Client für den globalen sicheren Zugriff für Microsoft Windows
Der Client für den globalen sicheren Zugriff, ein wesentlicher Bestandteil des globalen sicheren Zugriffs, hilft Organisationen beim Verwalten und Sichern des Netzwerkdatenverkehrs auf Endbenutzergeräten. Die Hauptrolle des Clients besteht darin, Datenverkehr weiterzuleiten, der durch den globalen sicheren Zugriff auf den Clouddienst gesichert werden muss. Der gesamte andere Datenverkehr wird direkt an das Netzwerk übertragen. Die Weiterleitungsprofile, die im Portal konfiguriert werden, bestimmen, welchen Datenverkehr der Client für den globalen sicheren Zugriff an den Cloud Service weiterleitet.
Hinweis
Der globale Secure Access Client ist auch für macOS, Android und iOS verfügbar. Informationen zum Installieren des globalen Secure Access-Clients auf diesen Plattformen finden Sie unter Global Secure Access Client für macOS, Global Secure Access Client für Androidund Global Secure Access Client für iOS.
Dieser Artikel beschreibt, wie Sie den Client für den globalen sicheren Zugriff für Windows herunterladen und installieren.
Voraussetzungen
- Ein Microsoft Entra-Mandant, der in den globalen sicheren Zugriff integriert ist.
- Ein verwaltetes Gerät, das mit dem eingebundenen Mandanten verbunden ist. Das Gerät muss entweder an Microsoft Entra oder an Microsoft Entra hybrid angeschlossen sein.
- Microsoft Entra registrierte Geräte werden nicht unterstützt.
- Der Client für den globalen sicheren Zugriff erfordert eine 64-Bit-Version von Windows 10 oder Windows 11.
- Azure Virtual Desktop (einzelne Sitzung) wird unterstützt.
- Azure Virtual Desktop, mehrere Sitzungen, wird nicht unterstützt.
- Windows 365 wird unterstützt.
- Für die Installation oder das Upgrade des Clients sind die Zugangsdaten eines lokalen Admins erforderlich.
- Für den Client für den globalen sicheren Zugriff ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
Laden Sie den Client herunter.
Die aktuellste Version des Clients für den globalen sicheren Zugriff steht im Microsoft Entra Admin Center zum Download bereit.
- Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
- Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Client herunterladen.
- Wählen Sie Client herunterladen aus.
Installieren des Clients für den globalen sicheren Zugriff
Automatisierte Installation
Organisationen können den Client für den globalen sicheren Zugriff im Hintergrund mit dem /quiet-Schalter installieren oder MDM-Lösungen (mobile Geräteverwaltung) wie Microsoft Intune verwenden, um den Client auf ihren Geräten bereitzustellen.
Manuelle Installation
So installieren Sie den Client für den globalen sicheren Zugriff manuell:
- Führen Sie die GlobalSecureAccessClient.exe-Setupdatei aus. Akzeptieren Sie die Softwarelizenzbedingungen.
- Der Client wird installiert und meldet Sie unbemerkt mit Ihren Microsoft Entra-Anmeldedaten an. Wenn die automatische Anmeldung fehlschlägt, werden Sie vom Installationsprogramm aufgefordert, sich manuell anzumelden.
- Anmelden. Das Verbindungssymbol wird grün.
- Bewegen Sie den Mauszeiger über das Verbindungssymbol, um die Benachrichtigung über den Client-Status zu öffnen. Diese sollte Verbunden darstellen.
Clientaktionen
Um die verfügbaren Client-Menüaktionen anzuzeigen, klicken Sie mit der rechten Maustaste auf das Symbol für den globalen sicheren Zugriff in der Taskleiste.
Tipp
Die Aktionen des Clientmenüs für den globalen sicheren Zugriff variieren je nach Ihrer Konfiguration des Client-Registrierungsschlüssels.
