Microsoft Windows 的全域安全存取用戶端
Global Secure Access 用戶端是 Global Secure Access 的基本元件,可協助組織管理及保護終端用戶裝置上的網路流量。 用戶端的主要角色是路由傳送流量,這些流量必須受到雲端服務的全域安全存取保護。 所有其他流量都會直接流向網路。 在 入口網站中設定的轉送配置檔會決定全域安全存取用戶端路由傳送至雲端服務的流量。
本文說明如何下載及安裝適用於 Windows 的全域安全存取用戶端。
必要條件
- 已上線至全域安全存取的 Microsoft Entra 租使用者。
- 已加入已上線租使用者的受控裝置。 裝置必須Microsoft已加入 Entra 或Microsoft Entra 混合式聯結。
- 不支援已註冊 Microsoft Entra 的裝置。
- Global Secure Access 用戶端需要 64 位版本的 Windows 10 或 Windows 11。
- 支援 Azure 虛擬桌面單一工作階段。
- 不支援 Azure 虛擬桌面多重工作階段。
- 支援 Windows 365。
- 需要本機系統管理員認證才能安裝或升級用戶端。
- 全域安全存取用戶端需要授權。 如需詳細資訊,請參閱什麼是全球安全存取的授權一節。 如有需要,您可以購買授權或取得試用版授權。
下載用戶端
最新的全域安全存取用戶端版本可從 Microsoft Entra 系統管理中心下載。
- 以全球安全存取管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽 [全球安全存取]> [連線]> [用戶端下載]。
- 選取 [下載用戶端]。
安裝全域安全存取用戶端
自動化安裝
組織可以使用 交換器以無訊息方式/quiet
安裝全域安全存取用戶端,或使用行動裝置 裝置管理 (MDM) 解決方案,例如Microsoft Intune 將用戶端部署至其裝置。
手動安裝
若要手動安裝全域安全存取用戶端:
- 執行 GlobalSecureAccessClient.exe 安裝檔。 接受軟體授權條款。
- 用戶端會使用您的 Microsoft Entra 認證,以無訊息方式將您登入。 如果無訊息登入失敗,安裝程式會提示您手動登入。
- 登入。 連接圖示會變成綠色。
- 將滑鼠停留在連線圖示上以開啟客戶端狀態通知,該通知應顯示為 [已連線]。
用戶端動作
若要檢視可用的用戶端功能表動作,請以滑鼠右鍵按兩下全域安全存取系統匣圖示。
提示
全域安全存取用戶端功能表動作會根據您的 用戶端登錄機碼 設定而有所不同。
動作 | 描述 |
---|---|
登出 | 默認為隱藏。 當您需要使用 Microsoft Entra 使用者登入 Global Secure Access 用戶端時,請使用 [註銷] 動作,而不是用來登入 Windows 的使用者。 若要讓此動作可供使用,請更新適當的 用戶端登錄機碼。 |
停用 | 選取 [ 停用 ] 動作以停用用戶端。 在您啟用用戶端或重新啟動電腦之前,用戶端會保持停用狀態。 |
啟用 | 啟用全域安全存取用戶端。 |
停用私人存取 | 默認為隱藏。 當您想要在裝置直接連線到公司網路時略過全域安全存取時,請使用 [停用私人存取] 動作,直接透過網路存取私人應用程式,而不是透過全域安全存取。 若要讓此動作可供使用,請更新適當的 用戶端登錄機碼。 |
收集記錄 | 選取此動作以收集客戶端記錄檔(用戶端計算機的相關信息、服務的相關事件記錄檔和登錄值),並將其封存於 zip 檔案中,以便與 Microsoft 支援服務 共用以進行調查。 記錄預設位置為 C:\Program Files\Global Secure Access Client\Logs 。 您也可以在命令提示字元中輸入下列命令,在 Windows 上收集客戶端記錄: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user> 。 |
進階診斷 | 選取此動作以啟動進階診斷公用程式,並存取各種 疑難解答 工具。 |
客戶端狀態指標
狀態通知
按兩下 [全域安全存取] 圖示以開啟客戶端狀態通知,並檢視針對客戶端設定的每個通道狀態。
系統匣中的客戶端狀態圖示
Icon | 訊息 | 描述 |
---|---|---|
全球安全存取 | 用戶端正在初始化並檢查其與全域安全存取的連線。 | |
