Installieren des globalen Secure Access-Clients für Windows

Der Global Secure Access-Client ist ein wesentlicher Bestandteil des globalen sicheren Zugriffs. Sie hilft Organisationen beim Verwalten und Sichern des Netzwerkdatenverkehrs auf Benutzergeräten. Der Client leitet Datenverkehr weiter, der durch den globalen sicheren Zugriff auf den Clouddienst gesichert werden muss. Alle anderen Datenverkehr geht direkt zum Netzwerk. Die weiterleitungsprofile , die Sie im Portal eingerichtet haben, bestimmen, welchen Datenverkehr der Client für den globalen sicheren Zugriff an den Clouddienst weiterleitet.

In diesem Artikel wird beschrieben, wie Sie den globalen Secure Access-Client für Windows herunterladen und installieren. Der globale Secure Access-Client ist auch für macOS, Android und iOS verfügbar.

Voraussetzungen

  • Einen Microsoft Entra Mandanten, der in den Globalen Sicheren Zugriff aufgenommen wurde.

  • Einem Mandanten beigetretenes oder in diesem registriertes Gerät (Vorschau):

    • Das Gerät muss Microsoft Entra-registriert, Microsoft Entra-Hybridzugehörig oder Microsoft Entra-registriert sein. Weitere Informationen finden Sie in der Übersicht über den globalen Client für den sicheren Zugriff.
    • Wenn das Gerät nicht beigetreten ist oder registriert ist, registriert der globale Secure Access-Client es beim Mandanten, wenn sich der Benutzer anmeldet.
    • Wenn das Gerät nicht verbunden ist und über mehrere Registrierungen verfügt, melden Sie sich mit dem Microsoft Entra Benutzer des Mandanten an, mit dem der globale sichere Zugriff verbunden werden soll.
    • Auf Microsoft Entra registrierten Geräten wird nur der Datenverkehr für den privaten Zugriff unterstützt.

  • Eine 64-Bit-Version von Windows 10 (LTSC 2021 oder höher), Windows 11 oder eine Arm64-Version von Windows 11:

    • Azure Virtual Desktop Single-Session wird unterstützt.
    • Azure Virtual Desktop, mehrere Sitzungen, wird nicht unterstützt.
    • Windows 365 wird unterstützt.
    • Windows auf Arm-Geräten (z. B. Surface Pro und Surface Laptop mit Snapdragon-Prozessoren) erfordern einen separaten Client-Installer. Verwenden Sie nicht das standardmäßige x64-Installationsprogramm auf Arm64-Geräten.

  • Lokale Administratoranmeldeinformationen zum Installieren oder Aktualisieren des globalen Secure Access-Clients.

  • Eine Lizenz. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist globaler sicherer Zugriff?. Bei Bedarf können Sie Lizenzen kaufen oder Testlizenzen erhalten.

Laden Sie den Client herunter.

Die neueste Version des globalen Secure Access-Clients steht zum Herunterladen aus dem Microsoft Entra admin center zur Verfügung:

  1. Melden Sie sich beim Microsoft Entra admin center als Global Secure Access Administrator an.

  2. Wechseln Sie zu Global Secure Access>Connect>Client-Download.

  3. Wählen Sie Client herunterladen aus.

    Screenshot des Bereichs für den Clientdownload mit hervorgehobener Schaltfläche

Installieren Sie den Client

Automatisierte Installation

Organisationen können den Global Secure Access-Client lautlos installieren, indem sie die Option /quiet verwenden. Sie können auch Mdm-Lösungen (Mobile Device Management) wie Microsoft Intune verwenden, um den Client auf ihren Geräten bereitzustellen.

Verwenden von Microsoft Intune zum Bereitstellen des Global Secure Access-Clients

In diesem Abschnitt wird erläutert, wie Sie den Global Secure Access-Client mit Intune auf einem Windows 11-Clientgerät installieren.

Voraussetzungen

  • Eine Sicherheitsgruppe mit Geräten oder Benutzern, um zu ermitteln, wo der Global Secure Access-Client installiert werden soll.

Paketieren des Client

Packen Sie das Installationsskript in eine .intunewin Datei:

  1. Speichern Sie das folgende PowerShell-Skript auf Ihrem Gerät. Fügen Sie das PowerShell-Skript und das Global Secure Access-Installationsprogramm .exe in einen Ordner ein.

    Das PowerShell-Installationsskript installiert den globalen Secure Access-Client, legt den IPv4Preferred Registrierungsschlüssel fest, um IPv4 gegenüber IPv6-Datenverkehr zu bevorzugen, und fordert einen Neustart für die Änderung des Registrierungsschlüssels auf, um wirksam zu werden.

    Hinweis

    Der Name der .exe Datei muss GlobalSecureAccessClient.exe sein, damit das PowerShell-Installationsskript ordnungsgemäß funktioniert. Wenn Sie den Namen der .exe Datei in etwas anderes ändern, müssen Sie auch $installerPath im PowerShell-Skript entsprechend anpassen.

    # Create log directory and log helper
$logFile = "$env:ProgramData\GSAInstall\install.log"
New-Item -ItemType Directory -Path (Split-Path $logFile) -Force | Out-Null

function Write-Log {
    param([string]$message)
    $timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
    Add-Content -Path $logFile -Value "$timestamp - $message"
}

try {
    $ErrorActionPreference = 'Stop'
    Write-Log "Starting Global Secure Access client installation."

