Dela via

Global secure access-klient för Windows

  • Artikel

Global Secure Access-klienten, en viktig komponent i Global Säker åtkomst, hjälper organisationer att hantera och skydda nätverkstrafik på slutanvändarenheter. Klientens huvudroll är att dirigera trafik som måste skyddas av global säker åtkomst till molntjänsten. All annan trafik går direkt till nätverket. Vidarebefordringsprofilerna, som konfigurerats i portalen, avgör vilken trafik global säker åtkomst-klienten dirigerar till molntjänsten.

I den här artikeln beskrivs hur du laddar ned och installerar Global Secure Access-klienten för Windows.

Förutsättningar

  • En Entra-klient som registrerats för global säker åtkomst.
  • En hanterad enhet som är ansluten till den registrerade klientorganisationen. Enheten måste vara antingen Microsoft Entra-ansluten eller Microsoft Entra-hybridanslutning.
    • Microsoft Entra-registrerade enheter stöds inte.
  • Global Secure Access-klienten kräver en 64-bitarsversion av Windows 10 eller Windows 11.
    • Enkel session i Azure Virtual Desktop stöds.
    • Flera sessioner i Azure Virtual Desktop stöds inte.
    • Windows 365 stöds.
  • Autentiseringsuppgifter för lokal administratör krävs för att installera eller uppgradera klienten.
  • Global Secure Access-klienten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Ladda ned klienten

Den senaste versionen av Global Secure Access-klienten är tillgänglig för nedladdning från administrationscentret för Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.
  2. Bläddra till Nedladdning av Global Secure Access>Connect-klient.>
  3. Välj Ladda ned klient. Skärmbild av skärmen Klientnedladdning med knappen Ladda ned klient markerad.

Installera Global Secure Access-klienten

Automatisk installation

Organisationer kan installera Global Secure Access-klienten tyst med växeln /quiet eller använda MDM-lösningar (Mobile Upravljanje uređajima), till exempel Microsoft Intune för att distribuera klienten till sina enheter.

Manuell installation

Så här installerar du global säker åtkomst-klienten manuellt:

  1. Kör installationsfilen för GlobalSecureAccessClient.exe . Godkänn licensvillkoren för programvara.
  2. Klienten installerar och loggar tyst in dig med dina Microsoft Entra-autentiseringsuppgifter. Om den tysta inloggningen misslyckas uppmanar installationsprogrammet dig att logga in manuellt.
  3. Logga in. Anslutningsikonen blir grön.
  4. Hovra över anslutningsikonen för att öppna meddelandet om klientstatus, som ska visas som Ansluten.
    Skärmbild som visar att klienten är ansluten.

Klientåtgärder

Om du vill visa de tillgängliga klientmenyåtgärderna högerklickar du på ikonen Systemfack för global säker åtkomst. Skärmbild som visar den fullständiga listan över globala klientåtgärder för säker åtkomst.

Dricks

Menyåtgärderna för global säker åtkomst varierar beroende på konfigurationen av klientregisternycklar.

Åtgärd beskrivning
Logga ut Dold som standard. Använd utloggningsåtgärden när du behöver logga in på Global Secure Access-klienten med en annan Entra-användare än den som användes för att logga in på Windows. Uppdatera lämpliga klientregisternycklar för att göra den här åtgärden tillgänglig.
Pausa Välj åtgärden Pausa för att tillfälligt pausa klienten. Klienten förblir pausad tills du antingen återupptar klienten eller startar om datorn.
Återuppta Återupptar den pausade klienten.
Inaktivera privat åtkomst Dold som standard. Använd åtgärden Inaktivera privat åtkomst när du vill kringgå global säker åtkomst när du ansluter enheten direkt till företagsnätverket för att få åtkomst till privata program direkt via nätverket i stället för via global säker åtkomst. Uppdatera lämpliga klientregisternycklar för att göra den här åtgärden tillgänglig.
Samla in loggar Välj den här åtgärden för att samla in klientloggar (information om klientdatorn, relaterade händelseloggar för tjänsterna och registervärdena) och arkivera dem i en zip-fil som ska delas med Microsoft Support för undersökning. Standardplatsen för loggarna är C:\Program Files\Global Secure Access Client\Logs.
Avancerad diagnostik Välj den här åtgärden för att starta verktyget Avancerad diagnostik och få åtkomst till ett utbud av felsökningsverktyg .

Indikatorer för klientstatus

Statusmeddelande

Dubbelklicka på ikonen Global säker åtkomst för att öppna meddelandet om klientstatus och visa status för varje kanal som konfigurerats för klienten.
Skärmbild som visar att klientstatusen är ansluten.

