Cliente Global Secure Access para Windows (versão prévia)

Artigo
05/14/2024

Aprenda como instalar o cliente Global Secure Access para Windows.

Pré-requisitos

O cliente Global Secure Access é compatível com versões de 64 bits do Windows 11 ou Windows 10.
- A Área de Trabalho Virtual do Azure para sessão única possui suporte.
- A multissessão da Área de Trabalho Virtual do Azure não é suportada.
- O Windows 365 possui suporte.
Os dispositivos devem ser associados ao Microsoft Entra ou ao Microsoft Entra híbrido.
- Microsoft Entra dispositivos registrados não têm suporte.
As credenciais de administrador local são necessárias para a instalação.
A versão prévia requer uma licença P1 do Microsoft Entra ID. Se necessário, você pode adquirir licenças ou obter licenças de avaliação.

Limitações conhecidas

Não há suporte para várias sessões de usuário no mesmo dispositivo, como as de um RDP (Servidor de Área de Trabalho Remota).
Redes que usam um portal cativo, como algumas soluções de rede sem fio para convidados, podem causar falha na conexão do cliente. Como solução alternativa, você pode pausar o cliente Global Secure Access.
Máquinas virtuais onde os sistemas operacionais host e convidado têm o cliente Global Secure Access instalado não são suportadas. Há suporte para máquinas virtuais individuais com o cliente instalado.
O serviço ignora o tráfego se o cliente Global Secure Access não conseguir se conectar ao serviço (por exemplo, devido a uma autorização ou falha de acesso condicional). O tráfego é enviado de forma direta e local em vez de ser bloqueado. Nesse cenário, você pode criar uma política de Acesso Condicional para a verificação da rede em conformidade, para bloquear o tráfego se o cliente não conseguir se conectar ao serviço.
O cliente Global Secure Access na arquitetura ARM64 ainda não é compatível. No entanto, ARM64 está no roteiro.

Há várias outras limitações com base no perfil de encaminhamento de tráfego em uso:

Perfil de encaminhamento de tráfego	Limitação
Microsoft 365	No momento, não há suporte para o tráfego IPv6 de túnel.
Microsoft 365 e Acesso privado	Para encapsular o tráfego de rede com base em regras de FQDNs (no perfil de encaminhamento), O Sistema de Nomes de Domínio (DNS) sobre HTTPS (DNS Seguro) precisa ser desativado.
Microsoft 365 e Acesso privado	Se o dispositivo do usuário final estiver configurado para usar um servidor proxy, os locais que você deseja encapsular usando o cliente Global Secure Access deverão ser excluídos dessa configuração. Para obter exemplos, consulte Exemplo de configuração de proxy.
Acesso privado	Domínios de rótulo único, como `https://contosohome` para aplicativos privados, não são compatíveis. Em vez disso, use um nome de domínio totalmente qualificado (FQDN), como `https://contosohome.contoso.com`. Os administradores também podem optar por acrescentar sufixos DNS por meio do Windows.

Baixar o cliente

A versão mais atual do cliente Global Secure Access pode ser baixada do centro de administração do Microsoft Entra.

Entre no centro de administração do Microsoft Entra como um Administrador do Acesso Seguro Global.
Navegue até Acesso Global Seguro (preview)>Conectar>Download de cliente.
Selecione Baixar Cliente.

Instalar o cliente

As organizações podem instalar o cliente interativamente, silenciosamente com a opção /quiet ou usar plataformas de gerenciamento de dispositivo móvel, como Microsoft Intune para implantá-lo em seus dispositivos.

Copie o arquivo de configuração do cliente Global Secure Access para sua máquina cliente.
Execute o arquivo de configuração GlobalSecureAccessClient.exe. Aceite os termos de licença de software.
O cliente é instalado e os usuários são solicitados a entrar com suas credenciais do Microsoft Entra.
Os usuários fazem login e o ícone de conexão fica verde. Clicar duas vezes no ícone de conexão abre uma notificação com informações do cliente mostrando um estado conectado.

Solução de problemas

Para solucionar problemas do cliente Global Secure Access, clique com o botão direito no ícone do cliente na barra de tarefas.

