Bekende beperkingen voor globale beveiligde toegang

Bekende beperkingen voor de Global Secure Access-client voor Windows zijn:

Veilig Domeinnaamsysteem (DNS)

De Global Secure Access-client biedt momenteel geen ondersteuning voor beveiligde DNS in de verschillende versies, zoals DNS via HTTPS (DoH), DNS via TLS (DoT) of DNS-beveiligingsextensies (DNSSEC). Als u de client zo wilt configureren dat deze netwerkverkeer kan verkrijgen, moet u beveiligde DNS uitschakelen. Als u DNS in de browser wilt uitschakelen, raadpleegt u Secure DNS uitgeschakeld in browsers.

DNS via TCP

DNS maakt gebruik van poort 53 UDP voor naamomzetting. Sommige browsers hebben hun eigen DNS-client die ook poort 53 TCP ondersteunt. De Global Secure Access-client ondersteunt momenteel geen DNS-poort 53 TCP. Als beperking schakelt u de DNS-client van de browser uit door de volgende registerwaarden in te stellen:

• Microsoft Edge
  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
• Chroom
  [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
  Voeg ook browsen toe en schakel het uitchrome://flags.Async DNS resolver

Regels voor naamomzettingsbeleidstabellen in groepsbeleid worden niet ondersteund

De Global Secure Access-client voor Windows biedt geen ondersteuning voor NRPT-regels (Name Resolution Policy Table) in Groepsbeleid. Ter ondersteuning van privé-DNS configureert de client lokale NRPT-regels op het apparaat. Met deze regels worden relevante DNS-query's omgeleid naar de privé-DNS. Als NRPT-regels zijn geconfigureerd in groepsbeleid, overschrijven ze lokale NRPT-regels die zijn geconfigureerd door de client en privé-DNS werken niet.

Daarnaast hebben NRPT-regels die zijn geconfigureerd en verwijderd in oudere versies van Windows een lege lijst met NRPT-regels in het registry.pol-bestand gemaakt. Als dit groepsbeleidsobject (GPO) op het apparaat wordt toegepast, overschrijft de lege lijst de lokale NRPT-regels en privé-DNS niet.

Als beperking:

1. Als de registersleutel HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig aanwezig is op het apparaat van de eindgebruiker, configureert u een groepsbeleidsobject om NRPT-regels toe te passen.
2. Ga als volgt te werk om te bepalen welke GPO's zijn geconfigureerd met NRPT-regels:
   1. Voer gpresult /h GPReport.html uit op het apparaat van de eindgebruiker en zoek naar een NRPT-configuratie.
   2. Voer het volgende script uit waarmee de paden van alle registry.pol bestanden in sysvol met NRPT-regels worden gedetecteerd.

# =========================================================================
# THIS CODE-SAMPLE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER 
# EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES 
# OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
#
# This sample is not supported under any Microsoft standard support program 
# or service. The code sample is provided AS IS without warranty of any kind. 
# Microsoft further disclaims all implied warranties including, without 
# limitation, any implied warranties of merchantability or of fitness for a 
# particular purpose. The entire risk arising out of the use or performance
# of the sample and documentation remains with you. In no event shall 
# Microsoft, its authors, or anyone else involved in the creation, 
# production, or delivery of the script be liable for any damages whatsoever 
# (including, without limitation, damages for loss of business profits, 
# business interruption, loss of business information, or other pecuniary 
# loss) arising out of  the use of or inability to use the sample or 
# documentation, even if Microsoft has been advised of the possibility of 
# such damages.
#========================================================================= 

# Define the sysvol share path.
# Change the sysvol path per your organization, for example: 
# $sysvolPath = "\\dc1.contoso.com\sysvol\contoso.com\Policies"
$sysvolPath = "\\<DC FQDN>\sysvol\<domain FQDN>\Policies"  ## Edit

# Define the search string.
$searchString = "dnspolicyconfig"

# Define the name of the file to search.
$fileName = "registry.pol"

# Get all the registry.pol files under the sysvol share.
$files = Get-ChildItem -Path $sysvolPath -Recurse -Filter $fileName -File

# Array to store paths of files that contain the search string.
$matchingFiles = @()

# Loop through each file and check if it contains the search string.
foreach ($file in $files) {
    try {
        # Read the content of the file.
        $content = Get-Content -Path $file.FullName -Encoding Unicode
        
        # Check if the content contains the search string.
        if ($content -like "*$searchString*") {
            $matchingFiles += $file.FullName
        }
    } catch {
        Write-Host "Failed to read file $($file.FullName): $_"
    }
}

# Output the matching file paths.
if ($matchingFiles.Count -eq 0) {
    Write-Host "No files containing '$searchString' were found."
} else {
    Write-Host "Files containing '$searchString':"
    $matchingFiles | ForEach-Object { Write-Host $_ }
}