全域安全存取 - 已連線 | 用戶端會連線到全域安全存取。 | |
全域安全存取 - 已停用 | 用戶端已停用,因為服務已離線,或使用者停用用戶端。 | |
全域安全存取 - 已中斷連線 | 用戶端無法連線到全域安全存取。 | |
全域安全存取 - 某些通道無法連線 | 用戶端部分連線到全域安全存取(也就是至少一個通道的連線失敗:Microsoft Entra、Microsoft 365、私人存取、因特網存取)。 | |
全域安全存取 - 貴組織已停用 | 您的組織已停用用戶端(也就是說,所有流量轉送配置檔都會停用)。 | |
全域安全存取 - 已停用私人存取 | 使用者已停用此裝置上的 Private Access。 | |
全域安全存取 - 無法連線到因特網 | 用戶端無法偵測到因特網連線。 裝置會連線到沒有因特網連線的網路,或需要 Captive Portal 登入的網路。 |
已知的限制
目前全域安全存取用戶端版本的已知限制包括:
安全域名稱系統 (DNS)
全域安全存取用戶端目前不支援不同版本的安全 DNS,例如透過 HTTPS (DoH)、TLS 上的 DNS 或 DNS 安全性延伸模組 (DNSSEC)。 若要設定用戶端以取得網路流量,您必須停用安全的 DNS。 若要在瀏覽器中停用安全 DNS,請參閱 在瀏覽器中停用安全 DNS。
透過 TCP 的 DNS
DNS 會使用埠 53 UDP 進行名稱解析。 有些瀏覽器有自己的 DNS 用戶端,也支援埠 53 TCP。 目前全域安全存取用戶端不支援 DNS 連接埠 53 TCP。 作為緩和措施,藉由設定下列登錄值來停用瀏覽器的 DNS 用戶端:
- Microsoft Edge
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
- Chrome
[HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
同時新增瀏覽chrome://flags
與停用Async DNS resolver
。
不支援 IPv6
用戶端只會通道 IPv4 流量。 用戶端不會取得 IPv6 流量,因此會直接傳輸至網路。 若要啟用通道中所有相關流量,請將網路適配器屬性設定為 慣用的 IPv4。
線上後援
如果雲端服務發生連線錯誤,用戶端會根據 轉送配置檔中比對規則的強化 值,回復為直接因特網連線或封鎖連線。
地理位置
針對通道傳送至雲端服務的網路流量,應用程式伺服器(網站)會將連線的來源IP偵測為邊緣的IP位址(而不是使用者裝置的IP位址)。 此案例可能會影響依賴地理位置的服務。
提示
若要讓 Office 365 和 Entra 偵測裝置的真實來源 IP,請考慮啟用 來源 IP 還原。
虛擬化支援
Hyper-V 支援:
- 外部虛擬交換器:全域安全存取 Windows 用戶端目前不支援具有 Hyper-V 外部虛擬交換器的主機電腦。 不過,用戶端可以安裝在虛擬機上,以將流量通道傳送至全域安全存取。
- 內部虛擬交換器:全域安全存取 Windows 用戶端可以安裝在主機和客體機器上。 用戶端只會通道安裝的電腦網路流量。 換句話說,安裝在主計算機上的用戶端不會通道傳送客體機器的網路流量。
Global Secure Access Windows 用戶端支援 Azure 虛擬機器。
全域安全存取 Windows 用戶端支援 Azure 虛擬桌面(AVD)。
注意
不支援AVD多會話。
Proxy
如果 Proxy 設定在應用層級(例如瀏覽器)或作業系統層級,請設定 Proxy 自動設定 (PAC) 檔案,以排除您預期用戶端通道的所有 FQDN 和 IP。
若要防止特定 FQDN/IP 的 HTTP 要求通道傳送至 Proxy,請將 FQDN/IP 新增至 PAC 檔案作為例外狀況。 (這些 FQDN/IP 位於用於通道的全域安全存取轉送配置檔中。 例如:
function FindProxyForURL(url, host) {
if (isPlainHostName(host) ||
dnsDomainIs(host, ".microsoft.com") || // tunneled
dnsDomainIs(host, ".msn.com")) // tunneled
return "DIRECT"; // If true, sets "DIRECT" connection
else // If not true...