    # IPv4 preferred via DisabledComponents registry value
    $ipv4RegPath    = "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters"
    $ipv4RegName    = "DisabledComponents"
    $ipv4RegValue   = 0x20  # Prefer IPv4 over IPv6
    $rebootRequired = $false

    # Ensure the key exists
    if (-not (Test-Path $ipv4RegPath)) {
        New-Item -Path $ipv4RegPath -Force | Out-Null
        Write-Log "Created registry key: $ipv4RegPath"
    }

    # Get current value if present
    $existingValue = $null
    $valueExists = $false
    try {
        $existingValue = Get-ItemPropertyValue -Path $ipv4RegPath -Name $ipv4RegName -ErrorAction Stop
        $valueExists = $true
    } catch {
        $valueExists = $false
    }

    # Determine if we must change it
    $expected = [int]$ipv4RegValue
    $needsChange = -not $valueExists -or ([int]$existingValue -ne $expected)

    if ($needsChange) {
        if (-not $valueExists) {
            # Create as DWORD when missing
            New-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -PropertyType DWord -Value $expected -Force | Out-Null
            Write-Log ("IPv4Preferred value missing. Created '{0}' with value 0x{1} (dec {2})." -f $ipv4RegName, ([Convert]::ToString($expected,16)), $expected)
        } else {
            # Update if different
            Set-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -Value $expected
            Write-Log ("IPv4Preferred value differed. Updated '{0}' from 0x{1} (dec {2}) to 0x{3} (dec {4})." -f `
                $ipv4RegName, ([Convert]::ToString([int]$existingValue,16)), [int]$existingValue, ([Convert]::ToString($expected,16)), $expected)
        }
        $rebootRequired = $true
    } else {
        Write-Log ("IPv4Preferred already set correctly: {0}=0x{1} (dec {2}). No change." -f `
            $ipv4RegName, ([Convert]::ToString($expected,16)), $expected)
    }

    # Resolve installer path
    $ScriptRoot = if ($PSScriptRoot) { $PSScriptRoot } else { Split-Path -Parent $MyInvocation.MyCommand.Path }
    $installerPath = Join-Path -Path $ScriptRoot -ChildPath "GlobalSecureAccessClient.exe"
    Write-Log "Running installer from $installerPath"

    if (Test-Path $installerPath) {
        $installProcess = Start-Process -FilePath $installerPath -ArgumentList "/quiet" -Wait -PassThru

        if ($installProcess.ExitCode -eq 1618) {
            Write-Log "Another installation is in progress. Exiting with code 1618."
            exit 1618
        } elseif ($installProcess.ExitCode -ne 0) {
            Write-Log "Installer exited with code $($installProcess.ExitCode)."
            exit $installProcess.ExitCode
        }

        Write-Log "Installer completed successfully."
    } else {
        Write-Log "Installer not found at $installerPath"
        exit 1
    }

    if ($rebootRequired) {
        Write-Log "Reboot required due to registry value creation or update."
        exit 3010  # Soft reboot required
    } else {
        Write-Log "Installation complete. No reboot required."
        exit 0
    }
}
catch {
    Write-Log "Fatal error: $_"
    exit 1603
}

  2. Wechseln Sie zum Microsoft Win32 Content Prep Tool. Wähle IntuneWinAppUtil.exe aus.

    Screenshot der Auswahl der Installationsdatei im Vorbereitungstool.

  3. Wählen Sie in der oberen rechten Ecke "Weitere Dateiaktionen>herunterladen" aus.

    Screenshot des Befehls

  4. Navigieren Sie zu IntuneWinAppUtil.exe und führen Sie es aus. Eine Eingabeaufforderung wird geöffnet.

  5. Geben Sie den Ordnerpfad der Global Secure Access-Datei .exe ein. Wählen Sie Geben Sieein.

  6. Geben Sie den Namen der Global Secure Access-Installationsdatei .ps1 ein. Wählen Sie Geben Sieein.

  7. Geben Sie den Ordnerpfad ein, in dem die .intunewin Datei platziert werden soll. Wählen Sie Geben Sieein.

  8. Geben Sie "N" ein. Wählen Sie die EINGABETASTE aus.

    Screenshot der Befehlszeile zum Installieren eines Clients.

Die datei .intunewin ist bereit, um Microsoft Intune bereitzustellen.

Bereitstellen des Clients

Ausführliche Anleitungen finden Sie unter Hinzufügen einer Win32-App zu Intune.

  1. Wechseln Sie zum Intune Admin Center.

  2. Auswählen Apps>Alle Apps>Hinzufügen.

  3. Wählen Sie auf Select app type unter Other app typesWindows app (Win32) aus.

  4. Klicken Sie auf Auswählen. Die Hinzufügen App Schritte erscheinen.

  5. Wählen Sie App-Paket-Datei auswählen aus.

  6. Wählen Sie das Ordnersymbol aus. Öffnen Sie die .intunewin Datei, die Sie im vorherigen Abschnitt erstellt haben.

    Screenshot, der die Auswahl einer App-Paketdatei zeigt.

