共用方式為

適用於 Windows 的全域安全存取用戶端 (預覽)

  • 發行項

瞭解如何安裝適用於 Windows 的全域安全存取用戶端。

必要條件

  • Windows 11 或 Windows 10 的 64 位版本支援全域安全存取用戶端。
    • 支援 Azure 虛擬桌面單一工作階段。
    • 不支援 Azure 虛擬桌面多會話。
    • 支援 Windows 365。
  • 裝置必須已加入 Microsoft Entra 或已加入 Microsoft Entra 混合式。
    • 不支援已註冊 Microsoft Entra 的裝置。
  • 需要本機系統管理員認證才能安裝。
  • 預覽需要 Microsoft Entra ID P1 授權。 如有需要,您可以 購買授權或取得試用版授權

已知的限制

  • 不支援相同裝置上的多個使用者會話,例如遠端桌面伺服器 (RDP) 中的工作階段。
  • 使用 Captive 入口網站的網路,例如某些客體無線網路解決方案,可能會導致用戶端連線失敗。 作為因應措施,您可以 暫停全域安全存取用戶端
  • 不支援主機和客體作業系統已安裝全域安全存取用戶端的虛擬機。 支援已安裝客戶端的個別虛擬機。
  • 如果全域安全存取客戶端無法連線到服務,服務會略過流量(例如,因為授權或條件式存取失敗)。 流量會以直接和本機傳送,而不是遭到封鎖。 在此案例中,您可以建立 符合規範網路檢查的條件式存取原則,以在用戶端無法連線到服務時封鎖流量。
  • 尚不支援ARM64架構上的全域安全存取用戶端。 不過,ARM64 正在規劃中。

根據使用中的流量轉送配置檔,還有其他數個限制:

流量轉送配置檔 限制
Microsoft 365 目前不支援通道 IPv6 流量。
Microsoft 365私人存取 若要根據 FQDN 規則來通道網路流量(在轉送配置檔中), 必須停用透過 HTTPS (安全 DNS) 的功能變數名稱系統 (DNS)。
Microsoft 365私人存取 如果終端使用者裝置設定為使用 Proxy 伺服器,則必須從該設定中排除您想要使用全域安全存取用戶端通道的位置。 如需範例,請參閱 Proxy 組態範例
私人存取 不支援單一標籤網域,例如 https://contosohome 私人應用程式。 請改用完整功能變數名稱 (FQDN),例如 https://contosohome.contoso.com。 管理員 istrators 也可以選擇透過 Windows 附加 DNS 後綴。

下載用戶端

您可以從 Microsoft Entra 系統管理中心下載最新的全域安全存取用戶端版本。

  1. 以全域安全存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至全域安全存取 (預覽)>連線> Client 下載。

