Limitações conhecidas do Global Secure Access

Limitações conhecidas para o cliente Global Secure Access para Windows incluem:

Sistema de Nomes de Domínio Seguro (DNS)

Atualmente, o cliente Global Secure Access não oferece suporte a DNS seguro em suas diferentes versões, como DNS sobre HTTPS (DoH), DNS sobre TLS (DoT) ou DNS Security Extensions (DNSSEC). Para configurar o cliente para que ele possa adquirir tráfego de rede, você deve desativar o DNS seguro. Para desativar o DNS no navegador, consulte DNS seguro desativado em navegadores.

DNS sobre TCP

O DNS usa a porta 53 UDP para resolução de nomes. Alguns navegadores têm seu próprio cliente DNS que também suporta a porta 53 TCP. O cliente Global Secure Access atualmente não suporta a porta DNS 53 TCP. Como atenuação, desative o cliente DNS do navegador definindo os seguintes valores do Registro:

• Microsoft Edge
  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
• Cromado
  [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
  Além disso, adicione a navegação chrome://flags e desative Async DNS resolvero arquivo .

Não há suporte para as regras da Tabela de Política de Resolução de Nomes na Diretiva de Grupo

O cliente Global Secure Access para Windows não suporta regras de Tabela de Política de Resolução de Nomes (NRPT) na Política de Grupo. Para suportar DNS privado, o cliente configura regras NRPT locais no dispositivo. Essas regras redirecionam consultas DNS relevantes para o DNS privado. Se as regras NRPT estiverem configuradas na Diretiva de Grupo, elas substituem as regras NRPT locais configuradas pelo cliente e o DNS privado não funcionará.

Além disso, as regras NRPT configuradas e eliminadas em versões mais antigas do Windows criavam uma lista vazia de regras NRPT no ficheiro registry.pol. Se esse GPO (Objeto de Diretiva de Grupo) for aplicado no dispositivo, a lista vazia substituirá as regras NRPT locais e o DNS privado não funcionará.

Como atenuação:

1. Se a chave de registo HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig existir no dispositivo do utilizador final, configure uma GPO para aplicar as regras NRPT.
2. Para localizar quais GPOs estão configurados com regras NRPT:
   1. Execute gpresult /h GPReport.html no dispositivo do usuário final e procure uma configuração NRPT.
   2. Execute o seguinte script que deteta os caminhos de todos os arquivos registry.pol em sysvol que contêm regras NRPT.

# =========================================================================
# THIS CODE-SAMPLE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER 
# EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES 
# OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
#
# This sample is not supported under any Microsoft standard support program 
# or service. The code sample is provided AS IS without warranty of any kind. 
# Microsoft further disclaims all implied warranties including, without 
# limitation, any implied warranties of merchantability or of fitness for a 
# particular purpose. The entire risk arising out of the use or performance
# of the sample and documentation remains with you. In no event shall 
# Microsoft, its authors, or anyone else involved in the creation, 
# production, or delivery of the script be liable for any damages whatsoever 
# (including, without limitation, damages for loss of business profits, 
# business interruption, loss of business information, or other pecuniary 
# loss) arising out of  the use of or inability to use the sample or 
# documentation, even if Microsoft has been advised of the possibility of 
# such damages.
#========================================================================= 

# Define the sysvol share path.
# Change the sysvol path per your organization, for example: 
# $sysvolPath = "\\dc1.contoso.com\sysvol\contoso.com\Policies"
$sysvolPath = "\\<DC FQDN>\sysvol\<domain FQDN>\Policies"  ## Edit

# Define the search string.
$searchString = "dnspolicyconfig"

# Define the name of the file to search.
$fileName = "registry.pol"

# Get all the registry.pol files under the sysvol share.
$files = Get-ChildItem -Path $sysvolPath -Recurse -Filter $fileName -File

# Array to store paths of files that contain the search string.
$matchingFiles = @()

# Loop through each file and check if it contains the search string.
foreach ($file in $files) {
    try {
        # Read the content of the file.
        $content = Get-Content -Path $file.FullName -Encoding Unicode
        
