全域安全存取用戶端是全域安全存取不可或缺的一部分。 它可協助組織管理及保護終端用戶裝置上的網路流量。 用戶端會將需要被全域安全存取保護的流量路由到雲端服務。 所有其他流量都會直接流向網路。 您在入口網站中設定的轉送配置檔會決定全域安全存取用戶端將哪些流量路由傳送至雲端服務。
注意
全域安全存取用戶端也適用於macOS、Android和iOS。 若要瞭解如何在這些平臺上安裝全域安全存取用戶端,請參閱適用於macOS的
本文說明如何下載及安裝適用於 Windows 的全域安全存取用戶端。
必要條件
- 已加入全球安全存取的 Microsoft Entra 租戶。
- 已加入已啟用承租者的管理裝置。 裝置必須是 Microsoft Entra 加入或 Microsoft Entra 混合式加入。
- 不支援已註冊 Microsoft Entra 的裝置。
- 全域安全存取用戶端需要 64 位版本的 Windows 10 或 Windows 11,或 Arm64 版本的 Windows 11。
- 支援單一工作階段的 Azure 虛擬桌面。
- Azure 虛擬桌面不支援多重工作階段。
- 支援 Windows 365。
- 您需要本機系統管理員認證,才能安裝或升級 Global Secure Access 用戶端。
- 全域安全存取用戶端需要授權。 如需詳細資訊,請參閱什麼是全球安全存取的授權一節。 如有需要,您可以 購買授權或取得試用版授權。
下載用戶端
最新的全域安全存取用戶端版本可從 Microsoft Entra 系統管理中心下載。
- 以全球安全存取管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至
全球安全存取 連線 用戶端下載 。 - 選取下載用戶端。
![用戶端下載畫面的螢幕擷取畫面,已醒目提示 [下載用戶端] 按鈕。](media/how-to-install-windows-client/client-download-screen.png)
安裝全域安全存取用戶端
自動化安裝
組織可以使用/quiet參數來靜默安裝全域安全存取用戶端,或使用行動裝置管理(MDM)解決方案,例如Microsoft Intune將用戶端部署至其裝置。
使用 Intune 部署全域安全存取用戶端
在本節中,您將瞭解如何使用 Intune 在 Windows 11 用戶端裝置上手動安裝全域安全存取用戶端。
必要條件
- 具有裝置或使用者的安全組,用來識別要安裝 Global Secure Access 用戶端的位置
封裝用戶端
將 .exe 檔案轉換成 .intunewin 檔案。
從 Microsoft Entra 系統管理中心>全域安全存取>連線>用戶端下載。 選取 [Windows 11] 底下的 [下載用戶端 ]。
移至 Microsoft Win32 內容準備工具。 選取 IntuneWinAppUtil.exe。
在右上角,選取 [更多檔案動作 ],然後選取 [ 下載]。
![[更多檔案動作] 功能表的螢幕快照,可選取 [下載]。](media/how-to-install-windows-client/raw-file-download.png)
瀏覽至並執行
IntuneWinAppUtil.exe。 命令提示字元隨即開啟。輸入全域安全存取
.exe檔案的資料夾路徑位置。 選取 [輸入]。輸入全域安全存取
.exe檔案的名稱。 選取 [輸入]。輸入要在其中放置
.intunewin檔案的資料夾路徑。 選取 [輸入]。輸入 N。選取 Enter。
檔案 .intunewin 已可供您部署Microsoft Intune。
使用 Intune 部署全域安全存取用戶端
參考 將 Win32 應用程式新增並指派給 Microsoft Intune 的詳細指引。
選取 應用程式>所有應用程式>新增。
在 [選取應用程式類型] 的 [其他應用程式類型] 底下,選取 [Windows 應用程式] [Win32]。
選取 選取。 [ 新增應用程式] 步驟隨即出現。
選取 [選取應用程式套件檔案]。
選取資料夾圖示。
