Udostępnij za pośrednictwem

Rozwiązywanie problemów z klientem usługi Globalny Bezpieczny Dostęp: wyłączonym przez Twoją organizację.

  • Artykuł

Ten dokument zawiera wskazówki dotyczące rozwiązywania problemów z klientem globalnego bezpiecznego dostępu. Przedstawiono w nim sposób rozwiązywania problemów z klientem globalnego bezpiecznego dostępu — wyłączonym przez organizację komunikatem o błędzie.

Ikona Komunikat Opis
Globalny bezpieczny dostęp — wyłączony przez organizację Twoja organizacja wyłączyła klienta (oznacza to, że wszystkie profile przesyłania dalej ruchu są wyłączone).

Klient globalnego bezpiecznego dostępu — wyłączony przez organizację komunikat o błędzie pojawia się, gdy klient globalnego bezpiecznego dostępu jest celowo dezaktywowany przez administratora organizacji.
Zrzut ekranu przedstawiający komunikat ostrzegawczy Global Secure Access — wyłączony przez organizację.

Komunikat ostrzegawczy jest również wyświetlany, gdy klient otrzyma pustą polisę (czyli bez profili przekazywania ruchu od Microsoft, Dostępu Prywatnego lub Dostępu do Internetu). Pusta polityka ma miejsce w następujących przypadkach:

  • Wszystkie profile przekazywania ruchu są wyłączone w portalu.
  • Niektóre profile przekierowania ruchu są włączone, ale użytkownik nie jest przypisany do żadnego z nich (w sekcji przypisania użytkowników i grup każdego profilu).
  • Użytkownik nie zalogował się do systemu Windows przy użyciu użytkownika Firmy Microsoft Entra.
  • Uwierzytelnianie w celu uzyskania dostępu do polityki wymaga interakcji użytkownika (na przykład jeśli jest włączone uwierzytelnianie wieloskładnikowe (MFA) lub warunki użytkowania (ToU)).

W przypadkach 3 i 4, tylko profile ruchu przypisane do całego dzierżawcy (Przypisz do wszystkich użytkowników w sekcji przypisywania użytkowników i grup na Tak) wchodzą w życie. Ponieważ tożsamość użytkownika nie jest używana do pobierania zasad, profile ruchu sieciowego przypisane do określonych użytkowników i grup nie są stosowane. W takich przypadkach dla usługi polityki dostępna jest tylko tożsamość urządzenia.

Aby wyświetlić konfigurację profilu ruchu bezpiecznego globalnego dostępu:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako Globalny Administrator Bezpiecznego Dostępu .
  2. Przejdź do Globalnego Bezpiecznego Dostępu>Połącz>Przekierowania Ruchu.
    zrzut ekranu ekranu Profilów przekazywania ruchu.

Kroki rozwiązywania problemów

  1. Wyświetl dostępne profile przekierowania ruchu. Należy włączyć co najmniej jeden profil przekazywania ruchu. Sprawdź, czy użytkownik jest przypisany do włączonego profilu przekazywania ruchu. Użytkownicy w organizacji, którzy logują się do systemu Windows przy użyciu identyfikatora innej firmy niż Microsoft Entra, tacy jak użytkownicy lokalni lub użytkownicy usług domenowych Active Directory (AD DS) niezsynchronizowani z Microsoft Entra, otrzymują tylko profile przekazywania ruchu przypisane do wszystkich użytkowników w dzierżawie. Zrzut ekranu przedstawiający ekran przypisania użytkowników i grup z przełącznikiem Przypisz do wszystkich użytkowników ustawionym na Tak.

  2. Upewnij się, że zarówno urządzenie, jak i użytkownik zostały pomyślnie uwierzytelnione w usłudze Microsoft Entra i otrzymają prawidłowy token.

    1. Sprawdź, czy urządzenie jest przyłączone do firmy Microsoft Entra i zalogowało się do systemu Windows przy użyciu użytkownika Firmy Microsoft Entra.
    2. Uruchom polecenie dsregcmd /status i sprawdź pole AzureAdPrt.
      Zrzut ekranu wiersza polecenia przedstawiający stan AzureAdPrt wartości YES (Tak).

  3. Sprawdź, czy zasady dostępu warunkowego blokują użytkownika. Blokady sieciowe mogą wynikać z ustawień dostępu warunkowego, niezarządzanego lub niezgodnego urządzenia albo niespełnionych zasad uwierzytelniania wieloskładnikowego lub zasad korzystania. Aby potwierdzić, że Global Secure Access Client pomyślnie uwierzytelnił się do usługi zasad, sprawdź listę nieinterakcyjnych logowań użytkownika.
    zrzut ekranu dzienników logowania przedstawiający listę nieinterakcyjnych logowań użytkowników.

Notatka

Aby uzyskać politykę, klient Global Secure Access korzysta z nieinterakcyjnego, cichego uwierzytelniania.

  1. Jeśli przypiszesz profil przekazywania ruchu do określonych użytkowników i grup, upewnij się, że użytkownicy zalogowani do systemu Windows są przypisani do profilu lub są bezpośrednim członkiem przypisanej grupy.
    Zrzut ekranu przedstawiający ekran Przypisywania użytkowników i grup, z przełącznikiem

Notatka

Profile ruchu są pobierane w imieniu użytkownika Microsoft Entra zalogowanego do systemu Windows, a nie zalogowanego do klienta. Jednoczesne logowanie wielu użytkowników do tego samego urządzenia nie jest obsługiwane. Członkostwa zagnieżdżone w grupach nie są obsługiwane. Każdy użytkownik musi być bezpośrednim członkiem grupy przypisanej do profilu.

  1. Upewnij się, że klient Globalnego Bezpiecznego Dostępu może uzyskać dostęp do usługi zasad w chmurze, sprawdzając, czy nazwa hosta usługi zasad została rozpoznana przez usługę DNS, a serwer zasad jest osiągalny oraz czy testy sprawdzania kondycji zostały zaliczone. Zrzut ekranu karty Zaawansowane sprawdzanie kondycji diagnostyki, z rozpoznaną nazwą hosta usługi Zasad, oraz testami wskazującymi, że serwer zasad jest osiągalny.

Powiązana zawartość