Problembehandlung beim Client für den globalen sicheren Zugriff: Erweiterte Diagnose

Dieses Dokument enthält eine Anleitung zur Problembehandlung für den Client für den globalen sicheren Zugriff. Es behandelt jede Registerkarte des erweiterten Diagnoseprogramms.

Einführung

Der Client für den globalen sicheren Zugriff läuft im Hintergrund und leitet den relevanten Netzwerkverkehr an den globalen sicheren Zugriff weiter. Es ist keine Benutzerinteraktion erforderlich. Das erweiterte Diagnosetool macht das Verhalten des Clients für den Admin sichtbar und hilft bei der Problembehandlung.

Starten des Tools für die erweiterte Diagnose

So starten Sie das erweiterte Diagnosetool:

1. Klicken Sie mit der rechten Maustaste auf das Symbol Client für den globalen sicheren Zugriff in der Taskleiste.
2. Wählen Sie Erweiterte Diagnose aus. Wenn diese Option aktiviert ist, fordert die Benutzerkontensteuerung (UAC) zur Rechteerweiterung auf.

Registerkarte Übersicht

Auf der Registerkarte Übersicht der erweiterten Diagnose werden allgemeine Konfigurationsdetails zum Client für den globalen sicheren Zugriff angezeigt:

• Benutzername: Der Microsoft Entra-Benutzerprinzipalname der Person, die sich beim Client authentifiziert hat.
• Geräte-ID: Die ID des Geräts in Microsoft Entra. Das Gerät muss mit dem Mandanten verbunden sein.
• Mandant-ID: Die ID des Mandanten, auf den der Client verweist und mit dem das Gerät verbunden ist.
• Weiterleitungsprofil-ID: Die ID des Weiterleitungsprofils, das derzeit vom Client verwendet wird.
• Weiterleitungsprofil zuletzt überprüft: Der Zeitpunkt, zu dem der Client zuletzt überprüft hat, ob das Weiterleitungsprofil aktualisiert wurde.
• Clientversion: Die Version des Clients für den globalen sicheren Zugriff, der derzeit auf dem Gerät installiert ist.

Registerkarte „Integritätsprüfung“

Auf der Registerkarte Integritätsprüfung werden allgemeine Tests ausgeführt, um zu überprüfen, ob der Client ordnungsgemäß funktioniert und ob seine Komponenten ausgeführt werden. Weitere Informationen über die Registerkarte Integritätsprüfung finden Sie unter Problembehandlung für den Client für den globalen sicheren Zugriff: Registerkarte „Integritätsprüfung“.

Registerkarte „Weiterleitungsprofil“

Die Registerkarte Weiterleitungsprofil zeigt die Liste der aktuellen, aktiven Regeln, die für das Weiterleitungsprofil festgelegt sind. Die Registerkarte enthält die folgenden Informationen:

• Weiterleitungsprofil-ID: Die ID des Weiterleitungsprofils, das derzeit vom Client verwendet wird.
• Weiterleitungsprofil zuletzt überprüft: Der Zeitpunkt, zu dem der Client zuletzt überprüft hat, ob das Weiterleitungsprofil aktualisiert wurde.
• Details aktualisieren: Wählen Sie diese Option, um die Weiterleitungsdaten aus dem Cache des Clients neu zu laden (falls sie bei der letzten Aktualisierung aktualisiert wurden).
• Richtlinientester: Wählen Sie diese Option, um die aktive Regel für eine Verbindung zu einem bestimmten Ziel anzuzeigen.
• Filter hinzufügen: Wählen Sie diese Option aus, um Filter festzulegen und nur eine Teilmenge der Regeln gemäß einer bestimmten Gruppe von Filtereigenschaften anzuzeigen.
• Spalten: Wählen Sie die Spalten aus, die in der Tabelle angezeigt werden sollen.

Im Abschnitt „Regeln“ finden Sie eine Liste der Regeln, die nach Arbeitsaufwand gruppiert sind (M365-Regeln, Private Zugriffsregeln, Internetzugriffsregeln). Diese Liste enthält nur Regeln für die Workloads, die in Ihrem Mandanten aktiviert sind.

