共用方式為

Microsoft Windows 的全域安全存取用戶端

  • 發行項

Global Secure Access 用戶端是 Global Secure Access 的基本元件,可協助組織管理及保護終端用戶裝置上的網路流量。 用戶端的主要角色是路由傳送流量,這些流量必須受到雲端服務的全域安全存取保護。 所有其他流量都會直接流向網路。 在管理平台中設定的轉送配置檔會決定全域安全存取客戶端將哪些流量路由至雲端服務。

注意

全域安全存取用戶端也適用於macOS、Android和iOS。 若要瞭解如何在這些平臺上安裝全域安全存取用戶端,請參閱適用於macOS的 Global Secure Access 用戶端、適用於 Android的 Global Secure Access 用戶端,以及適用於 iOS的 Global Secure Access 用戶端。

本文說明如何下載及安裝適用於 Windows 的全域安全存取用戶端。

必要條件

  • 已加入全球安全存取的 Microsoft Entra 租戶。
  • 已加入已啟用承租者的管理裝置。 裝置必須是 Microsoft Entra 加入或 Microsoft Entra 混合式加入。
    • 不支援已註冊 Microsoft Entra 的裝置。
  • Global Secure Access 用戶端需要 64 位版本的 Windows 10 或 Windows 11。
    • 支援 Azure 虛擬桌面單一工作階段。
    • 不支援 Azure 虛擬桌面多重工作階段。
    • 支援 Windows 365。
  • 需要本機系統管理員認證才能安裝或升級用戶端。
  • 全域安全存取用戶端需要授權。 如需詳細資訊,請參閱什麼是全球安全存取的授權一節。 如有需要,您可以購買授權或取得試用版授權

下載用戶端

最新的全域安全存取用戶端版本可從 Microsoft Entra 系統管理中心下載。

  1. 全球安全存取管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至全球安全存取連線用戶端下載
  3. 選取下載用戶端 螢幕擷取畫面,其中顯示了 [用戶端下載] 畫面,並且已醒目提示 [下載用戶端] 按鈕。

安裝全域安全存取用戶端

自動化安裝

組織可以使用/quiet參數來靜默安裝全域安全存取用戶端,或使用行動裝置管理(MDM)解決方案,例如Microsoft Intune將用戶端部署至其裝置。

手動安裝

若要手動安裝全域安全存取用戶端:

  1. 執行 GlobalSecureAccessClient.exe 安裝檔。 接受軟體授權條款。
  2. 用戶端會使用您的 Microsoft Entra 認證,以無訊息方式將您登入。 如果無訊息登入失敗,安裝程式會提示您手動登入。
  3. 登入。 連接圖示會變成綠色。
  4. 將滑鼠停留在連線圖示上以開啟客戶端狀態通知,該通知應顯示為 [已連線]。
    顯示用戶端已連線的螢幕擷取畫面。

用戶端動作

若要檢視可用的用戶端功能表動作,請以滑鼠右鍵按兩下全域安全存取系統匣圖示。 顯示全域安全存取用戶端動作完整清單的螢幕快照。

提示

全域安全存取用戶端功能表動作會根據您的 用戶端登錄機碼 設定而有所不同。

動作 描述
登出 默認為隱藏。 當您需要使用不同於用來登入 Windows 的 Microsoft Entra 使用者登入 Global Secure Access 用戶端時,請使用 [註銷] 動作。 若要讓此動作可供使用,請更新適當的 用戶端登錄機碼
停用 選取 [ 停用 ] 動作以停用用戶端。 在您啟用用戶端或重新啟動電腦之前,用戶端會保持停用狀態。
啟用 啟用全域安全存取用戶端。
停用私人存取 默認為隱藏。 當您想要在裝置直接連線到公司網路時略過全域安全存取時,請使用 [停用私人存取] 動作,直接透過網路存取私人應用程式,而不是透過全域安全存取。 若要讓此動作可供使用,請更新適當的 用戶端登錄機碼
收集記錄 選取此動作以收集客戶端記錄檔(用戶端計算機的相關信息、服務的相關事件記錄檔和登錄值),並將其封存於 zip 檔案中,以便與 Microsoft 支援服務 共用以進行調查。 記錄預設位置為 C:\Program Files\Global Secure Access Client\Logs。 您也可以在命令提示字元中輸入下列命令,在 Windows 上收集客戶端記錄: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>
進階診斷 選取此動作以啟動進階診斷公用程式,並存取各種 疑難解答 工具。

客戶端狀態指標

狀態通知

按兩下 [全域安全存取] 圖示以開啟客戶端狀態通知,並檢視針對客戶端設定的每個通道狀態。
顯示客戶端狀態已連線的螢幕快照。

系統匣中的客戶端狀態圖示

圖示 訊息 描述
全球安全存取 用戶端正在初始化並檢查其與全域安全存取的連線。
全域安全存取 - 已連線 用戶端已連線至全域安全存取。
全域安全存取 - 已停用 用戶端已停用,因為服務已離線,或使用者停用用戶端。
全域安全存取 - 已中斷連線 用戶端無法連線到全域安全存取。
全域安全存取 - 某些通道無法連線 用戶端部分連線到全域安全存取(也就是至少一個通道的連線失敗:Microsoft Entra、Microsoft 365、私人存取、因特網存取)。
全域安全存取 - 貴組織已停用 您的組織已停用用戶端(也就是說,所有流量轉送配置檔都會停用)。
全域安全存取 - 已停用私人存取 使用者已停用此裝置上的 Private Access。
全域安全存取 - 無法連線到因特網 用戶端無法偵測到因特網連線。 裝置會連線到沒有因特網連線的網路,或需要 Captive Portal 登入的網路。

