Установка клиента глобального безопасного доступа для Windows

Клиент глобального безопасного доступа является важной частью глобального безопасного доступа. Она помогает организациям управлять сетевым трафиком на устройствах пользователей и защищать их. Клиент направляет трафик, который необходимо защитить с помощью глобального безопасного доступа к облачной службе. Весь остальной трафик передается непосредственно в сеть. Профили пересылки, настроенные на портале, определяют, какой трафик направляет клиент Global Secure Access в облачную службу.

В этой статье описывается, как скачать и установить клиент Глобального безопасного доступа для Windows. Клиент Global Secure Access также доступен для macOS, Android и iOS.

Предварительные условия

• Клиент Microsoft Entra, подключенный к глобальному безопасному доступу.

• Устройство, присоединенное к или зарегистрированное (предварительная версия) в подключенном клиенте:

  • Устройство должно быть присоединено к Microsoft Entra, быть в составе гибридного членства Microsoft Entra или зарегистрировано в Microsoft Entra. Дополнительные сведения см. в обзоре клиента Global Secure Access.
  • Если устройство не присоединено или не зарегистрировано, клиент Global Secure Access регистрирует его в арендаторе при входе пользователя.
  • Если устройство не присоединено и имеет несколько регистраций, войдите с помощью Microsoft Entra пользователя клиента, к которому должен подключаться глобальный безопасный доступ.
  • На зарегистрированных устройствах Microsoft Entra поддерживается только частный трафик доступа.

• 64-разрядная версия Windows 10 (LTSC 2021 или более поздней), Windows 11 или версия Arm64 Windows 11:

  • Поддерживается односеансовая конфигурация Виртуальный рабочий стол Azure.
  • Виртуальный рабочий стол Azure с многосеансовостью не поддерживается.
  • поддерживается Windows 365.
  • Windows на устройствах Arm (например, Surface Pro и Surface Laptop с процессорами Snapdragon) требуется отдельный установщик клиента. Не используйте стандартный установщик x64 на устройствах Arm64.

• Учетные данные локального администратора для установки или обновления клиента глобального безопасного доступа.

• Лицензия. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ?". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Скачайте клиент.

Последняя версия клиента Глобального безопасного доступа доступна для скачивания из Центр администрирования Microsoft Entra:

1. Войдите в Центр администрирования Microsoft Entra как администратор Global Secure Access Administrator.

2. Перейдите к Global Secure Access>Connect>загрузке клиента.

3. Выберите " Скачать клиент".

   

Установка клиента

Автоматическая установка

Организации могут автоматически установить клиент Глобального безопасного доступа с помощью коммутатора /quiet . Кроме того, они могут использовать решения для управления мобильными устройствами (MDM), например Microsoft Intune для развертывания клиента на своих устройствах.

Развертывание клиента глобального безопасного доступа с помощью Microsoft Intune

В этом разделе объясняется, как использовать Intune для установки клиента Глобального безопасного доступа на Windows 11 клиентском устройстве.

Предварительные условия

• Группа безопасности с устройствами или пользователями, предназначенная для определения мест установки клиента системы Глобального безопасного доступа.

Подготовка клиентского пакета

Упаковайте скрипт установки в .intunewin файл:

1. Сохраните следующий скрипт PowerShell на устройстве. Поместите сценарий PowerShell и установщик глобального безопасного доступа .exe в папку.

   Скрипт установки PowerShell устанавливает клиент Глобального безопасного доступа, настраивает IPv4Preferred раздел реестра для предпочтения трафика IPv4 над IPv6, и запрашивает перезагрузку, чтобы изменения в реестре вступили в силу.

   Примечание.

   Имя .exe файла должно быть GlobalSecureAccessClient.exe для правильной работы скрипта установки PowerShell. Если имя .exe файла изменится на другое, необходимо также изменить $installerPath в скрипте PowerShell.

