Поделиться через

Клиент глобального безопасного доступа для Microsoft Windows

  • Статья

Клиент Глобального безопасного доступа, важный компонент глобального безопасного доступа, помогает организациям управлять и защищать сетевой трафик на устройствах конечных пользователей. Основная роль клиента заключается в маршрутизации трафика, который должен быть защищен глобальным безопасным доступом к облачной службе. Весь остальной трафик передается непосредственно в сеть. Профили пересылки, настроенные на портале, определяют, какой трафик направляет клиент Global Secure Access в облачную службу.

В этой статье описывается, как скачать и установить клиент глобального безопасного доступа для Windows.

Необходимые компоненты

  • Клиент Microsoft Entra, подключенный к глобальному безопасному доступу.
  • Управляемое устройство, присоединенное к подключенном клиенту. Устройство должно быть присоединено к Microsoft Entra или гибридное присоединение к Microsoft Entra.
    • Зарегистрированные устройства Microsoft Entra не поддерживаются.
  • Для клиента Глобального безопасного доступа требуется 64-разрядная версия Windows 10 или Windows 11.
    • Поддерживается односеансовый рабочий стол Azure.
    • Многосеансовый рабочий стол Azure не поддерживается.
    • Windows 365 поддерживается.
  • Учетные данные локального администратора необходимы для установки или обновления клиента.
  • Для клиента Глобального безопасного доступа требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Скачайте клиент.

Последняя версия клиента Глобального безопасного доступа доступна для скачивания из Центра администрирования Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
  2. Перейдите к скачиванию клиента Global Secure Access>Connect>.
  3. Выберите " Скачать клиент". Снимок экрана: экран загрузки клиента с выделенной кнопкой

Установка клиента глобального безопасного доступа

Автоматическая установка

Организации могут автоматически устанавливать клиент Global Secure Access с помощью коммутатора /quiet или использовать решения для мобильных Управление устройствами (MDM), например Microsoft Intune для развертывания клиента на своих устройствах.

Установка вручную

Чтобы вручную установить клиент глобального безопасного доступа, выполните следующие действия.

  1. Запустите файл установки GlobalSecureAccessClient.exe. Примите условия лицензионного соглашения.
  2. Клиент устанавливает и автоматически выполняет вход с помощью учетных данных Microsoft Entra. Если автоматический вход завершается ошибкой, установщик предложит выполнить вход вручную.
  3. Вход. Значок подключения становится зеленым.
  4. Наведите указатель мыши на значок подключения, чтобы открыть уведомление о состоянии клиента, которое должно отображаться как подключено.
    Снимок экрана: подключен клиент.

Действия клиента

Чтобы просмотреть доступные действия клиентского меню, щелкните правой кнопкой мыши значок области "Глобальный безопасный доступ". Снимок экрана: полный список действий клиента Global Secure Access.

Совет

Действия клиентского меню глобального безопасного доступа зависят от конфигурации разделов реестра клиентов.

Действие Description
Выход Скрытый по умолчанию. Используйте действие выхода, если необходимо войти в клиент Глобального безопасного доступа с пользователем Microsoft Entra, кроме того, который использовался для входа в Windows. Чтобы сделать это действие доступным, обновите соответствующие разделы реестра клиентов.
Отключить Выберите действие "Отключить", чтобы отключить клиент. Клиент остается отключенным, пока не включите клиент или перезапустите компьютер.
Включение Включает клиент глобального безопасного доступа.
Отключение закрытого доступа Скрытый по умолчанию. Используйте действие "Отключить частный доступ", если вы хотите обойти глобальный безопасный доступ при подключении устройства непосредственно к корпоративной сети для доступа к частным приложениям непосредственно через сеть, а не через глобальный безопасный доступ. Чтобы сделать это действие доступным, обновите соответствующие разделы реестра клиентов.
Сбор журналов Выберите это действие, чтобы собирать журналы клиентов (сведения о клиентском компьютере, связанные журналы событий для служб и значений реестра) и архивировать их в ZIP-файле, чтобы предоставить общий доступ к служба поддержки Майкрософт для исследования. Расположение по умолчанию для журналов C:\Program Files\Global Secure Access Client\Logs. Вы также можете собирать журналы клиентов в Windows, введя следующую команду в командной строке: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>
Расширенные диагностика Выберите это действие, чтобы запустить программу advanced диагностика и получить доступ к ассортименту средств устранения неполадок.

