Instalación del cliente de acceso seguro global para Windows

El cliente de Acceso seguro global es una parte esencial del acceso seguro global. Ayuda a las organizaciones a administrar y proteger el tráfico de red en dispositivos de usuario. El cliente enruta el tráfico que necesita ser protegido por Global Secure Access al servicio en la nube. El resto del tráfico va directamente a la red. Los perfiles de reenvío que configuró en el portal determinan el tráfico que el cliente de acceso seguro global enruta al servicio en la nube.

En este artículo se describe cómo descargar e instalar el cliente de Acceso seguro global para Windows. El cliente de Acceso seguro global también está disponible para macOS, Android e iOS.

Requisitos previos

• Un cliente de Microsoft Entra incorporado a Acceso Seguro Global.

• Un dispositivo vinculado o registrado (vista previa) en el inquilino incorporado:

  • El dispositivo debe estar unido a Microsoft Entra, unido de manera híbrida a Microsoft Entra, o registrado en Microsoft Entra. Para más información, consulte Introducción al cliente de Acceso seguro global.
  • Si el dispositivo no está unido o registrado, el cliente de Acceso seguro global lo registra en el inquilino cuando el usuario inicia sesión.
  • Si el dispositivo no está unido y tiene varios registros, inicie sesión con el usuario Microsoft Entra del inquilino al que debe conectarse Global Secure Access.
  • En los dispositivos registrados de Microsoft Entra, solo se admite el tráfico de acceso privado.

• Una versión de 64 bits de Windows 10 (LTSC 2021 o posterior), Windows 11 o una versión arm64 de Windows 11:

  • Se admite Azure Virtual Desktop de sesión única.
  • Azure Virtual Desktop no admite la sesión múltiple.
  • Windows 365 es compatible.
  • Windows en dispositivos Arm (como Surface Pro y Surface Laptop con procesadores Snapdragon) requieren un instalador de cliente independiente. No use el instalador x64 estándar en dispositivos Arm64.

• Credenciales de administrador local para instalar o actualizar el cliente de Acceso seguro global.

• Una licencia. Para obtener más información, consulte la sección de licencias de ¿Qué es el acceso seguro global?. Si es necesario, puede comprar licencias o obtener licencias de prueba.

Descarga del cliente

La versión más reciente del cliente de Acceso seguro global está disponible para descargarse desde el Microsoft Entra admin center:

1. Inicie sesión en el Microsoft Entra admin center como Administrador de acceso seguro global.

2. Vaya a Global Secure Access>Connect>Descarga del cliente.

3. Seleccione Descargar cliente.

   

Instala el cliente

Instalación automatizada

Las organizaciones pueden instalar el cliente de acceso seguro global silenciosamente mediante el /quiet parámetro. O bien, pueden usar soluciones de administración de dispositivos móviles (MDM), como Microsoft Intune, para implementar el cliente en sus dispositivos.

Uso de Microsoft Intune para implementar el cliente de acceso seguro global

En esta sección se explica cómo usar Intune para instalar el cliente de acceso seguro global en un dispositivo cliente de Windows 11.

Requisitos previos

• Un grupo de seguridad con dispositivos o usuarios para identificar dónde instalar el cliente de Acceso seguro global.

Empaquetar el cliente

Empaquete el script de instalación en un .intunewin archivo:

1. Guarde el siguiente script de PowerShell en el dispositivo. Coloque el script de PowerShell y el instalador de Acceso .exe seguro global en una carpeta.

   El script de instalación de PowerShell instala el cliente de Acceso seguro global, establece la clave del IPv4Preferred Registro para preferir IPv4 a través del tráfico IPv6 y solicita un reinicio para que el cambio de clave del Registro surta efecto.

   Nota

   El nombre del .exe archivo debe ser GlobalSecureAccessClient.exe para que el script de instalación de PowerShell funcione correctamente. Si modifica el nombre del archivo .exe a otra cosa, también debe modificar $installerPath en el script de PowerShell.

   # Create log directory and log helper
   $logFile = "$env:ProgramData\GSAInstall\install.log"
   New-Item -ItemType Directory -Path (Split-Path $logFile) -Force | Out-Null
   
   function Write-Log {
       param([string]$message)
       $timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
       Add-Content -Path $logFile -Value "$timestamp - $message"
   }
   
   try {
       $ErrorActionPreference = 'Stop'
       Write-Log "Starting Global Secure Access client installation."
   