Logon como um usuário diferente
- Força a tela de entrada a alterar o usuário ou autenticar novamente o usuário existente.
Pausar
- Essa opção pode ser usada para desabilitar temporariamente o túnel de tráfego. Como esse cliente faz parte da postura de segurança da sua organização, recomendamos deixá-lo em execução sempre.
- Essa opção interrompe os serviços Windows relacionados ao cliente. Quando esses serviços são interrompidos, o tráfego não é mais encapsulado do computador cliente para o serviço de nuvem. O tráfego se comporta como se o cliente não estivesse instalado enquanto o cliente estiver em pausa. Se o computador cliente for reiniciado, os serviços serão reiniciados automaticamente.
Retomar
- Essa opção inicia os serviços subjacentes relacionados ao cliente Global Secure Access. Essa opção seria usada para retomar depois de pausar temporariamente o cliente para solução de problemas. O tráfego retoma o encapsulamento do cliente para o serviço de nuvem.
Reiniciar
- Essa opção interrompe os serviços Windows relacionados ao cliente.
Coletar logs
- Colete logs para suporte e solução de problemas adicionais. Esses logs são coletados e armazenados no C:\Program Files\Global Secure Access Client\Logs por padrão.
  - Esses logs incluem informações sobre o computador cliente, os logs de eventos relacionados para os serviços e valores de registro, incluindo os perfis de encaminhamento de tráfego aplicados.
Verificador do Cliente
- Executa um script para testar componentes cliente, garantindo que o cliente esteja configurado e funcionando conforme o esperado.
Diagnóstico de conexão fornece uma exibição ao vivo do status do cliente e das conexões encapsuladas pelo cliente para o serviço Global Secure Access
- A guia Resumo mostra informações gerais sobre a configuração do cliente, incluindo: versão da política em uso, data e hora da última atualização da política e a ID do locatário com o qual o cliente está configurado para trabalhar.
  - O estado de aquisição do nome do host muda para verde quando o novo tráfego adquirido pelo FQDN é encapsulado com êxito com base em uma correspondência do FQDN de destino em um perfil de encaminhamento de tráfego.
- Os fluxos mostram uma lista dinâmica de conexões iniciadas pelo dispositivo de usuário final e encapsuladas pelo cliente para a borda de Acesso Seguro Global. Cada conexão é uma nova linha.
  - Carimbo de data/hora é o tempo em que a conectividade foi estabelecida pela primeira vez.
  - FQDN (Nome de Domínio Totalmente Qualificado) do destino da conexão. Se a decisão de túnel da conexão foi tomada com base em uma regra de IP na política de encaminhamento não por uma regra FQDN, a coluna FQDN mostra N/A.
  - Porta de origem do dispositivo de usuário final para essa conexão.
  - IP de destino é o destino da conexão.
  - Atualmente, há suporte somente para protocolo TCP.
  - Nome do processo que iniciou a conexão.
  - O fluxo ativo fornece uma status se a conexão ainda está aberta.
  - Os dados enviados fornecem o número de bytes enviados pelo dispositivo do usuário final pela conexão.
  - Os dados recebidos fornecem o número de bytes recebidos pelo dispositivo do usuário final pela conexão.
  - A ID de correlação é fornecida a cada conexão encapsulada pelo cliente. Esse ID permite rastrear a conexão nos logs do cliente. Os logs do cliente consistem em visualizador de eventos, rastreamento de eventos (ETL) e logs de tráfego do Global Secure Access.
  - A ID de fluxo é a ID interna da conexão usada pelo cliente mostrada no arquivo ETL.
  - O nome do canal identifica o perfil de encaminhamento de tráfego para o qual a conexão é encapsulada. Essa decisão é tomada de acordo com as regras no perfil de encaminhamento.
- HostNameAcquisition fornece uma lista de nomes do host adquiridos pelo cliente com base nas regras do FQDN no perfil de encaminhamento. Cada nome de host é mostrado em uma nova linha. A aquisição futura do mesmo nome de host criará outra linha se o DNS resolver o nome do host (FQDN) para um endereço IP diferente.
  - Carimbo de data/hora é o tempo em que a conectividade foi estabelecida pela primeira vez.
  - O FQDN que será resolvido.
  - O endereço IP gerado é um endereço IP gerado pelo cliente para fins internos. Esse IP é mostrado na guia Fluxos para conexões estabelecidas com o FQDN relativo.
  - O endereço IP original é o primeiro endereço IPv4 na resposta DNS ao consultar o FQDN. Se o servidor DNS para o qual o dispositivo do usuário final aponta não retornar um endereço IPv4 para a consulta, o endereço IP original mostrará 0.0.0.0.
- Serviços mostra o status dos serviços do Windows relacionados ao cliente Global Secure Access. Os serviços iniciados têm um ícone de status verde. Os serviços que são interrompidos mostram um ícone de status vermelho. Todos os três serviços Windows devem ser iniciados para que o cliente funcione.
- Os canais listam os perfis de encaminhamento de tráfego atribuídos ao cliente e o estado da conexão com a borda do Acesso Seguro Global.

Logs de eventos

Os logs de eventos relacionados ao cliente Global Secure Access podem ser encontrados no Visualizador de Eventos em Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational. Esses eventos fornecem detalhes úteis sobre o estado, as políticas e as conexões feitas pelo cliente.

Desabilitar IPv6 e DNS seguro

Se você precisar de assistência para desabilitar o IPv6 ou proteger o DNS em dispositivos Windows com os quais está tentando visualizar, o script a seguir fornecerá assistência.

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

Exemplo de configuração de proxy

Exemplo de arquivo PAC proxy que contém exclusões:

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||
      dnsDomainIs(host, ".contoso.com") || //tunneled
      dnsDomainIs(host, ".fabrikam.com"))  // tunneled
      return "DIRECT";                     // If true, sets "DIRECT" connection
      else                                 // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

As organizações devem então criar uma variável de sistema chamada grpc_proxy com um valor como http://10.1.0.10:8080 que corresponda à configuração do seu servidor proxy nas máquinas dos usuários finais para permitir que os serviços de cliente do Global Secure Access usem o proxy configurando o seguinte.

Termos de Uso

Seu uso do Acesso Privado do Microsoft Entra e Acesso à Internet do Microsoft Entra experiências e recursos de preview é regido pelos termos e condições de serviço online de preview dos contratos sob os quais você obteve os serviços. As prévias podem estar sujeitas a compromissos de segurança, conformidade e privacidade reduzidos ou diferentes, conforme explicado nos Termos de Licença Universais para Serviços Online e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft (“DPA”) e quaisquer outros avisos fornecidos com a preview.

Próximas etapas

A próxima etapa para começar a usar o Acesso à Internet do Microsoft Entra é habilitar restrições universais de locatário.

Share via