  7. Wählen Sie OK aus.

  8. Konfigurieren Sie auf der Registerkarte "App-Informationen " die folgenden Werte:

    • Name: Geben Sie einen Namen für die Client-App ein.
    • Beschreibung : Geben Sie eine Beschreibung ein.
    • Publisher: Geben Sie Microsoft ein.
    • App-Version(optional):Geben Sie die Clientversion ein.

  9. Verwenden Sie die Standardwerte für die verbleibenden Einstellungen.

    Screenshot des Hinzufügens von App-Informationen zum Installieren eines Clients.

  10. Wählen Sie Weiteraus.

  11. Konfigurieren Sie auf der Registerkarte "Programm " die folgenden Werte:

    • Installationsbefehl: Verwenden Sie den ursprünglichen Namen der .ps1 Datei für powershell.exe -ExecutionPolicy Bypass -File OriginalNameOfFile.ps1.

    • Deinstallationsbefehl: Eingabetaste "GlobalSecureAccessClient.exe" /uninstall /quiet /norestart.

    • Verfügbare Deinstallation zulassen: Wählen Sie "Nein" aus.

    • Installationsverhalten: Wählen Sie "System" aus.

    • Verhalten des Geräteneustarts: Wählen Sie "Verhalten basierend auf Rückgabecodes ermitteln" aus. Geben Sie die folgenden Rückgabecodes an.

      Rückgabecode Codetyp
      0 Erfolg
      3010 Soft Reboot
      1618 Erneut versuchen

    Screenshot der Registerkarte

  12. Wählen Sie Weiteraus.

  13. Konfigurieren Sie auf der Registerkarte "Anforderungen " die folgenden Werte:

    • Überprüfen Sie die Betriebssystemarchitektur: Wählen Sie "Ja" aus. Geben Sie die Systeme an, auf die die App installiert werden kann. Wählen Sie dann die Optionen "Installieren" entsprechend dem Systemtyp aus, für den Sie bereitstellen möchten.
    • Mindestbetriebssystem: Wählen Sie Ihre Mindestanforderungen aus.

  14. Lassen Sie die verbleibenden Felder leer.

    Screenshot der Registerkarte

    Hinweis

    Windows auf Arm-Geräten verfügen über einen eigenen Client, der unter aka.ms/GlobalSecureAccess-WindowsOnArm verfügbar ist.

  15. Wählen Sie Weiteraus.

  16. Wählen Sie auf der Registerkarte " Erkennungsregeln " unter "Regelformat" die Option "Erkennungsregeln manuell konfigurieren" aus.

  17. Wählen Sie Hinzufügen aus.

  18. Für den Regeltyp wählen Sie Datei aus.

  19. Konfigurieren Sie diese Werte:

    • Pfad: Geben Sie C:\Program Files\Global Secure Access Client\TrayAppein.
    • Datei oder Ordner: Geben Sie GlobalSecureAccessClient.exeein.
    • Erkennungsmethode: Wählen Sie Zeichenfolge (Version) aus.
    • Operator: Wählen Sie „größer oder gleich“ aus.
    • Wert: Geben Sie die Clientversionsnummer ein.
    • 32-Bit-App auf 64-Bit-Client zugeordnet: Wählen Sie "Nein" aus.

    Screenshot des Bereichs zum Erstellen einer Erkennungsregel für den Client.

  20. Wählen Sie OK aus. Wählen Sie dann Weiter aus.

  21. Wählen Sie zweimal "Weiter" aus, um zu "Aufgaben" zu wechseln.

  22. Wählen Sie unter "Erforderlich" die Option "+Gruppe hinzufügen" aus. Wählen Sie eine Gruppe von Benutzern oder Geräten und dann "Auswählen" aus.

  23. Legen Sie die Nachfrist für den Neustartauf "Aktiviert" fest, um zu vermeiden, dass Benutzer mit einem abrupten Geräteneustart gestört werden.

    Screenshot der Registerkarte

  24. Wählen Sie Weiteraus. Wählen Sie dann Erstellen aus.

Hinweis

Durch die Bereitstellung des globalen Secure Access-Clients auf einem virtuellen Computer wird möglicherweise die Aufforderung zum Neustart des Geräts unterdrückt.

Aktualisieren der Clientversion

Um auf die neueste Clientversion zu aktualisieren, führen Sie die Schritte zur Aktualisierung einer Branchen-App aus. Achten Sie darauf, die folgenden Einstellungen zusätzlich zum Hochladen der neuen .intunewin Datei zu aktualisieren:

  • Clientversion
  • Erkennungsregelwert auf die neue Clientversionsnummer gesetzt

In einer Produktionsumgebung empfiehlt es sich, neue Clientversionen in einem phasenweisen Bereitstellungsansatz bereitzustellen:

  1. Lassen Sie die vorhandene App an Ort und Stelle.

  2. Fügen Sie eine neue App für die neue Clientversion hinzu, indem Sie die vorherigen Schritte wiederholen.

  3. Weisen Sie die neue App einer kleinen Gruppe von Benutzern zu, um die neue Clientversion zu testen. Es ist ok, diese Benutzer der App mit der alten Clientversion für ein Vor-Ort-Upgrade zuzuweisen.