.intunewin開啟您在上一節中建立的檔案。
請選擇 [確定]。
設定這些欄位:
- 名稱:輸入用戶端應用程式的名稱。
- 描述:輸入描述。
- 發行者:輸入 Microsoft。
- 應用程式版本(選擇性):輸入用戶端版本。
您可以使用其餘欄位中的預設值。 選取 下一步。
![[新增應用程式以安裝用戶端] 的螢幕快照。](media/how-to-install-windows-client/add-app.png)
設定這些欄位:
-
安裝命令:針對 使用檔案
.exe的原始名稱"OriginalNameOfFile.exe" /install /quiet /norestart。 -
卸載命令:使用
.exe文件的原始名稱作為"OriginalNameOfFile.exe" /uninstall /quiet /norestart。 - 允許可用的卸載:選取 [否]。
- 安裝行為:選取 [系統]。
- 裝置重新啟動行為:選取 [根據傳回碼判斷行為]。
-
安裝命令:針對 使用檔案
| 回傳碼 | 程式代碼類型 |
|---|---|
| 0 | 成功 |
| 1707 | 成功 |
| 3010 | 成功 |
| 1641 | 成功 |
| 1618 | 重試 |
注意
傳回碼會填入預設 Windows 結束代碼。 在此情況下,我們已將兩種程式代碼類型變更為 Success ,以避免不必要的裝置重新啟動。
選取 下一步。
設定這些欄位:
- 作系統架構:選取您的最低需求。
- 最低作業系統:選取您的最低要求。
將其餘欄位保留空白。 選取 下一步。
在 [規則格式] 底下,選取 [手動設定偵測規則]。
選取 ,然後新增。
在 [規則類型] 底下,選取 [ 檔案]。
設定這些欄位:
-
路徑:輸入
C:\Program Files\Global Secure Access Client\TrayApp。 -
檔案或資料夾:輸入
GlobalSecureAccessClient.exe。 - 偵測方法:選取 [字串][版本]。
- 運算子:選擇 大於或等於。
- 值:輸入用戶端版本號碼。
- 與 64 位用戶端上的 32 位應用程式相關聯:選取 [否]。
-
路徑:輸入
請選擇 [確定]。 選取 下一步。
再選取 [ 下 一步] 兩次以取得 [指派]。
在 [ 必要] 下,選取 [+新增群組]。 選取一組用戶或裝置。 選取 選取。
選取 下一步。 選取 ,創建。
將用戶端更新為較新版本
若要更新為最新的用戶端版本,請遵循 更新企業營運應用程式 步驟。 除了上傳新 .intunewin 檔案之外,請務必更新下列設定:
- 用戶端版本
- 安裝和卸載命令
- 偵測規則值設定為新的用戶端版本號碼
在生產環境中,最佳做法是在階段式部署方法中部署新的用戶端版本:
- 暫時保留現有的應用程式。
- 為新的用戶端版本新增應用程式,重複上述步驟。
- 將新的應用程式指派給一小群使用者,以試驗新的用戶端版本。 您可以透過舊版用戶端版本將這些使用者指派給應用程式,以進行就地升級。
- 緩慢增加試驗群組的成員資格,直到您將新用戶端部署至所有所需的裝置為止。
- 使用舊版用戶端刪除應用程式。
手動安裝
若要手動安裝全域安全存取用戶端:
- 執行 GlobalSecureAccessClient.exe 安裝檔。 接受軟體授權條款。
- 用戶端程式會使用您的 Microsoft Entra 認證自動將您登入。 如果無訊息登入失敗,安裝程式會提示您手動登入。
- 登入。 連接圖示會變成綠色。
- 將滑鼠停留在連線圖示上以開啟客戶端狀態通知,該通知應顯示為 [已連線]。
用戶端介面
若要開啟全域安全存取用戶端介面,請選取系統匣中的全域安全存取圖示。 用戶端介面提供目前連線狀態的檢視、針對客戶端設定的通道,以及診斷工具的存取權。
連線檢視
從 [ 連線 ] 檢視中,您可以看到客戶端 狀態 和為用戶端設定 的通道 。 如果您想要停用用戶端,請選取 [ 停用 ] 按鈕。 您可以使用 [其他詳細數據 ] 區段中的資訊,協助針對用戶端連線進行疑難解答。 選取 [顯示更多詳細數據 ] 以展開區段並檢視其他資訊。
