Dela via

Global secure access-klient för Microsoft Windows

  • Artikel

Global Secure Access-klienten, en viktig komponent i Global Säker åtkomst, hjälper organisationer att hantera och skydda nätverkstrafik på slutanvändarenheter. Klientens huvudroll är att dirigera trafik som måste skyddas av global säker åtkomst till molntjänsten. All annan trafik går direkt till nätverket. Vidarebefordringsprofilerna, som konfigurerats i portalen, avgör vilken trafik global säker åtkomst-klienten dirigerar till molntjänsten.

I den här artikeln beskrivs hur du laddar ned och installerar Global Secure Access-klienten för Windows.

Förutsättningar

  • En Microsoft Entra-klientorganisation registrerad för global säker åtkomst.
  • En hanterad enhet som är ansluten till den registrerade klientorganisationen. Enheten måste vara antingen Microsoft Entra-ansluten eller Microsoft Entra-hybridanslutning.
    • Microsoft Entra-registrerade enheter stöds inte.
  • Global Secure Access-klienten kräver en 64-bitarsversion av Windows 10 eller Windows 11.
    • Enkel session i Azure Virtual Desktop stöds.
    • Flera sessioner i Azure Virtual Desktop stöds inte.
    • Windows 365 stöds.
  • Autentiseringsuppgifter för lokal administratör krävs för att installera eller uppgradera klienten.
  • Global Secure Access-klienten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Ladda ned klienten

Den senaste versionen av Global Secure Access-klienten är tillgänglig för nedladdning från administrationscentret för Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.
  2. Bläddra till Nedladdning av Global Secure Access>Connect-klient.>
  3. Välj Ladda ned klient. Skärmbild av skärmen Klientnedladdning med knappen Ladda ned klient markerad.

Installera Global Secure Access-klienten

Automatisk installation

Organisationer kan installera Global Secure Access-klienten tyst med växeln /quiet eller använda MDM-lösningar (Mobile Enhetshantering), till exempel Microsoft Intune för att distribuera klienten till sina enheter.

Manuell installation

Så här installerar du global säker åtkomst-klienten manuellt:

  1. Kör installationsfilen för GlobalSecureAccessClient.exe . Godkänn licensvillkoren för programvara.
  2. Klienten installerar och loggar tyst in dig med dina Microsoft Entra-autentiseringsuppgifter. Om den tysta inloggningen misslyckas uppmanar installationsprogrammet dig att logga in manuellt.
  3. Logga in. Anslutningsikonen blir grön.
  4. Hovra över anslutningsikonen för att öppna meddelandet om klientstatus, som ska visas som Ansluten.
    Skärmbild som visar att klienten är ansluten.

Klientåtgärder

Om du vill visa de tillgängliga klientmenyåtgärderna högerklickar du på ikonen Systemfack för global säker åtkomst. Skärmbild som visar den fullständiga listan över globala klientåtgärder för säker åtkomst.

Dricks

Menyåtgärderna för global säker åtkomst varierar beroende på konfigurationen av klientregisternycklar.

Åtgärd beskrivning
Logga ut Dold som standard. Använd utloggningsåtgärden när du behöver logga in på Global Secure Access-klienten med en annan Microsoft Entra-användare än den som användes för att logga in på Windows. Uppdatera lämpliga klientregisternycklar för att göra den här åtgärden tillgänglig.
Inaktivera Välj åtgärden Inaktivera för att inaktivera klienten. Klienten förblir inaktiverad tills du antingen aktiverar klienten eller startar om datorn.
Aktivera Aktiverar Global Secure Access-klienten.
Inaktivera privat åtkomst Dold som standard. Använd åtgärden Inaktivera privat åtkomst när du vill kringgå global säker åtkomst när du ansluter enheten direkt till företagsnätverket för att få åtkomst till privata program direkt via nätverket i stället för via global säker åtkomst. Uppdatera lämpliga klientregisternycklar för att göra den här åtgärden tillgänglig.
Samla in loggar Välj den här åtgärden för att samla in klientloggar (information om klientdatorn, relaterade händelseloggar för tjänsterna och registervärdena) och arkivera dem i en zip-fil som ska delas med Microsoft Support för undersökning. Standardplatsen för loggarna är C:\Program Files\Global Secure Access Client\Logs. Du kan också samla in klientloggar i Windows genom att ange följande kommando i kommandotolken: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>.
Avancerad diagnostik Välj den här åtgärden för att starta verktyget Avancerad diagnostik och få åtkomst till ett utbud av felsökningsverktyg .

