Installieren des globalen Secure Access-Clients für Microsoft Windows

Der Global Secure Access-Client ist ein wesentlicher Bestandteil des globalen sicheren Zugriffs. Sie hilft Organisationen beim Verwalten und Sichern des Netzwerkdatenverkehrs auf Endbenutzergeräten. Der Client leitet Datenverkehr weiter, der durch den globalen sicheren Zugriff auf den Clouddienst gesichert werden muss. Alle anderen Datenverkehr geht direkt zum Netzwerk. Die im Portal eingerichteten Weiterleitungsprofile bestimmen, welcher Datenverkehr der Global Secure Access-Client an den Clouddienst weiterleitet.

Dieser Artikel beschreibt, wie Sie den Global Secure Access Client für Windows herunterladen und installieren.

Voraussetzungen

• Ein Microsoft Entra-Mandant, der in den globalen sicheren Zugriff integriert ist
• Ein verwaltetes Gerät, das dem aufgenommenen Mandant beigetreten ist. Das Gerät muss entweder Microsoft Entra repliziert oder Microsoft Entra hybrid repliziert sein.
  • Microsoft Entra registrierte Geräte werden nicht unterstützt.
• Der Global Secure Access-Client erfordert eine 64-Bit-Version von Windows 10 oder Windows 11 oder eine Arm64-Version von Windows 11.
  • Azure Virtual Desktop (einzelne Sitzung) wird unterstützt.
  • Azure Virtual Desktop, mehrere Sitzungen, wird nicht unterstützt.
  • Windows 365 wird unterstützt.
• Sie benötigen lokale Administratoranmeldeinformationen, um den globalen Secure Access-Client zu installieren oder zu aktualisieren.
• Für den globalen Secure Access-Client ist eine Lizenz erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen kaufen oder Testlizenzen erhalten.

Laden Sie den Client herunter.

Die aktuellste Version des Global Secure Access Clients ist im Microsoft Entra Admin Center zum Herunterladen verfügbar.

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
2. Durchsuchen Sie Global Secure Access>Verbinden>Client herunterladen.
3. Wählen Sie Client herunterladen aus.

Installieren Sie den Global Secure Access Client

Automatisierte Installation

Organisationen können den Global Secure Access-Client still und ohne Benutzerinteraktion mit dem /quiet Switch installieren oder MDM-Lösungen wie Microsoft Intune verwenden, um den Client auf ihren Geräten bereitzustellen.

Verwenden von Microsoft Intune zum Bereitstellen des globalen Clients für den sicheren Zugriff

In diesem Abschnitt wird erläutert, wie Sie den Global Secure Access-Client mit Intune auf einem Windows 11-Clientgerät installieren.

Voraussetzungen

• Eine Sicherheitsgruppe mit Geräten oder Benutzern, um zu ermitteln, wo der Global Secure Access-Client installiert werden soll.

Paketieren des Client

Packen Sie das Installationsskript in eine .intunewin Datei.

1. Speichern Sie das folgende PowerShell-Skript auf Ihrem Gerät. Fügen Sie das PowerShell-Skript und das Global Secure Access-Installationsprogramm .exe in einen Ordner ein.

# Define log file

$logFile = "$env:ProgramData\GSAInstall\install.log" New-Item -ItemType Directory -Path (Split-Path $logFile) -Force | Out-Null 

function Write-Log { param ([string]$message) $timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss" Add-Content -Path $logFile -Value "$timestamp - $message" } 

try { $ErrorActionPreference = 'Stop' Write-Log "Starting Global Secure Access client installation." 

