Globalny klient bezpiecznego dostępu dla systemu Microsoft Windows
Klient globalnego bezpiecznego dostępu, podstawowy składnik globalnego bezpiecznego dostępu, pomaga organizacjom zarządzać i zabezpieczać ruch sieciowy na urządzeniach użytkowników końcowych. Główną rolą klienta jest kierowanie ruchu, który musi być zabezpieczony przez globalny bezpieczny dostęp do usługi w chmurze. Cały inny ruch przechodzi bezpośrednio do sieci. Profile przekazywania skonfigurowane w portalu określają, który ruch jest kierowany przez klienta globalnego bezpiecznego dostępu do usługi w chmurze.
Uwaga
Globalny klient bezpiecznego dostępu jest również dostępny dla systemów macOS, Android i iOS. Aby dowiedzieć się, jak zainstalować klienta globalnego bezpiecznego dostępu na tych platformach, zobacz Global Secure Access client for macOS, Global Secure Access client for Androidi Global Secure Access client for iOS.
W tym artykule opisano sposób pobierania i instalowania klienta globalnego bezpiecznego dostępu dla systemu Windows.
Wymagania wstępne
- Dzierżawa firmy Microsoft Entra dołączona do globalnego bezpiecznego dostępu.
- Urządzenie zarządzane przyłączone do dołączonej dzierżawy. Urządzenie musi być dołączone do firmy Microsoft entra lub dołączone hybrydowe rozwiązanie Microsoft Entra.
- Zarejestrowane urządzenia usługi Microsoft Entra nie są obsługiwane.
- Klient globalnego bezpiecznego dostępu wymaga 64-bitowej wersji systemu Windows 10 lub Windows 11.
- Obsługiwana jest pojedyncza sesja usługi Azure Virtual Desktop.
- Wiele sesji usługi Azure Virtual Desktop nie jest obsługiwane.
- System Windows 365 jest obsługiwany.
- Poświadczenia administratora lokalnego są wymagane do zainstalowania lub uaktualnienia klienta.
- Klient globalnego bezpiecznego dostępu wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.
Pobierz klienta
Najnowsza wersja klienta globalnego bezpiecznego dostępu jest dostępna do pobrania z centrum administracyjnego firmy Microsoft Entra.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
- Przejdź do >.
- Wybierz pozycję Pobierz klienta.
Instalowanie klienta globalnego bezpiecznego dostępu
Instalacja automatyczna
Organizacje mogą zainstalować klienta globalnego bezpiecznego dostępu w trybie dyskretnym za pomocą przełącznika /quiet lub użyć rozwiązań mobile Zarządzanie urządzeniami (MDM), takich jak Microsoft Intune, aby wdrożyć klienta na swoich urządzeniach.
Instalacja ręczna
Aby ręcznie zainstalować klienta globalnego bezpiecznego dostępu:
- Uruchom plik instalacyjny GlobalSecureAccessClient.exe. Zaakceptuj postanowienia licencyjne dotyczące oprogramowania.
- Klient instaluje i w trybie dyskretnym loguje się przy użyciu poświadczeń firmy Microsoft Entra. Jeśli logowanie dyskretne zakończy się niepowodzeniem, instalator wyświetli monit o zalogowanie się ręcznie.
- Zaloguj. Ikona połączenia zmieni kolor na zielony.
- Zatrzymaj wskaźnik myszy na ikonie połączenia, aby otworzyć powiadomienie o stanie klienta, które powinno być wyświetlane jako Połączono.
Akcje klienta
Aby wyświetlić dostępne akcje menu klienta, kliknij prawym przyciskiem myszy ikonę globalnego paska zadań systemu bezpiecznego dostępu.
Napiwek
Akcje menu klienta Global Secure Access różnią się w zależności od konfiguracji kluczy rejestru klienta.
