Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il client Accesso sicuro globale, un componente essenziale di Accesso sicuro globale, consente alle organizzazioni di gestire e proteggere il traffico di rete nei dispositivi degli utenti finali. Il ruolo principale del client consiste nel instradare il traffico che deve essere protetto dall'accesso sicuro globale al servizio cloud. Tutto l'altro traffico passa direttamente alla rete. I profili di inoltro, configurati nel portale, determinano il traffico che il client di accesso sicuro globale instrada al servizio cloud.
Nota
Il client di accesso sicuro globale è disponibile anche per macOS, Android e iOS. Per informazioni su come installare il client Accesso sicuro globale in queste piattaforme, vedere client di accesso sicuro globale per macOS, client di accesso sicuro globale per Androide client di accesso sicuro globale per iOS.
Questo articolo descrive come scaricare e installare il client Accesso sicuro globale per Windows.
Prerequisiti
- Un tenant di Microsoft Entra è stato integrato in Accesso globale sicuro.
- Un dispositivo gestito collegato al tenant onboardato. Il dispositivo deve essere unito a Microsoft Entra o unito a Microsoft Entra in modalità ibrida.
- I dispositivi registrati Microsoft Entra non sono supportati.
- Il client Accesso sicuro globale richiede una versione a 64 bit di Windows 10 o Windows 11.
- Desktop virtuale Azure a sessione singola è supportato.
- Desktop virtuale Azure a sessione multipla non è supportato.
- Windows 365 è supportato.
- Le credenziali di amministratore locale sono necessarie per installare o aggiornare il client.
- Il client Di accesso sicuro globale richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.
Scarica il client
La versione più recente del client Di accesso sicuro globale è disponibile per il download dall'interfaccia di amministrazione di Microsoft Entra.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore Accesso globale sicuro.
- Passare ad Accesso globale sicuro>Connetti>Scarica client.
- Selezionare Scarica Client.
Installare il client Di accesso sicuro globale
Installazione automatica
Le organizzazioni possono installare silenziosamente il client di accesso sicuro globale con il /quiet switch o usare soluzioni di Gestione dispositivi mobili (MDM), come Microsoft Intune, per distribuire il client sui propri dispositivi.
Distribuire il client Global Secure Access con Intune
In questa sezione si apprenderà come installare manualmente il client Accesso sicuro globale in un dispositivo client Windows 11 con Intune.
Prerequisiti
- Un gruppo di sicurezza con dispositivi o utenti per identificare dove installare il client Di accesso sicuro globale
Creare un pacchetto del client
Convertire il .exe file in un .intunewin file.
Scarica il client di Accesso Sicuro Globale dall'interfaccia di amministrazione di Microsoft Entra>Global Secure Access>Connect>Client download. Selezionare Client di download in Windows 11.
Passare a Microsoft Win32 Content Prep Tool( Strumento preparazione contenuto Win32). Selezionare IntuneWinAppUtil.exe.
Nell'angolo in alto a destra selezionare il menu a tre puntini. Selezionare Download.
Vai a ed esegui
IntuneWinAppUtil.exe. Verrà aperto un prompt dei comandi.Immettere il percorso del file
.exedi Accesso Sicuro Globale. Selezionare Immettere.Immettere il nome del file di accesso
.exesicuro globale. Selezionare Immettere.Immettere il percorso della cartella in cui inserire il
.intunewinfile. Selezionare Immettere.Immettere N. Selezionare INVIO.
Il .intunewin file è pronto per la distribuzione di Microsoft Intune.
Distribuire il client Global Secure Access con Intune
Informazioni di riferimento dettagliate su Aggiungere e assegnare app Win32 a Microsoft Intune.
Navigare verso https://intune.microsoft.com.
Selezionare App>Tutte le app>Aggiungi.
In Seleziona tipo di app, in Altri tipi di app selezionare App di Windows (Win32).
Seleziona Seleziona. Vengono visualizzati i passaggi Aggiungi app .
Seleziona file del pacchetto dell'app.
Selezionare l'icona della cartella. Aprire il
.intunewinfile creato nella sezione precedente.
Seleziona OK.
Configurare questi campi:
- Nome: immettere un nome per l'app client.
- Descrizione: immetti una descrizione.
- Editore: Immetti Microsoft.
- Versione app(facoltativo): immettere la versione client.