# IPv4 preferred via DisabledComponents registry value 
$ipv4RegPath   = "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" 
$ipv4RegName   = "DisabledComponents" 
$ipv4RegValue  = 0x20   # Prefer IPv4 over IPv6 
$rebootRequired = $false 
 
# Ensure the key exists 
if (-not (Test-Path $ipv4RegPath)) { 
    New-Item -Path $ipv4RegPath -Force | Out-Null 
    Write-Log "Created registry key: $ipv4RegPath" 
} 
 
# Get current value if present 
$existingValue = $null 
$valueExists = $false 
try { 
    $existingValue = Get-ItemPropertyValue -Path $ipv4RegPath -Name $ipv4RegName -ErrorAction Stop 
    $valueExists = $true 
} catch { 
    $valueExists = $false 
} 
 
# Determine if we must change it 
$expected = [int]$ipv4RegValue 
$needsChange = -not $valueExists -or ([int]$existingValue -ne $expected) 
 
if ($needsChange) { 
    if (-not $valueExists) { 
        # Create as DWORD when missing 
        New-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -PropertyType DWord -Value $expected -Force | Out-Null 
        Write-Log "IPv4Preferred value missing. Created '$ipv4RegName' with value 0x{0} (dec {1})." -f ([Convert]::ToString($expected,16)), $expected 
    } else { 
        # Update if different 
        Set-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -Value $expected 
        Write-Log ("IPv4Preferred value differed. Updated '{0}' from 0x{1} (dec {2}) to 0x{3} (dec {4})." -f ` 
            $ipv4RegName, ([Convert]::ToString([int]$existingValue,16)), [int]$existingValue, ([Convert]::ToString($expected,16)), $expected) 
    } 
    $rebootRequired = $true 
} else { 
    Write-Log ("IPv4Preferred already set correctly: {0}=0x{1} (dec {2}). No change." -f ` 
        $ipv4RegName, ([Convert]::ToString($expected,16)), $expected) 
} 
 
# Run installer from local path 
$installerPath = Join-Path -Path $PSScriptRoot -ChildPath "GlobalSecureAccessClient.exe" 
Write-Log "Running installer from $installerPath" 
 
if (Test-Path $installerPath) { 
    $installProcess = Start-Process -FilePath $installerPath -ArgumentList "/quiet" -Wait -PassThru 
 
    if ($installProcess.ExitCode -eq 1618) { 
        Write-Log "Another installation is in progress. Exiting with code 1618." 
        exit 1618 
    } elseif ($installProcess.ExitCode -ne 0) { 
        Write-Log "Installer exited with code $($installProcess.ExitCode)." 
        exit $installProcess.ExitCode 
    } 
 
    Write-Log "Installer completed successfully." 
} else { 
    Write-Log "Installer not found at $installerPath" 
    exit 1 
} 
 
if ($rebootRequired) { 
    Write-Log "Reboot required due to registry value creation or update." 
    exit 3010  # Soft reboot required 
} else { 
    Write-Log "Installation complete. No reboot required." 
    exit 0 
} 
  

} catch { Write-Log "Fatal error: $_" exit 1603 } 

2. Wechseln Sie zum Microsoft Win32 Content Prep Tool. Wählen Sie IntuneWinAppUtil.exeaus.

   

3. Wählen Sie in der oberen rechten Ecke "Weitere Dateiaktionen " und dann " Herunterladen" aus.

   

4. Navigieren Sie zu und führen Sie „IntuneWinAppUtil.exe“ aus. Eine Eingabeaufforderung wird geöffnet.

5. Geben Sie den Ordnerpfad der Global Secure Access-Datei .exe ein. Wählen Sie Geben Sieein.

6. Geben Sie den Namen der Global Secure Access-Datei .exe ein. Wählen Sie Geben Sieein.

7. Geben Sie den Ordnerpfad ein, in dem die .intunewin Datei platziert werden soll. Wählen Sie Geben Sieein.

8. Geben Sie "N" ein. Wählen Sie die EINGABETASTE aus.

   

Die .intunewin Datei ist bereit, um Microsoft Intune bereitzustellen.

Bereitstellung des Global Secure Access Client mit Intune

Verweisen Sie auf detaillierte Anleitungen zum Hinzufügen und Zuweisen von Win32-Apps zu Microsoft Intune.

