Solucionar problemas do cliente do Acesso Global Seguro: guia de verificação de integridade

Este documento fornece orientação de solução de problemas para o cliente do acesso seguro global usando a guia Verificação de integridade no utilitário de diagnóstico avançado.

Introdução

A verificação de integridade do diagnóstico avançado executa testes para verificar se o cliente do acesso seguro global está funcionando corretamente e se seus componentes estão em execução.

Executar a verificação de integridade

Para executar uma verificação de integridade para o cliente do acesso seguro global:

1. Na bandeja do sistema, clique com o botão direito do mouse no ícone do cliente do acesso seguro global e selecione Diagnóstico avançado.
2. A caixa de diálogo do Controle de conta de usuário é aberta. Selecione Sim para permitir que o aplicativo cliente faça alterações ao seu dispositivo.
3. Na caixa de diálogo do Cliente do Acesso Global Seguro — Diagnóstico avançado, selecione a guia Verificação de integridade. A alternância de guias executará a verificação de integridade.

Processo de resolução

A maioria dos testes de verificação de integridade depende uns dos outros. Se os testes falharem:

1. Resolva o primeiro teste com falha na lista.
2. Selecione Atualizar para exibir o status atualizado do teste.
3. Repita até resolver todos os testes com falha.

Verifique o visualizador de eventos

Como parte do processo de solução de problemas, pode ser útil verificar o Visualizador de eventos para o cliente do acesso seguro global. O log contém eventos valiosos relacionados a erros e sua causa.

1. Navegue até Painel de controle>Sistema e segurança>Ferramentas do Windows.
2. Inicie o Visualizador de eventos.
3. Navegue até Logs de aplicativos e serviços>Microsoft>Windows>Cliente do acesso seguro global.
   1. Para exibir os logs do cliente, selecione Operacional.
   2. Para exibir logs de driver, selecione Kernel.

Testes de verificação de integridade

As verificações a seguir verificam a integridade do cliente do acesso seguro global.

O dispositivo é o Microsoft Entra associado

O cliente Windows autentica o usuário e o dispositivo nos serviços de Acesso Global Seguro. A autenticação do dispositivo, com base no token do dispositivo, exige que o dispositivo seja associado ao Microsoft Entra ou ao Microsoft Entra híbrido. No momento, não há suporte para dispositivos registrados no Microsoft Entra. Para verificar o status do seu dispositivo, digite o seguinte comando no prompt de comando: dsregcmd.exe /status.

Não é possível conectar-se à Internet

Essa verificação indica se o dispositivo está ou não conectado à Internet. O cliente do acesso seguro global requer uma conexão com a Internet. Esse teste é baseado no recurso NCSI (Indicador de Status de Conectividade de Rede).

Serviço de túnel em execução

O serviço de túnel do acesso seguro global deve estar em execução.

1. Para verificar se esse serviço está em execução, digite o seguinte comando no prompt de comando:
   sc query GlobalSecureAccessTunnelingService
2. Se o serviço de túnel do acesso seguro global não estiver em execução, inicie-o a partir do services.msc.
3. Se o serviço não for iniciado, verifique a presença de erros no Visualizador de eventos.

Serviço do mecanismo em execução

O serviço de Mecanismo do Global de Acesso Seguro deve estar em execução.

1. Para verificar se esse serviço está em execução, insira o seguinte comando no Prompt de Comando:
   sc query GlobalSecureAccessEngineService
2. Se o Serviço de Mecanismo do Global de Acesso Seguro não estiver em execução, inicie-o a partir do services.msc.
3. Se o serviço não for iniciado, verifique a presença de erros no Visualizador de eventos.

Serviço de recuperação de políticas em execução

O serviço de Recuperação de Política de Acesso Global Seguro deve estar em execução.

1. Para verificar se esse serviço está em execução, digite o seguinte comando no prompt de comando:
   sc query GlobalSecureAccessPolicyRetrieverService
2. Se o serviço de recuperação de política de acesso seguro global não estiver em execução, inicie-o a partir de services.msc.
3. Se o serviço não for iniciado, verifique a presença de erros no Visualizador de eventos.

