Client Di accesso sicuro globale per Windows (anteprima)

Informazioni su come installare il client Di accesso sicuro globale per Windows.

Prerequisiti

  • Il client Accesso sicuro globale è supportato nelle versioni a 64 bit di Windows 11 o Windows 10.
    • Desktop virtuale Azure a sessione singola è supportato.
    • Desktop virtuale Azure multisessione non è supportato.
    • Windows 365 è supportato.
  • I client devono essere aggiunti a Microsoft Entra o a Microsoft Entra ibrido.
    • I dispositivi registrati Microsoft Entra non sono supportati.
  • Le credenziali di amministratore locale sono necessarie per l'installazione.
  • L'anteprima richiede una licenza microsoft Entra ID P1. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.

Limitazioni note

  • Più sessioni utente nello stesso dispositivo, come quelle di un Server Desktop remoto (RDP), non sono supportate.
  • Le reti che usano un portale captive, come alcune soluzioni di rete wireless guest, potrebbero causare l'esito negativo della connessione client. Come soluzione alternativa, è possibile sospendere il client accesso sicuro globale.
  • Le macchine virtuali in cui sia l'host che i sistemi operativi guest includono il client Accesso sicuro globale installato non sono supportate. Sono supportate le singole macchine virtuali con il client installato.
  • Il servizio ignora il traffico se il client di accesso sicuro globale non è in grado di connettersi al servizio, ad esempio a causa di un errore di autorizzazione o accesso condizionale. Il traffico viene inviato direttamente e locale anziché essere bloccato. In questo scenario è possibile creare criteri di accesso condizionale per il controllo di rete conforme per bloccare il traffico se il client non è in grado di connettersi al servizio.
  • Il client Di accesso sicuro globale nell'architettura ARM64 non è ancora supportato. Arm64 è tuttavia in programma.

Esistono diverse altre limitazioni in base al profilo di inoltro del traffico in uso:

Profilo di inoltro del traffico Limitazione
Microsoft 365 Il tunneling del traffico IPv6 non è attualmente supportato.
Accesso privato e Microsoft 365 Per eseguire il tunneling del traffico di rete in base alle regole dei nomi di dominio completi (nel profilo di inoltro), è necessario disabilitare Domain Name System (DNS) su HTTPS (SECURE DNS).
Microsoft 365 Il client Di accesso sicuro globale supporta attualmente solo il traffico TCP (Transmission Control Protocol). Exchange Online usa il protocollo QUIC per il traffico sulla porta UDP (User Datagram Protocol) 443 forzare il traffico a usare HTTPS (443 TCP) bloccando il traffico QUIC con una regola del firewall locale. I protocolli non HTTP, ad esempio POP3, IMAP, SMTP, non vengono acquisiti dal client e vengono inviati direttamente e localmente.
Accesso privato e Microsoft 365 Se il dispositivo dell'utente finale è configurato per l'uso di un server proxy, le posizioni di cui si vuole eseguire il tunneling tramite il client Accesso sicuro globale devono essere escluse da tale configurazione. Per esempi, vedere Esempio di configurazione del proxy.
Accesso privato I domini con etichetta singola, ad esempio https://contosohome per le app private, non sono supportati. Usare invece un nome di dominio completo (FQDN), ad esempio https://contosohome.contoso.com. Amministrazione istrator può anche scegliere di aggiungere suffissi DNS tramite Windows.

Scarica il client

La versione più recente del client Di accesso sicuro globale può essere scaricata dall'interfaccia di amministrazione di Microsoft Entra.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Secure Access Amministrazione istrator.

  2. Passare al download global secure access (anteprima)>Connessione> Client.

  3. Selezionare Scarica client.

    Screenshot del pulsante scarica client Windows.

Installare il client

Le organizzazioni possono installare il client in modo interattivo, invisibile all'utente con il /quiet commutatore o usare piattaforme di gestione dei dispositivi mobili come Microsoft Intune per distribuirlo nei propri dispositivi.

  1. Copiare il file di installazione del client Accesso sicuro globale nel computer client.

  2. Eseguire il file di installazione GlobalSecureAccessClient.exe . Accettare le condizioni di licenza software.

  3. Il client viene installato e agli utenti viene richiesto di accedere con le credenziali di Microsoft Entra.

    Screenshot che mostra la casella di accesso visualizzata al termine dell'installazione del client.

