Limitaciones conocidas del acceso seguro global

Entre las limitaciones conocidas del cliente de acceso seguro global para Windows se incluyen las siguientes:

Sistema de nombres de dominio seguro (DNS)

El cliente de acceso seguro global no admite actualmente DNS seguro en sus distintas versiones, como DNS a través de HTTPS (DoH), DNS a través de TLS (DoT) o Extensiones de seguridad DNS (DNSSEC). Para configurar el cliente para que pueda adquirir tráfico de red, debe deshabilitar DNS seguro. Para deshabilitar DNS en el explorador, consulte Protección de DNS deshabilitado en exploradores.

DNS a través de TCP

DNS usa el puerto 53 UDP para la resolución de nombres. Algunos exploradores tienen su propio cliente DNS que también admite el puerto 53 TCP. Actualmente, el cliente Global Secure Access no soporta el puerto DNS 53 TCP. Como mitigación, deshabilite el cliente DNS del explorador estableciendo los siguientes valores del Registro:

• Microsoft Edge
  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
• Cromo
  [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
  Además, añade navegación chrome://flags y desactiva Async DNS resolver.

No se admiten las reglas de tabla de directivas de resolución de nombres en la directiva de grupo

El cliente de acceso seguro global para Windows no admite reglas de tabla de directivas de resolución de nombres (NRPT) en la directiva de grupo. Para admitir DNS privado, el cliente configura reglas NRPT locales en el dispositivo. Estas reglas redirigen las consultas DNS pertinentes al DNS privado. Si las reglas NRPT están configuradas en la directiva de grupo, invalidan las reglas NRPT locales configuradas por el cliente y el DNS privado no funcionan.

Además, las reglas NRPT que se configuraron y eliminaron en versiones anteriores de Windows crearon una lista vacía de reglas NRPT en el archivo registry.pol. Si este objeto de directiva de grupo (GPO) se aplica en el dispositivo, la lista vacía invalida las reglas NRPT locales y el DNS privado no funciona.

Como mitigación:

1. Si la clave del Registro HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig existe en el dispositivo del usuario final, configure un GPO para aplicar reglas de NRPT.
2. Para buscar qué GPO están configurados con reglas de NRPT:
   1. Ejecute gpresult /h GPReport.html en el dispositivo del usuario final y busque una configuración de NRPT.
   2. Ejecute el siguiente script que detecte las rutas de acceso de todos los archivos de registry.pol en sysvol que contienen reglas de NRPT.

# =========================================================================
# THIS CODE-SAMPLE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER 
# EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES 
# OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
#
# This sample is not supported under any Microsoft standard support program 
# or service. The code sample is provided AS IS without warranty of any kind. 
# Microsoft further disclaims all implied warranties including, without 
# limitation, any implied warranties of merchantability or of fitness for a 
# particular purpose. The entire risk arising out of the use or performance
# of the sample and documentation remains with you. In no event shall 
# Microsoft, its authors, or anyone else involved in the creation, 
# production, or delivery of the script be liable for any damages whatsoever 
# (including, without limitation, damages for loss of business profits, 
# business interruption, loss of business information, or other pecuniary 
# loss) arising out of  the use of or inability to use the sample or 
# documentation, even if Microsoft has been advised of the possibility of 
# such damages.
#========================================================================= 

# Define the sysvol share path.
# Change the sysvol path per your organization, for example: 
# $sysvolPath = "\\dc1.contoso.com\sysvol\contoso.com\Policies"
$sysvolPath = "\\<DC FQDN>\sysvol\<domain FQDN>\Policies"  ## Edit

# Define the search string.
$searchString = "dnspolicyconfig"

# Define the name of the file to search.
$fileName = "registry.pol"

# Get all the registry.pol files under the sysvol share.
$files = Get-ChildItem -Path $sysvolPath -Recurse -Filter $fileName -File

# Array to store paths of files that contain the search string.
$matchingFiles = @()

# Loop through each file and check if it contains the search string.
foreach ($file in $files) {
    try {
        # Read the content of the file.
        $content = Get-Content -Path $file.FullName -Encoding Unicode
        
        # Check if the content contains the search string.
        if ($content -like "*$searchString*") {
            $matchingFiles += $file.FullName
        }
    } catch {
        Write-Host "Failed to read file $($file.FullName): $_"
    }
}