   # Create log directory and log helper
   $logFile = "$env:ProgramData\GSAInstall\install.log"
   New-Item -ItemType Directory -Path (Split-Path $logFile) -Force | Out-Null
   
   function Write-Log {
       param([string]$message)
       $timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
       Add-Content -Path $logFile -Value "$timestamp - $message"
   }
   
   try {
       $ErrorActionPreference = 'Stop'
       Write-Log "Starting Global Secure Access client installation."
   
       # IPv4 preferred via DisabledComponents registry value
       $ipv4RegPath    = "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters"
       $ipv4RegName    = "DisabledComponents"
       $ipv4RegValue   = 0x20  # Prefer IPv4 over IPv6
       $rebootRequired = $false
   
       # Ensure the key exists
       if (-not (Test-Path $ipv4RegPath)) {
           New-Item -Path $ipv4RegPath -Force | Out-Null
           Write-Log "Created registry key: $ipv4RegPath"
       }
   
       # Get current value if present
       $existingValue = $null
       $valueExists = $false
       try {
           $existingValue = Get-ItemPropertyValue -Path $ipv4RegPath -Name $ipv4RegName -ErrorAction Stop
           $valueExists = $true
       } catch {
           $valueExists = $false
       }
   
       # Determine if we must change it
       $expected = [int]$ipv4RegValue
       $needsChange = -not $valueExists -or ([int]$existingValue -ne $expected)
   
       if ($needsChange) {
           if (-not $valueExists) {
               # Create as DWORD when missing
               New-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -PropertyType DWord -Value $expected -Force | Out-Null
               Write-Log ("IPv4Preferred value missing. Created '{0}' with value 0x{1} (dec {2})." -f $ipv4RegName, ([Convert]::ToString($expected,16)), $expected)
           } else {
               # Update if different
               Set-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -Value $expected
               Write-Log ("IPv4Preferred value differed. Updated '{0}' from 0x{1} (dec {2}) to 0x{3} (dec {4})." -f `
                   $ipv4RegName, ([Convert]::ToString([int]$existingValue,16)), [int]$existingValue, ([Convert]::ToString($expected,16)), $expected)
           }
           $rebootRequired = $true
       } else {
           Write-Log ("IPv4Preferred already set correctly: {0}=0x{1} (dec {2}). No change." -f `
               $ipv4RegName, ([Convert]::ToString($expected,16)), $expected)
       }
   
       # Resolve installer path
       $ScriptRoot = if ($PSScriptRoot) { $PSScriptRoot } else { Split-Path -Parent $MyInvocation.MyCommand.Path }
       $installerPath = Join-Path -Path $ScriptRoot -ChildPath "GlobalSecureAccessClient.exe"
       Write-Log "Running installer from $installerPath"
   
       if (Test-Path $installerPath) {
           $installProcess = Start-Process -FilePath $installerPath -ArgumentList "/quiet" -Wait -PassThru
   
           if ($installProcess.ExitCode -eq 1618) {
               Write-Log "Another installation is in progress. Exiting with code 1618."
               exit 1618
           } elseif ($installProcess.ExitCode -ne 0) {
               Write-Log "Installer exited with code $($installProcess.ExitCode)."
               exit $installProcess.ExitCode
           }
   
           Write-Log "Installer completed successfully."
       } else {
           Write-Log "Installer not found at $installerPath"
           exit 1
       }
   
       if ($rebootRequired) {
           Write-Log "Reboot required due to registry value creation or update."
           exit 3010  # Soft reboot required
       } else {
           Write-Log "Installation complete. No reboot required."
           exit 0
       }
   }
   catch {
       Write-Log "Fatal error: $_"
       exit 1603
   }
   

2. Перейдите к средству подготовки содержимого Майкрософт Win32. Выберите параметр IntuneWinAppUtil.exe.

   

3. В правом верхнем углу выберите Дополнительно с файлами>Скачать.

   

4. Перейдите к файлу и выполните команду IntuneWinAppUtil.exe. Откроется командная строка.

5. Введите путь к папке файла глобального безопасного доступа .exe. Выберите , введите.

6. Введите имя файла установки глобального безопасного доступа .ps1. Выберите , введите.

7. Введите путь к папке, в которой будет размещаться файл .intunewin. Выберите , введите.