       # IPv4 preferred via DisabledComponents registry value
       $ipv4RegPath    = "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters"
       $ipv4RegName    = "DisabledComponents"
       $ipv4RegValue   = 0x20  # Prefer IPv4 over IPv6
       $rebootRequired = $false
   
       # Ensure the key exists
       if (-not (Test-Path $ipv4RegPath)) {
           New-Item -Path $ipv4RegPath -Force | Out-Null
           Write-Log "Created registry key: $ipv4RegPath"
       }
   
       # Get current value if present
       $existingValue = $null
       $valueExists = $false
       try {
           $existingValue = Get-ItemPropertyValue -Path $ipv4RegPath -Name $ipv4RegName -ErrorAction Stop
           $valueExists = $true
       } catch {
           $valueExists = $false
       }
   
       # Determine if we must change it
       $expected = [int]$ipv4RegValue
       $needsChange = -not $valueExists -or ([int]$existingValue -ne $expected)
   
       if ($needsChange) {
           if (-not $valueExists) {
               # Create as DWORD when missing
               New-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -PropertyType DWord -Value $expected -Force | Out-Null
               Write-Log ("IPv4Preferred value missing. Created '{0}' with value 0x{1} (dec {2})." -f $ipv4RegName, ([Convert]::ToString($expected,16)), $expected)
           } else {
               # Update if different
               Set-ItemProperty -Path $ipv4RegPath -Name $ipv4RegName -Value $expected
               Write-Log ("IPv4Preferred value differed. Updated '{0}' from 0x{1} (dec {2}) to 0x{3} (dec {4})." -f `
                   $ipv4RegName, ([Convert]::ToString([int]$existingValue,16)), [int]$existingValue, ([Convert]::ToString($expected,16)), $expected)
           }
           $rebootRequired = $true
       } else {
           Write-Log ("IPv4Preferred already set correctly: {0}=0x{1} (dec {2}). No change." -f `
               $ipv4RegName, ([Convert]::ToString($expected,16)), $expected)
       }
   
       # Resolve installer path
       $ScriptRoot = if ($PSScriptRoot) { $PSScriptRoot } else { Split-Path -Parent $MyInvocation.MyCommand.Path }
       $installerPath = Join-Path -Path $ScriptRoot -ChildPath "GlobalSecureAccessClient.exe"
       Write-Log "Running installer from $installerPath"
   
       if (Test-Path $installerPath) {
           $installProcess = Start-Process -FilePath $installerPath -ArgumentList "/quiet" -Wait -PassThru
   
           if ($installProcess.ExitCode -eq 1618) {
               Write-Log "Another installation is in progress. Exiting with code 1618."
               exit 1618
           } elseif ($installProcess.ExitCode -ne 0) {
               Write-Log "Installer exited with code $($installProcess.ExitCode)."
               exit $installProcess.ExitCode
           }
   
           Write-Log "Installer completed successfully."
       } else {
           Write-Log "Installer not found at $installerPath"
           exit 1
       }
   
       if ($rebootRequired) {
           Write-Log "Reboot required due to registry value creation or update."
           exit 3010  # Soft reboot required
       } else {
           Write-Log "Installation complete. No reboot required."
           exit 0
       }
   }
   catch {
       Write-Log "Fatal error: $_"
       exit 1603
   }
   

2. Vaya a la Herramienta de Preparación de Contenido Microsoft Win32. Seleccione IntuneWinAppUtil.exe.

   

3. En la esquina superior derecha, seleccione Más acciones> de archivoDescargar.

   

4. Navegue hasta IntuneWinAppUtil.exe y ejecútalo. Se abre un símbolo del sistema.

5. Ingrese la ruta de acceso de la carpeta donde se encuentra el archivo de acceso seguro global .exe. Seleccione Escriba.

6. Escriba el nombre del archivo de instalación .ps1 de Global Secure Access. Seleccione Escriba.

7. Escriba la ruta de acceso de la carpeta en la que se va a colocar el .intunewin archivo. Seleccione Escriba.

8. Escriba N. Seleccione Entrar.

   

El archivo .intunewin está listo para implementar Microsoft Intune.

