Compartir a través de

Cliente de Acceso global seguro para Microsoft Windows

  • Artículo

El cliente de Acceso global seguro, un componente esencial del Acceso global seguro, ayuda a las organizaciones a administrar y proteger el tráfico de red en dispositivos de usuario final. El rol principal del cliente es enrutar el tráfico que debe proteger el Acceso global seguro al servicio en la nube. El resto del tráfico va directamente a la red. Los perfiles de reenvío, configurados en el portal, determinan qué tráfico enruta el cliente de Acceso global seguro al servicio en la nube.

Este artículo describe cómo descargar e instalar el cliente de Acceso global seguro para Windows.

Requisitos previos

  • Un inquilino de Microsoft Entra incorporado al Acceso seguro global.
  • Un dispositivo administrado unido al inquilino incorporado. Los dispositivos deben estar unidos a Microsoft Entra o a Microsoft Entra híbrido.
    • No se admiten dispositivos registrados en Microsoft Entra.
  • El cliente de Acceso seguro global requiere una versión de 64 bits de Windows 10 o Windows 11.
    • Se admite la sesión única de Azure Virtual Desktop.
    • No se admite la sesión múltiple de Azure Virtual Desktop.
    • Se admite Windows 365.
  • Las credenciales de administrador local son necesarias para instalar o actualizar el cliente.
  • El cliente de Acceso global seguro requiere licencias. Para obtener más información, consulta la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puedes comprar una licencia u obtener licencias de prueba.

Descarga del cliente

La versión más reciente del cliente de Acceso global seguro se puede descargar desde el Centro de administración de Microsoft Entra.

  1. Inicia sesión en el Centro de administración de Microsoft Entra como Administrador de acceso global seguro.
  2. Ve a Acceso global seguro>Conectar>Descarga de cliente.
  3. Selecciona Descargar cliente. Captura de pantalla de la descarga del cliente con el botón de descarga de cliente resaltado.

Instala el cliente de Acceso global seguro.

Instalación automatizada

Las organizaciones pueden instalar el cliente de Acceso global seguro de forma silenciosa con el modificador /quiet o usar soluciones de administración de dispositivos móviles (MDM), como Microsoft Intune, para implementarlo en sus dispositivos.

Instalación manual

Para instalar manualmente el cliente de Acceso global seguro.

  1. Ejecuta el archivo de instalación GlobalSecureAccessClient.exe. Acepta los términos de licencia del software.
  2. El cliente se instala e inicia sesión silenciosamente con tus credenciales de Microsoft Entra. Si se produce un error en el inicio de sesión silencioso, el instalador te pedirá que inicies sesión manualmente.
  3. Inicia sesión. El icono de conexión se vuelve verde.
  4. Mantén el puntero sobre el icono de conexión para abrir la notificación de estado del cliente, que debe mostrarse como Conectada.
    Captura de pantalla que muestra que el cliente está conectado.

Acciones del cliente

Para ver las acciones del menú cliente disponibles, haz clic con el botón derecho en el icono de la bandeja del sistema de Acceso global seguro. Captura de pantalla que muestra el menú contextual del cliente de Acceso global seguro.

Sugerencia

Las acciones de menú del cliente de Acceso global seguro variarán según la configuración de las claves del Registro de cliente.

Acción Descripción
Cerrar sesión Oculto de forma predeterminada. Use la acción Cerrar sesión cuando necesite iniciar sesión en el cliente de Acceso seguro global con un usuario de Microsoft Entra distinto del que utiliza para iniciar sesión en Windows. Para que esta acción esté disponible, actualiza las claves del Registro de cliente adecuadas.
Deshabilitar Seleccione la acción Deshabilitar para deshabilitar el cliente. El cliente permanece deshabilitado hasta que habilite el cliente o reinicie la máquina.
Habilitar Habilita el cliente de Acceso global seguro.
Deshabilitar Acceso privado Oculto de forma predeterminada. Use la acción Deshabilitar Acceso privado cuando desees omitir el Acceso global seguro siempre que conectes el dispositivo directamente a la red corporativa para acceder a las aplicaciones privadas directamente a través de la red en lugar de a través del Acceso global seguro. Para que esta acción esté disponible, actualiza las claves del Registro de cliente adecuadas.
Recopilación de registros Selecciona esta acción para recopilar registros de cliente (información sobre el equipo cliente, los registros de eventos relacionados para los servicios y los valores del Registro) y archivarlos en un archivo ZIP para compartirlos con el soporte técnico de Microsoft para su investigación. La ubicación predeterminada de los registros es C:\Program Files\Global Secure Access Client\Logs. También puede recopilar registros de cliente en Windows escribiendo el siguiente comando en el símbolo del sistema: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>.
Diagnóstico avanzados Selecciona esta acción para iniciar la utilidad de diagnóstico avanzado y acceder a una variedad de herramientas de solución de problemas.

