Cliente de Acesso Seguro Global para Windows

  • Artigo

O cliente Global Secure Access, um componente essencial do Global Secure Access, ajuda as organizações a gerenciar e proteger o tráfego de rede em dispositivos de usuários finais. O principal papel do cliente é rotear o tráfego que precisa ser protegido pelo Global Secure Access para o serviço de nuvem. Todo o restante tráfego vai diretamente para a rede. Os Perfis de Encaminhamento, configurados no portal, determinam qual tráfego o cliente Global Secure Access encaminha para o serviço de nuvem.

Este artigo descreve como baixar e instalar o cliente Global Secure Access para Windows.

Pré-requisitos

  • Um locatário do Entra integrado ao Global Secure Access.
  • Um dispositivo gerenciado associado ao locatário integrado. O dispositivo deve ser associado ao Microsoft Entra ou híbrido do Microsoft Entra.
    • Os dispositivos registados do Microsoft Entra não são suportados.
  • O cliente Global Secure Access requer versões de 64 bits do Windows 10 ou Windows 11.
    • A sessão única do Ambiente de Trabalho Virtual do Azure é suportada.
    • Não há suporte para várias sessões da Área de Trabalho Virtual do Azure.
    • O Windows 365 é suportado.
  • As credenciais de administrador local são necessárias para instalar ou atualizar o cliente.
  • O cliente Global Secure Access requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é o Acesso Seguro Global. Se necessário, você pode comprar licenças ou obter licenças de avaliação.

Transferir o cliente

A versão mais recente do cliente Global Secure Access está disponível para download no centro de administração do Microsoft Entra.

  1. Entre no centro de administração do Microsoft Entra como um Administrador de Acesso Seguro Global.
  2. Navegue até Download do Global Secure Access>Connect>Client.
  3. Selecione Download Client. Captura de ecrã do ecrã de transferência do Cliente com o botão Transferir Cliente realçado.

Instalar o cliente Global Secure Access

Instalação automatizada

As organizações podem instalar o cliente Global Secure Access silenciosamente com o /quiet switch ou usar soluções de Gerenciamento de Dispositivo Móvel (MDM), como o Microsoft Intune , para implantar o cliente em seus dispositivos.

Instalação manual

Para instalar manualmente o cliente Global Secure Access:

  1. Execute o GlobalSecureAccessClient.exe arquivo de instalação. Aceite os termos de licença de software.
  2. O cliente instala e silenciosamente inicia sessão com as suas credenciais do Microsoft Entra. Se a entrada silenciosa falhar, o instalador solicitará que você entre manualmente.
  3. Inicie sessão. O ícone de conexão fica verde.
  4. Passe o cursor sobre o ícone de conexão para abrir a notificação de status do cliente, que deve ser exibida como Conectado.
    Captura de tela mostrando que o cliente está conectado.

Ações do cliente

Para visualizar as ações disponíveis do menu do cliente, clique com o botão direito do mouse no ícone da bandeja do sistema Global Secure Access. Captura de tela mostrando a lista completa de ações do cliente Global Secure Access.

Gorjeta

As ações do menu do cliente Global Secure Access variam de acordo com a configuração das chaves do Registro do cliente.

Ação Descrição
Sair Oculto por padrão. Use a ação Sair quando precisar entrar no cliente de Acesso Seguro Global com um usuário do Entra diferente daquele usado para entrar no Windows. Para disponibilizar essa ação, atualize as chaves de registro do cliente apropriadas.
Colocar em pausa Selecione a ação Pausar para pausar temporariamente o cliente. O cliente permanece pausado até que você retome o cliente ou reinicie a máquina.
Retomar Retoma o cliente pausado.
Desativar acesso privado Oculto por padrão. Use a ação Desabilitar Acesso Privado quando desejar ignorar o Acesso Seguro Global sempre que conectar seu dispositivo diretamente à rede corporativa para acessar aplicativos privados diretamente pela rede, em vez de por meio do Acesso Seguro Global. Para disponibilizar essa ação, atualize as chaves de registro do cliente apropriadas.
Recolher registos Selecione esta ação para coletar logs do cliente (informações sobre a máquina cliente, os logs de eventos relacionados para os serviços e valores do Registro) e arquivá-los em um arquivo zip para compartilhar com o Suporte da Microsoft para investigação. O local padrão para os logs é C:\Program Files\Global Secure Access Client\Logs.
Diagnósticos avançados Selecione esta ação para iniciar o utilitário de diagnóstico avançado e acessar uma variedade de ferramentas de solução de problemas .

Indicadores de status do cliente

Notificação de status

Clique duas vezes no ícone Global Secure Access para abrir a notificação de status do cliente e exibir o status de cada canal configurado para o cliente.
Captura de tela mostrando que o status do cliente está conectado.

