Risolvere i problemi del client globale di accesso sicuro: scheda Controllo integrità

Questo documento fornisce indicazioni per la risoluzione dei problemi per il client Accesso sicuro globale tramite la scheda Controllo integrità nell'utilità Diagnostica avanzata.

Introduzione

Il controllo integrità diagnostica avanzata esegue test per verificare che il client di Accesso sicuro globale funzioni correttamente e che i relativi componenti siano in esecuzione.

Eseguire il controllo integrità

Per eseguire un controllo di integrità per il client Di accesso sicuro globale:

1. Fare clic con il pulsante destro del mouse sull'icona della barra delle applicazioni client di Accesso sicuro globale e selezionare Diagnostica avanzata.
2. Verrà visualizzata la finestra di dialogo Controllo account utente. Selezionare Sì per consentire all'applicazione client di apportare modifiche al dispositivo.
3. Nella finestra di dialogo Global Secure Access Client - Advanced diagnostics (Client di accesso sicuro globale - Diagnostica avanzata) selezionare la scheda Controllo integrità. Se si cambia scheda, viene eseguito il controllo integrità.

Processo di risoluzione

La maggior parte dei test di controllo integrità dipende l'una dall'altra. Se i test hanno esito negativo:

1. Risolvere il primo test non riuscito nell'elenco.
2. Selezionare Aggiorna per visualizzare lo stato aggiornato del test.
3. Ripetere fino a quando non si risolvono tutti i test non superati.

Controllare il Visualizzatore eventi

Come parte del processo di risoluzione dei problemi, può essere utile controllare il Visualizzatore eventi per il client Accesso sicuro globale. Il log contiene eventi importanti relativi agli errori e alla relativa causa.

1. Passare a Pannello di controllo> Sistema e strumenti di Windows per la sicurezza.>
2. Avviare Visualizzatore eventi.
3. Passare a Registri applicazioni e servizi Di>Microsoft>Windows>Global Secure Access Client.
   1. Per visualizzare i log client, selezionare Operativo.
   2. Per visualizzare i log dei driver, selezionare Kernel.

Test di controllo dell'integrità

I controlli seguenti verificano l'integrità del client Di accesso sicuro globale.

Un dispositivo è aggiunto a Microsoft Entra

Il client Windows autentica l'utente e il dispositivo ai servizi di Accesso globale sicuro. L'autenticazione del dispositivo, basata su un token del dispositivo, richiede che il dispositivo sia aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido. I dispositivi registrati Microsoft Entra non sono attualmente supportati. Per controllare lo stato del dispositivo, immettere il comando seguente nel prompt dei comandi: dsregcmd.exe /status.

Può connettersi a Internet

Questo controllo indica se il dispositivo è connesso o meno a Internet. Il client Accesso sicuro globale richiede una connessione Internet. Questo test si basa sulla funzionalità Indicatore di stato connettività di rete (NCSI).

Servizio di tunneling in esecuzione

Il servizio Global Secure Access Tunneling deve essere in esecuzione.

1. Per verificare che questo servizio sia in esecuzione, immettere il comando seguente nel prompt dei comandi:
   sc query GlobalSecureAccessTunnelingService
2. Se il servizio Global Secure Access Tunneling non è in esecuzione, avviarlo da services.msc.
3. Se l'avvio del servizio non riesce, cercare gli errori nella Visualizzatore eventi.

Servizio motore in esecuzione

Il servizio Global Secure Access Engine deve essere in esecuzione.

1. Per verificare che il servizio sia in esecuzione, immettere il comando seguente nel prompt dei comandi:
   sc query GlobalSecureAccessEngineService
2. Se il servizio del motore di accesso sicuro globale non è in esecuzione, avviarlo da services.msc.
3. Se l'avvio del servizio non riesce, cercare gli errori nella Visualizzatore eventi.

Servizio Policy Retriever in esecuzione

Il servizio Global Secure Access Policy Retriever deve essere in esecuzione.

1. Per verificare che questo servizio sia in esecuzione, immettere il comando seguente nel prompt dei comandi:
   sc query GlobalSecureAccessPolicyRetrieverService
2. Se il servizio Global Secure Access Policy Retriever non è in esecuzione, avviarlo da services.msc.
3. Se l'avvio del servizio non riesce, cercare gli errori nella Visualizzatore eventi.