Driver em execução

O driver do acesso seguro global deve estar em execução. Para verificar se esse serviço está em execução, digite o seguinte comando no prompt de comando:
sc query GlobalSecureAccessDriver

Se o driver não estiver em execução:

1. Abra o Visualizador de Eventos e pesquise evento 304 no log do cliente do Acesso Global Seguro.
2. Se o driver não estiver em execução, reinicialize o computador.
3. Execute o comando sc query GlobalSecureAccessDriver novamente.
4. Se o problema persistir, reinstale o cliente do acesso seguro global.

Aplicativo de bandeja do cliente em execução

O processo GlobalSecureAccessClient.exe executa a experiência do usuário do cliente na bandeja do sistema. Se você não conseguir ver o ícone do acesso seguro global na bandeja do sistema, poderá executá-lo a partir do seguinte caminho:
C:\Program Files\Global Secure Access Client\GlobalSecureAccessClient.exe

Registro de perfil de encaminhamento existe

Esse teste verifica se a seguinte chave do registro existe:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile

Se a chave de registro não existir, tente forçar a recuperação da política de encaminhamento:

1. Exclua a chave de registro Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp, se ela existir.
2. Reinicie o serviço, Global Secure Access Policy Retriever Service.
3. Verifique se as duas chaves do registro foram criadas.
4. Caso contrário, procure por erros no Visualizador de eventos.

Perfil de encaminhamento corresponde ao esquema esperado

Este teste verifica se o perfil de encaminhamento no registro tem um formato valido que o cliente possa ler.

Se esse teste falhar, verifique se você está usando o perfil de encaminhamento mais atualizado do seu locatário seguindo estas etapas:

1. Exclua as seguintes chaves do registro:
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp
2. Reinicie o serviço, Global Secure Access Policy Retriever Service.
3. Reinicie o cliente do acesso seguro global.
4. Execute a verificação de integridade novamente.
5. Se as etapas anteriores não solucionarem o problema, atualize o cliente do Acesso Global Seguro para a versão mais recente.
6. Se o problema persistir, contate o Suporte da Microsoft.

Modo break-glass desativado

O modo break-glass impede que o cliente do acesso seguro global encaminhe o tráfego de rede por túnel para o serviço de nuvem do acesso seguro global. No modo break-glass, todos os perfis de tráfego no portal do acesso seguro global são desmarcados e não se espera que o cliente do acesso seguro global encaminhe nenhum tráfego por túnel.

Para configurar o cliente para adquirir tráfego e encaminhar por túnel esse tráfego para o serviço do acesso seguro global:

1. Entre no Centro de administração do Microsoft Entra como administrador de locatários.
2. Navegue para acesso seguro global>Conectar>Encaminhamento de tráfego.
3. Habilite pelo menos um dos perfis de tráfego que correspondam às necessidades da sua organização.

O cliente do acesso seguro global deve receber o perfil de encaminhamento atualizado dentro de uma hora após você fazer alterações no portal.

URLs de diagnóstico no perfil de encaminhamento

Esse teste verifica se a configuração contém uma URL para investigar a integridade do serviço em cada canal ativado no perfil de encaminhamento.

Para exibir o status de integridade, clique duas vezes no ícone do cliente do acesso seguro global na bandeja do sistema.

Se esse teste falhar, geralmente é devido a um problema interno com o acesso seguro global. Entre em contato com o Suporte da Microsoft.

Certificado de autenticação existe

Esse teste verifica se existe um certificado no dispositivo para a conexão mTLS (protocolo TLS mútuo) com o serviço de nuvem do Acesso Global Seguro.

Dica

Esse teste não aparecerá se o mTLS ainda não estiver habilitado para seu locatário.

Se esse teste falhar, registre em um novo certificado concluindo as seguintes etapas:

1. Inicie o console de gerenciamento Microsoft digitando o seguinte comando no prompt de comando: certlm.msc.
2. Na janela certlm, navegue até Pessoal>Certificados.
3. Exclua o certificado que termina com gsa.client, se ele existir.
4. Exclua as seguintes chaves do registro:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Reinicie o Serviço de Mecanismo do Global de Acesso Seguro no MMC de serviços.
6. Atualize o MMC de certificados para verificar se um novo certificado foi criado.
   O provisionamento de um novo certificado pode levar alguns minutos.
7. Verifique se há erros no log de eventos do cliente do Acesso Global Seguro.
8. Execute os testes de verificação de integridade novamente.

