Share via

Global secure access-klient för Windows (förhandsversion)

  • Artikel

Lär dig hur du installerar Global Secure Access-klienten för Windows.

Förutsättningar

  • Global Secure Access-klienten stöds i 64-bitarsversioner av Windows 11 eller Windows 10.
    • Enkel session i Azure Virtual Desktop stöds.
    • Flera sessioner i Azure Virtual Desktop stöds inte.
    • Windows 365 stöds.
  • Enheterna måste vara antingen Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar.
    • Microsoft Entra-registrerade enheter stöds inte.
  • Autentiseringsuppgifter för lokal administratör krävs för installationen.
  • Förhandsgranskningen kräver en Microsoft Entra ID P1-licens. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Kända begränsningar

  • Flera användarsessioner på samma enhet, som de från en fjärrskrivbordsserver (RDP), stöds inte.
  • Nätverk som använder en företagsintern portal, till exempel vissa lösningar för trådlösa gästnätverk, kan orsaka att klientanslutningen misslyckas. Som en lösning kan du pausa Global Secure Access-klienten.
  • Virtuella datorer där både värden och gästoperativsystemen har global säker åtkomst-klienten installerad stöds inte. Enskilda virtuella datorer med klienten installerad stöds.
  • Tjänsten kringgår trafiken om global säker åtkomst-klienten inte kan ansluta till tjänsten (till exempel på grund av ett auktoriseringsfel eller ett fel med villkorsstyrd åtkomst). Trafiken skickas direkt och lokalt i stället för att blockeras. I det här scenariot kan du skapa en princip för villkorlig åtkomst för den kompatibla nätverkskontrollen för att blockera trafik om klienten inte kan ansluta till tjänsten.
  • Global Secure Access-klienten på ARM64-arkitekturen stöds inte ännu. ARM64 finns dock med på översikten.

Det finns flera andra begränsningar som baseras på den trafikvidarebefordringsprofil som används:

Profil för trafikvidarebefordring Begränsning
Microsoft 365 Tunneltrafik i IPv6 stöds inte för närvarande.
Microsoft 365 och privat åtkomst För att tunnelnätverkstrafik baserat på regler för FQDN (i vidarebefordran-profilen) måste DNS (Domain Name System) över HTTPS (Secure DNS) inaktiveras.
Microsoft 365 och privat åtkomst Om slutanvändarens enhet är konfigurerad för att använda en proxyserver måste platser som du vill köra tunneltrafik med hjälp av global säker åtkomst-klienten undantas från den konfigurationen. Exempel finns i Exempel på proxykonfiguration.
Privat åtkomst Domäner med en etikett, till exempel https://contosohome för privata appar, stöds inte. Använd i stället ett fullständigt domännamn (FQDN), till exempel https://contosohome.contoso.com. Administratörer kan också välja att lägga till DNS-suffix via Windows.

Ladda ned klienten

Den senaste versionen av Global Secure Access-klienten kan laddas ned från administrationscentret för Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.

  2. Bläddra till Global säker åtkomst (förhandsversion)>Anslut> Klientnedladdning.

  3. Välj Ladda ned klient.

    Skärmbild av knappen ladda ned Windows-klienten.

Installera klienten

Organisationer kan installera klienten interaktivt, tyst med växeln /quiet eller använda plattformar för hantering av mobila enheter som Microsoft Intune för att distribuera den till sina enheter.

  1. Kopiera klientkonfigurationsfilen global säker åtkomst till klientdatorn.

  2. Kör installationsfilen för GlobalSecureAccessClient.exe . Godkänn licensvillkoren för programvara.

  3. Klienten installeras och användarna uppmanas att logga in med sina Microsoft Entra-autentiseringsuppgifter.

    Skärmbild som visar inloggningsrutan visas när klientinstallationen har slutförts.

  4. Användarna loggar in och anslutningsikonen blir grön. Om du dubbelklickar på anslutningsikonen öppnas ett meddelande med klientinformation som visar ett anslutet tillstånd.

    Skärmbild som visar att klienten är ansluten.

Felsökning

Om du vill felsöka global säker åtkomst-klienten högerklickar du på klientikonen i aktivitetsfältet.

Skärmbild som visar snabbmenyn för Global Secure Access-klienten.