# Output the matching file paths.
if ($matchingFiles.Count -eq 0) {
    Write-Host "No files containing '$searchString' were found."
} else {
    Write-Host "Files containing '$searchString':"
    $matchingFiles | ForEach-Object { Write-Host $_ }
}

3. Edite cada uno de los GPO encontrados en la sección anterior:
   1. Si la sección NRPT está vacía, cree una nueva regla ficticia, actualice la directiva, elimine la regla ficticia y vuelva a actualizar la directiva. Estos pasos quitan el DnsPolicyConfig del archivo registry.pol (que se creó en una versión heredada de Windows).
   2. Si la sección NRPT no está vacía y contiene reglas, confirme que todavía necesita estas reglas. Si no necesita las reglas, elimínelas. Si necesita las reglas y aplica el GPO en un dispositivo con el cliente de acceso seguro global, la opción DNS privada no funciona.

Reserva de conexión

Si se produce un error de conexión al servicio en la nube, el cliente vuelve a la conexión directa a Internet o bloquea la conexión, en función del valor de protección de la regla de coincidencia en el perfil de reenvío.

Geolocalización

Para el tráfico de red que se tuneliza al servicio en la nube, el servidor de aplicaciones (sitio web) detecta la dirección IP de origen de la conexión como la dirección IP del perímetro (y no como la dirección IP del dispositivo de usuario). Este escenario podría afectar a los servicios que dependen de la geolocalización.

Compatibilidad con la virtualización

No se puede instalar el cliente de acceso seguro global en un dispositivo que hospeda máquinas virtuales. Sin embargo, puede instalar el cliente de acceso seguro global en una máquina virtual, siempre y cuando el cliente no esté instalado en la máquina host. Por el mismo motivo, un subsistema de Windows para Linux (WSL) no adquiere tráfico de un cliente instalado en el equipo host.

Hyper-V soporte técnico:

1. Conmutador virtual externo: el cliente de Windows de acceso seguro global no admite actualmente máquinas host que tengan un conmutador virtual externo Hyper-V. Sin embargo, el cliente se puede instalar en las máquinas virtuales para tunelizar el tráfico al acceso seguro global.
2. Conmutador virtual interno: el cliente de Windows de acceso seguro global se puede instalar en máquinas invitadas y host. El cliente solo tuneliza el tráfico de red de la máquina en la que está instalado. Es decir, un cliente instalado en un equipo host no tunelizar el tráfico de red de las máquinas invitadas.

El cliente de Windows de acceso seguro global admite Azure Virtual Machines y Azure Virtual Desktop (AVD).

Intermediario

Si un proxy está configurado en el nivel de aplicación (por ejemplo, un explorador) o en el nivel del sistema operativo, configure un archivo de configuración automática de proxy (PAC) para excluir todos los FQDN e direcciones IP que espera que el cliente tunele.

Para evitar que las solicitudes HTTP de FQDN o direcciones IP específicas tunelizarán al proxy, agregue los FQDN/IP al archivo PAC como excepciones. (Estos FQDNs/DIRECCIONES IP se encuentran en el perfil de reenvío del acceso seguro global para la tunelización). Por ejemplo:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Si no es posible una conexión directa a Internet, configure el cliente para conectarse al servicio acceso seguro global a través de un proxy. Por ejemplo, establezca la variable del sistema grpc_proxy para que coincida con el valor del proxy, como http://proxy:8080.

Para aplicar los cambios de configuración, reinicie los servicios de Windows del cliente de Acceso seguro global.

Inyección de paquetes

El cliente solo tuneliza el tráfico enviado mediante sockets. No tunelizar el tráfico insertado en la pila de red mediante un controlador (por ejemplo, parte del tráfico generado por el asignador de red (Nmap)). Los paquetes insertados van directamente a la red.

Multisesión

El cliente de Acceso seguro global no admite sesiones simultáneas en la misma máquina. Esta limitación se aplica a los servidores de Protocolo de Escritorio remoto (RDP) y a las soluciones de infraestructura de escritorio virtual (VDI), como Azure Virtual Desktop (AVD) que están configurados para varias sesiones.

QUIC no se admite para el acceso a Internet

Dado que QUIC aún no se admite para el acceso a Internet, no se puede tunelizar el tráfico a los puertos 80 UDP y 443 UDP.