  4. Gli utenti accedono e l'icona di connessione diventa verde. Facendo doppio clic sull'icona della connessione si apre una notifica con informazioni sul client che mostrano uno stato connesso.

    Screenshot che mostra che il client è connesso.

Risoluzione dei problemi

Per risolvere i problemi del client accesso sicuro globale, fare clic con il pulsante destro del mouse sull'icona client nella barra delle applicazioni.

Screenshot che mostra il menu di scelta rapida del client Di accesso sicuro globale.

  • Accedere come utente diverso
    • Forza la schermata di accesso per modificare l'utente o ripetere l'autenticazione dell'utente esistente.
  • Sospendi
    • Questa opzione può essere usata per disabilitare temporaneamente il tunneling del traffico. Poiché questo client fa parte del comportamento di sicurezza dell'organizzazione, è consigliabile lasciarlo sempre in esecuzione.
    • Questa opzione arresta i servizi Windows correlati al client. Quando questi servizi vengono arrestati, il traffico non viene più sottoposto a tunneling dal computer client al servizio cloud. Il traffico di rete si comporta come se il client non sia installato mentre il client è in pausa. Se il computer client viene riavviato, i servizi vengono riavviati automaticamente con esso.
  • Riprendi
    • Questa opzione avvia i servizi sottostanti correlati al client Accesso sicuro globale. Questa opzione verrà usata per riprendere dopo la sospensione temporanea del client per la risoluzione dei problemi. Il traffico riprende il tunneling dal client al servizio cloud.
  • Riavviare
    • Questa opzione arresta e avvia i servizi Windows correlati al client.
  • Raccogliere i log
    • Raccogliere i log per il supporto e altre operazioni di risoluzione dei problemi. Questi log vengono raccolti e archiviati in per C:\Program Files\Global Secure Access Client\Logs impostazione predefinita.
      • Questi log includono informazioni sul computer client, i registri eventi correlati per i servizi e i valori del Registro di sistema, inclusi i profili di inoltro del traffico applicati.
  • Controllo client
    • Esegue uno script per testare i componenti client assicurandosi che il client sia configurato e funzionante come previsto.
  • Connessione diagnostica fornisce una visualizzazione in tempo reale dello stato del client e delle connessioni tunnelate dal client al servizio accesso sicuro globale
    • La scheda Riepilogo mostra informazioni generali sulla configurazione client, tra cui la versione dei criteri in uso, la data e l'ora dell'ultimo aggiornamento dei criteri e l'ID del tenant con cui il client è configurato per l'uso.
      • Lo stato di acquisizione del nome host diventa verde quando il nuovo traffico acquisito dal nome di dominio completo viene sottoposto correttamente a tunneling in base a una corrispondenza dell'FQDN di destinazione in un profilo di inoltro del traffico.
    • I flussi mostrano un elenco live di connessioni avviate dal dispositivo dell'utente finale e sottoposto a tunneling dal client alla rete perimetrale Di accesso sicuro globale. Ogni connessione è una nuova riga.
      • Timestamp è l'ora in cui è stata stabilita la connessione per la prima volta.
      • Nome di dominio completo (FQDN) della destinazione della connessione. Se la decisione di eseguire il tunneling della connessione è stata effettuata in base a una regola IP nei criteri di inoltro non da una regola FQDN, la colonna FQDN mostra N/A.
      • Porta di origine del dispositivo dell'utente finale per questa connessione.
      • L'INDIRIZZO IP di destinazione è la destinazione della connessione.
      • Attualmente è supportato solo TCP.
      • Nome del processo che ha avviato la connessione.
      • Flow attivo indica se la connessione è ancora aperta.
      • I dati inviati forniscono il numero di byte inviati dal dispositivo dell'utente finale tramite la connessione.
      • I dati ricevuti forniscono il numero di byte ricevuti dal dispositivo dell'utente finale tramite la connessione.
      • L'ID di correlazione viene fornito a ogni connessione tunnelata dal client. Questo ID consente di tracciare la connessione nei log del client. I log client sono costituiti da visualizzatore eventi, traccia eventi (ETL) e log del traffico di accesso sicuro globale.
      • L'ID flusso è l'ID interno della connessione usata dal client visualizzato nel file ETL.
      • Il nome del canale identifica il profilo di inoltro del traffico a cui viene eseguito il tunneling della connessione. Questa decisione viene presa in base alle regole nel profilo di inoltro.
    • HostNameAcquisition fornisce un elenco di nomi host acquisiti dal client in base alle regole FQDN nel profilo di inoltro. Ogni nome host viene visualizzato in una nuova riga. L'acquisizione futura dello stesso nome host crea un'altra riga se DNS risolve il nome host (FQDN) in un indirizzo IP diverso.
      • Timestamp è l'ora in cui è stata stabilita la connessione per la prima volta.
      • FQDN risolto.
      • L'indirizzo IP generato è un indirizzo IP generato dal client per scopi interni. Questo indirizzo IP viene visualizzato nella scheda Flussi per le connessioni stabilite al nome di dominio completo relativo.
      • L'indirizzo IP originale è il primo indirizzo IPv4 nella risposta DNS quando si esegue una query sul nome di dominio completo. Se il server DNS a cui punta il dispositivo dell'utente finale non restituisce un indirizzo IPv4 per la query, l'indirizzo IP originale mostra 0.0.0.0.
    • I servizi mostrano lo stato dei servizi Windows correlati al client Accesso sicuro globale. I servizi avviati hanno un'icona di stato verde, i servizi arrestati mostrano un'icona di stato rossa. Per il funzionamento del client, è necessario avviare tutti e tre i servizi Windows.
    • I canali elencano i profili di inoltro del traffico assegnati al client e lo stato della connessione alla rete perimetrale di Accesso sicuro globale.