  4. Erhöhen Sie die Mitgliedschaft der Pilotgruppe langsam, bis Sie den neuen Client auf allen gewünschten Geräten bereitstellen.

  5. Löschen Sie die App mit der alten Clientversion.

Konfigurieren der Clienteinstellungen für den globalen sicheren Zugriff mithilfe von Intune

Administratoren können Wartungsskripts in Intune verwenden, um clientseitige Steuerelemente zu erzwingen, z. B. verhindern, dass allgemeine Benutzer den Client deaktivieren oder bestimmte Schaltflächen ausblenden.

Von Bedeutung

Legen Sie $gsaSettings auf die Werte fest, die Ihre Organisation sowohl in den Erkennungs- als auch in den Behebungsskripts benötigt.

Stellen Sie sicher, dass diese Skripts so konfiguriert werden, dass sie in 64-Bit-PowerShell ausgeführt werden.

Screenshot der Registerkarte zum Erstellen von benutzerdefinierten Skripteinstellungen, wobei die Option zum Ausführen des Skripts in der 64-Bit-PowerShell auf

Wählen Sie die PowerShell-Skripts aus, um sie zu erweitern.

PowerShell-Erkennungsskript

Erkennungsskript

# Check Global Secure Access registry keys 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 

} 

$nonCompliant = $false 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

$currentValue = (Get-ItemProperty -Path $gsaPath -Name $setting.Key -ErrorAction SilentlyContinue).$($setting.Key) 
 
if ($currentValue -ne $setting.Value) { 
 
    Write-Output "Non-compliant: $($setting.Key) is $currentValue, expected $($setting.Value)" 
 
    $nonCompliant = $true 
 
} 
  

} 

if (-not $nonCompliant) { 

Write-Output "Compliant" 
 
exit 0 
  

} else { 

Write-Output "Non-compliant" 
 
exit 1 
 

}
PowerShell-Korrekturskript

Reparaturskript

# Ensure Global Secure Access registry keys are present 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 
  

} 

if (-Not (Test-Path $gsaPath)) { 

New-Item -Path $gsaPath -Force | Out-Null 
  

} 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

Set-ItemProperty -Path $gsaPath -Name $setting.Key -Value $setting.Value -Type DWord -Force | Out-Null 
 
Write-Output "Set $($setting.Key) to $($setting.Value)" 
  

}

Konfigurieren von Einstellungen für Microsoft Entra Internet Access mithilfe von Intune

Microsoft Entra Internet Access unterstützt DNS nicht über HTTPS- oder Quick UDP Internet Connections (QUIC)-Datenverkehr. Um diese Einschränkung zu verringern, deaktivieren Sie diese Protokolle in den Browsern der Benutzer. Die folgenden Anweisungen enthalten Anleitungen zum Erzwingen dieser Steuerelemente mithilfe von Intune.

Deaktivieren von QUIC in Microsoft Edge und Chrome mithilfe von Intune

  1. Wählen Sie im Microsoft Intune Admin Center Devices>Manage devices>Configuration aus.

  2. Wählen Sie auf der Registerkarte "Richtlinien" die Option "+> erstellen" aus.

  3. Im Dialogfeld Profil erstellen: Tun Sie Folgendes:

    • Legen Sie Platform auf Windows 10 und höher fest.
    • Legen Sie den Profiltyp auf den Einstellungskatalog fest.
    • Wählen Sie "Erstellen" aus. Das Formular "Profil erstellen" wird geöffnet.

  4. Geben Sie auf der Registerkarte " Grundlagen " dem Profil einen Namen und eine Beschreibung.

  5. Wählen Sie Weiteraus.

  6. Auf der Registerkarte Konfigurationseinstellungen:

    1. Wählen Sie +Einstellungen hinzufügen aus.
    2. Suchen Sie in der Einstellungsauswahl nach QUIC.
    3. Aus den Suchergebnissen:
      1. Wählen Sie Microsoft Edge und dann die Einstellung Allow QUIC aus.
      2. Wählen Sie Google Chrome und dann die Einstellung "QuIC-Protokoll zulassen " aus.
    4. Suchen Sie in der Einstellungsauswahl nach DNS-over-HTTPS.
    5. Aus den Suchergebnissen:
      1. Wählen Sie Microsoft Edge und dann die Einstellung Steuern Sie den Modus von DNS-over-HTTPS aus.
      2. Wählen Sie Google Chrome und dann den Modus "Steuern" der DNS-over-HTTPS-Einstellung aus.
    6. Die Einstellungsauswahl schließen.

  7. Legen Sie für Google Chrome beide Schalter auf Deaktiviert fest.

  8. Stellen Sie für Microsoft Edge beide Schaltflächen auf Deaktiviert ein.

    Screenshot der Registerkarte zum Konfigurieren von Microsoft Edge- und Chrome-Einstellungen.

  9. Wählen Sie zweimal "Weiter" aus.

  10. Auf der Registerkarte Aufgaben:

    1. Wählen Sie "Gruppen hinzufügen" aus.
    2. Wählen Sie eine Gruppe von Benutzern oder Geräten aus, um die Richtlinie zuzuweisen.
    3. Wählen Sie Select aus.

