Solucionar problemas do cliente de Acesso Seguro Global para Windows: aba Verificação de saúde

Este artigo fornece diretrizes de solução de problemas para o cliente Global Secure Access Windows usando a guia Verificação de integridade no utilitário de diagnóstico avançado.

Introdução

A Verificação de Integridade do Diagnóstico Avançado executa testes para verificar se o cliente do Acesso Seguro Global funciona corretamente e se seus componentes estão em execução.

Executar a verificação de integridade

Para executar uma verificação de integridade para o Cliente de Acesso Seguro Global:

1. Na bandeja do sistema, clique com o botão direito do mouse no ícone do cliente do acesso seguro global e selecione Diagnóstico avançado.
2. A caixa de diálogo do Controle de conta de usuário é aberta. Selecione Sim para permitir que o aplicativo cliente faça alterações ao seu dispositivo.
3. Na janela de diálogo do Cliente de Acesso Global Seguro - Diagnósticos Avançados, selecione a guia Verificação de Saúde. Alternar entre as guias executará a verificação de saúde.

Processo de resolução

A maioria dos testes de verificação de integridade depende uns dos outros. Se os testes falharem:

1. Resolva o primeiro teste com falha na lista.
2. Selecione Atualizar para exibir o status atualizado do teste.
3. Repita até resolver todos os testes falhos.

Verifique o visualizador de eventos

Como parte do processo de solução de problemas, pode ser útil verificar o Visualizador de eventos para o cliente do acesso seguro global. O log contém eventos valiosos relacionados a erros e sua causa.

1. Navegue até Painel de controle>Sistema e segurança>Ferramentas do Windows.
2. Inicie o Visualizador de eventos.
3. Navegue até Logs de aplicativos e serviços>Microsoft>Windows>Cliente do acesso seguro global.
   1. Para exibir os logs do cliente, selecione Operacional.
   2. Para exibir logs de driver, selecione Kernel.

Testes de verificação de saúde

As verificações a seguir verificam a integridade do cliente do acesso seguro global.

O dispositivo está conectado ao Microsoft Entra

O cliente Windows autentica o usuário e o dispositivo nos serviços de Acesso Global Seguro. A autenticação do dispositivo, com base no token do dispositivo, exige que o dispositivo esteja aderido ao Microsoft Entra ou associado ao Microsoft Entra híbrido. No momento, não há suporte para dispositivos registrados do Microsoft Entra. Para verificar o status do seu dispositivo, digite o seguinte comando no prompt de comando: dsregcmd.exe /status.

Usuário conectado ao Windows

Essa verificação verifica se o usuário atualmente conectado ao Windows é um usuário do Microsoft Entra. O cliente de Acesso Seguro Global requer que o usuário de login do Windows seja um usuário do Microsoft Entra, em vez de uma conta local apenas.

Se esse teste falhar:

1. Verifique se o usuário entrou no dispositivo com uma conta do Microsoft Entra ou uma identidade híbrida do Microsoft Entra.
2. Verifique se a sessão de entrada do Windows usa credenciais do Microsoft Entra (não uma conta local).
3. Execute dsregcmd.exe /status e verifique se a seção Estado do SSO mostra AzureAdPrt : YES.

Pode conectar-se à Internet

Essa verificação indica se o dispositivo está conectado à Internet. O cliente do acesso seguro global requer uma conexão com a Internet. Esse teste é baseado no recurso NCSI (Indicador de Status de Conectividade de Rede).

Serviço de túnel em execução

O serviço Global Secure Access Tunneling deve estar em execução.

1. Para verificar se esse serviço está em execução, insira o seguinte comando no Prompt de Comando:
   sc query GlobalSecureAccessTunnelingService
2. Se o serviço Global Secure Access Tunneling não estiver em execução, inicie-o a partir do services.msc.
3. Se o serviço não for iniciado, verifique a presença de erros no Visualizador de eventos.

Serviço do motor em execução

O serviço Mecanismo Global de Acesso Seguro deve estar em execução.

1. Para verificar se esse serviço está em execução, insira o seguinte comando no Prompt de Comando:
   sc query GlobalSecureAccessEngineService
2. Se o Serviço de Motor de Acesso Seguro Global não estiver em execução, inicie-o a partir do services.msc.
3. Se o serviço não for iniciado, verifique a presença de erros no Visualizador de eventos.

Serviço de obtenção de políticas em execução

O serviço Global Secure Access Policy Retriever deve estar em execução.

