Известные ограничения для глобального безопасного доступа

Глобальный безопасный доступ — это унифицированный термин, используемый как для Доступа к Интернету Microsoft Entra, так и для приватного доступа Microsoft Entra.

В этой статье описаны известные проблемы и ограничения, которые могут возникнуть при использовании глобального безопасного доступа.

Ограничения клиента глобального безопасного доступа

Клиент Глобального безопасного доступа доступен на нескольких платформах. Выберите каждую вкладку для получения сведений об известных ограничениях для каждой платформы.

Известные ограничения для клиента глобального безопасного доступа для Windows:

Безопасная система доменных имен (DNS)

Клиент глобального безопасного доступа в настоящее время не поддерживает безопасный DNS в разных версиях, таких как DNS по протоколу HTTPS (DoH), DNS по протоколу TLS (DoT) или расширения безопасности DNS (DNSSEC). Чтобы настроить клиент для получения сетевого трафика, необходимо отключить безопасный DNS. Сведения об отключении DNS в браузере см. в разделе Безопасный DNS, отключенный в браузерах.

DNS через TCP

DNS использует порт 53 UDP для разрешения имен. Некоторые браузеры имеют собственный DNS-клиент, который также поддерживает порт 53 TCP. В настоящее время клиент глобального безопасного доступа не поддерживает ПОРТ DNS 53 TCP. В качестве устранения рисков отключите DNS-клиент браузера, задав следующие значения реестра:

• Microsoft Edge
  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
• Хром
  [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
  Кроме того, добавьте chrome://flags браузера и отключите Async DNS resolver.

Правила таблицы политик разрешения имен в групповой политике не поддерживаются

Клиент глобального безопасного доступа для Windows не поддерживает правила таблицы политик разрешения имен (NRPT) в групповой политике. Для поддержки частной DNS клиент настраивает локальные правила NRPT на устройстве. Эти правила перенаправляют соответствующие запросы DNS в частный DNS. Если правила NRPT настроены в групповой политике, они переопределяют локальные правила NRPT, настроенные клиентом и частным DNS, не работают.

Кроме того, правила NRPT, настроенные и удаленные в более ранних версиях Windows, создали пустой список правил NRPT в файле registry.pol. Если этот объект групповой политики применяется на устройстве, пустой список переопределяет локальные правила NRPT и частный DNS не работает.

В качестве устранения рисков:

1. Если раздел реестра HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig существует на устройстве конечного пользователя, настройте объект групповой политики для применения правил NRPT.
2. Чтобы найти, какие объекты групповой политики настроены с помощью правил NRPT:
   1. Запустите gpresult /h GPReport.html на устройстве конечного пользователя и найдите конфигурацию NRPT.
   2. Выполните следующий скрипт, который обнаруживает пути всех файлов registry.pol в sysvol, содержащих правила NRPT.

Заметка

Не забудьте изменить переменную sysvolPath в соответствии с конфигурацией сети.

# =========================================================================
# THIS CODE-SAMPLE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER 
# EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES 
# OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
#
# This sample is not supported under any Microsoft standard support program 
# or service. The code sample is provided AS IS without warranty of any kind. 
# Microsoft further disclaims all implied warranties including, without 
# limitation, any implied warranties of merchantability or of fitness for a 
# particular purpose. The entire risk arising out of the use or performance
# of the sample and documentation remains with you. In no event shall 
# Microsoft, its authors, or anyone else involved in the creation, 
# production, or delivery of the script be liable for any damages whatsoever 
# (including, without limitation, damages for loss of business profits, 
# business interruption, loss of business information, or other pecuniary 
# loss) arising out of  the use of or inability to use the sample or 
# documentation, even if Microsoft has been advised of the possibility of 
# such damages.
#========================================================================= 

# Define the sysvol share path.
# Change the sysvol path per your organization, for example: 
# $sysvolPath = "\\dc1.contoso.com\sysvol\contoso.com\Policies"
$sysvolPath = "\\<DC FQDN>\sysvol\<domain FQDN>\Policies"  ## Edit

# Define the search string.
$searchString = "dnspolicyconfig"

# Define the name of the file to search.
$fileName = "registry.pol"

# Get all the registry.pol files under the sysvol share.
$files = Get-ChildItem -Path $sysvolPath -Recurse -Filter $fileName -File