已知的限制

這項功能有一或多個已知的限制。 如需此功能已知問題和限制的詳細資訊,請參閱 全域安全存取的已知限制

疑難排解

若要針對全域安全存取用戶端進行疑難解答,請以滑鼠右鍵按兩下任務列中的用戶端圖示,然後選取其中一個疑難解答選項: 收集記錄進階診斷

提示

系統管理員可以修改 用戶端登錄機碼來修改全域安全存取用戶端功能表選項。

欲了解全域安全存取客戶端疑難解答的詳細資訊,請參閱下列文章:

用戶端登錄機碼

全域安全存取用戶端會使用特定的登錄機碼來啟用或停用不同的功能。 系統管理員可以使用Mobile 裝置管理 (MDM) 解決方案,例如 Microsoft Intune 或組策略來控制登錄值。

警告

除非Microsoft支援指示,否則請勿變更其他登錄值。

限制非特殊許可權的使用者

系統管理員可以藉由設定下列登錄機碼,防止 Windows 裝置上的非特殊許可權使用者停用或啟用用戶端:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD

資料 描述
0x0 Windows 裝置上的非特殊許可權使用者可以停用並啟用用戶端。
0x1 Windows 裝置上的非特殊許可權使用者受限於停用和啟用用戶端。 UAC 提示需要本機系統管理員認證才能停用和啟用選項。 系統管理員也可以隱藏停用按鈕(請參閱 隱藏或取消隱藏系統匣功能表按鈕)。

停用或啟用用戶端上的私密存取

此登錄值會控制用戶端是否啟用或停用 Private Access。 如果用戶連線到公司網路,他們可以選擇略過全域安全存取並直接存取私人應用程式。

用戶可以透過系統匣功能表停用並啟用 Private Access。

提示

只有在功能表沒有隱藏時,才能使用此選項(請參閱 隱藏或取消隱藏系統匣功能表按鈕),且此租用戶已啟用 Private Access。

系統管理員可以藉由設定登錄機碼來停用或啟用使用者的私用存取:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

類型 資料 描述
使用者是否已停用私人存取 REG_DWORD 0x0 此裝置上已啟用 Private Access。 私人應用程式的網路流量會通過全域安全存取。
用戶是否停用私人訪問 REG_DWORD 0x1 此裝置上已停用 Private Access。 私人應用程式的網路流量會直接流向網路。

螢幕快照顯示註冊表編輯器,並已將 IsPrivateAccessDisabledByUser 註冊表機碼標示出來。

如果登錄值不存在,預設值為 0x0,則會啟用 Private Access。

隱藏或取消隱藏系統匣功能表按鈕

系統管理員可以在客戶端通知區圖示功能表中顯示或隱藏特定按鈕。 在下列登錄鍵下建立值:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

類型 資料 預設行為 描述
隱藏登出按鈕 REG_DWORD 0x0 - 顯示0x1 - 隱藏 隱藏 設定此設定以顯示或隱藏 註銷 動作。 此選項適用於特定案例,當使用者需要以與用來登入 Windows 的使用者不同的 Microsoft Entra 使用者登入客戶端時。 注意:您必須使用與裝置已加入的相同 Microsoft Entra 租戶的使用者登入用戶端。 您也可以使用 註銷 動作來重新驗證現有的使用者。
隱藏禁用私人訪問按鈕 REG_DWORD 0x0 - 顯示0x1 - 隱藏 隱藏 設定此設定以顯示或隱藏 [ 停用私人存取 ] 動作。 此選項適用於裝置直接連線到公司網路的情況,而使用者偏好直接透過網路存取私人應用程式,而不是透過全域安全存取存取。
隱藏禁用按鈕 REG_DWORD 0x0 - 顯示0x1 - 隱藏 顯示 設定此設定以顯示或隱藏 [ 停用 ] 動作。 可見時,使用者可以停用全域安全存取用戶端。 用戶端會保持停用狀態,直到使用者再次啟用為止。 如果隱藏 [ 停用 ] 動作,則非特殊許可權的用戶無法停用用戶端。

顯示註冊表編輯器的螢幕快照,其中已醒目提示 HideSignOutButton 和 HideDisablePrivateAccessButton 登錄機碼。

如需詳細資訊,請參閱 在 Windows 中為進階使用者設定 IPv6 的指引。

相關內容

  • 適用於 macOS 的 Global Secure Access 用戶端
  • 適用於Android 的 全域安全存取用戶端
  • 適用於 iOS 的 全域安全存取用戶端