8. Введите N. Выберите Введите.

   

Файл .intunewin готов к развертыванию Microsoft Intune.

Развертывание клиента

Подробные инструкции см. в статье "Добавление приложения Win32 в Intune".

1. Перейдите в Центр администрирования Intune.

2. Выберите Приложения>Все приложения>Добавить.

3. В Select app type в разделе Типы приложений выберите Windows app (Win32).

4. Нажмите кнопку "Выбрать". На экране отобразятся шаги для добавления приложения.

5. Выберите Выбрать файл пакета приложения.

6. Выберите значок папки. .intunewin Откройте файл, созданный в предыдущем разделе.

   

7. Нажмите ОК.

8. На вкладке сведений о приложении настройте следующие значения:

   • Имя: Введите название клиентского приложения.
   • Описание: введите описание.
   • Publisher: введите Майкрософт.
   • версии приложения(необязательно): введите версию клиента.

9. Используйте значения по умолчанию для остальных параметров.

   

10. Выберите Далее.

11. На вкладке "Программа" настройте следующие значения:

    • команда установки: используйте исходное имя файла .ps1 для powershell.exe -ExecutionPolicy Bypass -File OriginalNameOfFile.ps1.

    • Команда удаления: Введите "GlobalSecureAccessClient.exe" /uninstall /quiet /norestart.

    • Разрешить доступное удаление: Выберите Нет.

    • поведение установки: выберите Система.

    • поведение перезапуска устройства: выберите определить поведение на основе кодов возврата. Укажите следующие коды возврата.

      Код возврата	Тип кода
      0	Успех
      3010	Мягкая перезагрузка
      1618	Повторить попытку

    

12. Выберите Далее.

13. На вкладке "Требования" настройте следующие значения:

    • Проверьте архитектуру операционной системы: нажмите кнопку "Да". Укажите системы, в которые можно установить приложение. Затем выберите "Установить" в соответствии с типом системы, в который выполняется развертывание.
    • минимальная операционная система: выберите минимальные требования.

14. Оставьте оставшиеся поля пустыми.

    

    Примечание.

    Windows на устройствах Arm имеют собственный клиент, который доступен по адресу aka.ms/GlobalSecureAccess-WindowsOnArm.

15. Выберите Далее.

16. На вкладке "Правила обнаружения " в формате "Правила" выберите " Вручную настроить правила обнаружения".

17. Выберите Добавить.

18. Для типа правила выберите "Файл".

19. Настройте следующие значения:

    • Путь: Введите C:\Program Files\Global Secure Access Client\TrayApp.
    • файл или папка: введите GlobalSecureAccessClient.exe.
    • метод обнаружения: выберите String (версия).
    • оператор: выберите больше или равно.
    • значение: введите номер версии клиента.
    • Связанное с 32-разрядным приложением на 64-разрядном клиентском: Выберите Нет.

    

20. Нажмите ОК. Затем выберите Далее.

21. Нажмите кнопку "Далее" дважды, чтобы перейти к Назначения.

22. В разделе Обязательныйвыберите +Добавить группу. Выберите группу пользователей или устройств и нажмите кнопку "Выбрать".

23. Установите "Перезапуск льготного периода" в Включено, чтобы избежать неудобств для пользователей из-за внезапной перезагрузки устройства.

    

24. Выберите Далее. Затем выберите Создать.

Обновление версии клиента

Чтобы обновиться до последней версии клиента, следуйте шагам из раздела Обновление бизнес-приложения. Не забудьте обновить следующие параметры, помимо отправки нового файла .intunewin:

• Версия клиента
• Значение правила обнаружения, заданное для нового номера версии клиента

В рабочей среде рекомендуется развернуть новые клиентские версии в поэтапном подходе к развертыванию:

1. Оставьте существующее приложение на месте.

2. Добавьте новое приложение для новой версии клиента, повторив предыдущие шаги.

3. Назначьте новое приложение небольшой группе пользователей, чтобы пилотировать новую версию клиента. Можно назначить этих пользователей приложению с использованием старой версии клиента для локального обновления.