1. Navigiere zu https://intune.microsoft.com.

2. Auswählen Apps>Alle Apps>Hinzufügen.

3. Wählen Sie unter "Andere App-Typen" unter "App-Typ auswählen" die Option "Windows-App (Win32)" aus.

4. Wählen Sie Select aus. Die Hinzufügen App Schritte erscheinen.

5. Wählen Sie "App-Paketdatei auswählen" aus.

6. Wählen Sie das Ordnersymbol aus. Öffnen Sie die .intunewin Datei, die Sie im vorherigen Abschnitt erstellt haben.

   

7. Wählen Sie OK aus.

8. Konfigurieren Sie auf der Registerkarte "App-Informationen " die folgenden Felder:

   • Name: Geben Sie einen Namen für die Client-App ein.
   • Beschreibung : Geben Sie eine Beschreibung ein.
   • Publisher: Geben Sie Microsoft ein.
   • App-Version(optional):Geben Sie die Clientversion ein.

9. Verwenden Sie die Standardwerte in den verbleibenden Feldern.

   

10. Wählen Sie Weiteraus.

11. Konfigurieren Sie auf der Registerkarte "Programm " die folgenden Felder:

    • Installationsbefehl: Verwenden Sie den ursprünglichen Namen der .exe Datei für "OriginalNameOfFile.exe" /install /quiet /norestart.
    • Deinstallationsbefehl: Verwenden Sie den ursprünglichen Namen der .exe Datei für "OriginalNameOfFile.exe" /uninstall /quiet /norestart.
    • Verfügbare Deinstallation zulassen: Wählen Sie "Nein" aus.
    • Installationsverhalten: Wählen Sie "System" aus.
    • Verhalten des Geräteneustarts: Wählen Sie "Verhalten basierend auf Rückgabecodes ermitteln" aus.

12. Wählen Sie Weiteraus.

13. Konfigurieren Sie auf der Registerkarte "Anforderungen " die folgenden Felder:

    • Überprüfen Sie die Betriebssystemarchitektur: Wählen Sie "Ja" aus. Geben Sie die Systeme an, auf die die App installiert werden kann.
      • Wählen Sie die Optionen "Installieren" gemäß dem Systemtyp aus, für den Sie bereitstellen möchten.
    • Mindestbetriebssystem: Wählen Sie Ihre Mindestanforderungen aus.

14. Lassen Sie die restlichen Felder leer.

    

15. Wählen Sie Weiteraus.

16. Wählen Sie auf der Registerkarte " Erkennungsregeln " unter "Regelformat" die Option "Erkennungsregeln manuell konfigurieren" aus.

17. Wählen Sie Hinzufügen aus.

18. Wählen Sie unter "Regeltyp" die Option "Datei" aus.

19. Konfigurieren Sie diese Felder:

    • Pfad: Geben Sie C:\Program Files\Global Secure Access Client\TrayAppein.
    • Datei oder Ordner: Geben Sie GlobalSecureAccessClient.exeein.
    • Erkennungsmethode: Wählen Sie Zeichenfolge (Version) aus.
    • Operator: Wählen Sie „größer oder gleich“ aus.
    • Wert: Geben Sie die Clientversionsnummer ein.
    • 32-Bit-App auf 64-Bit-Client zugeordnet: Wählen Sie "Nein" aus.

    

20. Wählen Sie OK aus. Wählen Sie Weiteraus.

21. Wählen Sie zweimal "Weiter" aus, um zu "Aufgaben" zu wechseln.

22. Wählen Sie unter "Erforderlich" die Option "+Gruppe hinzufügen" aus. Wählen Sie eine Gruppe von Benutzern oder Geräten aus. Wählen Sie Select aus.

23. Die Nachfrist für den Neustart ist aktiviert, da das Skript zum Neustart auffordert.

    

24. Wählen Sie Weiteraus. Wählen Sie "Erstellen" aus.

Aktualisieren des Clients auf eine neuere Version

Um auf die neueste Clientversion zu aktualisieren, führen Sie die Schritte zur Aktualisierung einer Branchen-App aus. Achten Sie darauf, die folgenden Einstellungen zusätzlich zum Hochladen der neuen .intunewin Datei zu aktualisieren:

• Clientversion
• Erkennungsregelwert auf die neue Clientversionsnummer gesetzt

In einer Produktionsumgebung empfiehlt es sich, neue Clientversionen in einem phasenweisen Bereitstellungsansatz bereitzustellen:

1. Lassen Sie die vorhandene App an Ort und Stelle.
2. Fügen Sie eine neue App für die neue Clientversion hinzu, und wiederholen Sie die vorherigen Schritte.
3. Weisen Sie die neue App einer kleinen Gruppe von Benutzern zu, um die neue Clientversion zu testen. Es ist in Ordnung, diese Benutzer der App mit der veralteten Clientversion für eine vor-Ort-Aktualisierung zuzuweisen.
4. Erhöhen Sie die Mitgliedschaft der Pilotgruppe langsam, bis Sie den neuen Client auf allen gewünschten Geräten bereitstellen.
5. Löschen Sie die App mit der alten Clientversion.

