共用方式為

全域安全存取的已知限制

  • 發行項

全域安全存取是用於Microsoft Entra Internet Access 和 Microsoft Entra Private Access 的統一詞彙。

本文詳述使用全域安全存取時可能會遇到的已知問題和限制。

全域安全存取用戶端限制

全域安全存取用戶端可在多個平臺上使用。 選取每個索引標籤,以取得每個平臺已知限制的詳細數據。

適用於 Windows 的全域安全存取用戶端已知限制包括:

安全域名稱系統 (DNS)

全域安全存取用戶端目前不支援不同版本的安全 DNS,例如透過 HTTPS (DoH)、TLS 上的 DNS 或 DNS 安全性延伸模組 (DNSSEC)。 若要設定用戶端以取得網路流量,您必須停用安全的 DNS。 若要在瀏覽器中停用 DNS,請參閱 瀏覽器中停用的安全 DNS。

透過 TCP 的 DNS

DNS 會使用埠 53 UDP 進行名稱解析。 有些瀏覽器有自己的 DNS 用戶端,也支援埠 53 TCP。 目前全域安全存取用戶端不支援 DNS 連接埠 53 TCP。 作為緩和措施,藉由設定下列登錄值來停用瀏覽器的 DNS 用戶端:

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000

  • [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    同時新增流覽 chrome://flags 並停用 Async DNS resolver

不支援組策略中的名稱解析原則數據表規則

適用於 Windows 的全域安全存取用戶端不支援組策略中的名稱解析原則數據表 (NRPT) 規則。 為了支援私人 DNS,用戶端會設定裝置上的本機 NRPT 規則。 這些規則會將相關的 DNS 查詢重新導向至私人 DNS。 如果在組策略中設定NRPT規則,則會覆寫用戶端所設定的本機 NRPT 規則,而私人 DNS 無法運作。

此外,在舊版 Windows 中設定和刪除的 NRPT 規則會在 registry.pol 檔案中建立 NRPT 規則的空白清單。 如果此組策略物件 (GPO) 套用在裝置上,則空白清單會覆寫本機 NRPT 規則,且私人 DNS 無法運作。

作為緩和措施:

  1. 如果登錄機碼 HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig 存在於使用者裝置上,請設定 GPO 以套用 NRPT 規則。
  2. 若要尋找使用 NRPT 規則設定的 GPO:
    1. 在使用者裝置上執行 gpresult /h GPReport.html,並尋找NRPT組態。
    2. 執行下列腳本,偵測包含NRPT規則之 sysvol 中所有 registry.pol 檔案的路徑。

注意

請記得變更 sysvolPath 變數,以符合您網路的組態。

# =========================================================================
# THIS CODE-SAMPLE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER 
# EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES 
# OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
#
# This sample is not supported under any Microsoft standard support program 
# or service. The code sample is provided AS IS without warranty of any kind. 
# Microsoft further disclaims all implied warranties including, without 
# limitation, any implied warranties of merchantability or of fitness for a 
# particular purpose. The entire risk arising out of the use or performance
# of the sample and documentation remains with you. In no event shall 
# Microsoft, its authors, or anyone else involved in the creation, 
# production, or delivery of the script be liable for any damages whatsoever 
# (including, without limitation, damages for loss of business profits, 
# business interruption, loss of business information, or other pecuniary 
# loss) arising out of  the use of or inability to use the sample or 
# documentation, even if Microsoft has been advised of the possibility of 
# such damages.
#========================================================================= 

# Define the sysvol share path.
# Change the sysvol path per your organization, for example: 
# $sysvolPath = "\\dc1.contoso.com\sysvol\contoso.com\Policies"
$sysvolPath = "\\<DC FQDN>\sysvol\<domain FQDN>\Policies"  ## Edit

# Define the search string.
$searchString = "dnspolicyconfig"

# Define the name of the file to search.
$fileName = "registry.pol"

# Get all the registry.pol files under the sysvol share.
$files = Get-ChildItem -Path $sysvolPath -Recurse -Filter $fileName -File