Certificado de autenticação é válido

Esse teste verifica se o certificado de autenticação usado para a conexão mTLS com o serviço de nuvem do acesso seguro global é válido.

Dica

Esse teste não aparecerá se o mTLS ainda não estiver habilitado para seu locatário.

Se esse teste falhar, registre em um novo certificado concluindo as seguintes etapas:

1. Inicie o console de gerenciamento Microsoft digitando o seguinte comando no prompt de comando: certlm.msc.
2. Na janela certlm, navegue até Pessoal>Certificados.
3. Exclua o certificado que termina com gsa.client.
4. Exclua as seguintes chaves do registro:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Reinicie o Serviço de Mecanismo do Global de Acesso Seguro no MMC de serviços.
6. Atualize o MMC de certificados para verificar se um novo certificado foi criado.
   O provisionamento de um novo certificado pode levar alguns minutos.
7. Verifique se há erros no log de eventos do cliente do Acesso Global Seguro.
8. Execute os testes de verificação de integridade novamente.

Sem suporte a DNS sobre HTTPS

Para que o cliente do acesso seguro global adquira tráfego de rede por um destino FQDN (nome de domínio totalmente qualificado) (em oposição a um destino IP), o cliente precisa ler as solicitações DNS enviadas pelo dispositivo para o servidor DNS. Isso significa que, se o perfil de encaminhamento contiver regras FQDN, você deverá desabilitar o DNS sobre HTTPS.

DNS seguro desativado no sistema operacional

Para desabilitar o DNS sobre HTTPS no Windows, consulte Cliente DoH (DNS seguro sobre HTTPS).

Importante

Você deve desabilitar o DNS sobre HTTPS para executar com êxito a verificação de integridade do cliente do acesso seguro global.

DNS seguro desativado em navegadores (Microsoft Edge, Chrome, Firefox)

Verifique se o DNS seguro está desativado para cada um dos seguintes navegadores:

DNS seguro desabilitado no Microsoft Edge

Para desabilitar o DNS sobre HTTPS no Microsoft Edge:

1. Inicie o Microsoft Edge.
2. Abra o menu Configurações e mais e selecione Configurações.
3. Selecione Privacidade, pesquisar e serviços.
4. Na seção Segurança, defina a opção Usar DNS seguro para especificar como pesquisar o endereço de rede para sites como desativada.

DNS seguro desativado no Chrome

Para desativar o DNS sobre HTTPS no Google Chrome:

1. Abra o Chrome.
2. Selecione Personalizar e controlar o Google Chrome e, em seguida, selecione Configurações.
3. Selecione Segurança e Privacidade.
4. Selecione Segurança.
5. Na seção Avançado, defina a opção Usar DNS seguro como desativada.

DNS seguro desativado no Firefox

Para desativar o DNS sobre HTTPS no Mozilla Firefox:

1. Abra o Firefox.
2. Selecione o botão Abrir menu de aplicativo e, em seguida, selecione Configurações.
3. Selecione Privacidade e segurança.
4. Na seção DNS sobre HTTPS, selecione Desativado.

DNS responsivo

Este teste verifica se o servidor DNS configurado para Windows retorna uma resposta DNS.

Se esse teste falhar:

1. Pause o cliente do acesso seguro global.
2. Verifique se o servidor DNS configurado para Windows está acessível. Por exemplo, tente resolver "microsoft.com" usando a ferramenta nslookup.
3. Verifique se nenhum firewall está bloqueando o tráfego para o servidor DNS.
4. Configure um servidor DNS alternativo e teste novamente.
5. Reunicie o cliente do acesso seguro global.

IP magic recebido

Essa verificação confere se o cliente é capaz de adquirir tráfego por FQDN (nome de domínio totalmente qualificado).

Se o teste falhar:

1. Reinicie o cliente e tente novamente.
2. Reinicie o Windows. Essa etapa pode ser necessária em casos raros para excluir o cache volátil.

Token armazenado em cache

Esse teste verifica se o cliente foi autenticado com êxito no Microsoft Entra.

