通过

适用于 Windows 的全球安全访问客户端

  • 项目

全球安全访问客户端是全球安全访问的重要组成部分,可帮助组织管理和保护最终用户设备上的网络流量。 客户端的主要角色是路由需要由全球安全访问到云服务的流量。 所有其他流量直接流向网络。 门户中配置的转发配置文件确定全球安全访问客户端路由到云服务的流量。

本文介绍如何下载并安装适用于 Windows 的全球安全访问客户端。

先决条件

  • 加入到全球安全访问的 Entra 租户。
  • 联接到已加入租户的托管设备。 设备必须为 Microsoft Entra 联接或 Microsoft Entra 混合联接。
    • 不支持已注册 Microsoft Entra 设备。
  • 全球安全访问客户端需要 64 位版本的 Windows 10 或 Windows 11。
    • 支持 Azure 虚拟桌面单会话。
    • 不支持 Azure 虚拟桌面多会话。
    • 支持 Windows 365。
  • 安装或升级客户端需要本地管理员凭据。
  • 全球安全访问客户端需要许可。 有关详细信息,请参阅什么是全球安全访问的许可部分。 如果需要,可以购买许可证或获取试用许可证

下载客户端

可以从 Microsoft Entra 管理中心下载最新版本的全球安全访问客户端。

  1. 全局安全访问管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“全球安全访问”>“连接”>“客户端下载”。
  3. 选择“下载客户端”客户端下载屏幕截图,其中突出显示了“下载客户端”按钮。

安装全球安全访问客户端

自动安装

组织可以使用 /quiet 交换机以无提示方式安装客户端,或使用移动设备管理平台(如 Microsoft Intune)将客户端部署到其设备。

手动安装

若要手动安装全球安全访问客户端:

  1. 运行 GlobalSecureAccessClient.exe 设置文件。 接受软件许可条款。
  2. 客户端使用 Microsoft Entra 凭据以无提示方式登录。 如果无提示登录失败,安装程序会提示手动登录。
  3. 登录。 连接图标变为绿色。
  4. 将鼠标悬停在连接图标上以打开客户端状态通知,该通知应显示为“已连接”。
    显示客户端已连接的屏幕截图。

客户端操作

若要查看可用的客户端菜单操作,请右键单击全球安全访问系统托盘图标。 显示全球安全访问客户端操作的完整列表的屏幕截图。

提示

全球安全访问客户端菜单操作将因 客户端注册表项配置而异。

操作 说明
注销 默认情况下隐藏。 如果需要使用 Entra 用户登录全局安全访问客户端,而不是用于登录 Windows 的用户,请使用“退出登录”操作。 若要使此操作可用,请更新相应的客户端注册表项
暂停 选择“暂停”操作以暂停客户端。 客户端将保持暂停状态,直到恢复客户端或重启计算机。
恢复 恢复暂停的客户端。
禁用专用访问 默认情况下隐藏。 如果要在将设备直接连接到企业网络时绕过全局安全访问,以便直接通过网络而不是全局安全访问来访问专用应用程序,请使用“禁用专用访问”操作。 若要使此操作可用,请更新相应的客户端注册表项
收集日志 选择此操作以收集客户端日志(有关客户端计算机的信息、服务的相关事件日志以及注册表值),并将其存档在 zip 文件中,与 Microsoft 支持部门共享以进行调查。 日志的默认位置是 C:\Program Files\Global Secure Access Client\Logs
高级诊断 选择此操作以启动高级诊断实用工具并访问各种故障排除工具。

客户端状态指示器

状态通知

双击“全局安全访问”图标以打开客户端状态通知,并查看为客户端配置的每个通道的状态。
显示客户端已连接的屏幕截图。

系统托盘图标中的客户端状态

图标 消息 说明
全局安全访问客户端 客户端正在初始化并检查其与全局安全访问的连接。
全局安全访问客户端 - 已连接 客户端已连接至全局安全访问。
全局安全访问客户端 - 已禁用 由于服务处于离线状态或用户已禁用客户端,因此客户端被禁用。
全局安全访问客户端 - 已断开连接 客户端无法连接到全局安全访问。
全局安全访问客户端 - 某些通道无法访问 客户端部分连接到全局安全访问(即至少一个通道的连接失败:Entra、Microsoft 365、专用访问、Internet 访问)。
全局安全访问客户端 - 组织禁用 组织已禁用客户端(即禁用了所有流量转发配置文件)。
全局安全访问 - 已禁用专用访问 用户禁用了在此设备上的专用访问。
全局安全访问 - 无法连接到 Internet 客户端无法检测到 Internet 连接。 设备连接到的网络没有 Internet 连接或需要强制网络门户登录。

已知限制

当前版本的全局安全访问客户端的已知限制包括:

安全域名系统 (DNS)

全局安全访问客户端目前不支持不同版本的安全 DNS,例如 DNS over HTTPS (DoH)、DNS over TLS (DoT) 或 DNS 安全扩展 (DNSSEC)。 若要配置客户端以便它可以获取网络流量,必须禁用安全 DNS。 若要在浏览器中禁用安全 DNS,请参阅在浏览器中禁用安全 DNS

DNS over TCP

DNS 使用端口 53 UDP 进行名称解析。 某些浏览器有自己的 DNS 客户端,也支持端口 53 TCP。 目前全局安全访问客户端不支持 DNS 端口 53 TCP。 作为缓解措施,通过设置以下注册表值来禁用浏览器的 DNS 客户端:

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
  • Chrome
    [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    同时添加浏览 chrome://flags 和禁用 Async DNS resolver