| Aktion | Beschreibung |
|---|---|
| Abmelden | Standardmäßig ausgeblendet. Verwenden Sie die Aktion Abmelden, wenn Sie sich bei dem Client für den globalen sicheren Zugriff mit einem anderen Microsoft Entra-Benutzer als dem Benutzer anmelden müssen, der für die Anmeldung bei Windows verwendet wird. Um diese Aktion verfügbar zu machen, aktualisieren Sie die entsprechenden Client-Registrierungsschlüssel. |
| Deaktivieren | Wählen Sie die Aktion Deaktivieren aus, um den Client zu deaktivieren. Der Client bleibt deaktiviert, bis Sie entweder den Client aktivieren oder den Computer neu starten. |
| Aktivieren | Aktiviert den Client für den globalen sicheren Zugriff. |
| Privaten Zugriff deaktivieren | Standardmäßig ausgeblendet. Verwenden Sie die Aktion Privaten Zugriff deaktivieren, wenn Sie den Globalen sicheren Zugriff umgehen möchten, wenn Sie Ihr Gerät direkt mit dem Unternehmensnetzwerk verbinden, um direkt über das Netzwerk und nicht über den Globalen sicheren Zugriff auf private Anwendungen zuzugreifen. Um diese Aktion verfügbar zu machen, aktualisieren Sie die entsprechenden Client-Registrierungsschlüssel. |
| Erfassen von Protokollen | Wählen Sie diese Aktion aus, um Clientprotokolle (Informationen zum Clientcomputer, die zugehörigen Ereignisprotokolle für die Dienste und Registrierungswerte) zu sammeln und in einer ZIP-Datei zu archivieren, die für den Microsoft-Support zur Untersuchung freigegeben werden soll. Der Standardpfad für die Protokolle ist C:\Program Files\Global Secure Access Client\Logs. Sie können auch Clientprotokolle unter Windows sammeln, indem Sie den folgenden Befehl in die Eingabeaufforderung eingeben: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>. |
| Erweiterte Diagnose | Wählen Sie diese Aktion aus, um das erweiterte Diagnoseprogramm zu starten und auf eine Reihe von Tools zur Problembehandlung zuzugreifen. |
Client-Statusindikatoren
Statusbenachrichtigung
Doppelklicken Sie auf das Symbol für den globalen sicheren Zugriff, um die Client-Statusbenachrichtigung zu öffnen und den Status jedes für den Client konfigurierten Kanals anzuzeigen.
Clientstatus im Taskleistensymbol
| Symbol | Nachricht | Beschreibung |
|---|---|---|
|
Globaler sicherer Zugriff | Der Client initialisiert und überprüft seine Verbindung mit dem globalen sicheren Zugriff. |
|
Globaler sicherer Zugriff – verbunden | Der Client ist mit dem globalen sicheren Zugriff verbunden. |
|
Globaler sicherer Zugriff – deaktiviert | Der Client ist deaktiviert, da Dienste offline sind oder der Benutzer bzw. die Benutzerin den Client deaktiviert hat. |
|
Globaler sicherer Zugriff – getrennt | Der Client konnte keine Verbindung mit dem globalen sicheren Zugriff herstellen. |
|
Globaler sicherer Zugriff – einige Kanäle sind nicht erreichbar | Der Client ist teilweise mit dem globalen sicheren Zugriff verbunden (d. h. die Verbindung mit mindestens einem Kanal ist fehlgeschlagen: Microsoft Entra, Microsoft 365, privater Zugriff, Internetzugriff). |
|
|
Globaler sicherer Zugriff – von Ihrer Organisation deaktiviert | Ihre Organisation hat den Client deaktiviert (d. h. alle Datenverkehrsweiterleitungsprofile sind deaktiviert). |
|
|
Client für globalen sicheren Zugriff – Privater Zugriff ist deaktiviert | Der Benutzer bzw. die Benutzerin hat den privaten Zugriff auf diesem Gerät deaktiviert. |
|
|
Client für globalen sicheren Zugriff – konnte keine Verbindung zum Internet herstellen | Der Client konnte keine Internetverbindung erkennen. Das Gerät ist entweder mit einem Netzwerk verbunden, das keine Internetverbindung hat, oder ein Netzwerk, das die Anmeldung über das Erfassungsportal erfordert. |
Bekannte Einschränkungen
Dieses Feature weist mindestens eine bekannte Einschränkung auf. Ausführlichere Informationen zu den bekannten Problemen und Einschränkungen dieses Features finden Sie unter Bekannten Einschränkungen für den globalen sicheren Zugriff.
Problembehandlung
Um Fehler beim Client für den globalen sicheren Zugriff zu beheben, klicken Sie mit der rechten Maustaste auf das Client-Symbol in der Taskleiste und wählen Sie eine der folgenden Optionen zur Fehlerbehebung aus: Protokolle erfassen oder Erweiterte Diagnose.
Tipp
Administrierende können die Menüoptionen des Clients für den globalen sicheren Zugriff ändern, indem sie die Client-Registrierungsschlüssel bearbeiten.
Ausführlichere Informationen zur Fehlerbehebung beim Client für den globalen sicheren Zugriff finden Sie in den folgenden Artikeln:
- Problembehandlung beim Client für globalen sicheren Zugriff: erweiterte Diagnose
- Problembehandlung beim Client für den globalen sicheren Zugriff: Registerkarte „Integritätsprüfung“
Clientregistrierungsschlüssel
Der Client für den globalen sicheren Zugriff verwendet bestimmte Registrierungsschlüssel, um unterschiedliche Funktionen zu aktivieren oder zu deaktivieren. Administrierende können eine Lösung zur Verwaltung mobiler Geräte (MDM) wie Microsoft Intune oder Gruppenrichtlinien verwenden, um die Registrierungswerte zu steuern.