Implementación del cliente

Para obtener instrucciones detalladas, consulte Agregar una aplicación Win32 a Intune.

1. Vaya al centro de administración de Intune.

2. Seleccione Aplicaciones>Todas las aplicaciones>Adicionar.

3. En Seleccione el tipo de aplicación, en Otros tipos de aplicación, seleccione Aplicación de Windows (Win32).

4. Elija Seleccione. Aparecen los pasos de Agregar aplicación.

5. Elija Seleccionar archivo de paquete de aplicación.

6. Seleccione el icono de la carpeta. Abra el .intunewin archivo que creó en la sección anterior.

   

7. Selecciona Aceptar.

8. En la pestaña Información de la aplicación , configure estos valores:

   • Nombre: escriba un nombre para la aplicación cliente.
   • Descripción: escriba una descripción.
   • Publisher: Escriba Microsoft.
   • Versión de la aplicación(opcional): escriba la versión del cliente.

9. Use los valores predeterminados para el resto de la configuración.

   

10. Seleccione Siguiente.

11. En la pestaña Programa , configure estos valores:

    • Comando de instalación: use el nombre original del .ps1 archivo para powershell.exe -ExecutionPolicy Bypass -File OriginalNameOfFile.ps1.

    • Comando Desinstalar: escriba "GlobalSecureAccessClient.exe" /uninstall /quiet /norestart.

    • Permitir desinstalación disponible: seleccione No.

    • Comportamiento de instalación: seleccione Sistema.

    • Comportamiento de reinicio del dispositivo: seleccione Determinar el comportamiento en función de los códigos de retorno. Especifique los siguientes códigos de retorno.

      Código de retorno	Tipo de código
      0	Éxito
      3010	Reinicio suave
      1618	Volver a intentar

    

12. Seleccione Siguiente.

13. En la pestaña Requisitos , configure estos valores:

    • Comprobar la arquitectura del sistema operativo: seleccione Sí. Especifique los sistemas en los que se puede instalar la aplicación. A continuación, seleccione las opciones Instalar en según el tipo de sistema en el que va a realizar la implementación.
    • Sistema operativo mínimo: seleccione los requisitos mínimos.

14. Deje los cuadros restantes en blanco.

    

    Nota

    Windows en dispositivos Arm tienen su propio cliente, que está disponible en aka.ms/GlobalSecureAccess-WindowsOnArm.

15. Seleccione Siguiente.

16. En la pestaña Reglas de detección , en Formato de reglas, seleccione Configurar manualmente las reglas de detección.

17. Selecciona Agregar.

18. En Tipo de regla, seleccione Archivo.

19. Configure estos valores:

    • Ruta de acceso: escriba C:\Program Files\Global Secure Access Client\TrayApp.
    • Archivo o carpeta: escriba GlobalSecureAccessClient.exe.
    • Método de detección: seleccione Cadena (versión).
    • Operador, seleccione Es mayor o igual que.
    • Valor: escriba el número de versión del cliente.
    • Asociado a una aplicación de 32 bits en el cliente de 64 bits: seleccione No.

    

20. Selecciona Aceptar. Luego, selecciona Siguiente.

21. Seleccione Siguiente dos veces para ir a Asignaciones.

22. En Obligatorio, seleccione +Agregar grupo. Seleccione un grupo de usuarios o dispositivos y, a continuación, elija Seleccionar.

23. Establezca Reiniciar período de gracia en Habilitado para evitar interrumpir a los usuarios con un reinicio brusco del dispositivo.

    

24. Seleccione Siguiente. A continuación, seleccione Crear.

Actualización de la versión del cliente

Para actualizar a la versión de cliente más reciente, siga los pasos Actualizar una aplicación de línea de negocio . Asegúrese de actualizar la siguiente configuración además de cargar el nuevo .intunewin archivo:

• Versión del cliente
• Conjunto de valores de regla de detección al nuevo número de versión de cliente

En un entorno de producción, se recomienda implementar nuevas versiones de cliente en un enfoque de implementación por fases:

1. Deje la aplicación existente en su lugar.

2. Agregue una nueva aplicación para la nueva versión de cliente repitiendo los pasos anteriores.

3. Asigne la nueva aplicación a un pequeño grupo de usuarios para probar la nueva versión de cliente. Es correcto asignar estos usuarios a la aplicación con la versión de cliente anterior para una actualización local.