Konfigurieren der Clienteinstellungen für den globalen sicheren Zugriff mit Intune

Administratoren können Wartungsskripts in Intune verwenden, um clientseitige Steuerelemente zu erzwingen, z. B. verhindern, dass Nicht-Administratoren den Client deaktivieren oder bestimmte Schaltflächen ausblenden.

# Check GSA registry keys 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 

} 

$nonCompliant = $false 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

$currentValue = (Get-ItemProperty -Path $gsaPath -Name $setting.Key -ErrorAction SilentlyContinue).$($setting.Key) 
 
if ($currentValue -ne $setting.Value) { 
 
    Write-Output "Non-compliant: $($setting.Key) is $currentValue, expected $($setting.Value)" 
 
    $nonCompliant = $true 
 
} 
  

} 

if (-not $nonCompliant) { 

Write-Output "Compliant" 
 
exit 0 
  

} else { 

Write-Output "Non-compliant" 
 
exit 1 
 

} 

# Ensure GSA registry keys are present 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 
  

} 

if (-Not (Test-Path $gsaPath)) { 

New-Item -Path $gsaPath -Force | Out-Null 
  

} 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

Set-ItemProperty -Path $gsaPath -Name $setting.Key -Value $setting.Value -Type DWord -Force | Out-Null 
 
Write-Output "Set $($setting.Key) to $($setting.Value)" 
  

}

Konfigurieren von Einstellungen für Microsoft Entra Internet Access mit Intune

Microsoft Entra Internet Access unterstützt noch nicht DNS über HTTPS oder Quick UDP Internet Connections (QUIC)-Datenverkehr. Um dies zu vermeiden, deaktivieren Sie diese Protokolle in den Browsern der Benutzer. Die folgenden Anweisungen enthalten Anleitungen zum Erzwingen dieser Steuerelemente mithilfe von Intune.

Deaktivieren von QUIC in Microsoft Edge und Chrome mit Intune

So deaktivieren Sie QUIC in Microsoft Edge und Chrome mit Intune:

1. Wählen Sie im Microsoft Intune Admin Center "Geräte verwalten" die Option "Gerätekonfiguration>>" aus.

2. Wählen Sie auf der Registerkarte "Richtlinien" die Option "+> erstellen" aus.

3. Im Dialogfeld Profil erstellen: Tun Sie Folgendes:

   • Legen Sie die Plattform auf Windows 10 und höher fest.
   • Legen Sie den Profiltyp auf den Einstellungskatalog fest.
   • Wählen Sie "Erstellen" aus. Das Formular "Profil erstellen" wird geöffnet.

4. Geben Sie auf der Registerkarte " Grundlagen " dem Profil einen Namen und eine Beschreibung.

5. Wählen Sie Weiteraus.

6. Auf der Registerkarte Konfigurationseinstellungen:

   1. Wählen Sie +Einstellungen hinzufügen aus.
   2. Suchen Sie in der Einstellungsauswahl nach "QUIC".
   3. Aus den Suchergebnissen:
      1. Wählen Sie Microsoft Edge aus, und wählen Sie die Einstellung "QuIC-Protokoll zulassen " aus.
      2. Wählen Sie als Nächstes Google Chrome aus , und wählen Sie die Einstellung "QuIC-Protokoll zulassen" aus.
   4. Suchen Sie in der Einstellungsauswahl nach "DNS-over-HTTPS".
   5. Aus den Suchergebnissen:
      1. Wählen Sie Microsoft Edge aus, und wählen Sie den Modus "Steuern des Modus der DNS-over-HTTPS-Einstellung " aus.
      2. Wählen Sie als Nächstes Google Chrome aus, und wählen Sie den Modus "Steuern des Modus der DNS-over-HTTPS-Einstellung " aus.
   6. Schließen Sie die Einstellungsauswahl.