  11. Wählen Sie Weiteraus.

  12. Wählen Sie auf der Registerkarte "Überprüfen+ Erstellen " die Option "Erstellen" aus.

Konfigurieren von Firefox-Browsereinstellungen

Administratoren können Wartungsskripts in Intune verwenden, um DNS über HTTPS- und QUIC-Protokolle im Firefox-Browser zu deaktivieren.

Stellen Sie sicher, dass diese Skripts so konfiguriert werden, dass sie in 64-Bit-PowerShell ausgeführt werden.

Screenshot der Registerkarte zum Erstellen benutzerdefinierter Skripteinstellungen mit der Option, das Skript in der 64-Bit-PowerShell auszuführen, die auf

Wählen Sie die PowerShell-Skripts aus, um sie zu erweitern.

PowerShell-Erkennungsskript

Erkennungsskript

# Define the path to the Firefox policies.json file 

$destination = "C:\Program Files\Mozilla Firefox\distribution\policies.json" $compliant = $false 

# Check if the file exists 

if (Test-Path $destination) { try { # Read the file content $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { # Parse JSON content $json = $fileContent | ConvertFrom-Json 

       # Check if Preferences exist under policies 
        if ($json.policies -and $json.policies.Preferences) { 
            $prefs = $json.policies.Preferences 
 
            # Convert Preferences to hashtable if needed 
            if ($prefs -isnot [hashtable]) { 
                $temp = @{} 
                $prefs.psobject.Properties | ForEach-Object { 
                    $temp[$_.Name] = $_.Value 
                } 
                $prefs = $temp 
            } 
 
            # Initialize compliance flags 
            $quicCompliant = $false 
            $dohCompliant = $false 
 
            # Check if QUIC is disabled and locked 
            if ($prefs.ContainsKey("network.http.http3.enable")) { 
                $val = $prefs["network.http.http3.enable"] 
                if ($val.Value -eq $false -and $val.Status -eq "locked") { 
                    $quicCompliant = $true 
                } 
            } 
 
            # Check if DNS over HTTPS is disabled and locked 
            if ($prefs.ContainsKey("network.trr.mode")) { 
                $val = $prefs["network.trr.mode"] 
                if ($val.Value -eq 0 -and $val.Status -eq "locked") { 
                    $dohCompliant = $true 
                } 
            } 
 
            # Set overall compliance if both settings are correct 
            if ($quicCompliant -and $dohCompliant) { 
                $compliant = $true 
            } 
        } 
    } 
} catch { 
    Write-Warning "Failed to parse policies.json: $_" 
} 
  

} 

# Output compliance result 

if ($compliant) { Write-Output "Compliant" Exit 0 } else { Write-Output "Non-compliant" Exit 1 }
PowerShell-Korrekturskript

Reparaturskript

# Define paths 

$distributionDir = "C:\Program Files\Mozilla Firefox\distribution" $destination = Join-Path $distributionDir "policies.json" $backup = "$destination.bak" 

# Initialize variable for existing JSON 

$existingJson = $null 

# Try to read and parse existing policies.json 

if (Test-Path $destination) { $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { try { $existingJson = $fileContent | ConvertFrom-Json } catch { Write-Warning "Existing policies.json is malformed. Starting fresh." } } } 

#Create a new JSON structure if none exists 

if (-not $existingJson) { $existingJson = [PSCustomObject]@{ policies = [PSCustomObject]@{ Preferences = @{} } } } 

# Ensure policies and Preferences nodes exist 

if (-not $existingJson.policies) { $existingJson | Add-Member -MemberType NoteProperty -Name policies -Value ([PSCustomObject]@{}) } if (-not $existingJson.policies.Preferences) { $existingJson.policies | Add-Member -MemberType NoteProperty -Name Preferences -Value @{} } 

# Convert Preferences to hashtable if needed 

if ($existingJson.policies.Preferences -isnot [hashtable]) { $prefs = @{} $existingJson.policies.Preferences.psobject.Properties | ForEach-Object { $prefs[$.Name] = $.Value } $existingJson.policies.Preferences = $prefs } 

$prefObj = $existingJson.policies.Preferences $updated = $false 

# Ensure QUIC is disabled and locked

if (-not $prefObj.ContainsKey("network.http.http3.enable") -or $prefObj["network.http.http3.enable"].Value -ne $false -or $prefObj["network.http.http3.enable"].Status -ne "locked") { 

$prefObj["network.http.http3.enable"] = @{ 
    Value = $false 
    Status = "locked" 
} 
$updated = $true 
  

} 

# Ensure DNS over HTTPS is disabled and locked 

if (-not $prefObj.ContainsKey("network.trr.mode") -or $prefObj["network.trr.mode"].Value -ne 0 -or $prefObj["network.trr.mode"].Status -ne "locked") { 

$prefObj["network.trr.mode"] = @{ 
    Value = 0 
    Status = "locked" 
} 
$updated = $true 
} 

# If any updates were made, back up and write the new JSON 

if ($updated) { if (Test-Path $destination) { Copy-Item $destination $backup -Force } 

$jsonOut = $existingJson | ConvertTo-Json -Depth 10 -Compress 
$utf8NoBomEncoding = New-Object System.Text.UTF8Encoding($false) 
[System.IO.File]::WriteAllText($destination, $jsonOut, $utf8NoBomEncoding) 
}

Manuelles Installieren des globalen Secure Access-Clients

  1. Führen Sie die GlobalSecureAccessClient.exe Installationsdatei. Akzeptieren Sie die Softwarelizenzbedingungen.

  2. Der Client wird installiert und meldet Sie still und automatisch mit Ihren Microsoft Entra Anmeldeinformationen an. Wenn die lautlose Anmeldung fehlschlägt, fordert der Installer Sie auf, sich manuell anzumelden.

