Condividi tramite

Client di accesso sicuro globale per Windows

  • Articolo

Informazioni sull’installazione del client Accesso globale sicuro per Windows.

Prerequisiti

  • Il client di Accesso sicuro globale è supportato in versioni a 64 bit di Windows 11 o Windows 10.
    • Desktop virtuale Azure a sessione singola è supportato.
    • Desktop virtuale Azure a sessione multipla non è supportato.
    • Windows 365 è supportato.
  • I client devono essere aggiunti a Microsoft Entra o a Microsoft Entra ibrido.
    • I dispositivi registrati Microsoft Entra non sono supportati.
  • Sono necessarie le credenziali di amministratore locale per eseguire l’installazione.
  • Il prodotto richiede licenze. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario, è possibile acquistare licenze o ottenere licenze di prova gratuita.

Limitazioni note

  • Non sono supportate molteplici sessioni utente nello stesso dispositivo, come quelle di un Server Desktop remoto (RDP).
  • Le reti che usano un portale captive, come alcune soluzioni di rete wireless guest, potrebbero impedire la connessione del client. Come soluzione alternativa, è possibile sospendere il client di Accesso globale sicuro.
  • Le macchine virtuali in cui sia Sistemi operativi host e guest includono il client Accesso globale sicuro installato non sono supportate. Sono supportate le singole macchine virtuali con il client installato.
  • Il servizio ignora il traffico se il client di Accesso globale sicuro non è in grado di connettersi al servizio, ad esempio a causa di un errore di autorizzazione o Accesso condizionale. Il traffico viene inviato in modo diretto e locale anziché essere bloccato. In questa situazione, se il client non è in grado di connettersi al servizio, è possibile creare criteri di Accesso condizionale per il controllo di rete conforme e bloccare così il traffico.
  • Il client di Accesso globale sicuro nell'architettura ARM64 non è ancora supportato. Tuttavia, ARM64 è previsto per il futuro.

Esistono altre limitazioni in base al profilo di inoltro del traffico in uso:

Profilo di inoltro del traffico Limitazione
Profilo del traffico Microsoft Il tunneling del traffico IPv6 non è attualmente supportato.
Profilo del traffico Microsoft e accesso privato Per effettuare il tunneling del traffico di rete in base alle regole dei nomi di dominio completi (nel profilo di inoltro), è necessario disabilitare il DNS (Domain Name System) su HTTPS (SECURE DNS).
Accesso microsoft e privato Se il dispositivo utente finale è configurato per l'uso di un server proxy, le posizioni che si desidera eseguire il tunnel tramite il client di Accesso globale sicuro devono essere escluse da tale configurazione. Per esempi, vedere Esempio di configurazione del proxy.
Accesso privato I domini con etichetta singola, ad esempio https://contosohome per le app private, non sono supportati. Invece, utilizzare un nome di dominio completo (FQDN), come ad esempio https://contosohome.contoso.com. Gli amministratori possono anche scegliere di aggiungere suffissi DNS tramite Windows.

Scarica il client

È possibile scaricare la versione più recente del client di Accesso globale sicuro dall'interfaccia di amministrazione di Microsoft Entra.

  1. Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.

  2. Passare al download globale del client Secure Access>Connect.>

  3. Selezionare Scarica client.

    Screenshot del pulsante scarica client Windows.

Installare il client

Le organizzazioni possono installare il client in modo interattivo e invisibile all'utente con il commutatore /quiet, oppure usando le piattaforme di gestione dei dispositivi mobili come Microsoft Intune per distribuirlo sui propri dispositivi.

  1. Copiare il file di installazione del client Accesso globale sicuro nel computer client.

  2. Eseguire il file di installazione GlobalSecureAccessClient.exe. Accettare le condizioni di licenza software.

  3. Il client viene installato e agli utenti viene richiesto di accedere con le credenziali di Microsoft Entra.

    Screenshot che mostra la casella di accesso visualizzata al termine dell'installazione del client.

  4. Gli utenti eseguono l’accesso e l'icona di connessione diventa verde. Facendo doppio clic sull'icona della connessione si apre una notifica con informazioni sul client che mostrano uno stato connesso.

    Screenshot che mostra che il client è connesso.

Risoluzione dei problemi

Per risolvere i problemi del client Accesso globale sicuro, fare clic con il pulsante destro del mouse sull'icona client nella barra delle applicazioni.

Screenshot che mostra il menu di scelta rapida del client di Accesso globale sicuro.