Status do cliente no ícone da bandeja do sistema

Ícone Mensagem Description
Cliente de Acesso Seguro Global O cliente está inicializando e verificando sua conexão com o Global Secure Access.
Cliente Global Secure Access - Conectado O cliente está conectado ao Global Secure Access.
Cliente Global Secure Access - Desativado O cliente está desativado porque os serviços estão offline ou o usuário desabilitou o cliente.
Cliente Global Secure Access - Desconectado O cliente não conseguiu se conectar ao Global Secure Access.
Global Secure Access Client - Alguns canais estão inacessíveis O cliente está parcialmente conectado ao Global Secure Access (ou seja, a conexão com pelo menos um canal falhou: Entra, Microsoft 365, Private Access, Internet Access).
Global Secure Access Client - Desativado pela sua organização Sua organização desabilitou o cliente (ou seja, todos os perfis de encaminhamento de tráfego estão desabilitados).
Acesso Seguro Global - O Acesso Privado está desativado O utilizador desativou o Acesso Privado neste dispositivo.
Acesso Seguro Global - não foi possível conectar-se à Internet O cliente não conseguiu detetar uma conexão com a Internet. O dispositivo está ligado a uma rede que não tem uma ligação à Internet ou a uma rede que requer início de sessão cativo no portal.

Limitações conhecidas

As limitações conhecidas para a versão atual do cliente Global Secure Access incluem:

Sistema de Nomes de Domínio Seguro (DNS)

Atualmente, o cliente Global Secure Access não oferece suporte a DNS seguro em suas diferentes versões, como DNS sobre HTTPS (DoH), DNS sobre TLS (DoT) ou DNS Security Extensions (DNSSEC). Para configurar o cliente para que ele possa adquirir tráfego de rede, você deve desativar o DNS seguro. Para desativar o DNS seguro no navegador, consulte DNS seguro desativado em navegadores.

DNS sobre TCP

O DNS usa a porta 53 UDP para resolução de nomes. Alguns navegadores têm seu próprio cliente DNS que também suporta a porta 53 TCP. Atualmente, o cliente Global Secure Access não suporta a porta DNS 53 TCP. Como atenuação, desative o cliente DNS do navegador definindo os seguintes valores do Registro:

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
  • Chrome
    [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    Adicione também navegação chrome://flags e desative o Async DNS resolver.

IPv6 não suportado

O cliente encapsula apenas o tráfego IPv4. O tráfego IPv6 não é adquirido pelo cliente e, portanto, é transferido diretamente para a rede. Para permitir que todo o tráfego relevante seja encapsulado, defina as propriedades do adaptador de rede como IPv4 preferencial.

Fallback de conexão

Se houver um erro de conexão com o serviço de nuvem, o cliente retornará à conexão direta com a Internet ou bloqueará a conexão, com base no valor de proteção da regra correspondente no perfil de encaminhamento.

Geolocalização

Para o tráfego de rede encapsulado para o serviço de nuvem, o servidor de aplicativos (site) deteta o IP de origem da conexão como o endereço IP da borda (e não como o endereço IP do dispositivo do usuário). Esse cenário pode afetar os serviços que dependem da geolocalização.

Gorjeta

Para que o Office 365 e o Entra detetem o IP de origem verdadeiro do dispositivo, considere habilitar a restauração do IP de origem.

Suporte à virtualização

Não é possível instalar o cliente Global Secure Access em um dispositivo que hospeda máquinas virtuais. No entanto, você pode instalar o cliente Global Secure Access em uma máquina virtual, desde que o cliente não esteja instalado na máquina host. Pela mesma razão, um Subsistema Windows para Linux (WSL) não adquire tráfego de um cliente instalado na máquina host.

Proxy

Se um proxy estiver configurado no nível do aplicativo (como um navegador) ou no nível do sistema operacional, configure um arquivo de configuração automática de proxy (PAC) para excluir todos os FQDNs e IPs que você espera que o cliente túnel.

Para evitar que solicitações HTTP para FQDNs/IPs específicos sejam encapsuladas no proxy, adicione os FQDNs/IPs ao arquivo PAC como exceções. (Esses FQDNs/IPs estão no perfil de encaminhamento do Global Secure Access para tunelamento). Por exemplo:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Se não for possível uma conexão direta com a Internet, configure o cliente para se conectar ao serviço Global Secure Access por meio de um proxy. Por exemplo, defina a grpc_proxy variável de sistema para corresponder ao valor do proxy, como http://proxy:8080.

Para aplicar as alterações de configuração, reinicie os serviços do Windows do cliente Global Secure Access.