Indicadores de estado de cliente

Notificación de estado

Haz doble clic en el icono de Acceso global seguro para abrir la notificación de estado de cliente y ver el estado de cada canal configurado para el cliente.
Captura de pantalla que muestra estado de cliente como conectado.

Estados del cliente en el icono de bandeja del sistema

Iconos Mensaje Descripción
Acceso global seguro El cliente está inicializando y comprobando su conexión a Acceso global seguro.
Acceso global seguro: conectado El cliente está conectado a Acceso global seguro.
Acceso global seguro: deshabilitado El cliente está deshabilitado porque los servicios están sin conexión o el usuario deshabilitó el cliente.
Acceso global seguro: desconectado El cliente no se pudo conectarse al Acceso global seguro.
Acceso global seguro: algunos canales no son accesibles El cliente está parcialmente conectado a Acceso global seguro (es decir, se produjo un error en la conexión a al menos un canal: Microsoft Entra, Microsoft 365, Acceso privado, Acceso a Internet).
Acceso global seguro: deshabilitado por su organización La organización deshabilitó el cliente (es decir, todos los perfiles de reenvío de tráfico están deshabilitados).
Acceso global seguro: Acceso privado está deshabilitado El usuario deshabilitó el Acceso privado en este dispositivo.
Acceso global seguro: no se pudo conectar a Internet El cliente no pudo detectar una conexión a Internet. El dispositivo está conectado a una red que no tiene una conexión a Internet o una red que requiere el inicio de sesión del portal cautivo.

Restricciones conocidas

Entre las limitaciones conocidas de la versión actual del cliente de Acceso global seguro se incluyen las siguientes:

Sistema de nombres de dominio (DNS) seguro

El cliente de Acceso global seguro no admite actualmente DNS seguro en sus distintas versiones, como DNS sobre HTTPS (DoH), DNS sobre TLS (DoT) o Extensiones de seguridad DNS (DNSSEC). Para configurar el cliente para que pueda adquirir tráfico de red, debes deshabilitar el DNS seguro. Para deshabilitar el DNS seguro en el explorador, consulta DNS seguro deshabilitado en exploradores.

DNS sobre TCP

DNS usa el puerto 53 UDP para la resolución de nombres. Algunos exploradores tienen su propio cliente DNS que también admite el puerto 53 TCP. Actualmente, el cliente de Acceso global seguro no admite el puerto DNS 53 TCP. Para mitigarlo, deshabilita el cliente DNS del explorador estableciendo los siguientes valores del Registro:

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
  • Chrome
    [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    Agrega también la exploración de chrome://flags y la deshabilitación de Async DNS resolver .

No se admite IPv6.

El cliente solo tuneliza el tráfico IPv4. El cliente no adquiere el tráfico IPv6 y, por tanto, se transfiere directamente a la red. Para permitir que todo el tráfico pertinente se tunelizará, establece las propiedades del adaptador de red en IPv4 preferida.

Reserva de conexión

Si se produce un error de conexión al servicio en la nube, el cliente vuelve a la conexión directa a Internet o bloquea la conexión, en función del valor de protección de la regla de coincidencia del perfil de reenvío.

Geolocalización

Para el tráfico de red que se tuneliza al servicio en la nube, el servidor de aplicaciones (sitio web) detecta la dirección IP de origen de la conexión como la dirección IP de Edge (y no como la dirección IP del dispositivo de usuario). Este escenario podría afectar a los servicios que dependen de la geolocalización.

