Udostępnij za pośrednictwem

Globalny klient bezpiecznego dostępu dla systemu Microsoft Windows

  • Artykuł

Klient globalnego bezpiecznego dostępu, podstawowy składnik globalnego bezpiecznego dostępu, pomaga organizacjom zarządzać i zabezpieczać ruch sieciowy na urządzeniach użytkowników końcowych. Główną rolą klienta jest kierowanie ruchu, który musi być zabezpieczony przez globalny bezpieczny dostęp do usługi w chmurze. Cały inny ruch przechodzi bezpośrednio do sieci. Profile przekazywania skonfigurowane w portalu określają, który ruch jest kierowany przez klienta globalnego bezpiecznego dostępu do usługi w chmurze.

W tym artykule opisano sposób pobierania i instalowania klienta globalnego bezpiecznego dostępu dla systemu Windows.

Wymagania wstępne

  • Dzierżawa firmy Microsoft Entra dołączona do globalnego bezpiecznego dostępu.
  • Urządzenie zarządzane przyłączone do dołączonej dzierżawy. Urządzenie musi być dołączone do firmy Microsoft entra lub dołączone hybrydowe rozwiązanie Microsoft Entra.
    • Zarejestrowane urządzenia usługi Microsoft Entra nie są obsługiwane.
  • Klient globalnego bezpiecznego dostępu wymaga 64-bitowej wersji systemu Windows 10 lub Windows 11.
    • Obsługiwana jest pojedyncza sesja usługi Azure Virtual Desktop.
    • Wiele sesji usługi Azure Virtual Desktop nie jest obsługiwane.
    • System Windows 365 jest obsługiwany.
  • Poświadczenia administratora lokalnego są wymagane do zainstalowania lub uaktualnienia klienta.
  • Klient globalnego bezpiecznego dostępu wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.

Pobierz klienta

Najnowsza wersja klienta globalnego bezpiecznego dostępu jest dostępna do pobrania z centrum administracyjnego firmy Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
  2. Przejdź do pobierania klienta programu Global Secure Access>Connect>.
  3. Wybierz pozycję Pobierz klienta. Zrzut ekranu pobierania klienta z wyróżnionym przyciskiem Pobierz klienta.

Instalowanie klienta globalnego bezpiecznego dostępu

Instalacja automatyczna

Organizacje mogą zainstalować klienta globalnego bezpiecznego dostępu w trybie dyskretnym za pomocą przełącznika /quiet lub użyć rozwiązań mobile Zarządzanie urządzeniami (MDM), takich jak Microsoft Intune, aby wdrożyć klienta na swoich urządzeniach.

Instalacja ręczna

Aby ręcznie zainstalować klienta globalnego bezpiecznego dostępu:

  1. Uruchom plik instalacyjny GlobalSecureAccessClient.exe. Zaakceptuj postanowienia licencyjne dotyczące oprogramowania.
  2. Klient instaluje i w trybie dyskretnym loguje się przy użyciu poświadczeń firmy Microsoft Entra. Jeśli logowanie dyskretne zakończy się niepowodzeniem, instalator wyświetli monit o zalogowanie się ręcznie.
  3. Zaloguj. Ikona połączenia zmieni kolor na zielony.
  4. Zatrzymaj wskaźnik myszy na ikonie połączenia, aby otworzyć powiadomienie o stanie klienta, które powinno być wyświetlane jako Połączono.
    Zrzut ekranu przedstawiający połączenie klienta.

Akcje klienta

Aby wyświetlić dostępne akcje menu klienta, kliknij prawym przyciskiem myszy ikonę globalnego paska zadań systemu bezpiecznego dostępu. Zrzut ekranu przedstawiający pełną listę akcji klienta globalnego bezpiecznego dostępu.

Napiwek

Akcje menu klienta Global Secure Access różnią się w zależności od konfiguracji kluczy rejestru klienta.