Driver in esecuzione

Il driver Global Secure Access deve essere in esecuzione. Per verificare che questo servizio sia in esecuzione, immettere il comando seguente nel prompt dei comandi:
sc query GlobalSecureAccessDriver

Se il driver non è in esecuzione:

1. Aprire il Visualizzatore eventi e cercare l'evento 304 nel registro client di Accesso sicuro globale.
2. Se il driver non è in esecuzione, riavviare il computer.
3. Eseguire di nuovo il comando sc query GlobalSecureAccessDriver.
4. Se il problema rimane non risolto, reinstallare il client Di accesso sicuro globale.

Applicazione client tray in esecuzione

Il processo di GlobalSecureAccessClient.exe esegue l'esperienza utente client nell'area di notifica. Se non è possibile visualizzare l'icona Accesso sicuro globale nell'area di notifica, è possibile eseguirla dal percorso seguente:
C:\Program Files\Global Secure Access Client\GlobalSecureAccessClient.exe

Esiste il Registro di sistema del profilo di inoltro

Questo test verifica che esista la chiave del Registro di sistema seguente:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile

Se la chiave del Registro di sistema non esiste, provare a forzare il recupero dei criteri di inoltro:

1. Eliminare la chiave del Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp Registro di sistema, se esistente.
2. Riavviare il servizio. Global Secure Access Policy Retriever Service
3. Controllare se vengono create le due chiavi del Registro di sistema.
4. In caso contrario, cercare gli errori nel Visualizzatore eventi.

Schema previsto del profilo di inoltro

Questo test verifica che il profilo di inoltro nel Registro di sistema abbia un formato valido che il client può leggere.

Se questo test non riesce, assicurarsi di usare il profilo di inoltro più aggiornato del tenant seguendo questa procedura:

1. Eliminare le chiavi del Registro di sistema seguenti:
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp
2. Riavviare il servizio. Global Secure Access Policy Retriever Service
3. Riavviare il client Accesso sicuro globale.
4. Eseguire di nuovo il controllo integrità.
5. Se i passaggi precedenti non risolvono il problema, aggiornare il client accesso sicuro globale alla versione più recente.
6. Se il problema persiste, contattare supporto tecnico Microsoft.

Modalità break-glass disabilitata

La modalità break-glass impedisce al client Di accesso sicuro globale di eseguire il tunneling del traffico di rete al servizio cloud Accesso sicuro globale. In modalità break-glass, tutti i profili di traffico nel portale di accesso sicuro globale sono deselezionati e il client Di accesso sicuro globale non dovrebbe eseguire il tunneling del traffico.

Per impostare il client per acquisire il traffico e il tunneling del traffico verso il servizio accesso sicuro globale:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore tenant.
2. Passare a Global Secure Access>Connect>Traffic forwarding (Inoltro del traffico di connessione sicura globale).
3. Abilitare almeno uno dei profili di traffico che soddisfano le esigenze dell'organizzazione.

Il client Accesso sicuro globale deve ricevere il profilo di inoltro aggiornato entro un'ora dopo aver apportato modifiche nel portale.

URL di diagnostica nel profilo di inoltro

Per ogni canale attivato nel profilo di inoltro, questo test verifica che la configurazione contenga un URL per eseguire il probe dell'integrità del servizio.

Per visualizzare lo stato di integrità, fare doppio clic sull'icona della barra delle applicazioni client accesso sicuro globale.

Se questo test ha esito negativo, è in genere dovuto a un problema interno con l'accesso sicuro globale. Contattare il supporto tecnico Microsoft.

Il certificato di autenticazione esiste

Questo test verifica che nel dispositivo esista un certificato per la connessione mTLS (Mutual Transport Layer Security) al servizio cloud Global Secure Access.

Suggerimento

Questo test non viene visualizzato se mTLS non è ancora abilitato per il tenant.

Se questo test non riesce, eseguire la registrazione in un nuovo certificato completando i passaggi seguenti:

1. Avviare la console di gestione Microsoft immettendo il comando seguente nel prompt dei comandi: certlm.msc.
2. Nella finestra certlm passare a Certificati personali>.
3. Eliminare il certificato che termina con gsa.client, se esistente.
4. Eliminare la chiave del Registro di sistema seguente:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Riavviare il servizio Global Secure Access Engine nei servizi MMC.
6. Aggiornare i certificati MMC per verificare che sia stato creato un nuovo certificato.
   Il provisioning di un nuovo certificato potrebbe richiedere alcuni minuti.
7. Controllare la presenza di errori nel registro eventi del client Accesso sicuro globale.
8. Eseguire di nuovo i test di controllo integrità.

