Client di accesso sicuro globale per Windows
Il client Accesso sicuro globale, un componente essenziale di Accesso sicuro globale, consente alle organizzazioni di gestire e proteggere il traffico di rete nei dispositivi degli utenti finali. Il ruolo principale del client consiste nel instradare il traffico che deve essere protetto dall'accesso sicuro globale al servizio cloud. Tutto l'altro traffico passa direttamente alla rete. I profili di inoltro, configurati nel portale, determinano il traffico che il client di accesso sicuro globale instrada al servizio cloud.
Questo articolo descrive come scaricare e installare il client Accesso sicuro globale per Windows.
Prerequisiti
- Un tenant Entra di cui è stato eseguito l'onboarding in Accesso sicuro globale.
- Un dispositivo gestito aggiunto al tenant di cui è stato eseguito l'onboarding. Il dispositivo deve essere aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido.
- I dispositivi registrati Microsoft Entra non sono supportati.
- Il client Accesso sicuro globale richiede una versione a 64 bit di Windows 10 o Windows 11.
- Desktop virtuale Azure a sessione singola è supportato.
- Desktop virtuale Azure a sessione multipla non è supportato.
- Windows 365 è supportato.
- Le credenziali di amministratore locale sono necessarie per installare o aggiornare il client.
- Il client Di accesso sicuro globale richiede licenze. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.
Scarica il client
La versione più recente del client Di accesso sicuro globale è disponibile per il download dall'interfaccia di amministrazione di Microsoft Entra.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore Accesso globale sicuro.
- Passare al download globale del client Secure Access>Connect.>
- Selezionare Scarica client.
Installare il client Di accesso sicuro globale
Installazione automatica
Le organizzazioni possono installare automaticamente il client Di accesso sicuro globale con il /quiet commutatore o usare soluzioni MDM (Mobile Gestione dispositivi), ad esempio Microsoft Intune per distribuire il client nei propri dispositivi.
Installazione manuale
Per installare manualmente il client Di accesso sicuro globale:
- Eseguire il file di installazione GlobalSecureAccessClient.exe. Accettare le condizioni di licenza software.
- Il client installa e accede automaticamente con le credenziali di Microsoft Entra. Se l'accesso invisibile all'utente non riesce, il programma di installazione richiede di eseguire l'accesso manualmente.
- Accedi. L'icona di connessione diventa verde.
- Passare il puntatore del mouse sull'icona di connessione per aprire la notifica di stato del client, che deve essere visualizzata come Connessa.
Azioni client
Per visualizzare le azioni del menu client disponibili, fare clic con il pulsante destro del mouse sull'icona della barra degli accessi sicuri globali.
Suggerimento
Le azioni del menu client Accesso sicuro globale variano in base alla configurazione delle chiavi del Registro di sistema client.
| Azione | Descrizione |
|---|---|
| Disconnettersi | Nascosto per impostazione predefinita. Usare l'azione Disconnetti quando è necessario accedere al client Di accesso sicuro globale con un utente Entra diverso da quello usato per accedere a Windows. Per rendere disponibile questa azione, aggiornare le chiavi del Registro di sistema client appropriate. |
| Sospendi | Selezionare l'azione Sospendi per sospendere temporaneamente il client. Il client rimane sospeso fino a quando non si riprende il client o si riavvia il computer. |
| Riprendi | Riprende il client sospeso. |
| Disabilitare l'accesso privato | Nascosto per impostazione predefinita. Usare l'azione Disabilita accesso privato quando si vuole ignorare l'accesso sicuro globale ogni volta che si connette il dispositivo direttamente alla rete aziendale per accedere alle applicazioni private direttamente attraverso la rete anziché tramite l'accesso sicuro globale. Per rendere disponibile questa azione, aggiornare le chiavi del Registro di sistema client appropriate. |
| Raccogliere i log | Selezionare questa azione per raccogliere i log client (informazioni sul computer client, i registri eventi correlati per i servizi e i valori del Registro di sistema) e archiviarli in un file ZIP da condividere con supporto tecnico Microsoft per l'analisi. Il percorso predefinito per i log è C:\Program Files\Global Secure Access Client\Logs. |
| Diagnostica avanzata | Selezionare questa azione per avviare l'utilità Diagnostica avanzata e accedere a un'ampia gamma di strumenti per la risoluzione dei problemi . |
Indicatori di stato del client
Notifica di stato
Fare doppio clic sull'icona Accesso sicuro globale per aprire la notifica di stato del client e visualizzare lo stato di ogni canale configurato per il client.