| Akcja | opis |
|---|---|
| Wyloguj się | Domyślnie ukryte. Użyj akcji Wyloguj się , gdy musisz zalogować się do klienta globalnego bezpiecznego dostępu przy użyciu użytkownika Microsoft Entra innego niż ta używana do logowania się do systemu Windows. Aby udostępnić tę akcję, zaktualizuj odpowiednie klucze rejestru klienta. |
| Wyłącz | Wybierz akcję Wyłącz, aby wyłączyć klienta. Klient pozostaje wyłączony do momentu włączenia klienta lub ponownego uruchomienia maszyny. |
| Włączone | Włącza klienta globalnego bezpiecznego dostępu. |
| Wyłączanie dostępu prywatnego | Domyślnie ukryte. Użyj akcji Wyłącz dostęp prywatny, jeśli chcesz pominąć globalny bezpieczny dostęp za każdym razem, gdy połączysz urządzenie bezpośrednio z siecią firmową, aby uzyskać dostęp do aplikacji prywatnych bezpośrednio za pośrednictwem sieci, a nie za pośrednictwem globalnego bezpiecznego dostępu. Aby udostępnić tę akcję, zaktualizuj odpowiednie klucze rejestru klienta. |
| Zbieranie dzienników | Wybierz tę akcję, aby zebrać dzienniki klienta (informacje o komputerze klienckim, powiązane dzienniki zdarzeń dla usług i wartości rejestru) i zarchiwizować je w pliku zip, aby udostępnić je pomoc techniczna firmy Microsoft do zbadania. Domyślną lokalizacją dzienników jest C:\Program Files\Global Secure Access Client\Logs. Dzienniki klienta w systemie Windows można również zbierać, wprowadzając następujące polecenie w wierszu polecenia: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>. |
| Zaawansowana diagnostyka | Wybierz tę akcję, aby uruchomić narzędzie do diagnostyki zaawansowanej i uzyskać dostęp do asortymentu narzędzi do rozwiązywania problemów. |
Wskaźniki stanu klienta
Powiadomienie o stanie
Kliknij dwukrotnie ikonę Globalnego bezpiecznego dostępu, aby otworzyć powiadomienie o stanie klienta i wyświetlić stan każdego kanału skonfigurowanego dla klienta.
Stan klienta w ikonie paska zadań systemu
| Ikona | Wiadomość | opis |
|---|---|---|
|
Globalny bezpieczny dostęp | Klient inicjuje i sprawdza swoje połączenie z globalnym bezpiecznym dostępem. |
|
Globalny bezpieczny dostęp — połączony | Klient jest połączony z globalnym bezpiecznym dostępem. |
|
Globalny bezpieczny dostęp — wyłączony | Klient jest wyłączony, ponieważ usługi są w trybie offline lub użytkownik wyłączył klienta. |
|
Globalny bezpieczny dostęp — rozłączony | Klient nie może nawiązać połączenia z globalnym bezpiecznym dostępem. |
|
Globalny bezpieczny dostęp — niektóre kanały są niedostępne | Klient jest częściowo połączony z globalnym bezpiecznym dostępem (czyli połączenie z co najmniej jednym kanałem nie powiodło się: Microsoft Entra, Microsoft 365, Private Access, Internet Access). |
|
|
Globalny bezpieczny dostęp — wyłączony przez organizację | Twoja organizacja wyłączyła klienta (oznacza to, że wszystkie profile przesyłania dalej ruchu są wyłączone). |
|
|
Globalny bezpieczny dostęp — dostęp prywatny jest wyłączony | Użytkownik wyłączył dostęp prywatny na tym urządzeniu. |
|
|
Globalny bezpieczny dostęp — nie można nawiązać połączenia z Internetem | Klient nie może wykryć połączenia internetowego. Urządzenie jest połączone z siecią, która nie ma połączenia internetowego lub sieci, która wymaga logowania do portalu captive. |
Znane ograniczenia
Ta funkcja ma co najmniej jedno znane ograniczenia. Aby uzyskać bardziej szczegółowe informacje na temat znanych problemów i ograniczeń tej funkcji, zobacz Znane Ograniczenia dotyczące Globalnego Bezpiecznego Dostępu.
Rozwiązywanie problemów
Aby rozwiązać problemy z klientem globalnego bezpiecznego dostępu, kliknij prawym przyciskiem myszy ikonę klienta na pasku zadań i wybierz jedną z opcji rozwiązywania problemów: Zbieranie dzienników lub Diagnostyka zaawansowana.
Napiwek
Administratorzy mogą modyfikować opcje menu klienta Global Secure Access, zmieniając klucze rejestru klienta.
Aby uzyskać bardziej szczegółowe informacje na temat rozwiązywania problemów z klientem globalnego bezpiecznego dostępu, zobacz następujące artykuły:
- Rozwiązywanie problemów z klientem globalnego bezpiecznego dostępu: zaawansowana diagnostyka
- Rozwiązywanie problemów z kartą Global Secure Access Client: Health check (Rozwiązywanie problemów z klientem globalnego bezpiecznego dostępu: sprawdzanie kondycji)
Klucze rejestru klienta
Klient globalnego bezpiecznego dostępu używa określonych kluczy rejestru do włączania lub wyłączania różnych funkcji. Administratorzy mogą używać rozwiązań usługi Mobile Zarządzanie urządzeniami (MDM), takich jak usługa Microsoft Intune lub zasady grupy, aby kontrolować wartości rejestru.