Индикаторы состояния клиента

Уведомление о состоянии

Дважды щелкните значок глобального безопасного доступа, чтобы открыть уведомление о состоянии клиента и просмотреть состояние каждого канала, настроенного для клиента.
Снимок экрана: состояние клиента подключено.

Состояние клиента в значке области системы

Icon Message Description
Глобальный безопасный доступ Клиент инициализирует и проверяет подключение к глобальному безопасному доступу.
Глобальный безопасный доступ — подключенный Клиент подключен к глобальному безопасному доступу.
Глобальный безопасный доступ — отключен Клиент отключен, так как службы находятся в автономном режиме или пользователь отключил клиента.
Глобальный безопасный доступ — отключен Клиенту не удалось подключиться к глобальному безопасному доступу.
Глобальный безопасный доступ — некоторые каналы недоступны Клиент частично подключен к глобальному безопасному доступу (т. е. сбой подключения к одному каналу: Microsoft Entra, Microsoft 365, частный доступ, интернет-доступ).
Глобальный безопасный доступ — отключено вашей организацией Ваша организация отключила клиент (то есть все профили пересылки трафика отключены).
Глобальный безопасный доступ — закрытый доступ отключен Пользователь отключил закрытый доступ на этом устройстве.
Глобальный безопасный доступ — не удалось подключиться к Интернету Клиент не мог обнаружить подключение к Интернету. Устройство подключено к сети, которая не имеет подключения к Интернету или сети, для которых требуется вход на портале.

Известные ограничения

Известные ограничения для текущей версии клиента Глобального безопасного доступа:

Безопасная система доменных имен (DNS)

Клиент глобального безопасного доступа в настоящее время не поддерживает безопасный DNS в разных версиях, таких как DNS по протоколу HTTPS (DoH), DNS по протоколу TLS (DoT) или расширения безопасности DNS (DNSSEC). Чтобы настроить клиент для получения сетевого трафика, необходимо отключить безопасный DNS. Чтобы отключить безопасный DNS в браузере, см. раздел "Безопасный DNS", отключенный в браузерах.

DNS через TCP

DNS использует порт 53 UDP для разрешения имен. Некоторые браузеры имеют собственный DNS-клиент, который также поддерживает порт 53 TCP. В настоящее время клиент глобального безопасного доступа не поддерживает ПОРТ DNS 53 TCP. В качестве устранения рисков отключите DNS-клиент браузера, задав следующие значения реестра:

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
  • Chrome
    [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    Кроме того, добавьте просмотр chrome://flags и отключение Async DNS resolver.

IPv6 не поддерживается

Клиент туннелирует только трафик IPv4. Трафик IPv6 не приобретается клиентом и поэтому передается непосредственно в сеть. Чтобы включить туннелирование всего соответствующего трафика, задайте для свойств сетевого адаптера значение IPv4.

Резервный вариант подключения

Если возникла ошибка подключения к облачной службе, клиент возвращается к прямому интернет-подключению или блокирует подключение на основе значения защиты правила сопоставления в профиле пересылки.

Геолокация

Для сетевого трафика, туннелированного в облачную службу, сервер приложений (веб-сайт) обнаруживает исходный IP-адрес подключения как IP-адрес пограничного сервера (а не IP-адрес устройства пользователя). Этот сценарий может повлиять на службы, использующие геолокацию.

Совет

Для Office 365 и Entra для обнаружения истинного исходного IP-адреса устройства рекомендуется включить восстановление исходного IP-адреса.