Indikatorer för klientstatus

Statusmeddelande

Dubbelklicka på ikonen Global säker åtkomst för att öppna meddelandet om klientstatus och visa status för varje kanal som konfigurerats för klienten.
Skärmbild som visar att klientstatusen är ansluten.

Klientstatusar i systemfältets ikon

Ikon Meddelande beskrivning
Global säker åtkomst Klienten initierar och kontrollerar anslutningen till global säker åtkomst.
Global säker åtkomst – ansluten Klienten är ansluten till global säker åtkomst.
Global säker åtkomst – inaktiverad Klienten är inaktiverad eftersom tjänsterna är offline eller användaren har inaktiverat klienten.
Global säker åtkomst – frånkopplad Klienten kunde inte ansluta till global säker åtkomst.
Global säker åtkomst – Vissa kanaler kan inte nås Klienten är delvis ansluten till global säker åtkomst (d.v.s. anslutningen till minst en kanal misslyckades: Microsoft Entra, Microsoft 365, Privat åtkomst, Internetåtkomst).
Global säker åtkomst – inaktiverad av din organisation Din organisation har inaktiverat klienten (det vill: alla profiler för vidarebefordran av trafik är inaktiverade).
Global säker åtkomst – Privat åtkomst är inaktiverad Användaren inaktiverade privat åtkomst på den här enheten.
Global säker åtkomst – det gick inte att ansluta till Internet Klienten kunde inte identifiera en Internetanslutning. Enheten är antingen ansluten till ett nätverk som inte har någon Internetanslutning eller ett nätverk som kräver inloggning i företagsintern portal.

Kända begränsningar

Kända begränsningar för den aktuella versionen av Global Secure Access-klienten är:

Secure Domain Name System (DNS)

Global Secure Access-klienten stöder för närvarande inte säker DNS i sina olika versioner, till exempel DNS via HTTPS (DoH), DNS över TLS (DoT) eller DNS Security Extensions (DNSSEC). Om du vill konfigurera klienten så att den kan hämta nätverkstrafik måste du inaktivera säker DNS. Information om hur du inaktiverar säker DNS i webbläsaren finns i Säker DNS inaktiverad i webbläsare.

DNS över TCP

DNS använder port 53 UDP för namnmatchning. Vissa webbläsare har en egen DNS-klient som också stöder port 53 TCP. Global Secure Access-klienten stöder för närvarande inte DNS-port 53 TCP. Som en åtgärd inaktiverar du webbläsarens DNS-klient genom att ange följande registervärden:

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
  • Chrome
    [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    Lägg också till surfning chrome://flags och inaktivering Async DNS resolver.

IPv6 stöds inte

Klienten tunnlar endast IPv4-trafik. IPv6-trafik hämtas inte av klienten och överförs därför direkt till nätverket. Om du vill aktivera all relevant trafik som ska tunneltrafik ställer du in egenskaperna för nätverkskortet på önskad IPv4.

Återställning av anslutning

Om det uppstår ett anslutningsfel till molntjänsten återgår klienten till antingen direkt Internetanslutning eller blockerar anslutningen, baserat på härdningsvärdet för matchningsregeln i vidarebefordranprofilen.