return "PROXY 10.1.0.10:8080"; // forward the connection to the proxy
}
如果無法直接因特網連線,請將用戶端設定為透過 Proxy 連線到全域安全存取服務。 例如,將系統變數設定 grpc_proxy
為符合 Proxy 的值,例如 http://proxy:8080
。
若要套用設定變更,請重新啟動全域安全存取用戶端 Windows 服務。
封包插入
用戶端只會通道使用套接字傳送的流量。 它不會使用驅動程式將插入網路堆疊的流量通道傳送至網路堆疊(例如,網路對應程式 (Nmap) 所產生的一些流量。 插入的封包會直接移至網路。
多重工作階段
全域安全存取用戶端不支援相同電腦上的並行會話。 這項限制適用於針對多會話設定的 RDP 伺服器和 VDI 解決方案,例如 Azure 虛擬桌面 (AVD)。
Arm64
全域安全存取用戶端不支援Arm64架構。
因特網存取不支援 QUIC
由於因特網存取尚不支援 QUIC,因此無法通道傳送至埠 80 UDP 和 443 UDP 的流量。
提示
私人存取和Microsoft 365 工作負載目前支援QUIC。
系統管理員可以停用 QUIC 通訊協定,以觸發用戶端透過 TCP 回復至 HTTPS,這是因特網存取中完全支援的。 如需詳細資訊,請參閱 不支援因特網存取的QUIC。
WSL 2 連線能力
在主計算機上啟用適用於 Windows 的全域安全存取用戶端時,可能會封鎖來自適用於 Linux 的 Windows 子系統 (WSL) 2 環境的連出連線。 若要減輕此情況,請建立 .wslconfig
檔案,將 dnsTunneling 設定為 false。 如此一來,來自 WSL 的所有流量都會略過全域安全存取,並直接前往網路。 如需詳細資訊,請參閱 WSL中的
疑難排解
若要針對全域安全存取用戶端進行疑難解答,請以滑鼠右鍵按兩下任務列中的用戶端圖示,然後選取其中一個疑難解答選項: 收集記錄 或 進階診斷。
提示
系統管理員可以修改 用戶端登錄機碼來修改全域安全存取用戶端功能表選項。
如需針對全域安全存取客戶端進行疑難解答的詳細資訊,請參閱下列文章:
用戶端登錄機碼
全域安全存取用戶端會使用特定的登錄機碼來啟用或停用不同的功能。 系統管理員可以使用Mobile 裝置管理 (MDM) 解決方案,例如 Microsoft Intune 或組策略來控制登錄值。
警告
除非 Microsoft 支援服務 指示,否則請勿變更其他登錄值。
限制非特殊許可權的使用者
系統管理員可以藉由設定下列登錄機碼,防止 Windows 裝置上的非特殊許可權使用者停用或啟用用戶端:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD
資料 | 描述 |
---|---|
0x0 | Windows 裝置上的非特殊許可權使用者可以停用並啟用用戶端。 |
0x1 | Windows 裝置上的非特殊許可權使用者受限於停用和啟用用戶端。 UAC 提示需要本機系統管理員認證才能停用和啟用選項。 系統管理員也可以隱藏停用按鈕(請參閱 隱藏或取消隱藏系統匣功能表按鈕)。 |
停用或啟用用戶端上的 Private Access
此登錄值會控制用戶端是否啟用或停用 Private Access。 如果用戶連線到公司網路,他們可以選擇略過全域安全存取並直接存取私人應用程式。
用戶可以透過系統匣功能表停用並啟用 Private Access。
提示
只有在功能表沒有隱藏此選項時,才會提供此選項(請參閱 隱藏或取消隱藏系統匣功能表按鈕),且此租使用者已啟用 Private Access。
系統管理員可以藉由設定登錄機碼來停用或啟用使用者的私用存取:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
值 | 類型 | 資料 | 描述 |
---|---|---|---|
IsPrivateAccessDisabledByUser | REG_DWORD | 0x0 | 此裝置上已啟用 Private Access。 私人應用程式的網路流量會通過全域安全存取。 |
IsPrivateAccessDisabledByUser | REG_DWORD | 0x1 | 此裝置上已停用 Private Access。 私人應用程式的網路流量會直接流向網路。 |
如果登錄值不存在,預設值為 0x0,則會啟用 Private Access。
隱藏或取消隱藏系統匣功能表按鈕
系統管理員可以在客戶端系統匣圖示功能顯示或隱藏特定按鈕。 在下列登入機碼下建立值:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
值 | 類型 | 資料 | 預設行為 | 描述 |
---|---|---|---|---|
HideSignOutButton | REG_DWORD | 0x0 - 顯示0x1 - 隱藏 | 隱藏 | 設定此設定以顯示或隱藏 註銷 動作。 此選項適用於特定案例,當使用者需要以與用來登入 Windows 的使用者不同的Microsoft Entra 使用者登入用戶端時。 注意:您必須使用已加入裝置之相同Microsoft Entra 租使用者的使用者登入用戶端。 您也可以使用 註銷 動作來重新驗證現有的使用者。 |
HideDisablePrivateAccessButton | REG_DWORD | 0x0 - 顯示0x1 - 隱藏 | 隱藏 | 設定此設定以顯示或隱藏 [ 停用私人存取 ] 動作。 此選項適用於裝置直接連線到公司網路的情況,而使用者偏好直接透過網路存取私人應用程式,而不是透過全域安全存取存取。 |
HideDisableButton | REG_DWORD | 0x0 - 顯示0x1 - 隱藏 | 顯示 | 設定此設定以顯示或隱藏 [ 停用 ] 動作。 可見時,使用者可以停用全域安全存取用戶端。 用戶端會保持停用狀態,直到使用者再次啟用為止。 如果隱藏 [ 停用 ] 動作,則非特殊許可權的用戶無法停用用戶端。 |
如需詳細資訊,請參閱 在 Windows 中為進階使用者設定 IPv6 的指引。
相關內容
- 適用於 macOS 的
Global Secure Access 用戶端 - 適用於Android 的
全域安全存取用戶端 - 適用於 iOS 的
全域安全存取用戶端