Известные ограничения для глобального безопасного доступа

Известные ограничения для клиента глобального безопасного доступа для Windows:

Безопасная система доменных имен (DNS)

Клиент глобального безопасного доступа в настоящее время не поддерживает безопасный DNS в разных версиях, таких как DNS по протоколу HTTPS (DoH), DNS по протоколу TLS (DoT) или расширения безопасности DNS (DNSSEC). Чтобы настроить клиент для получения сетевого трафика, необходимо отключить безопасный DNS. Сведения об отключении DNS в браузере см. в разделе "Безопасный DNS", отключенный в браузерах.

DNS через TCP

DNS использует порт 53 UDP для разрешения имен. Некоторые браузеры имеют собственный DNS-клиент, который также поддерживает порт 53 TCP. Клиент Global Secure Access в настоящее время не поддерживает DNS-порт 53 TCP. В качестве устранения рисков отключите DNS-клиент браузера, задав следующие значения реестра:

• Microsoft Edge
  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
• Хром
  [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
  Также добавьте браузер chrome://flags и отключите Async DNS resolver.

Правила таблицы политик разрешения имен в групповой политике не поддерживаются

Клиент глобального безопасного доступа для Windows не поддерживает правила таблицы политик разрешения имен (NRPT) в групповой политике. Для поддержки частной DNS клиент настраивает локальные правила NRPT на устройстве. Эти правила перенаправляют соответствующие запросы DNS в частный DNS. Если правила NRPT настроены в групповой политике, они переопределяют локальные правила NRPT, настроенные клиентом и частным DNS, не работают.

Кроме того, правила NRPT, настроенные и удаленные в более ранних версиях Windows, создали пустой список правил NRPT в файле registry.pol. Если этот объект групповой политики применяется на устройстве, пустой список переопределяет локальные правила NRPT и частный DNS не работает.

В качестве устранения рисков:

1. Если раздел реестра HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig существует на устройстве конечного пользователя, настройте объект групповой политики для применения правил NRPT.
2. Чтобы найти, какие объекты групповой политики настроены с помощью правил NRPT:
   1. Запустите gpresult /h GPReport.html на устройстве конечного пользователя и найдите конфигурацию NRPT.
   2. Выполните следующий скрипт, который обнаруживает пути всех файлов registry.pol в sysvol, содержащих правила NRPT.

# =========================================================================
# THIS CODE-SAMPLE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER 
# EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES 
# OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
#
# This sample is not supported under any Microsoft standard support program 
# or service. The code sample is provided AS IS without warranty of any kind. 
# Microsoft further disclaims all implied warranties including, without 
# limitation, any implied warranties of merchantability or of fitness for a 
# particular purpose. The entire risk arising out of the use or performance
# of the sample and documentation remains with you. In no event shall 
# Microsoft, its authors, or anyone else involved in the creation, 
# production, or delivery of the script be liable for any damages whatsoever 
# (including, without limitation, damages for loss of business profits, 
# business interruption, loss of business information, or other pecuniary 
# loss) arising out of  the use of or inability to use the sample or 
# documentation, even if Microsoft has been advised of the possibility of 
# such damages.
#========================================================================= 

# Define the sysvol share path.
# Change the sysvol path per your organization, for example: 
# $sysvolPath = "\\dc1.contoso.com\sysvol\contoso.com\Policies"
$sysvolPath = "\\<DC FQDN>\sysvol\<domain FQDN>\Policies"  ## Edit

# Define the search string.
$searchString = "dnspolicyconfig"

# Define the name of the file to search.
$fileName = "registry.pol"

# Get all the registry.pol files under the sysvol share.
$files = Get-ChildItem -Path $sysvolPath -Recurse -Filter $fileName -File

# Array to store paths of files that contain the search string.
$matchingFiles = @()

# Loop through each file and check if it contains the search string.
foreach ($file in $files) {
    try {
        # Read the content of the file.
        $content = Get-Content -Path $file.FullName -Encoding Unicode
        
        # Check if the content contains the search string.
        if ($content -like "*$searchString*") {
            $matchingFiles += $file.FullName
        }
    } catch {
        Write-Host "Failed to read file $($file.FullName): $_"
    }
}

