Quando sua organização usa o ZScaler como gateway web seguro ou proxy, o Microsoft Copilot no Microsoft 365 pode falhar ao conectar e exibir o erro Connection reset by peer. Isso acontece porque o ZScaler intercepta e inspeciona o tráfego HTTPS criptografado, e a pilha de rede do Copilot não confia no certificado TLS do proxy por padrão. Este artigo explica por que o erro ocorre, fornece uma correção passo a passo para confiar no certificado raiz do ZScaler no Windows e aborda problemas de rede relacionados que podem causar falhas semelhantes.
Principais Conclusões: Conexão Redefinida por Par do Copilot Atrás do ZScaler
- Gerenciador de Certificados do Windows > Autoridades de Certificação Raiz Confiáveis > Certificados: Importe o certificado CA raiz do ZScaler para resolver falhas de inspeção TLS.
- Política de Grupo > Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas de Chave Pública: Implante o certificado ZScaler em toda a empresa para evitar etapas de importação por usuário.
- Aplicativo Copilot ou navegador > Configurações de proxy: Verifique se o proxy do sistema está configurado para usar o endereço e a porta do proxy ZScaler (geralmente
gateway.zscaler.net:9400ou um endereço personalizado).
Por que o Proxy ZScaler Causa o Erro de Conexão Redefinida no Copilot
O ZScaler opera como um proxy direto que descriptografa o tráfego HTTPS de saída, inspeciona-o em busca de ameaças e o criptografa novamente antes de encaminhá-lo ao destino. Quando o Microsoft Copilot envia uma solicitação ao backend do Microsoft 365, o ZScaler apresenta seu próprio certificado TLS em vez do certificado original da Microsoft. Se o dispositivo Windows não confiar na autoridade de certificação raiz do ZScaler, o handshake TLS falha. A biblioteca de rede subjacente no Copilot então gera o erro Connection reset by peer porque o canal seguro é encerrado prematuramente.
O Papel da Inspeção TLS no Erro
O recurso de inspeção TLS do ZScaler exige que cada dispositivo cliente confie em um certificado CA raiz específico emitido pela organização. Este certificado é usado para assinar todas as conexões interceptadas. Sem essa relação de confiança, o repositório de certificados do Windows rejeita o certificado do ZScaler, e o Copilot não consegue estabelecer uma conexão segura com copilot.microsoft.com ou api.copilot.microsoft.com. O erro aparece no painel do Copilot, no console do navegador ou nos logs do aplicativo Microsoft 365 como System.Net.Sockets.SocketException: Connection reset by peer.
Outros Fatores de Rede que Contribuem
Além da confiança no certificado, o ZScaler pode bloquear ou modificar cabeçalhos HTTP específicos que o Copilot requer. Por exemplo, o cabeçalho Authorization para tokens OAuth pode ser removido por regras de proxy. Além disso, se o proxy não suportar HTTP/2 ou atualizações WebSocket, os recursos em tempo real do Copilot podem expirar e produzir o mesmo erro de redefinição. A correção descrita aqui aborda a causa raiz mais comum: a falta de confiança no certificado.
Passos para Corrigir o Copilot Atrás do ZScaler Importando o Certificado Raiz
Este procedimento instala o certificado CA raiz do ZScaler no repositório de Autoridades de Certificação Raiz Confiáveis do Windows. Execute estas etapas em cada dispositivo Windows onde o Copilot é usado.
- Obtenha o arquivo de certificado CA raiz do ZScaler
Peça ao administrador de rede o arquivo.cerou.crtque o ZScaler usa para inspeção TLS. O arquivo geralmente tem um nome comoZScaler_Root_CA.cer. Salve-o em uma pasta local, comoC:\Temp. - Abra o Gerenciador de Certificados do Windows
Pressione Tecla Windows + R, digitecertlm.msce pressione Enter. Isso abre o gerenciador de certificados para o computador local. Clique em Sim se solicitado pelo Controle de Conta de Usuário. - Navegue até o repositório de Autoridades de Certificação Raiz Confiáveis
No painel esquerdo, expanda Autoridades de Certificação Raiz Confiáveis. Clique na pasta Certificados dentro dela. - Importe o certificado ZScaler
Clique com o botão direito na pasta Certificados e selecione Todas as Tarefas > Importar. O Assistente de Importação de Certificados é aberto. Clique em Avançar. - Navegue até o arquivo de certificado
Clique em Procurar, navegue até o arquivo.cersalvo na etapa 1, selecione-o e clique em Abrir. Clique em Avançar. - Selecione o local do repositório de certificados
Certifique-se de que Colocar todos os certificados no seguinte repositório esteja selecionado e o repositório mostre Autoridades de Certificação Raiz Confiáveis. Clique em Avançar. - Conclua a importação
Clique em Concluir. Uma caixa de diálogo confirma que a importação foi bem-sucedida. Clique em OK. Feche o Gerenciador de Certificados. - Reinicie o Copilot e o aplicativo Microsoft 365
Feche todos os aplicativos do Microsoft 365 (Word, Outlook, Teams, Edge). Reabra o aplicativo onde o Copilot estava falhando. O erro não deve mais aparecer.