  3. Das Verbindungssymbol wird grün. Zeigen Sie darauf, um die Clientstatusbenachrichtigung zu öffnen, die als verbunden angezeigt werden soll.

    Screenshot eines verbundenen Clients.

Clientschnittstelle

Um die Clientschnittstelle für den globalen sicheren Zugriff zu öffnen, wählen Sie auf der Taskleiste das Symbol für den globalen sicheren Zugriff aus. Die Clientschnittstelle stellt eine Ansicht des aktuellen Verbindungsstatus, der für den Client konfigurierten Kanäle und den Zugriff auf Diagnosetools bereit.

Verbindungsansicht

In der Ansicht "Verbindungen " werden der Clientstatus und die für den Client konfigurierten Kanäle angezeigt. Diese Aktionen stehen Ihnen zur Verfügung:

  • Um den Client zu deaktivieren, wählen Sie die Schaltfläche "Deaktivieren" aus .
  • Zur Problembehandlung bei der Clientverbindung können Sie die Informationen im Abschnitt "Weitere Details " verwenden.
  • Um den Abschnitt zu erweitern und weitere Informationen anzuzeigen, wählen Sie " Weitere Details anzeigen" aus.

Screenshot der Ansicht

Problembehandlungssicht

In der Ansicht "Problembehandlung" haben Sie folgende Möglichkeiten:

  • Führen Sie verschiedene Diagnoseaufgaben aus.
  • Exportieren und Freigeben von Protokollen für Ihren IT-Administrator.
  • Greifen Sie auf das Tool "Erweiterte Diagnose" zu, das eine Reihe von Tools zur Problembehandlung bereitstellt. (Sie können das Tool " Erweiterte Diagnose" auch über das Symbolmenü in der Taskleiste des Clients öffnen.)

Screenshot der Ansicht

Einstellungsansicht

Wechseln Sie zur Ansicht Settings, um die installierte Version zu überprüfen oder auf die Microsoft Datenschutzbestimmungen zuzugreifen.

Screenshot der Ansicht

Clientaktionen

Um die verfügbaren Aktionen im Clientmenü anzuzeigen, wählen Sie auf der Taskleiste das Symbol für den globalen sicheren Zugriff aus.

Screenshot der vollständigen Liste der Global Secure Access-Clientaktionen.

Tipp

Die Aktionen für den globalen sicheren Zugriff im Clientmenü hängen von der Konfiguration der Clientregistrierungsschlüssel ab.

Aktion Beschreibung
Abmelden Ausgeblendet standardmäßig. Verwenden Sie diese Aktion, wenn Sie sich beim Global Secure Access-Client mit einem anderen Microsoft Entra-Benutzer anmelden müssen als dem, den Sie für die Anmeldung bei Windows verwendet haben. Aktualisieren Sie die entsprechenden Clientregistrierungsschlüssel, um diese Aktion verfügbar zu machen.
Deaktivieren Wählen Sie diese Aktion aus, um den Client zu deaktivieren. Der Client bleibt deaktiviert, bis Sie entweder den Client aktivieren oder den Computer neu starten.
aktivieren Wählen Sie diese Aktion aus, um den globalen Client für den sicheren Zugriff zu aktivieren.
Privaten Zugriff deaktivieren Ausgeblendet standardmäßig. Verwenden Sie diese Aktion, wenn Sie globalen sicheren Zugriff umgehen möchten, wenn Sie Ihr Gerät direkt mit dem Unternehmensnetzwerk verbinden, um direkt über das Netzwerk und nicht über den globalen sicheren Zugriff auf private Anwendungen zuzugreifen. Aktualisieren Sie die entsprechenden Clientregistrierungsschlüssel, um diese Aktion verfügbar zu machen.
Protokolle sammeln Wählen Sie diese Aktion aus, um Clientprotokolle (Informationen zum Clientcomputer, die zugehörigen Ereignisprotokolle für die Dienste und Registrierungswerte) zu sammeln und in einer .zip Datei zu archivieren, die für Microsoft Support zur Untersuchung freigegeben werden soll. Der Standardaufenthaltsort für die Protokolle ist „C:\Program Files\Global Secure Access Client\Logs“. Sie können auch Clientprotokolle auf Windows sammeln, indem Sie den folgenden Befehl in die Eingabeaufforderung eingeben: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>.
Erweiterte Diagnose Wählen Sie diese Aktion aus, um die erweiterte Diagnose zu öffnen und auf eine Reihe von Tools zur Problembehandlung zuzugreifen.

Clientstatusindikatoren

Statusbenachrichtigung

Wählen Sie das Symbol für den globalen sicheren Zugriff aus, um die Clientstatusbenachrichtigung zu öffnen und den Status jedes Kanals anzuzeigen, den Sie für den Client konfiguriert haben.

