Windows için Genel Güvenli Erişim istemcisi
Global Secure Access'in temel bileşenlerinden biri olan Global Secure Access istemcisi, kuruluşların son kullanıcı cihazlarında ağ trafiğini yönetmesine ve güvenliğini sağlamalarına yardımcı olur. İstemcinin ana rolü, Genel Güvenli Erişim ile güvenliği sağlanması gereken trafiği bulut hizmetine yönlendirmektir. Diğer tüm trafik doğrudan ağa gider. Portalda yapılandırılan İletme Profilleri, Genel Güvenli Erişim istemcisinin bulut hizmetine hangi trafiği yönlendirdiğini belirler.
Bu makalede, Windows için Genel Güvenli Erişim istemcisinin nasıl indirilip yükleneceği açıklanır.
Önkoşullar
- Genel Güvenli Erişim'e eklenen bir Entra kiracısı.
- Eklenen kiracıya katılmış yönetilen cihaz. Cihaz Microsoft Entra'ya katılmış veya Microsoft Entra karmaya katılmış olmalıdır.
- Microsoft Entra kayıtlı cihazları desteklenmez.
- Genel Güvenli Erişim istemcisi, Windows 10 veya Windows 11'in 64 bit sürümlerini gerektirir.
- Azure Sanal Masaüstü tek oturumu desteklenir.
- Azure Sanal Masaüstü çoklu oturumu desteklenmez.
- Windows 365 desteklenir.
- İstemciyi yüklemek veya yükseltmek için yerel yönetici kimlik bilgileri gereklidir.
- Genel Güvenli Erişim istemcisi lisans gerektirir. Ayrıntılar için Genel Güvenli Erişim nedir?'nin lisanslama bölümüne bakın. Gerekirse lisans satın alabilir veya deneme lisansları alabilirsiniz.
İstemciyi indir
Genel Güvenli Erişim istemcisinin en güncel sürümü Microsoft Entra yönetim merkezinden indirilebilir.
- Microsoft Entra yönetim merkezinde Genel Güvenli Erişim Yöneticisi olarak oturum açın.
- Genel Güvenli Erişim>Connect>İstemcisi indirmesine göz atın.
- İstemciyi İndir'i seçin.
Genel Güvenli Erişim istemcisini yükleme
Otomatik yükleme
Kuruluşlar Global Secure Access istemcisini anahtarla sessizce yükleyebilir veya istemciyi cihazlarına /quiet dağıtmak için Microsoft Intune gibi Mobil Cihaz Yönetimi (MDM) çözümlerini kullanabilir.
El ile yükleme
Genel Güvenli Erişim istemcisini el ile yüklemek için:
- GlobalSecureAccessClient.exe kurulum dosyasını çalıştırın. Yazılım lisans koşullarını kabul edin.
- İstemci, Microsoft Entra kimlik bilgilerinizi yükler ve sessizce oturum açar. Sessiz oturum açma başarısız olursa, yükleyici el ile oturum açmanızı ister.
- Oturum açma. Bağlantı simgesi yeşile döner.
- Bağlantı simgesinin üzerine gelerek bağlı olarak gösterilmesi gereken istemci durum bildirimini açın.
İstemci eylemleri
Kullanılabilir istemci menüsü eylemlerini görüntülemek için Genel Güvenli Erişim sistem tepsisi simgesine sağ tıklayın.
İpucu
Genel Güvenli Erişim istemci menü eylemleri, İstemci kayıt defteri anahtarları yapılandırmanıza göre değişir.
