適用於 Windows 的全球安全存取用戶端
Global Secure Access 用戶端是 Global Secure Access 的基本元件,可協助組織管理及保護終端用戶裝置上的網路流量。 用戶端的主要角色是路由傳送流量,這些流量必須受到雲端服務的全域安全存取保護。 所有其他流量都會直接流向網路。 在 入口網站中設定的轉送配置檔會決定全域安全存取用戶端路由傳送至雲端服務的流量。
本文說明如何下載及安裝適用於 Windows 的全域安全存取用戶端。
必要條件
- 已上線至全域安全存取的 Entra 租使用者。
- 已加入已上線租使用者的受控裝置。 裝置必須Microsoft已加入 Entra 或Microsoft Entra 混合式聯結。
- 不支援已註冊 Microsoft Entra 的裝置。
- Global Secure Access 用戶端需要 64 位版本的 Windows 10 或 Windows 11。
- 支援 Azure 虛擬桌面單一工作階段。
- 不支援 Azure 虛擬桌面多重工作階段。
- 支援 Windows 365。
- 需要本機系統管理員認證才能安裝或升級用戶端。
- 全域安全存取用戶端需要授權。 如需詳細資訊,請參閱什麼是全球安全存取的授權一節。 如有需要,您可以購買授權或取得試用版授權。
下載用戶端
最新的全域安全存取用戶端版本可從 Microsoft Entra 系統管理中心下載。
- 以全球安全存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽 [全球安全存取] > [連線] > [用戶端下載]。
- 選取 [下載用戶端]。
![[用戶端下載] 畫面的螢幕快照,其中已醒目提示 [下載用戶端] 按鈕。](media/how-to-install-windows-client/client-download-screen.png)
安裝全域安全存取用戶端
自動化安裝
組織可以使用 交換器以無訊息方式/quiet安裝全域安全存取用戶端,或使用行動裝置 裝置管理 (MDM) 解決方案,例如 Microsoft Intune 將用戶端部署至其裝置。
手動安裝
若要手動安裝全域安全存取用戶端:
- 執行 GlobalSecureAccessClient.exe 安裝檔。 接受軟體授權條款。
- 用戶端會使用您的 Microsoft Entra 認證,以無訊息方式將您登入。 如果無訊息登入失敗,安裝程式會提示您手動登入。
- 登入。 連接圖示會變成綠色。
- 將滑鼠停留在連線圖示上以開啟客戶端狀態通知,該通知應顯示為 [已連線]。
用戶端動作
若要檢視可用的用戶端功能表動作,請以滑鼠右鍵按兩下全域安全存取系統匣圖示。
提示
全域安全存取用戶端功能表動作會根據您的 用戶端登錄機碼 設定而有所不同。
| 動作 | 描述 |
|---|---|
| 登出 | 默認為隱藏。 當您需要使用 Entra 使用者登入 Global Secure Access 用戶端時,請使用 [註銷] 動作,而不是用來登入 Windows 的使用者。 若要讓此動作可供使用,請更新適當的 用戶端登錄機碼。 |
| 暫停 | 選取 [ 暫停] 動作以暫時暫停用戶端。 用戶端會維持暫停狀態,直到您繼續用戶端或重新啟動電腦為止。 |
| 繼續 | 繼續暫停的用戶端。 |
| 停用私人存取 | 默認為隱藏。 當您想要在裝置直接連線到公司網路時略過全域安全存取時,請使用 [停用私人存取] 動作,直接透過網路存取私人應用程式,而不是透過全域安全存取。 若要讓此動作可供使用,請更新適當的 用戶端登錄機碼。 |
| 收集記錄 | 選取此動作以收集客戶端記錄檔(用戶端計算機的相關信息、服務的相關事件記錄檔和登錄值),並將其封存在 zip 檔案中,以便與 Microsoft 支援服務 共用以進行調查。 記錄預設位置為 C:\Program Files\Global Secure Access Client\Logs。 |
| 進階診斷 | 選取此動作以啟動進階診斷公用程式,並存取各種 疑難解答 工具。 |
客戶端狀態指標
狀態通知
按兩下 [全域安全存取] 圖示以開啟客戶端狀態通知,並檢視針對客戶端設定的每個通道狀態。
系統匣中的客戶端狀態圖示