Screenshot, der den Clientstatus

Client-Status in der Taskleiste

Symbol Meldung Beschreibung
Globaler sicherer Zugriff Der Client initialisiert und überprüft seine Verbindung zu Global Secure Access.
Global Secure Access - Verbunden Der Client ist mit Global Secure Access verbunden.
Global Secure Access - Deaktiviert Der Client ist deaktiviert, weil Dienste offline sind oder der Benutzer den Client deaktiviert hat.
Globaler sicherer Zugriff – getrennt Der Client konnte keine Verbindung zu Global Secure Access herstellen.
Global Secure Access - Einige Kanäle sind nicht erreichbar Der Client ist teilweise mit dem globalen sicheren Zugriff verbunden. Das heißt, die Verbindung mit mindestens einem Kanal ist fehlgeschlagen: Microsoft Entra, Microsoft 365, Privater Zugriff, Internetzugriff.
Globaler sicherer Zugriff - Deaktiviert durch Ihre Organisation Ihre Organisation hat den Client deaktiviert. Das heißt, alle Datenverkehrsweiterleitungsprofile sind deaktiviert.
Global Secure Access - Privat-Zugriff ist deaktiviert Der Benutzer hat den Privatzugriff auf diesem Gerät deaktiviert.
Global Secure Access - konnte keine Verbindung mit dem Internet herstellen Der Client konnte keine Internetverbindung erkennen. Das Gerät ist entweder mit einem Netzwerk verbunden, das keine Internetverbindung hat oder mit einem Netzwerk verbunden ist, das die Anmeldung über das Captive Portal erfordert.

Bekannte Einschränkungen

Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie unter "Bekannte Einschränkungen für den globalen sicheren Zugriff".

Problembehandlung

Um probleme mit dem globalen Secure Access-Client zu beheben, wählen Sie das Clientsymbol auf der Taskleiste aus, und wählen Sie dann eine der Problembehandlungsoptionen aus: Protokolle exportieren oder erweiterte Diagnosetool.

Tipp

Administratoren können die Optionen im Clientmenü für den globalen sicheren Zugriff ändern, indem Sie die Clientregistrierungsschlüssel überarbeiten.

Weitere Informationen zur Problembehandlung für den globalen Secure Access-Client finden Sie in den folgenden Artikeln:

Sicherheitsempfehlungen

Verwenden Sie die folgenden Konfigurationen, um die Sicherheit des globalen Secure Access-Clients zu verbessern.

Upgrade auf die neueste Clientversion

Testen und bereitstellen Sie regelmäßig die neueste Version des globalen Secure Access-Clients, um neue Features, Leistungsverbesserungen und Sicherheitsupdates zu nutzen. Laden Sie die neueste Version des Global Secure Access-Clients aus dem Microsoft Entra admin center herunter.

Einschränken, dass nicht privilegierte Benutzer den Client deaktivieren

Administratoren können verhindern, dass nicht privilegierte Benutzer auf Windows Geräten den Global Secure Access-Client deaktivieren oder aktivieren. Diese Einschränkung stellt sicher, dass der Client weiterhin aktiviert bleibt und dass der globale sichere Zugriff weiterhin authentifiziert und den Netzwerkdatenverkehr sichert. Zum Aktivieren dieser Einschränkung sind erhöhte Berechtigungen erforderlich, um den Client zu deaktivieren.

Bevor Sie diese Einschränkung erzwingen, können Benutzer mit dem globalen Client für den sicheren Zugriff in einem nicht eingeschränkten Modus arbeiten. Konfigurieren Sie den Client für Ihre Organisation, um sicherzustellen, dass Benutzer den Client nicht in bestimmten Szenarien deaktivieren müssen (z. B. um auf bestimmte Websites zuzugreifen oder ein VPN ohne Microsoft parallel zu verwenden).

Um den globalen Secure Access-Client auf einem Gerät mit eingeschränkten, nicht privilegierten Benutzern zu beenden, stellen Sie sicher, dass bei Bedarf ein Prozess vorhanden ist, um einen Benutzer mit lokalen Administratorrechten zu verwenden. Weitere Informationen zum Einschränken nicht privilegierter Benutzer finden Sie unter Einschränken nicht privilegierter Benutzer.

Schaltfläche "Deaktivieren" ausblenden

Zusätzlich dazu, dass nicht privilegierte Benutzer daran gehindert werden, den Client zu deaktivieren, können Administratoren die Schaltfläche Deaktivieren im Symbolmenü in der Taskleiste des Clients ausblenden. Durch das Entfernen der Schaltfläche " Deaktivieren " aus der Ansicht wird die Wahrscheinlichkeit verringert, dass Benutzer den Client versehentlich oder ohne Autorisierung deaktivieren.

Weitere Informationen zum Ausblenden von Clientmenüschaltflächen finden Sie unter "Ausblenden oder Einblenden von Menüschaltflächen" in der Taskleiste.

Client-Registrierungsschlüssel

Der Global Secure Access-Client verwendet bestimmte Registrierungsschlüssel, um Funktionen zu aktivieren oder zu deaktivieren. Administratoren können eine MDM-Lösung wie Microsoft Intune oder Gruppenrichtlinien verwenden, um die Registrierungswerte zu steuern.

