies.Preferences) { $existingJson.policies | Add-Member -MemberType NoteProperty -Name Preferences -Value @{} } 

# Convert Preferences to hashtable if needed 

if ($existingJson.policies.Preferences -isnot [hashtable]) { $prefs = @{} $existingJson.policies.Preferences.psobject.Properties | ForEach-Object { $prefs[$.Name] = $.Value } $existingJson.policies.Preferences = $prefs } 

$prefObj = $existingJson.policies.Preferences $updated = $false 

# Ensure QUIC is disabled and locked

if (-not $prefObj.ContainsKey("network.http.http3.enable") -or $prefObj["network.http.http3.enable"].Value -ne $false -or $prefObj["network.http.http3.enable"].Status -ne "locked") { 

$prefObj["network.http.http3.enable"] = @{ 
    Value = $false 
    Status = "locked" 
} 
$updated = $true 
  

} 

# Ensure DNS over HTTPS is disabled and locked 

if (-not $prefObj.ContainsKey("network.trr.mode") -or $prefObj["network.trr.mode"].Value -ne 0 -or $prefObj["network.trr.mode"].Status -ne "locked") { 

$prefObj["network.trr.mode"] = @{ 
    Value = 0 
    Status = "locked" 
} 
$updated = $true 
} 

# If any updates were made, back up and write the new JSON 

if ($updated) { if (Test-Path $destination) { Copy-Item $destination $backup -Force } 

$jsonOut = $existingJson | ConvertTo-Json -Depth 10 -Compress 
$utf8NoBomEncoding = New-Object System.Text.UTF8Encoding($false) 
[System.IO.File]::WriteAllText($destination, $jsonOut, $utf8NoBomEncoding) 
}

Penginstalan manual

Untuk menginstal klien Akses Aman Global secara manual:

  1. Jalankan file penyiapan GlobalSecureAccessClient.exe . Terima syarat lisensi perangkat lunak.
  2. Klien menginstal dan mendaftarkan Anda secara otomatis dengan kredensial Microsoft Entra Anda. Jika proses masuk senyap gagal, alat penginstal akan meminta Anda untuk masuk secara manual.
  3. Masuk. Ikon koneksi berubah menjadi hijau.
  4. Arahkan mouse ke atas ikon koneksi untuk membuka pemberitahuan status klien, yang akan ditampilkan sebagai Tersambung.
    Cuplikan layar memperlihatkan klien tersambung.

Antarmuka klien

Untuk membuka antarmuka klien Akses Aman Global, pilih ikon Akses Aman Global di baki sistem. Antarmuka klien menyediakan tampilan status koneksi saat ini, saluran yang dikonfigurasi untuk klien, dan akses ke alat diagnostik.

Tampilan koneksi

Dalam tampilan Koneksi, Anda dapat melihat Status klien dan Saluran yang dikonfigurasi untuk klien. Untuk menonaktifkan klien, pilih tombol Nonaktifkan . Anda dapat menggunakan informasi di bagian Detail tambahan untuk memecahkan masalah koneksi klien. Pilih Perlihatkan detail selengkapnya untuk memperluas bagian dan menampilkan informasi selengkapnya.
Cuplikan layar tampilan Koneksi antarmuka klien Akses Aman Global.

Tampilan pemecahan masalah

Dalam tampilan Pemecahan Masalah , Anda dapat melakukan berbagai tugas diagnostik. Anda dapat mengekspor dan berbagi log dengan admin TI Anda. Anda juga dapat mengakses alat Diagnostik tingkat lanjut , yang menyediakan berbagai alat pemecahan masalah. Catatan: Anda juga dapat meluncurkan alat Diagnostik tingkat lanjut dari menu ikon baki sistem klien.
Cuplikan layar tampilan Pemecahan Masalah antarmuka klien Akses Aman Global.

Tampilan pengaturan

Beralih ke tampilan Pengaturan untuk memeriksa Versi yang diinstal atau mengakses Pernyataan Privasi Microsoft.
Cuplikan layar tampilan Pengaturan antarmuka klien Akses Aman Global.