Stato client nell'icona dell'area di notifica
| Icon | Message | Descrizione |
|---|---|---|
|
Client di accesso sicuro globale | Il client sta inizializzando e controllando la connessione ad Accesso sicuro globale. |
|
Client di accesso sicuro globale - Connesso | Il client è connesso all'accesso sicuro globale. |
|
Client di accesso sicuro globale - Disabilitato | Il client è disabilitato perché i servizi sono offline o l'utente ha disabilitato il client. |
|
Client di accesso sicuro globale - Disconnesso | Il client non è riuscito a connettersi all'accesso sicuro globale. |
|
Client di accesso sicuro globale - Alcuni canali non sono raggiungibili | Il client è parzialmente connesso all'accesso sicuro globale( ovvero la connessione a almeno un canale ha avuto esito negativo: Entra, Microsoft 365, Accesso privato, Accesso Internet). |
|
|
Client di accesso sicuro globale - Disabilitato dall'organizzazione | L'organizzazione ha disabilitato il client, ovvero tutti i profili di inoltro del traffico sono disabilitati. |
|
|
Accesso sicuro globale : l'accesso privato è disabilitato | L'utente ha disabilitato l'accesso privato in questo dispositivo. |
|
|
Accesso sicuro globale: non è stato possibile connettersi a Internet | Il client non è riuscito a rilevare una connessione Internet. Il dispositivo è connesso a una rete che non ha una connessione Internet o una rete che richiede l'accesso al portale captive. |
Limitazioni note
Le limitazioni note per la versione corrente del client Di accesso sicuro globale includono:
Secure Domain Name System (DNS)
Il client Di accesso sicuro globale attualmente non supporta DNS sicuro nelle diverse versioni, ad esempio DNS su HTTPS (DoH), DNS su TLS (DoT) o DNS Security Extensions (DNSSEC). Per configurare il client in modo che possa acquisire il traffico di rete, è necessario disabilitare il DNS sicuro. Per disabilitare il DNS sicuro nel browser, vedere Proteggere IL DNS disabilitato nei browser.
DNS su TCP
DNS usa la porta 53 UDP per la risoluzione dei nomi. Alcuni browser hanno il proprio client DNS che supporta anche la porta 53 TCP. Attualmente il client Accesso sicuro globale non supporta la porta DNS 53 TCP. Come mitigazione, disabilitare il client DNS del browser impostando i valori del Registro di sistema seguenti:
- Microsoft Edge
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000 - Chrome
[HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
Aggiungere anche l'esplorazionechrome://flagse la disabilitazione diAsync DNS resolver.
IPv6 non supportato
Il client esegue il tunneling solo del traffico IPv4. Il traffico IPv6 non viene acquisito dal client e viene quindi trasferito direttamente alla rete. Per consentire il tunneling di tutto il traffico pertinente, impostare le proprietà della scheda di rete su IPv4 preferite.
Fallback della connessione
Se si verifica un errore di connessione al servizio cloud, il client esegue il fallback alla connessione Internet diretta o blocca la connessione, in base al valore di protezione avanzata della regola di corrispondenza nel profilo di inoltro.
Georilevazione
Per il traffico di rete sottoposto a tunneling al servizio cloud, il server applicazioni (sito Web) rileva l'INDIRIZZO IP di origine della connessione come indirizzo IP del dispositivo perimetrale (e non come indirizzo IP del dispositivo utente). Questo scenario potrebbe influire sui servizi che si basano sulla georilevazione.
Suggerimento
Per consentire a Office 365 e Entra di rilevare l'indirizzo IP di origine reale del dispositivo, valutare la possibilità di abilitare il ripristino ip di origine.
Supporto virtualizzazione
Non è possibile installare il client Di accesso sicuro globale in un dispositivo che ospita macchine virtuali. Tuttavia, è possibile installare il client Di accesso sicuro globale in una macchina virtuale, purché il client non sia installato nel computer host. Per lo stesso motivo, un sottosistema Windows per Linux (WSL) non acquisisce il traffico da un client installato nel computer host.
Proxy
Se un proxy è configurato a livello di applicazione (ad esempio un browser) o a livello di sistema operativo, configurare un file di configurazione automatica del proxy (PAC) per escludere tutti gli FQDN e gli INDIRIZZI IP previsti per il tunneling del client.
Per impedire che le richieste HTTP per FQDN/IP specifici possano eseguire il tunneling al proxy, aggiungere gli FQDN/IP al file PAC come eccezioni. Questi FQDN/INDIRIZZI IP si trovano nel profilo di inoltro di Accesso sicuro globale per il tunneling. Ad esempio:
function FindProxyForURL(url, host) {
if (isPlainHostName(host) ||
dnsDomainIs(host, ".microsoft.com") || // tunneled
dnsDomainIs(host, ".msn.com")) // tunneled
return "DIRECT"; // If true, sets "DIRECT" connection
else // If not true...
return "PROXY 10.1.0.10:8080"; // forward the connection to the proxy
}
Se non è possibile stabilire una connessione Internet diretta, configurare il client per connettersi al servizio Accesso sicuro globale tramite un proxy. Ad esempio, impostare la grpc_proxy variabile di sistema in modo che corrisponda al valore del proxy, ad esempio http://proxy:8080.
Per applicare le modifiche di configurazione, riavviare i servizi Windows client di Accesso sicuro globale.
