Share via

Global Secure Access-Client für Windows (Vorschau)

  • Artikel

Erfahren Sie, wie Sie den globalen Secure Access-Client für Windows installieren.

Voraussetzungen

  • Der Global Secure Access-Client wird für 64-Bit-Versionen von Windows 11 oder Windows 10 unterstützt.
    • Azure Virtual Desktop (einzelne Sitzung) wird unterstützt.
    • Azure Virtual Desktop, mehrere Sitzungen, wird nicht unterstützt.
    • Windows 365 wird unterstützt.
  • Geräte müssen entweder in Microsoft Entra oder in Microsoft Entra Hybrid eingebunden sein.
    • Microsoft Entra registrierte Geräte werden nicht unterstützt.
  • Lokale Administratoranmeldeinformationen sind für die Installation erforderlich.
  • Für die Vorschau ist eine Microsoft Entra ID P1-Lizenz erforderlich. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

Bekannte Einschränkungen

  • Mehrere Benutzersitzungen auf demselben Gerät, z. B. über einen Remotedesktopserver (RDP), werden nicht unterstützt.
  • Netzwerke, die ein unverschlüsseltes Portal verwenden, wie z. B. einige drahtlose Gastnetzwerklösungen, können dazu führen, dass die Clientverbindung fehlschlägt. Als Problemumgehung können Sie den Global Secure Access-Client anhalten.
  • VM, auf denen sowohl das Host- als auch das Gastbetriebssystem den Global Secure Access-Client installiert haben, werden nicht unterstützt. Einzelne VM, auf denen der Client installiert ist, werden unterstützt.
  • Der Dienst umgeht den Datenverkehr, wenn der Global Secure Access-Client nicht in der Lage ist, eine Verbindung mit dem Dienst herzustellen (z. B. aufgrund einer fehlgeschlagenen Autorisierung oder eines fehlgeschlagenen bedingten Zugriffs). Der Datenverkehr wird direkt und lokal gesendet, anstatt blockiert zu werden. In diesem Szenario können Sie eine Richtlinie für bedingten Zugriff für die Überprüfung auf Netzwerkkonformität erstellen, um Datenverkehr zu blockieren, wenn der Client keine Verbindung mit dem Dienst herstellen kann.
  • Der Global Secure Access-Client auf der ARM64-Architektur wird noch nicht unterstützt. ARM64 ist jedoch auf der Roadmap.

Es gibt mehrere weitere Einschränkungen, die auf dem verwendeten Datenverkehrsweiterleitungsprofil basieren:

Profil für die Datenverkehrsweiterleitung Einschränkung
Microsoft 365 Das Tunneln von IPv6-Datenverkehr wird derzeit nicht unterstützt.
Microsoft 365 und privater Zugriff Um Netzwerkverkehr auf der Grundlage von FQDN-Regeln (im Weiterleitungsprofil) zu tunneln, muss Domain Name System (DNS) über HTTPS (Secure DNS) deaktiviert werden.
Microsoft 365 und privater Zugriff Wenn das Endbenutzergerät für die Verwendung eines Proxyservers konfiguriert ist, müssen Standorte, die Sie mit dem Global Secure Access Client tunneln möchten, von dieser Konfiguration ausgeschlossen werden. Beispiele finden Sie im Proxykonfigurationsbeispiel.
Privater Zugriff Einzelne Bezeichnungsdomänen wie https://contosohome für private Anwendungen, werden nicht unterstützt. Verwenden Sie stattdessen einen vollqualifizierten Domänennamen (FQDN) wie https://contosohome.contoso.com. Administratoren können auch DNS-Suffixe über Windows anfügen.

Laden Sie den Client herunter.

Die aktuelle Version des Global Secure Access-Clients kann aus dem Microsoft Entra Admin Center heruntergeladen werden.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.

  2. Gehen Sie zu Global Secure Access (Vorschau)>Connect>Client Herunterladen.

  3. Wählen Sie Client herunterladen aus.

    Screenshot: Schaltfläche zum Herunterladen des Windows-Clients

Installieren des Clients

Organisationen können den Client interaktiv installieren, die Installation über die Option /quiet im Hintergrund durchführen oder Plattformen für die Verwaltung mobiler Geräte wie Microsoft Intune für die Bereitstellung auf ihren Geräten verwenden.

  1. Kopieren Sie die Setupdatei des Global Secure Access-Clients auf Ihren Clientcomputer.

  2. Führen Sie die GlobalSecureAccessClient.exe-Setupdatei aus. Akzeptieren Sie die Softwarelizenzbedingungen.

  3. Der Client wird installiert und die Benutzer werden aufgefordert, sich mit ihren Microsoft Entra-Anmeldedaten anzumelden.

