Řešení potíží s klientem globálního zabezpečeného přístupu: Pokročilá diagnostika
Tento dokument obsahuje pokyny pro řešení potíží pro globálního klienta zabezpečeného přístupu. Prozkoumá jednotlivé karty nástroje Advanced Diagnostics.
Úvod
Klient globálního zabezpečeného přístupu běží na pozadí a směruje relevantní síťový provoz do globálního zabezpečeného přístupu. Nevyžaduje interakci uživatele. Pokročilý diagnostický nástroj zviditelňuje chování klienta pro správce a pomáhá při řešení potíží.
Spuštění rozšířeného diagnostického nástroje
Spuštění rozšířeného diagnostického nástroje:
- Pravým tlačítkem myši klikněte na ikonu klienta globálního zabezpečeného přístupu v hlavním panelu systému.
- Vyberte Pokročilou diagnostiku. Pokud je tato možnost povolená, nástroj Řízení uživatelských účtů (UAC) zobrazí výzvu ke zvýšení oprávnění.
Karta Přehled
Karta Přehled pokročilé diagnostiky zobrazuje obecné podrobnosti o konfiguraci klienta globálního zabezpečeného přístupu:
- Uživatelské jméno: Hlavní název uživatele Microsoft Entra uživatele, který se ověřil v klientovi.
- ID zařízení: ID zařízení v Microsoft Entra. Zařízení musí být připojené k tenantovi.
- ID tenanta: ID tenanta, na kterého klient odkazuje, což je stejný tenant, ke kterému je zařízení připojené.
- ID přeposílajícího profilu: ID předávacího profilu aktuálně používaného klientem.
- Profil přeposílání naposledy zaškrtnuto: Čas, kdy klient naposledy zkontroloval aktualizovaný profil předávání.
- Verze klienta: Verze globálního klienta zabezpečeného přístupu, který je aktuálně nainstalovaný na zařízení.
Karta Kontrola stavu
Karta Kontrola stavu provádí běžné testy, abyste ověřili, že klient funguje správně a že jsou spuštěné jeho komponenty. Podrobnější pokrytí karty Kontrola stavu najdete v tématu Řešení potíží s klientem globálního zabezpečeného přístupu: karta Kontrola stavu.
Karta Přeposílání profilu
Karta Profil předávání zobrazuje seznam aktuálních aktivních pravidel, která jsou nastavená pro profil předávání. Karta obsahuje následující informace:
- ID přeposílání profilu: ID předávacího profilu aktuálně používaného klientem.
- Profil přeposílání naposledy zaškrtnutý: Čas, kdy klient naposledy zkontroloval aktualizovaný profil předávání.
- Podrobnosti o aktualizaci: Vyberte, pokud chcete znovu načíst data předávání z mezipaměti klienta (v případě, že byla aktualizována z poslední aktualizace).
- Tester zásad: Vyberte, pokud chcete zobrazit aktivní pravidlo pro připojení k určitému cíli.
- Přidat filtr: Vyberte, pokud chcete nastavit filtry, aby se zobrazila pouze podmnožina pravidel podle konkrétní sady vlastností filtru.
- Sloupce: Vyberte, pokud chcete zvolit sloupce, které se mají zobrazit v tabulce.
V části Pravidla se zobrazuje seznam pravidel seskupených podle jednotlivých úloh (pravidla M365, pravidla privátního přístupu, pravidla přístupu k internetu). Tento seznam obsahuje jenom pravidla pro úlohy aktivované ve vašem tenantovi.
Tip
Pokud pravidlo obsahuje několik cílů, například plně kvalifikovaný název domény (FQDN) nebo rozsah IP adres, bude pravidlo zahrnovat několik řádků, přičemž pro každý cíl bude mít jeden řádek.
Pro každé pravidlo zahrnují dostupné sloupce:
- Priorita: Priorita pravidla. Pravidla s vyšší prioritou (menší číselná hodnota) mají přednost před pravidly s nižší prioritou.
- Cíl (IP/FQDN):: Cíl provozu podle plně kvalifikovaného názvu domény nebo IP adresy.
- Protokol: Síťový protokol pro provoz: TCP nebo UDP.
- Port: Cílový port provozu.
- Akce: Akce, kterou klient provede, když odchozí provoz ze zařízení odpovídá cíli, protokolu a portu. Podporované akce jsou tunel (trasa do globálního zabezpečeného přístupu) nebo obejití (přejít přímo do cíle).
- Posílení zabezpečení: Akce, kdy se má provoz tunelovat (směrovat na globální zabezpečený přístup), ale připojení ke cloudové službě selže. Podporované akce posílení zabezpečení jsou blokované (vypustit připojení) nebo obejít (umožnit připojení přejít přímo do sítě).
- ID pravidla: Jedinečný identifikátor pravidla v profilu předávání.
- ID aplikace: ID privátní aplikace přidružené k pravidlu. Tento sloupec je relevantní jenom pro soukromé aplikace.
Karta Získání názvu hostitele
Karta Získání názvu hostitele umožňuje kolekci živého seznamu názvů hostitelů získaných klientem na základě pravidel plně kvalifikovaného názvu domény v profilu předávání. Každý název hostitele se zobrazí v novém řádku.