Achtung

Ändern Sie keine anderen Registrierungswerte, es sei denn, Microsoft Support weist Sie an.

Benutzer mit eingeschränktem Zugriff einschränken

Administratoren können verhindern, dass nicht privilegierte Benutzer auf dem Windows Gerät den Client deaktivieren oder aktivieren, indem Sie den folgenden Registrierungsschlüssel festlegen: Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client.

value Typ Daten Beschreibung
RestrictNonPrivilegedUsers REG_DWORD 0x0 Nicht privilegierte Benutzer auf dem Windows Gerät können den Client deaktivieren und aktivieren.
RestrictNonPrivilegedUsers REG_DWORD 0x1 Nicht privilegierte Benutzer auf dem Windows Gerät sind daran eingeschränkt, den Client zu deaktivieren und zu aktivieren. Eine Eingabeaufforderung für die Benutzerkontensteuerung (User Account Control, UAC) erfordert lokale Administratoranmeldeinformationen zum Deaktivieren und Aktivieren von Optionen. Der Administrator kann auch die Schaltfläche Deaktivieren ausblenden (siehe Schaltflächen im Menübereich der Taskleiste aus- oder einblenden für weitere Informationen).

Privaten Zugriff auf dem Client deaktivieren oder aktivieren

Dieser Registrierungswert steuert, ob der private Zugriff für den Client aktiviert oder deaktiviert ist. Wenn ein Benutzer mit dem Unternehmensnetzwerk verbunden ist, kann er auswählen, Global Secure Access zu umgehen und direkt auf private Anwendungen zuzugreifen.

Benutzer können den privaten Zugriff über das Taskleistenmenü deaktivieren oder aktivieren.

Tipp

Diese Option ist nur im Menü verfügbar, wenn sie nicht ausgeblendet ist (siehe Menüschaltflächen im Taskleiste ausblenden oder einblenden), und der private Zugriff ist für diesen Mandanten aktiviert.

Administratoren können den privaten Zugriff für den Benutzer deaktivieren oder aktivieren, indem Sie den folgenden Registrierungsschlüssel festlegen: Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client.

value Typ Daten Beschreibung
IsPrivateAccessDisabledByUser REG_DWORD 0x0 Privater Zugriff ist auf diesem Gerät aktiviert. Netzwerkdatenverkehr zu privaten Anwendungen geht durch Global Secure Access.
IsPrivateAccessDisabledByUser REG_DWORD 0x1 Privater Zugriff ist auf diesem Gerät deaktiviert. Netzwerkdatenverkehr mit privaten Anwendungen wird direkt an das Netzwerk weitergeleitet.

Screenshot des Registrierungs-Editors mit hervorgehobenem IsPrivateAccessDisabledByUser-Registrierungsschlüssel.

Wenn der Registrierungswert nicht vorhanden ist, ist 0x0 der Standardwert und der private Zugriff ist aktiviert.

Ausblenden oder Einblenden von Menüschaltflächen in der Taskleiste

Administratoren können bestimmte Schaltflächen im Symbolmenü in der Taskleiste des Clients ein- oder ausblenden. Erstellen Sie die Werte unter dem folgenden Registrierungsschlüssel: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client.

value Typ Daten Standardverhalten Beschreibung
HideSignOutButton REG_DWORD 0x0 - angezeigt 0x1 - ausgeblendet Versteckt Konfigurieren Sie diese Einstellung, um die Aktion Abmelden ein- oder auszublenden. Diese Option gilt für bestimmte Szenarien, wenn sich ein Benutzer bei dem Client mit einem anderen Microsoft Entra Benutzer anmelden muss als bei der Anmeldung bei Windows. Hinweis: Sie müssen sich beim Client mit einem Benutzer im selben Microsoft Entra Mandanten anmelden, mit dem das Gerät verbunden ist. Sie können auch die Abmelden-Aktion verwenden, um den bestehenden Benutzer erneut zu authentifizieren.
HideDisablePrivateAccessButton REG_DWORD 0x0 - angezeigt 0x1 - ausgeblendet Versteckt Konfigurieren Sie diese Einstellung, um die Aktion „Privaten Zugriff deaktivieren“ ein- oder auszublenden. Diese Option ist für ein Szenario vorgesehen, wenn das Gerät direkt mit dem Unternehmensnetzwerk verbunden ist und der Benutzer lieber direkt über das Netzwerk auf private Anwendungen zugreifen möchte, anstatt über den globalen sicheren Zugriff.
HideDisableButton REG_DWORD 0x0 - angezeigt 0x1 - ausgeblendet Gezeigt Konfigurieren Sie diese Einstellung, um die Aktion Deaktivieren ein- oder auszublenden. Wenn die Aktion angezeigt wird, kann der Benutzer den globalen Client für den sicheren Zugriff deaktivieren. Der Client bleibt deaktiviert, bis der Benutzer ihn wieder aktiviert. Wenn die Deaktivieren-Aktion ausgeblendet ist, kann ein nicht privilegierter Benutzer den Client nicht deaktivieren.

Screenshot des Registrierungs-Editors mit hervorgehobenen Registrierungsschlüsseln

Weitere Informationen finden Sie unter Guidance zum Konfigurieren von IPv6 in Windows für erweiterte Benutzer.

Verwandte Inhalte

  • Last updated on