Se o teste de token armazenado em cache falhar:

1. Verifique se os serviços e o driver estão em execução.
2. Verifique se o ícone da bandeja do sistema está visível.
3. Se a notificação de entrada for exibida, selecione Entrar.
4. Se a notificação de entrada não aparecer, verifique se ela está no Centro de Notificações e selecione Entrar.
5. Entre com um usuário que seja membro do mesmo locatário do Microsoft Entra ao qual o dispositivo está ingressado.
6. Verifique a conexão de rede.
7. Passe o mouse sobre o ícone do cliente na bandeja do sistema e certifique-se que ele não está desabilitado pela sua organização.
8. Reinicie o cliente e aguarde alguns segundos.
9. Procure erros no Visualizador de Eventos.

IPv4 preferencial

O acesso seguro global ainda não oferece suporte à aquisição de tráfego para destinos com endereços IPv6. Recomendamos que você configure o cliente para preferir IPv4 em vez de IPv6, se:

1. O perfil de encaminhamento é definido para adquirir tráfego por IPv4 (em vez de por FQDN).
2. O FQDN resolvido para esse IP também é resolvido para um endereço IPv6.

Para configurar o cliente para preferir IPv4 em vez de IPv6, defina a seguinte chave do registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\ Name: DisabledComponents Type: REG_DWORD Value: 0x20 (Hex)

Importante

As alterações nesse valor do registro exigem uma reinicialização do computador. Para obter mais informações, consulte Orientação para configurar o IPv6 no Windows para usuários avançados.

Nome do host de borda resolvido pelo DNS

Este teste verifica todos os tipos de tráfego ativos: Microsoft 365, Acesso privado e Acesso à Internet. Se esse teste falhar, o DNS não poderá resolver os nomes de host do serviço de nuvem do acesso seguro global e, portanto, o serviço não estará acessível. O teste pode falhar devido a um problema de conectividade com a Internet ou a um servidor DNS que não resolve nomes de host públicos da Internet.

Para verificar se a resolução do nome do host funciona corretamente:

1. Pause o cliente.
2. Execute o comando do PowerShell: Resolve-DnsName -Name <edge's FQDN>
3. Se a resolução do nome do host falhar, tente executar: Resolve-DnsName -Name microsoft.com
4. Verifique se os servidores DNS estão configurados para esta máquina: ipconfig /all
5. Se as etapas anteriores não resolverem o problema, considere definir outro servidor DNS público.

Borda é acessível

Este teste verifica todos os tipos de tráfego ativos: Microsoft 365, Acesso privado e Acesso à Internet. Se o teste falhar, é devido ao dispositivo não ter conexão de rede com o serviço de nuvem do acesso seguro global.

Se o teste falhar:

1. Verifique se o dispositivo tem conexão com a Internet.
2. Verifique se o firewall ou proxy não está bloqueando a conexão com a borda.
3. Verifique se o IPv4 está ativo no dispositivo. Atualmente, a borda funciona apenas com um endereço IPv4.
4. Pare o cliente e tente Test-NetConnection -ComputerName <edge's fqdn> -Port 443 novamente.
5. Experimente o comando do PowerShell de outro dispositivo conectado à Internet de uma rede pública.

Proxy desabilitado

Esse teste verifica se o proxy está configurado no dispositivo. Se o dispositivo do usuário final estiver configurado para usar um proxy para o tráfego de saída para a Internet, os IPs/FQDNs de destino adquiridos pelo cliente precisarão ser excluídos por um arquivo PAC (configuração automática de proxy) ou com o protocolo WPAD (descoberta automática de proxy Web).

Alterar o arquivo PAC

Adicione os IPs/FQDNs a serem encaminhados por túnel na borda do acesso seguro global como exclusões no arquivo PAC, para que as solicitações HTTP para esses destinos não sejam redirecionadas para o proxy. (Esses IPs/FQDNs também são definidos para encaminhar por túbel para o acesso seguro global no perfil de encaminhamento.) Para mostrar o status de integridade do cliente corretamente, adicione o FQDN usado para investigação de integridade à lista de exclusões: .edgediagnostic.globalsecureaccess.microsoft.com.

Exemplo de arquivo PAC que contém exclusões:

function FindProxyForURL(url, host) {  
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".edgediagnostic.globalsecureaccess.microsoft.com") || //tunneled
            dnsDomainIs(host, ".contoso.com") || //tunneled 
            dnsDomainIs(host, ".fabrikam.com")) // tunneled 
           return "DIRECT";                    // For tunneled destinations, use "DIRECT" connection (and not the proxy)
        else                                   // for all other destinations 
           return "PROXY 10.1.0.10:8080";  // route the traffic to the proxy.
}

Adicionar uma variável de sistema

Configuração do cliente do acesso seguro global para rotear o tráfego do acesso seguro global por meio de um proxy:

1. Defina uma variável de ambiente do sistema no Windows nomeada grpc_proxy para o valor do endereço proxy. Por exemplo, http://10.1.0.10:8080.
2. Reinicie o cliente do acesso seguro global.