# Array to store paths of files that contain the search string.
$matchingFiles = @()

# Loop through each file and check if it contains the search string.
foreach ($file in $files) {
    try {
        # Read the content of the file.
        $content = Get-Content -Path $file.FullName -Encoding Unicode
        
        # Check if the content contains the search string.
        if ($content -like "*$searchString*") {
            $matchingFiles += $file.FullName
        }
    } catch {
        Write-Host "Failed to read file $($file.FullName): $_"
    }
}

# Output the matching file paths.
if ($matchingFiles.Count -eq 0) {
    Write-Host "No files containing '$searchString' were found."
} else {
    Write-Host "Files containing '$searchString':"
    $matchingFiles | ForEach-Object { Write-Host $_ }
}

3. Измените каждый из объектов групповой политики, найденных в предыдущем разделе:
   1. Если раздел NRPT пуст, создайте новое fictive правило, обновите политику, удалите правило fictive и снова обновите политику. Эти действия удаляют DnsPolicyConfig из файла registry.pol (который был создан в устаревшей версии Windows).
   2. Если раздел NRPT не пуст и содержит правила, убедитесь, что вам по-прежнему нужны эти правила. Если не нужны правила, удалите их. Если нужны правила и применить объект групповой политики на устройстве с клиентом Global Secure Access, частный параметр DNS не работает.

Резервный вариант подключения

Если возникла ошибка подключения к облачной службе, клиент возвращается к прямому интернет-подключению или блокирует подключение на основе ужесточения значения правила сопоставления в профиле пересылки.

Географическое расположение

Для сетевого трафика, туннелированного в облачную службу, сервер приложений (веб-сайт) обнаруживает исходный IP-адрес подключения как IP-адрес пограничного сервера (а не IP-адрес устройства пользователя). Этот сценарий может повлиять на службы, использующие геолокацию.

Кончик

Для Microsoft 365 и Microsoft Entra для обнаружения истинного исходного IP-адреса устройства рекомендуется включить восстановление IP-адресов источника.

Поддержка виртуализации

Невозможно установить клиент глобального безопасного доступа на устройстве, на котором размещаются виртуальные машины. Однако вы можете установить клиент глобального безопасного доступа на виртуальной машине, если клиент не установлен на хост-компьютере. По той же причине подсистема Windows для Linux (WSL) не получает трафик от клиента, установленного на хост-компьютере.

поддержка Hyper-V:

1. Внешний виртуальный коммутатор: клиент Windows глобального безопасного доступа в настоящее время не поддерживает хост-компьютеры с Hyper-V внешним виртуальным коммутатором. Однако клиент можно установить на виртуальных машинах для туннелирования трафика в глобальный безопасный доступ.
2. Внутренний виртуальный коммутатор: клиент Windows глобального безопасного доступа можно установить на узлах и гостевых компьютерах. Клиент туннелирует только сетевой трафик компьютера, на котором он установлен. Другими словами, клиент, установленный на хост-компьютере, не туннел сетевой трафик гостевых компьютеров.

Клиент Windows глобального безопасного доступа поддерживает виртуальные машины Azure и виртуальный рабочий стол Azure (AVD).

Заметка

Клиент Windows глобального безопасного доступа не поддерживает AVD с несколькими сеансами.

Доверенность

Если прокси-сервер настроен на уровне приложения (например, браузер) или на уровне ОС, настройте файл автоматической настройки прокси-сервера (PAC), чтобы исключить все полные доменные имена и IP-адреса, которые клиент должен туннелировать.

Чтобы предотвратить туннелирование HTTP-запросов для определенных полных доменных имен/IP-адресов на прокси-сервер, добавьте полное доменное имя/IP-адреса в ФАЙЛ PAC в качестве исключений. (Эти полные доменные имена и IP-адреса находятся в профиле пересылки глобального безопасного доступа для туннелирования. Например:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Если прямое подключение к Интернету невозможно, настройте клиент для подключения к службе глобального безопасного доступа через прокси-сервер. Например, задайте grpc_proxy системную переменную, соответствующую значению прокси-сервера, например http://proxy:8080.

Чтобы применить изменения конфигурации, перезапустите клиентские службы Windows глобального безопасного доступа.

Внедрение пакетов

Клиент только туннелирует трафик, отправленный с помощью сокетов. Он не туннелируется в сетевой стек с помощью драйвера (например, некоторые из трафика, созданного сетевой картой (Nmap)). Внедренные пакеты передаются непосредственно в сеть.