Geolokalisering

För nätverkstrafik som tunneltrafik till molntjänsten identifierar programservern (webbplatsen) anslutningens käll-IP som gränsens IP-adress (och inte som användarenhetens IP-adress). Det här scenariot kan påverka tjänster som är beroende av geoplats.

Dricks

För att Office 365 och Entra ska kunna identifiera enhetens verkliga käll-IP kan du överväga att aktivera återställning av käll-IP.

Stöd för virtualisering

Stöd för Hyper-V:

  1. Extern virtuell växel: Windows-klienten global säker åtkomst stöder för närvarande inte värddatorer som har en extern virtuell Hyper-V-växel. Klienten kan dock installeras på de virtuella datorerna för att tunneltrafik till global säker åtkomst.
  2. Intern virtuell växel: Windows-klienten global säker åtkomst kan installeras på värd- och gästdatorer. Klienten tunnlar endast nätverkstrafiken på den dator som den är installerad på. En klient som är installerad på en värddator tunnlar med andra ord inte nätverkstrafiken för gästdatorerna.

Windows-klienten global säker åtkomst stöder Virtuella Azure-datorer.

Windows-klienten global säker åtkomst stöder Azure Virtual Desktop (AVD).

Kommentar

AVD-multisession stöds inte.

Proxy

Om en proxy har konfigurerats på programnivå (till exempel en webbläsare) eller på OS-nivå konfigurerar du en PAC-fil (Proxy Auto Configuration) för att undanta alla FQDN:er och IP-adresser som du förväntar dig att klienten ska tunneltrafikera.

Om du vill förhindra att HTTP-begäranden för specifika FQDN:er/IP-adresser tunnlar till proxyn lägger du till FQDN:er/IP-adresser i PAC-filen som undantag. (Dessa FQDN/IP-adresser finns i profilen för vidarebefordran av global säker åtkomst för tunneltrafik). Till exempel:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Om det inte går att ansluta direkt till Internet konfigurerar du klienten så att den ansluter till den globala tjänsten för säker åtkomst via en proxy. Ange till exempel grpc_proxy systemvariabeln så att den matchar proxyns värde, till exempel http://proxy:8080.

Om du vill tillämpa konfigurationsändringarna startar du om Windows-tjänsterna för global säker åtkomst.

Paketinmatning

Klienten tunnlar endast trafik som skickas med sockets. Den tunneltrafik som matas in i nätverksstacken med hjälp av en drivrutin (till exempel en del av den trafik som genereras av Nätverksmappare (Nmap)). Inmatade paket går direkt till nätverket.

Flera sessioner

Global Secure Access-klienten stöder inte samtidiga sessioner på samma dator. Den här begränsningen gäller RDP-servrar och VDI-lösningar som Azure Virtual Desktop (AVD) som är konfigurerade för flera sessioner.

Arm64

Global Secure Access-klienten stöder inte Arm64-arkitektur.

QUIC stöds inte för Internetåtkomst

Eftersom QUIC ännu inte stöds för Internetåtkomst kan trafik till portarna 80 UDP och 443 UDP inte tunneltrafik.

Dricks

QUIC stöds för närvarande i privata åtkomst- och Microsoft 365-arbetsbelastningar.

Administratörer kan inaktivera QUIC-protokoll som utlöser klienter för att återgå till HTTPS via TCP, som stöds fullt ut i Internet Access. Mer information finns i QUIC stöds inte för Internetåtkomst.

Felsökning

Om du vill felsöka global säker åtkomst-klienten högerklickar du på klientikonen i aktivitetsfältet och väljer något av felsökningsalternativen: Samla in loggar eller Avancerad diagnostik.

Dricks

Administratörer kan ändra menyalternativen för global säker åtkomst genom att ändra klientregisternycklarna.

Mer detaljerad information om hur du felsöker Global Secure Access-klienten finns i följande artiklar:

Klientregisternycklar

Global Secure Access-klienten använder specifika registernycklar för att aktivera eller inaktivera olika funktioner. Administratörer kan använda mdm-lösningar (Mobile Enhetshantering), till exempel Microsoft Intune eller grupprincip för att kontrollera registervärdena.