# Array to store paths of files that contain the search string.
$matchingFiles = @()

# Loop through each file and check if it contains the search string.
foreach ($file in $files) {
    try {
        # Read the content of the file.
        $content = Get-Content -Path $file.FullName -Encoding Unicode
        
        # Check if the content contains the search string.
        if ($content -like "*$searchString*") {
            $matchingFiles += $file.FullName
        }
    } catch {
        Write-Host "Failed to read file $($file.FullName): $_"
    }
}

# Output the matching file paths.
if ($matchingFiles.Count -eq 0) {
    Write-Host "No files containing '$searchString' were found."
} else {
    Write-Host "Files containing '$searchString':"
    $matchingFiles | ForEach-Object { Write-Host $_ }
}
  1. 編輯上一節中找到的每個 GPO:
    1. 如果 NRPT 區段是空的,請建立新的虛構規則、更新原則、刪除虛構規則,然後再次更新原則。 這些步驟會從 registry.pol 檔案中移除 DnsPolicyConfig(這是在舊版 Windows 中建立的)。
    2. 如果 NRPT 區段不是空白且包含規則,請確認您仍然需要這些規則。 如果您 不需要規則,請將其刪除。 如果您 需要規則,並在具有全域安全存取客戶端的裝置上套用 GPO,私人 DNS 選項將無法運作。 [名稱解析原則規則] 對話框的螢幕快照,其中醒目提示 [建立和套用] 按鈕。

線上後援

如果雲端服務發生連線錯誤,用戶端會根據轉送配置檔中比對規則的 強化 值,回復為直接因特網連線或封鎖連線。

地理位置

針對通道傳送至雲端服務的網路流量,應用程式伺服器(網站)會將連線的來源IP偵測為邊緣的IP位址(而不是使用者裝置的IP位址)。 此案例可能會影響依賴地理位置的服務。

提示

針對Microsoft 365 和 Microsoft Entra 來偵測裝置的真實來源 IP,請考慮啟用 來源 IP 還原

虛擬化支援

您無法在裝載虛擬機器的裝置上安裝全域安全存取用戶端。 不過,只要用戶端未安裝在主計算機上,您就可以在虛擬機上安裝全域安全存取用戶端。 基於同樣的原因,適用於 Linux 的 Windows 子系統 (WSL) 不會從安裝在主電腦上的用戶端取得流量。

Hyper-V 支援:

  1. 外部虛擬交換器:全域安全存取 Windows 用戶端目前不支援具有 Hyper-V 外部虛擬交換器的主計算機。 不過,用戶端可以安裝在虛擬機上,以將流量通道傳送至全域安全存取。
  2. 內部虛擬交換器:全域安全存取 Windows 用戶端可以安裝在主機和客體機器上。 用戶端只會通道安裝的電腦網路流量。 換句話說,安裝在主計算機上的用戶端不會通道傳送客體機器的網路流量。

全域安全存取 Windows 用戶端支援 Azure 虛擬機和 Azure 虛擬桌面 (AVD)。

注意

全域安全存取 Windows 用戶端不支援 AVD 多會話。

代理

如果 Proxy 設定在應用層級(例如瀏覽器)或作業系統層級,請設定 Proxy 自動設定 (PAC) 檔案,以排除您預期用戶端通道的所有 FQDN 和 IP。

若要防止特定 FQDN/IP 的 HTTP 要求通道傳送至 Proxy,請將 FQDN/IP 新增至 PAC 檔案作為例外狀況。 (這些 FQDN/IP 位於用於通道的全域安全存取轉送配置檔中。 例如:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

如果無法直接因特網連線,請將用戶端設定為透過 Proxy 連線到全域安全存取服務。 例如,將 grpc_proxy 系統變數設定為符合 Proxy 的值,例如 http://proxy:8080