Многосеансовый сеанс

Клиент Global Secure Access не поддерживает одновременные сеансы на одном компьютере. Это ограничение применяется к серверам протокола удаленного рабочего стола (RDP) и решениям инфраструктуры виртуальных рабочих столов (VDI), таким как виртуальный рабочий стол Azure (AVD), настроенным для нескольких сеансов.

Arm64

Клиент Global Secure Access не поддерживает архитектуру Arm64.

QUIC не поддерживается для Доступа к Интернету

Так как QUIC еще не поддерживается для Доступа к Интернету, трафик к портам 80 UDP и 443 UDP нельзя туннелировать.

Кончик

В настоящее время QUIC поддерживается в рабочих нагрузках Private Access и Microsoft 365.

Администраторы могут отключить протокол QUIC, запускающий клиенты, чтобы вернуться к ПРОТОКОЛу HTTPS по протоколу TCP, который полностью поддерживается в Доступе к Интернету. Дополнительные сведения см. в QUIC, которые не поддерживаются длядоступа к Интернету.

Подключение WSL 2

Если клиент глобального безопасного доступа для Windows включен на хост-компьютере, исходящие подключения из подсистемы Windows для Linux (WSL) 2 могут быть заблокированы. Чтобы устранить это событие, создайте файл .wslconfig, который задает dnsTunneling значением false. Таким образом, весь трафик из WSL проходит глобальный безопасный доступ и передается непосредственно в сеть. Дополнительные сведения см. в разделе Настройка дополнительных параметров в WSL.

Известные ограничения для клиента глобального безопасного доступа для macOS:

Безопасная система доменных имен (DNS)

Если безопасный DNS включен в браузере или в macOS, а DNS-сервер поддерживает Secure DNS, клиент не туннелируется, чтобы получить полное доменное имя. (Сетевой трафик, полученный IP-адресом, не затрагивается и туннелируется в соответствии с профилем пересылки.) Чтобы устранить проблему безопасного DNS, отключите безопасный DNS-сервер, задайте DNS-сервер, который не поддерживает безопасный DNS, или создайте правила на основе IP-адресов.

Резервный вариант подключения

Если возникла ошибка подключения к облачной службе, клиент возвращается к прямому интернет-подключению или блокирует подключение на основе ужесточения значения правила сопоставления в профиле пересылки.

Географическое расположение исходного IP-адреса

Для сетевого трафика, туннелированного в облачную службу, сервер приложений (веб-сайт) обнаруживает исходный IP-адрес подключения как IP-адрес пограничного сервера (а не IP-адрес устройства пользователя). Этот сценарий может повлиять на службы, использующие геолокацию.

Кончик

Для Office 365 и Microsoft Entra для обнаружения истинного исходного IP-адреса устройства рекомендуется включить восстановление исходного IP-адреса.

Поддержка виртуализации с помощью UTM

• Если сеть находится в режиме мостом и на хост-компьютере устанавливается клиент глобального безопасного доступа:
  • Если клиент глобального безопасного доступа установлен на виртуальной машине, сетевой трафик виртуальной машины подлежит локальной политике. Политика хост-компьютера не влияет на профиль пересылки на виртуальной машине.
  • Если клиент глобального безопасного доступа не установлен на виртуальной машине, сетевой трафик виртуальной машины будет обходить.
• Клиент Глобального безопасного доступа не поддерживает сетевой режиме, так как он может блокировать сетевой трафик виртуальной машины.
• Если сеть находится в режиме общего, вы можете установить клиент Глобального безопасного доступа на виртуальной машине под управлением macOS, если клиент также не установлен на хост-компьютере.

QUIC не поддерживается для Доступа к Интернету

Так как QUIC еще не поддерживается для Доступа к Интернету, трафик к портам 80 UDP и 443 UDP нельзя туннелировать.

Кончик

В настоящее время QUIC поддерживается в рабочих нагрузках Private Access и Microsoft 365. Администраторы могут отключить протокол QUIC в браузерах, активируя клиенты для возврата к ПРОТОКОЛу HTTPS по протоколу TCP, который полностью поддерживается в Доступе к Интернету. Дополнительные сведения см. в QUIC, которые не поддерживаются длядоступа к Интернету.