  3. 選取 [ 下載用戶端]。

    下載 Windows 用戶端按鈕的螢幕快照。

安裝用戶端

組織可以透過交換器以互動方式、以無訊息方式 /quiet 安裝用戶端,或使用 Microsoft Intune 等 行動裝置管理平臺將其部署 至其裝置。

  1. 將全域安全存取用戶端安裝程式檔案複製到您的用戶端電腦。

  2. 執行GlobalSecureAccessClient.exe安裝程序檔案。 接受軟體授權條款。

  3. 已安裝用戶端,並提示使用者使用其 Microsoft Entra 認證登入。

    顯示登入方塊的螢幕快照會出現在用戶端安裝完成之後。

  4. 使用者登入,而聯機圖示會變成綠色。 按兩下連線圖示會開啟通知,並顯示連線狀態的客戶端資訊。

    顯示客戶端已連線的螢幕快照。

疑難排解

若要針對全域安全存取用戶端進行疑難解答,請以滑鼠右鍵按兩下任務列中的用戶端圖示。

顯示全域安全存取用戶端操作功能表的螢幕快照。

  • 以不同的使用者身分登入
    • 強制登入畫面變更使用者或重新驗證現有的使用者。
  • 暫停
    • 此選項可用來暫時停用流量通道。 由於此客戶端是貴組織安全性狀態的一部分,因此建議您一律保持執行狀態。
    • 此選項會停止與用戶端相關的 Windows 服務。 當這些服務停止時,流量就不會再從用戶端計算機通道傳送到雲端服務。 網路流量的行為就像客戶端暫停時未安裝客戶端一樣。 如果客戶端電腦重新啟動,服務會自動重新啟動。
  • 繼續
    • 此選項會啟動與全域安全存取用戶端相關的基礎服務。 在暫時暫停用戶端以進行疑難解答之後,會使用此選項繼續。 流量會繼續從用戶端到雲端服務的通道。
  • 重新啟動
    • 此選項會停止並啟動與用戶端相關的 Windows 服務。
  • 收集記錄
    • 收集記錄以取得支持和進一步的疑難解答。 這些記錄預設會收集並儲存在 中 C:\Program Files\Global Secure Access Client\Logs
      • 這些記錄包含用戶端電腦的相關信息、服務的相關事件記錄檔,以及包含已套用流量轉送配置檔的登錄值。
  • 用戶端檢查程式
    • 執行腳本來測試用戶端元件,以確保用戶端已設定並如預期般運作。
  • 連線 ion 診斷提供用戶端對全域安全存取服務通道的客戶端狀態和連線實時顯示
    • [摘要 ] 索引標籤會顯示用戶端設定的一般資訊,包括:使用中的原則版本、上次原則更新日期和時間,以及客戶端設定為使用之租使用者的標識碼。
      • 當 FQDN 取得的新流量成功根據流量轉送配置檔中的目的地 FQDN 比對,主機名取得狀態會變更為綠色。
    • 流程 會顯示使用者裝置起始的即時連線清單,並由用戶端通道傳送至全域安全存取邊緣。 每個連接都是新的數據列。
      • 時間戳 是第一次建立連接的時間。
      • 線上目的地的完整功能變數名稱 (FQDN)。 如果決定通道連線是根據轉送原則中的IP規則而非 FQDN 規則進行的,FQDN 資料行會顯示 N/A。
      • 此連線之使用者裝置的來源 埠。
      • 目的地 IP 是連線的目的地。
      • 目前僅支援通訊協定 TCP。
      • 起始連線的進程名稱。
      • 使用中的 Flow 提供連線是否仍在開啟的狀態。
      • 傳送的數據 會提供使用者裝置透過連線傳送的位元組數目。
      • 接收的數據 會提供使用者裝置透過連線所接收的位元元組數目。
      • 相互關聯標識碼 會提供給用戶端通道的每個連線。 此標識元允許追蹤客戶端記錄中的連線。 用戶端記錄包含事件查看器、事件追蹤(ETL)和 全域安全存取流量記錄
      • 流程標識碼 是 ETL 檔案中顯示的用戶端所使用的連線內部識別碼。
      • 通道名稱 會識別通道所傳送的流量轉送配置檔。 此決定是根據轉送配置檔中的規則進行。
    • HostNameAcquisition 提供用戶端根據轉送配置檔中的 FQDN 規則取得的主機名清單。 每個主機名都會顯示在新的數據列中。 如果 DNS 將主機名 (FQDN) 解析為不同的 IP 位址,則未來取得相同的主機名會建立另一個數據列。
      • 時間戳 是第一次建立連接的時間。
      • 已解析的 FQDN
      • 產生的IP位址 是客戶端針對內部用途所產生的IP位址。 此 IP 會顯示在流程索引標籤中,以取得與相對 FQDN 建立的連接。
      • 原始IP位址 是查詢 FQDN 時 DNS 回應中的第一個 IPv4 位址。 如果使用者裝置指向的 DNS 伺服器未傳回查詢的 IPv4 位址,原始 IP 位址會顯示 0.0.0.0
    • 服務 會顯示與全域安全存取用戶端相關的 Windows 服務狀態。 啟動的服務有綠色狀態圖示,停止的服務會顯示紅色狀態圖示。 這三個 Windows 服務都必須啟動,用戶端才能運作。
    • 通道會列出指派給用戶端的流量轉送配置檔,以及聯機至全域安全存取邊緣的狀態。

事件記錄檔

與全域安全存取用戶端相關的事件記錄檔可以在 底下的 事件檢視器 Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational中找到。 這些事件提供有關用戶端所建立狀態、原則和聯機的實用詳細數據。

停用 IPv6 並保護 DNS

如果您需要在嘗試預覽的 Windows 裝置上停用 IPv6 或安全 DNS 的協助,下列腳本會提供協助。

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

Proxy 組態範例

包含排除專案的 Proxy PAC 檔案範例:

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||
      dnsDomainIs(host, ".contoso.com") || //tunneled
      dnsDomainIs(host, ".fabrikam.com"))  // tunneled
      return "DIRECT";                     // If true, sets "DIRECT" connection
      else                                 // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

然後,組織必須建立名為 grpc_proxy 的系統變數,其值與 http://10.1.0.10:8080 用戶機器上的 Proxy 伺服器組態相符,以允許全域安全存取用戶端服務藉由設定下列專案來使用 Proxy。

使用規定

您使用 Microsoft Entra 私人存取和 Microsoft Entra 網際網路存取的預覽體驗和功能受您據以取得服務的合約中預覽線上服務條款及條件所規範。 預覽可能提供縮減的或不同的安全性、合規性和隱私權承諾,如適用於線上服務的通用授權條款Microsoft 產品和服務資料保護增補 ("DPA") 以及該預覽所提供任何其他注意事項中的進一步說明。

下一步

開始使用 Microsoft Entra 網際網路存取的下一個步驟是啟用通用租使用者限制