Globální klient zabezpečeného přístupu pro Microsoft Windows
Klient globálního zabezpečeného přístupu, základní komponenta globálního zabezpečeného přístupu, pomáhá organizacím spravovat a zabezpečit síťový provoz na zařízeních koncových uživatelů. Hlavní rolí klienta je směrování provozu, které musí být zabezpečeno globálním zabezpečeným přístupem do cloudové služby. Veškerý ostatní provoz směřuje přímo do sítě. Profily předávání nakonfigurované na portálu určují, který provoz klient globálního zabezpečeného přístupu směruje do cloudové služby.
Poznámka
Globální klient zabezpečeného přístupu je k dispozici také pro macOS, Android a iOS. Informace o tom, jak nainstalovat klienta globálního zabezpečeného přístupu na tyto platformy, najdete v tématu globálního klienta zabezpečeného přístupu pro macOS, globálního klienta zabezpečeného přístupu pro Androida klienta globálního zabezpečeného přístupu pro iOS.
Tento článek popisuje, jak stáhnout a nainstalovat klienta globálního zabezpečeného přístupu pro Windows.
Požadavky
- Tenant Microsoft Entra je nasazený do globálního zabezpečeného přístupu.
- Spravované zařízení připojené k připojenému tenantovi. Zařízení musí být buď připojené k Microsoft Entra, nebo hybridní připojení Microsoft Entra.
- Registrovaná zařízení Microsoft Entra se nepodporují.
- Klient globálního zabezpečeného přístupu vyžaduje 64bitovou verzi Windows 10 nebo Windows 11.
- Podporuje se jednoúčelová relace Azure Virtual Desktopu.
- Azure Virtual Desktop multi-session se nepodporuje.
- Podporuje se Windows 365.
- K instalaci nebo upgradu klienta se vyžadují přihlašovací údaje místního správce.
- Globální klient zabezpečeného přístupu vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
Stáhnout klienta
Nejnovější verze klienta globálního zabezpečeného přístupu je k dispozici ke stažení z Centra pro správu Microsoft Entra.
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
- Přejděte ke stažení klienta Global Secure Access>Connect>.
- Vyberte Stáhnout klienta.
Instalace klienta globálního zabezpečeného přístupu
Automatizovaná instalace
Organizace můžou klienta globálního zabezpečeného /quiet přístupu nainstalovat bezobslužně s přepínačem nebo používat řešení mobilních Správa zařízení (MDM), jako je Microsoft Intune, k nasazení klienta do svých zařízení.
Ruční instalace
Ruční instalace klienta globálního zabezpečeného přístupu:
- Spusťte instalační soubor GlobalSecureAccessClient.exe. Přijměte licenční podmínky pro software.
- Klient vás nainstaluje a tiše přihlásí pomocí svých přihlašovacích údajů Microsoft Entra. Pokud se tiché přihlášení nezdaří, instalační program vás vyzve, abyste se přihlásili ručně.
- Přihlášení. Ikona připojení se změní na zelenou.
- Najeďte myší na ikonu připojení a otevřete oznámení o stavu klienta, které by se mělo zobrazit jako Připojeno.
Akce klienta
Pokud chcete zobrazit dostupné akce nabídky klienta, klikněte pravým tlačítkem myši na ikonu hlavního panelu systému Global Secure Access.
Tip
Akce nabídky klienta globálního zabezpečeného přístupu se budou lišit v závislosti na konfiguraci klíčů registru klienta.