7. Legen Sie für Google Chrome beide Schalter auf Deaktiviert fest.

8. Legen Sie für Microsoft Edge beide Umschaltfläche auf "Deaktiviert" fest.

   

9. Wählen Sie zweimal "Weiter" aus.

10. Auf der Registerkarte Aufgaben:

    1. Wählen Sie "Gruppen hinzufügen" aus.
    2. Wählen Sie eine Gruppe von Benutzern oder Geräten aus, um die Richtlinie zuzuweisen.
    3. Wählen Sie Select aus.

11. Wählen Sie Weiteraus.

12. Wählen Sie auf der Registerkarte "Überprüfen+ Erstellen " die Option "Erstellen" aus.

Konfigurieren von Firefox-Browsereinstellungen

Administratoren können Wartungsskripts in Intune verwenden, um DNS über HTTPS- und QUIC-Protokolle im Firefox-Browser zu deaktivieren.

# Define the path to the Firefox policies.json file 

$destination = "C:\Program Files\Mozilla Firefox\distribution\policies.json" $compliant = $false 

# Check if the file exists 

if (Test-Path $destination) { try { # Read the file content $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { # Parse JSON content $json = $fileContent | ConvertFrom-Json 

       # Check if Preferences exist under policies 
        if ($json.policies -and $json.policies.Preferences) { 
            $prefs = $json.policies.Preferences 
 
            # Convert Preferences to hashtable if needed 
            if ($prefs -isnot [hashtable]) { 
                $temp = @{} 
                $prefs.psobject.Properties | ForEach-Object { 
                    $temp[$_.Name] = $_.Value 
                } 
                $prefs = $temp 
            } 
 
            # Initialize compliance flags 
            $quicCompliant = $false 
            $dohCompliant = $false 
 
            # Check if QUIC is disabled and locked 
            if ($prefs.ContainsKey("network.http.http3.enable")) { 
                $val = $prefs["network.http.http3.enable"] 
                if ($val.Value -eq $false -and $val.Status -eq "locked") { 
                    $quicCompliant = $true 
                } 
            } 
 
            # Check if DNS over HTTPS is disabled and locked 
            if ($prefs.ContainsKey("network.trr.mode")) { 
                $val = $prefs["network.trr.mode"] 
                if ($val.Value -eq 0 -and $val.Status -eq "locked") { 
                    $dohCompliant = $true 
                } 
            } 
 
            # Set overall compliance if both settings are correct 
            if ($quicCompliant -and $dohCompliant) { 
                $compliant = $true 
            } 
        } 
    } 
} catch { 
    Write-Warning "Failed to parse policies.json: $_" 
} 
  

} 

# Output compliance result 

if ($compliant) { Write-Output "Compliant" Exit 0 } else { Write-Output "Non-compliant" Exit 1 } 

# Define paths 

$distributionDir = "C:\Program Files\Mozilla Firefox\distribution" $destination = Join-Path $distributionDir "policies.json" $backup = "$destination.bak" 

# Initialize variable for existing JSON 

$existingJson = $null 

# Try to read and parse existing policies.json 

if (Test-Path $destination) { $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { try { $existingJson = $fileContent | ConvertFrom-Json } catch { Write-Warning "Existing policies.json is malformed. Starting fresh." } } } 

#Create a new JSON structure if none exists 

if (-not $existingJson) { $existingJson = [PSCustomObject]@{ policies = [PSCustomObject]@{ Preferences = @{} } } } 

# Ensure policies and Preferences nodes exist 

if (-not $existingJson.policies) { $existingJson | Add-Member -MemberType NoteProperty -Name policies -Value ([PSCustomObject]@{}) } if (-not $existingJson.policies.Preferences) { $existingJson.policies | Add-Member -MemberType NoteProperty -Name Preferences -Value @{} } 

# Convert Preferences to hashtable if needed 

if ($existingJson.policies.Preferences -isnot [hashtable]) { $prefs = @{} $existingJson.policies.Preferences.psobject.Properties | ForEach-Object { $prefs[$.Name] = $.Value } $existingJson.policies.Preferences = $prefs } 