Klientstatusar i systemfältets ikon

Ikon Meddelande beskrivning
Global säker åtkomstklient Klienten initierar och kontrollerar anslutningen till global säker åtkomst.
Global säker åtkomstklient – ansluten Klienten är ansluten till global säker åtkomst.
Global säker åtkomstklient – inaktiverad Klienten är inaktiverad eftersom tjänsterna är offline eller användaren har inaktiverat klienten.
Global säker åtkomstklient – Frånkopplad Klienten kunde inte ansluta till global säker åtkomst.
Global säker åtkomstklient – Vissa kanaler kan inte nås Klienten är delvis ansluten till global säker åtkomst (d.v.s. anslutningen till minst en kanal misslyckades: Entra, Microsoft 365, Privat åtkomst, Internetåtkomst).
Global säker åtkomstklient – inaktiverad av din organisation Din organisation har inaktiverat klienten (det vill: alla profiler för vidarebefordran av trafik är inaktiverade).
Global säker åtkomst – Privat åtkomst är inaktiverad Användaren inaktiverade privat åtkomst på den här enheten.
Global säker åtkomst – det gick inte att ansluta till Internet Klienten kunde inte identifiera en Internetanslutning. Enheten är antingen ansluten till ett nätverk som inte har någon Internetanslutning eller ett nätverk som kräver inloggning i företagsintern portal.

Kända begränsningar

Kända begränsningar för den aktuella versionen av Global Secure Access-klienten är:

Secure Domain Name System (DNS)

Global Secure Access-klienten stöder för närvarande inte säker DNS i sina olika versioner, till exempel DNS via HTTPS (DoH), DNS över TLS (DoT) eller DNS Security Extensions (DNSSEC). Om du vill konfigurera klienten så att den kan hämta nätverkstrafik måste du inaktivera säker DNS. Information om hur du inaktiverar säker DNS i webbläsaren finns i Säker DNS inaktiverad i webbläsare.

DNS över TCP

DNS använder port 53 UDP för namnmatchning. Vissa webbläsare har en egen DNS-klient som också stöder port 53 TCP. Global Secure Access-klienten stöder för närvarande inte DNS-port 53 TCP. Som en åtgärd inaktiverar du webbläsarens DNS-klient genom att ange följande registervärden:

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
  • Chrome
    [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    Lägg också till surfning chrome://flags och inaktivering Async DNS resolver.

IPv6 stöds inte

Klienten tunnlar endast IPv4-trafik. IPv6-trafik hämtas inte av klienten och överförs därför direkt till nätverket. Om du vill aktivera all relevant trafik som ska tunneltrafik ställer du in egenskaperna för nätverkskortet på önskad IPv4.

Återställning av anslutning

Om det uppstår ett anslutningsfel till molntjänsten återgår klienten till antingen direkt Internetanslutning eller blockerar anslutningen, baserat på härdningsvärdet för matchningsregeln i vidarebefordranprofilen.

Geolokalisering

För nätverkstrafik som tunneltrafik till molntjänsten identifierar programservern (webbplatsen) anslutningens käll-IP som gränsens IP-adress (och inte som användarenhetens IP-adress). Det här scenariot kan påverka tjänster som är beroende av geoplats.

Dricks

För att Office 365 och Entra ska kunna identifiera enhetens verkliga käll-IP kan du överväga att aktivera återställning av käll-IP.

Stöd för virtualisering

Du kan inte installera Global Secure Access-klienten på en enhet som är värd för virtuella datorer. Du kan dock installera Global Secure Access-klienten på en virtuell dator så länge klienten inte är installerad på värddatorn. Av samma anledning hämtar inte en Windows podsistem za Linux (WSL) trafik från en klient som är installerad på värddatorn.

Proxy

Om en proxy har konfigurerats på programnivå (till exempel en webbläsare) eller på OS-nivå konfigurerar du en PAC-fil (Proxy Auto Configuration) för att undanta alla FQDN:er och IP-adresser som du förväntar dig att klienten ska tunneltrafikera.

Om du vill förhindra att HTTP-begäranden för specifika FQDN:er/IP-adresser tunnlar till proxyn lägger du till FQDN:er/IP-adresser i PAC-filen som undantag. (Dessa FQDN/IP-adresser finns i profilen för vidarebefordran av global säker åtkomst för tunneltrafik). Till exempel:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Om det inte går att ansluta direkt till Internet konfigurerar du klienten så att den ansluter till den globala tjänsten för säker åtkomst via en proxy. Ange till exempel grpc_proxy systemvariabeln så att den matchar proxyns värde, till exempel http://proxy:8080.