È possibile usare i valori predefiniti nei campi rimanenti. Seleziona Avanti.
Configurare questi campi:
-
Comando di installazione: usare il nome originale del
.exefile per"OriginalNameOfFile.exe" /install /quiet /norestart. -
Comando Disinstalla: usare il nome originale del
.exefile per"OriginalNameOfFile.exe" /uninstall /quiet /norestart. - Consenti disinstallazione disponibile: selezionare No.
- Comportamento di installazione: selezionare Sistema.
- Comportamento di riavvio del dispositivo: selezionare Determina il comportamento in base ai codici restituiti.
-
Comando di installazione: usare il nome originale del
| Codice restituito | Tipo di codice |
|---|---|
| 0 | Successo |
| 1707 | Successo |
| 3010 | Successo |
| 1641 | Successo |
| 1618 | Riprova |
Nota
I codici restituiti vengono popolati con i codici di uscita predefiniti di Windows. In questo caso, sono stati modificati due tipi di codice in Operazione riuscita per evitare riavvii non necessari del dispositivo.
Seleziona Avanti.
Configurare questi campi:
- Architettura del sistema operativo: selezionare i requisiti minimi.
- Sistema operativo minimo: selezionare i requisiti minimi.
Lasciare i restanti campi vuoti. Seleziona Avanti.
In Formato regole selezionare Configura manualmente le regole di rilevamento.
Seleziona Aggiungi.
In Tipo di regola selezionare File.
Configurare questi campi:
-
Percorso: immettere
C:\Program Files\Global Secure Access Client\TrayApp. -
File o cartella: immettere
GlobalSecureAccessClient.exe. - Metodo di rilevamento: selezionare String (versione).
- Operatore: selezionare Maggiore o uguale a.
- Valore: immettere il numero di versione del client.
- Associato a un'app a 32 bit nel client a 64 bit: selezionare No.
Screenshot della regola di rilevamento per il client.
-
Percorso: immettere
Seleziona OK. Seleziona Avanti.
Selezionare Avanti due volte per accedere ad Assegnazioni.
In Obbligatorio selezionare +Aggiungi gruppo. Selezionare un gruppo di utenti o dispositivi. Seleziona Seleziona.
Seleziona Avanti. Fare clic su Crea.
Aggiornare il client a una versione più recente
Per eseguire l'aggiornamento alla versione client più recente, seguire i passaggi di aggiornamento di un'applicazione line-of-business. Assicurarsi di aggiornare le impostazioni seguenti oltre a caricare il nuovo .intunewin file:
- Versione del client
- Installare e disinstallare i comandi
- Il valore della regola di rilevamento è impostato sul numero di versione del nuovo client.
In un ambiente di produzione è consigliabile distribuire nuove versioni client in un approccio di distribuzione in più fasi:
- Lasciare l'app esistente sul posto per il momento.
- Aggiungere una nuova app per la nuova versione client, ripetendo i passaggi precedenti.
- Assegna la nuova app a un piccolo gruppo di utenti per testare la nuova versione del client. È possibile assegnare questi utenti all'app con la versione precedente del client per un aggiornamento in loco.
- Aumentare lentamente l'appartenenza al gruppo pilota fino a quando non si distribuisce il nuovo client in tutti i dispositivi desiderati.
- Eliminare l'app con la versione client precedente.
Installazione manuale
Per installare manualmente il client Di accesso sicuro globale:
- Eseguire il file di installazione GlobalSecureAccessClient.exe. Accettare le condizioni di licenza software.
- Il client installa e accede automaticamente con le credenziali di Microsoft Entra. Se l'accesso silenzioso non riesce, il programma di installazione richiede di accedere manualmente.
- Accedi. L'icona di connessione diventa verde.
- Passare il puntatore del mouse sull'icona di connessione per aprire la notifica di stato del client, che deve essere visualizzata come Connessa.
Azioni cliente
Per visualizzare le azioni del menu client disponibili, fare clic con il pulsante destro del mouse sull'icona della barra degli accessi sicuri globali.
