本文档提供有关全局安全访问客户端的故障排除指南。 本文探讨如何解决错误消息“全局安全访问客户端:已由组织禁用”。
| 图标 | 消息 | DESCRIPTION |
|---|---|---|
|
全局安全访问 - 已由组织禁用 | 组织已禁用客户端(即,所有流量转发配置文件均已禁用)。 |
全局安全访问客户端 - 被您的组织禁用 的错误消息会在您的组织管理员故意停用全局安全访问客户端时出现。
当客户端收到空策略(即没有来自 Microsoft、专用访问或 Internet 访问的流量转发配置文件)时,也会出现警告消息。 空策略在以下情况下发生:
- 门户中所有流量转发配置文件均已禁用。
- 某些流量转发配置文件已启用,但用户未被分配到其中任何一个(在每个配置文件的 “用户和组分配”部分)。
- 用户未使用 Microsoft Entra 用户登录到 Windows。
- 获取策略的身份验证需要用户交互,例如启用了多重身份验证(MFA)或使用条款(ToU)。
在 3 和 4 的情况下,只有分配给整个租户的流量配置文件(在用户和组分配部分中设置为 分配给所有用户是)才能生效。 由于未使用用户身份来获取策略,因此不会应用已分配到特定用户和组的流量配置文件。 在这些情况下,只有设备标识可用于策略服务。
若要查看全局安全访问流量概况配置,请执行以下操作:
- 以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 导航到 全局安全访问>连接>流量转发。
故障排除步骤
查看可用的流量转发配置文件。 必须至少启用一个流量转发配置文件。 验证是否已将用户分配到已启用的流量转发配置文件。 组织中使用非 Microsoft Entra ID 登录 Windows 的用户,例如本地用户或未同步到 Microsoft Entra ID 的 Active Directory 域服务用户,仅接收分配给租户中所有用户的流量转发配置文件。
确保设备和用户都成功通过Microsoft Entra进行身份验证,并接收有效的令牌。
- 检查设备是否已加入 Microsoft Entra,并使用 Microsoft Entra 用户登录到 Windows。
- 运行命令
dsregcmd /status并检查 AzureAdPrt 字段。
检查条件访问策略是否正在阻止用户。 网络访问阻碍可能源于条件访问设置、未管理或不合规设备,或未满足的多重身份验证(MFA)或使用条款(ToU)策略。 若要确认全局安全访问客户端已成功向策略服务进行身份验证,请检查非交互式用户登录列表。
注释
若要获取策略,全局安全访问客户端使用非交互式无提示身份验证。
- 如果将流量转发配置文件分配到特定的用户和组,请确保登录到 Windows 的用户已分配到该配置文件,或者是已分配组的直属成员。
注释
流量配置文件是代表登录到 Windows 的 Microsoft Entra 用户(而不是登录到客户端的用户)提取的。 不支持同时登录到同一设备的多个用户。 不支持嵌套组成员身份。 每个用户必须是分配到该配置文件的组的直属成员。
- 通过检查“按 DNS 解析的策略服务主机名”和“策略服务器可供访问”运行状况检查测试是否通过,确保全局安全访问客户端可以访问云中的策略服务。