Il certificato di autenticazione è valido

Questo test verifica che il certificato di autenticazione usato per la connessione mTLS al servizio cloud Accesso sicuro globale sia valido.

Suggerimento

Questo test non viene visualizzato se mTLS non è ancora abilitato per il tenant.

Se questo test non riesce, eseguire la registrazione in un nuovo certificato completando i passaggi seguenti:

1. Avviare la console di gestione Microsoft immettendo il comando seguente nel prompt dei comandi: certlm.msc.
2. Nella finestra certlm passare a Certificati personali>.
3. Eliminare il certificato che termina con gsa.client.
4. Eliminare la chiave del Registro di sistema seguente:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Riavviare il servizio Global Secure Access Engine nei servizi MMC.
6. Aggiornare i certificati MMC per verificare che sia stato creato un nuovo certificato.
   Il provisioning di un nuovo certificato potrebbe richiedere alcuni minuti.
7. Controllare la presenza di errori nel registro eventi del client Accesso sicuro globale.
8. Eseguire di nuovo i test di controllo integrità.

DNS su HTTPS non supportato

Affinché il client Di accesso sicuro globale acquisisca il traffico di rete tramite una destinazione FQDN (Nome di dominio completo) (anziché una destinazione IP), il client deve leggere le richieste DNS inviate dal dispositivo al server DNS. Ciò significa che se il profilo di inoltro contiene regole FQDN, è necessario disabilitare DNS su HTTPS.

Dns sicuro disabilitato nel sistema operativo

Per disabilitare DNS su HTTPS in Windows, vedere Secure DNS Client over HTTPS (DoH).

Importante

Per eseguire correttamente il controllo integrità del client accesso sicuro globale, è necessario disabilitare DNS su HTTPS.

Dns sicuro disabilitato nei browser (Microsoft Edge, Chrome, Firefox)

Verificare che IL DNS sicuro sia disabilitato per ognuno dei browser seguenti:

Dns sicuro disabilitato in Microsoft Edge

Per disabilitare DNS su HTTPS in Microsoft Edge:

1. Avviare Microsoft Edge.
2. Aprire il menu Impostazioni e altro e selezionare Impostazioni.
3. Selezionare Privacy, ricerca e servizi.
4. Nella sezione Sicurezza impostare l'opzione Usa DNS sicuro per specificare come cercare l'indirizzo di rete per i siti Web disattivati.

Dns sicuro disabilitato in Chrome

Per disabilitare DNS su HTTPS in Google Chrome:

1. Aprire Chrome.
2. Selezionare Personalizza e controlla Google Chrome e quindi selezionare Impostazioni.
3. Selezionare Privacy e sicurezza.
4. Seleziona Sicurezza.
5. Nella sezione Avanzate impostare l'interruttore Usa DNS sicuro su disattivato.

Dns sicuro disabilitato in Firefox

Per disabilitare IL DNS su HTTPS in Mozilla Firefox:

1. Aprire Firefox.
2. Selezionare il pulsante Apri menu applicazione e quindi selezionare Impostazioni.
3. Selezionare Privacy e sicurezza.
4. Nella sezione DNS su HTTPS selezionare No.

DNS Reattivo

Questo test verifica se il server DNS configurato per Windows restituisce una risposta DNS.

Se il test ha esito negativo:

1. Sospendere il client Di accesso sicuro globale.
2. Controllare se il server DNS configurato per Windows è raggiungibile. Provare ad esempio a risolvere "microsoft.com" usando lo nslookup strumento .
3. Verificare che nessun firewall blocchi il traffico verso il server DNS.
4. Configurare un server DNS alternativo e riprovare.
5. Riprendere il client Di accesso sicuro globale.

Ip magic ricevuto

Questo controllo verifica che il client sia in grado di acquisire traffico da un nome di dominio completo (FQDN).

Se il test ha esito negativo:

1. Riavviare il client e riprovare.
2. Riavviare Windows. Questo passaggio potrebbe essere necessario in rari casi per eliminare la cache volatile.

Token memorizzato nella cache

Questo test verifica che il client sia stato autenticato correttamente in Microsoft Entra.