  • Esegui accesso come altro utente
    • Forza la schermata di accesso per modificare l'utente o ripetere l'autenticazione dell'utente esistente.
  • Sospendi
    • Questa opzione può essere usata per disabilitare temporaneamente il tunneling del traffico. Poiché questo client fa parte del comportamento di sicurezza dell'organizzazione, è consigliabile lasciarlo sempre in esecuzione.
    • Questa opzione arresta i servizi Windows correlati al client. Quando questi servizi vengono arrestati, il traffico non viene più sottoposto a tunneling dal computer client al servizio cloud. Mentre il client è in pausa, il traffico di rete si comporta come se il client non fosse installato. Se il computer client viene riavviato, anche i servizi vengono automaticamente riavviati.
  • Riprendi
    • Questa opzione avvia i servizi sottostanti correlati al client Accesso globale sicuro. Questa opzione verrà usata per riprendere dopo la sospensione temporanea del client per la risoluzione dei problemi. Viene ricominciato il tunneling del traffico dal client al servizio cloud.
  • Riavviare
    • Questa opzione arresta e avvia i servizi Windows correlati al client.
  • Raccogliere i log
    • Raccogliere i log per l’assistenza e l’ulteriore risoluzione dei problemi. Questi log vengono raccolti e archiviati in C:\Program Files\Global Secure Access Client\Logs per impostazione predefinita.
      • Questi log includono informazioni sul computer client, i registri eventi correlati per i servizi e i valori del registro, inclusi i profili di inoltro del traffico applicati.
  • Controllo client
    • Esegue uno script per testare i componenti client assicurandosi che il client sia configurato e funzionante come previsto.
  • Diagnostica connessione fornisce una visualizzazione in tempo reale dello stato del client e delle connessioni sottoposte a tunneling dal client verso il servizio di Accesso globale sicuro
    • La scheda Riepilogo mostra informazioni generali sulla configurazione client, tra cui: versione dei criteri in uso, data e ora dell'ultimo aggiornamento dei criteri e ID del tenant con cui il client è configurato per l'uso.
      • Lo stato di acquisizione del nome host diventa verde quando il nuovo traffico acquisito dal nome di dominio completo viene sottoposto correttamente a tunneling in base a una corrispondenza dell'FQDN di destinazione in un profilo di inoltro del traffico.
    • Flussi mostra un elenco live di connessioni avviate dal dispositivo dell'utente finale e sottoposto a tunneling dal client alla rete perimetrale di Accesso globale sicuro. Ogni connessione è una nuova riga.
      • Timestamp indica l'ora in cui è stata stabilita la connessione per la prima volta.
      • Nome di dominio completo (FQDN) della destinazione della connessione. Se la decisione di eseguire il tunneling della connessione è stata effettuata in base a una regola IP nei criteri di inoltro e non da una regola FQDN, la colonna FQDN mostra N/A.
      • Porta di origine del dispositivo dell'utente finale per questa connessione.
      • IP di destinazione indica la destinazione della connessione.
      • Protocollo al momento è supportato solo TCP.
      • Nome del Processo che ha avviato la connessione.
      • Flusso attivo indica se la connessione è ancora aperta.
      • Dati inviati fornisce il numero di byte inviati dal dispositivo dell'utente finale tramite la connessione.
      • Dati ricevuti indica il numero di byte ricevuti dal dispositivo dell’utente finale tramite la connessione.
      • L’ID di correlazione viene fornito a ogni connessione inviata tramite tunneling dal client. Questo ID consente di tracciare la connessione nei log del client. I log client sono costituiti da visualizzatore eventi, traccia eventi (ETL) e log del traffico di accesso sicuro globale (anteprima).
      • ID flusso è l'ID interno della connessione usata dal client visualizzato nel file ETL.
      • Nome canale identifica il profilo di inoltro del traffico verso cui viene eseguito il tunneling della connessione. Questa decisione viene presa in base alle regole nel profilo di inoltro.
    • HostNameAcquisition fornisce un elenco di nomi host acquisiti dal client in base alle regole FQDN nel profilo di inoltro. Ogni nome host viene visualizzato in una nuova riga. L'acquisizione futura dello stesso nome host crea un'altra riga se DNS risolve il nome host (FQDN) in un indirizzo IP diverso.
      • Timestamp indica l'ora in cui è stata stabilita la connessione per la prima volta.
      • FQDN che è stato risolto.
      • Indirizzo IP generato è un indirizzo IP generato dal client per scopi interni. Questo indirizzo IP viene visualizzato nella scheda Flussi per le connessioni stabilite al relativo FQDN.
      • Indirizzo IP originale è il primo indirizzo IPv4 nella risposta DNS quando si esegue una query sull’FQDN. Se il server DNS a cui punta il dispositivo dell'utente finale non restituisce un indirizzo IPv4 per la query, l'indirizzo IP originale mostra 0.0.0.0.
    • Servizi mostra lo stato dei servizi Windows correlati al client Accesso globale sicuro. I servizi avviati hanno un'icona di stato di colore verde, mentre l’icona dei servizi arrestati è di colore rosso. Per il funzionamento del client, è necessario avviare tutti e tre i servizi Windows.
    • Canali mostra l’elenco dei profili di inoltro del traffico assegnati al client e lo stato della connessione alla rete perimetrale di Accesso globale sicuro.

Registri eventi

I log eventi correlati al client Accesso globale sicuro sono disponibili nel Visualizzatore eventi in Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational. Questi eventi forniscono dettagli utili relativi allo stato, ai criteri e alle connessioni effettuate dal client.

Disabilitare IPv6 e DNS sicuro

Se è necessaria assistenza per disabilitare IPv6 o proteggere IL DNS nei dispositivi Windows, lo script seguente fornisce assistenza.

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

Esempio di configurazione proxy

File PAC proxy di esempio contenente esclusioni:

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||
      dnsDomainIs(host, ".contoso.com") || //tunneled
      dnsDomainIs(host, ".fabrikam.com"))  // tunneled
      return "DIRECT";                     // If true, sets "DIRECT" connection
      else                                 // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

Le organizzazioni devono quindi creare una variabile di sistema denominata grpc_proxy con un valore tipo http://10.1.0.10:8080 che corrisponda alla configurazione del server proxy nei computer degli utenti finali per consentire ai servizi client di Accesso globale sicuro di usare il proxy configurando i seguenti parametri.

Passaggi successivi

Il passaggio successivo per iniziare a usare l’Accesso a Internet Microsoft Entra consiste nell’abilitare le restrizioni del tenant universale.