Rozwiązywanie problemów z klientem globalnego bezpiecznego dostępu: zaawansowana diagnostyka
Ten dokument zawiera wskazówki dotyczące rozwiązywania problemów z klientem globalnego bezpiecznego dostępu. Eksploruje każdą kartę narzędzia Diagnostyka zaawansowana.
Wprowadzenie
Klient globalnego bezpiecznego dostępu działa w tle i kieruje odpowiedni ruch sieciowy do globalnego bezpiecznego dostępu. Nie wymaga interakcji z użytkownikiem. Zaawansowane narzędzie diagnostyczne sprawia, że zachowanie klienta jest widoczne dla administratora i pomaga w rozwiązywaniu problemów.
Uruchamianie zaawansowanego narzędzia diagnostycznego
Aby uruchomić zaawansowane narzędzie diagnostyczne:
- Kliknij prawym przyciskiem myszy ikonę klienta Global Secure Access na pasku zadań systemu.
- Wybierz pozycję Diagnostyka zaawansowana. Jeśli to ustawienie jest włączone, kontrola konta użytkownika (UAC) monituje o podniesienie uprawnień.
Karta Przegląd
Karta Przegląd zaawansowanej diagnostyki zawiera ogólne szczegóły konfiguracji klienta globalnego bezpiecznego dostępu:
- Nazwa użytkownika: główna nazwa użytkownika firmy Microsoft Entra użytkownika, który uwierzytelnił się w kliencie.
- Identyfikator urządzenia: identyfikator urządzenia w usłudze Microsoft Entra. Urządzenie musi być przyłączone do dzierżawy.
- Identyfikator dzierżawy: identyfikator dzierżawy, do której wskazuje klient, który jest tą samą dzierżawą, do której urządzenie jest przyłączone.
- Identyfikator profilu przekazywania: identyfikator profilu przekazywania, który jest obecnie używany przez klienta.
- Ostatnio sprawdzono profil przekazywania: czas ostatniego sprawdzenia przez klienta zaktualizowanego profilu przekazywania.
- Wersja klienta: wersja klienta globalnego bezpiecznego dostępu, który jest obecnie zainstalowany na urządzeniu.
Karta Sprawdzanie kondycji
Karta Sprawdzanie kondycji wykonuje typowe testy, aby sprawdzić, czy klient działa prawidłowo i czy jego składniki są uruchomione. Aby uzyskać bardziej szczegółowe informacje na karcie Sprawdzanie kondycji , zobacz Rozwiązywanie problemów z globalnym klientem bezpiecznego dostępu: sprawdzanie kondycji.
Karta Przekazywanie profilu
Na karcie Profil przekazywania jest wyświetlana lista bieżących, aktywnych reguł ustawionych dla profilu przekazywania. Karta zawiera następujące informacje:
- Identyfikator profilu przekazywania: identyfikator profilu przekazywania, który jest obecnie używany przez klienta.
- Ostatnio sprawdzono profil przekazywania: czas ostatniego sprawdzenia przez klienta zaktualizowanego profilu przekazywania.
- Szczegóły odświeżania: wybierz, aby ponownie załadować dane przekazujące z pamięci podręcznej klienta (w przypadku zaktualizowania ich z ostatniego odświeżenia).
- Tester zasad: wybierz, aby wyświetlić aktywną regułę połączenia z określonym miejscem docelowym.
- Dodaj filtr: wybierz, aby ustawić filtry, aby wyświetlić tylko podzbiór reguł zgodnie z określonym zestawem właściwości filtru.
- Kolumny: wybierz kolumny do wyświetlenia w tabeli.
Sekcja reguł zawiera listę reguł pogrupowanych według poszczególnych obciążeń (reguły M365, reguły dostępu prywatnego, reguły dostępu do Internetu). Ta lista zawiera tylko reguły dla obciążeń aktywowanych w dzierżawie.
Napiwek
Jeśli reguła zawiera kilka miejsc docelowych (w pełni kwalifikowana nazwa domeny (FQDN) lub zakres adresów IP, reguła będzie obejmować kilka wierszy z jednym wierszem dla każdego miejsca docelowego.
Dla każdej reguły dostępne kolumny obejmują:
- Priorytet: priorytet reguły. Reguły o wyższym priorytcie (mniejsza wartość liczbowa) mają pierwszeństwo przed regułami o niższym priorytcie.
- Miejsce docelowe (IP/FQDN): miejsce docelowe ruchu przez nazwę FQDN lub adres IP.
- Protokół: protokół sieciowy dla ruchu: TCP lub UDP.
- Port: docelowy port ruchu.
- Akcja: akcja wykonywana przez klienta, gdy ruch wychodzący z urządzenia jest zgodny z miejscem docelowym, protokołem i portem. Obsługiwane akcje to tunel (trasa do globalnego bezpiecznego dostępu) lub obejście (przejdź bezpośrednio do miejsca docelowego).
- Wzmacnianie zabezpieczeń: akcja, gdy ruch powinien być tunelowany (kierowany do globalnego bezpiecznego dostępu), ale połączenie z usługą w chmurze kończy się niepowodzeniem. Obsługiwane akcje wzmacniania zabezpieczeń to blok (porzucanie połączenia) lub obejście (niech połączenie przejdzie bezpośrednio do sieci).
- Identyfikator reguły: unikatowy identyfikator reguły w profilu przekazywania.
- Identyfikator aplikacji: identyfikator aplikacji prywatnej skojarzonej z regułą. Ta kolumna jest odpowiednia tylko dla aplikacji prywatnych.
Karta Pozyskiwanie nazwy hosta
Karta Pozyskiwanie nazwy hosta umożliwia zbieranie na żywo listy nazw hostów nabytych przez klienta na podstawie reguł nazwy FQDN w profilu przekazywania. Każda nazwa hosta jest wyświetlana w nowym wierszu.