Поддержка виртуализации

Поддержка Hyper-V:

  1. Внешний виртуальный коммутатор: клиент Windows глобального безопасного доступа в настоящее время не поддерживает хост-компьютеры с внешним виртуальным коммутатором Hyper-V. Однако клиент можно установить на виртуальных машинах для туннелирования трафика в глобальный безопасный доступ.
  2. Внутренний виртуальный коммутатор: клиент Windows глобального безопасного доступа можно установить на узлах и гостевых компьютерах. Клиент туннелирует только сетевой трафик компьютера, на котором он установлен. Другими словами, клиент, установленный на хост-компьютере, не туннел сетевой трафик гостевых компьютеров.

Клиент Windows глобального безопасного доступа поддерживает Azure Виртуальные машины.

Клиент Windows глобального безопасного доступа поддерживает виртуальный рабочий стол Azure (AVD).

Примечание.

AvD multi-session не поддерживается.

Proxy (Прокси)

Если прокси-сервер настроен на уровне приложения (например, браузер) или на уровне ОС, настройте файл автоматической настройки прокси-сервера (PAC), чтобы исключить все полные доменные имена и IP-адреса, которые клиент должен туннелировать.

Чтобы предотвратить туннелирование HTTP-запросов для определенных полных доменных имен/IP-адресов на прокси-сервер, добавьте полное доменное имя/IP-адреса в ФАЙЛ PAC в качестве исключений. (Эти полные доменные имена и IP-адреса находятся в профиле пересылки глобального безопасного доступа для туннелирования. Например:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Если прямое подключение к Интернету невозможно, настройте клиент для подключения к службе глобального безопасного доступа через прокси-сервер. Например, задайте системную grpc_proxy переменную, чтобы она соответствовала значению прокси-сервера, например http://proxy:8080.

Чтобы применить изменения конфигурации, перезапустите клиентские службы Windows глобального безопасного доступа.

Внедрение пакетов

Клиент только туннелирует трафик, отправленный с помощью сокетов. Он не туннелируется в сетевой стек с помощью драйвера (например, некоторые из трафика, созданного сетевой картой (Nmap)). Внедренные пакеты передаются непосредственно в сеть.

Многосессионный

Клиент Global Secure Access не поддерживает одновременные сеансы на одном компьютере. Это ограничение применяется к серверам RDP и решениям VDI, таким как Виртуальный рабочий стол Azure (AVD), настроенным для нескольких сеансов.

Arm64

Клиент Global Secure Access не поддерживает архитектуру Arm64.

QUIC не поддерживается для Доступа к Интернету

Так как QUIC еще не поддерживается для Доступа к Интернету, трафик к портам 80 UDP и 443 UDP нельзя туннелировать.

Совет

В настоящее время QUIC поддерживается в рабочих нагрузках Private Access и Microsoft 365.

Администраторы могут отключить протокол QUIC, запускающий клиенты, чтобы вернуться к ПРОТОКОЛу HTTPS по протоколу TCP, который полностью поддерживается в Доступе к Интернету. Дополнительные сведения см. в разделе QUIC, который не поддерживается для Доступа к Интернету.

Подключение WSL 2

Если клиент глобального безопасного доступа для Windows включен на хост-компьютере, исходящие подключения из подсистемы Windows для Linux (WSL) 2 могут быть заблокированы. Чтобы устранить это событие, создайте файл .wslconfig, который задает dnsTunneling значением false. Таким образом, весь трафик из WSL обходит Global Secure Access и передается непосредственно в сеть. Дополнительные сведения см. в разделе Настройка дополнительных параметров в WSL.

Устранение неполадок

Чтобы устранить неполадки с клиентом глобального безопасного доступа, щелкните правой кнопкой мыши значок клиента на панели задач и выберите один из вариантов устранения неполадок: Сбор журналов или расширенных диагностика.

Совет

Администраторы могут изменять параметры клиентского меню глобального безопасного доступа, изменив разделы реестра клиентов.