Suggerimento
Le azioni del menu client Accesso sicuro globale variano in base alla configurazione delle chiavi del Registro di sistema client.
| Azione | Descrizione |
|---|---|
| Disconnettersi | Nascosto per impostazione predefinita. Usare l'azione Disconnetti quando è necessario accedere al client Di accesso sicuro globale con un utente di Microsoft Entra diverso da quello usato per accedere a Windows. Per rendere disponibile questa azione, aggiornare le appropriate chiavi del Registro di sistema client. |
| Disabilita | Selezionare l'azione Disabilita per disabilitare il client. Il client rimane disabilitato fino a quando non si abilita il client o si riavvia il computer. |
| Abilitazione | Abilita il client di accesso sicuro globale. |
| Disabilitare l'accesso privato | Nascosto per impostazione predefinita. Usare l'azione Disabilita accesso privato quando si vuole ignorare l'accesso sicuro globale ogni volta che si connette il dispositivo direttamente alla rete aziendale per accedere alle applicazioni private direttamente attraverso la rete anziché tramite l'accesso sicuro globale. Per rendere disponibile questa azione, aggiornare le appropriate chiavi del Registro di sistema client. |
| Raccogliere i log | Selezionare questa azione per raccogliere i log client (informazioni sul computer client, i registri eventi correlati per i servizi e i valori del Registro di sistema) e archiviarli in un file ZIP da condividere con supporto tecnico Microsoft per l'analisi. Il percorso predefinito per i log è C:\Program Files\Global Secure Access Client\Logs. È anche possibile raccogliere i log client in Windows immettendo il comando seguente nel prompt dei comandi: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>. |
| Diagnostica avanzata | Selezionare questa azione per avviare l'utilità Diagnostica avanzata e accedere a un'ampia gamma di strumenti per la risoluzione dei problemi . |
Indicatori di stato del client
Notifica di stato
Fare doppio clic sull'icona Accesso sicuro globale per aprire la notifica di stato del client e visualizzare lo stato di ogni canale configurato per il client.
Stati client nella icona della barra delle notifiche
| Icona | Messaggio | Descrizione |
|---|---|---|
|
Accesso globale sicuro | Il client sta inizializzando e controllando la connessione ad Accesso sicuro globale. |
|
Accesso sicuro globale - Connesso | Il client è connesso all'accesso sicuro globale. |
|
Accesso sicuro globale - Disabilitato | Il client è disabilitato perché i servizi sono offline o l'utente ha disabilitato il client. |
|
Accesso sicuro globale - Disconnesso | Il client non è riuscito a connettersi all'accesso sicuro globale. |
|
Accesso sicuro globale- Alcuni canali non sono raggiungibili | Il client è parzialmente connesso ad Accesso sicuro globale( ovvero la connessione ad almeno un canale non è riuscita: Microsoft Entra, Microsoft 365, Accesso privato, Accesso Internet). |
|
|
Accesso sicuro globale - Disabilitato dall'organizzazione | L'organizzazione ha disabilitato il client, ovvero tutti i profili di inoltro del traffico sono disabilitati. |
|
|
Accesso sicuro globale : l'accesso privato è disabilitato | L'utente ha disabilitato l'accesso privato in questo dispositivo. |
|
|
Accesso sicuro globale: non è stato possibile connettersi a Internet | Il client non è riuscito a rilevare una connessione Internet. Il dispositivo è connesso a una rete che non ha una connessione Internet o una rete che richiede l'accesso al portale captive. |
Limitazioni note
Per informazioni dettagliate su problemi noti e limitazioni, vedere Limitazioni note per l'accesso sicuro globale.
Risoluzione dei problemi
Per risolvere i problemi del client accesso sicuro globale, fare clic con il pulsante destro del mouse sull'icona del client nella barra delle applicazioni e selezionare una delle opzioni di risoluzione dei problemi: Raccogliere log o Diagnostica avanzata.
Suggerimento
Gli amministratori possono modificare le opzioni del menu client accesso sicuro globale rivedendo le chiavi del Registro di sistema client.
Per informazioni più dettagliate sulla risoluzione dei problemi del client Di accesso sicuro globale, vedere gli articoli seguenti:
- Risolvere i problemi del client di Accesso sicuro globale: diagnostica avanzata
- Risolvere i problemi del client di Accesso Sicuro Globale: scheda Verifica dello Stato
Chiavi del Registro di sistema utente
Il client Accesso sicuro globale usa chiavi specifiche del Registro di sistema per abilitare o disabilitare funzionalità diverse. Gli amministratori possono usare soluzioni MDM (Gestione dei dispositivi mobili), ad esempio Microsoft Intune o Criteri di gruppo per controllare i valori del Registro di sistema.