Akcja opis
Wyloguj się Domyślnie ukryte. Użyj akcji Wyloguj się , gdy musisz zalogować się do klienta globalnego bezpiecznego dostępu przy użyciu użytkownika Microsoft Entra innego niż ta używana do logowania się do systemu Windows. Aby udostępnić tę akcję, zaktualizuj odpowiednie klucze rejestru klienta.
Wyłącz Wybierz akcję Wyłącz, aby wyłączyć klienta. Klient pozostaje wyłączony do momentu włączenia klienta lub ponownego uruchomienia maszyny.
Włączone Włącza klienta globalnego bezpiecznego dostępu.
Wyłączanie dostępu prywatnego Domyślnie ukryte. Użyj akcji Wyłącz dostęp prywatny, jeśli chcesz pominąć globalny bezpieczny dostęp za każdym razem, gdy połączysz urządzenie bezpośrednio z siecią firmową, aby uzyskać dostęp do aplikacji prywatnych bezpośrednio za pośrednictwem sieci, a nie za pośrednictwem globalnego bezpiecznego dostępu. Aby udostępnić tę akcję, zaktualizuj odpowiednie klucze rejestru klienta.
Zbieranie dzienników Wybierz tę akcję, aby zebrać dzienniki klienta (informacje o komputerze klienckim, powiązane dzienniki zdarzeń dla usług i wartości rejestru) i zarchiwizować je w pliku zip, aby udostępnić je pomoc techniczna firmy Microsoft do zbadania. Domyślną lokalizacją dzienników jest C:\Program Files\Global Secure Access Client\Logs. Dzienniki klienta w systemie Windows można również zbierać, wprowadzając następujące polecenie w wierszu polecenia: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>.
Zaawansowana diagnostyka Wybierz tę akcję, aby uruchomić narzędzie do diagnostyki zaawansowanej i uzyskać dostęp do asortymentu narzędzi do rozwiązywania problemów.

Wskaźniki stanu klienta

Powiadomienie o stanie

Kliknij dwukrotnie ikonę Globalnego bezpiecznego dostępu, aby otworzyć powiadomienie o stanie klienta i wyświetlić stan każdego kanału skonfigurowanego dla klienta.
Zrzut ekranu przedstawiający stan klienta jest połączony.

Stan klienta w ikonie paska zadań systemu

Ikona Wiadomość opis
Globalny bezpieczny dostęp Klient inicjuje i sprawdza swoje połączenie z globalnym bezpiecznym dostępem.
Globalny bezpieczny dostęp — połączony Klient jest połączony z globalnym bezpiecznym dostępem.
Globalny bezpieczny dostęp — wyłączony Klient jest wyłączony, ponieważ usługi są w trybie offline lub użytkownik wyłączył klienta.
Globalny bezpieczny dostęp — rozłączony Klient nie może nawiązać połączenia z globalnym bezpiecznym dostępem.
Globalny bezpieczny dostęp — niektóre kanały są niedostępne Klient jest częściowo połączony z globalnym bezpiecznym dostępem (czyli połączenie z co najmniej jednym kanałem nie powiodło się: Microsoft Entra, Microsoft 365, Private Access, Internet Access).
Globalny bezpieczny dostęp — wyłączony przez organizację Twoja organizacja wyłączyła klienta (oznacza to, że wszystkie profile przesyłania dalej ruchu są wyłączone).
Globalny bezpieczny dostęp — dostęp prywatny jest wyłączony Użytkownik wyłączył dostęp prywatny na tym urządzeniu.
Globalny bezpieczny dostęp — nie można nawiązać połączenia z Internetem Klient nie może wykryć połączenia internetowego. Urządzenie jest połączone z siecią, która nie ma połączenia internetowego lub sieci, która wymaga logowania do portalu captive.

