Bagikan melalui

Klien Akses Aman Global untuk Windows

  • Artikel

Klien Akses Aman Global, komponen penting dari Akses Aman Global, membantu organisasi mengelola dan mengamankan lalu lintas jaringan di perangkat pengguna akhir. Peran utama klien adalah merutekan lalu lintas yang perlu diamankan oleh Akses Aman Global ke layanan cloud. Semua lalu lintas lainnya langsung masuk ke jaringan. Profil Penerusan, yang dikonfigurasi di portal, menentukan lalu lintas mana yang dirutekan klien Akses Aman Global ke layanan cloud.

Artikel ini menjelaskan cara mengunduh dan menginstal klien Akses Aman Global untuk Windows.

Prasyarat

  • Penyewa Entra yang di-onboard ke Akses Aman Global.
  • Perangkat terkelola bergabung ke penyewa onboarding. Perangkat harus bergabung dengan Microsoft Entra atau gabungan hibrid Microsoft Entra.
    • Perangkat terdaftar Microsoft Entra tidak didukung.
  • Klien Akses Aman Global memerlukan Windows 10 atau Windows 11 versi 64-bit.
    • Sesi tunggal Azure Virtual Desktop didukung.
    • Multi-sesi Azure Virtual Desktop tidak didukung.
    • Windows 365 didukung.
  • Kredensial administrator lokal diperlukan untuk menginstal atau meningkatkan klien.
  • Klien Akses Aman Global memerlukan lisensi. Untuk detailnya, lihat bagian lisensi dari Apa itu Akses Aman Global. Jika diperlukan, Anda dapat membeli lisensi atau mendapatkan lisensi uji coba.

Mengunduh klien

Versi terbaru klien Akses Aman Global tersedia untuk diunduh dari pusat admin Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Akses Aman Global.
  2. Telusuri unduhan Klien Global Secure Access>Connect>.
  3. Pilih Unduh Klien. Cuplikan layar unduhan Klien dengan tombol Unduh Klien disorot.

Menginstal klien Akses Aman Global

Penginstalan otomatis

Organisasi dapat menginstal klien Akses Aman Global secara diam-diam /quiet dengan sakelar, atau menggunakan solusi Mobile Manajemen Perangkat (MDM), seperti Microsoft Intune untuk menyebarkan klien ke perangkat mereka.

Penginstalan manual

Untuk menginstal klien Akses Aman Global secara manual:

  1. Jalankan file penyiapan GlobalSecureAccessClient.exe . Terima syarat lisensi perangkat lunak.
  2. Klien menginstal dan secara diam-diam memasukkan Anda dengan kredensial Microsoft Entra Anda. Jika proses masuk senyap gagal, alat penginstal akan meminta Anda untuk masuk secara manual.
  3. Masuk. Ikon koneksi berubah menjadi hijau.
  4. Arahkan mouse ke atas ikon koneksi untuk membuka pemberitahuan status klien, yang akan ditampilkan sebagai Tersambung.
    Cuplikan layar memperlihatkan klien tersambung.

Tindakan klien

Untuk melihat tindakan menu klien yang tersedia, klik kanan ikon baki sistem Akses Aman Global. Cuplikan layar memperlihatkan daftar lengkap tindakan klien Akses Aman Global.

Tip

Tindakan menu klien Akses Aman Global akan bervariasi sesuai dengan konfigurasi kunci registri Klien Anda.