4. Медленно увеличьте членство в пилотной группе, пока не развернете новый клиент на всех нужных устройствах.

5. Удалите приложение со старой версией клиента.

Настройка параметров клиента глобального безопасного доступа с помощью Intune

Администраторы могут использовать скрипты исправления в Intune для принудительного применения клиентских элементов управления, таких как запрет общим пользователям отключать клиент или скрывать определенные кнопки.

Обязательно настройте эти скрипты для запуска в 64-разрядной версии PowerShell.

Выберите скрипты PowerShell, чтобы развернуть их.

# Check Global Secure Access registry keys 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 

} 

$nonCompliant = $false 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

$currentValue = (Get-ItemProperty -Path $gsaPath -Name $setting.Key -ErrorAction SilentlyContinue).$($setting.Key) 
 
if ($currentValue -ne $setting.Value) { 
 
    Write-Output "Non-compliant: $($setting.Key) is $currentValue, expected $($setting.Value)" 
 
    $nonCompliant = $true 
 
} 
  

} 

if (-not $nonCompliant) { 

Write-Output "Compliant" 
 
exit 0 
  

} else { 

Write-Output "Non-compliant" 
 
exit 1 
 

} 

# Ensure Global Secure Access registry keys are present 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 
  

} 

if (-Not (Test-Path $gsaPath)) { 

New-Item -Path $gsaPath -Force | Out-Null 
  

} 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

Set-ItemProperty -Path $gsaPath -Name $setting.Key -Value $setting.Value -Type DWord -Force | Out-Null 
 
Write-Output "Set $($setting.Key) to $($setting.Value)" 
  

}

Настройка параметров для Интернет-доступ Microsoft Entra с помощью Intune

Интернет-доступ Microsoft Entra не поддерживает DNS по протоколу HTTPS или быстрому интернет-подключению UDP (QUIC). Чтобы устранить это ограничение, отключите эти протоколы в браузерах пользователей. Ниже приведены инструкции по применению этих элементов управления с помощью Intune.

Отключение QUIC в Microsoft Edge и Chrome с помощью Intune

1. В центре администрирования Microsoft Intune выберите Devices>Manage devices>Configuration.

2. На вкладке "Политики" выберите +Создать>+ Создать политику.

3. В диалоговом окне создания профиля :

   • Задайте для Platform значение Windows 10 и более поздних версий.
   • Установите тип профиля на каталог параметров.
   • Выберите Создать. Откроется форма создания профиля .

4. На вкладке "Основные сведения" укажите имя и описание профиля.

5. Выберите Далее.

6. На вкладке "Параметры конфигурации ":

   1. Выберите и добавьте параметры.
   2. В средство выбора параметров найдите QUIC.
   3. Из результатов поиска:
      1. Выберите Microsoft Edge и выберите протокол Allow QUIC.
      2. Выберите Google Chrome, а затем выберите настройку Allow QUIC protocol.
   4. В панель настроек найдите DNS-over-HTTPS.
   5. Из результатов поиска:
      1. Выберите Microsoft Edge, а затем выберите параметр Управление режимом DNS-over-HTTPS.
      2. Выберите Google Chrome и выберите режим управления режимом DNS-over-HTTPS .
   6. Закройте средство выбора параметров.

7. Для Google Chrome установите для обоих переключателей значение "Отключено".

8. Для Microsoft Edge установите для обоих переключателей значение Disabled.

   

9. Дважды нажмите кнопку "Далее ".

10. На вкладке "Назначения" :

    1. Выберите "Добавить группы".
    2. Выберите группу пользователей или устройств, чтобы назначить политику.
    3. Выберите Выбрать.

11. Выберите Далее.

12. На вкладке Проверить и создать выберите Создать.

Настройка параметров браузера Firefox

Администраторы могут использовать скрипты исправления в Intune для отключения DNS по протоколам HTTPS и QUIC в браузере Firefox.

Обязательно настройте эти скрипты для запуска в 64-разрядной версии PowerShell.

Выберите скрипты PowerShell, чтобы развернуть их.