| Eylem | Açıklama |
|---|---|
| Oturumu kapat | Varsayılan olarak gizlenir. Genel Güvenli Erişim istemcisinde Windows'ta oturum açmak için kullanılan kullanıcı dışında bir Entra kullanıcısı ile oturum açmanız gerektiğinde Oturumu kapat eylemini kullanın. Bu eylemi kullanılabilir hale getirmek için uygun İstemci kayıt defteri anahtarlarını güncelleştirin. |
| Duraklat | İstemciyi geçici olarak duraklatmak için Duraklat eylemini seçin. siz istemciyi sürdürene veya makineyi yeniden başlatana kadar istemci duraklatılmış durumda kalır. |
| Sürdür | Duraklatılan istemciyi sürdürür. |
| Özel Erişimi Devre Dışı Bırak | Varsayılan olarak gizlenir. Özel uygulamalara Genel Güvenli Erişim yerine doğrudan ağ üzerinden erişmek için cihazınızı doğrudan şirket ağına bağladığınızda Genel Güvenli Erişimi atlamak istediğinizde Özel Erişimi Devre Dışı Bırak eylemini kullanın. Bu eylemi kullanılabilir hale getirmek için uygun İstemci kayıt defteri anahtarlarını güncelleştirin. |
| Günlükleri toplama | İstemci günlüklerini (istemci makinesi hakkındaki bilgiler, hizmetler için ilgili olay günlükleri ve kayıt defteri değerleri) toplamak ve araştırma için Microsoft Desteği ile paylaşmak üzere bir zip dosyasında arşivlemek için bu eylemi seçin. Günlükler için varsayılan konum şeklindedir C:\Program Files\Global Secure Access Client\Logs. |
| Gelişmiş tanılama | Gelişmiş tanılama yardımcı programını başlatmak ve çeşitli sorun giderme araçlarına erişmek için bu eylemi seçin. |
İstemci durum göstergeleri
Durum bildirimi
İstemci durum bildirimini açmak ve istemci için yapılandırılmış her kanalın durumunu görüntülemek için Genel Güvenli Erişim simgesine çift tıklayın.
Sistem tepsisindeki istemci durumları simgesi
| Simge | Mesaj | Açıklama |
|---|---|---|
|
Genel Güvenli Erişim İstemcisi | İstemci, Genel Güvenli Erişim bağlantısını başlatıyor ve kontrol ediyor. |
|
Genel Güvenli Erişim İstemcisi - Bağlı | İstemci Genel Güvenli Erişim'e bağlıdır. |
|
Genel Güvenli Erişim İstemcisi - Devre Dışı | Hizmetler çevrimdışı olduğundan veya kullanıcı istemciyi devre dışı bırakdığından istemci devre dışı bırakıldı. |
|
Genel Güvenli Erişim İstemcisi - Bağlantısı Kesildi | İstemci Genel Güvenli Erişim'e bağlanamadı. |
|
Genel Güvenli Erişim İstemcisi - Bazı kanallara ulaşılamıyor | İstemci kısmen Genel Güvenli Erişim'e bağlıdır (yani en az bir kanalla bağlantı başarısız oldu: Entra, Microsoft 365, Özel Erişim, İnternet Erişimi). |
|
|
Genel Güvenli Erişim İstemcisi - Kuruluşunuz tarafından devre dışı bırakıldı | Kuruluşunuz istemciyi devre dışı bırakmıştır (diğer bir ifadeyle tüm trafik iletme profilleri devre dışı bırakılır). |
|
|
Genel Güvenli Erişim - Özel Erişim devre dışı bırakıldı | Kullanıcı bu cihazda Özel Erişimi devre dışı bırakmış. |
|
|
Genel Güvenli Erişim - İnternet'e bağlanılamadı | İstemci bir internet bağlantısı algılayamadı. Cihaz, İnternet bağlantısı olmayan bir ağa veya esaret altındaki portalın oturum açmasını gerektiren bir ağa bağlı. |
Bilinen sınırlamalar
Genel Güvenli Erişim istemcisinin geçerli sürümü için bilinen sınırlamalar şunlardır:
Güvenli Etki Alanı Adı Sistemi (DNS)
Genel Güvenli Erişim istemcisi şu anda HTTPS üzerinden DNS (DoH), TLS üzerinden DNS (DoT) veya DNS Güvenlik Uzantıları (DNSSEC) gibi farklı sürümlerinde güvenli DNS'yi desteklememektedir. İstemciyi ağ trafiği elde etmek üzere yapılandırmak için güvenli DNS'yi devre dışı bırakmanız gerekir. Tarayıcıda güvenli DNS'yi devre dışı bırakmak için bkz . Tarayıcılarda güvenli DNS devre dışı bırakıldı.
TCP üzerinden DNS
DNS, ad çözümlemesi için 53 UDP numaralı bağlantı noktasını kullanır. Bazı tarayıcıların 53 TCP numaralı bağlantı noktasını da destekleyen kendi DNS istemcisi vardır. Genel Güvenli Erişim istemcisi şu anda DNS bağlantı noktası 53 TCP'yi desteklemez. Azaltma olarak, aşağıdaki kayıt defteri değerlerini ayarlayarak tarayıcının DNS istemcisini devre dışı bırakın:
- Microsoft Edge
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000 - Chrome
[HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
Ayrıca gözatmachrome://flagsve devre dışı bırakmaAsync DNS resolverda ekleyin.