Für jede Regel enthalten die verfügbaren Spalten Folgendes:

• Priorität: Die Priorität der Regel. Regeln mit höherer Priorität (kleinerer numerischer Wert) haben Vorrang vor Regeln mit niedrigerer Priorität.
• Ziel (IP/FQDN): Das Ziel des Datenverkehrs nach FQDN oder IP.
• Protokoll: Das Netzwerkprotokoll für den Datenverkehr: TCP oder UDP.
• Port: Der Zielport des Datenverkehrs.
• Aktion: Die Aktion, die der Client ausführt, wenn der ausgehende Datenverkehr vom Gerät mit dem Ziel, dem Protokoll und dem Port übereinstimmt. Die unterstützten Aktionen sind Tunnel (Route zum globalen sicheren Zugriff) oder Umgehung (direkt zum Ziel wechseln).
• Härtung: Die Aktion, wenn der Datenverkehr getunnelt werden soll (an den globalen sicheren Zugriff weitergeleitet), die Verbindung zum Cloud-Dienst jedoch fehlschlägt. Die unterstützten Härtungsmaßnahmen sind Blockierung (Trennung der Verbindung) oder Umgehung (die Verbindung wird direkt zum Netzwerk geleitet).
• Regel-ID: Der eindeutige Bezeichner der Regel im Weiterleitungsprofil.
• Anwendungs-ID: Die ID der privaten Anwendung, die mit der Regel verknüpft ist. Diese Spalte ist nur für private Anwendungen relevant.

Registerkarte „Hostnamen-Erwerb“

Die Registerkarte „Hostname-Erwerb“ ermöglicht die Erfassung einer Live-Liste von Hostnamen, die von Clients erfasst wurden, basierend auf den FQDN-Regeln im Weiterleitungsprofil. Jeder Hostname wird in einer neuen Zeile angezeigt.

• Sammeln starten: Wählen Sie diese Option, um mit der Live-Sammlung der erworbenen Hostnamen zu beginnen.
• CSV exportieren: Wählen Sie diese Option aus, um die Liste der erfassten Hostnamen in eine CSV-Datei zu exportieren.
• Tabelle löschen: Wählen Sie diese Option aus, um die in der Tabelle angezeigten erfassten Hostnamen zu löschen.
• Filter hinzufügen: Wählen Sie diese Option aus, um Filter festzulegen, damit nur eine Teilmenge der erfassten Hostnamen gemäß einer bestimmten Gruppe von Filtereigenschaften angezeigt wird.
• Spalten: Wählen Sie die Spalten aus, die in der Tabelle angezeigt werden sollen.

Für jeden Hostnamen umfassen die verfügbaren Spalten Folgendes:

• Zeitstempel: Datum und Uhrzeit jedes FQDN-Hostnamen-Erwerbs.
• FQDN: Der FQDN des erworbenen Hostnamens.
• Generierte IP-Adresse: Die vom Client für interne Zwecke generierte IP-Adresse. Diese IP wird auf der Registerkarte „Datenverkehr“ für Verbindungen angezeigt, die mit dem entsprechenden FQDN hergestellt werden.
• Erworben: Zeigt Ja oder Nein an, um anzugeben, ob ein FQDN einer Regel im Weiterleitungsprofil entspricht.
• Ursprüngliche IP-Adresse: Die erste IPv4-Adresse in der DNS-Antwort für die FQDN-Abfrage. Wenn der DNS-Server des Endbenutzergeräts keine IPv4-Adresse für die Abfrage zurückgibt, wird in der Spalte „Original-IP-Adresse“ ein leerer Wert angezeigt.

Registerkarte Traffic

Die Registerkarte „Verkehr“ ermöglicht die Erfassung einer Live-Liste der vom Gerät geöffneten Verbindungen auf der Grundlage der Regeln im Weiterleitungsprofil. Jede Verbindung wird in einer neuen Zeile angezeigt.