    Screenshot: Anmeldefeld nach Abschluss der Clientinstallation

  4. Benutzer melden sich an, und das Verbindungssymbol wird grün. Durch Doppelklicken auf das Verbindungssymbol wird eine Benachrichtigung mit Clientinformationen mit einem verbundenen Zustand geöffnet.

    Screenshot: erfolgreiche Verbindung des Clients

Problembehandlung

Klicken Sie zur Problembehandlung für den Global Secure Access-Client mit der rechten Maustaste auf das Clientsymbol in der Taskleiste.

Screenshot: Kontextmenü des Global Secure Access-Clients

  • Anmelden als anderer Benutzer
    • Erzwingt, dass der Anmeldebildschirm den Benutzer ändert oder den vorhandenen Benutzer erneut authentifiziert.
  • Anhalten
    • Diese Option kann verwendet werden, um das Tunneln von Datenverkehr vorübergehend zu deaktivieren. Da dieser Client Teil des Sicherheitsstatus Ihrer Organisation ist, empfehlen wir, ihn immer auszuführen.
    • Mit dieser Option werden die Windows-Dienste im Zusammenhang mit dem Client beendet. Nach dem Beenden dieser Dienste wird der Datenverkehr vom Clientcomputer zum Clouddienst nicht mehr getunnelt. Solange der Client angehalten ist, verhält Netzwerkdatenverkehr sich so, als wäre der Client nicht installiert. Wenn der Clientcomputer neu gestartet wird, werden die Dienste automatisch ebenfalls neu gestartet.
  • Fortsetzen
    • Mit dieser Option werden die zugrunde liegenden Dienste im Zusammenhang mit dem Global Secure Access-Client gestartet. Diese Option wird verwendet, um den Vorgang fortzusetzen, nachdem der Client zur Problembehandlung vorübergehend angehalten wurde. Der Datenverkehr vom Client zum Clouddienst wird wieder getunnelt.
  • Neu starten
    • Mit dieser Option werden die Windows-Dienste im Zusammenhang mit dem Client beendet und gestartet.
  • Erfassen von Protokollen
    • Sammeln Sie Protokolle für den Support und zur weiteren Problembehandlung. Diese Protokolle werden standardmäßig gesammelt und in C:\Program Files\Global Secure Access Client\Logs gespeichert.
      • Diese Protokolle enthalten Informationen über den Clientcomputer, die zugehörigen Ereignisprotokolle für die Dienste sowie Registrierungswerte, einschließlich der angewendeten Profile für die Datenverkehrsweiterleitung.
  • Clientprüfung
    • Führt ein Skript aus, um Clientkomponenten zu testen und sicherzustellen, dass der Client wie erwartet konfiguriert ist und funktioniert.
  • Die Verbindungsdiagnose bietet eine Liveanzeige des Clientstatus und der Verbindungen, die vom Client durch einen Tunnel an den Global Secure Access-Dienst geleitet werden
    • Das Tab Zusammenfassung enthält allgemeine Informationen zur Clientkonfiguration, einschließlich der verwendeten Richtlinienversion, des Datums und der Uhrzeit der letzten Richtlinienaktualisierung sowie der ID des Mandanten, mit dem der Client konfiguriert wurde.
      • Der Status des Hostnamenabrufs ändert sich in grün, wenn neuer per FQDN erfasster Datenverkehr basierend auf einer Übereinstimmung mit dem Ziel-FQDN in einem Datenverkehrsweiterleitungsprofil erfolgreich getunnelt wird.
    • Flows zeigen eine Liveliste der Verbindungen an, die vom Endbenutzergerät initiiert und vom Client über einen Tunnel zum Global Secure Access-Edge geleitet werden. Jede Verbindung wird in einer neuen Zeile aufgeführt.
      • Der Zeitstempel ist der Zeitpunkt, zu dem die Verbindung zum ersten Mal hergestellt wurde.
      • Vollqualifizierter Domänenname (FQDN) des Verbindungsziels. Wenn die Entscheidung, die Verbindung zu tunneln, basierend auf einer IP-Regel in der Weiterleitungsrichtlinie und nicht durch eine FQDN-Regel getroffen wurde, wird in der FQDN-Spalte „N/V“ angezeigt.
      • Quelle Port des Endbenutzergeräts für diese Verbindung.
      • Ziel-IP ist das Ziel der Verbindung.
      • Als Protokoll wird derzeit nur TCP unterstützt.
      • Prozess Name der Client-API, die die Verbindung initiiert hat.
      • Flow zeigt bei Aktivierung in einem Status an, ob die Verbindung noch geöffnet ist.
      • Gesendete Daten gibt die Anzahl der Bytes an, die vom Endbenutzergerät über die Verbindung gesendet werden.
      • Empfangene Daten gibt die Anzahl der Bytes an, die vom Endbenutzergerät über die Verbindung empfangen werden.
      • Die Korrelations-ID wird für jede Verbindung bereitgestellt, die vom Client getunnelt wird. Diese ID ermöglicht die Ablaufverfolgung der Verbindung in den Clientprotokollen. Die Clientprotokolle bestehen aus Ereignisanzeige, Ereignisablaufverfolgung (ETL) und den Global Secure Access-Datenverkehrsprotokollen.
      • Die Flow-ID ist die interne ID der Verbindung, die von dem in der ETL-Datei angezeigten Client verwendet wird.
      • Der Kanalname gibt das Profil für die Datenverkehrsweiterleitung an, mit dem die Verbindung getunnelt wird. Diese Entscheidung wird nach den Regeln im Weiterleitungsprofil getroffen.
    • HostNameAcquisition stellt eine Liste der Hostnamen bereit, die der Client basierend auf den FQDN-Regeln im Weiterleitungsprofil abgerufen hat. Jeder Hostname wird in einer neuen Zeile angezeigt. Durch den zukünftigen Abruf desselben Hostnamens wird eine weitere Zeile erstellt, wenn DNS den Hostnamen (FQDN) in eine andere IP-Adresse auflöst.
      • Der Zeitstempel ist der Zeitpunkt, zu dem die Verbindung zum ersten Mal hergestellt wurde.
      • FQDN, der aufgelöst wird.
      • Generierte IP-Adresse ist eine IP-Adresse, die vom Client für interne Zwecke generiert wird. Diese IP-Adresse wird im Tab „Flows“ für Verbindungen angezeigt, die mit dem relativen FQDN hergestellt werden.
      • Ursprüngliche IP-Adresse ist die erste IPv4-Adresse in der DNS-Antwort, wenn der FQDN abgefragt wird. Wenn der DNS-Server, auf den das Endbenutzergerät verweist, keine IPv4-Adresse für die Abfrage zurückgibt, wird als ursprüngliche IP-Adresse 0.0.0.0 angezeigt.
    • Dienste zeigt den Status der Windows-Dienste im Zusammenhang mit dem Global Secure Access-Client an. Dienste, die gestartet wurden, haben ein grünes Statussymbol. Dienste, die beendet wurden, zeigen ein rotes Statussymbol an. Alle drei Windows-Dienste müssen gestartet werden, damit der Client funktioniert.
    • Kanäle listen die dem Client zugewiesenen Datenverkehrsweiterleitungsprofile und den Status der Verbindung mit dem Global Secure Access-Edge auf.