# Define the path to the Firefox policies.json file 

$destination = "C:\Program Files\Mozilla Firefox\distribution\policies.json" $compliant = $false 

# Check if the file exists 

if (Test-Path $destination) { try { # Read the file content $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { # Parse JSON content $json = $fileContent | ConvertFrom-Json 

       # Check if Preferences exist under policies 
        if ($json.policies -and $json.policies.Preferences) { 
            $prefs = $json.policies.Preferences 
 
            # Convert Preferences to hashtable if needed 
            if ($prefs -isnot [hashtable]) { 
                $temp = @{} 
                $prefs.psobject.Properties | ForEach-Object { 
                    $temp[$_.Name] = $_.Value 
                } 
                $prefs = $temp 
            } 
 
            # Initialize compliance flags 
            $quicCompliant = $false 
            $dohCompliant = $false 
 
            # Check if QUIC is disabled and locked 
            if ($prefs.ContainsKey("network.http.http3.enable")) { 
                $val = $prefs["network.http.http3.enable"] 
                if ($val.Value -eq $false -and $val.Status -eq "locked") { 
                    $quicCompliant = $true 
                } 
            } 
 
            # Check if DNS over HTTPS is disabled and locked 
            if ($prefs.ContainsKey("network.trr.mode")) { 
                $val = $prefs["network.trr.mode"] 
                if ($val.Value -eq 0 -and $val.Status -eq "locked") { 
                    $dohCompliant = $true 
                } 
            } 
 
            # Set overall compliance if both settings are correct 
            if ($quicCompliant -and $dohCompliant) { 
                $compliant = $true 
            } 
        } 
    } 
} catch { 
    Write-Warning "Failed to parse policies.json: $_" 
} 
  

} 

# Output compliance result 

if ($compliant) { Write-Output "Compliant" Exit 0 } else { Write-Output "Non-compliant" Exit 1 } 

# Define paths 

$distributionDir = "C:\Program Files\Mozilla Firefox\distribution" $destination = Join-Path $distributionDir "policies.json" $backup = "$destination.bak" 

# Initialize variable for existing JSON 

$existingJson = $null 

# Try to read and parse existing policies.json 

if (Test-Path $destination) { $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { try { $existingJson = $fileContent | ConvertFrom-Json } catch { Write-Warning "Existing policies.json is malformed. Starting fresh." } } } 

#Create a new JSON structure if none exists 

if (-not $existingJson) { $existingJson = [PSCustomObject]@{ policies = [PSCustomObject]@{ Preferences = @{} } } } 

# Ensure policies and Preferences nodes exist 

if (-not $existingJson.policies) { $existingJson | Add-Member -MemberType NoteProperty -Name policies -Value ([PSCustomObject]@{}) } if (-not $existingJson.policies.Preferences) { $existingJson.policies | Add-Member -MemberType NoteProperty -Name Preferences -Value @{} } 

# Convert Preferences to hashtable if needed 

if ($existingJson.policies.Preferences -isnot [hashtable]) { $prefs = @{} $existingJson.policies.Preferences.psobject.Properties | ForEach-Object { $prefs[$.Name] = $.Value } $existingJson.policies.Preferences = $prefs } 

$prefObj = $existingJson.policies.Preferences $updated = $false 

# Ensure QUIC is disabled and locked

if (-not $prefObj.ContainsKey("network.http.http3.enable") -or $prefObj["network.http.http3.enable"].Value -ne $false -or $prefObj["network.http.http3.enable"].Status -ne "locked") { 

$prefObj["network.http.http3.enable"] = @{ 
    Value = $false 
    Status = "locked" 
} 
$updated = $true 
  

} 

# Ensure DNS over HTTPS is disabled and locked 

if (-not $prefObj.ContainsKey("network.trr.mode") -or $prefObj["network.trr.mode"].Value -ne 0 -or $prefObj["network.trr.mode"].Status -ne "locked") { 

$prefObj["network.trr.mode"] = @{ 
    Value = 0 
    Status = "locked" 
} 
$updated = $true 
} 