4. Aumente lentamente la pertenencia del grupo piloto hasta que implemente el nuevo cliente en todos los dispositivos deseados.

5. Elimine la aplicación con la versión anterior del cliente.

Configuración del cliente de Acceso seguro global mediante Intune

Los administradores pueden usar scripts de corrección en Intune para aplicar controles del lado cliente, como impedir que los usuarios generales deshabiliten el cliente o oculten botones específicos.

Asegúrese de configurar estos scripts para que se ejecuten en PowerShell de 64 bits.

Seleccione los scripts de PowerShell para expandirlos.

# Check Global Secure Access registry keys 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 

} 

$nonCompliant = $false 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

$currentValue = (Get-ItemProperty -Path $gsaPath -Name $setting.Key -ErrorAction SilentlyContinue).$($setting.Key) 
 
if ($currentValue -ne $setting.Value) { 
 
    Write-Output "Non-compliant: $($setting.Key) is $currentValue, expected $($setting.Value)" 
 
    $nonCompliant = $true 
 
} 
  

} 

if (-not $nonCompliant) { 

Write-Output "Compliant" 
 
exit 0 
  

} else { 

Write-Output "Non-compliant" 
 
exit 1 
 

} 

# Ensure Global Secure Access registry keys are present 

$gsaPath = "HKLM:\SOFTWARE\Microsoft\Global Secure Access Client" 

$gsaSettings = @{ 

"HideSignOutButton" = 1 
 
"HideDisablePrivateAccessButton" = 1 
 
"HideDisableButton" = 0 
 
"RestrictNonPrivilegedUsers" = 0 
  

} 

if (-Not (Test-Path $gsaPath)) { 

New-Item -Path $gsaPath -Force | Out-Null 
  

} 

foreach ($setting in $gsaSettings.GetEnumerator()) { 

Set-ItemProperty -Path $gsaPath -Name $setting.Key -Value $setting.Value -Type DWord -Force | Out-Null 
 
Write-Output "Set $($setting.Key) to $($setting.Value)" 
  

}

Configuración de las opciones de Microsoft Entra Internet Access mediante Intune

Microsoft Entra Internet Access no admite DNS a través de HTTPS ni conexiones rápidas de Internet UDP (QUIC). Para mitigar esta limitación, deshabilite estos protocolos en los exploradores de los usuarios. Las instrucciones siguientes proporcionan instrucciones sobre cómo aplicar estos controles mediante Intune.

Deshabilitación de QUIC en Microsoft Edge y Chrome mediante Intune

1. En el Centro de administración de Microsoft Intune, seleccione Devices>Administrar dispositivos>Configuration.

2. En la pestaña Directivas , seleccione + Crear>+ Nueva directiva.

3. En el cuadro de diálogo Crear un perfil :

   • Establezca Platform en Windows 10 y versiones posteriores.
   • Establezca Tipo de perfil en Catálogo de configuración.
   • Selecciona Crear. Se abre el formulario Crear perfil .

4. En la pestaña Aspectos básicos , asigne un nombre y una descripción al perfil.

5. Seleccione Siguiente.

6. En la pestaña Configuración :

   1. Seleccione + Agregar configuración.
   2. En selector de configuración, busque QUIC.
   3. En los resultados de la búsqueda:
      1. Seleccione Microsoft Edge y, a continuación, seleccione la configuración Allow QUIC protocol.
      2. Seleccione Google Chrome y, a continuación, seleccione la opción Permitir protocolo QUIC .
   4. En el selector de ajustes, busque DNS sobre HTTPS.
   5. En los resultados de la búsqueda:
      1. Selecciona Microsoft Edge y, a continuación, selecciona la configuración Controlar el modo de DNS sobre HTTPS.
      2. Seleccione Google Chrome y, a continuación, seleccione la opción Controlar el modo de DNS a través de HTTPS .
   6. Cierre el selector de configuración.

7. En Google Chrome, establezca ambas alternancias en Deshabilitado.

8. Para Microsoft Edge, establezca ambas alternancias en Desactivado.

   

9. Seleccione Siguiente dos veces.

10. En la pestaña Asignaciones :

    1. Seleccione Agregar grupos.
    2. Seleccione un grupo de usuarios o dispositivos para asignar la directiva.
    3. Elija Seleccionar.