Tindakan Deskripsi
Keluar Disembunyikan secara default. Gunakan tindakan Keluar saat Anda perlu masuk ke klien Akses Aman Global dengan pengguna Entra selain yang digunakan untuk masuk ke Windows. Untuk membuat tindakan ini tersedia, perbarui kunci registri Klien yang sesuai.
Jeda Pilih tindakan Jeda untuk menjeda klien untuk sementara waktu. Klien tetap dijeda hingga Anda melanjutkan klien atau memulai ulang komputer.
Lanjutkan Melanjutkan klien yang dijeda.
Nonaktifkan Akses Privat Disembunyikan secara default. Gunakan tindakan Nonaktifkan Akses Privat saat Anda ingin melewati Akses Aman Global setiap kali Anda menyambungkan perangkat Anda langsung ke jaringan perusahaan untuk mengakses aplikasi privat secara langsung melalui jaringan daripada melalui Akses Aman Global. Untuk membuat tindakan ini tersedia, perbarui kunci registri Klien yang sesuai.
Mengumpulkan log Pilih tindakan ini untuk mengumpulkan log klien (informasi tentang komputer klien, log peristiwa terkait untuk layanan, dan nilai registri) dan arsipkan dalam file zip untuk dibagikan dengan Dukungan Microsoft untuk penyelidikan. Lokasi default untuk log adalah C:\Program Files\Global Secure Access Client\Logs.
Diagnostik tingkat lanjut Pilih tindakan ini untuk meluncurkan utilitas Diagnostik tingkat lanjut dan mengakses berbagai alat pemecahan masalah.

Indikator status klien

Pemberitahuan status

Klik dua kali ikon Akses Aman Global untuk membuka pemberitahuan status klien dan melihat status setiap saluran yang dikonfigurasi untuk klien.
Cuplikan layar memperlihatkan status klien tersambung.

Status klien dalam ikon baki sistem

Ikon Pesan Deskripsi
Klien Akses Aman Global Klien menginisialisasi dan memeriksa koneksinya ke Akses Aman Global.
Klien Akses Aman Global - Tersambung Klien tersambung ke Akses Aman Global.
Klien Akses Aman Global - Dinonaktifkan Klien dinonaktifkan karena layanan offline atau pengguna menonaktifkan klien.
Klien Akses Aman Global - Terputus Klien gagal tersambung ke Akses Aman Global.
Klien Akses Aman Global - Beberapa saluran tidak dapat dijangkau Klien terhubung sebagian ke Akses Aman Global (yaitu, koneksi ke setidaknya satu saluran gagal: Entra, Microsoft 365, Akses Privat, Akses Internet).
Klien Akses Aman Global - Dinonaktifkan oleh organisasi Anda Organisasi Anda telah menonaktifkan klien (yaitu, semua profil penerusan lalu lintas dinonaktifkan).
Akses Aman Global - Akses Privat dinonaktifkan Pengguna menonaktifkan Akses Privat pada perangkat ini.
Akses Aman Global - tidak dapat tersambung ke Internet Klien tidak dapat mendeteksi koneksi internet. Perangkat tersambung ke jaringan yang tidak memiliki koneksi Internet atau jaringan yang memerlukan masuk portal tawanan.

Pembatasan yang diketahui

Batasan yang diketahui untuk versi klien Akses Aman Global saat ini meliputi:

Sistem Nama Domain Aman (DNS)

Klien Akses Aman Global saat ini tidak mendukung DNS aman dalam versinya yang berbeda, seperti DNS melalui HTTPS (DoH), DNS melalui TLS (DoT), atau DNS Security Extensions (DNSSEC). Untuk mengonfigurasi klien sehingga dapat memperoleh lalu lintas jaringan, Anda harus menonaktifkan DNS aman. Untuk menonaktifkan DNS aman di browser, lihat DNS aman dinonaktifkan di browser.

DNS melalui TCP

DNS menggunakan port 53 UDP untuk resolusi nama. Beberapa browser memiliki klien DNS mereka sendiri yang juga mendukung port 53 TCP. Saat ini klien Akses Aman Global tidak mendukung port DNS 53 TCP. Sebagai mitigasi, nonaktifkan klien DNS browser dengan mengatur nilai registri berikut:

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
  • Chrome
    [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    Tambahkan juga penjelajahan chrome://flags dan pennonaktifkan Async DNS resolver.