![全域安全存取用戶端介面的 [連線] 檢視螢幕快照。](media/how-to-install-windows-client/client-interface-connections.png)
疑難排解視圖
從 [ 疑難解答] 檢視中,您可以執行各種診斷工作。 您可以與 IT 系統管理員匯出和共享記錄。您也可以存取進 階診斷 工具,此工具提供各種疑難解答工具。 注意:您也可以從系統匣圖示功能表中啟動進階診斷工具。
設定檢視
切換至 [ 設定 ] 檢視,以檢查已安裝 的版本 ,或存取 Microsoft 隱私聲明。
![全域安全存取用戶端介面的 [設定] 檢視螢幕快照。](media/how-to-install-windows-client/client-interface-settings.png)
用戶端動作
若要檢視可用的用戶端功能表動作,請以滑鼠右鍵按兩下全域安全存取系統匣圖示。
提示
全域安全存取用戶端功能表動作會根據您的 用戶端登錄機碼 設定而有所不同。
| 動作 | 描述 |
|---|---|
| 登出 | 默認為隱藏。 當您需要使用不同於用來登入 Windows 的 Microsoft Entra 使用者登入 Global Secure Access 用戶端時,請使用 [註銷] 動作。 若要讓此動作可供使用,請更新適當的 用戶端登錄機碼。 |
| 停用 | 選取 [ 停用 ] 動作以停用用戶端。 在您啟用用戶端或重新啟動電腦之前,用戶端會保持停用狀態。 |
| 啟用 | 啟用全域安全存取用戶端。 |
| 停用私人存取 | 默認為隱藏。 當您想要在裝置直接連線到公司網路時略過全域安全存取時,請使用 [停用私人存取] 動作,直接透過網路存取私人應用程式,而不是透過全域安全存取。 若要讓此動作可供使用,請更新適當的 用戶端登錄機碼。 |
| 收集日志 | 選取此動作以收集客戶端記錄檔(用戶端計算機的相關信息、服務的相關事件記錄檔和登錄值),並將其封存於 zip 檔案中,以便與 Microsoft 支援服務 共用以進行調查。 記錄預設位置為 C:\Program Files\Global Secure Access Client\Logs。 您也可以在命令提示字元中輸入下列命令,在 Windows 上收集客戶端記錄: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>。 |
| 進階診斷 | 選取此動作以啟動進階診斷公用程式,並存取各種 疑難解答 工具。 |
客戶端狀態指標
狀態通知
按兩下 [全域安全存取] 圖示以開啟客戶端狀態通知,並檢視針對客戶端設定的每個通道狀態。
系統匣中的客戶端狀態圖示
| 圖示 | 訊息 | 描述 |
|---|---|---|
|
全球安全存取 | 用戶端正在初始化並檢查其與全域安全存取的連線。 |
|
全域安全存取 - 已連線 | 用戶端已連線至全域安全存取。 |
|
全域安全存取 - 已停用 | 用戶端已停用,因為服務已離線,或使用者停用用戶端。 |
|
全域安全存取 - 已中斷連線 | 用戶端無法連線到全域安全存取。 |
|
全域安全存取 - 某些通道無法連線 | 用戶端部分連線到全域安全存取(也就是至少一個通道的連線失敗:Microsoft Entra、Microsoft 365、私人存取、因特網存取)。 |
|
|
全球安全存取 - 已被貴組織停用 | 您的組織已停用用戶端(也就是說,所有流量轉送配置檔都會停用)。 |
|
|
全域安全存取 - 已停用私人存取 | 使用者已停用此裝置上的 Private Access。 |
|
|
全域安全存取 - 無法連線到因特網 | 用戶端無法偵測到因特網連線。 裝置會連線到沒有因特網連線的網路,或需要 Captive Portal 登入的網路。 |
已知的限制
如需已知問題和限制的詳細資訊,請參閱 全域安全存取的已知限制。
疑難排解
若要針對全域安全存取用戶端進行疑難解答,請以滑鼠右鍵按兩下任務列中的用戶端圖示,然後選取其中一個疑難解答選項: 收集記錄 或 進階診斷。
提示
系統管理員可以修改 用戶端登錄機碼來修改全域安全存取用戶端功能表選項。