Attenzione
Non modificare altri valori del Registro di sistema, a meno che non venga richiesto dal supporto tecnico Microsoft.
Limitare gli utenti senza privilegi
L'amministratore può impedire agli utenti senza privilegi nel dispositivo Windows di disabilitare o abilitare il client impostando la chiave del Registro di sistema seguente:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD
| Dati | Descrizione |
|---|---|
| 0x0 | Gli utenti senza privilegi nel dispositivo Windows possono disabilitare e abilitare il client. |
| 0x1 | Gli utenti senza privilegi sul dispositivo Windows non possono disabilitare o abilitare il client. Una richiesta di controllo dell'account utente richiede le credenziali di amministratore locale per disabilitare e abilitare le opzioni. L'amministratore può anche nascondere il pulsante disabilita (vedere Nascondere o visualizzare i pulsanti del menu della barra delle applicazioni). |
Disabilitare o abilitare l'accesso privato nel client
Questo valore del Registro di sistema controlla se l'accesso privato è abilitato o disabilitato per il client. Se un utente è connesso alla rete aziendale, può scegliere di ignorare l'accesso sicuro globale e accedere direttamente alle applicazioni private.
Gli utenti possono disabilitare e abilitare l'accesso privato tramite il menu della barra delle applicazioni.
Suggerimento
Questa opzione è disponibile nel menu solo se non è nascosta (vedere Nascondi o scopri i pulsanti del menu nella barra delle applicazioni) e se l'accesso privato è abilitato per questo tenant.
Gli amministratori possono disabilitare o abilitare l'accesso privato per l'utente impostando la chiave del Registro di sistema:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
| Valore | Tipo | Dati | Descrizione |
|---|---|---|---|
| AccessoPrivatoDisabilitatoDall'Utente | REG_DWORD | 0x0 | L'accesso privato è abilitato in questo dispositivo. Il traffico di rete verso applicazioni private passa attraverso l'accesso sicuro globale. |
| AccessoPrivatoDisabilitatoDall'Utente | REG_DWORD | 0x1 | L'accesso privato è disabilitato in questo dispositivo. Il traffico di rete verso applicazioni private passa direttamente alla rete. |
Se il valore del Registro di sistema non esiste, il valore predefinito è 0x0, l'accesso privato è abilitato.
Nascondi o scopri i pulsanti del menu della barra delle applicazioni
L'amministratore può visualizzare o nascondere pulsanti specifici nel menu dell'icona della barra delle applicazioni del client. Creare i valori sotto la chiave del Registro di sistema seguente:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
| Valore | Tipo | Dati | Comportamento predefinito | Descrizione |
|---|---|---|---|---|
| HideSignOutButton | REG_DWORD | 0x0 - visualizzato 0x1 - nascosto | Nascosto | Configurare questa impostazione per visualizzare o nascondere l'azione Disconnetti . Questa opzione è per scenari specifici quando un utente deve accedere al client con un utente Microsoft Entra diverso da quello usato per accedere a Windows. Nota: è necessario accedere al client con un utente nello stesso tenant di Microsoft Entra a cui viene aggiunto il dispositivo. È anche possibile usare l'azione Disconnetti per autenticare nuovamente l'utente esistente. |
| NascondiDisattivaPulsanteAccessoPrivato | REG_DWORD | 0x0 - visualizzato 0x1 - nascosto | Nascosto | Configurare questa impostazione per visualizzare o nascondere l'azione Disabilita accesso privato. Questa opzione è per uno scenario in cui il dispositivo è connesso direttamente alla rete aziendale e l'utente preferisce accedere alle applicazioni private direttamente tramite la rete anziché tramite l'accesso sicuro globale. |
| HideDisableButton | REG_DWORD | 0x0 - visualizzato 0x1 - nascosto | Mostrato | Configurare questa impostazione per visualizzare o nascondere l'azione Disabilita . Se visibile, l'utente può disabilitare il client Di accesso sicuro globale. Il client rimane disabilitato fino a quando l'utente non lo abilita nuovamente. Se l'azione Disabilita è nascosta, un utente senza privilegi non può disabilitare il client. |
Per altre informazioni, vedere Linee guida per la configurazione di IPv6 in Windows per utenti avanzati.