Share via

Globale Secure Access-client voor Windows

  • Artikel

De Global Secure Access-client, een essentieel onderdeel van Global Secure Access, helpt organisaties bij het beheren en beveiligen van netwerkverkeer op apparaten van eindgebruikers. De belangrijkste rol van de client is het routeren van verkeer dat moet worden beveiligd door globale beveiligde toegang tot de cloudservice. Al het andere verkeer gaat rechtstreeks naar het netwerk. De doorstuurprofielen, geconfigureerd in de portal, bepalen welk verkeer de Global Secure Access-client routeert naar de cloudservice.

In dit artikel wordt beschreven hoe u de Global Secure Access-client voor Windows downloadt en installeert.

Vereisten

  • Een Entra-tenant die is geïmplementeerd voor Global Secure Access.
  • Een beheerd apparaat dat is toegevoegd aan de onboarded tenant. Het apparaat moet lid zijn van Microsoft Entra of hybride Microsoft Entra-gekoppeld.
    • Geregistreerde Microsoft Entra-apparaten worden niet ondersteund.
  • De Global Secure Access-client vereist een 64-bits versie van Windows 10 of Windows 11.
    • Azure Virtual Desktop met één sessie wordt ondersteund.
    • Azure Virtual Desktop voor meerdere sessies wordt niet ondersteund.
    • Windows 365 wordt ondersteund.
  • Lokale beheerdersreferenties zijn vereist om de client te installeren of bij te werken.
  • Voor de Global Secure Access-client zijn licenties vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

De client downloaden

De meest recente versie van de Global Secure Access-client is beschikbaar om te downloaden vanuit het Microsoft Entra-beheercentrum.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.
  2. Blader naar global Secure Access>Connect Client>download.
  3. Selecteer Client downloaden. Schermopname van het scherm Client downloaden met de knop Client downloaden gemarkeerd.

De global Secure Access-client installeren

Geautomatiseerde installatie

Organisaties kunnen de Global Secure Access-client op de achtergrond installeren met de /quiet switch of mdm-oplossingen (Mobile Apparaatbeheer) gebruiken, zoals Microsoft Intune om de client op hun apparaten te implementeren.

Handmatige installatie

De Global Secure Access-client handmatig installeren:

  1. Voer het installatiebestand GlobalSecureAccessClient.exe uit. Accepteer de licentievoorwaarden voor software.
  2. De client installeert en meldt u op de achtergrond aan met uw Microsoft Entra-referenties. Als de stille aanmelding mislukt, wordt u door het installatieprogramma gevraagd u handmatig aan te melden.
  3. Meld u aan. Het verbindingspictogram wordt groen.
  4. Beweeg de muisaanwijzer over het verbindingspictogram om de melding van de clientstatus te openen, die moet worden weergegeven als Verbonden.
    Schermopname van de client is verbonden.

Clientacties

Als u de beschikbare acties voor het clientmenu wilt weergeven, klikt u met de rechtermuisknop op het systeemvak van Global Secure Access. Schermopname van de volledige lijst met global Secure Access-clientacties.

Tip

De algemene secure access-clientmenuacties variëren afhankelijk van de configuratie van de clientregistersleutels .