Sugerencia

Para que Office 365 y Entra detecten la verdadera dirección IP de origen del dispositivo, considera la posibilidad de habilitar la restauración de IP de origen.

Compatibilidad con la virtualización

Compatibilidad con Hyper-V:

  1. Conmutador virtual externo: el cliente de Windows de Acceso global seguro no admite actualmente máquinas host que tengan un conmutador virtual externo Hyper-V. Sin embargo, el cliente se puede instalar en las máquinas virtuales para tunelizar el tráfico al Acceso global seguro.
  2. Conmutador virtual interno: el cliente de Windows de Acceso global seguro se puede instalar en máquinas invitadas y host. El cliente solo tuneliza el tráfico de red de la máquina en la que está instalado. Es decir, un cliente instalado en una máquina host no tuneliza el tráfico de red de las máquinas invitadas.

El cliente de Windows de Acceso global seguro admite Azure Virtual Machines.

El cliente de Windows de Acceso global seguro admite Azure Virtual Desktop (AVD).

Nota:

No se admite la sesión múltiple de AVD.

Proxy

Si un proxy está configurado en el nivel de aplicación (por ejemplo, un explorador) o en el nivel del sistema operativo, configura un archivo de configuración automática de proxy (PAC) para excluir todos los FQDN y direcciones IP que esperas que el cliente tunelice.

Para evitar que las solicitudes HTTP de FQDN o direcciones IP específicas tunelicen al proxy, agrega los FQDN o direcciones IP al archivo PAC como excepciones. (Estos FQDN o direcciones IP se encuentran en el perfil de reenvío del Acceso global seguro para la tunelización). Por ejemplo:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Si no es posible una conexión directa a Internet, configura el cliente para conectarse al servicio de Acceso global seguro a través de un proxy. Por ejemplo, establece la variable del sistema grpc_proxy para que coincida con el valor del proxy, como http://proxy:8080.

Para aplicar los cambios de configuración, reinicia los servicios de Windows del cliente de Acceso global seguro.

Inserción de paquetes

El cliente solo tuneliza el tráfico enviado mediante sockets. No tunelizar el tráfico insertado en la pila de red mediante un controlador (por ejemplo, parte del tráfico generado por el asignador de red (Nmap)). Los paquetes insertados van directamente a la red.

Multisesión

El cliente de Acceso global seguro no admite sesiones simultáneas en la misma máquina. Esta limitación se aplica a los servidores RDP y soluciones de VDI, como Azure Virtual Desktop (AVD) que están configurados para varias sesiones.

Arm64

Todavía no se admite el cliente de Acceso global seguro en la arquitectura ARM64.

QUIC no se admite para el Acceso a Internet

Dado que QUIC aún no se admite para el Acceso a Internet, no se puede tunelizar el tráfico a los puertos 80 UDP y 443 UDP.

Sugerencia

QUIC se admite actualmente en cargas de trabajo de Acceso privado y Microsoft 365.

Los administradores pueden deshabilitar el protocolo QUIC que desencadena clientes para revertir a HTTPS sobre TCP, que es totalmente compatible con el Acceso a Internet. Para obtener más información, consulta QUIC no se admite para el Acceso a Internet.

Solución de problemas

Para solucionar problemas del cliente de Acceso global seguro, haz clic con el botón derecho en el icono de cliente de la barra de tareas y selecciona una de las opciones de solución de problemas: Recopilar registros o Diagnóstico avanzado.

Sugerencia

Los administradores pueden modificar las opciones de menú del cliente de Acceso global seguro revisando las claves del Registro de cliente.

Para obtener información más detallada sobre cómo solucionar problemas del cliente de Acceso global seguro, consulta los siguientes artículos:

Claves del Registro de cliente

El cliente de Acceso global seguro usa claves del Registro específicas para habilitar o deshabilitar distintas funcionalidades. Los administradores pueden usar soluciones de administración de dispositivos móviles (MDM), como Microsoft Intune o la directiva de grupo, para controlar los valores del Registro.