Implante o Certificado via Política de Grupo para Vários Dispositivos
Para ambientes corporativos, importe o certificado CA raiz do ZScaler por meio da Política de Grupo para que todos os dispositivos associados ao domínio confiem nele automaticamente.
- Abra o Console de Gerenciamento de Política de Grupo
Em um controlador de domínio, executegpmc.msc. Crie um novo GPO ou edite um existente vinculado à unidade organizacional relevante. - Navegue até o caminho da política de certificados
Vá para Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas de Chave Pública. - Adicione o certificado às Autoridades de Certificação Raiz Confiáveis
Clique com o botão direito em Autoridades de Certificação Raiz Confiáveis no painel direito, selecione Importar e siga o assistente para adicionar o arquivo.cerdo ZScaler. - Execute gpupdate nos dispositivos cliente
Em cada dispositivo Windows, abra o Prompt de Comando como administrador e executegpupdate /force. Reinicie o aplicativo Microsoft 365 e teste o Copilot.
Se o Copilot Ainda Mostrar o Erro de Conexão Redefinida Após a Importação do Certificado
Copilot Retorna Saída Genérica em Vez de Dados Específicos do Locatário
Se o certificado for confiável, mas o Copilot ainda falhar, verifique se o ZScaler não está bloqueando as URLs específicas que o Copilot usa. Os domínios necessários incluem copilot.microsoft.com, api.copilot.microsoft.com, login.microsoftonline.com e graph.microsoft.com. Adicione-os à lista de bypass do ZScaler ou garanta que eles sejam permitidos pela política de proxy.
Copilot Falha Apenas no Microsoft Teams ou Outlook, mas Funciona no Edge
Isso indica que o aplicativo desktop usa uma pilha de rede diferente do navegador. Confirme se as configurações de proxy do sistema no Windows correspondem ao endereço do proxy ZScaler. Vá para Configurações > Rede e Internet > Proxy e verifique os campos Endereço e Porta. Se estiver usando um arquivo PAC, certifique-se de que ele resolva corretamente os endpoints do Copilot.
Conexão Redefinida do Copilot Ocorre Intermitentemente
Redefinições intermitentes geralmente apontam para timeouts de sessão ou balanceamento de carga do ZScaler. Peça à equipe de rede para revisar os logs do ZScaler em busca de redefinições TCP para os intervalos de IP do backend do Copilot. Eles podem precisar aumentar o valor de timeout ocioso ou adicionar as tags de serviço do Microsoft 365 a uma regra de bypass.
Problemas de Conexão do Copilot: Confiança no Certificado vs Bypass de Proxy
| Item | Método de Confiança no Certificado | Método de Bypass de Proxy |
|---|---|---|
| Descrição | Importar CA raiz do ZScaler no repositório de Raiz Confiável do Windows | Adicionar URLs do Copilot à lista de bypass do ZScaler para que o tráfego não seja interceptado |
| Impacto na segurança | Permite inspeção TLS para todo o tráfego | O tráfego do Copilot não é inspecionado pelo ZScaler |
| Esforço de implementação | Uma vez por dispositivo ou via Política de Grupo | Requer alteração no portal de administração do ZScaler |
| Melhor para | Organizações que precisam inspecionar todo o tráfego de saída | Organizações que confiam no tráfego do Microsoft 365 e desejam resolução rápida |
O erro Connection reset by peer no Copilot atrás do ZScaler é quase sempre um problema de confiança no certificado. Importar o CA raiz do ZScaler no repositório de Autoridades de Certificação Raiz Confiáveis do Windows resolve o problema para a maioria dos usuários. Se o problema persistir, verifique se as configurações de proxy estão corretas e se os domínios necessários do Copilot não estão bloqueados. Para implantações corporativas, use a Política de Grupo para distribuir o certificado automaticamente e adicione uma regra de bypass para os endpoints do Microsoft 365 como fallback.