- Rozpocznij zbieranie: wybierz, aby rozpocząć kolekcję na żywo pozyskanych nazw hostów.
- Eksportuj plik CSV: wybierz pozycję , aby wyeksportować listę pozyskanych nazw hostów do pliku CSV.
- Wyczyść tabelę: wybierz, aby wyczyścić uzyskane nazwy hostów wyświetlane w tabeli.
- Dodaj filtr: wybierz, aby ustawić filtry, aby wyświetlić tylko podzbiór pozyskanych nazw hostów zgodnie z określonym zestawem właściwości filtru.
- Kolumny: wybierz kolumny do wyświetlenia w tabeli.
Dla każdej nazwy hosta dostępne kolumny to:
- Sygnatura czasowa: data i godzina każdego nabycia nazwy hosta nazwy FQDN.
- Nazwa FQDN: nazwa FQDN uzyskanej nazwy hosta.
- Wygenerowany adres IP: adres IP wygenerowany przez klienta do celów wewnętrznych. Ten adres IP jest wyświetlany na karcie ruchu dla połączeń ustanowionych z odpowiednią nazwą FQDN.
- Pozyskane: wyświetla wartość Tak lub Nie , aby wskazać, czy nazwa FQDN jest zgodna z regułą w profilu przekazywania.
- Oryginalny adres IP: pierwszy adres IPv4 w odpowiedzi DNS dla zapytania FQDN. Jeśli serwer DNS urządzenia użytkownika końcowego nie zwraca adresu IPv4 dla zapytania, oryginalna kolumna adresu IP zawiera pustą wartość.
Karta Ruch
Karta ruchu umożliwia zbieranie na żywo listy połączeń otwartych przez urządzenie na podstawie reguł w profilu przekazywania. Każde połączenie jest wyświetlane w nowym wierszu.
- Rozpocznij zbieranie: wybierz, aby rozpocząć kolekcję połączeń na żywo.
- Eksportuj plik CSV: wybierz pozycję , aby wyeksportować listę połączeń z plikiem CSV.
- Wyczyść tabelę: wybierz, aby wyczyścić połączenia wyświetlane w tabeli.
- Dodaj filtr: wybierz, aby ustawić filtry, aby wyświetlić tylko podzbiór połączeń zgodnie z określonym zestawem właściwości filtru.
- Kolumny: wybierz kolumny do wyświetlenia w tabeli.
Dla każdego połączenia dostępne kolumny obejmują:
- Początek znacznika czasu: czas otwarcia połączenia przez system operacyjny.
- Koniec znacznika czasu: czas zamknięcia połączenia przez system operacyjny.
- Stan połączenia: wskazuje, czy połączenie jest nadal aktywne, czy zostało już zamknięte.
- Protokół: protokół sieciowy dla połączenia; TCP lub UDP.
- Docelowa nazwa FQDN: docelowa nazwa FQDN połączenia.
- Port źródłowy: port źródłowy połączenia.
- Docelowy adres IP: docelowy adres IP połączenia.
- Port docelowy: port docelowy połączenia.
- Identyfikator wektora korelacji: unikatowy identyfikator przypisany do każdego połączenia, które można skorelować z dziennikami ruchu globalnego bezpiecznego dostępu w portalu. pomoc techniczna firmy Microsoft może również użyć tego identyfikatora do zbadania dzienników wewnętrznych związanych z określonym połączeniem.
- Nazwa procesu: nazwa procesu, który otworzył połączenie.
- Identyfikator procesu: numer identyfikacyjny procesu, który otworzył połączenie.
- Wysłane bajty: liczba bajtów wysłanych z urządzenia do miejsca docelowego.
- Odebrane bajty: liczba bajtów odebranych przez urządzenie z miejsca docelowego.
- Kanał: kanał, do którego połączenie zostało tunelowane; może to być platforma Microsoft 365, dostęp prywatny lub dostęp do Internetu.
- Identyfikator przepływu: wewnętrzny numer identyfikacyjny połączenia.
- Identyfikator reguły: identyfikator reguły profilu przekazywania używany do określania akcji dla tego połączenia.
- Akcja: Akcja, która została podjęta dla tego połączenia; możliwe akcje to:
- Tunel: klient tunelował połączenie z globalną usługą bezpiecznego dostępu w chmurze.
- Obejście: połączenie przechodzi bezpośrednio do miejsca docelowego za pośrednictwem sieci urządzenia bez interwencji klienta.
- Blokuj: klient zablokował połączenie (tylko możliwe w trybie wzmacniania zabezpieczeń).
- Wzmacnianie zabezpieczeń: wskazuje, czy zastosowano wzmocnienie zabezpieczeń do tego połączenia; może mieć wartość Tak lub Nie. Wzmocnienie zabezpieczeń ma zastosowanie, gdy globalna usługa bezpiecznego dostępu nie jest osiągalna z urządzenia.
Karta Zaawansowane zbieranie dzienników
Zaawansowana karta zbierania dzienników umożliwia zbieranie pełnych dzienników klienta, systemów operacyjnych i ruchu sieciowego w określonym okresie. Dzienniki są archiwizowane do pliku ZIP, który można wysłać do administratora lub pomoc techniczna firmy Microsoft do zbadania.
- Rozpocznij nagrywanie: wybierz, aby rozpocząć rejestrowanie pełnych dzienników. Należy odtworzyć problem podczas rejestrowania.
- Zatrzymaj nagrywanie: po odtworzeniu problemu wybierz ten przycisk, aby zatrzymać nagrywanie i zapisać zebrane dzienniki w pliku ZIP. Udostępnij plik ZIP z pomocą techniczną dotyczącą rozwiązywania problemów.