3. Bewerk elk van de groepsbeleidsobjecten in de vorige sectie:
   1. Als de SECTIE NRPT leeg is, maakt u een nieuwe fictieve regel, werkt u het beleid bij, verwijdert u de fictieve regel en werkt u het beleid opnieuw bij. Met deze stappen verwijdert u de DnsPolicyConfig uit het registry.pol-bestand (dat is gemaakt in een oudere versie van Windows).
   2. Als de NRPT-sectie niet leeg is en regels bevat, controleert u of u deze regels nog steeds nodig hebt. Als u de regels niet nodig hebt, verwijdert u deze. Als u de regels wel nodig hebt en het groepsbeleidsobject toepast op een apparaat met global Secure Access-client, werkt de privé-DNS-optie niet.

Terugval van verbinding

Als er een verbindingsfout is met de cloudservice, valt de client terug op een directe internetverbinding of blokkeert de verbinding, op basis van de blokkeringswaarde van de overeenkomende regel in het doorstuurprofiel.

Geolocatie

Voor netwerkverkeer dat wordt getunneld naar de cloudservice, detecteert de toepassingsserver (website) het bron-IP-adres van de verbinding als het IP-adres van de rand (en niet als het IP-adres van het gebruikersapparaat). Dit scenario kan van invloed zijn op services die afhankelijk zijn van geolocatie.

Ondersteuning voor virtualisatie

U kunt de Global Secure Access-client niet installeren op een apparaat waarop virtuele machines worden gehost. U kunt de Global Secure Access-client echter installeren op een virtuele machine, zolang de client niet op de hostcomputer is geïnstalleerd. Om dezelfde reden krijgt een Windows-subsysteem voor Linux (WSL) geen verkeer van een client die op de hostcomputer is geïnstalleerd.

Hyper-V ondersteuning:

1. Externe virtuele switch: de Global Secure Access Windows-client biedt momenteel geen ondersteuning voor hostmachines met een Hyper-V externe virtuele switch. De client kan echter op de virtuele machines worden geïnstalleerd om verkeer naar Global Secure Access te tunnelen.
2. Interne virtuele switch: De Global Secure Access Windows-client kan worden geïnstalleerd op host- en gastmachines. De client tunnels alleen het netwerkverkeer van de computer waarop deze is geïnstalleerd. Met andere woorden, een client die op een hostcomputer is geïnstalleerd, tunnelt het netwerkverkeer van de gastmachines niet.

De Global Secure Access Windows-client ondersteunt Azure Virtual Machines en Azure Virtual Desktop (AVD).

Tussenpersoon

Als een proxy is geconfigureerd op toepassingsniveau (zoals een browser) of op besturingssysteemniveau, configureert u een PAC-bestand (Proxy Auto Configuration) om alle FQDN's en IP-adressen uit te sluiten die u verwacht dat de client tunnelt.

Als u wilt voorkomen dat HTTP-aanvragen voor specifieke FQDN's/IP's worden getunneld naar de proxy, voegt u de FQDN's/IP's als uitzonderingen toe aan het PAC-bestand. (Deze FQDN's/IP's bevinden zich in het doorstuurprofiel van Global Secure Access voor tunneling. Bijvoorbeeld:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Als een directe internetverbinding niet mogelijk is, configureert u de client om via een proxy verbinding te maken met de Global Secure Access-service. Stel bijvoorbeeld de grpc_proxy systeemvariabele in zodat deze overeenkomt met de waarde van de proxy, zoals http://proxy:8080.

Als u de configuratiewijzigingen wilt toepassen, start u de Windows-services van de Global Secure Access-client opnieuw op.

Pakketinjectie

De client tunnels alleen verkeer dat wordt verzonden met behulp van sockets. Het tunnelverkeer dat is geïnjecteerd in de netwerkstack met behulp van een stuurprogramma (bijvoorbeeld een deel van het verkeer dat wordt gegenereerd door Network Mapper (Nmap)). Geïnjecteerde pakketten gaan rechtstreeks naar het netwerk.

Meerdere sessies

De Global Secure Access-client biedt geen ondersteuning voor gelijktijdige sessies op dezelfde computer. Deze beperking is van toepassing op RDP-servers (Remote Desktop Protocol) en VDI-oplossingen (Virtual Desktop Infrastructure), zoals Azure Virtual Desktop (AVD) die zijn geconfigureerd voor meerdere sessies.

QUIC wordt niet ondersteund voor internettoegang

Omdat QUIC nog niet wordt ondersteund voor internettoegang, kan verkeer naar poorten 80 UDP en 443 UDP niet worden getunneld.

Beheerders kunnen HET QUIC-protocol uitschakelen dat clients activeren om terug te vallen op HTTPS via TCP, wat volledig wordt ondersteund in Internettoegang. Zie QUIC niet ondersteund voor internettoegang voor meer informatie.