        # Check if the content contains the search string.
        if ($content -like "*$searchString*") {
            $matchingFiles += $file.FullName
        }
    } catch {
        Write-Host "Failed to read file $($file.FullName): $_"
    }
}

# Output the matching file paths.
if ($matchingFiles.Count -eq 0) {
    Write-Host "No files containing '$searchString' were found."
} else {
    Write-Host "Files containing '$searchString':"
    $matchingFiles | ForEach-Object { Write-Host $_ }
}

3. Edite cada um dos GPOs encontrados na seção anterior:
   1. Se a seção NRPT estiver vazia, crie uma nova regra fictícia, atualize a política, exclua a regra fictícia e atualize a política novamente. Estes passos removem o DnsPolicyConfig do ficheiro registry.pol (que foi criado numa versão legada do Windows).
   2. Se a seção NRPT não estiver vazia e contiver regras, confirme se você ainda precisa dessas regras. Se não precisar das regras, exclua-as. Se você precisar das regras e aplicar o GPO em um dispositivo com cliente de Acesso Seguro Global, a opção DNS privado não funcionará.

Fallback de conexão

Se houver um erro de conexão com o serviço de nuvem, o cliente retornará à conexão direta com a Internet ou bloqueará a conexão, com base no valor de de proteção de da regra de correspondência no perfil de encaminhamento.

Geolocalização

Para o tráfego de rede encapsulado para o serviço de nuvem, o servidor de aplicativos (site) deteta o IP de origem da conexão como o endereço IP da borda (e não como o endereço IP do dispositivo do usuário). Esse cenário pode afetar os serviços que dependem da geolocalização.

Suporte à virtualização

Não é possível instalar o cliente Global Secure Access em um dispositivo que hospeda máquinas virtuais. No entanto, você pode instalar o cliente Global Secure Access em uma máquina virtual, desde que o cliente não esteja instalado na máquina host. Pela mesma razão, um Subsistema Windows para Linux (WSL) não adquire tráfego de um cliente instalado na máquina anfitriã.

Suporte Hyper-V:

1. Comutador virtual externo: O cliente Windows Global Secure Access atualmente não suporta máquinas anfitriãs que tenham um comutador virtual externo Hyper-V. No entanto, o cliente pode ser instalado nas máquinas virtuais para encapsular o tráfego para o Acesso Seguro Global.
2. Comutador virtual interno: O cliente Global Secure Access Windows pode ser instalado em máquinas anfitriãs e convidadas. O cliente encapsula apenas o tráfego de rede da máquina em que está instalado. Em outras palavras, um cliente instalado em uma máquina host não encapsula o tráfego de rede das máquinas convidadas.

O cliente Global Secure Access Windows suporta Máquinas Virtuais do Azure e Azure Virtual Desktop (AVD).

Procuração

Se um proxy estiver configurado no nível do aplicativo (como um navegador) ou no nível do sistema operacional, configure um arquivo de configuração automática de proxy (PAC) para excluir todos os FQDNs e IPs que você espera que o cliente túnel.

Para evitar que solicitações HTTP para FQDNs/IPs específicos sejam encapsuladas no proxy, adicione os FQDNs/IPs ao arquivo PAC como exceções. (Esses FQDNs/IPs estão no perfil de encaminhamento do Global Secure Access para tunelamento). Por exemplo:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Injeção de pacotes

O cliente apenas túneis tráfego enviado usando soquetes. Ele não encapsula o tráfego injetado na pilha de rede usando um driver (por exemplo, parte do tráfego gerado pelo Network Mapper (Nmap)). Os pacotes injetados vão diretamente para a rede.

Multi-sessão

O cliente Global Secure Access não suporta sessões simultâneas na mesma máquina. Esta limitação aplica-se a servidores do Ambiente de Trabalho Remoto Protocol (RDP) e a soluções de Infraestrutura de Ambiente de Trabalho Virtual (VDI) como o Azure Virtual Desktop (AVD), configuradas para multi-sessão.

QUIC não suportado para acesso à Internet

Como o QUIC ainda não é suportado para acesso à Internet, o tráfego para as portas 80 UDP e 443 UDP não pode ser encapsulado.