11. Seleccione Siguiente.

12. En la pestaña Revisar y crear, seleccione Crear.

Configuración del explorador Firefox

Los administradores pueden usar scripts de corrección en Intune para deshabilitar DNS a través de protocolos HTTPS y QUIC en el explorador Firefox.

Asegúrese de configurar estos scripts para que se ejecuten en PowerShell de 64 bits.

Seleccione los scripts de PowerShell para expandirlos.

# Define the path to the Firefox policies.json file 

$destination = "C:\Program Files\Mozilla Firefox\distribution\policies.json" $compliant = $false 

# Check if the file exists 

if (Test-Path $destination) { try { # Read the file content $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { # Parse JSON content $json = $fileContent | ConvertFrom-Json 

       # Check if Preferences exist under policies 
        if ($json.policies -and $json.policies.Preferences) { 
            $prefs = $json.policies.Preferences 
 
            # Convert Preferences to hashtable if needed 
            if ($prefs -isnot [hashtable]) { 
                $temp = @{} 
                $prefs.psobject.Properties | ForEach-Object { 
                    $temp[$_.Name] = $_.Value 
                } 
                $prefs = $temp 
            } 
 
            # Initialize compliance flags 
            $quicCompliant = $false 
            $dohCompliant = $false 
 
            # Check if QUIC is disabled and locked 
            if ($prefs.ContainsKey("network.http.http3.enable")) { 
                $val = $prefs["network.http.http3.enable"] 
                if ($val.Value -eq $false -and $val.Status -eq "locked") { 
                    $quicCompliant = $true 
                } 
            } 
 
            # Check if DNS over HTTPS is disabled and locked 
            if ($prefs.ContainsKey("network.trr.mode")) { 
                $val = $prefs["network.trr.mode"] 
                if ($val.Value -eq 0 -and $val.Status -eq "locked") { 
                    $dohCompliant = $true 
                } 
            } 
 
            # Set overall compliance if both settings are correct 
            if ($quicCompliant -and $dohCompliant) { 
                $compliant = $true 
            } 
        } 
    } 
} catch { 
    Write-Warning "Failed to parse policies.json: $_" 
} 
  

} 

# Output compliance result 

if ($compliant) { Write-Output "Compliant" Exit 0 } else { Write-Output "Non-compliant" Exit 1 } 

# Define paths 

$distributionDir = "C:\Program Files\Mozilla Firefox\distribution" $destination = Join-Path $distributionDir "policies.json" $backup = "$destination.bak" 

# Initialize variable for existing JSON 

$existingJson = $null 

# Try to read and parse existing policies.json 

if (Test-Path $destination) { $fileContent = Get-Content $destination -Raw if ($fileContent -and $fileContent.Trim().Length -gt 0) { try { $existingJson = $fileContent | ConvertFrom-Json } catch { Write-Warning "Existing policies.json is malformed. Starting fresh." } } } 

#Create a new JSON structure if none exists 

if (-not $existingJson) { $existingJson = [PSCustomObject]@{ policies = [PSCustomObject]@{ Preferences = @{} } } } 

# Ensure policies and Preferences nodes exist 

if (-not $existingJson.policies) { $existingJson | Add-Member -MemberType NoteProperty -Name policies -Value ([PSCustomObject]@{}) } if (-not $existingJson.policies.Preferences) { $existingJson.policies | Add-Member -MemberType NoteProperty -Name Preferences -Value @{} } 

# Convert Preferences to hashtable if needed 

if ($existingJson.policies.Preferences -isnot [hashtable]) { $prefs = @{} $existingJson.policies.Preferences.psobject.Properties | ForEach-Object { $prefs[$.Name] = $.Value } $existingJson.policies.Preferences = $prefs } 

$prefObj = $existingJson.policies.Preferences $updated = $false 

# Ensure QUIC is disabled and locked

if (-not $prefObj.ContainsKey("network.http.http3.enable") -or $prefObj["network.http.http3.enable"].Value -ne $false -or $prefObj["network.http.http3.enable"].Status -ne "locked") { 

$prefObj["network.http.http3.enable"] = @{ 
    Value = $false 
    Status = "locked" 
} 
$updated = $true 
  