Varning

Ändra inte andra registervärden om de inte har instruerats av Microsoft Support.

Begränsa icke-privilegierade användare

Administratören kan förhindra att icke-privilegierade användare på Windows-enheten inaktiverar eller aktiverar klienten genom att ange följande registernyckel:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD

Data beskrivning
0x0 Icke-privilegierade användare på Windows-enheten kan inaktivera och aktivera klienten.
0x1 Icke-privilegierade användare på Windows-enheten är begränsade från att inaktivera och aktivera klienten. En UAC-fråga kräver autentiseringsuppgifter för lokal administratör för att inaktivera och aktivera alternativ. Administratören kan också dölja knappen inaktivera (se Dölj eller ta fram menyknappar för systemfältet).

Inaktivera eller aktivera privat åtkomst på klienten

Det här registervärdet styr om privat åtkomst är aktiverat eller inaktiverat för klienten. Om en användare är ansluten till företagsnätverket kan de välja att kringgå global säker åtkomst och få direkt åtkomst till privata program.

Användare kan inaktivera och aktivera privat åtkomst via systemfältets meny.

Dricks

Det här alternativet är endast tillgängligt på menyn om det inte är dolt (se Dölj eller ta fram menyknappar för systemfältet) och Privat åtkomst är aktiverat för den här klientorganisationen.

Administratörer kan inaktivera eller aktivera privat åtkomst för användaren genom att ange registernyckeln:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Värde Typ Data beskrivning
IsPrivateAccessDisabledByUser REG_DWORD 0x0 Privat åtkomst är aktiverat på den här enheten. Nätverkstrafik till privata program går via global säker åtkomst.
IsPrivateAccessDisabledByUser REG_DWORD 0x1 Privat åtkomst är inaktiverad på den här enheten. Nätverkstrafik till privata program går direkt till nätverket.

Skärmbild som visar registereditorn med registernyckeln IsPrivateAccessDisabledByUser markerad.

Om registervärdet inte finns är standardvärdet 0x0, private access är aktiverat.

Dölj eller ta fram menyknappar för systemfältet

Administratören kan visa eller dölja specifika knappar i ikonen för klientsystemfältets ikonmeny. Skapa värdena under följande registernyckel:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Värde Typ Data Standardbeteende beskrivning
HideSignOutButton REG_DWORD 0x0 - visas 0x1 - dold dold Konfigurera den här inställningen för att visa eller dölja utloggningsåtgärden. Det här alternativet är för specifika scenarier när en användare behöver logga in på klienten med en annan Microsoft Entra-användare än den som används för att logga in på Windows. Obs! Du måste logga in på klienten med en användare i samma Microsoft Entra-klientorganisation som enheten är ansluten till. Du kan också använda utloggningsåtgärden för att autentisera den befintliga användaren igen.
HideDisablePrivateAccessButton REG_DWORD 0x0 - visas 0x1 - dold dold Konfigurera den här inställningen för att visa eller dölja åtgärden Inaktivera privat åtkomst . Det här alternativet är ett scenario när enheten är direkt ansluten till företagsnätverket och användaren föredrar att komma åt privata program direkt via nätverket i stället för via global säker åtkomst.
HideDisableButton REG_DWORD 0x0 - visas 0x1 - dold visad Konfigurera den här inställningen för att visa eller dölja åtgärden Inaktivera . När den är synlig kan användaren inaktivera global säker åtkomstklient. Klienten förblir inaktiverad tills användaren aktiverar den igen. Om åtgärden Inaktivera är dold kan en icke-privilegierad användare inte inaktivera klienten.

Skärmbild som visar registereditorn med registernycklarna HideSignOutButton och HideDisablePrivateAccessButton markerade.

Mer information finns i Vägledning för att konfigurera IPv6 i Windows för avancerade användare.