IPv6 desteklenmiyor
İstemci yalnızca IPv4 trafiğini tüneller. IPv6 trafiği istemci tarafından alınmaz ve bu nedenle doğrudan ağa aktarılır. Tüm ilgili trafiğin tünele dönüştürülebilmesi için ağ bağdaştırıcısı özelliklerini tercih edilen IPv4 olarak ayarlayın.
Bağlantı geri dönüşü
Bulut hizmetinde bağlantı hatası varsa istemci, iletme profilindeki eşleşen kuralın sağlamlaştırma değerine bağlı olarak doğrudan İnternet bağlantısına geri döner veya bağlantıyı engeller.
Coğrafi konum
Bulut hizmetine tünellenen ağ trafiği için, uygulama sunucusu (web sitesi) bağlantının kaynak IP'sini kullanıcının IP adresi olarak değil, kenarın IP adresi olarak algılar. Bu senaryo coğrafi konum kullanan hizmetleri etkileyebilir.
İpucu
Office 365 ve Entra'nın cihazın gerçek kaynak IP'sini algılaması için Kaynak IP geri yüklemesini etkinleştirmeyi göz önünde bulundurun.
Sanallaştırma desteği
Sanal makineleri barındıran bir cihaza Genel Güvenli Erişim istemcisini yükleyemezsiniz. Ancak, istemci konak makinede yüklü olmadığı sürece Genel Güvenli Erişim istemcisini bir sanal makineye yükleyebilirsiniz. Aynı nedenle, bir Linux için Windows Alt Sistemi (WSL) konak makinede yüklü bir istemciden trafik almaz.
Proxy
Bir ara sunucu uygulama düzeyinde (tarayıcı gibi) veya işletim sistemi düzeyinde yapılandırılmışsa, istemcinin tünel oluşturmasını beklediğiniz tüm FQDN'leri ve IP'leri dışlamak için bir ara sunucu otomatik yapılandırma (PAC) dosyası yapılandırın.
Belirli FQDN'ler/IP'ler için HTTP isteklerinin ara sunucuya tünel oluşturmasını önlemek için FQDN'leri/IP'leri ÖZEL durumlar olarak PAC dosyasına ekleyin. (Bu FQDN'ler/IP'ler tünel için Genel Güvenli Erişim'in iletme profilindedir). Örneğin:
function FindProxyForURL(url, host) {
if (isPlainHostName(host) ||
dnsDomainIs(host, ".microsoft.com") || // tunneled
dnsDomainIs(host, ".msn.com")) // tunneled
return "DIRECT"; // If true, sets "DIRECT" connection
else // If not true...
return "PROXY 10.1.0.10:8080"; // forward the connection to the proxy
}
Doğrudan İnternet bağlantısı mümkün değilse, istemciyi bir ara sunucu aracılığıyla Genel Güvenli Erişim hizmetine bağlanacak şekilde yapılandırın. Örneğin, sistem değişkenini grpc_proxy proxy'nin değeriyle eşleşecek şekilde ayarlayın, örneğin http://proxy:8080.
Yapılandırma değişikliklerini uygulamak için Genel Güvenli Erişim istemcisi Windows hizmetlerini yeniden başlatın.
Paket ekleme
İstemci yalnızca yuvalar kullanılarak gönderilen trafiği tüneller. Bir sürücü kullanarak ağ yığınına eklenen trafiğe tünel oluşturmaz (örneğin, Ağ Eşleyicisi (Nmap) tarafından oluşturulan trafiğin bir kısmı). Eklenen paketler doğrudan ağa gider.
Çoklu oturum
Genel Güvenli Erişim istemcisi aynı makinedeki eşzamanlı oturumları desteklemez. Bu sınırlama, çoklu oturum için yapılandırılan Azure Sanal Masaüstü (AVD) gibi RDP sunucuları ve VDI çözümleri için geçerlidir.
Arm64
Genel Güvenli Erişim istemcisi Arm64 mimarisini desteklemez.
QUIC İnternet Erişimi için desteklenmiyor
QUIC henüz İnternet Erişimi için desteklenmediğinden 80 UDP ve 443 UDP numaralı bağlantı noktalarına gelen trafik tünellenemez.
İpucu
QUIC şu anda Özel Erişim ve Microsoft 365 iş yüklerinde desteklenmektedir.
Yöneticiler, istemcilerin TCP üzerinden HTTPS'ye geri dönmesini tetikleyen QUIC protokolünü devre dışı bırakabilir ve bu da İnternet Erişimi'nde tam olarak desteklenir. Daha fazla bilgi için bkz . QUIC İnternet Erişimi için desteklenmiyor.
