Risolvere i problemi del client globale di accesso sicuro: diagnostica avanzata
Questo documento fornisce indicazioni per la risoluzione dei problemi per il client Di accesso sicuro globale. Esplora ogni scheda dell'utilità Diagnostica avanzata.
Introduzione
Il client Di accesso sicuro globale viene eseguito in background e instrada il traffico di rete pertinente ad Accesso sicuro globale. Non richiede l'interazione dell'utente. Lo strumento di diagnostica avanzata rende il comportamento del client visibile all'amministratore e consente di risolvere i problemi.
Avviare lo strumento di diagnostica avanzata
Per avviare lo strumento di diagnostica avanzata:
- Fare clic con il pulsante destro del mouse sull'icona del client Accesso sicuro globale nell'area di notifica.
- Selezionare Diagnostica avanzata. Se abilitata, Controllo account utente richiede l'elevazione dei privilegi.
Scheda Panoramica
La scheda Panoramica diagnostica avanzata mostra i dettagli di configurazione generali sul client Accesso sicuro globale:
- Nome utente: nome dell'entità utente di Microsoft Entra dell'utente che ha eseguito l'autenticazione al client.
- ID dispositivo: ID del dispositivo in Microsoft Entra. Il dispositivo deve essere aggiunto al tenant.
- ID tenant: ID del tenant a cui punta il client, ovvero lo stesso tenant a cui viene aggiunto il dispositivo.
- ID profilo di inoltro: ID del profilo di inoltro attualmente in uso dal client.
- Ultimo controllo del profilo di inoltro: ora dell'ultima verifica della presenza di un profilo di inoltro aggiornato da parte del client.
- Versione client: versione del client Di accesso sicuro globale attualmente installato nel dispositivo.
Scheda Controllo integrità
La scheda Controllo integrità esegue test comuni per verificare che il client funzioni correttamente e che i relativi componenti siano in esecuzione. Per una maggiore copertura della scheda Controllo integrità, vedere Risolvere i problemi relativi al client di accesso sicuro globale: Controllo integrità.
Scheda Profilo di inoltro
Nella scheda Profilo di inoltro viene visualizzato l'elenco delle regole attive correnti impostate per il profilo di inoltro. La scheda contiene le informazioni seguenti:
- ID profilo di inoltro: ID del profilo di inoltro attualmente in uso dal client.
- Ultimo controllo del profilo di inoltro: ora dell'ultima verifica della presenza di un profilo di inoltro aggiornato da parte del client.
- Dettagli aggiornamento: selezionare questa opzione per ricaricare i dati di inoltro dalla cache del client (nel caso in cui sia stato aggiornato dall'ultimo aggiornamento).
- Tester criteri: selezionare questa opzione per visualizzare la regola attiva per una connessione a una destinazione specifica.
- Aggiungi filtro: selezionare questa opzione per impostare i filtri per visualizzare solo un subset delle regole in base a un set specifico di proprietà del filtro.
- Colonne: selezionare questa opzione per scegliere le colonne da visualizzare nella tabella.
La sezione regole mostra l'elenco delle regole raggruppate per ogni carico di lavoro (regole M365, regole di accesso privato, regole di accesso Internet). Questo elenco include solo regole per i carichi di lavoro attivati nel tenant.
Suggerimento
Se una regola contiene più destinazioni, ad esempio un nome di dominio completo (FQDN) o un intervallo IP, la regola si estenderà su più righe, con una riga per ogni destinazione.
Per ogni regola, le colonne disponibili includono:
- Priorità: priorità della regola. Le regole con priorità più alta (valore numerico più piccolo) hanno la precedenza sulle regole con priorità più bassa.
- Destinazione (IP/FQDN): destinazione del traffico tramite FQDN o IP.
- Protocollo: protocollo di rete per il traffico: TCP o UDP.
- Porta: porta di destinazione del traffico.
- Azione: azione eseguita dal client quando il traffico in uscita dal dispositivo corrisponde alla destinazione, al protocollo e alla porta. Le azioni supportate sono tunneling (route per l'accesso sicuro globale) o bypass (passare direttamente alla destinazione).
- Protezione avanzata: l'azione quando il traffico deve essere sottoposto a tunneling (indirizzato all'accesso sicuro globale) ma la connessione al servizio cloud non riesce. Le azioni di protezione avanzata supportate sono bloccate (eliminare la connessione) o ignorare (lasciare che la connessione passi direttamente alla rete).
- ID regola: identificatore univoco della regola nel profilo di inoltro.
- ID applicazione: ID dell'applicazione privata associata alla regola. Questa colonna è rilevante solo per le applicazioni private.
Scheda Acquisizione nome host
La scheda Acquisizione nome host consente la raccolta di un elenco live di nomi host acquisiti dal client, in base alle regole FQDN nel profilo di inoltro. Ogni nome host viene visualizzato in una nuova riga.