Tindakan klien

Untuk melihat tindakan menu klien yang tersedia, pilih ikon tray sistem Akses Aman Global.
Cuplikan layar memperlihatkan daftar lengkap tindakan klien Akses Aman Global.

Petunjuk / Saran

Tindakan menu klien Akses Aman Global bergantung pada konfigurasi kunci registri Klien Anda.

Tindakan Deskripsi
Logout Disembunyikan secara default. Gunakan tindakan Keluar saat Anda perlu masuk ke klien Global Secure Access dengan pengguna Microsoft Entra yang berbeda dari yang digunakan untuk masuk ke Windows. Untuk membuat tindakan ini tersedia, perbarui kunci registri Klien yang sesuai.
Nonaktifkan Pilih tindakan Nonaktifkan untuk menonaktifkan klien. Klien tetap dinonaktifkan sampai Anda mengaktifkan klien atau menghidupkan ulang komputer.
Aktifkan Mengaktifkan klien Akses Aman Global.
Nonaktifkan Akses Privat Disembunyikan secara default. Gunakan tindakan Nonaktifkan Akses Privat saat Anda ingin melewati Akses Aman Global setiap kali Anda menyambungkan perangkat Anda langsung ke jaringan perusahaan untuk mengakses aplikasi privat secara langsung melalui jaringan daripada melalui Akses Aman Global. Untuk membuat tindakan ini tersedia, perbarui kunci registri Klien yang sesuai.
Mengumpulkan catatan Pilih tindakan ini untuk mengumpulkan log klien (informasi tentang komputer klien, log peristiwa terkait untuk layanan, dan nilai registri) dan arsipkan dalam file zip untuk dibagikan dengan Dukungan Microsoft untuk penyelidikan. Lokasi default untuk log adalah C:\Program Files\Global Secure Access Client\Logs. Anda juga dapat mengumpulkan log klien di Windows dengan memasukkan perintah berikut di Prompt Perintah: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>.
Diagnostik tingkat lanjut Pilih tindakan ini untuk membuka utilitas Diagnostik tingkat lanjut dan mengakses berbagai alat pemecahan masalah .

Indikator status pelanggan

Pemberitahuan status

Pilih ikon Akses Aman Global untuk membuka pemberitahuan status klien dan melihat status setiap saluran yang dikonfigurasi untuk klien.
Cuplikan layar memperlihatkan status klien tersambung.

Status klien pada ikon baki sistem

Ikon Pesan Deskripsi
Akses Aman Global Klien menginisialisasi dan memeriksa koneksinya ke Akses Aman Global.
Akses Aman Global - Tersambung Klien tersambung ke Akses Aman Global.
Akses Aman Global - Dinonaktifkan Klien dinonaktifkan karena layanan offline atau pengguna menonaktifkan klien.
Akses Aman Global - Terputus Klien gagal tersambung ke Akses Aman Global.
Akses Aman Global - Beberapa saluran tidak dapat dijangkau Klien terhubung sebagian ke Akses Aman Global (yaitu, koneksi ke setidaknya satu saluran gagal: Microsoft Entra, Microsoft 365, Akses Privat, Akses Internet).
Akses Aman Global - Dinonaktifkan oleh organisasi Anda Organisasi Anda menonaktifkan klien (artinya, semua profil penerusan dinonaktifkan).
Akses Aman Global - Akses Privat dinonaktifkan Pengguna menonaktifkan Akses Privat pada perangkat ini.
Akses Aman Global - tidak dapat tersambung ke Internet Klien tidak dapat mendeteksi koneksi internet. Perangkat tersambung ke jaringan yang tidak memiliki koneksi Internet atau ke jaringan yang memerlukan login portal.

Pembatasan yang diketahui

Untuk informasi terperinci tentang masalah dan batasan yang diketahui, lihat Batasan yang diketahui untuk Akses Aman Global.

Pemecahan Masalah

Untuk memecahkan masalah klien Akses Aman Global, pilih ikon klien di taskbar dan pilih salah satu opsi pemecahan masalah: Ekspor log atau Alat diagnostik tingkat lanjut.