IPv6 tidak didukung

Klien hanya membuat terowongan lalu lintas IPv4. Lalu lintas IPv6 tidak diperoleh oleh klien dan oleh karena itu ditransfer langsung ke jaringan. Untuk memungkinkan semua lalu lintas yang relevan terowongan, atur properti adaptor jaringan ke IPv4 pilihan.

Fallback koneksi

Jika ada kesalahan koneksi ke layanan awan, klien kembali ke koneksi Internet langsung atau memblokir koneksi, berdasarkan nilai pengerasan aturan yang cocok di profil penerusan.

Geolokasi

Untuk lalu lintas jaringan yang terowongan ke layanan cloud, server aplikasi (situs web) mendeteksi IP sumber koneksi sebagai alamat IP tepi (dan bukan sebagai alamat IP perangkat pengguna). Skenario ini dapat memengaruhi layanan yang mengandalkan geolokasi.

Tip

Agar Office 365 dan Entra mendeteksi IP sumber sejati perangkat, pertimbangkan untuk mengaktifkan pemulihan IP Sumber.

Dukungan virtualisasi

Anda tidak dapat menginstal klien Akses Aman Global pada perangkat yang menghosting komputer virtual. Namun, Anda dapat menginstal klien Akses Aman Global pada komputer virtual, selama klien tidak diinstal pada komputer host. Untuk alasan yang sama, Subsistem Windows untuk Linux (WSL) tidak memperoleh lalu lintas dari klien yang diinstal pada komputer host.

Proksi

Jika proksi dikonfigurasi di tingkat aplikasi (seperti browser) atau di tingkat OS, konfigurasikan file konfigurasi otomatis proksi (PAC) untuk mengecualikan semua FQDN dan IP yang Anda harapkan terowongan klien.

Untuk mencegah permintaan HTTP untuk FQDN/IP tertentu terowongan ke proksi, tambahkan FQDN/IP ke file PAC sebagai pengecualian. (FQDN/IP ini berada di profil penerusan Akses Aman Global untuk penerowongan). Contohnya:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Jika koneksi internet langsung tidak memungkinkan, konfigurasikan klien untuk terhubung ke layanan Akses Aman Global melalui proksi. Misalnya, atur grpc_proxy variabel sistem agar sesuai dengan nilai proksi, seperti http://proxy:8080.

Untuk menerapkan perubahan konfigurasi, mulai ulang layanan Windows klien Akses Aman Global.

Injeksi paket

Klien hanya membuat terowongan lalu lintas yang dikirim menggunakan soket. Ini tidak terowongan lalu lintas yang disuntikkan ke tumpukan jaringan menggunakan driver (misalnya, beberapa lalu lintas yang dihasilkan oleh Network Mapper (Nmap)). Paket yang disuntikkan langsung ke jaringan.

Multi-sesi

Klien Akses Aman Global tidak mendukung sesi bersamaan pada komputer yang sama. Batasan ini berlaku untuk server RDP dan solusi VDI seperti Azure Virtual Desktop (AVD) yang dikonfigurasi untuk multi-sesi.

Arm64

Klien Akses Aman Global tidak mendukung arsitektur Arm64.

QUIC tidak didukung untuk Akses Internet

Karena QUIC belum didukung untuk Akses Internet, lalu lintas ke port 80 UDP dan 443 UDP tidak dapat diterowongkan.

Tip

QUIC saat ini didukung dalam beban kerja Private Access dan Microsoft 365.

Administrator dapat menonaktifkan protokol QUIC yang memicu klien untuk kembali ke HTTPS melalui TCP, yang didukung penuh di Akses Internet. Untuk informasi selengkapnya, lihat QUIC tidak didukung untuk Akses Internet.

Pemecahan Masalah

Untuk memecahkan masalah klien Akses Aman Global, klik kanan ikon klien di taskbar dan pilih salah satu opsi pemecahan masalah: Kumpulkan log atau Diagnostik tingkat lanjut.