# Output the matching file paths.
if ($matchingFiles.Count -eq 0) {
    Write-Host "No files containing '$searchString' were found."
} else {
    Write-Host "Files containing '$searchString':"
    $matchingFiles | ForEach-Object { Write-Host $_ }
}

3. Измените каждый из объектов групповой политики, найденных в предыдущем разделе:
   1. Если раздел NRPT пуст, создайте новое fictive правило, обновите политику, удалите правило fictive и снова обновите политику. Эти действия удаляют DnsPolicyConfig из файла registry.pol (который был создан в устаревшей версии Windows).
   2. Если раздел NRPT не пуст и содержит правила, убедитесь, что вам по-прежнему нужны эти правила. Если вам не нужны правила, удалите их. Если нужны правила и применить объект групповой политики на устройстве с клиентом Global Secure Access, частный параметр DNS не работает.

Резервный вариант подключения

Если возникла ошибка подключения к облачной службе, клиент возвращается к прямому интернет-подключению или блокирует подключение на основе значения защиты правила сопоставления в профиле пересылки.

Географическое расположение

Для сетевого трафика, туннелированного в облачную службу, сервер приложений (веб-сайт) обнаруживает исходный IP-адрес подключения как IP-адрес пограничного сервера (а не IP-адрес устройства пользователя). Этот сценарий может повлиять на службы, использующие геолокацию.

Поддержка виртуализации

Невозможно установить клиент глобального безопасного доступа на устройстве, на котором размещаются виртуальные машины. Однако вы можете установить клиент глобального безопасного доступа на виртуальной машине, если клиент не установлен на хост-компьютере. По той же причине подсистема Windows для Linux (WSL) не получает трафик от клиента, установленного на хост-компьютере.

поддержка Hyper-V:

1. Внешний виртуальный коммутатор: клиент Windows глобального безопасного доступа в настоящее время не поддерживает хост-компьютеры с Hyper-V внешним виртуальным коммутатором. Однако клиент можно установить на виртуальных машинах для туннелирования трафика в глобальный безопасный доступ.
2. Внутренний виртуальный коммутатор: клиент Windows глобального безопасного доступа можно установить на узлах и гостевых компьютерах. Клиент туннелирует только сетевой трафик компьютера, на котором он установлен. Другими словами, клиент, установленный на хост-компьютере, не туннел сетевой трафик гостевых компьютеров.

Клиент Windows глобального безопасного доступа поддерживает виртуальные машины Azure и виртуальный рабочий стол Azure (AVD).

Доверенность

Если прокси-сервер настроен на уровне приложения (например, браузер) или на уровне ОС, настройте файл автоматической настройки прокси-сервера (PAC), чтобы исключить все полные доменные имена и IP-адреса, которые клиент должен туннелировать.

Чтобы предотвратить туннелирование HTTP-запросов для определенных полных доменных имен/IP-адресов на прокси-сервер, добавьте полное доменное имя/IP-адреса в ФАЙЛ PAC в качестве исключений. (Эти полные доменные имена и IP-адреса находятся в профиле пересылки глобального безопасного доступа для туннелирования. Например:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Если прямое подключение к Интернету невозможно, настройте клиент для подключения к службе глобального безопасного доступа через прокси-сервер. Например, задайте grpc_proxy системную переменную, соответствующую значению прокси-сервера, например http://proxy:8080.

Чтобы применить изменения конфигурации, перезапустите клиентские службы Windows глобального безопасного доступа.

Внедрение пакетов

Клиент только туннелирует трафик, отправленный с помощью сокетов. Он не туннелируется в сетевой стек с помощью драйвера (например, некоторые из трафика, созданного сетевой картой (Nmap)). Внедренные пакеты передаются непосредственно в сеть.

Многосеансовый сеанс

Клиент Global Secure Access не поддерживает одновременные сеансы на одном компьютере. Это ограничение применяется к серверам протокола удаленного рабочего стола (RDP) и решениям инфраструктуры виртуальных рабочих столов (VDI), таким как виртуальный рабочий стол Azure (AVD), настроенным для нескольких сеансов.

QUIC не поддерживается для Доступа к Интернету

Так как QUIC еще не поддерживается для Доступа к Интернету, трафик к портам 80 UDP и 443 UDP нельзя туннелировать.

Администраторы могут отключить протокол QUIC, запускающий клиенты, чтобы вернуться к ПРОТОКОЛу HTTPS по протоколу TCP, который полностью поддерживается в Доступе к Интернету. Дополнительные сведения см. в разделе QUIC, который не поддерживается для Доступа к Интернету.