Znane ograniczenia

Znane ograniczenia dla bieżącej wersji klienta globalnego bezpiecznego dostępu obejmują:

Bezpieczny system nazw domen (DNS)

Klient globalnego bezpiecznego dostępu nie obsługuje obecnie bezpiecznego systemu DNS w różnych wersjach, takich jak DNS przez HTTPS (DoH), DNS przez TLS (DoT) lub rozszerzenia zabezpieczeń DNS (DNSSEC). Aby skonfigurować klienta, aby mógł uzyskać ruch sieciowy, należy wyłączyć bezpieczny system DNS. Aby wyłączyć bezpieczny system DNS w przeglądarce, zobacz Bezpieczny system DNS wyłączony w przeglądarkach.

DNS za pośrednictwem protokołu TCP

System DNS używa portu 53 UDP do rozpoznawania nazw. Niektóre przeglądarki mają własnego klienta DNS, który obsługuje również port 53 TCP. Obecnie klient globalnego bezpiecznego dostępu nie obsługuje portu DNS 53 TCP. Aby zaradczeć, wyłącz klienta DNS przeglądarki, ustawiając następujące wartości rejestru:

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
  • Chrome
    [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    Dodaj również przeglądanie chrome://flags i wyłączanie polecenia Async DNS resolver.

Protokół IPv6 nie jest obsługiwany

Klient tuneluje tylko ruch IPv4. Ruch IPv6 nie jest uzyskiwany przez klienta i dlatego jest przesyłany bezpośrednio do sieci. Aby włączyć tunelowany cały odpowiedni ruch, ustaw preferowane właściwości karty sieciowej na IPv4.

Powrót połączenia

Jeśli wystąpi błąd połączenia z usługą w chmurze, klient powraca do bezpośredniego połączenia internetowego lub blokuje połączenie na podstawie wartości wzmacniania zabezpieczeń reguły dopasowania w profilu przekazywania.

Geolokalizacja

W przypadku ruchu sieciowego tunelowanego do usługi w chmurze serwer aplikacji (witryna internetowa) wykrywa źródłowy adres IP połączenia jako adres IP krawędzi (a nie jako adres IP urządzenia użytkownika). Ten scenariusz może mieć wpływ na usługi, które opierają się na geolokalizacji.

Napiwek

Aby usługa Office 365 i Entra wykryły prawdziwy źródłowy adres IP urządzenia, rozważ włączenie przywracania źródłowego adresu IP.

Obsługa wirtualizacji

Obsługa funkcji Hyper-V:

  1. Zewnętrzny przełącznik wirtualny: globalny klient systemu Windows bezpiecznego dostępu nie obsługuje obecnie maszyn hostów z zewnętrznym przełącznikiem wirtualnym funkcji Hyper-V. Klient można jednak zainstalować na maszynach wirtualnych w celu tunelowania ruchu do globalnego bezpiecznego dostępu.
  2. Wewnętrzny przełącznik wirtualny: globalny klient systemu Windows bezpiecznego dostępu można zainstalować na maszynach hosta i gościa. Klient tuneluje tylko ruch sieciowy maszyny, na którym jest zainstalowany. Innymi słowy, klient zainstalowany na maszynie hosta nie tuneluje ruchu sieciowego maszyn gościa.

Klient globalnego bezpiecznego dostępu systemu Windows obsługuje maszyny wirtualne platformy Azure.

Klient globalnego bezpiecznego dostępu systemu Windows obsługuje usługę Azure Virtual Desktop (AVD).

Uwaga

Obsługa wielu sesji usługi AVD nie jest obsługiwana.

Proxy

Jeśli serwer proxy jest skonfigurowany na poziomie aplikacji (np. przeglądarki) lub na poziomie systemu operacyjnego, skonfiguruj plik automatycznej konfiguracji serwera proxy (PAC), aby wykluczyć wszystkie nazwy FQDN i adresy IP, które oczekujesz, że klient będzie tunelowany.