Injeção de pacotes

O cliente apenas túneis tráfego enviado usando soquetes. Ele não encapsula o tráfego injetado na pilha de rede usando um driver (por exemplo, parte do tráfego gerado pelo Network Mapper (Nmap)). Os pacotes injetados vão diretamente para a rede.

Múltiplas sessões

O cliente Global Secure Access não suporta sessões simultâneas na mesma máquina. Esta limitação aplica-se a servidores RDP e soluções VDI como o Azure Virtual Desktop (AVD) que estão configurados para várias sessões.

Braço64

O cliente Global Secure Access não suporta a arquitetura Arm64.

QUIC não suportado para acesso à Internet

Como o QUIC ainda não é suportado para acesso à Internet, o tráfego para as portas 80 UDP e 443 UDP não pode ser encapsulado.

Gorjeta

Atualmente, o QUIC é suportado em cargas de trabalho do Private Access e do Microsoft 365.

Os administradores podem desativar o protocolo QUIC acionando os clientes para recorrer a HTTPS sobre TCP, que é totalmente suportado no Acesso à Internet. Para obter mais informações, consulte QUIC não suportado para acesso à Internet.

Resolução de Problemas

Para solucionar problemas do cliente Global Secure Access, clique com o botão direito do mouse no ícone do cliente na barra de tarefas e selecione uma das opções de solução de problemas: Coletar logs ou Diagnóstico avançado.

Gorjeta

Os administradores podem modificar as opções do menu do cliente Global Secure Access revisando as chaves do Registro do cliente.

Para obter informações mais detalhadas sobre como solucionar problemas do cliente Global Secure Access, consulte os seguintes artigos:

Chaves de registo do cliente

O cliente Global Secure Access usa chaves de registro específicas para habilitar ou desabilitar diferentes funcionalidades. Os administradores podem utilizar soluções de Gestão de Dispositivos Móveis (MDM), como o Microsoft Intune ou a Política de Grupo, para controlar os valores de registo.

Atenção

Não altere outros valores do Registro, a menos que instruído pelo Suporte da Microsoft.

Desativar ou ativar o Acesso Privado no cliente

Esse valor do Registro controla se o Acesso Privado está habilitado ou desabilitado para o cliente. Se um usuário estiver conectado à rede corporativa, ele poderá optar por ignorar o Acesso Seguro Global e acessar diretamente aplicativos privados.

Os usuários podem desativar e ativar o Acesso Privado através do menu da bandeja do sistema.

Gorjeta

Esta opção só estará disponível no menu se não estiver oculta (consulte Ocultar ou reexibir botões de menu da bandeja do sistema) e o Acesso Privado estiver habilitado para esse locatário.

Os administradores podem desativar ou habilitar o Acesso Privado para o usuário definindo a chave do Registro:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Value Type Dados Description
IsPrivateAccessDisabledByUser REG_DWORD 0x0 O Acesso Privado está ativado neste dispositivo. O tráfego de rede para aplicações privadas passa pelo Global Secure Access.
IsPrivateAccessDisabledByUser REG_DWORD 0x1 O Acesso Privado está desativado neste dispositivo. O tráfego de rede para aplicações privadas vai diretamente para a rede.

Captura de ecrã a mostrar o Editor de registo com a chave de registo IsPrivateAccessDisabledByUser realçada.

Se o valor do Registro não existir, o valor padrão será 0x0, o Acesso Privado estará habilitado.

Ocultar ou reexibir botões de menu da bandeja do sistema

O administrador pode mostrar ou ocultar botões específicos no menu de ícones da bandeja do sistema do cliente. Crie os valores sob a seguinte chave do Registro:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Value Type Dados Comportamento predefinido Description
Botão HideSignOutButton REG_DWORD 0x0 - mostrado 0x1 - hidden oculta Configure essa configuração para mostrar ou ocultar a ação Sair . Esta opção destina-se a cenários específicos em que um utilizador precisa de iniciar sessão no cliente com um utilizador Entra diferente daquele utilizado para iniciar sessão no Windows. Nota: Você deve entrar no cliente com um usuário no mesmo locatário do Entra ao qual o dispositivo está associado. Você também pode usar a ação Sair para autenticar novamente o usuário existente.
HideDisablePrivateAccessButton REG_DWORD 0x0 - mostrado 0x1 - hidden oculta Configure essa configuração para mostrar ou ocultar a ação Desabilitar Acesso Privado. Esta opção é para um cenário em que o dispositivo está diretamente conectado à rede corporativa e o usuário prefere acessar aplicativos privados diretamente pela rede em vez de através do Acesso Seguro Global.

Captura de ecrã a mostrar o Editor de registo com as chaves de registo HideSignOutButton e HideDisablePrivateAccessButton realçadas.

Para obter mais informações, consulte Orientação para configurar o IPv6 no Windows para usuários avançados.