клиента Android

Известные ограничения для клиента Глобального безопасного доступа для Android:

• Мобильные устройства под управлением Android (Go) в настоящее время не поддерживаются.
• Microsoft Defender для конечной точки в Android на общих устройствах в настоящее время не поддерживается.
• На устройстве должна быть отключена система частных доменных имен (DNS). Этот параметр часто используется в параметрах "Сеть > системы" и "Интернет".
• Запуск продуктов защиты конечных точек, отличных от Майкрософт, вместе с Microsoft Defender для конечной точки может привести к проблемам производительности и непредсказуемым системным ошибкам.
• В настоящее время глобальный безопасный доступ к сосуществованию с Microsoft Tunnel не поддерживается. Дополнительные сведения см. в разделе Предварительные требования для Microsoft Tunnel в Intune.

Известные ограничения для клиента Глобального безопасного доступа для Android:

• Трафик протокола UDP (UDP) подключения к Интернету (QUIC) туннелирования (за исключением Exchange Online) не поддерживается.
• В настоящее время глобальный безопасный доступ к сосуществованию с Microsoft Tunnel не поддерживается. Дополнительные сведения см. в разделе Предварительные требования для Microsoft Tunnel в Intune.

Ограничения удаленных сетей

Известные ограничения для удаленных сетей:

• Максимальное число удаленных сетей на клиент составляет 10. Максимальное количество подключений устройств к удаленной сети — четыре.
• Трафик Майкрософт осуществляется через удаленное сетевое подключение без клиента глобального безопасного доступа. Однако политика условного доступа не применяется. Другими словами, политики условного доступа для трафика Майкрософт глобального безопасного доступа применяются только в том случае, если у пользователя есть клиент глобального безопасного доступа.
• Для частного доступа Microsoft Entra необходимо использовать клиент глобального безопасного доступа. Удаленное сетевое подключение поддерживает только Microsoft Entra Internet Access.
• В настоящее время удаленные сети могут быть назначены только профилю пересылки трафика Майкрософт.

Ограничения элементов управления доступом

Известные ограничения для элементов управления доступом включают:

• Оценка непрерывного доступа (CAE) в настоящее время не поддерживается для универсального условного доступа для трафика Майкрософт.
• Применение политик условного доступа к трафику частного доступа в настоящее время не поддерживается. Для моделирования этого поведения можно применить политику условного доступа на уровне приложения для приложений быстрого доступа и приложений глобального безопасного доступа. Дополнительные сведения см. в статье Применение условного доступа к приложениям приватного доступа.
• Доступ к трафику Майкрософт можно получить через удаленное сетевое подключение без клиента глобального безопасного доступа; однако политика условного доступа не применяется. Другими словами, политики условного доступа для трафика Майкрософт глобального безопасного доступа применяются только в том случае, если у пользователя есть клиент глобального безопасного доступа.
• Для SharePoint Online и Exchange Online поддерживается принудительное применение плоскости данных проверки сети (предварительная версия) с помощью непрерывной оценки доступа.
• Включение сигнала условного доступа глобального безопасного доступа позволяет сигнализировать как для плоскости проверки подлинности (идентификатор Microsoft Entra ID), так и для сигнала плоскости данных (предварительная версия). Сейчас невозможно включить эти параметры отдельно.
• Проверка сети, совместимая с соответствием, в настоящее время не поддерживается для приложений приватного доступа.
• При включении восстановления исходного IP-адреса можно увидеть только исходный IP-адрес. IP-адрес службы глобального безопасного доступа не отображается. Если вы хотите просмотреть IP-адрес службы глобального безопасного доступа, отключите восстановление исходного IP-адреса.
• В настоящее время только ресурсы Майкрософт оценивать политики условного доступа на основе IP-адресов, так как исходный IP-адрес не известен ресурсам, защищенным непрерывной оценкой доступа (CAE).
• Если вы используете строгиецентра сертификации, пользователи блокируются, несмотря на то, что находятся в доверенном диапазоне IP-адресов. Чтобы устранить это условие, выполните одну из следующих рекомендаций:
  • Если у вас есть политики условного доступа на основе IP-адресов, предназначенные для ресурсов, отличных от Майкрософт, не включите строгое применение расположения.
  • Убедитесь, что восстановление исходного IP-адреса поддерживает трафик. В противном случае не отправляйте соответствующий трафик через глобальный безопасный доступ.
• В настоящее время для получения трафика приватного доступа требуется подключение через клиент глобального безопасного доступа.
• Возможности защиты плоскости данных доступны в предварительной версии (общедоступная защита уровня проверки подлинности).
• Если вы включили ограничения универсального клиента и обращаетесь к Центру администрирования Microsoft Entra для клиента в списке разрешений, может появиться ошибка "Доступ запрещен". Чтобы исправить эту ошибку, добавьте следующий флаг компонента в Центр администрирования Microsoft Entra:
  • ?feature.msaljs=true&exp.msaljsexp=true
  • Например, вы работаете в Компании Contoso. Fabrikam, клиент партнера, находится в списке разрешений. Может появиться сообщение об ошибке для центра администрирования Microsoft Entra клиента Fabrikam.
    • Если вы получили сообщение об ошибке "отказано в доступе" для URL-https://entra.microsoft.com/, добавьте флаг функции следующим образом: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
• Только клиент глобального безопасного доступа для Windows, начиная с версии 1.8.239.0, знает о универсальном ЦС. На других платформах клиент Global Secure Access использует обычные маркеры доступа.
• Идентификатор Microsoft Entra id выдает короткие маркеры для глобального безопасного доступа. Время существования маркера доступа универсального ЦС составляет от 60 до 90 минут с поддержкой отзыва почти в режиме реального времени.
• Для передачи сигнала идентификатора Microsoft Entra ID требуется около двух-пяти минут, чтобы получить доступ к клиенту глобального безопасного доступа, а пользователю будет предложено повторно выполнить проверку подлинности.
• У пользователей есть двухминутный льготный период после получения события CAE для завершения повторной проверки подлинности. Через две минуты существующие сетевые потоки через глобальный безопасный доступ прерваны, пока пользователь не войдет в клиент глобального безопасного доступа.