Ereignisprotokolle

Ereignisprotokolle im Zusammenhang mit dem Global Secure Access-Client finden Sie in der Ereignisanzeige unter Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational. Diese Ereignisse bieten nützliche Details zum Status, zu den Richtlinien und zu den vom Client hergestellten Verbindungen.

Deaktivieren von IPv6 und Secure DNS

Wenn Sie Unterstützung beim Deaktivieren von IPv6 oder Secure DNS auf den Windows-Geräten benötigen, mit denen Sie die Vorschau testen, verwenden Sie das folgende Skript.

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

Beispiel für die Proxykonfiguration

Beispiel für eine Proxy-PAC-Datei mit Ausschlüssen:

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||
      dnsDomainIs(host, ".contoso.com") || //tunneled
      dnsDomainIs(host, ".fabrikam.com"))  // tunneled
      return "DIRECT";                     // If true, sets "DIRECT" connection
      else                                 // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

Organisationen müssen dann eine Systemvariable namens grpc_proxy mit einem Wert wie http://10.1.0.10:8080 erstellen, welcher der Konfiguration Ihres Proxyservers auf Endbenutzercomputern entspricht, damit die Global Secure Access-Clientdienste den Proxy durch folgende Konfigurationen verwenden können.

Nutzungsbedingungen

Ihre Verwendung der Vorschauumgebungen und Features von Microsoft Entra-Privatzugriff und Microsoft Entra-Internetzugriff unterliegt den Bestimmungen für Onlinedienste (Vorschau), unter denen Sie die Dienste erworben haben. Vorschauversionen unterliegen möglicherweise eingeschränkten oder abweichenden Sicherheits-, Compliance- und Datenschutzverpflichtungen, wie in Allgemeine Lizenzbedingungen für Onlinedienste und im Nachtrag zum Datenschutz in Verbindung mit Produkten und Diensten von Microsoft sowie allen anderen mit der Vorschau bereitgestellten Hinweisen näher erläutert.

Nächste Schritte

Der nächste Schritt zum Einstieg in Microsoft Entra Internet Access besteht darin, universelle Mandanteneinschränkungen zu aktivieren.