| Icon | 訊息 | 描述 |
|---|---|---|
|
全域安全存取用戶端 | 用戶端正在初始化並檢查其與全域安全存取的連線。 |
|
全域安全存取用戶端 - 已連線 | 用戶端會連線到全域安全存取。 |
|
全域安全存取用戶端 - 已停用 | 用戶端已停用,因為服務已離線,或使用者停用用戶端。 |
|
全域安全存取用戶端 - 已中斷連線 | 用戶端無法連線到全域安全存取。 |
|
全域安全存取用戶端 - 某些通道無法連線 | 用戶端部分連線到全域安全存取(也就是至少一個通道的連線失敗:Entra、Microsoft 365、Private Access、Internet Access)。 |
|
|
全域安全存取用戶端 - 由您的組織停用 | 您的組織已停用用戶端(也就是已停用所有流量轉送配置檔)。 |
|
|
全域安全存取 - 已停用私人存取 | 使用者已停用此裝置上的 Private Access。 |
|
|
全域安全存取 - 無法連線到因特網 | 用戶端無法偵測到因特網連線。 裝置會連線到沒有因特網連線的網路,或需要 Captive Portal 登入的網路。 |
已知的限制
目前全域安全存取用戶端版本的已知限制包括:
安全域名稱系統 (DNS)
全域安全存取用戶端目前不支援不同版本的安全 DNS,例如透過 HTTPS (DoH)、TLS 上的 DNS 或 DNS 安全性延伸模組 (DNSSEC)。 若要設定用戶端以取得網路流量,您必須停用安全的 DNS。 若要在瀏覽器中停用安全 DNS,請參閱 在瀏覽器中停用安全 DNS。
透過 TCP 的 DNS
DNS 會使用埠 53 UDP 進行名稱解析。 有些瀏覽器有自己的 DNS 用戶端,也支援埠 53 TCP。 目前全域安全存取用戶端不支援 DNS 連接埠 53 TCP。 作為緩和措施,藉由設定下列登錄值來停用瀏覽器的 DNS 用戶端:
- Microsoft Edge
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000 - Chrome
[HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
同時新增瀏覽chrome://flags與停用Async DNS resolver。
不支援 IPv6
用戶端只會通道 IPv4 流量。 用戶端不會取得 IPv6 流量,因此會直接傳輸至網路。 若要啟用通道中所有相關流量,請將網路適配器屬性設定為 慣用的 IPv4。
線上後援
如果雲端服務發生連線錯誤,用戶端會根據 轉送配置檔中比對規則的強化 值,回復為直接因特網連線或封鎖連線。
地理位置
針對通道傳送至雲端服務的網路流量,應用程式伺服器(網站)會將連線的來源IP偵測為邊緣的IP位址(而不是使用者裝置的IP位址)。 此案例可能會影響依賴地理位置的服務。
提示
若要讓 Office 365 和 Entra 偵測裝置的真實來源 IP,請考慮啟用 來源 IP 還原。
虛擬化支援
您無法在裝載虛擬機器的裝置上安裝全域安全存取用戶端。 不過,只要用戶端未安裝在主計算機上,您就可以在虛擬機上安裝全域安全存取用戶端。 因此,Windows 子系統 Linux 版 (WSL) 不會從安裝在主電腦上的用戶端取得流量。
Proxy
如果 Proxy 設定在應用層級(例如瀏覽器)或作業系統層級,請設定 Proxy 自動設定 (PAC) 檔案,以排除您預期用戶端通道的所有 FQDN 和 IP。
若要防止特定 FQDN/IP 的 HTTP 要求通道傳送至 Proxy,請將 FQDN/IP 新增至 PAC 檔案作為例外狀況。 (這些 FQDN/IP 位於用於通道的全域安全存取轉送配置檔中。 例如:
function FindProxyForURL(url, host) {
if (isPlainHostName(host) ||
dnsDomainIs(host, ".microsoft.com") || // tunneled
dnsDomainIs(host, ".msn.com")) // tunneled
return "DIRECT"; // If true, sets "DIRECT" connection
else // If not true...