若要套用設定變更,請重新啟動全域安全存取用戶端 Windows 服務。

封包插入

用戶端只會通道使用套接字傳送的流量。 它不會使用驅動程式將插入網路堆疊的流量通道傳送至網路堆疊(例如,網路對應程式 (Nmap) 所產生的一些流量。 插入的封包會直接移至網路。

多會話

全域安全存取用戶端不支援相同電腦上的並行會話。 這項限制適用於針對多會話設定的遠端桌面通訊協定 (RDP) 伺服器和虛擬桌面基礎結構 (VDI) 解決方案,例如 Azure 虛擬桌面 (AVD)。

Arm64

全域安全存取用戶端不支援Arm64架構。

因特網存取不支援 QUIC

由於因特網存取尚不支援 QUIC,因此無法通道傳送至埠 80 UDP 和 443 UDP 的流量。

提示

私人存取和Microsoft 365 工作負載目前支援QUIC。

系統管理員可以停用 QUIC 通訊協定,以觸發用戶端透過 TCP 回復至 HTTPS,這是因特網存取中完全支援的。 如需詳細資訊,請參閱 QUIC 不支援因特網存取

WSL 2 連線能力

在主計算機上啟用適用於 Windows 的全域安全存取用戶端時,可能會封鎖來自適用於 Linux 的 Windows 子系統 (WSL) 2 環境的連出連線。 若要減輕此情況,請建立 .wslconfig 檔案,將 dnsTunneling 設定為 false。 如此一來,來自 WSL 的所有流量都會略過全域安全存取,並直接前往網路。 如需詳細資訊,請參閱 WSL中的 進階設定組態。

遠端網路限制

遠端網路的已知限制包括:

  • 每個租使用者的最大遠端網路數目為10。 每個遠端網路的裝置連結數目上限為四個。
  • Microsoft流量是透過沒有全域安全存取客戶端的遠端網路連線來存取。 不過,不會強制執行條件式存取原則。 換句話說,只有在使用者具有全域安全存取用戶端時,才會強制執行全域安全存取Microsoft流量的條件式存取原則。
  • 您必須使用全域安全存取用戶端Microsoft Entra Private Access。 遠端網路連線僅支援Microsoft Entra Internet Access。
  • 目前,遠端網路只能指派給Microsoft流量轉送配置檔。

訪問控制限制

存取控制的已知限制包括:

  • Microsoft流量的通用條件式存取目前不支持持續存取評估 (CAE)。
  • 目前不支援將條件式存取原則套用至私人存取流量。 若要建立此行為的模型,您可以在快速存取和全域安全存取應用程式的應用層級套用條件式存取原則。 如需詳細資訊,請參閱 將條件式存取套用至私人存取應用程式
  • Microsoft流量可以透過遠端網路連線來存取,而不需要全域安全存取用戶端;不過,不會強制執行條件式存取原則。 換句話說,只有在使用者具有全域安全存取用戶端時,才會強制執行全域安全存取Microsoft流量的條件式存取原則。
  • SharePoint Online 和 Exchange Online 支援符合規範的網路檢查數據平面強制執行(預覽版)。
  • 啟用全域安全存取條件式存取訊號可啟用驗證平面 (Microsoft Entra ID) 和數據平面訊號 (預覽) 的訊號。 目前無法個別啟用這些設定。
  • Private Access 應用程式目前不支援相容的網路檢查。
  • 啟用來源IP還原時,您只能看到來源IP。 看不到全域安全存取服務的IP位址。 如果您想要查看全域安全存取服務 IP 位址,請停用來源 IP 還原。
  • 目前只有 Microsoft資源 評估 IP 位置型條件式存取原則,因為不受持續存取評估保護的非Microsoft資源不知道原始來源 IP 位址。
  • 如果您使用 CAE 的 嚴格位置強制執行,則即使處於受信任的 IP 範圍,仍會封鎖使用者。 若要解決此條件,請執行下列其中一項建議:
    • 如果您有以非Microsoft資源為目標的IP位置型條件式存取原則,請勿啟用嚴格的位置強制執行。
    • 確定來源IP還原支援流量。 如果沒有,請勿透過全域安全存取傳送相關的流量。
  • 此時,需要透過全域安全存取客戶端進行連線,才能取得私人存取流量。
  • 數據平面保護功能處於預覽狀態(驗證平面保護已正式推出)。
  • 如果您已啟用通用租使用者限制,且您在允許清單上存取租使用者的 Microsoft Entra 系統管理中心,您可能會看到「拒絕存取」錯誤。 若要更正此錯誤,請將下列功能旗標新增至 Microsoft Entra 系統管理中心:
    • ?feature.msaljs=true&exp.msaljsexp=true
    • 例如,您任職於 Contoso。 合作夥伴租使用者的 Fabrikam 位於允許清單中。 您可能會看到 Fabrikam 租使用者Microsoft Entra 系統管理中心的錯誤訊息。
      • 如果您收到 URL https://entra.microsoft.com/的「拒絕存取」錯誤訊息,請新增功能旗標,如下所示:https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
  • 只有 Windows 的 Global Secure Access 用戶端,從 1.8.239.0 版開始,才知道通用 CAE。 在其他平臺上,全域安全存取用戶端會使用一般存取令牌。
  • Microsoft全域安全存取的短期令牌會發出專案標識符問題。 通用 CAE 存取令牌的存留期介於 60 到 90 分鐘之間,支援近乎實時的撤銷。
  • Microsoft Entra ID 訊號大約需要兩到五分鐘的時間,才能連線到 Global Secure Access 用戶端,並提示使用者重新驗證。
  • 在收到 CAE 事件以完成重新驗證之後,使用者有兩分鐘的寬限期。 兩分鐘后,現有的網路會透過全域安全存取中斷,直到使用者成功登入 Global Secure Access 用戶端為止。

流量轉送配置檔限制

流量轉送設定檔的已知限制包括:

  • 個別服務會持續新增至Microsoft流量配置檔。 目前,Microsoft Entra ID、Microsoft Graph、Exchange Online 和 SharePoint Online 都支援作為Microsoft流量配置檔的一部分
  • 目前,私人存取流量只能透過全域安全存取用戶端取得。 無法從遠端網路取得私人存取流量。
  • 僅針對終端使用者裝置本機子網以外的IP範圍,才支援依IP位址對私人存取目的地的通道流量。
  • 您必須根據流量轉送配置檔中完整功能變數名稱 (FQDN) 的規則,停用透過 HTTPS (安全 DNS) 的 DNS 來通道網路流量。

Private Access 限制

私人存取的已知限制包括:

  • 避免快速存取與全域安全存取應用程式之間的重疊應用程式區段。
  • 避免快速存取與個別應用程式存取之間重疊的應用程式區段。
  • 僅針對終端使用者裝置本機子網以外的IP範圍,才支援依IP位址對私人存取目的地的通道流量。
  • 目前,私人存取流量只能透過全域安全存取用戶端取得。 無法將遠端網路指派給私人存取流量轉送配置檔。

因特網存取限制

因特網存取的已知限制包括:

  • 目前,系統管理員可以根據最多8,000個 FQDN 總數建立100個Web內容篩選原則和最多1,000個規則。 系統管理員也可以建立最多 256 個安全性配置檔。
  • 平台假設 HTTP/S 流量的標準埠(埠 80 和 443)。
  • 全域安全存取用戶端不支援 IPv6。 用戶端只會通道 IPv4 流量。 用戶端不會取得 IPv6 流量,因此會直接傳輸至網路。 若要確定所有流量都會路由傳送至全域安全存取,請將網路適配器屬性設定為 IPv4 慣用
  • 此平臺尚不支援UDP。
  • 使用者易記的終端使用者通知正在開發中。
  • 因特網存取的遠端網路連線正在開發中。
  • 傳輸層安全性 (TLS) 檢查正在開發中。
  • HTTP 和 HTTPS 流量的 URL 路徑型篩選和 URL 分類正在開發中。