Nenhum comutador virtual externo do Hyper-V detectado

Suporte ao Hyper-V:

1. Comutador virtual externo: o cliente Windows do Acesso Global Seguro não oferece suporte atualmente a máquinas host que tenham um comutador virtual externo Hyper-V. No entanto, o cliente pode ser instalado nas máquinas virtuais para encapsular o tráfego para o Acesso Global Seguro.
2. Comutador virtual interno: o cliente Windows do Acesso Global Seguro pode ser instalado em máquinas host e convidadas. O cliente faz o tunelamento apenas do tráfego de rede do computador em que está instalado. Em outras palavras, um cliente instalado em uma máquina host não faz o tunelamento do tráfego de rede das máquinas convidadas.

O cliente Windows do Acesso Global Seguro oferece suporte a Máquinas Virtuais do Azure.

O cliente Windows do Acesso Global Seguro oferece suporte à Área de Trabalho Virtual do Azure (AVD).

Observação

A multissessão da AVD não é suportada.

Tunelamento com êxito

Esse teste verifica cada perfil de tráfego ativo no perfil de encaminhamento (Microsoft 365, Acesso privado e Acesso à Internet) para verificar se as conexões com o serviço de integridade do canal correspondente são encapsuladas com êxito.

Se esse teste falhar:

1. Verifique o Visualizador de eventos em busca de erros
2. Reinicie o cliente e tente novamente.

Processos do acesos seguro global íntegros (últimas 24 h)

Se esse teste falhar, significa que pelo menos um processo do cliente travou nas últimas 24 horas.

Se todos os outros testes concluírem sem falha, o cliente deverá estar em estado de funcionamento no momento. No entanto, pode ser útil investigar o arquivo de despejo do processo para aumentar a estabilidade futura e entender melhor por que o processo falhou.

Para investigar o arquivo de despejo de processo quando um processo falha:

1. Configure despejos de modo de usuário:
   • Adicione a seguinte chave do registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps
   • Adicione um valor do registro REG_SZ DumpFolder e defina seus dados para o DumpFolder existente onde você deseja salvar o arquivo de despejo.
2. Reproduza o problema para criar um novo arquivo de despejo na DumpFolder selecionada.
3. Abra um tíquete para o Suporte da Microsoft e anexe o arquivo de despejo e as etapas para reproduzir o problema.
4. Examine os logs do Visualizador de Eventos e filtre eventos de falha (Filtrar logs atuais: ID do evento = 1000).
5. Salve o log filtrado como um arquivo e anexe o arquivo de log ao tíquete de suporte.

QUIC não suportado para acesso à Internet

Como o QUIC ainda não tem suporte para acesso à Internet, o tráfego para as portas 80 UDP e 443 UDP não pode ser encaminhado por túnel.

Dica

Atualmente, o QUIC tem suporte em cargas de trabalho de Acesso privado e Microsoft 365.

Os administradores podem desabilitar o protocolo QUIC que aciona os clientes para voltar para HTTPS sobre TCP, que é totalmente compatível com o acesso à Internet.

QUIC desabilitado no Microsoft Edge

Para desabilitar o QUIC no Microsoft Edge:

1. Abra o Microsoft Edge.
2. Cole edge://flags/#enable-quic na barra de endereços.
3. Defina a lista suspensa Protocolo QUIC experimental como Desativada.

QUIC desativado no Chrome

Para desativar o QUIC no Google Chrome:

1. Abra o Google Chrome.
2. Cole chrome://flags/#enable-quic na barra de endereços.
3. Defina a lista suspensa Protocolo QUIC experimental como Desativada.

QUIC desativado no Mozilla Firefox

Para desativar o QUIC no Mozilla Firefox:

1. Abra o Firefox.
2. Cole about:config na barra de endereços.
3. No campo Nome da preferência de pesquisa, cole network.http.http3.enable.
4. Alterne a opção network.http.http3.enable para Falso.