Se il test del token memorizzato nella cache non riesce:

1. Verificare che i servizi e il driver siano in esecuzione.
2. Verificare che l'icona dell'area di notifica sia visibile.
3. Se viene visualizzata la notifica di accesso, selezionare Accedi.
4. Se la notifica di accesso non viene visualizzata, controllare se si trova nel Centro notifiche e selezionare Accedi.
5. Accedere con un utente membro dello stesso tenant di Microsoft Entra a cui è stato aggiunto il dispositivo.
6. Verificare la connessione di rete.
7. Passare il puntatore del mouse sull'icona dell'area di notifica e verificare che il client non sia disabilitato dall'organizzazione.
8. Riavviare il client e attendere alcuni secondi.
9. Cercare gli errori nel Visualizzatore eventi.

IPv4 preferito

L'accesso sicuro globale non supporta ancora l'acquisizione del traffico per le destinazioni con indirizzi IPv6. È consigliabile configurare il client in modo che preferisca IPv4 rispetto a IPv6, se:

1. Il profilo di inoltro è impostato per acquisire il traffico da IPv4 (anziché da FQDN).
2. Il nome di dominio completo risolto in questo indirizzo IP viene risolto anche in un indirizzo IPv6.

Per configurare il client in modo che preferisca IPv4 su IPv6, impostare la chiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\ Name: DisabledComponents Type: REG_DWORD Value: 0x20 (Hex)

Importante

Le modifiche apportate a questo valore del Registro di sistema richiedono un riavvio del computer. Per altre informazioni, vedere Linee guida per la configurazione di IPv6 in Windows per utenti avanzati.

Nome host edge risolto da DNS

Questo test controlla tutti i tipi di traffico attivi: Microsoft 365, Accesso privato e Accesso a Internet. Se questo test non riesce, il DNS non riesce a risolvere i nomi host del servizio cloud Global Secure Access e pertanto il servizio non è raggiungibile. Questo test non riuscito potrebbe essere dovuto a un problema di connettività Internet o a un server DNS che non risolve i nomi host Internet pubblici.

Per verificare che la risoluzione del nome host funzioni correttamente:

1. Sospendere il client.
2. Eseguire il comando di PowerShell: Resolve-DnsName -Name <edge's FQDN>
3. Se la risoluzione del nome host non riesce, provare a eseguire: Resolve-DnsName -Name microsoft.com
4. Verificare che i server DNS siano configurati per questo computer: ipconfig /all
5. Se i passaggi precedenti non risolvono il problema, prendere in considerazione l'impostazione di un altro server DNS pubblico.

Edge è raggiungibile

Questo test controlla tutti i tipi di traffico attivi: Microsoft 365, Accesso privato e Accesso a Internet. Se questo test non riesce, il dispositivo non dispone di una connessione di rete al servizio cloud Global Secure Access.

Se il test ha esito negativo:

1. Verificare che il dispositivo disponga di una connessione Internet.
2. Verificare che il firewall o il proxy non blocchi la connessione al perimetro.
3. Assicurarsi che IPv4 sia attivo nel dispositivo. Attualmente l'edge funziona solo con un indirizzo IPv4.
4. Arrestare il client e riprovare Test-NetConnection -ComputerName <edge's fqdn> -Port 443.
5. Provare il comando di PowerShell da un altro dispositivo connesso a Internet da una rete pubblica.

Proxy disabilitato

Questo test verifica se il proxy è configurato nel dispositivo. Se il dispositivo dell'utente finale è configurato per l'uso di un proxy per il traffico in uscita verso Internet, è necessario escludere gli INDIRIZZI IP/FQDN di destinazione acquisiti dal client con un file pac (Proxy Auto Configuration) o con il protocollo WPAD (Web Proxy Auto-Discovery).

Modificare il file PAC

Aggiungere gli indirizzi IP/FQDN per il tunneling alla rete perimetrale di Accesso sicuro globale come esclusioni nel file PAC, in modo che le richieste HTTP per queste destinazioni non vengano reindirizzate al proxy. Questi INDIRIZZI IP/FQDN sono impostati anche per il tunneling su Accesso sicuro globale nel profilo di inoltro. Per visualizzare correttamente lo stato di integrità del client, aggiungere il nome di dominio completo usato per il probe di integrità all'elenco di esclusioni: .edgediagnostic.globalsecureaccess.microsoft.com.

File PAC di esempio contenente esclusioni:

function FindProxyForURL(url, host) {  
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".edgediagnostic.globalsecureaccess.microsoft.com") || //tunneled
            dnsDomainIs(host, ".contoso.com") || //tunneled 
            dnsDomainIs(host, ".fabrikam.com")) // tunneled 
           return "DIRECT";                    // For tunneled destinations, use "DIRECT" connection (and not the proxy)
        else                                   // for all other destinations 
           return "PROXY 10.1.0.10:8080";  // route the traffic to the proxy.
}

Aggiungere una variabile di sistema

Configurazione del client Di accesso sicuro globale per instradare il traffico di accesso sicuro globale tramite un proxy:

1. Impostare una variabile di ambiente di sistema in Windows denominata grpc_proxy sul valore dell'indirizzo proxy. Ad esempio: http://10.1.0.10:8080.
2. Riavviare il client Accesso sicuro globale.