1. Para verificar se esse serviço está em execução, insira o seguinte comando no Prompt de Comando:
   sc query GlobalSecureAccessPolicyRetrieverService
2. Se o serviço Global Secure Access Policy Retriever não estiver em execução, inicie-o a partir de services.msc.
3. Se o serviço não for iniciado, verifique a presença de erros no Visualizador de eventos.

Driver em execução

O driver do acesso seguro global deve estar em execução. Para verificar se esse serviço está em execução, insira o seguinte comando no Prompt de Comando:
sc query GlobalSecureAccessDriver

Se o driver não estiver em execução:

1. Abra o Visualizador de Eventos e pesquise evento 304 no log do cliente do Acesso Global Seguro.
2. Se o driver não estiver em execução, reinicialize o computador.
3. Execute o comando sc query GlobalSecureAccessDriver novamente.
4. Se o problema persistir, reinstale o cliente do acesso seguro global.

Aplicativo de bandeja do cliente em execução

O processo GlobalSecureAccessClient.exe executa a experiência do usuário do cliente na bandeja do sistema. Se você não conseguir ver o ícone do acesso seguro global na bandeja do sistema, poderá executá-lo a partir do seguinte caminho:
C:\Program Files\Global Secure Access Client\GlobalSecureAccessClient.exe

Existe um registro de perfil de encaminhamento.

Esse teste verifica se a seguinte chave do registro existe:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile

Se a chave de registro não existir, tente forçar a recuperação da política de encaminhamento:

1. Exclua a chave de registro Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp, se ela existir.
2. Reinicie o serviço, Global Secure Access Policy Retriever Service.
3. Verifique se as duas chaves do registro foram criadas.
4. Caso contrário, procure por erros no Visualizador de eventos.

Perfil de encaminhamento corresponde ao esquema esperado

Este teste verifica se o perfil de encaminhamento no registro tem um formato valido que o cliente possa ler.

Se esse teste falhar, verifique se você está usando o perfil de encaminhamento mais atualizado do seu locatário seguindo estas etapas:

1. Exclua as seguintes chaves do registro:
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp
2. Reinicie o serviço, Global Secure Access Policy Retriever Service.
3. Reinicie o cliente do acesso seguro global.
4. Execute a checagem de saúde novamente.
5. Se as etapas anteriores não solucionarem o problema, atualize o cliente do Acesso Global Seguro para a versão mais recente.
6. Se o problema persistir, contate o Suporte da Microsoft.

Modo break-glass desativado

O modo break-glass impede que o cliente do acesso seguro global encaminhe o tráfego de rede por túnel para o serviço de nuvem do acesso seguro global. No modo de emergência, todos os perfis de tráfego no portal de Acesso Seguro Global são desmarcados e não se espera que o cliente de Acesso Seguro Global faça o tunelamento de qualquer tráfego.

Para configurar o cliente para adquirir tráfego e encaminhar por túnel esse tráfego para o serviço do acesso seguro global:

1. Faça login no Centro de administração do Microsoft Entra como Administrador de Acesso Global Seguro.
2. Navegue para Acesso Seguro Global>Conexão>Encaminhamento de Tráfego.
3. Habilite pelo menos um dos perfis de tráfego que correspondam às necessidades da sua organização.

O cliente do acesso seguro global deve receber o perfil de encaminhamento atualizado dentro de uma hora após você fazer alterações no portal.

URLs de diagnóstico no perfil de encaminhamento

Esse teste verifica se a configuração contém uma URL para investigar a integridade do serviço em cada canal ativado no perfil de encaminhamento. Para exibir o status de integridade, selecione o ícone da bandeja do sistema. Na guia Conexões, exiba o Status.

Se esse teste falhar, geralmente é devido a um problema interno com o acesso seguro global. Entre em contato com o Suporte da Microsoft.

Certificado de autenticação existe

Esse teste verifica se existe um certificado no dispositivo para a conexão mTLS (protocolo TLS mútuo) com o serviço de nuvem do Acesso Global Seguro.

Dica

Esse teste não será exibido se você não habilitar o mTLS para seu locatário.

