Share via

Global Secure Access-client voor Windows (preview)

  • Artikel

Meer informatie over het installeren van de Global Secure Access-client voor Windows.

Vereisten

  • De Global Secure Access-client wordt ondersteund in 64-bits versies van Windows 11 of Windows 10.
    • Azure Virtual Desktop met één sessie wordt ondersteund.
    • Azure Virtual Desktop voor meerdere sessies wordt niet ondersteund.
    • Windows 365 wordt ondersteund.
  • Apparaten moeten lid zijn van Microsoft Entra of hybride Microsoft Entra-gekoppeld zijn.
    • Geregistreerde Microsoft Entra-apparaten worden niet ondersteund.
  • Lokale beheerdersreferenties zijn vereist voor de installatie.
  • Voor de preview is een Licentie voor Microsoft Entra ID P1 vereist. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Bekende beperkingen

  • Meerdere gebruikerssessies op hetzelfde apparaat, zoals die van een Extern bureaublad-server (RDP), worden niet ondersteund.
  • Netwerken die gebruikmaken van een captive portal, zoals sommige draadloze gastnetwerkoplossingen, kunnen ertoe leiden dat de clientverbinding mislukt. Als tijdelijke oplossing kunt u de Global Secure Access-client onderbreken.
  • Virtuele machines waarop zowel de host- als gastbesturingssystemen de Global Secure Access-client hebben geïnstalleerd, worden niet ondersteund. Afzonderlijke virtuele machines waarop de client is geïnstalleerd, worden ondersteund.
  • De service omzeilt het verkeer als de Global Secure Access-client geen verbinding kan maken met de service (bijvoorbeeld vanwege een autorisatie- of voorwaardelijke toegangsfout). Verkeer wordt direct en lokaal verzonden in plaats van te worden geblokkeerd. In dit scenario kunt u een beleid voor voorwaardelijke toegang maken voor de compatibele netwerkcontrole om verkeer te blokkeren als de client geen verbinding kan maken met de service.
  • De Global Secure Access-client op ARM64-architectuur wordt nog niet ondersteund. ARM64 staat echter op de roadmap.

Er zijn verschillende andere beperkingen op basis van het profiel voor het doorsturen van verkeer in gebruik:

Profiel voor het doorsturen van verkeer Beperking
Microsoft 365 Het tunnelen van IPv6-verkeer wordt momenteel niet ondersteund.
Toegang tot Microsoft 365 en Privé Als u netwerkverkeer wilt tunnelen op basis van regels van FQDN's (in het doorstuurprofiel), moet Domain Name System (DNS) via HTTPS (Secure DNS) worden uitgeschakeld.
Toegang tot Microsoft 365 en Privé Als het apparaat van de eindgebruiker is geconfigureerd voor het gebruik van een proxyserver, moeten locaties die u wilt tunnelen met behulp van de Global Secure Access-client worden uitgesloten van die configuratie. Zie het voorbeeld van de proxyconfiguratie voor voorbeelden.
Privétoegang Domeinen met één label, zoals https://contosohome voor privé-apps, worden niet ondersteund. Gebruik in plaats daarvan een FQDN (Fully Qualified Domain Name), zoals https://contosohome.contoso.com. Beheer istrators kunnen er ook voor kiezen om DNS-achtervoegsels toe te voegen via Windows.

De client downloaden

De meest recente versie van de Global Secure Access-client kan worden gedownload vanuit het Microsoft Entra-beheercentrum.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als een global Secure Access Beheer istrator.

  2. Blader naar global Secure Access (preview)>Verbinding maken> Client downloaden.

  3. Selecteer Client downloaden.

    Schermopname van de knop Windows-client downloaden.

De client installeren

Organisaties kunnen de client interactief, op de achtergrond installeren met de /quiet switch of mobiele-apparaatbeheerplatforms zoals Microsoft Intune gebruiken om deze op hun apparaten te implementeren.

  1. Kopieer het installatiebestand van de Global Secure Access-client naar uw clientcomputer.

  2. Voer het installatiebestand GlobalSecureAccessClient.exe uit. Accepteer de licentievoorwaarden voor software.

  3. De client is geïnstalleerd en gebruikers wordt gevraagd zich aan te melden met hun Microsoft Entra-referenties.

    Schermopname van het aanmeldingsvak wordt weergegeven nadat de clientinstallatie is voltooid.