} 

# Ensure DNS over HTTPS is disabled and locked 

if (-not $prefObj.ContainsKey("network.trr.mode") -or $prefObj["network.trr.mode"].Value -ne 0 -or $prefObj["network.trr.mode"].Status -ne "locked") { 

$prefObj["network.trr.mode"] = @{ 
    Value = 0 
    Status = "locked" 
} 
$updated = $true 
} 

# If any updates were made, back up and write the new JSON 

if ($updated) { if (Test-Path $destination) { Copy-Item $destination $backup -Force } 

$jsonOut = $existingJson | ConvertTo-Json -Depth 10 -Compress 
$utf8NoBomEncoding = New-Object System.Text.UTF8Encoding($false) 
[System.IO.File]::WriteAllText($destination, $jsonOut, $utf8NoBomEncoding) 
} 

Instalación manual del cliente de acceso seguro global

1. Ejecute el archivo de GlobalSecureAccessClient.exe instalación. Acepte los términos de licencia del software.

2. El cliente se instala y inicia sesión silenciosamente con sus credenciales de Microsoft Entra. Si se produce un error en el inicio de sesión silencioso, el instalador solicitará que inicie sesión manualmente.

3. El icono de conexión se vuelve verde. Mantenga el puntero sobre él para abrir la notificación de estado de cliente, que debe mostrarse como Conectado.

   

Interfaz del cliente

Para abrir la interfaz de cliente de Acceso seguro global, seleccione el icono Acceso seguro global en la bandeja del sistema. La interfaz de cliente proporciona una vista del estado de conexión actual, los canales configurados para el cliente y el acceso a las herramientas de diagnóstico.

Vista de Conexiones

La vista Conexiones muestra el estado del cliente y los canales configurados para el cliente. Estas acciones están disponibles para usted:

• Para deshabilitar el cliente, seleccione el botón Deshabilitar .
• Para solucionar problemas de conexión de cliente, puede usar la información de la sección Detalles adicionales .
• Para expandir la sección y ver más información, seleccione Mostrar más detalles.

Vista de solución de problemas

En la vista Solución de problemas , puede:

• Realice varias tareas de diagnóstico.
• Exporte y comparta registros con el administrador de TI.
• Acceda a la herramienta de diagnóstico avanzado , que proporciona una gran variedad de herramientas de solución de problemas. (También puede abrir la herramienta de diagnóstico avanzado en el menú de iconos de la bandeja del sistema del cliente).

Vista de configuración

Cambie a la vista Settings para comprobar la versión instalada o acceder a la declaración de privacidad de Microsoft.

Acciones de cliente

Para ver las acciones disponibles en el menú cliente, seleccione el icono Acceso seguro global en la bandeja del sistema.

Indicadores de estado de cliente

Notificación de estado

Seleccione el icono Acceso seguro global para abrir la notificación de estado de cliente y ver el estado de cada canal que configuró para el cliente.

Estados de cliente en la bandeja del sistema

Icono	Message	Descripción
	Acceso global seguro	El cliente está inicializando y comprobando su conexión con Acceso seguro global.
	Acceso seguro global: conectado	El cliente está conectado al Acceso seguro global.
	Acceso seguro global: deshabilitado	El cliente está deshabilitado porque los servicios están sin conexión o el usuario deshabilitó el cliente.
	Acceso seguro global: desconectado	El cliente no se pudo conectarse al Acceso seguro global.
	Acceso seguro global: algunos canales no están accesibles	El cliente está conectado parcialmente al acceso seguro global. Es decir, se produjo un error en la conexión a al menos un canal: Microsoft Entra, Microsoft 365, Acceso privado, Acceso a Internet.
	Acceso seguro global: deshabilitado por su organización	La organización deshabilitó el cliente. Es decir, todos los perfiles de reenvío de tráfico están deshabilitados.
	Acceso seguro global: acceso privado deshabilitado	El usuario deshabilitó el Acceso privado en este dispositivo.
	Acceso seguro global: no se pudo conectar a Internet	El cliente no pudo detectar una conexión a Internet. El dispositivo está conectado a una red que no tiene una conexión a Internet o conectada a una red que requiere el inicio de sesión del portal cautivo.

Restricciones conocidas

Para obtener información detallada sobre los problemas conocidos y las limitaciones, consulte Limitaciones conocidas del acceso seguro global.