Inserimento di pacchetti
Il client esegue solo il tunneling del traffico inviato tramite socket. Non esegue il tunneling del traffico inserito nello stack di rete usando un driver(ad esempio, parte del traffico generato da Network Mapper (Nmap)). I pacchetti inseriti passano direttamente alla rete.
Multisessione
Il client Accesso sicuro globale non supporta sessioni simultanee nello stesso computer. Questa limitazione si applica ai server RDP e alle soluzioni VDI, ad esempio Desktop virtuale Azure (AVD) configurate per più sessioni.
Arm64
Il client Accesso sicuro globale non supporta l'architettura arm64.
QUIC non supportato per l'accesso a Internet
Poiché QUIC non è ancora supportato per l'accesso a Internet, il traffico verso le porte 80 UDP e 443 UDP non può essere sottoposto a tunneling.
Suggerimento
QUIC è attualmente supportato nei carichi di lavoro di Accesso privato e Microsoft 365.
Gli amministratori possono disabilitare il protocollo QUIC che attiva il fallback dei client a HTTPS su TCP, che è completamente supportato in Accesso Internet. Per altre informazioni, vedere QUIC non supportato per l'accesso a Internet.
Risoluzione dei problemi
Per risolvere i problemi del client accesso sicuro globale, fare clic con il pulsante destro del mouse sull'icona del client nella barra delle applicazioni e selezionare una delle opzioni di risoluzione dei problemi: Raccogliere log o Diagnostica avanzata.
Suggerimento
Gli amministratori possono modificare le opzioni del menu client accesso sicuro globale rivedendo le chiavi del Registro di sistema client.
Per informazioni più dettagliate sulla risoluzione dei problemi del client Di accesso sicuro globale, vedere gli articoli seguenti:
- Risolvere i problemi del client Di accesso sicuro globale: diagnostica avanzata
- Risolvere i problemi del client Di accesso sicuro globale: scheda Controllo integrità
Chiavi del Registro di sistema client
Il client Accesso sicuro globale usa chiavi specifiche del Registro di sistema per abilitare o disabilitare funzionalità diverse. Gli amministratori possono usare soluzioni mdm (Mobile Gestione dispositivi), ad esempio Microsoft Intune o Criteri di gruppo per controllare i valori del Registro di sistema.
Attenzione
Non modificare altri valori del Registro di sistema a meno che non venga indicato da supporto tecnico Microsoft.
Disabilitare o abilitare l'accesso privato nel client
Questo valore del Registro di sistema controlla se l'accesso privato è abilitato o disabilitato per il client. Se un utente è connesso alla rete aziendale, può scegliere di ignorare l'accesso sicuro globale e accedere direttamente alle applicazioni private.
Gli utenti possono disabilitare e abilitare l'accesso privato tramite il menu della barra delle applicazioni.
Suggerimento
Questa opzione è disponibile nel menu solo se non è nascosta (vedere Nascondere o visualizzare i pulsanti del menu della barra delle applicazioni) e l'accesso privato è abilitato per questo tenant.
Gli amministratori possono disabilitare o abilitare l'accesso privato per l'utente impostando la chiave del Registro di sistema:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
| Valore | Type | Dati | Descrizione |
|---|---|---|---|
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x0 | L'accesso privato è abilitato in questo dispositivo. Il traffico di rete verso applicazioni private passa attraverso l'accesso sicuro globale. |
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x1 | L'accesso privato è disabilitato in questo dispositivo. Il traffico di rete verso applicazioni private passa direttamente alla rete. |
Se il valore del Registro di sistema non esiste, il valore predefinito è 0x0, l'accesso privato è abilitato.
Nascondi o scopri i pulsanti del menu della barra delle applicazioni
L'amministratore può visualizzare o nascondere pulsanti specifici nel menu icona dell'area di notifica del client. Creare i valori nella chiave del Registro di sistema seguente:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
| Valore | Type | Dati | Comportamento predefinito | Descrizione |
|---|---|---|---|---|
| HideSignOutButton | REG_DWORD | 0x0 - visualizzato 0x1 - nascosto | Nascosto | Configurare questa impostazione per visualizzare o nascondere l'azione Disconnetti . Questa opzione è per scenari specifici quando un utente deve accedere al client con un utente Entra diverso da quello usato per accedere a Windows. Nota: è necessario accedere al client con un utente nello stesso tenant Entra a cui viene aggiunto il dispositivo. È anche possibile usare l'azione Disconnetti per autenticare nuovamente l'utente esistente. |
| HideDisablePrivateAccessButton | REG_DWORD | 0x0 - visualizzato 0x1 - nascosto | Nascosto | Configurare questa impostazione per visualizzare o nascondere l'azione Disabilita accesso privato. Questa opzione è per uno scenario in cui il dispositivo è connesso direttamente alla rete aziendale e l'utente preferisce accedere alle applicazioni private direttamente tramite la rete anziché tramite l'accesso sicuro globale. |
Per altre informazioni, vedere Linee guida per la configurazione di IPv6 in Windows per utenti avanzati.