Actie Beschrijving
Afmelden Standaard verborgen. Gebruik de actie Afmelden wanneer u zich moet aanmelden bij de Global Secure Access-client met een andere Entra-gebruiker dan de gebruiker die wordt gebruikt om u aan te melden bij Windows. Werk de juiste clientregistersleutels bij om deze actie beschikbaar te maken.
Onderbreken Selecteer de actie Onderbreken om de client tijdelijk te onderbreken. De client blijft onderbroken totdat u de client hervat of de computer opnieuw opstart.
Hervatten De onderbroken client wordt hervat.
Privétoegang uitschakelen Standaard verborgen. Gebruik de actie Privétoegang uitschakelen wanneer u globale beveiligde toegang wilt omzeilen wanneer u uw apparaat rechtstreeks met het bedrijfsnetwerk verbindt om rechtstreeks via het netwerk toegang te krijgen tot privétoepassingen in plaats van via Global Secure Access. Werk de juiste clientregistersleutels bij om deze actie beschikbaar te maken.
Logboeken verzamelen Selecteer deze actie om clientlogboeken te verzamelen (informatie over de clientcomputer, de gerelateerde gebeurtenislogboeken voor de services en registerwaarden) en archiveer deze in een zip-bestand om te delen met Microsoft Ondersteuning voor onderzoek. De standaardlocatie voor de logboeken is C:\Program Files\Global Secure Access Client\Logs.
Geavanceerde diagnostische gegevens Selecteer deze actie om het hulpprogramma Geavanceerde diagnostische gegevens te starten en toegang te krijgen tot een scala aan hulpprogramma's voor probleemoplossing .

Clientstatusindicatoren

Statusmelding

Dubbelklik op het pictogram globale beveiligde toegang om de melding van de clientstatus te openen en de status weer te geven van elk kanaal dat voor de client is geconfigureerd.
Schermopname van de clientstatus is verbonden.

Clientstatussen in systeemvakpictogram

Pictogram Bericht Beschrijving
Globale Secure Access-client De client initialiseert en controleert de verbinding met Global Secure Access.
Wereldwijde Secure Access-client - verbonden De client is verbonden met Global Secure Access.
Globale Secure Access-client - uitgeschakeld De client is uitgeschakeld omdat services offline zijn of omdat de gebruiker de client heeft uitgeschakeld.
Global Secure Access Client - Verbinding verbroken De client kan geen verbinding maken met Global Secure Access.
Global Secure Access Client - Sommige kanalen zijn onbereikbaar De client is gedeeltelijk verbonden met Global Secure Access (de verbinding met ten minste één kanaal is mislukt: Entra, Microsoft 365, Private Access, Internet Access).
Global Secure Access Client - Uitgeschakeld door uw organisatie Uw organisatie heeft de client uitgeschakeld (dat wil gezegd, alle profielen voor het doorsturen van verkeer zijn uitgeschakeld).
Globale beveiligde toegang - Privétoegang is uitgeschakeld De gebruiker heeft persoonlijke toegang op dit apparaat uitgeschakeld.
Globale beveiligde toegang - kan geen verbinding maken met internet De client kan geen internetverbinding detecteren. Het apparaat is verbonden met een netwerk dat geen internetverbinding heeft of een netwerk waarvoor captive portal-aanmelding is vereist.

Bekende beperkingen

Bekende beperkingen voor de huidige versie van de Global Secure Access-client zijn:

Secure Domain Name System (DNS)

De Global Secure Access-client biedt momenteel geen ondersteuning voor beveiligde DNS in de verschillende versies, zoals DNS via HTTPS (DoH), DNS via TLS (DoT) of DNS-beveiligingsextensies (DNSSEC). Als u de client zo wilt configureren dat deze netwerkverkeer kan verkrijgen, moet u beveiligde DNS uitschakelen. Als u beveiligde DNS in de browser wilt uitschakelen, raadpleegt u Beveiligde DNS uitgeschakeld in browsers.

DNS via TCP

DNS maakt gebruik van poort 53 UDP voor naamomzetting. Sommige browsers hebben hun eigen DNS-client die ook poort 53 TCP ondersteunt. Momenteel biedt de Global Secure Access-client geen ondersteuning voor DNS-poort 53 TCP. Als beperking schakelt u de DNS-client van de browser uit door de volgende registerwaarden in te stellen:

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
  • Chrome
    [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    Voeg ook browsen chrome://flags en uitschakelen Async DNS resolvertoe.

IPv6 wordt niet ondersteund

De client tunnels alleen IPv4-verkeer. IPv6-verkeer wordt niet verkregen door de client en wordt daarom rechtstreeks overgebracht naar het netwerk. Als u alle relevante verkeer wilt laten tunnelen, stelt u de eigenschappen van de netwerkadapter in op IPv4-voorkeur.