$prefObj = $existingJson.policies.Preferences $updated = $false 

# Ensure QUIC is disabled and locked

if (-not $prefObj.ContainsKey("network.http.http3.enable") -or $prefObj["network.http.http3.enable"].Value -ne $false -or $prefObj["network.http.http3.enable"].Status -ne "locked") { 

$prefObj["network.http.http3.enable"] = @{ 
    Value = $false 
    Status = "locked" 
} 
$updated = $true 
  

} 

# Ensure DNS over HTTPS is disabled and locked 

if (-not $prefObj.ContainsKey("network.trr.mode") -or $prefObj["network.trr.mode"].Value -ne 0 -or $prefObj["network.trr.mode"].Status -ne "locked") { 

$prefObj["network.trr.mode"] = @{ 
    Value = 0 
    Status = "locked" 
} 
$updated = $true 
} 

# If any updates were made, back up and write the new JSON 

if ($updated) { if (Test-Path $destination) { Copy-Item $destination $backup -Force } 

$jsonOut = $existingJson | ConvertTo-Json -Depth 10 -Compress 
$utf8NoBomEncoding = New-Object System.Text.UTF8Encoding($false) 
[System.IO.File]::WriteAllText($destination, $jsonOut, $utf8NoBomEncoding) 
} 

Manuelle Installation

Um den Global Secure Access Client manuell zu installieren:

1. Führen Sie die Setupdatei GlobalSecureAccessClient.exe aus. Akzeptieren Sie die Softwarelizenzbedingungen.
2. Der Client installiert und meldet Sie lautlos mit Ihren Microsoft Entra Anmeldeinformationen an. Wenn die lautlose Anmeldung fehlschlägt, fordert der Installer Sie auf, sich manuell anzumelden.
3. Melden Sie sich an. Das Verbindungssymbol wird grün.
4. Zeigen Sie auf das Verbindungssymbol, um die Clientstatus-Benachrichtigung zu öffnen, die als Connected angezeigt werden sollte.
   

Clientschnittstelle

Um die Clientschnittstelle für den globalen sicheren Zugriff zu öffnen, wählen Sie auf der Taskleiste das Symbol für den globalen sicheren Zugriff aus. Die Clientschnittstelle stellt eine Ansicht des aktuellen Verbindungsstatus, der für den Client konfigurierten Kanäle und den Zugriff auf Diagnosetools bereit.

Verbindungsansicht

In der Ansicht "Verbindungen " können Sie den Clientstatus und die für den Client konfigurierten Kanäle anzeigen. Um den Client zu deaktivieren, wählen Sie die Schaltfläche "Deaktivieren" aus . Sie können die Informationen im Abschnitt "Zusätzliche Details " verwenden, um probleme mit der Clientverbindung zu beheben. Wählen Sie " Weitere Details anzeigen " aus, um den Abschnitt zu erweitern und weitere Informationen anzuzeigen.

Problembehandlungssicht

In der Ansicht "Problembehandlung " können Sie verschiedene Diagnoseaufgaben ausführen. Sie können Protokolle mit Ihrem IT-Administrator exportieren und freigeben. Sie können auch auf das Erweiterte Diagnosetool zugreifen, das eine Reihe von Tools zur Problembehandlung bereitstellt. Hinweis: Sie können das Tool " Erweiterte Diagnose" auch über das Symbolmenü "Taskleiste" des Clients starten.

Einstellungsansicht

Wechseln Sie zur Einstellungsansicht , um die installierte Version zu überprüfen oder auf die Microsoft-Datenschutzbestimmungen zuzugreifen.

Clientaktionen

Um die verfügbaren Clientmenüaktionen anzuzeigen, wählen Sie das Taskleistensymbol für den globalen sicheren Zugriff aus.

Clientstatusindikatoren

Statusbenachrichtigung

Wählen Sie das Symbol für den globalen sicheren Zugriff aus, um die Clientstatusbenachrichtigung zu öffnen und den Status jedes Kanals anzuzeigen, der für den Client konfiguriert ist.