Registri eventi

I registri eventi correlati al client Di accesso sicuro globale sono disponibili nella Visualizzatore eventi in Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational. Questi eventi forniscono dettagli utili relativi allo stato, ai criteri e alle connessioni effettuate dal client.

Disabilitare IPv6 e DNS sicuro

Se è necessaria assistenza per disabilitare IPv6 o proteggere IL DNS nei dispositivi Windows con cui si sta provando l'anteprima, lo script seguente fornisce assistenza.

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

Esempio di configurazione proxy

File PAC proxy di esempio contenente esclusioni:

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||
      dnsDomainIs(host, ".contoso.com") || //tunneled
      dnsDomainIs(host, ".fabrikam.com"))  // tunneled
      return "DIRECT";                     // If true, sets "DIRECT" connection
      else                                 // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

Le organizzazioni devono quindi creare una variabile di sistema denominata grpc_proxy con un valore simile http://10.1.0.10:8080 a quello che corrisponde alla configurazione del server proxy nei computer degli utenti finali per consentire ai servizi client di Accesso sicuro globale di usare il proxy configurando quanto segue.

Bloccare QUIC durante il tunneling del traffico di Exchange Online

Poiché il traffico UDP non è supportato nell'anteprima corrente, le organizzazioni che pianificano il tunneling del traffico di Exchange Online devono disabilitare il protocollo QUIC (443 UDP). Amministrazione istrator può disabilitare questo protocollo che attiva il fallback dei client a HTTPS (443 TCP) con la regola di Windows Firewall seguente:

New-NetFirewallRule -DisplayName "Block QUIC for Exchange Online" -Direction Outbound -Action Block -Protocol UDP -RemoteAddress 13.107.6.152/31,13.107.18.10/31,13.107.128.0/22,23.103.160.0/20,40.96.0.0/13,40.104.0.0/15,52.96.0.0/14,131.253.33.215/32,132.245.0.0/16,150.171.32.0/22,204.79.197.215/32,6.6.0.0/16 -RemotePort 443 

Questo elenco di indirizzi IPv4 si basa sugli URL e sugli intervalli di indirizzi IP di Office 365 e il blocco IPv4 usato dal client Di accesso sicuro globale. Per informazioni sull'indirizzo del servizio Accesso sicuro globale, vedere i punti di presenza e gli indirizzi del servizio.

Condizioni per l’Utilizzo

L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.

Passaggi successivi

Il passaggio successivo per iniziare a usare Accesso a Internet Microsoft Entra consiste nell'abilitare le restrizioni universali del tenant.