• Mit dem Sammeln beginnen: Wählen Sie diese Option, um mit dem Live-Sammeln von Verbindungen zu beginnen.
• Csv exportieren: Wählen Sie diese Option aus, um die Liste der Verbindungen in eine CSV-Datei zu exportieren.
• Tabelle löschen: Wählen Sie diese Option aus, um die in der Tabelle angezeigten Verbindungen zu löschen.
• Filter hinzufügen: Wählen Sie diese Option aus, um Filter festzulegen und nur eine Teilmenge der Verbindungen gemäß einer bestimmten Gruppe von Filtereigenschaften anzuzeigen.
• Spalten: Wählen Sie die Spalten aus, die in der Tabelle angezeigt werden sollen.

Für jede Verbindung enthalten die verfügbaren Spalten Folgendes:

• Zeitstempel-Beginn: Zeitpunkt, zu dem das Betriebssystem die Verbindung geöffnet hat.
• Zeitstempel-Ende: Zeitpunkt, zu dem das Betriebssystem die Verbindung geschlossen hat.
• Verbindungsstatus: Gibt an, ob die Verbindung noch aktiv oder bereits geschlossen ist.
• Protokoll: Das Netzwerkprotokoll für die Verbindung; entweder TCP oder UDP.
• Ziel-FQDN: Der Ziel-FQDN für die Verbindung.
• Quellport: Der Quellport für die Verbindung.
• Ziel-IP: Die Ziel-IP für die Verbindung.
• Zielport: Der Zielport für die Verbindung.
• Korrelationsvektor-ID: Eine eindeutige ID, die jeder Verbindung zugewiesen wird und mit den Datenverkehrsprotokollen für den globalen sicheren Zugriff im Portal korreliert werden kann. Der Microsoft-Support kann diese ID auch verwenden, um interne Protokolle im Zusammenhang mit einer bestimmten Verbindung zu untersuchen.
• Prozessname: Der Name des Prozesses, der die Verbindung geöffnet hat.
• Prozess-ID: Die ID-Nummer für den Prozess, der die Verbindung geöffnet hat.
• Gesendete Bytes: Die Anzahl der Bytes, die vom Gerät an das Ziel gesendet wurden.
• Empfangene Bytes: Die Anzahl der Bytes, die das Gerät vom Zielgerät empfangen hat.
• Kanal: Der Kanal, zu dem die Verbindung getunnelt wurde; kann Microsoft 365, privater Zugriff oder Internetzugriff sein.
• Flow-ID: Die interne ID-Nummer für die Verbindung.
• Regel-ID: Die Kennung der Weiterleitungsprofilregel, die zur Bestimmung der Aktionen für diese Verbindung verwendet wird.
• Aktion: Die Aktion, die für diese Verbindung durchgeführt wurde; mögliche Aktionen sind:
  • Tunnel: Der Client hat die Verbindung mit dem Dienst für den globalen sicheren Zugriff in der Cloud getunnelt.
  • Umgehung: Die Verbindung wird direkt über das Netzwerk des Geräts an das Ziel geleitet, ohne dass der Client eingreifen kann.
  • Blockieren: Der Client blockierte die Verbindung (nur möglich im Härtungsmodus).
• Härtung: Gibt an, ob diese Verbindung gehärtet wurde; kann „Ja“ oder „Nein“ sein. Die Härtung gilt, wenn der globale Dienst für den sicheren Zugriff nicht vom Gerät aus erreichbar ist.

Registerkarte „Erweiterte Protokollsammlung“

Die Registerkarte „Erweiterte Protokollsammlung“ ermöglicht die Sammlung ausführlicher Protokolle des Clients, der Betriebssysteme und des Netzwerkverkehrs während eines bestimmten Zeitraums. Die Protokolle werden in einer ZIP-Datei archiviert, die zur Untersuchung an den Admin oder den Microsoft-Support gesendet werden kann.

• Aufzeichnung starten: Wählen Sie diese Option, um mit der Aufzeichnung der ausführlichen Protokolle zu beginnen. Sie müssen das Problem während der Aufzeichnung reproduzieren.
• Aufzeichnung beenden: Wählen Sie diese Schaltfläche, nachdem Sie das Problem reproduziert haben, um die Aufzeichnung zu beenden und die gesammelten Protokolle in einer ZIP-Datei zu speichern. Teilen Sie die ZIP-Datei mit Unterstützung für die Problembehandlung.