  4. Gebruikers melden zich aan en het verbindingspictogram wordt groen. Als u dubbelklikt op het verbindingspictogram, wordt een melding geopend met clientgegevens met een verbonden status.

    Schermopname van de client is verbonden.

Probleemoplossing

Als u problemen met de Global Secure Access-client wilt oplossen, klikt u met de rechtermuisknop op het clientpictogram op de taakbalk.

Schermopname van het contextmenu van de Global Secure Access-client.

  • Aanmelden als een andere gebruiker
    • Hiermee dwingt u het aanmeldingsscherm af om de gebruiker te wijzigen of de bestaande gebruiker opnieuw te verifiëren.
  • Onderbreken
    • Deze optie kan worden gebruikt om verkeerstunneling tijdelijk uit te schakelen. Omdat deze client deel uitmaakt van het beveiligingspostuur van uw organisatie, raden we u aan deze altijd actief te laten.
    • Met deze optie worden de Windows-services met betrekking tot de client gestopt. Wanneer deze services worden gestopt, wordt verkeer van de clientcomputer naar de cloudservice niet meer getunneld. Netwerkverkeer gedraagt zich alsof de client niet is geïnstalleerd terwijl de client is onderbroken. Als de clientcomputer opnieuw wordt opgestart, worden de services automatisch opnieuw opgestart.
  • Hervatten
    • Met deze optie worden de onderliggende services gestart die betrekking hebben op de Global Secure Access-client. Deze optie wordt gebruikt om te hervatten nadat de client tijdelijk is onderbroken voor probleemoplossing. Verkeer hervat tunneling van de client naar de cloudservice.
  • Opnieuw starten
    • Deze optie stopt en start de Windows-services die betrekking hebben op de client.
  • Logboeken verzamelen
    • Verzamel logboeken voor ondersteuning en verdere probleemoplossing. Deze logboeken worden standaard verzameld en opgeslagen C:\Program Files\Global Secure Access Client\Logs .
      • Deze logboeken bevatten informatie over de clientcomputer, de gerelateerde gebeurtenislogboeken voor de services en registerwaarden, waaronder de toegepaste profielen voor het doorsturen van verkeer.
  • Clientcontrole
    • Voert een script uit om clientonderdelen te testen, zodat de client is geconfigureerd en werkt zoals verwacht.
  • Verbinding maken ion Diagnostics biedt een liveweergave van clientstatus en verbindingen die door de client zijn getunneld naar de Global Secure Access-service
    • Het tabblad Samenvatting bevat algemene informatie over de clientconfiguratie, waaronder: beleidsversie in gebruik, datum en tijd van laatste beleidsupdate en de id van de tenant waarmee de client is geconfigureerd.
      • De overnamestatus van de hostnaam wordt groen wanneer nieuw verkeer dat is verkregen door FQDN, wordt getunneld op basis van een overeenkomst van de doel-FQDN in een verkeersdoorstuurprofiel.
    • Stromen tonen een livelijst met verbindingen die door het apparaat van de eindgebruiker zijn geïnitieerd en door de client zijn getunneld naar de edge van Global Secure Access. Elke verbinding is een nieuwe rij.
      • Tijdstempel is het tijdstip waarop de verbinding voor het eerst tot stand is gebracht.
      • FQDN (Fully Qualified Domain Name) van de bestemming van de verbinding. Als de beslissing om de verbinding te tunnelen is gemaakt op basis van een IP-regel in het doorstuurbeleid niet door een FQDN-regel, wordt in de kolom FQDN N/B weergegeven.
      • Bronpoort van het apparaat van de eindgebruiker voor deze verbinding.
      • Doel-IP is het doel van de verbinding.
      • Alleen TCP-protocol wordt momenteel ondersteund.
      • Procesnaam waarmee de verbinding is gestart.
      • Stroom actief geeft de status aan of de verbinding nog steeds is geopend.
      • Verzonden gegevens bieden het aantal bytes dat wordt verzonden door het apparaat van de eindgebruiker via de verbinding.
      • Ontvangen gegevens bieden het aantal bytes dat door het apparaat van de eindgebruiker wordt ontvangen via de verbinding.
      • Correlatie-id wordt verstrekt aan elke verbinding die door de client wordt getunneld. Met deze id kunt u de verbinding in de clientlogboeken traceren. De clientlogboeken bestaan uit logboeken, gebeurtenistracering (ETL) en de global Secure Access-verkeerslogboeken.
      • Stroom-id is de interne id van de verbinding die wordt gebruikt door de client die wordt weergegeven in het ETL-bestand.
      • Kanaalnaam identificeert het profiel voor het doorsturen van verkeer waarnaar de verbinding wordt getunneld. Deze beslissing wordt genomen volgens de regels in het doorstuurprofiel.
    • HostNameAcquisition biedt een lijst met hostnamen die de client heeft verkregen op basis van de FQDN-regels in het doorstuurprofiel. Elke hostnaam wordt weergegeven in een nieuwe rij. Toekomstige overname van dezelfde hostnaam maakt een andere rij als DNS de hostnaam (FQDN) converteert naar een ander IP-adres.
      • Tijdstempel is het tijdstip waarop de verbinding voor het eerst tot stand is gebracht.
      • FQDN die is opgelost.
      • Gegenereerd IP-adres is een IP-adres dat door de client wordt gegenereerd voor interne doeleinden. Dit IP-adres wordt weergegeven op het tabblad Stromen voor verbindingen die tot stand zijn gebracht met de relatieve FQDN.
      • Het oorspronkelijke IP-adres is het eerste IPv4-adres in het DNS-antwoord bij het uitvoeren van een query op de FQDN. Als de DNS-server waarnaar het apparaat van de eindgebruiker verwijst geen IPv4-adres voor de query retourneert, wordt het oorspronkelijke IP-adres weergegeven 0.0.0.0.
    • Services geven de status weer van de Windows-services die betrekking hebben op de Global Secure Access-client. Services die zijn gestart, hebben een groen statuspictogram, services die zijn gestopt, geven een rood statuspictogram weer. Alle drie de Windows-services moeten worden gestart om de client te laten functioneren.
    • Kanalen vermelden de profielen voor het doorsturen van verkeer die zijn toegewezen aan de client en de status van de verbinding met de edge voor globale beveiligde toegang.