Terugval van verbinding

Als er een verbindingsfout is met de cloudservice, valt de client terug op een directe internetverbinding of blokkeert de verbinding, op basis van de blokkeringswaarde van de overeenkomende regel in het doorstuurprofiel.

Geolocatie

Voor netwerkverkeer dat wordt getunneld naar de cloudservice, detecteert de toepassingsserver (website) het bron-IP-adres van de verbinding als het IP-adres van de rand (en niet als het IP-adres van het gebruikersapparaat). Dit scenario kan van invloed zijn op services die afhankelijk zijn van geolocatie.

Tip

Voor Office 365 en Entra om het werkelijke bron-IP-adres van het apparaat te detecteren, kunt u overwegen om bron-IP-herstel in te schakelen.

Ondersteuning voor virtualisatie

U kunt de Global Secure Access-client niet installeren op een apparaat waarop virtuele machines worden gehost. U kunt de Global Secure Access-client echter installeren op een virtuele machine, zolang de client niet op de hostcomputer is geïnstalleerd. Om dezelfde reden krijgt een Windows-subsysteem voor Linux (WSL) geen verkeer van een client die op de hostcomputer is geïnstalleerd.

Proxy

Als een proxy is geconfigureerd op toepassingsniveau (zoals een browser) of op besturingssysteemniveau, configureert u een PAC-bestand (Proxy Auto Configuration) om alle FQDN's en IP-adressen uit te sluiten die u verwacht dat de client tunnelt.

Als u wilt voorkomen dat HTTP-aanvragen voor specifieke FQDN's/IP's worden getunneld naar de proxy, voegt u de FQDN's/IP's als uitzonderingen toe aan het PAC-bestand. (Deze FQDN's/IP's bevinden zich in het doorstuurprofiel van Global Secure Access voor tunneling. Voorbeeld:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Als een directe internetverbinding niet mogelijk is, configureert u de client om via een proxy verbinding te maken met de Global Secure Access-service. Stel bijvoorbeeld de grpc_proxy systeemvariabele in zodat deze overeenkomt met de waarde van de proxy, zoals http://proxy:8080.

Als u de configuratiewijzigingen wilt toepassen, start u de Windows-services van de Global Secure Access-client opnieuw op.

Pakketinjectie

De client tunnels alleen verkeer dat wordt verzonden met behulp van sockets. Het tunnelverkeer dat is geïnjecteerd in de netwerkstack met behulp van een stuurprogramma (bijvoorbeeld een deel van het verkeer dat wordt gegenereerd door Network Mapper (Nmap)). Geïnjecteerde pakketten gaan rechtstreeks naar het netwerk.

Multisessie

De Global Secure Access-client biedt geen ondersteuning voor gelijktijdige sessies op dezelfde computer. Deze beperking geldt voor RDP-servers en VDI-oplossingen zoals Azure Virtual Desktop (AVD) die zijn geconfigureerd voor meerdere sessies.

Arm64

De Global Secure Access-client biedt geen ondersteuning voor Arm64-architectuur.

QUIC wordt niet ondersteund voor internettoegang

Omdat QUIC nog niet wordt ondersteund voor internettoegang, kan verkeer naar poorten 80 UDP en 443 UDP niet worden getunneld.

Tip

QUIC wordt momenteel ondersteund in Privétoegang en Microsoft 365-workloads.

Beheerders kunnen HET QUIC-protocol uitschakelen dat clients activeren om terug te vallen op HTTPS via TCP, wat volledig wordt ondersteund in Internettoegang. Zie QUIC niet ondersteund voor internettoegang voor meer informatie.

Probleemoplossing

Als u problemen met de Global Secure Access-client wilt oplossen, klikt u met de rechtermuisknop op het clientpictogram op de taakbalk en selecteert u een van de opties voor probleemoplossing: Logboeken of geavanceerde diagnostische gegevens verzamelen.