Подключение WSL 2

Если клиент глобального безопасного доступа для Windows включен на хост-компьютере, исходящие подключения из подсистемы Windows для Linux (WSL) 2 могут быть заблокированы. Чтобы решить эту проблему, создайте .wslconfig файл, который установит dnsTunneling в false. Таким образом, весь трафик из WSL проходит глобальный безопасный доступ и передается непосредственно в сеть. Дополнительные сведения см. в разделе "Дополнительные параметры" в WSL.

Известные ограничения для клиента глобального безопасного доступа для macOS:

Безопасная система доменных имен (DNS)

Если безопасный DNS включен в браузере или в macOS, а DNS-сервер поддерживает Secure DNS, клиент не туннелируется, чтобы получить полное доменное имя. (Сетевой трафик, полученный IP-адресом, не затрагивается и туннелируется в соответствии с профилем пересылки.) Чтобы устранить проблему безопасного DNS, отключите безопасный DNS-сервер, задайте DNS-сервер, который не поддерживает безопасный DNS, или создайте правила на основе IP-адресов.

Резервный вариант подключения

Если возникла ошибка подключения к облачной службе, клиент возвращается к прямому интернет-подключению или блокирует подключение на основе значения защиты правила сопоставления в профиле пересылки.

Географическое расположение исходного IP-адреса

Для сетевого трафика, туннелированного в облачную службу, сервер приложений (веб-сайт) обнаруживает исходный IP-адрес подключения как IP-адрес пограничного сервера (а не IP-адрес устройства пользователя). Этот сценарий может повлиять на службы, использующие геолокацию.

Поддержка виртуализации с помощью UTM

• Если сеть находится в режиме моста , на хост-компьютере устанавливается клиент глобального безопасного доступа:
  • Если клиент глобального безопасного доступа установлен на виртуальной машине, сетевой трафик виртуальной машины подлежит локальной политике. Политика хост-компьютера не влияет на профиль пересылки на виртуальной машине.
  • Если клиент глобального безопасного доступа не установлен на виртуальной машине, сетевой трафик виртуальной машины будет обходить.
• Клиент Глобального безопасного доступа не поддерживает общий сетевой режим, так как он может блокировать сетевой трафик виртуальной машины.
• Если сеть находится в общем режиме, вы можете установить клиент Глобального безопасного доступа на виртуальной машине под управлением macOS, пока клиент не установлен на хост-компьютере.

QUIC не поддерживается для Доступа к Интернету

Так как QUIC еще не поддерживается для Доступа к Интернету, трафик к портам 80 UDP и 443 UDP нельзя туннелировать.

Известные ограничения для клиента Глобального безопасного доступа для Android:

• Мобильные устройства под управлением Android (Выпуск Go) в настоящее время не поддерживаются.
• Microsoft Defender для конечной точки в Android на общих устройствах в настоящее время не поддерживается.
• На устройстве должна быть отключена система частных доменных имен (DNS). Обычно этот параметр можно найти в системной > сети и Интернете.
• Использование продуктов защиты конечных точек, отличных от Майкрософт, вместе с Microsoft Defender для конечной точки может привести к проблемам производительности и непредсказуемым системным ошибкам.
• В настоящее время глобальный безопасный доступ к сосуществованию с Microsoft Tunnel не поддерживается. Дополнительные сведения см. в разделе "Предварительные требования" для Microsoft Tunnel в Intune.

Известные ограничения для клиента глобального безопасного доступа для iOS:

• Трафик протокола UDP (UDP) подключения к Интернету (QUIC) туннелирования (за исключением Exchange Online) не поддерживается.
• В настоящее время глобальный безопасный доступ к сосуществованию с Microsoft Tunnel не поддерживается. Дополнительные сведения см. в разделе "Предварительные требования" для Microsoft Tunnel в Intune.
• Портал captive не поддерживается.
• Принудительное применение проверки сети соответствует требованиям, не поддерживается.
• Утечки памяти могут привести к постепенному увеличению использования памяти. Это увеличение использования памяти может привести к случайным перезапускам VPN, но влияние на взаимодействие с пользователем минимально.
• Потоковое видео высокого качества может вызывать паузы.