Petunjuk / Saran

Administrator dapat mengubah opsi menu klien Akses Aman Global dengan merevisi kunci registri Klien.

Untuk informasi selengkapnya tentang pemecahan masalah klien Akses Aman Global, lihat artikel berikut ini:

Rekomendasi keamanan

Untuk meningkatkan keamanan klien Akses Aman Global, gunakan konfigurasi berikut:

Tingkatkan ke versi klien terbaru

Uji dan sebarkan rilis klien Akses Aman Global terbaru secara teratur untuk memanfaatkan fitur baru, peningkatan performa, dan perbaikan keamanan. Unduh versi terbaru klien Akses Aman Global dari pusat admin Microsoft Entra.

Membatasi pengguna yang tidak memiliki hak istimewa untuk menonaktifkan klien

Administrator dapat mencegah pengguna yang tidak memiliki hak istimewa di perangkat Windows menonaktifkan atau mengaktifkan klien Akses Aman Global. Pembatasan ini memastikan bahwa klien tetap aktif dan bahwa Akses Aman Global terus mengautentikasi dan mengamankan lalu lintas jaringan. Mengaktifkan pembatasan ini memerlukan hak istimewa yang ditingkatkan untuk menonaktifkan klien.

Sebelum memberlakukan pembatasan ini, izinkan pengguna bekerja dengan klien Akses Aman Global dalam mode tidak terbatas. Konfigurasikan klien untuk organisasi Anda untuk memastikan pengguna tidak perlu menonaktifkan klien dalam skenario tertentu (misalnya, untuk mengakses situs web tertentu atau menggunakan VPN non-Microsoft secara paralel).

Untuk menghentikan klien Akses Aman Global pada perangkat dengan pengguna terbatas dan tidak memiliki hak istimewa, pastikan ada proses untuk menggunakan pengguna dengan hak istimewa administrator lokal jika diperlukan. Untuk informasi selengkapnya mengenai membatasi pengguna yang tidak memiliki hak istimewa, lihat Membatasi pengguna yang tidak memiliki hak istimewa.

Sembunyikan tombol Nonaktifkan

Selain membatasi pengguna yang tidak memiliki hak istimewa untuk menonaktifkan klien, administrator dapat menyembunyikan tombol Nonaktifkan di menu ikon baki sistem klien. Menghapus tombol Nonaktifkan dari tampilan semakin mengurangi kemungkinan pengguna menonaktifkan klien secara tidak sengaja atau tanpa otorisasi.

Untuk informasi selengkapnya mengenai menyembunyikan tombol menu klien, lihat Menyembunyikan atau memunculkan tombol menu baki sistem.

Kunci registri klien

Klien Akses Aman Global menggunakan kunci registri tertentu untuk mengaktifkan atau menonaktifkan fungsionalitas yang berbeda. Administrator dapat menggunakan solusi Mobile Device Management (MDM), seperti Microsoft Intune atau Kebijakan Grup untuk mengontrol nilai registri.

Perhatian

Jangan ubah nilai registri lain kecuali diinstruksikan oleh Dukungan Microsoft.

Membatasi pengguna yang tidak memiliki hak istimewa

Administrator dapat mencegah pengguna yang tidak memiliki hak istimewa pada perangkat Windows menonaktifkan atau mengaktifkan klien dengan mengatur kunci registri berikut:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client

Nilai Jenis Data Informasi Deskripsi
BatasiPenggunaTanpaHakIstimewa REG_DWORD 0x0 Pengguna yang tidak memiliki hak istimewa pada perangkat Windows dapat menonaktifkan dan mengaktifkan klien.
BatasiPenggunaTanpaHakIstimewa REG_DWORD 0x1 Pengguna yang tidak memiliki hak istimewa pada perangkat Windows dibatasi untuk menonaktifkan dan mengaktifkan klien. Permintaan UAC memerlukan kredensial administrator lokal untuk menonaktifkan dan mengaktifkan opsi. Administrator juga dapat menyembunyikan tombol nonaktifkan (lihat Menyembunyikan atau memunculkan tombol menu tray sistem).