WSL 2-connectiviteit

Wanneer de Global Secure Access-client voor Windows is ingeschakeld op de hostcomputer, worden uitgaande verbindingen van de Windows Subsystem for Linux (WSL) 2-omgeving mogelijk geblokkeerd. Om dit probleem op te lossen, maak je een .wslconfig bestand aan dat dnsTunneling op false zet. Op deze manier wordt al het verkeer van de WSL Global Secure Access omzeild en gaat het rechtstreeks naar het netwerk. Zie De configuratie van geavanceerde instellingen in WSL voor meer informatie.

Bekende beperkingen voor de Global Secure Access-client voor macOS zijn:

Veilig Domeinnaamsysteem (DNS)

Als Secure DNS is ingeschakeld in de browser of in macOS en de DNS-server beveiligde DNS ondersteunt, wordt verkeer dat door FQDN moet worden verkregen door de client niet tunnelverkeer. (Netwerkverkeer dat wordt verkregen door IP wordt niet beïnvloed en wordt getunneld volgens het doorstuurprofiel.) Als u het probleem met beveiligde DNS wilt beperken, schakelt u Secure DNS uit, stelt u een DNS-server in die geen ondersteuning biedt voor Secure DNS of maakt u regels op basis van IP.

Terugval van verbinding

Als er een verbindingsfout is met de cloudservice, valt de client terug op een directe internetverbinding of blokkeert de verbinding, op basis van de blokkeringswaarde van de overeenkomende regel in het doorstuurprofiel.

Geolocatie van bron-IP-adres

Voor netwerkverkeer dat wordt getunneld naar de cloudservice, detecteert de toepassingsserver (website) het bron-IP-adres van de verbinding als het IP-adres van de rand (en niet als het IP-adres van het gebruikersapparaat). Dit scenario kan van invloed zijn op services die afhankelijk zijn van geolocatie.

Ondersteuning voor virtualisatie met UTM

• Als het netwerk zich in de brugmodus bevindt en de Global Secure Access-client is geïnstalleerd op de hostcomputer:
  • Als de Global Secure Access-client op de virtuele machine is geïnstalleerd, is netwerkverkeer van de virtuele machine onderhevig aan het lokale beleid. Het beleid van de hostmachine heeft geen invloed op het doorstuurprofiel op de virtuele machine.
  • Als de Global Secure Access-client niet op de virtuele machine is geïnstalleerd, wordt netwerkverkeer van de virtuele machine overgeslagen.
• De Global Secure Access-client biedt geen ondersteuning voor de gedeelde modus van het netwerk, omdat het netwerkverkeer van de virtuele machine mogelijk wordt geblokkeerd.
• Als het netwerk zich in de gedeelde modus bevindt, kunt u de Global Secure Access-client installeren op een virtuele machine met macOS, zolang de client niet ook op de hostcomputer is geïnstalleerd.

QUIC wordt niet ondersteund voor internettoegang

Omdat QUIC nog niet wordt ondersteund voor internettoegang, kan verkeer naar poorten 80 UDP en 443 UDP niet worden getunneld.

Bekende beperkingen voor de Global Secure Access-client voor Android zijn:

• Mobiele apparaten met Android (Go Edition) worden momenteel niet ondersteund.
• Microsoft Defender voor Eindpunt op Android op gedeelde apparaten wordt momenteel niet ondersteund.
• Private Domain Name System (DNS) moet worden uitgeschakeld op het apparaat. U kunt deze instelling meestal vinden in systeemnetwerk > en internet.
• Het gebruik van niet-Microsoft Endpoint Protection-producten naast Microsoft Defender voor Eindpunt kan prestatieproblemen en onvoorspelbare systeemfouten veroorzaken.
• Global Secure Access co-existentie met Microsoft Tunnel wordt momenteel niet ondersteund. Zie Vereisten voor de Microsoft Tunnel in Intune voor meer informatie.

Bekende beperkingen voor de Global Secure Access-client voor iOS zijn:

• Tunneling Quick User Datagram Protocol (UDP) Internet Connections (QUIC) verkeer (met uitzondering van Exchange Online) wordt niet ondersteund.
• Global Secure Access co-existentie met Microsoft Tunnel wordt momenteel niet ondersteund. Zie Vereisten voor de Microsoft Tunnel in Intune voor meer informatie.
• Captive Portal wordt niet ondersteund.
• Het afdwingen van compatibele netwerkcontroles wordt niet ondersteund.
• Geheugenlekken kunnen leiden tot een geleidelijke toename van het geheugengebruik. Dit verhoogde geheugengebruik kan leiden tot incidentele VPN-herstarts, maar de impact op de gebruikerservaring is minimaal.
• Het streamen van video van hoge kwaliteit kan pauzes veroorzaken.