# If any updates were made, back up and write the new JSON 

if ($updated) { if (Test-Path $destination) { Copy-Item $destination $backup -Force } 

$jsonOut = $existingJson | ConvertTo-Json -Depth 10 -Compress 
$utf8NoBomEncoding = New-Object System.Text.UTF8Encoding($false) 
[System.IO.File]::WriteAllText($destination, $jsonOut, $utf8NoBomEncoding) 
} 

Установка клиента глобального безопасного доступа вручную

1. GlobalSecureAccessClient.exe Запустите файл установки. Примите условия лицензионного соглашения.

2. Клиент устанавливается и автоматически выполняет вход с помощью учетных данных Microsoft Entra. Если "тихий" вход завершается ошибкой, установщик предложит вам войти вручную.

3. Значок подключения становится зеленым. Наведите указатель мыши на него, чтобы открыть уведомление о состоянии клиента, которое должно отображаться как подключено.

   

Клиентский интерфейс

Чтобы открыть клиентский интерфейс глобального безопасного доступа, выберите значок глобального безопасного доступа в области уведомлений. Клиентский интерфейс предоставляет представление текущего состояния подключения, каналов, настроенных для клиента, и доступа к средствам диагностики.

Вид "Соединения"

В представлении "Подключения" отображаются состояние клиента и каналы, настроенные для клиента. Эти действия доступны для вас:

• Чтобы отключить клиент, нажмите кнопку "Отключить ".
• Чтобы устранить неполадки с подключением клиента, можно использовать сведения в разделе "Дополнительные сведения ".
• Чтобы развернуть раздел и просмотреть дополнительные сведения, выберите "Показать дополнительные сведения".

Вид "Устранение неполадок"

В представлении "Устранение неполадок " можно:

• Выполнение различных диагностических задач.
• Экспорт и предоставление доступа к журналам для ИТ-администратора.
• Доступ к средству расширенной диагностики , который предоставляет набор средств устранения неполадок. (Вы также можете открыть средство расширенной диагностики в меню значков в области системы клиента.)

Вид параметров

Перейдите в представление Settings, чтобы проверить установленную версию или получить доступ к заявлению о конфиденциальности Майкрософт.

Действия клиента

Чтобы просмотреть доступные действия в клиентском меню, выберите значок Global Secure Access в области уведомлений.

Индикаторы состояния клиента

Уведомление о состоянии

Щелкните значок глобального безопасного доступа, чтобы открыть уведомление о состоянии клиента и просмотреть состояние каждого канала, настроенного для клиента.

Статусы клиента в области уведомлений

Иконка	Сообщение	Описание
	Глобальный безопасный доступ	Клиент инициализирует и проверяет подключение к глобальному безопасному доступу.
	Глобальный безопасный доступ — подключено	Клиент подключен к глобальному безопасному доступу.
	Глобальный безопасный доступ — отключен	Клиент отключен, так как службы находятся в автономном режиме или пользователь отключил клиента.
	Глобальный безопасный доступ — отключен	Клиенту не удалось подключиться к глобальному безопасному доступу.
	Глобальный безопасный доступ — некоторые каналы недоступны	Клиент частично подключен к глобальному безопасному доступу. То есть подключение по крайней мере к одному каналу не удалось: Microsoft Entra, Microsoft 365, частный доступ, доступ к Интернету.
	Глобальный безопасный доступ — отключено вашей организацией	Ваша организация отключила клиента. То есть все профили пересылки трафика отключены.
	Глобальный безопасный доступ — закрытый доступ отключен	Пользователь отключил закрытый доступ на этом устройстве.
	Глобальный безопасный доступ — не удалось подключиться к Интернету	Клиент не мог обнаружить подключение к Интернету. Устройство подключено к сети, которая не имеет подключения к Интернету или подключена к сети, требующей входа на портал.

Известные ограничения

Подробные сведения об известных проблемах и ограничениях см. в разделе "Известные ограничения для глобального безопасного доступа".