Se esse teste falhar, inscreva-se em um novo certificado concluindo as seguintes etapas:

1. Inicie o console de gerenciamento Microsoft digitando o seguinte comando no prompt de comando: certlm.msc.
2. Na janela certlm, navegue até Pessoal>Certificados.
3. Exclua o certificado que termina com gsa.client, se ele existir.
4. Exclua as seguintes chaves do registro:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Reinicie o Serviço de Motor de Acesso Seguro Global no MMC de serviços.
6. Atualize o MMC de certificados para verificar se um novo certificado foi criado.
   O provisionamento de um novo certificado pode levar alguns minutos.
7. Verifique se há erros no log de eventos do cliente do Acesso Global Seguro.
8. Execute os testes de verificação de integridade novamente.

Certificado de autenticação é válido

Esse teste verifica se o certificado de autenticação usado para a conexão mTLS com o serviço de nuvem do acesso seguro global é válido.

Dica

Esse teste não será exibido se você não habilitar o mTLS para seu locatário.

Se esse teste falhar, inscreva-se em um novo certificado concluindo as seguintes etapas:

1. Inicie o console de gerenciamento Microsoft digitando o seguinte comando no prompt de comando: certlm.msc.
2. Na janela certlm, navegue até Pessoal>Certificados.
3. Exclua o certificado que termina com gsa.client.
4. Exclua as seguintes chaves do registro:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Reinicie o Serviço de Motor de Acesso Seguro Global no MMC de serviços.
6. Atualize o MMC de certificados para verificar se um novo certificado foi criado.
   O provisionamento de um novo certificado pode levar alguns minutos.
7. Verifique se há erros no log de eventos do cliente do Acesso Global Seguro.
8. Execute os testes de verificação de integridade novamente.

DNS sobre HTTPS não é suportado

Para que o cliente de Acesso Seguro Global adquira tráfego de rede por um destino FQDN (nome de domínio totalmente qualificado) (em vez de um destino ip), o cliente precisa ler as solicitações DNS que o dispositivo envia para o servidor DNS. Esse requisito significa que, se o perfil de encaminhamento contiver regras FQDN, você deverá desabilitar o DNS por HTTPS.

DNS seguro desativado no sistema operacional

Para desabilitar o DNS via HTTPS no Windows, consulte o Cliente DNS Seguro por HTTPS (DoH).

Importante

Você deve desabilitar o DNS sobre HTTPS para executar com êxito a verificação de integridade do cliente do acesso seguro global.

DNS seguro desativado em navegadores (Microsoft Edge, Chrome, Firefox)

Verifique se o DNS seguro está desativado para cada um dos seguintes navegadores:

DNS seguro desabilitado no Microsoft Edge

Para desabilitar o DNS sobre HTTPS no Microsoft Edge:

1. Inicie o Microsoft Edge.
2. Abra o menu Configurações e mais e selecione Configurações.
3. Selecione Privacidade, pesquisa e serviços.
4. Na seção Segurança, defina a opção Usar DNS seguro para especificar como pesquisar o endereço de rede para sites como desativada.

DNS seguro desativado no Chrome

Para desativar o DNS sobre HTTPS no Google Chrome:

1. Abra o Chrome.
2. Selecione Personalizar e controlar o Google Chrome e, em seguida, selecione Configurações.
3. Selecione Segurança e Privacidade.
4. Selecione Segurança.
5. Na seção Avançado , defina a opção Usar DNS seguro para desativar.

DNS seguro desativado no Firefox

Para desativar o DNS sobre HTTPS no Mozilla Firefox:

1. Abra o Firefox.
2. Selecione o botão Abrir menu de aplicativo e, em seguida, selecione Configurações.
3. Selecione Privacidade e segurança.
4. Na seção DNS sobre HTTPS, selecione Desativado.

DNS responsivo

Esse teste verifica se o servidor DNS configurado no Windows retorna uma resposta DNS.

Se esse teste falhar:

1. Pause o cliente do acesso seguro global.
2. Verifique se o servidor DNS configurado no Windows é acessível. Por exemplo, tente resolver microsoft.com usando a nslookup ferramenta.
3. Verifique se nenhum firewall bloqueia o tráfego para o servidor DNS.
4. Configure um servidor DNS alternativo e teste novamente.
5. Retome o cliente de acesso seguro global.

Magic IP recebido

Essa verificação verifica se o cliente pode adquirir tráfego de um FQDN (nome de domínio totalmente qualificado).

Se o teste falhar:

1. Reinicie o cliente e tente novamente.
2. Reinicie o Windows. Essa etapa pode ser necessária em casos raros para excluir o cache volátil.

Token armazenado em cache

Este teste verifica se o cliente se autentica com êxito no Microsoft Entra.