| Akce | Popis |
|---|---|
| Odhlásit se | Ve výchozím nastavení je skrytý. Akci Odhlásit se použijte, když se potřebujete přihlásit k klientovi globálního zabezpečeného přístupu pomocí jiného uživatele Microsoft Entra, než který se používá pro přihlášení k Systému Windows. Chcete-li tuto akci zpřístupnit, aktualizujte příslušné klíče registru klienta. |
| Zakázat | Vyberte akci Zakázat a zakažte klienta. Klient zůstane zakázaný, dokud klienta neaktivujete nebo nerestartujete počítač. |
| Povolit | Povolí klienta globálního zabezpečeného přístupu. |
| Zakázání privátního přístupu | Ve výchozím nastavení je skrytý. Akci Zakázat privátní přístup použijte, pokud chcete obejít globální zabezpečený přístup při každém připojení zařízení přímo k podnikové síti pro přístup k privátním aplikacím přímo přes síť, nikoli prostřednictvím globálního zabezpečeného přístupu. Chcete-li tuto akci zpřístupnit, aktualizujte příslušné klíče registru klienta. |
| Shromáždění protokolů | Tuto akci vyberte, pokud chcete shromažďovat protokoly klienta (informace o klientském počítači, související protokoly událostí pro služby a hodnoty registru) a archivovat je do souboru ZIP, který chcete sdílet s podpora Microsoftu pro šetření. Výchozí umístění protokolů je C:\Program Files\Global Secure Access Client\Logs. Protokoly klienta ve Windows můžete také shromažďovat zadáním následujícího příkazu do příkazového řádku: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>. |
| Pokročilá diagnostika | Tuto akci vyberte, pokud chcete spustit nástroj Advanced Diagnostics a získat přístup k široké škále nástrojů pro řešení potíží. |
Indikátory stavu klienta
Oznámení o stavu
Poklikáním na ikonu Globální zabezpečený přístup otevřete oznámení o stavu klienta a zobrazte stav každého kanálu nakonfigurovaného pro klienta.
Stav klienta v ikoně na hlavním panelu systému
| Ikona | Message | Popis |
|---|---|---|
|
Globální zabezpečený přístup | Klient inicializuje a kontroluje připojení ke globálnímu zabezpečenému přístupu. |
|
Globální zabezpečený přístup – připojeno | Klient je připojený ke globálnímu zabezpečenému přístupu. |
|
Globální zabezpečený přístup – zakázáno | Klient je zakázán, protože služby jsou offline nebo uživatel zakázal klienta. |
|
Globální zabezpečený přístup – Odpojeno | Klientovi se nepodařilo připojit ke globálnímu zabezpečenému přístupu. |
|
Globální zabezpečený přístup – Některé kanály jsou nedostupné | Klient je částečně připojený ke globálnímu zabezpečenému přístupu (to znamená, že připojení k alespoň jednomu kanálu selhalo: Microsoft Entra, Microsoft 365, privátní přístup, internetový přístup). |
|
|
Globální zabezpečený přístup – Zakázáno vaší organizací | Vaše organizace zakázala klienta (to znamená, že jsou zakázané všechny profily přesměrování provozu). |
|
|
Globální zabezpečený přístup – Privátní přístup je zakázaný | Uživatel na tomto zařízení zakázal privátní přístup. |
|
|
Globální zabezpečený přístup – nejde se připojit k internetu | Klient nemohl rozpoznat připojení k internetu. Zařízení je buď připojené k síti, která nemá připojení k internetu, nebo síť, která vyžaduje přihlášení k portálu v kaptivním přístupu. |
Známá omezení
Tato funkce má jedno nebo více známých omezení. Podrobnější informace o známých problémech a omezeních této funkce najdete v tématu Známá omezení globálního zabezpečení přístupu.
Řešení problému
Pokud chcete vyřešit potíže s klientem globálního zabezpečeného přístupu, klikněte pravým tlačítkem myši na ikonu klienta na hlavním panelu a vyberte jednu z možností řešení potíží: Shromážděte protokoly nebo rozšířenou diagnostiku.
Tip
Správci mohou upravit možnosti nabídky klienta globálního zabezpečeného přístupu změnou klíčů registru klienta.
Podrobnější informace o řešení potíží s klientem globálního zabezpečeného přístupu najdete v následujících článcích:
- Řešení potíží s klientem globálního zabezpečeného přístupu: pokročilá diagnostika
- Řešení potíží s klientem globálního zabezpečeného přístupu: Karta Kontrola stavu
Klíče registru klienta
Klient globálního zabezpečeného přístupu používá k povolení nebo zakázání různých funkcí konkrétní klíče registru. Správci můžou k řízení hodnot registru použít řešení pro mobilní Správa zařízení (MDM), jako jsou Microsoft Intune nebo zásady skupiny.