  • Logga in som annan användare
    • Tvingar inloggningsskärmen att ändra användaren eller autentisera den befintliga användaren igen.
  • Pausa
    • Det här alternativet kan användas för att tillfälligt inaktivera trafiktunnlar. Eftersom den här klienten är en del av organisationens säkerhetsstatus rekommenderar vi att den alltid körs.
    • Det här alternativet stoppar De Windows-tjänster som är relaterade till klienten. När dessa tjänster stoppas skickas inte längre trafik från klientdatorn till molntjänsten. Nätverkstrafiken fungerar som om klienten inte är installerad när klienten är pausad. Om klientdatorn startas om startar tjänsterna automatiskt om med den.
  • Återuppta
    • Det här alternativet startar de underliggande tjänsterna som är relaterade till Global Secure Access-klienten. Det här alternativet skulle användas för att återuppta när klienten tillfälligt har pausats för felsökning. Trafiken återupptar tunneltrafik från klienten till molntjänsten.
  • Starta
    • Det här alternativet stoppar och startar De Windows-tjänster som är relaterade till klienten.
  • Samla in loggar
    • Samla in loggar för support och ytterligare felsökning. Dessa loggar samlas in och lagras som standard.C:\Program Files\Global Secure Access Client\Logs
      • Dessa loggar innehåller information om klientdatorn, relaterade händelseloggar för tjänsterna och registervärden, inklusive de trafikvidarebefordringsprofiler som tillämpas.
  • Klientkontroll
    • Kör ett skript för att testa klientkomponenter som säkerställer att klienten är konfigurerad och fungerar som förväntat.
  • Anslut ion Diagnostics ger en livevisning av klientstatus och anslutningar som tunnelats av klienten till den globala tjänsten för säker åtkomst
    • Fliken Sammanfattning visar allmän information om klientkonfigurationen, inklusive: principversion som används, datum och tid för senaste principuppdatering och ID för klientorganisationen som klienten är konfigurerad att arbeta med.
      • Värdnamnsförvärvstillståndet ändras till grönt när ny trafik som förvärvas av FQDN tunnelats korrekt baserat på en matchning av mål-FQDN i en trafikvidarebefordringsprofil.
    • Flöden visar en live-lista över anslutningar som initieras av slutanvändarens enhet och som skickas via tunnel av klienten till den globala gränsen för säker åtkomst. Varje anslutning är ny rad.
      • Tidsstämpel är den tid då anslutningen först upprättades.
      • Fullständigt domännamn (FQDN) för anslutningens mål. Om beslutet att tunnelbelägga anslutningen fattades baserat på en IP-regel i vidarebefordransprincipen, inte av en FQDN-regel, visar kolumnen FQDN N/A.
      • Källporten för slutanvändarens enhet för den här anslutningen.
      • Mål-IP är målet för anslutningen.
      • Protokoll endast TCP stöds för närvarande.
      • Processnamn som initierade anslutningen.
      • Flödesaktiv ger statusen om anslutningen fortfarande är öppen.
      • Skickade data anger antalet byte som skickas av slutanvändarens enhet via anslutningen.
      • Mottagna data ger antalet byte som tas emot av slutanvändarens enhet via anslutningen.
      • Korrelations-ID tillhandahålls till varje anslutning som tunneleras av klienten. Det här ID:t tillåter spårning av anslutningen i klientloggarna. Klientloggarna består av loggboken, händelsespårning (ETL) och trafikloggarna global säker åtkomst.
      • Flödes-ID är det interna ID:t för den anslutning som används av klienten som visas i ETL-filen.
      • Kanalnamnet identifierar den trafikvidarebefordringsprofil som anslutningen är tunnelkopplad till. Detta beslut fattas enligt reglerna i vidarebefordringsprofilen.
    • HostNameAcquisition innehåller en lista över värdnamn som klienten har hämtat baserat på FQDN-reglerna i vidarebefordranprofilen. Varje värdnamn visas på en ny rad. Framtida förvärv av samma värdnamn skapar en annan rad om DNS löser värdnamnet (FQDN) till en annan IP-adress.
      • Tidsstämpel är den tid då anslutningen först upprättades.
      • FQDN som har lösts.
      • Genererad IP-adress är en IP-adress som genereras av klienten för interna ändamål. Den här IP-adressen visas på fliken flöden för anslutningar som har upprättats till det relativa fullständiga domännamnet.
      • Den ursprungliga IP-adressen är den första IPv4-adressen i DNS-svaret när du kör frågor mot FQDN. Om den DNS-server som slutanvändaren pekar på inte returnerar en IPv4-adress för frågan, visar 0.0.0.0den ursprungliga IP-adressen .
    • Tjänster visar statusen för Windows-tjänsterna som är relaterade till global säker åtkomst-klienten. Tjänster som startas har en grön statusikon, tjänster som stoppas visar en röd statusikon. Alla tre Windows-tjänsterna måste startas för att klienten ska fungera.
    • Kanaler listar de profiler för trafikvidarebefordring som tilldelats klienten och tillståndet för anslutningen till den globala gränsen för säker åtkomst.

Händelseloggar

Händelseloggar relaterade till global säker åtkomst-klienten finns i Loggboken under Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational. Dessa händelser ger användbar information om tillstånd, principer och anslutningar som görs av klienten.

Inaktivera IPv6 och säker DNS

Om du behöver hjälp med att inaktivera IPv6 eller säker DNS på Windows-enheter som du försöker förhandsgranska med, ger följande skript hjälp.

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

Exempel på proxykonfiguration

Exempel på PAC-proxyfil som innehåller undantag:

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||
      dnsDomainIs(host, ".contoso.com") || //tunneled
      dnsDomainIs(host, ".fabrikam.com"))  // tunneled
      return "DIRECT";                     // If true, sets "DIRECT" connection
      else                                 // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

Organisationer måste sedan skapa en systemvariabel med namnet grpc_proxy med ett värde som http://10.1.0.10:8080 det som matchar proxyserverns konfiguration på slutanvändardatorer för att tillåta att klienttjänsterna för global säker åtkomst använder proxyn genom att konfigurera följande.

Användningsvillkor

Din användning av Microsoft Entra privatåtkomst och Microsoft Entra internetåtkomst förhandsversionsupplevelser och funktioner styrs av förhandsversionen av onlinetjänstens villkor för de avtal där du fick tjänsterna. Förhandsversioner kan omfattas av begränsade eller olika säkerhets-, efterlevnads- och sekretessåtaganden, vilket beskrivs ytterligare i de universella licensvillkoren för onlinetjänster och Microsoft Products and Services Data Protection Addendum ("DPA") och eventuella andra meddelanden som tillhandahålls med förhandsversionen.

Nästa steg

Nästa steg för att komma igång med Microsoft Entra internetåtkomst är att aktivera universella klientbegränsningar.