Precaución

No cambies otros valores del Registro a menos que el soporte técnico de Microsoft lo indique.

Restringir usuarios sin privilegios

El administrador puede impedir que los usuarios sin privilegios en el dispositivo Windows deshabiliten o habiliten el cliente estableciendo la siguiente clave del Registro:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD

Data Descripción
0x0 Los usuarios sin privilegios en el dispositivo Windows pueden deshabilitar y habilitar el cliente.
0x1 Los usuarios sin privilegios en el dispositivo Windows no pueden deshabilitar y habilitar el cliente. Un mensaje de UAC requiere credenciales de administrador local para deshabilitar y habilitar opciones. El administrador también puede ocultar el botón deshabilitar (consulte Ocultar o mostrar los botones de menú de la bandeja del sistema).

Deshabilitar o habilitar el Acceso privado en el cliente

Este valor del Registro controla si el Acceso privado está habilitado o deshabilitado para el cliente. Si un usuario está conectado a la red corporativa, puede optar por omitir el acceso global seguro y acceder directamente a las aplicaciones privadas.

Los usuarios pueden deshabilitar y habilitar el Acceso privado a través del menú de la bandeja del sistema.

Sugerencia

Esta opción solo está disponible en el menú si no está oculta (consulta Ocultar o mostrar botones de menú de la bandeja del sistema) y el Acceso privado está habilitado para este inquilino.

Los administradores pueden deshabilitar o habilitar el Acceso privado para el usuario estableciendo la clave del Registro:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Valor Tipo data Descripción
IsPrivateAccessDisabledByUser REG_DWORD 0x0 El Acceso privado está habilitado en este dispositivo. El tráfico de red a las aplicaciones privadas pasa por el Acceso global seguro.
IsPrivateAccessDisabledByUser REG_DWORD 0x1 El Acceso privado está deshabilitado en este dispositivo. El tráfico de red a las aplicaciones privadas pasa directamente a la red.

Captura de pantalla que muestra el Editor del Registro con la clave del Registro IsPrivateAccessDisabledByUser resaltada.

Si el valor del Registro no existe, el valor predeterminado es 0x0, Acceso privado está habilitado.

Ocultar o mostrar botones de menú de la bandeja del sistema

El administrador puede mostrar u ocultar botones específicos en el menú icono de la bandeja del sistema cliente. Crea los siguientes valores de clave del Registro:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Valor Tipo Data Comportamiento predeterminado Descripción
HideSignOutButton REG_DWORD 0x0 - shown 0x1 - hidden hidden Configura esta opción para mostrar u ocultar la acción Cerrar sesión. Esta opción es para escenarios específicos cuando un usuario necesita iniciar sesión en el cliente con un usuario diferente de Microsoft Entra que el utilizado para iniciar sesión en Windows. Nota: Debe iniciar sesión en el cliente con un usuario en el mismo inquilino de Microsoft Entra al que está unido el dispositivo. También puedes usar la acción Cerrar sesión para volver a autenticar al usuario existente.
HideDisablePrivateAccessButton REG_DWORD 0x0 - shown 0x1 - hidden hidden Configura esta opción para mostrar u ocultar la acción Deshabilitar Acceso privado. Esta opción es para un escenario en el que el dispositivo está conectado directamente a la red corporativa y el usuario prefiere acceder a aplicaciones privadas directamente a través de la red en lugar de a través del Acceso global seguro.
HideDisableButton REG_DWORD 0x0 - shown 0x1 - hidden visible Configure esta opción para mostrar u ocultar la acción Deshabilitar. Cuando está visible, el usuario puede deshabilitar el cliente de acceso seguro global. El cliente permanece deshabilitado hasta que el usuario lo vuelve a habilitar. Si la acción Deshabilitar está oculta, un usuario sin privilegios no puede deshabilitar el cliente.

Captura de pantalla que muestra el Editor del Registro con las claves del Registro HideSignOutButton y HideDisablePrivateAccessButton resaltadas.

Para obtener más información, consulta Instrucciones para configurar IPv6 en Windows para usuarios avanzados.