Aby zapobiec żądaniom HTTP dla określonych nazw FQDN/adresów IP tunelowania do serwera proxy, dodaj nazwy FQDN/adresy IP do pliku PAC jako wyjątki. (Te nazwy FQDN/adresy IP znajdują się w profilu przekazywania globalnego bezpiecznego dostępu do tunelowania). Na przykład:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Jeśli bezpośrednie połączenie internetowe nie jest możliwe, skonfiguruj klienta, aby nawiązać połączenie z globalną usługą bezpiecznego dostępu za pośrednictwem serwera proxy. Na przykład ustaw zmienną grpc_proxy systemową tak, aby odpowiadała wartości serwera proxy, na przykład http://proxy:8080.

Aby zastosować zmiany konfiguracji, uruchom ponownie globalne usługi klienta bezpiecznego dostępu systemu Windows.

Wstrzykiwanie pakietów

Klient tuneluje tylko ruch wysyłany przy użyciu gniazd. Ruch nie jest tunelowany do stosu sieciowego przy użyciu sterownika (na przykład niektórych ruchu generowanych przez maper sieci (Nmap)). Wstrzyknięte pakiety przechodzą bezpośrednio do sieci.

Wielosesyjne

Klient globalnego bezpiecznego dostępu nie obsługuje współbieżnych sesji na tym samym komputerze. To ograniczenie dotyczy serwerów RDP i rozwiązań VDI, takich jak usługa Azure Virtual Desktop (AVD), które są skonfigurowane na potrzeby wielu sesji.

Arm64

Klient globalnego bezpiecznego dostępu nie obsługuje architektury Arm64.

QuiC nie jest obsługiwany w przypadku dostępu do Internetu

Ponieważ funkcja QUIC nie jest jeszcze obsługiwana w przypadku dostępu do Internetu, nie można tunelować ruchu do portów 80 UDP i 443 UDP.

Napiwek

Zestaw QUIC jest obecnie obsługiwany w obciążeniach usługi Private Access i Platformy Microsoft 365.

Administratorzy mogą wyłączyć protokół QUIC wyzwalający klientów, aby powrócić do protokołu HTTPS za pośrednictwem protokołu TCP, który jest w pełni obsługiwany w programie Internet Access. Aby uzyskać więcej informacji, zobacz QUIC not supported for Internet Access (Nieobsługiwane w przypadku dostępu do Internetu).

Rozwiązywanie problemów

Aby rozwiązać problemy z klientem globalnego bezpiecznego dostępu, kliknij prawym przyciskiem myszy ikonę klienta na pasku zadań i wybierz jedną z opcji rozwiązywania problemów: Zbieranie dzienników lub Diagnostyka zaawansowana.

Napiwek

Administratorzy mogą modyfikować opcje menu klienta Global Secure Access, zmieniając klucze rejestru klienta.

Aby uzyskać bardziej szczegółowe informacje na temat rozwiązywania problemów z klientem globalnego bezpiecznego dostępu, zobacz następujące artykuły:

Klucze rejestru klienta

Klient globalnego bezpiecznego dostępu używa określonych kluczy rejestru do włączania lub wyłączania różnych funkcji. Administratorzy mogą używać rozwiązań usługi Mobile Zarządzanie urządzeniami (MDM), takich jak usługa Microsoft Intune lub zasady grupy, aby kontrolować wartości rejestru.

Uwaga

Nie zmieniaj innych wartości rejestru, chyba że pomoc techniczna firmy Microsoft instruować.

Ograniczanie użytkowników nieuprzywilejowanych

Administrator może uniemożliwić użytkownikom nieuprzywilejowanych na urządzeniu z systemem Windows wyłączenie lub włączenie klienta przez ustawienie następującego klucza rejestru:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD

Dane opis
0x0 Nieuprzywilejowani użytkownicy na urządzeniu z systemem Windows mogą wyłączać i włączać klienta.
0x1 Użytkownicy nieuprzywilejowani na urządzeniu z systemem Windows są ograniczeni do wyłączania i włączania klienta. Monit kontroli konta użytkownika wymaga poświadczeń administratora lokalnego w celu wyłączenia i włączenia opcji. Administrator może również ukryć przycisk wyłącz (zobacz Ukryj lub odkryj przyciski menu paska zadań systemu).