Se o teste de token armazenado em cache falhar:

1. Verifique se os serviços e o driver estão em execução.
2. Verifique se o ícone da bandeja do sistema está visível.
3. Se a notificação de entrada for exibida, selecione Entrar.
4. Se a notificação de entrada não aparecer, verifique se ela está na Central de Notificações e selecione Entrar.
5. Entre com um usuário que seja membro do mesmo tenant do Microsoft Entra ao qual o dispositivo está associado.
6. Verifique a conexão de rede.
7. Passe o mouse sobre o ícone de bandeja do sistema e verifique se o cliente não está desabilitado pela sua organização.
8. Reinicie o cliente e aguarde alguns segundos.
9. Procure erros no Visualizador de Eventos.

IPv4 preferencial

O acesso seguro global ainda não oferece suporte à aquisição de tráfego para destinos com endereços IPv6. Configure o cliente para preferir IPv4 em vez de IPv6 se:

1. O perfil de encaminhamento é definido para adquirir tráfego por IPv4 (em vez de por FQDN).
2. O FQDN resolvido para esse IP também se resolve para um endereço IPv6.

Para configurar o cliente para preferir IPv4 em vez de IPv6, defina a seguinte chave do registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\ Name: DisabledComponents Type: REG_DWORD Value: 0x20 (Hex)

Importante

As alterações nesse valor do registro exigem uma reinicialização do computador. Para obter mais informações, consulte Orientação para configurar o IPv6 no Windows para usuários avançados.

Nome do host de borda resolvido pelo DNS

Este teste verifica todos os tipos de tráfego ativos: Microsoft 365, Acesso privado e Acesso à Internet. Se esse teste falhar, o DNS não poderá resolver os nomes de host do serviço de nuvem do acesso seguro global e, portanto, o serviço não estará acessível. O teste pode falhar devido a um problema de conectividade com a Internet ou a um servidor DNS que não resolve nomes de host públicos da Internet.

Para verificar se a resolução do nome do host funciona corretamente:

1. Pausar o cliente.
2. Execute o comando do PowerShell: Resolve-DnsName -Name <edge's FQDN>
3. Se a resolução do nome do host falhar, tente executar: Resolve-DnsName -Name microsoft.com
4. Verifique se os servidores DNS estão configurados para esta máquina: ipconfig /all
5. Se as etapas anteriores não resolverem o problema, considere definir outro servidor DNS público.

Edge é acessível

Este teste verifica todos os tipos de tráfego ativos: Microsoft 365, Acesso privado e Acesso à Internet. Se o teste falhar, é devido ao dispositivo não ter conexão de rede com o serviço de nuvem do acesso seguro global.

Se o teste falhar:

1. Verifique se o dispositivo tem conexão com a Internet.
2. Verifique se o firewall ou proxy não está bloqueando a conexão com a periferia.
3. Verifique se o IPv4 está ativo no dispositivo. Atualmente, a edge funciona apenas com um endereço IPv4.
4. Pare o cliente e tente Test-NetConnection -ComputerName <edge's fqdn> -Port 443 novamente.
5. Experimente o comando do PowerShell de outro dispositivo conectado à Internet de uma rede pública.

Proxy desabilitado

Esse teste verifica se o proxy está configurado no dispositivo. Se um dispositivo usa um proxy para tráfego de saída para a Internet, você deve excluir os IPs de destino e FQDNs que o cliente adquire com um arquivo PAC (Configuração Automática de Proxy) ou com o protocolo WPAD (Descoberta Automática de Proxy Web).

Alterar o arquivo PAC

Adicione os IPs e FQDNs a serem encapsulados para a borda de Acesso Seguro Global como exclusões no arquivo PAC, para que as solicitações HTTP para esses destinos não redirecionem para o proxy. Esses IPs e FQDNs também são definidos como túnel para Acesso Seguro Global no perfil de encaminhamento. Para mostrar o status de integridade do cliente corretamente, adicione o FQDN usado para investigação de integridade à lista de exclusões: .edgediagnostic.globalsecureaccess.microsoft.com.

Exemplo de arquivo PAC que contém exclusões:

function FindProxyForURL(url, host) {  
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".edgediagnostic.globalsecureaccess.microsoft.com") || //tunneled
            dnsDomainIs(host, ".contoso.com") || //tunneled 
            dnsDomainIs(host, ".fabrikam.com")) // tunneled 
           return "DIRECT";                    // For tunneled destinations, use "DIRECT" connection (and not the proxy)
        else                                   // for all other destinations 
           return "PROXY 10.1.0.10:8080";  // route the traffic to the proxy.
}

Cliente e proxies de saída do Acesso Seguro Global

Importante

Se o cliente de Acesso Seguro Global estiver por trás de um proxy de saída, configure exclusões de arquivo PAC para ignorar o proxy para o tráfego de Acesso Seguro Global.