- Iniziare a raccogliere: selezionare questa opzione per avviare la raccolta in tempo reale dei nomi host acquisiti.
- Esporta CSV: selezionare questa opzione per esportare l'elenco dei nomi host acquisiti in un file CSV.
- Cancella tabella: selezionare questa opzione per cancellare i nomi host acquisiti visualizzati nella tabella.
- Aggiungi filtro: selezionare questa opzione per impostare i filtri per visualizzare solo un subset dei nomi host acquisiti in base a un set specifico di proprietà del filtro.
- Colonne: selezionare questa opzione per scegliere le colonne da visualizzare nella tabella.
Per ogni nome host, le colonne disponibili includono:
- Timestamp: data e ora di ogni acquisizione del nome host FQDN.
- FQDN: FQDN del nome host acquisito.
- Indirizzo IP generato: indirizzo IP generato dal client per scopi interni. Questo INDIRIZZO IP viene visualizzato nella scheda traffico per le connessioni stabilite al nome di dominio completo corrispondente.
- Acquisito: mostra Sì o No per indicare se un FQDN corrisponde a una regola nel profilo di inoltro.
- Indirizzo IP originale: primo indirizzo IPv4 nella risposta DNS per la query FQDN. Se il server DNS del dispositivo dell'utente finale non restituisce un indirizzo IPv4 per la query, la colonna indirizzo IP originale mostra un valore vuoto.
Scheda Traffico
La scheda traffico consente la raccolta di un elenco live di connessioni aperte dal dispositivo, in base alle regole nel profilo di inoltro. Ogni connessione viene visualizzata in una nuova riga.
- Iniziare a raccogliere: selezionare questa opzione per avviare la raccolta dinamica delle connessioni.
- Esporta CSV: selezionare questa opzione per esportare l'elenco delle connessioni a un file CSV.
- Cancella tabella: selezionare questa opzione per cancellare le connessioni visualizzate nella tabella.
- Aggiungi filtro: selezionare questa opzione per impostare i filtri per visualizzare solo un subset delle connessioni in base a un set specifico di proprietà del filtro.
- Colonne: selezionare questa opzione per scegliere le colonne da visualizzare nella tabella.
Per ogni connessione, le colonne disponibili includono:
- Timestamp begin: ora in cui il sistema operativo ha aperto la connessione.
- Timestamp end: ora in cui il sistema operativo ha chiuso la connessione.
- Stato connessione: indica se la connessione è ancora attiva o è già chiusa.
- Protocollo: protocollo di rete per la connessione, TCP o UDP.
- FQDN di destinazione: nome di dominio completo di destinazione per la connessione.
- Porta di origine: porta di origine per la connessione.
- IP di destinazione: indirizzo IP di destinazione per la connessione.
- Porta di destinazione: porta di destinazione per la connessione.
- ID vettore di correlazione: ID univoco attribuito a ogni connessione che può essere correlata ai log del traffico di accesso sicuro globale nel portale. supporto tecnico Microsoft possibile usare questo ID anche per analizzare i log interni correlati a una connessione specifica.
- Nome processo: nome del processo che ha aperto la connessione.
- ID processo: numero ID per il processo che ha aperto la connessione.
- Byte inviati: numero di byte inviati dal dispositivo alla destinazione.
- Byte ricevuti: numero di byte ricevuti dal dispositivo dalla destinazione.
- Canale: canale a cui è stata eseguita la connessione in tunneling. Può essere Microsoft 365, Accesso privato o Accesso Internet.
- ID flusso: numero ID interno per la connessione.
- ID regola: identificatore per la regola del profilo di inoltro usato per determinare le azioni per questa connessione.
- Azione: l'azione eseguita per questa connessione; le possibili azioni sono:
- Tunnel: il client ha eseguito il tunneling della connessione al servizio Accesso sicuro globale nel cloud.
- Bypass: la connessione passa direttamente alla destinazione tramite la rete del dispositivo senza alcun intervento da parte del client.
- Blocca: il client ha bloccato la connessione (solo possibile in modalità protezione avanzata).
- Protezione avanzata: indica se la protezione avanzata è stata applicata a questa connessione; può essere Sì o No. La protezione avanzata si applica quando il servizio Accesso sicuro globale non è raggiungibile dal dispositivo.
Scheda Raccolta log avanzata
La scheda raccolta log avanzata consente la raccolta di log dettagliati del client, dei sistemi operativi e del traffico di rete durante un periodo specifico. I log vengono archiviati in un file ZIP che può essere inviato all'amministratore o supporto tecnico Microsoft per l'analisi.
- Avvia registrazione: selezionare questa opzione per iniziare a registrare i log dettagliati. È necessario riprodurre il problema durante la registrazione.
- Arresta registrazione: dopo aver riprodotto il problema, selezionare questo pulsante per arrestare la registrazione e salvare i log raccolti in un file ZIP. Condividere il file ZIP con il supporto per la risoluzione dei problemi.