Non è stato rilevato alcun commutatore virtuale esterno Hyper-V

Supporto di Hyper-V:

1. Commutatore virtuale esterno: il client Windows con accesso sicuro globale attualmente non supporta i computer host che dispongono di un commutatore virtuale esterno Hyper-V. Tuttavia, il client può essere installato nelle macchine virtuali per eseguire il tunneling del traffico verso l'accesso sicuro globale.
2. Commutatore virtuale interno: il client Windows accesso sicuro globale può essere installato in computer host e guest. Il client esegue il tunneling solo del traffico di rete del computer in cui è installato. In altre parole, un client installato in un computer host non esegue il tunneling del traffico di rete dei computer guest.

Il client Windows Accesso sicuro globale supporta Macchine virtuali di Azure.

Il client Windows Di accesso sicuro globale supporta Desktop virtuale Azure .The Global Secure Access Windows client supports Azure Virtual Desktop (AVD).

Nota

AVD multisessione non è supportato.

Tunneling completato

Questo test controlla ogni profilo di traffico attivo nel profilo di inoltro (Microsoft 365, Accesso privato e Accesso Internet) per verificare che le connessioni al servizio integrità del canale corrispondente vengano tunnelate correttamente.

Se il test ha esito negativo:

1. Controllare la presenza di errori nel Visualizzatore eventi.
2. Riavviare il client e riprovare.

Processi di accesso sicuro globale integri (ultimi 24 h)

Se questo test ha esito negativo, significa che almeno un processo del client si è arrestato in modo anomalo nelle ultime 24 ore.

Se tutti gli altri test superano, il client deve funzionare. Tuttavia, può essere utile esaminare il file di dump del processo per aumentare la stabilità futura e comprendere meglio il motivo per cui il processo si è arrestato in modo anomalo.

Per analizzare il file di dump del processo quando un processo si arresta in modo anomalo:

1. Configurare i dump in modalità utente:
   • Aggiungere la chiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps
   • Aggiungere un REG_SZ DumpFolder valore del Registro di sistema e impostarne i dati sull'oggetto DumpFolder esistente in cui si desidera salvare il file di dump.
2. Riprodurre il problema per creare un nuovo file dump nell'oggetto DumpFolder selezionato.
3. Aprire un ticket per supporto tecnico Microsoft e allegare il file di dump e i passaggi per riprodurre il problema.
4. Esaminare i log di Visualizzatore eventi e filtrare gli eventi di arresto anomalo (filtrare i log correnti: ID evento = 1000).
5. Salvare il log filtrato come file e allegare il file di log al ticket di supporto.

QUIC non supportato per l'accesso a Internet

Poiché QUIC non è ancora supportato per l'accesso a Internet, il traffico verso le porte 80 UDP e 443 UDP non può essere sottoposto a tunneling.

Suggerimento

QUIC è attualmente supportato nei carichi di lavoro di Accesso privato e Microsoft 365.

Gli amministratori possono disabilitare il protocollo QUIC che attiva il fallback dei client a HTTPS su TCP, che è completamente supportato in Accesso Internet.

QUIC disabilitato in Microsoft Edge

Per disabilitare QUIC in Microsoft Edge:

1. Aprire Microsoft Edge.
2. Incollare edge://flags/#enable-quic nella barra degli indirizzi.
3. Impostare l'elenco a discesa Protocollo QUIC sperimentale su Disabilitato.

QUIC disabilitato in Chrome

Per disabilitare QUIC in Google Chrome:

1. Aprire Google Chrome.
2. Incollare chrome://flags/#enable-quic nella barra degli indirizzi.
3. Impostare l'elenco a discesa Protocollo QUIC sperimentale su Disabilitato.

QUIC disabilitato in Mozilla Firefox

Per disabilitare QUIC in Mozilla Firefox:

1. Aprire Firefox.
2. Incollare about:config nella barra degli indirizzi.
3. Nel campo Nome preferenza di ricerca incollare network.http.http3.enable.
4. Attivare o disattivare l'opzione network.http.http3.enable su false.