Ограничения профиля пересылки трафика

Известные ограничения для профилей пересылки трафика:

• Отдельные службы добавляются в профиль трафика Майкрософт на постоянной основе. В настоящее время идентификатор Microsoft Entra, Microsoft Graph, Exchange Online и SharePoint Online поддерживаются в рамках профиля трафика Майкрософт
• В настоящее время трафик частного доступа можно получить только с помощью клиента глобального безопасного доступа. Не удается получить трафик частного доступа из удаленных сетей.
• Туннельный трафик к назначениям частного доступа по IP-адресу поддерживается только для диапазонов IP-адресов за пределами локальной подсети устройства конечного пользователя.
• Необходимо отключить DNS по протоколу HTTPS (Secure DNS) для туннелирования сетевого трафика в соответствии с правилами полных доменных имен (FQDN) в профиле пересылки трафика.

Ограничения частного доступа

Известные ограничения для закрытого доступа:

• Избегайте перекрывающихся сегментов приложений между быстрым доступом и приложениями глобального безопасного доступа.
• Избегайте перекрывающихся сегментов приложений между быстрым доступом и доступом к каждому приложению.
• Туннельный трафик к назначениям частного доступа по IP-адресу поддерживается только для диапазонов IP-адресов за пределами локальной подсети устройства конечного пользователя.
• В настоящее время трафик частного доступа можно получить только с помощью клиента глобального безопасного доступа. Удаленные сети не могут быть назначены профилю пересылки трафика частного доступа.

Ограничения доступа к Интернету

Известные ограничения для Доступа к Интернету:

• В настоящее время администратор может создавать до 100 политик фильтрации веб-содержимого и до 1000 правил на основе до 8 000 полных доменных имен. Администраторы также могут создавать до 256 профилей безопасности.
• Платформа предполагает стандартные порты для трафика HTTP/S (порты 80 и 443).
• Клиент Глобального безопасного доступа не поддерживает IPv6. Клиент туннелирует только трафик IPv4. Трафик IPv6 не приобретается клиентом и поэтому передается непосредственно в сеть. Чтобы убедиться, что весь трафик направляется в глобальный безопасный доступ, задайте свойства сетевого адаптера для предпочтительногоIPv4.
• UDP пока не поддерживается на этой платформе.
• Понятные уведомления конечных пользователей находятся в разработке.
• Удаленное сетевое подключение для Доступа к Интернету находится в разработке.
• Проверка протокола TLS выполняется в разработке.
• Фильтрация на основе URL-адресов и классификация URL-адресов для трафика HTTP и HTTPS находятся в разработке.