Achtung
Ändern Sie keine anderen Registrierungswerte, es sei denn, sie werden von Microsoft-Support angewiesen.
Einschränken nicht privilegierter Benutzer
Der Administrator kann verhindern, dass nicht privilegierte Benutzer auf dem Windows-Gerät den Client deaktivieren oder aktivieren, indem der folgende Registrierungsschlüssel festgelegt wird:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD
| Daten | Beschreibung |
|---|---|
| 0x0 | Nicht privilegierte Benutzer auf dem Windows-Gerät können den Client deaktivieren und aktivieren. |
| 0x1 | Nicht privilegierte Benutzer auf dem Windows-Gerät können den Client nicht deaktivieren und aktivieren. Eine UAC-Eingabeaufforderung erfordert lokale Administratoranmeldeinformationen zum Deaktivieren und Aktivieren von Optionen. Der Administrator kann auch die Schaltfläche „Deaktivieren“ ausblenden (siehe Schaltflächen im Menübereich des Systembereichs ausblenden oder einblenden). |
Deaktivieren oder Aktivieren des privaten Zugriffs auf dem Client
Dieser Registrierungswert steuert, ob der private Zugriff für den Client aktiviert oder deaktiviert ist. Wenn Benutzende mit dem Unternehmensnetzwerk verbunden sind, können sie den globalen sicheren Zugriff umgehen und direkt auf private Anwendungen zugreifen.
Benutzende können den privaten Zugriff über das Menü in der Taskleiste deaktivieren und aktivieren.
Tipp
Diese Option ist nur dann im Menü verfügbar, wenn sie nicht ausgeblendet ist (weitere Informationen finden Sie unter Ein- oder Ausblenden der Menüschaltflächen in der Taskleiste) und der private Zugriff für diesen Mandanten aktiviert ist.
Administrierende können den privaten Zugriff für die Benutzenden deaktivieren oder aktivieren, indem sie den folgenden Registrierungsschlüssel festlegen:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
| Wert | type | Daten | Beschreibung |
|---|---|---|---|
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x0 | Der private Zugriff ist auf diesem Gerät aktiviert. Netzwerkdatenverkehr zu privaten Anwendungen erfolgt über den globalen sicheren Zugriff. |
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x1 | Der private Zugriff ist auf diesem Gerät deaktiviert. Netzwerkdatenverkehr zu privaten Anwendungen wird direkt an das Netzwerk übertragen. |
Wenn der Registrierungswert nicht vorhanden ist, ist der Standardwert 0x0, der private Zugriff ist aktiviert.
Ein- oder Ausblenden der Menüschaltflächen in der Taskleiste
Die administrierende Person kann bestimmte Schaltflächen im Menü des Client-Taskleistensymbols darstellen oder ausblenden. Erstellen Sie die Werte unter dem folgenden Registrierungsschlüssel:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
| Wert | type | Daten | Standardverhalten | Beschreibung |
|---|---|---|---|---|
| HideSignOutButton | REG_DWORD | 0x0 – angezeigt 0x1 – ausgeblendet | hidden | Legen Sie diese Einstellung fest, um die Aktion Abmelden anzuzeigen oder zu verbergen. Diese Option gilt für bestimmte Szenarien, wenn sich ein Benutzer bei dem Client mit einem anderen Microsoft Entra-Benutzer anmelden muss als bei der Anmeldung bei Windows. Hinweis: Sie müssen sich beim Client mit einem Benutzer im selben Microsoft Entra-Mandanten anmelden, mit dem das Gerät verbunden ist. Sie können auch die Aktion Abmelden verwenden, um das bestehende Benutzerkonto erneut zu authentifizieren. |
| HideDisablePrivateAccessButton | REG_DWORD | 0x0 – angezeigt 0x1 – ausgeblendet | hidden | Legen Sie diese Einstellung fest, um die Aktion Privaten Zugriff deaktivieren anzuzeigen oder zu verbergen. Diese Option ist für ein Szenario gedacht, in dem das Gerät direkt mit dem Unternehmensnetzwerk verbunden ist und der Benutzer bzw. die Benutzerin den Zugriff auf private Anwendungen direkt über das Netzwerk statt über den globalen sicheren Zugriff bevorzugt. |
| HideDisableButton | REG_DWORD | 0x0 – angezeigt 0x1 – ausgeblendet | eingeblendet | Konfigurieren Sie diese Einstellung, um die Aktion Deaktivieren ein- oder auszublenden. Wenn sichtbar, kann der Benutzer den Client für den globalen sicheren Zugriff deaktivieren. Der Client bleibt deaktiviert, bis der Benutzer ihn erneut aktiviert. Wenn die Aktion Deaktivieren ausgeblendet ist, kann ein nicht privilegierter Benutzer den Client nicht deaktivieren. |
Weitere Informationen finden Sie unter Anleitung zur Konfiguration von IPv6 in Windows für fortgeschrittene Benutzende.