不支持 IPv6

客户端隧道仅传输 IPv4 流量。 客户端不会获取 IPv6 流量,因此该流量直接传输到网络。 若要使所有相关流量都通过隧道传输,请将网络适配器属性设置为首选 IPv4

连接回退

如果云服务出现连接错误,客户端会根据转发配置文件中匹配规则的强化值回退到直接 Internet 连接或阻止连接。

地理位置

对于通过隧道传输到云服务的网络流量,应用程序服务器(网站)会将连接的源 IP 检测为边缘的 IP 地址(而非用户设备的 IP 地址)。 这种情况可能会影响依赖于地理位置的服务。

提示

要让 Office 365 和 Entra 检测设备的真实源 IP,请考虑启用源 IP 还原

虚拟化支持

无法在托管虚拟机的设备上安装全局安全访问客户端。 但是,只要客户端未安装在主机上,就可以在虚拟机上安装全局安全访问客户端。 出于同样的原因,适用于 Linux 的 Windows 子系统 (WSL) 不会从安装在主机上的客户端获取流量。

代理

如果在应用程序级别(例如浏览器)或 OS 级别配置代理,请配置代理自动配置 (PAC) 文件,以排除所有期望客户端进行隧道传输的 FQDN 和 IP。

若要防止特定 FQDN/IP 的 HTTP 请求通过隧道传输到代理,请将 FQDN/IP 作为例外添加到 PAC 文件。 (这些 FQDN/IP 位于全局安全访问的转发配置文件中,用于隧道传输)。 例如:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

如果无法建立直接 Internet 连接,请将客户端配置为通过代理连接到全局安全访问服务。 例如,设置 grpc_proxy 系统变量以匹配代理的值,例如 http://proxy:8080

若要应用配置更改,请重启全局安全访问客户端 Windows 服务。

数据包注入

客户端仅对使用套接字发送的流量进行隧道传输。 它不会对使用驱动程序注入到网络堆栈的流量(例如,网络映射器 (Nmap) 生成的一些流量)进行隧道传输。 注入的数据包直接传入网络。

多会话

全局安全访问客户端不支持同一计算机上的并发会话。 此限制适用于为多会话配置的 RDP 服务器和 VDI 解决方案,例如 Azure 虚拟桌面 (AVD)。

ARM64

全局安全访问客户端不支持 Arm64 体系结构。

Internet 访问 不支持 QUIC

由于 Internet 访问尚不支持 QUIC,因此无法对端口 80 UDP 和 443 UDP 的流量进行隧道传输。

提示

目前,专用访问和 Microsoft 365 工作负载支持 QUIC。

管理员可以禁用 QUIC 协议,触发客户端回退到 HTTPS over TCP,这在 Internet 访问中是完全受支持的。 有关详细信息,请参阅 Internet 访问不支持 QUIC

故障排除

若要对全局安全访问客户端进行故障排除,请右键单击任务栏中的客户端图标,然后选择其中一个故障排除选项:“收集日志”或“高级诊断”。

提示

管理员可以通过修改客户端注册表项来调整全局安全访问客户端菜单选项。

有关全局安全访问客户端故障排除的更多详细信息,请参阅以下文章:

客户端注册表项

全球安全访问客户端使用特定的注册表项启用或禁用不同的功能。 管理员可以使用移动设备管理 (MDM) 解决方案(如 Microsoft Intune 或组策略)来控制注册表值。

注意

除非 Microsoft 支持部门指示,否则不要更改其他注册表值。

在客户端上禁用或启用专用访问

此注册表值控制是否为客户端启用或禁用专用访问。 如果用户连接到公司网络,可以选择绕过全球安全访问并直接访问专用应用程序。

用户可以通过系统托盘菜单禁用和启用专用访问。

提示

仅当菜单未隐藏(请参阅“隐藏或取消隐藏系统托盘菜单按钮”)并且为此租户启用了专用访问时,此选项才可用。

管理员可以通过设置注册表项来禁用或启用用户的专用访问:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

类型 数据 说明
IsPrivateAccessDisabledByUser REG_DWORD 0x0 此设备上启用了专用访问。 发往专用应用程序的网络流量通过全球安全访问。
IsPrivateAccessDisabledByUser REG_DWORD 0x1 此设备上禁用了专用访问。 发往专用应用程序的网络流量直接转到网络。

显示注册表编辑器的屏幕截图,其中突出显示了 IsPrivateAccessDisabledByUser 注册表项。

如果注册表值不存在,则默认值为 0x0,将启用专用访问。

隐藏或取消隐藏系统托盘菜单按钮

管理员可以在客户端系统托盘图标菜单中显示或隐藏特定按钮。 创建以下注册表项值:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

类型 数据 默认行为 说明
HideSignOutButton REG_DWORD 0x0 - 显示 0x1 - 隐藏 hidden 配置此设置以显示或隐藏注销操作。 此选项适用于特定场景,即用户需要使用与用于登录 Windows 的用户不同的 Entra 用户登录到客户端。 注意:必须使用加入设备的同一 Entra 租户中的用户登录到客户端。 还可以使用注销操作重新对现有用户进行身份验证。
HideDisablePrivateAccessButton REG_DWORD 0x0 - 显示 0x1 - 隐藏 hidden 配置此设置以显示或隐藏“禁用专用访问”操作。 此选项适用于以下情况:设备直接连接到企业网络,而用户更喜欢直接通过网络而不是全局安全访问访问来访问专用应用程序。

显示注册表编辑器的屏幕截图,其中突出显示了 HideSignOutButton 和 HideDisablePrivateAccessButton 注册表项。

有关详细信息,请参阅适用于高级用户的在 Windows 中配置 IPv6 指南