欲了解全域安全存取客戶端疑難解答的詳細資訊,請參閱下列文章:
客戶端登錄機碼
全域安全存取用戶端會使用特定的登錄機碼來啟用或停用不同的功能。 系統管理員可以使用Mobile 裝置管理 (MDM) 解決方案,例如 Microsoft Intune 或組策略來控制登錄值。
警告
除非Microsoft支援指示,否則請勿變更其他登錄值。
限制非特殊許可權的使用者
系統管理員可以藉由設定下列登錄機碼,防止 Windows 裝置上的非特殊許可權使用者停用或啟用用戶端:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD
| 資料 | 描述 |
|---|---|
| 0x0 | Windows 裝置上的非特殊許可權使用者可以停用並啟用用戶端。 |
| 0x1 | Windows 裝置上的非特殊許可權使用者受限於停用和啟用用戶端。 UAC 提示需要本機系統管理員認證才能停用和啟用選項。 系統管理員也可以隱藏停用按鈕(請參閱 隱藏或取消隱藏系統匣功能表按鈕)。 |
停用或啟用用戶端上的私密存取
此登錄值會控制用戶端是否啟用或停用 Private Access。 如果用戶連線到公司網路,他們可以選擇略過全域安全存取並直接存取私人應用程式。
用戶可以透過系統匣功能表停用並啟用 Private Access。
提示
只有在功能表沒有隱藏時,才能使用此選項(請參閱 隱藏或取消隱藏系統匣功能表按鈕),且此租用戶已啟用 Private Access。
系統管理員可以藉由設定登錄機碼來停用或啟用使用者的私用存取:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
| 值 | 類型 | 資料 | 描述 |
|---|---|---|---|
| 使用者是否已停用私人存取 | REG_DWORD | 0x0 | 此裝置上已啟用 Private Access。 私人應用程式的網路流量會通過全域安全存取。 |
| 使用者是否已停用私人存取 | REG_DWORD | 0x1 | 此裝置上已停用 Private Access。 私人應用程式的網路流量會直接流向網路。 |
如果登錄值不存在,預設值為 0x0,則會啟用 Private Access。
隱藏或取消隱藏系統匣功能表按鈕
系統管理員可以在客戶端通知區圖示功能表中顯示或隱藏特定按鈕。 在下列登錄鍵下建立值:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
| 值 | 類型 | 資料 | 預設行為 | 描述 |
|---|---|---|---|---|
| 隱藏登出按鈕 | REG_DWORD | 0x0 - 顯示0x1 - 隱藏 | 隱藏 | 設定此設定以顯示或隱藏 註銷 動作。 此選項適用於特定案例,當使用者需要以與用來登入 Windows 的使用者不同的 Microsoft Entra 使用者登入客戶端時。 注意:您必須使用與裝置已加入的相同 Microsoft Entra 租戶的使用者登入用戶端。 您也可以使用 註銷 動作來重新驗證現有的使用者。 |
| 隱藏禁用私人訪問按鈕 | REG_DWORD | 0x0 - 顯示0x1 - 隱藏 | 隱藏 | 設定此設定以顯示或隱藏 [ 停用私人存取 ] 動作。 此選項適用於裝置直接連線到公司網路的情況,而使用者偏好直接透過網路存取私人應用程式,而不是透過全域安全存取存取。 |
| 隱藏禁用按鈕 | REG_DWORD | 0x0 - 顯示0x1 - 隱藏 | 顯示 | 設定此設定以顯示或隱藏 [ 停用 ] 動作。 可見時,使用者可以停用全域安全存取用戶端。 用戶端會保持停用狀態,直到使用者再次啟用為止。 如果隱藏 [ 停用 ] 動作,則非特殊許可權的用戶無法停用用戶端。 |
如需詳細資訊,請參閱 在 Windows 中為進階使用者設定 IPv6 的指引。
相關內容
- 適用於 macOS 的
Global Secure Access 用戶端 - 適用於Android 的
全域安全存取用戶端 - 適用於 iOS 的
全域安全存取用戶端