Menonaktifkan atau mengaktifkan Akses Privat pada klien

Nilai registri ini mengontrol apakah Akses Privat diaktifkan atau dinonaktifkan untuk klien. Jika pengguna terhubung ke jaringan perusahaan, mereka dapat memilih untuk melewati Akses Aman Global dan langsung mengakses aplikasi privat.

Pengguna dapat menonaktifkan atau mengaktifkan Akses Privat melalui menu baki sistem.

Petunjuk / Saran

Opsi ini tersedia pada menu hanya jika tidak disembunyikan (lihat Sembunyikan atau munculkan tombol menu baki sistem) dan Akses Pribadi diaktifkan untuk penyewa ini.

Administrator dapat menonaktifkan atau mengaktifkan Akses Privat untuk pengguna dengan mengatur kunci registri:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Nilai Jenis Data Informasi Deskripsi
ApakahAksesPribadiDinonaktifkanOlehPengguna REG_DWORD 0x0 Akses Privat diaktifkan pada perangkat ini. Lalu lintas jaringan ke aplikasi privat melewati Akses Aman Global.
ApakahAksesPribadiDinonaktifkanOlehPengguna REG_DWORD 0x1 Akses Privat dinon-fungsikan pada perangkat ini. Lalu lintas jaringan ke aplikasi privat langsung masuk ke jaringan.

Cuplikan layar Editor Registri dengan kunci registri IsPrivateAccessDisabledByUser disorot.

Jika nilai registri tidak ada, nilai defaultnya adalah 0x0, Akses Privat diaktifkan.

Sembunyikan atau perlihatkan tombol menu baki sistem

Administrator dapat menampilkan atau menyembunyikan tombol tertentu di menu ikon baki sistem klien. Buat nilai di bawah kunci registri berikut:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Nilai Jenis Data Informasi Perilaku bawaan Deskripsi
SembunyikanTombolKeluar REG_DWORD 0x0 - ditampilkan 0x1 - tersembunyi tersembunyi Konfigurasikan pengaturan ini untuk menampilkan atau menyembunyikan tindakan Keluar . Opsi ini untuk skenario tertentu ketika pengguna perlu masuk ke klien dengan pengguna Microsoft Entra yang berbeda dari yang digunakan untuk masuk ke Windows. Catatan: Anda harus masuk ke klien dengan pengguna dalam penyewa Microsoft Entra yang sama dengan tempat perangkat terdaftar. Anda juga dapat menggunakan tindakan Keluar untuk mengautentikasi ulang pengguna yang ada.
SembunyikanNonaktifkanTombolAksesPribadi REG_DWORD 0x0 - ditampilkan 0x1 - tersembunyi tersembunyi Konfigurasikan pengaturan ini untuk memperlihatkan atau menyembunyikan tindakan Nonaktifkan Akses Privat. Opsi ini untuk skenario ketika perangkat terhubung langsung ke jaringan perusahaan dan pengguna lebih suka mengakses aplikasi privat langsung melalui jaringan alih-alih melalui Akses Aman Global.
SembunyikanTombolNonaktifkan REG_DWORD 0x0 - ditampilkan 0x1 - tersembunyi Ditunjukkan Konfigurasikan pengaturan ini untuk menampilkan atau menyembunyikan tindakan Nonaktifkan . Saat terlihat, pengguna dapat menonaktifkan klien Akses Aman Global. Klien tetap dinonaktifkan sampai pengguna mengaktifkannya lagi. Jika tindakan Nonaktifkan disembunyikan, pengguna yang tidak memiliki hak istimewa tidak dapat menonaktifkan klien.

Cuplikan layar Editor Registri dengan tombol registri HideSignOutButton dan HideDisablePrivateAccessButton disorot.

Untuk informasi selengkapnya, lihat Panduan untuk mengonfigurasi IPv6 di Windows untuk pengguna tingkat lanjut.

Konten terkait

  • Last updated on