Tip

Administrator dapat mengubah opsi menu klien Akses Aman Global dengan merevisi kunci registri Klien.

Untuk informasi selengkapnya tentang pemecahan masalah klien Akses Aman Global, lihat artikel berikut ini:

Kunci registri klien

Klien Akses Aman Global menggunakan kunci registri tertentu untuk mengaktifkan atau menonaktifkan fungsionalitas yang berbeda. Administrator dapat menggunakan solusi Mobile Manajemen Perangkat (MDM), seperti Microsoft Intune atau Kebijakan Grup untuk mengontrol nilai registri.

Perhatian

Jangan mengubah nilai registri lain kecuali diinstruksikan oleh Dukungan Microsoft.

Menonaktifkan atau mengaktifkan Akses Privat pada klien

Nilai registri ini mengontrol apakah Akses Privat diaktifkan atau dinonaktifkan untuk klien. Jika pengguna terhubung ke jaringan perusahaan, mereka dapat memilih untuk melewati Akses Aman Global dan langsung mengakses aplikasi privat.

Pengguna dapat menonaktifkan dan mengaktifkan Akses Privat melalui menu baki sistem.

Tip

Opsi ini tersedia pada menu hanya jika tidak disembunyikan (lihat Sembunyikan atau munculkan tombol menu baki sistem) dan Akses Privat diaktifkan untuk penyewa ini.

Administrator dapat menonaktifkan atau mengaktifkan Akses Privat untuk pengguna dengan mengatur kunci registri:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Nilai Jenis Data Deskripsi
IsPrivateAccessDisabledByUser REG_DWORD 0x0 Akses Privat diaktifkan pada perangkat ini. Lalu lintas jaringan ke aplikasi privat melewati Akses Aman Global.
IsPrivateAccessDisabledByUser REG_DWORD 0x1 Akses Privat dinon-fungsikan pada perangkat ini. Lalu lintas jaringan ke aplikasi privat langsung masuk ke jaringan.

Cuplikan layar memperlihatkan Editor Registri dengan kunci registri IsPrivateAccessDisabledByUser disorot.

Jika nilai registri tidak ada, nilai defaultnya adalah 0x0, Akses Privat diaktifkan.

Sembunyikan atau munculkan tombol menu baki sistem

Administrator dapat menampilkan atau menyembunyikan tombol tertentu di menu ikon baki sistem klien. Buat nilai di bawah kunci registri berikut:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Nilai Jenis Data Perilaku default Deskripsi
HideSignOutButton REG_DWORD 0x0 - 0x1 yang ditampilkan - tersembunyi hidden Konfigurasikan pengaturan ini untuk menampilkan atau menyembunyikan tindakan Keluar . Opsi ini untuk skenario tertentu ketika pengguna perlu masuk ke klien dengan pengguna Entra yang berbeda dari yang digunakan untuk masuk ke Windows. Catatan: Anda harus masuk ke klien dengan pengguna di penyewa Entra yang sama tempat perangkat bergabung. Anda juga dapat menggunakan tindakan Keluar untuk mengautentikasi ulang pengguna yang ada.
HideDisablePrivateAccessButton REG_DWORD 0x0 - 0x1 yang ditampilkan - tersembunyi hidden Konfigurasikan pengaturan ini untuk memperlihatkan atau menyembunyikan tindakan Nonaktifkan Akses Privat. Opsi ini untuk skenario ketika perangkat terhubung langsung ke jaringan perusahaan dan pengguna lebih suka mengakses aplikasi privat langsung melalui jaringan alih-alih melalui Akses Aman Global.

Cuplikan layar memperlihatkan Editor Registri dengan tombol registri HideSignOutButton dan HideDisablePrivateAccessButton disorot.

Untuk informasi selengkapnya, lihat Panduan untuk mengonfigurasi IPv6 di Windows untuk pengguna tingkat lanjut.