Uwaga
Nie zmieniaj innych wartości rejestru, chyba że pomoc techniczna firmy Microsoft instruować.
Ograniczanie użytkowników nieuprzywilejowanych
Administrator może uniemożliwić użytkownikom nieuprzywilejowanych na urządzeniu z systemem Windows wyłączenie lub włączenie klienta przez ustawienie następującego klucza rejestru:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD
| Dane | opis |
|---|---|
| 0x0 | Nieuprzywilejowani użytkownicy na urządzeniu z systemem Windows mogą wyłączać i włączać klienta. |
| 0x1 | Użytkownicy nieuprzywilejowani na urządzeniu z systemem Windows są ograniczeni do wyłączania i włączania klienta. Monit kontroli konta użytkownika wymaga poświadczeń administratora lokalnego w celu wyłączenia i włączenia opcji. Administrator może również ukryć przycisk wyłącz (zobacz Ukryj lub odkryj przyciski menu paska zadań systemu). |
Wyłączanie lub włączanie dostępu prywatnego na kliencie
Ta wartość rejestru określa, czy dostęp prywatny jest włączony, czy wyłączony dla klienta. Jeśli użytkownik jest połączony z siecią firmową, może pominąć globalny bezpieczny dostęp i uzyskać bezpośredni dostęp do aplikacji prywatnych.
Użytkownicy mogą wyłączać i włączać dostęp prywatny za pośrednictwem menu paska zadań systemu.
Napiwek
Ta opcja jest dostępna w menu tylko wtedy, gdy nie jest ukryta (zobacz Ukryj lub odkryj przyciski menu paska zadań systemu) i dla tej dzierżawy jest włączony dostęp prywatny.
Administratorzy mogą wyłączyć lub włączyć dostęp prywatny dla użytkownika, ustawiając klucz rejestru:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
| Wartość | Typ | Dane | opis |
|---|---|---|---|
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x0 | Dostęp prywatny jest włączony na tym urządzeniu. Ruch sieciowy do aplikacji prywatnych przechodzi przez globalny bezpieczny dostęp. |
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x1 | Dostęp prywatny jest wyłączony na tym urządzeniu. Ruch sieciowy do aplikacji prywatnych przechodzi bezpośrednio do sieci. |
Jeśli wartość rejestru nie istnieje, wartość domyślna to 0x0, dostęp prywatny jest włączony.
Ukrywanie lub ukrywanie przycisków menu paska zadań systemu
Administrator może wyświetlać lub ukrywać określone przyciski w menu ikony paska zadań klienta. Utwórz wartości w następującym kluczu rejestru:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
| Wartość | Typ | Dane | Zachowanie domyślne | opis |
|---|---|---|---|---|
| HideSignOutButton | REG_DWORD | 0x0 — pokazano 0x1 — ukryte | ukryte | Skonfiguruj to ustawienie, aby wyświetlić lub ukryć akcję Wyloguj. Ta opcja jest dostępna w określonych scenariuszach, gdy użytkownik musi zalogować się do klienta przy użyciu innego użytkownika firmy Microsoft Entra niż ten używany do logowania się do systemu Windows. Uwaga: musisz zalogować się do klienta przy użyciu użytkownika w tej samej dzierżawie firmy Microsoft Entra, do której urządzenie jest przyłączone. Możesz również użyć akcji Wyloguj się , aby ponownie uwierzytelnić istniejącego użytkownika. |
| HideDisablePrivateAccessButton | REG_DWORD | 0x0 — pokazano 0x1 — ukryte | ukryte | Skonfiguruj to ustawienie, aby wyświetlić lub ukryć akcję Wyłącz dostęp prywatny. Ta opcja jest dostępna w scenariuszu, w przypadku gdy urządzenie jest bezpośrednio połączone z siecią firmową, a użytkownik preferuje bezpośredni dostęp do aplikacji prywatnych za pośrednictwem sieci zamiast za pośrednictwem globalnego bezpiecznego dostępu. |
| HideDisableButton | REG_DWORD | 0x0 — pokazano 0x1 — ukryte | Pokazano | Skonfiguruj to ustawienie, aby wyświetlić lub ukryć akcję Wyłącz . Gdy jest widoczny, użytkownik może wyłączyć klienta globalnego bezpiecznego dostępu. Klient pozostaje wyłączony do momentu ponownego włączenia go przez użytkownika. Jeśli akcja Wyłącz jest ukryta, nieuprzywilejowany użytkownik nie może wyłączyć klienta. |
Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące konfigurowania protokołu IPv6 w systemie Windows dla użytkowników zaawansowanych.