Wyłączanie lub włączanie dostępu prywatnego na kliencie

Ta wartość rejestru określa, czy dostęp prywatny jest włączony, czy wyłączony dla klienta. Jeśli użytkownik jest połączony z siecią firmową, może pominąć globalny bezpieczny dostęp i uzyskać bezpośredni dostęp do aplikacji prywatnych.

Użytkownicy mogą wyłączać i włączać dostęp prywatny za pośrednictwem menu paska zadań systemu.

Napiwek

Ta opcja jest dostępna w menu tylko wtedy, gdy nie jest ukryta (zobacz Ukryj lub odkryj przyciski menu paska zadań systemu) i dla tej dzierżawy jest włączony dostęp prywatny.

Administratorzy mogą wyłączyć lub włączyć dostęp prywatny dla użytkownika, ustawiając klucz rejestru:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Wartość Typ Dane opis
IsPrivateAccessDisabledByUser REG_DWORD 0x0 Dostęp prywatny jest włączony na tym urządzeniu. Ruch sieciowy do aplikacji prywatnych przechodzi przez globalny bezpieczny dostęp.
IsPrivateAccessDisabledByUser REG_DWORD 0x1 Dostęp prywatny jest wyłączony na tym urządzeniu. Ruch sieciowy do aplikacji prywatnych przechodzi bezpośrednio do sieci.

Zrzut ekranu przedstawiający Edytor rejestru z wyróżnionym kluczem rejestru IsPrivateAccessDisabledByUser.

Jeśli wartość rejestru nie istnieje, wartość domyślna to 0x0, dostęp prywatny jest włączony.

Ukrywanie lub ukrywanie przycisków menu paska zadań systemu

Administrator może wyświetlać lub ukrywać określone przyciski w menu ikony paska zadań klienta. Utwórz wartości w następującym kluczu rejestru:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Wartość Typ Data Zachowanie domyślne opis
HideSignOutButton REG_DWORD 0x0 — pokazano 0x1 — ukryte ukryte Skonfiguruj to ustawienie, aby wyświetlić lub ukryć akcję Wyloguj. Ta opcja jest dostępna w określonych scenariuszach, gdy użytkownik musi zalogować się do klienta przy użyciu innego użytkownika firmy Microsoft Entra niż ten używany do logowania się do systemu Windows. Uwaga: musisz zalogować się do klienta przy użyciu użytkownika w tej samej dzierżawie firmy Microsoft Entra, do której urządzenie jest przyłączone. Możesz również użyć akcji Wyloguj się , aby ponownie uwierzytelnić istniejącego użytkownika.
HideDisablePrivateAccessButton REG_DWORD 0x0 — pokazano 0x1 — ukryte ukryte Skonfiguruj to ustawienie, aby wyświetlić lub ukryć akcję Wyłącz dostęp prywatny. Ta opcja jest dostępna w scenariuszu, w przypadku gdy urządzenie jest bezpośrednio połączone z siecią firmową, a użytkownik preferuje bezpośredni dostęp do aplikacji prywatnych za pośrednictwem sieci zamiast za pośrednictwem globalnego bezpiecznego dostępu.
HideDisableButton REG_DWORD 0x0 — pokazano 0x1 — ukryte Pokazano Skonfiguruj to ustawienie, aby wyświetlić lub ukryć akcję Wyłącz . Gdy jest widoczny, użytkownik może wyłączyć klienta globalnego bezpiecznego dostępu. Klient pozostaje wyłączony do momentu ponownego włączenia go przez użytkownika. Jeśli akcja Wyłącz jest ukryta, nieuprzywilejowany użytkownik nie może wyłączyć klienta.

Zrzut ekranu przedstawiający Edytor rejestru z wyróżnionymi kluczami rejestru HideSignOutButton i HideDisablePrivateAccessButton.

Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące konfigurowania protokołu IPv6 w systemie Windows dla użytkowników zaawansowanych.