Clientstatus im Infobereichssymbol

Symbol	Meldung	Beschreibung
	Globaler sicherer Zugriff	Der Client initialisiert und überprüft seine Verbindung zu Global Secure Access.
	Global Secure Access - Verbunden	Der Client ist mit Global Secure Access verbunden.
	Global Secure Access - Deaktiviert	Der Client ist deaktiviert, weil Dienste offline sind oder der Benutzer den Client deaktiviert hat.
	Globaler sicherer Zugriff – getrennt	Der Client konnte keine Verbindung zu Global Secure Access herstellen.
	Global Secure Access - Einige Kanäle sind nicht erreichbar	Der Client ist partiell mit Global Secure Access verbunden (das heißt, die Verbindung zu mindestens einem Kanal ist ausgefallen: Microsoft Entra, Microsoft 365, Privater Zugriff, Internetzugriff
	Globaler sicherer Zugriff - Deaktiviert durch Ihre Organisation	Ihre Organisation hat den Client deaktiviert (das heißt, alle Datenverkehrsweiterleitungsprofile sind deaktiviert).
	Global Secure Access - Privat-Zugriff ist deaktiviert	Der Benutzer hat den Privatzugriff auf diesem Gerät deaktiviert.
	Global Secure Access - konnte keine Verbindung mit dem Internet herstellen	Der Client konnte keine Internetverbindung erkennen. Das Gerät ist entweder mit einem Netzwerk verbunden, das keine Internetverbindung hat, oder mit einem Netzwerk, das eine Anmeldung im Erfassungsportal erfordert.

Bekannte Einschränkungen

Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie unter "Bekannte Einschränkungen für den globalen sicheren Zugriff".

Problembehandlung

Um probleme mit dem globalen Secure Access-Client zu beheben, wählen Sie das Clientsymbol in der Taskleiste aus, und wählen Sie eine der Problembehandlungsoptionen aus: Exportprotokolle oder erweiterte Diagnosetool.

Weitere Informationen zur Problembehandlung für den globalen Secure Access-Client finden Sie in den folgenden Artikeln:

• Troubleshooting des Global Secure Access-Clients: Erweiterte Diagnose
• Troubleshooting des Global Secure Access Clients Integritätsregisterkarte

Client-Registrierungsschlüssel

Der Global Secure Access Client verwendet spezifische Registrierungsschlüssel, um verschiedene Funktionalitäten zu aktivieren oder zu deaktivieren. Administratoren können eine MDM-Lösung (Mobile Device Management) verwenden, z. B. Microsoft Intune oder Gruppenrichtlinien, um die Registrierungswerte zu steuern.

Benutzer mit eingeschränktem Zugriff einschränken

Administratoren können verhindern, dass nicht privilegierte Benutzer auf dem Windows-Gerät den Client deaktivieren oder aktivieren, indem Sie den folgenden Registrierungsschlüssel festlegen:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD

Privaten Zugriff auf dem Client deaktivieren oder aktivieren

Dieser Registrierungswert steuert, ob der private Zugriff für den Client aktiviert oder deaktiviert ist. Wenn ein Benutzer mit dem Unternehmensnetzwerk verbunden ist, kann er auswählen, Global Secure Access zu umgehen und direkt auf private Anwendungen zuzugreifen.

Benutzer können den privaten Zugriff über das Taskleistenmenü deaktivieren oder aktivieren.

Administratoren können den privaten Zugriff für den Benutzer deaktivieren oder aktivieren, indem sie den Registrierungsschlüssel festlegen:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Wenn der Registrierungsschlüssel nicht existiert, ist der Standardwert 0x0, Privat-Zugriff ist aktiviert.

Ein- oder Ausblenden von Menüschaltflächen im Infobereich

Administratoren können bestimmte Schaltflächen im Symbolmenü des Client-Taskleistensymbols ein- oder ausblenden. Erstellen Sie die Werte unter dem folgenden Registrierungsschlüssel:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Weitere Informationen finden Sie im Leitfaden zur Konfiguration von IPv6 in Windows für Advanced-Benutzer.

Verwandte Inhalte

• Global Secure Access Client für macOS
• Global Secure Access Client für Android
• Global Secure Access Client für iOS