Sorun giderme
Genel Güvenli Erişim istemcisinde sorun gidermek için görev çubuğundaki istemci simgesine sağ tıklayın ve sorun giderme seçeneklerinden birini seçin: Günlükleri toplama veya Gelişmiş tanılama.
İpucu
Yöneticiler, İstemci kayıt defteri anahtarlarını gözden geçirerek Genel Güvenli Erişim istemci menü seçeneklerini değiştirebilir.
Genel Güvenli Erişim istemcisinde sorun giderme hakkında daha ayrıntılı bilgi için aşağıdaki makalelere bakın:
- Genel Güvenli Erişim istemcisi: gelişmiş tanılama sorunlarını giderme
- Genel Güvenli Erişim istemcisinin sorunlarını giderme: Sistem durumu denetimi sekmesi
İstemci kayıt defteri anahtarları
Genel Güvenli Erişim istemcisi, farklı işlevleri etkinleştirmek veya devre dışı bırakmak için belirli kayıt defteri anahtarlarını kullanır. Yöneticiler, kayıt defteri değerlerini denetlemek için Microsoft Intune veya Grup İlkesi gibi mobil Cihaz Yönetimi (MDM) çözümlerini kullanabilir.
Dikkat
Microsoft Desteği tarafından belirtilmediği sürece diğer kayıt defteri değerlerini değiştirmeyin.
İstemcide Özel Erişimi devre dışı bırakma veya etkinleştirme
Bu kayıt defteri değeri, özel erişimin istemci için etkinleştirilip etkinleştirilmediğini veya devre dışı bırakılıp bırakılmadığını denetler. Bir kullanıcı şirket ağına bağlıysa, Genel Güvenli Erişimi atlamayı ve doğrudan özel uygulamalara erişmeyi seçebilir.
Kullanıcılar sistem tepsisi menüsü aracılığıyla Özel Erişimi devre dışı bırakabilir ve etkinleştirebilir.
İpucu
Bu seçenek menüde yalnızca gizli değilse (bkz . Sistem tepsisi menü düğmelerini gizleme veya gösterme) ve Bu kiracı için Özel Erişim etkinleştirildiyse kullanılabilir.
Yöneticiler, kayıt defteri anahtarını ayarlayarak kullanıcı için Özel Erişimi devre dışı bırakabilir veya etkinleştirebilir:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
| Değer | Tür | Veriler | Açıklama |
|---|---|---|---|
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x0 | Bu cihazda Özel Erişim etkinleştirildi. Özel uygulamalara giden ağ trafiği Genel Güvenli Erişimden geçer. |
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x1 | Bu cihazda Özel Erişim devre dışı bırakıldı. Özel uygulamalara giden ağ trafiği doğrudan ağa gider. |
Kayıt defteri değeri yoksa, varsayılan değer 0x0, Özel Erişim etkinleştirilir.
Sistem tepsisi menü düğmelerini gizleme veya gösterme
Yönetici, istemci sistem tepsisi simgesi menüsünde belirli düğmeleri gösterebilir veya gizleyebilir. Aşağıdaki kayıt defteri anahtarı altında değerleri oluşturun:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
| Değer | Tür | Veri | Varsayılan davranış | Açıklama |
|---|---|---|---|---|
| HideSignOutButton | REG_DWORD | 0x0 - gösterilen 0x1 - gizli | gizli | Oturumu kapat eylemini göstermek veya gizlemek için bu ayarı yapılandırın. Bu seçenek, kullanıcının Windows'ta oturum açmak için kullanılandan farklı bir Entra kullanıcısıyla istemcide oturum açması gereken belirli senaryolara yöneliktir. Not: İstemcide, cihazın katıldığı aynı Entra kiracısında bulunan bir kullanıcıyla oturum açmanız gerekir. Mevcut kullanıcının kimlik doğrulamasını yeniden yapmak için Oturumu kapat eylemini de kullanabilirsiniz. |
| HideDisablePrivateAccessButton | REG_DWORD | 0x0 - gösterilen 0x1 - gizli | gizli | Bu ayarı Özel Erişimi Devre Dışı Bırak eylemini gösterecek veya gizleyecek şekilde yapılandırın. Bu seçenek, cihazın doğrudan şirket ağına bağlı olduğu ve kullanıcının Genel Güvenli Erişim yerine doğrudan ağ üzerinden özel uygulamalara erişmeyi tercih eden bir senaryoya yöneliktir. |
Daha fazla bilgi için bkz . Gelişmiş kullanıcılar için Windows'ta IPv6'yı yapılandırma kılavuzu.