return "PROXY 10.1.0.10:8080"; // forward the connection to the proxy
}
如果無法直接因特網連線,請將用戶端設定為透過 Proxy 連線到全域安全存取服務。 例如,將系統變數設定 grpc_proxy 為符合 Proxy 的值,例如 http://proxy:8080。
若要套用設定變更,請重新啟動全域安全存取用戶端 Windows 服務。
封包插入
用戶端只會通道使用套接字傳送的流量。 它不會使用驅動程式將插入網路堆疊的流量通道傳送至網路堆疊(例如,網路對應程式 (Nmap) 所產生的一些流量。 插入的封包會直接移至網路。
多重工作階段
全域安全存取用戶端不支援相同電腦上的並行會話。 這項限制適用於針對多會話設定的 RDP 伺服器和 VDI 解決方案,例如 Azure 虛擬桌面 (AVD)。
Arm64
全域安全存取用戶端不支援Arm64架構。
因特網存取不支援 QUIC
由於因特網存取尚不支援 QUIC,因此無法通道傳送至埠 80 UDP 和 443 UDP 的流量。
提示
私人存取和Microsoft 365 工作負載目前支援QUIC。
系統管理員可以停用 QUIC 通訊協定,以觸發用戶端透過 TCP 回復至 HTTPS,這是因特網存取中完全支援的。 如需詳細資訊,請參閱 不支援因特網存取的QUIC。
疑難排解
若要針對全域安全存取用戶端進行疑難解答,請以滑鼠右鍵按兩下任務列中的用戶端圖示,然後選取其中一個疑難解答選項: 收集記錄 或 進階診斷。
提示
系統管理員可以修改 用戶端登錄機碼來修改全域安全存取用戶端功能表選項。
如需針對全域安全存取客戶端進行疑難解答的詳細資訊,請參閱下列文章:
用戶端登錄機碼
全域安全存取用戶端會使用特定的登錄機碼來啟用或停用不同的功能。 系統管理員可以使用Mobile 裝置管理 (MDM) 解決方案,例如 Microsoft Intune 或組策略來控制登錄值。
警告
除非 Microsoft 支援服務 指示,否則請勿變更其他登錄值。
停用或啟用用戶端上的 Private Access
此登錄值會控制用戶端是否啟用或停用 Private Access。 如果用戶連線到公司網路,他們可以選擇略過全域安全存取並直接存取私人應用程式。
用戶可以透過系統匣功能表停用並啟用 Private Access。
提示
只有在功能表沒有隱藏此選項時,才會提供此選項(請參閱 隱藏或取消隱藏系統匣功能表按鈕),且此租使用者已啟用 Private Access。
系統管理員可以藉由設定登錄機碼來停用或啟用使用者的私用存取:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
| 值 | 類型 | 資料 | 描述 |
|---|---|---|---|
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x0 | 此裝置上已啟用 Private Access。 私人應用程式的網路流量會通過全域安全存取。 |
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x1 | 此裝置上已停用 Private Access。 私人應用程式的網路流量會直接流向網路。 |
如果登錄值不存在,預設值為 0x0,則會啟用 Private Access。
隱藏或取消隱藏系統匣功能表按鈕
系統管理員可以在客戶端系統匣圖示功能顯示或隱藏特定按鈕。 在下列登入機碼下建立值:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
| 值 | 類型 | 資料 | 預設行為 | 描述 |
|---|---|---|---|---|
| HideSignOutButton | REG_DWORD | 0x0 - 顯示0x1 - 隱藏 | 隱藏 | 設定此設定以顯示或隱藏 註銷 動作。 此選項適用於特定案例,當使用者需要使用與用來登入 Windows 的使用者不同的 Entra 使用者登入用戶端時。 注意:您必須使用已加入裝置的相同 Entra 租使用者中的使用者登入用戶端。 您也可以使用 註銷 動作來重新驗證現有的使用者。 |
| HideDisablePrivateAccessButton | REG_DWORD | 0x0 - 顯示0x1 - 隱藏 | 隱藏 | 設定此設定以顯示或隱藏 [ 停用私人存取 ] 動作。 此選項適用於裝置直接連線到公司網路的情況,而使用者偏好直接透過網路存取私人應用程式,而不是透過全域安全存取存取。 |
如需詳細資訊,請參閱 在 Windows 中為進階使用者設定 IPv6 的指引。