Tip

Beheerders kunnen de menuopties van de global Secure Access-client wijzigen door de clientregistersleutels te wijzigen.

Zie de volgende artikelen voor meer informatie over het oplossen van problemen met de Global Secure Access-client:

Clientregistersleutels

De Global Secure Access-client maakt gebruik van specifieke registersleutels om verschillende functies in of uit te schakelen. Beheerders kunnen een MDM-oplossing (Mobile Apparaatbeheer) gebruiken, zoals Microsoft Intune of Groepsbeleid om de registerwaarden te beheren.

Let op

Wijzig geen andere registerwaarden, tenzij dit wordt aangegeven door Microsoft Ondersteuning.

Privétoegang op de client uitschakelen of inschakelen

Deze registerwaarde bepaalt of Private Access is ingeschakeld of uitgeschakeld voor de client. Als een gebruiker is verbonden met het bedrijfsnetwerk, kan deze ervoor kiezen om globale beveiligde toegang te omzeilen en rechtstreeks toegang te krijgen tot privétoepassingen.

Gebruikers kunnen Privétoegang uitschakelen en inschakelen via het systeemvakmenu.

Tip

Deze optie is alleen beschikbaar in het menu als deze niet verborgen is (zie menuknoppen systeemvak verbergen of zichtbaar maken) en Privétoegang is ingeschakeld voor deze tenant.

Beheerders kunnen privétoegang voor de gebruiker uitschakelen of inschakelen door de registersleutel in te stellen:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Weergegeven als Type 'Gegevens Beschrijving
IsPrivateAccessDisabledByUser REG_DWORD 0x0 Privétoegang is ingeschakeld op dit apparaat. Netwerkverkeer naar privétoepassingen gaat via Global Secure Access.
IsPrivateAccessDisabledByUser REG_DWORD 0x1 Persoonlijke toegang is uitgeschakeld op dit apparaat. Netwerkverkeer naar privétoepassingen gaat rechtstreeks naar het netwerk.

Schermopname van de Register-editor met de registersleutel IsPrivateAccessDisabledByUser gemarkeerd.

Als de registerwaarde niet bestaat, wordt de standaardwaarde 0x0, Privétoegang is ingeschakeld.

Menuknoppen voor systeemvak verbergen of zichtbaar maken

De beheerder kan specifieke knoppen weergeven of verbergen in het pictogrammenu van het systeemvak van de client. Maak de waarden onder de volgende registersleutel:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Weergegeven als Type Gegevens Standaardgedrag Beschrijving
HideSignOutButton REG_DWORD 0x0 - weergegeven 0x1 - verborgen verborgen Configureer deze instelling om de afmeldingsactie weer te geven of te verbergen. Deze optie is voor specifieke scenario's wanneer een gebruiker zich moet aanmelden bij de client met een andere Entra-gebruiker dan de gebruiker die wordt gebruikt om zich aan te melden bij Windows. Opmerking: U moet zich aanmelden bij de client met een gebruiker in dezelfde Entra-tenant waaraan het apparaat is gekoppeld. U kunt ook de actie Afmelden gebruiken om de bestaande gebruiker opnieuw te verifiëren.
HideDisablePrivateAccessButton REG_DWORD 0x0 - weergegeven 0x1 - verborgen verborgen Configureer deze instelling om de actie Privétoegang uitschakelen weer te geven of te verbergen. Deze optie is voor een scenario wanneer het apparaat rechtstreeks is verbonden met het bedrijfsnetwerk en de gebruiker de voorkeur geeft aan toegang tot privétoepassingen rechtstreeks via het netwerk in plaats van via global Secure Access.

Schermopname van de Register-editor met de registersleutels HideSignOutButton en HideDisablePrivateAccessButton gemarkeerd.

Zie Richtlijnen voor het configureren van IPv6 in Windows voor geavanceerde gebruikers voor meer informatie.