Om du vill tillämpa konfigurationsändringarna startar du om Windows-tjänsterna för global säker åtkomst.

Paketinmatning

Klienten tunnlar endast trafik som skickas med sockets. Den tunneltrafik som matas in i nätverksstacken med hjälp av en drivrutin (till exempel en del av den trafik som genereras av Nätverksmappare (Nmap)). Inmatade paket går direkt till nätverket.

Flera sessioner

Global Secure Access-klienten stöder inte samtidiga sessioner på samma dator. Den här begränsningen gäller RDP-servrar och VDI-lösningar som Azure Virtual Desktop (AVD) som är konfigurerade för flera sessioner.

Arm64

Global Secure Access-klienten stöder inte Arm64-arkitektur.

QUIC stöds inte för Internetåtkomst

Eftersom QUIC ännu inte stöds för Internetåtkomst kan trafik till portarna 80 UDP och 443 UDP inte tunneltrafik.

Dricks

QUIC stöds för närvarande i privata åtkomst- och Microsoft 365-arbetsbelastningar.

Administratörer kan inaktivera QUIC-protokoll som utlöser klienter för att återgå till HTTPS via TCP, som stöds fullt ut i Internet Access. Mer information finns i QUIC stöds inte för Internetåtkomst.

Felsökning

Om du vill felsöka global säker åtkomst-klienten högerklickar du på klientikonen i aktivitetsfältet och väljer något av felsökningsalternativen: Samla in loggar eller Avancerad diagnostik.

Dricks

Administratörer kan ändra menyalternativen för global säker åtkomst genom att ändra klientregisternycklarna.

Mer detaljerad information om hur du felsöker Global Secure Access-klienten finns i följande artiklar:

Klientregisternycklar

Global Secure Access-klienten använder specifika registernycklar för att aktivera eller inaktivera olika funktioner. Administratörer kan använda mdm-lösningar (Mobile Upravljanje uređajima), till exempel Microsoft Intune eller grupprincip för att kontrollera registervärdena.

Varning

Ändra inte andra registervärden om de inte har instruerats av Microsoft Support.

Inaktivera eller aktivera privat åtkomst på klienten

Det här registervärdet styr om privat åtkomst är aktiverat eller inaktiverat för klienten. Om en användare är ansluten till företagsnätverket kan de välja att kringgå global säker åtkomst och få direkt åtkomst till privata program.

Användare kan inaktivera och aktivera privat åtkomst via systemfältets meny.

Dricks

Det här alternativet är endast tillgängligt på menyn om det inte är dolt (se Dölj eller ta fram menyknappar för systemfältet) och Privat åtkomst är aktiverat för den här klientorganisationen.

Administratörer kan inaktivera eller aktivera privat åtkomst för användaren genom att ange registernyckeln:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Värde Typ Data beskrivning
IsPrivateAccessDisabledByUser REG_DWORD 0x0 Privat åtkomst är aktiverat på den här enheten. Nätverkstrafik till privata program går via global säker åtkomst.
IsPrivateAccessDisabledByUser REG_DWORD 0x1 Privat åtkomst är inaktiverad på den här enheten. Nätverkstrafik till privata program går direkt till nätverket.

Skärmbild som visar registereditorn med registernyckeln IsPrivateAccessDisabledByUser markerad.

Om registervärdet inte finns är standardvärdet 0x0, private access är aktiverat.

Dölj eller ta fram menyknappar för systemfältet

Administratören kan visa eller dölja specifika knappar i ikonen för klientsystemfältets ikonmeny. Skapa värdena under följande registernyckel:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Värde Typ Data Standardbeteende beskrivning
HideSignOutButton REG_DWORD 0x0 - visas 0x1 - dold dold Konfigurera den här inställningen för att visa eller dölja utloggningsåtgärden. Det här alternativet är för specifika scenarier när en användare behöver logga in på klienten med en annan Entra-användare än den som används för att logga in på Windows. Obs! Du måste logga in på klienten med en användare i samma Entra-klientorganisation som enheten är ansluten till. Du kan också använda utloggningsåtgärden för att autentisera den befintliga användaren igen.
HideDisablePrivateAccessButton REG_DWORD 0x0 - visas 0x1 - dold dold Konfigurera den här inställningen för att visa eller dölja åtgärden Inaktivera privat åtkomst . Det här alternativet är ett scenario när enheten är direkt ansluten till företagsnätverket och användaren föredrar att komma åt privata program direkt via nätverket i stället för via global säker åtkomst.

Skärmbild som visar registereditorn med registernycklarna HideSignOutButton och HideDisablePrivateAccessButton markerade.

Mer information finns i Vägledning för att konfigurera IPv6 i Windows för avancerade användare.