- Začněte shromažďovat: Výběrem zahájíte živou kolekci získaných názvů hostitelů.
- Export sdíleného svazku clusteru: Vyberte, pokud chcete exportovat seznam získaných názvů hostitelů do souboru CSV.
- Vymazat tabulku: Výběrem vymažete získané názvy hostitelů zobrazené v tabulce.
- Přidat filtr: Vyberte, pokud chcete nastavit filtry, aby se zobrazila pouze podmnožina získaných názvů hostitelů podle konkrétní sady vlastností filtru.
- Sloupce: Vyberte, pokud chcete zvolit sloupce, které se mají zobrazit v tabulce.
Pro každý název hostitele zahrnují dostupné sloupce:
- Časové razítko: Datum a čas každého získání názvu hostitele plně kvalifikovaného názvu domény.
- Plně kvalifikovaný název domény: Plně kvalifikovaný název domény získaného názvu hostitele.
- Vygenerovaná IP adresa: IP adresa vygenerovaná klientem pro interní účely. Tato IP adresa se zobrazuje na kartě přenosů pro připojení, která jsou navázána k odpovídajícímu plně kvalifikovanému názvu domény.
- Získané: Zobrazí ano nebo ne označující, jestli plně kvalifikovaný název domény odpovídá pravidlu v profilu přeposílání.
- Původní IP adresa: První adresa IPv4 v odpovědi DNS pro dotaz plně kvalifikovaného názvu domény. Pokud server DNS koncového uživatele nevrátí adresu IPv4 dotazu, zobrazí se v původním sloupci IP adresy prázdná hodnota.
Karta Provoz
Karta přenosů umožňuje kolekci živého seznamu připojení otevřených zařízením na základě pravidel v profilu předávání. Každé připojení se zobrazí v novém řádku.
- Začněte shromažďovat: Výběrem zahájíte živou kolekci připojení.
- Export sdíleného svazku clusteru: Vyberte, pokud chcete exportovat seznam připojení k souboru CSV.
- Vymazat tabulku: Vyberte, pokud chcete vymazat připojení zobrazená v tabulce.
- Přidat filtr: Pokud chcete nastavit filtry, zobrazí se jenom podmnožina připojení podle konkrétní sady vlastností filtru.
- Sloupce: Vyberte, pokud chcete zvolit sloupce, které se mají zobrazit v tabulce.
Pro každé připojení zahrnují dostupné sloupce:
- Časové razítko začíná: Čas, kdy operační systém otevřel připojení.
- Časové razítko skončí: Čas, kdy operační systém ukončil připojení.
- Stav připojení: Označuje, jestli je připojení stále aktivní nebo je již uzavřeno.
- Protokol: Síťový protokol pro připojení; TCP nebo UDP.
- Cílový plně kvalifikovaný název domény: Cílový plně kvalifikovaný název domény pro připojení.
- Zdrojový port: Zdrojový port pro připojení.
- Cílová IP adresa: Cílová IP adresa pro připojení.
- Cílový port: Cílový port pro připojení.
- ID vektoru korelace: jedinečné ID přiřazené každému připojení, které lze korelovat s protokoly přenosů globálního zabezpečeného přístupu na portálu. podpora Microsoftu může toto ID také použít k prozkoumání interních protokolů souvisejících s konkrétním připojením.
- Název procesu: Název procesu, který otevřel připojení.
- ID procesu: Číslo ID procesu, který otevřel připojení.
- Odeslané bajty: Počet bajtů odeslaných ze zařízení do cíle.
- Přijaté bajty: Počet bajtů přijatých zařízením z cíle.
- Kanál: Kanál, ke kterému bylo připojení tunelováno, může být Microsoft 365, Privátní přístup nebo Internetový přístup.
- ID toku: Interní číslo ID připojení.
- ID pravidla: Identifikátor pravidla pro pravidlo předávacího profilu sloužící k určení akcí pro toto připojení.
- Akce: Akce, která byla provedena pro toto připojení; možné akce jsou:
- Tunel: Klient tuneloval připojení ke službě Global Secure Access v cloudu.
- Obejití: Připojení přejde přímo do cíle přes síť zařízení bez zásahu klienta.
- Blok: Klient zablokoval připojení (možné pouze v režimu posílení zabezpečení).
- Posílení zabezpečení: Označuje, jestli bylo u tohoto připojení použito posílení zabezpečení. Může to být Ano nebo Ne. Posílení zabezpečení platí, když služba Globální zabezpečený přístup není dostupná ze zařízení.
Karta Rozšířené shromažďování protokolů
Karta rozšířené shromažďování protokolů umožňuje shromažďování podrobných protokolů klienta, operačních systémů a síťového provozu během určitého období. Protokoly se archivují do souboru ZIP, který je možné odeslat správci nebo podpora Microsoftu pro šetření.
- Zahájit nahrávání: Výběrem zahájíte nahrávání podrobných protokolů. Při nahrávání musíte problém reprodukovat.
- Zastavit nahrávání: Po reprodukci problému toto tlačítko zastavte a uložte shromážděné protokoly do souboru ZIP. Sdílejte soubor ZIP s podporou pomoci při řešení potíží.