Não foi detectado nenhum comutador virtual externo do Hyper-V

Suporte ao Hyper-V:

1. Comutador virtual externo: o cliente Windows do Acesso Global Seguro não oferece suporte atualmente a máquinas host que tenham um comutador virtual externo Hyper-V. No entanto, você pode instalar o cliente nas máquinas virtuais, para tunelar o tráfego para o Acesso Seguro Global.
2. Comutador virtual interno: você pode instalar o cliente do Windows para Acesso Global Seguro em máquinas host e convidadas. O cliente faz o tunelamento apenas do tráfego de rede do computador em que está instalado. Em outras palavras, um cliente instalado em uma máquina host não encapsula o tráfego de rede das máquinas convidadas.

O cliente Windows do Acesso Global Seguro oferece suporte a Máquinas Virtuais do Azure.

O cliente Windows do Acesso Global Seguro oferece suporte à Área de Trabalho Virtual do Azure (AVD).

Observação

Não há suporte para a multissessão do AVD.

Tunelamento com êxito

Esse teste verifica cada perfil de tráfego ativo no perfil de encaminhamento (Microsoft 365, Acesso privado e Acesso à Internet) para verificar se as conexões com o serviço de saúde do canal correspondente são tunneladas com êxito.

Se esse teste falhar:

1. Verifique o Visualizador de eventos em busca de erros
2. Reinicie o cliente e tente novamente.

Acessos seguros globais saudáveis (últimas 24 h)

Se esse teste falhar, significa que pelo menos um processo do cliente travou nas últimas 24 horas.

Se todos os outros testes concluírem sem falha, o cliente deverá estar em estado de funcionamento no momento. No entanto, pode ser útil investigar o arquivo de despejo do processo para aumentar a estabilidade futura e entender melhor por que o processo falhou.

Para investigar o arquivo de despejo de memória de processo quando um processo falha:

1. Configurar despejos do modo de usuário:
   • Adicione a seguinte chave do registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps
   • Adicione um valor do registro REG_SZ DumpFolder e defina seus dados para o DumpFolder existente onde você deseja salvar o arquivo de despejo.
2. Reproduza o problema para criar um novo arquivo de despejo na DumpFolder selecionada.
3. Abra um tíquete para o Suporte da Microsoft e anexe o arquivo de dump junto com as etapas para reproduzir o problema.
4. Examine os logs do Visualizador de Eventos e filtre eventos de falha (Filtrar logs atuais: ID do evento = 1000).
5. Salve o log filtrado como um arquivo e anexe o arquivo de log ao tíquete de suporte.

QUIC não suportado para acesso à Internet

Como o QUIC ainda não tem suporte para acesso à Internet, o tráfego para as portas 80 UDP e 443 UDP não pode ser encaminhado por túnel.

Dica

Atualmente, o QUIC tem suporte em cargas de trabalho de Acesso privado e Microsoft 365.

Os administradores podem desabilitar o protocolo QUIC que aciona os clientes para voltar para HTTPS sobre TCP, que é totalmente compatível com o acesso à Internet.

Desabilitar o QUIC no Microsoft Edge

Para desabilitar o QUIC no Microsoft Edge:

1. Abra o Microsoft Edge.
2. edge://flags/#enable-quic Cole na barra de endereços.
3. Defina o menu suspenso Protocolo QUIC experimental para Desativado.

Desabilitar o QUIC no Chrome

Para desativar o QUIC no Google Chrome:

1. Abra o Google Chrome.
2. chrome://flags/#enable-quic Cole na barra de endereços.
3. Defina o menu suspenso Protocolo QUIC experimental para Desativado.

Desabilitar o QUIC no Mozilla Firefox

Para desativar o QUIC no Mozilla Firefox:

1. Abra o Firefox.
2. about:config Cole na barra de endereços.
3. No campo Nome da preferência de pesquisa, cole network.http.http3.enable.
4. Alterne a opção network.http.http3.enable para Falso.

Conteúdo relacionado

• Instalar o cliente de Acesso Seguro Global para Windows
• Solucionar problemas do cliente de Acesso Seguro Global para macOS: aba Verificação de integridade