Solución de problemas

Para solucionar problemas del cliente de acceso seguro global, seleccione el icono de cliente en la barra de tareas y, a continuación, seleccione una de las opciones de solución de problemas: Exportar registros o herramienta de diagnóstico avanzado.

Para obtener más información sobre cómo solucionar problemas del cliente de Acceso seguro global, consulte los siguientes artículos:

• Solucionar problemas del cliente Global Secure Access para Windows: Diagnósticos avanzados
• Solucionar problemas del cliente de Global Secure Access para Windows: pestaña de verificación de estado

Recomendaciones de seguridad

Para mejorar la seguridad del cliente de acceso seguro global, use las siguientes configuraciones.

Actualización a la versión de cliente más reciente

Pruebe e implemente periódicamente la versión más reciente del cliente de Acceso seguro global para aprovechar las nuevas características, mejoras de rendimiento y correcciones de seguridad. Descargue la versión más reciente del cliente de Global Secure Access desde el Microsoft Entra admin center.

Restringir a los usuarios no privilegiados para que no deshabiliten el cliente.

Los administradores pueden impedir que los usuarios sin privilegios en dispositivos Windows deshabiliten o habiliten el Cliente de Acceso Seguro Global. Esta restricción garantiza que el cliente permanezca activado y que el acceso seguro global siga autenticando y ayudar a proteger el tráfico de red. La habilitación de esta restricción requiere privilegios elevados para deshabilitar el cliente.

Antes de aplicar esta restricción, permita a los usuarios trabajar con el cliente de acceso seguro global en un modo no restringido. Configure el cliente de su organización para asegurarse de que los usuarios no necesitan deshabilitar el cliente en escenarios específicos (por ejemplo, para acceder a sitios web específicos o para usar una VPN que no sea de Microsoft en paralelo).

Para detener el cliente de acceso seguro global en un dispositivo con usuarios restringidos y sin privilegios, asegúrese de que haya un proceso en vigor para usar un usuario con privilegios de administrador local cuando sea necesario. Para obtener más información sobre cómo restringir usuarios sin privilegios, vea Restringir usuarios sin privilegios.

Ocultar el botón Deshabilitar

Además de restringir a los usuarios no privados de deshabilitar el cliente, los administradores pueden ocultar el botón Deshabilitar en el menú de iconos de la bandeja del sistema del cliente. Al quitar el botón Deshabilitar de la vista, se reduce aún más la probabilidad de que los usuarios deshabiliten el cliente por accidente o sin autorización.

Para obtener más información sobre cómo ocultar botones de menú de cliente, vea Ocultar o mostrar botones de menú en la bandeja del sistema.

Claves del registro de cliente

El cliente de Acceso seguro global usa claves del Registro específicas para habilitar o deshabilitar funcionalidades. Los administradores pueden usar una solución MDM, como Microsoft Intune o directiva de grupo, para controlar los valores del Registro.

Restringir usuarios sin privilegios

Los administradores pueden impedir que los usuarios no privados del dispositivo Windows deshabiliten o habiliten el cliente estableciendo la siguiente clave del Registro: Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client.

Deshabilitar o habilitar el Acceso privado en el cliente

Este valor del registro controla si el Acceso privado está habilitado o deshabilitado para el cliente. Si un usuario está conectado a la red corporativa, puede optar por omitir el acceso seguro global y acceder directamente a las aplicaciones privadas.

Los usuarios pueden deshabilitar o habilitar el acceso privado a través del menú de la bandeja del sistema.

Los administradores pueden deshabilitar o habilitar el acceso privado para el usuario estableciendo la siguiente clave del Registro: Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client.

Si el valor del Registro no existe, el valor predeterminado es 0x0 y Private Access está habilitado.

Ocultar o mostrar botones de menú en la bandeja del sistema

Los administradores pueden mostrar u ocultar botones específicos en el menú de iconos de la bandeja del sistema del cliente. Cree los valores en la siguiente clave del Registro: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client.

Para obtener más información, consulte Guidance para configurar IPv6 en Windows para usuarios avanzados.

Contenido relacionado

• Instalación del cliente de acceso seguro global para macOS
• Instalación del cliente de Acceso seguro global para Android
• Instalación del cliente de acceso seguro global para iOS