Los administradores pueden deshabilitar el protocolo QUIC que desencadena clientes para revertir a HTTPS a través de TCP, que es totalmente compatible con el acceso a Internet. Para obtener más información, consulte QUIC no compatible con el acceso a Internet.

Conectividad de WSL 2

Cuando el cliente de acceso seguro global para Windows está habilitado en el equipo host, es posible que se bloqueen las conexiones salientes del entorno subsistema de Windows para Linux (WSL) 2. Para solucionar este problema, crea un .wslconfig archivo que ponga dnsTunneling en falso. De este modo, todo el tráfico de WSL omite el acceso seguro global y va directamente a la red. Para obtener más información, consulte Configuración de configuración avanzada en WSL.

Entre las limitaciones conocidas del cliente de acceso seguro global para macOS se incluyen:

Sistema de nombres de dominio seguro (DNS)

Si DNS seguro está habilitado en el explorador o en macOS y el servidor DNS admite DNS seguro, el cliente no tunelizará el tráfico establecido para que el FQDN lo adquiera. (El tráfico de red adquirido por IP no se ve afectado y se tuneliza según el perfil de reenvío). Para mitigar el problema de DNS seguro, deshabilite DNS seguro, establezca un servidor DNS que no admita DNS seguro ni cree reglas basadas en ip.

Reserva de conexión

Si se produce un error de conexión al servicio en la nube, el cliente vuelve a la conexión directa a Internet o bloquea la conexión, en función del valor de protección de la regla de coincidencia en el perfil de reenvío.

Geolocalización de la dirección IP de origen

Para el tráfico de red que se tuneliza al servicio en la nube, el servidor de aplicaciones (sitio web) detecta la dirección IP de origen de la conexión como la dirección IP del perímetro (y no como la dirección IP del dispositivo de usuario). Este escenario podría afectar a los servicios que dependen de la geolocalización.

Compatibilidad de virtualización con UTM

• Si la red está en modo puente y el cliente de acceso seguro global está instalado en el equipo host:
  • Si el cliente de acceso seguro global está instalado en la máquina virtual, el tráfico de red de la máquina virtual está sujeto a su directiva local. La directiva de la máquina host no afecta al perfil de reenvío en la máquina virtual.
  • Si el cliente de acceso seguro global no está instalado en la máquina virtual, se omite el tráfico de red de la máquina virtual.
• El cliente de acceso seguro global no admite el modo compartido de red porque podría bloquear el tráfico de red de la máquina virtual.
• Si la red está en modo compartido , puede instalar el cliente de acceso seguro global en una máquina virtual que ejecuta macOS, siempre y cuando el cliente no esté instalado también en la máquina host.

QUIC no se admite para el acceso a Internet

Dado que QUIC aún no se admite para el acceso a Internet, no se puede tunelizar el tráfico a los puertos 80 UDP y 443 UDP.

Entre las limitaciones conocidas del cliente de acceso seguro global para Android se incluyen las siguientes:

• Actualmente no se admiten dispositivos móviles que ejecutan Android (Go Edition ).
• Microsoft Defender para punto de conexión en Android en dispositivos compartidos no se admite actualmente.
• El sistema de nombres de dominio privado (DNS) debe estar deshabilitado en el dispositivo. Normalmente, puede encontrar esta configuración en Red del sistema > e Internet.
• El uso de productos que no son de Protección de puntos de conexión de Microsoft junto con Microsoft Defender para punto de conexión puede provocar problemas de rendimiento y errores del sistema impredecibles.
• Actualmente no se admite la coexistencia de acceso seguro global con Microsoft Tunnel. Para obtener más información, consulte Requisitos previos para Microsoft Tunnel en Intune.

Entre las limitaciones conocidas del cliente de acceso seguro global para iOS se incluyen:

• No se admite la tunelización del tráfico de conexiones a Internet (QUIC) del Protocolo de datagramas de usuario rápido (UDP) (excepto Exchange Online).
• Actualmente no se admite la coexistencia de acceso seguro global con Microsoft Tunnel. Para obtener más información, consulte Requisitos previos para Microsoft Tunnel en Intune.
• No se admite el portal cautivo.
• No se admite la aplicación de comprobación de red compatible.
• Las pérdidas de memoria pueden dar lugar al aumento gradual del uso de memoria. Este aumento del uso de memoria puede provocar reinicios de VPN ocasionales, pero el impacto en la experiencia del usuario es mínimo.
• Reproducir vídeo de alta calidad puede causar pausas.