Устранение неполадок

Чтобы устранить неполадки с клиентом Глобального безопасного доступа, выберите значок клиента на панели задач, а затем выберите один из вариантов устранения неполадок: экспорт журналов или средства расширенной диагностики.

Дополнительные сведения об устранении неполадок клиента Глобального безопасного доступа см. в следующих статьях:

• Устранение неполадок клиента Global Secure Access для Windows: расширенная диагностика
• Устранение неполадок клиента Global Secure Access для Windows - вкладка проверки работоспособности

Рекомендации по обеспечению безопасности

Чтобы повысить безопасность клиента Глобального безопасного доступа, используйте следующие конфигурации.

Обновление до последней версии клиента

Регулярно тестируйте и развертывайте последний выпуск клиента Global Secure Access, чтобы воспользоваться преимуществами новых функций, улучшений производительности и исправлений безопасности. Скачайте последнюю версию клиента Global Secure Access из Центр администрирования Microsoft Entra.

Ограничение непривилегированных пользователей от отключения клиента

Администраторы могут запретить непривилегированных пользователей на устройствах Windows отключить или включить клиент Глобального безопасного доступа. Это ограничение гарантирует, что клиент остается и что глобальный безопасный доступ продолжает проходить проверку подлинности и помогает защитить сетевой трафик. Включение этого ограничения требует повышенных привилегий для отключения клиента.

Перед применением этого ограничения разрешите пользователям работать с клиентом Глобального безопасного доступа в нерегулируемом режиме. Настройте клиент для вашей организации, чтобы пользователи не должны отключать клиент в определенных сценариях (например, для доступа к определенным веб-сайтам или использовать VPN без Майкрософт параллельно).

Чтобы остановить клиент Глобального безопасного доступа на устройстве с ограниченными правами непривилегированных пользователей, убедитесь, что существует процесс, предусматривающий использование учетной записи с правами локального администратора при необходимости. Дополнительные сведения об ограничении непривилегированных пользователей см. в разделе "Ограничение непривилегированных пользователей".

Скрыть кнопку "Отключить"

Помимо ограничения непривилегированных пользователей от возможности отключения клиента, администраторы могут скрыть кнопку "Отключить" в меню значков в области системной панели клиента. Удаление кнопки «Отключить» из интерфейса уменьшает вероятность случайного или несанкционированного отключения клиента пользователями.

Дополнительные сведения о скрытии кнопок меню клиента см. в разделе "Скрытие или отображение кнопок меню в области уведомлений системы".

Ключи реестра клиентов

Клиент Global Secure Access использует определенные разделы реестра для включения или отключения функциональных возможностей. Администраторы могут использовать решение MDM, например Microsoft Intune или групповую политику, для управления значениями реестра.

Ограничение непривилегированных пользователей

Администраторы могут запретить непривилегированным пользователям на устройстве Windows отключать или включать клиент, задав следующий раздел реестра: Computer\HKEY_LOCAL_MACHINE\Software\Майкрософт\Global Secure Access Client.

Отключение или включение частного доступа на клиенте

Это значение реестра определяет, включен или отключен частный доступ для клиента. Если пользователь подключен к корпоративной сети, он может обойти глобальный безопасный доступ и напрямую получить доступ к частным приложениям.

Пользователи могут отключить или включить частный доступ через меню системной области.

Администраторы могут отключить или включить закрытый доступ для пользователя, задав следующий раздел реестра: Computer\HKEY_CURRENT_USER\Software\Майкрософт\Global Secure Access Client.

Если значение реестра не существует, значение по умолчанию равно 0x0 и включен закрытый доступ.

Скрытие или отображение кнопок меню в области уведомлений

Администраторы могут отображать или скрывать определенные кнопки в меню значков в области уведомлений клиента. Создайте значения в следующем разделе реестра: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Майкрософт\Global Secure Access Client.

Дополнительные сведения см. в руководстве по настройке IPv6 в Windows для опытных пользователей.

Связанное содержимое

• Установка клиента глобального безопасного доступа для macOS
• Установка клиента глобального безопасного доступа для Android
• Установка клиента глобального безопасного доступа для iOS