Upozornění
Jiné hodnoty registru neměňte, pokud nejsou instruovány podpora Microsoftu.
Omezení neprivilegovaných uživatelů
Správce může zabránit neprivilegovaným uživatelům na zařízení s Windows zakázat nebo povolit klienta nastavením následujícího klíče registru:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD
| Data | Popis |
|---|---|
| 0x0 | Neprivilegovaní uživatelé na zařízení s Windows můžou klienta zakázat a povolit. |
| 0x1 | Neprivilegovaní uživatelé na zařízení s Windows můžou zakázat a povolit klienta. Výzva nástroje Řízení uživatelských účtů vyžaduje pro zakázání a povolení přihlašovacích údajů místního správce. Správce může také skrýt tlačítko zakázat (viz Skrýt nebo zobrazit tlačítka nabídky na hlavním panelu systému). |
Zakázání nebo povolení privátního přístupu v klientovi
Tato hodnota registru určuje, jestli je pro klienta povolený nebo zakázaný privátní přístup. Pokud je uživatel připojený k podnikové síti, může se rozhodnout obejít globální zabezpečený přístup a přímo přistupovat k privátním aplikacím.
Uživatelé můžou zakázat a povolit privátní přístup prostřednictvím nabídky hlavního panelu systému.
Tip
Tato možnost je dostupná v nabídce jenom v případě, že není skrytá (viz tlačítka nabídky Skrýt nebo zobrazit hlavní panel systému) a pro tohoto tenanta je povolený privátní přístup.
Správci můžou zakázat nebo povolit privátní přístup pro uživatele nastavením klíče registru:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
| Hodnota | Typ | Data | Popis |
|---|---|---|---|
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x0 | Na tomto zařízení je povolený privátní přístup. Síťový provoz do privátních aplikací prochází přes globální zabezpečený přístup. |
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x1 | Privátní přístup je na tomto zařízení zakázaný. Síťový provoz do privátních aplikací směřuje přímo do sítě. |
Pokud hodnota registru neexistuje, výchozí hodnota je 0x0, je povolený privátní přístup.
Skrytí nebo zobrazení tlačítek nabídky na hlavním panelu systému
Správce může v nabídce ikon na hlavním panelu klienta zobrazit nebo skrýt konkrétní tlačítka. Vytvořte hodnoty pod následujícím klíčem registru:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
| Hodnota | Typ | Data | Výchozí chování | Popis |
|---|---|---|---|---|
| HideSignOutButton | REG_DWORD | 0x0 – zobrazený 0x1 – skrytý | skryto | Nakonfigurujte toto nastavení tak, aby se zobrazila nebo skryla akce Odhlásit se. Tato možnost je určená pro konkrétní scénáře, kdy se uživatel musí přihlásit k klientovi s jiným uživatelem Microsoft Entra, než který se používá k přihlášení do Windows. Poznámka: Musíte se přihlásit k klientovi pomocí uživatele ve stejném tenantovi Microsoft Entra, ke kterému je zařízení připojené. K opětovnému ověření existujícího uživatele můžete použít také akci Odhlásit se. |
| HideDisablePrivateAccessButton | REG_DWORD | 0x0 – zobrazený 0x1 – skrytý | skryto | Nakonfigurujte toto nastavení tak, aby se zobrazila nebo skryla akce Zakázat privátní přístup . Tato možnost je určená pro scénář, kdy je zařízení přímo připojené k podnikové síti a uživatel preferuje přístup k privátním aplikacím přímo přes síť místo prostřednictvím globálního zabezpečeného přístupu. |
| HideDisableButton | REG_DWORD | 0x0 – zobrazený 0x1 – skrytý | ukázaný | Nakonfigurujte toto nastavení tak, aby se zobrazila nebo skryla akce Zakázat . Když je uživatel viditelný, může zakázat klienta globálního zabezpečeného přístupu. Klient zůstane zakázaný, dokud ho uživatel znovu neaktivuje. Pokud je akce Zakázat skrytá, neprivilegovaný uživatel nemůže klienta zakázat. |
Další informace najdete v tématu Pokyny ke konfiguraci protokolu IPv6 ve Windows pro pokročilé uživatele.