Дополнительные сведения об устранении неполадок клиента Глобального безопасного доступа см. в следующих статьях:

Разделы реестра клиентов

Клиент Global Secure Access использует определенные разделы реестра для включения или отключения различных функций. Администраторы могут использовать решения для мобильных Управление устройствами (MDM), например Microsoft Intune или групповую политику для управления значениями реестра.

Внимание

Не изменяйте другие значения реестра, если не указано служба поддержки Майкрософт.

Ограничение непривилегированных пользователей

Администратор может запретить непривилегированных пользователей на устройстве Windows отключить или включить клиент, задав следующий раздел реестра:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD

Data Description
0x0 Непривилегированные пользователи на устройстве Windows могут отключить и включить клиент.
0x1 Непривилегированные пользователи на устройстве Windows ограничены отключением и включением клиента. Запрос UAC требует учетных данных локального администратора для отключения и включения параметров. Администратор также может скрыть кнопку отключения (см . кнопки меню "Скрыть или отменить отображение системной области").

Отключение или включение частного доступа на клиенте

Это значение реестра определяет, включен или отключен частный доступ для клиента. Если пользователь подключен к корпоративной сети, он может обойти глобальный безопасный доступ и напрямую получить доступ к частным приложениям.

Пользователи могут отключить и включить частный доступ через меню системной области.

Совет

Этот параметр доступен в меню только в том случае, если он не скрыт (см . кнопки меню "Скрыть или отменить отображение системной области") и закрытый доступ включен для этого клиента.

Администраторы могут отключить или включить закрытый доступ для пользователя, задав раздел реестра:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Значение Тип Data Description
IsPrivateAccessDisabledByUser REG_DWORD 0x0 Частный доступ включен на этом устройстве. Сетевой трафик к частным приложениям проходит через глобальный безопасный доступ.
IsPrivateAccessDisabledByUser REG_DWORD 0x1 Закрытый доступ отключен на этом устройстве. Сетевой трафик к частным приложениям передается непосредственно в сеть.

Снимок экрана: редактор реестра с выделенным разделом реестра IsPrivateAccessDisabledByUser.

Если значение реестра не существует, значение по умолчанию 0x0, включен закрытый доступ.

Скрытие или распаковка кнопок меню области системы

Администратор может отображать или скрывать определенные кнопки в меню значка области клиентской системы. Создайте значения в следующем разделе реестра:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Значение Тип Data Поведение по умолчанию Description
HideSignOutButton REG_DWORD 0x0 - показанный 0x1 - скрытый hidden Настройте этот параметр для отображения или скрытия действия выхода . Этот параметр предназначен для определенных сценариев, когда пользователю необходимо войти в клиент с другим пользователем Microsoft Entra, отличным от используемого для входа в Windows. Примечание. Необходимо войти в клиент с пользователем в том же клиенте Microsoft Entra, к которому присоединено устройство. Вы также можете использовать действие выхода для повторной проверки подлинности существующего пользователя.
HideDisablePrivateAccessButton REG_DWORD 0x0 - показанный 0x1 - скрытый hidden Настройте этот параметр, чтобы отобразить или скрыть действие "Отключить закрытый доступ ". Этот параметр предназначен для сценария, когда устройство напрямую подключено к корпоративной сети, а пользователь предпочитает доступ к частным приложениям непосредственно через сеть, а не через глобальный безопасный доступ.
HideDisableButton REG_DWORD 0x0 - показанный 0x1 - скрытый показывать Настройте этот параметр для отображения или скрытия действия "Отключить ". При отображении пользователь может отключить клиент глобального безопасного доступа. Клиент остается отключенным до тех пор, пока пользователь не включит его снова. Если действие "Отключить" скрыто, пользователь не может отключить клиент.

Снимок экрана: редактор реестра с выделенными разделами реестра HideSignOutButton и HideDisablePrivateAccessButton.

Дополнительные сведения см. в руководстве по настройке IPv6 в Windows для расширенных пользователей.

Связанное содержимое