Gebeurtenislogboeken

Gebeurtenislogboeken met betrekking tot de Global Secure Access-client vindt u in de Logboeken onder Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational. Deze gebeurtenissen bieden nuttige details met betrekking tot de status, het beleid en de verbindingen die door de client zijn gemaakt.

IPv6 uitschakelen en DNS beveiligen

Als u hulp nodig hebt bij het uitschakelen van IPv6 of het beveiligen van DNS op Windows-apparaten waarmee u de preview-versie probeert, biedt het volgende script hulp.

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

Voorbeeld van proxyconfiguratie

Voorbeeld van een PAC-proxybestand met uitsluitingen:

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||
      dnsDomainIs(host, ".contoso.com") || //tunneled
      dnsDomainIs(host, ".fabrikam.com"))  // tunneled
      return "DIRECT";                     // If true, sets "DIRECT" connection
      else                                 // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

Organisaties moeten vervolgens een systeemvariabele grpc_proxy met een naam maken met een waarde die overeenkomt http://10.1.0.10:8080 met de configuratie van uw proxyserver op computers van eindgebruikers, zodat de global Secure Access-clientservices de proxy kunnen gebruiken door het volgende te configureren.

Gebruiksvoorwaarden

Uw gebruik van de Microsoft Entra-privétoegang en Microsoft Entra-internettoegang preview-ervaringen en -functies is onderhevig aan de voorwaarden van de online online servicevoorwaarden van de overeenkomst(en) waaronder u de services hebt verkregen. Previews kunnen onderhevig zijn aan verminderde of andere verplichtingen op het gebied van beveiliging, naleving en privacy, zoals verder wordt uitgelegd in de universele licentievoorwaarden voor onlineservices en de Microsoft-gegevensbeschermingstoevoeging ('DPA') en eventuele andere kennisgevingen die bij de preview worden geleverd.

Volgende stappen

De volgende stap voor het aan de slag gaan met Microsoft Entra-internettoegang is het inschakelen van universele tenantbeperkingen.