Os administradores podem desativar o protocolo QUIC acionando os clientes para recorrer a HTTPS sobre TCP, que é totalmente suportado no Acesso à Internet. Para obter mais informações, consulte QUIC não suportado para acesso à Internet.

Conectividade WSL 2

Quando o cliente Global Secure Access para Windows está ativado na máquina anfitriã, as ligações de saída do ambiente Subsistema Windows para Linux (WSL) 2 podem ser bloqueadas. Para resolver este problema, crie um .wslconfig ficheiro que defina o dnsTunneling como falso. Desta forma, todo o tráfego da WSL contorna o Global Secure Access e vai diretamente para a rede. Para obter mais informações, consulte Configuração avançada de definições no WSL.

As limitações conhecidas para o cliente Global Secure Access para macOS incluem:

Sistema de Nomes de Domínio Seguro (DNS)

Se o DNS Seguro estiver ativado no navegador ou no macOS e o servidor DNS suportar DNS Seguro, o cliente não encapsulará o tráfego definido para ser adquirido pelo FQDN. (O tráfego de rede adquirido por IP não é afetado e é encapsulado de acordo com o perfil de encaminhamento.) Para atenuar o problema do DNS seguro, desative o DNS seguro, defina um servidor DNS que não suporte o DNS seguro ou crie regras baseadas no IP.

Fallback de conexão

Se houver um erro de conexão com o serviço de nuvem, o cliente retornará à conexão direta com a Internet ou bloqueará a conexão, com base no valor de de proteção de da regra de correspondência no perfil de encaminhamento.

Geolocalização do endereço IP de origem

Para o tráfego de rede encapsulado para o serviço de nuvem, o servidor de aplicativos (site) deteta o IP de origem da conexão como o endereço IP da borda (e não como o endereço IP do dispositivo do usuário). Esse cenário pode afetar os serviços que dependem da geolocalização.

Suporte à virtualização com UTM

• Se a rede estiver no modo de em ponte e cliente de Acesso Seguro Global estiver instalado na máquina host:
  • Se o cliente Global Secure Access estiver instalado na máquina virtual, o tráfego de rede da máquina virtual estará sujeito à sua política local. A política da máquina host não afeta o perfil de encaminhamento na máquina virtual.
  • Se o cliente Global Secure Access não estiver instalado na máquina virtual, o tráfego de rede da máquina virtual será ignorado.
• O cliente Global Secure Access não suporta o modo de compartilhado de de rede porque pode bloquear o tráfego de rede da máquina virtual.
• Se a rede estiver no modo de compartilhado, você poderá instalar o cliente Global Secure Access em uma máquina virtual que executa o macOS, desde que o cliente não esteja também instalado na máquina host.

QUIC não suportado para acesso à Internet

Como o QUIC ainda não é suportado para acesso à Internet, o tráfego para as portas 80 UDP e 443 UDP não pode ser encapsulado.

As limitações conhecidas para o cliente Global Secure Access para Android incluem:

• Os dispositivos móveis com Android (edição Go) não são atualmente suportados.
• Microsoft Defender para Endpoint no Android em dispositivos partilhados atualmente não é suportado.
• O Sistema de Nomes de Domínio Privado (DNS) deve ser desativado no dispositivo. Normalmente, você pode encontrar essa configuração em Rede do Sistema > e Internet.
• Usar produtos de proteção de endpoint que não sejam da Microsoft juntamente com o Microsoft Defender para Endpoint pode causar problemas de desempenho e erros imprevisíveis do sistema.
• A coexistência Global Secure Access com o Microsoft Tunnel não é atualmente suportada. Para mais informações, consulte Pré-requisitos para o Microsoft Túnel no Intune.
• O cliente Global Secure Access atualmente não suporta DNS seguro nas suas diferentes versões, como DNS sobre HTTPS (DoH), DNS sobre TLS (DoT) ou Extensões de Segurança DNS (DNSSEC). Para configurar o cliente para que ele possa adquirir tráfego de rede, você deve desativar o DNS seguro.

As limitações conhecidas para o cliente Global Secure Access para iOS incluem:

• O tráfego de Conexões de Internet do Protocolo Rápido de Datagramas do Utilizador (UDP) (QUIC) (exceto no Exchange Online) não é suportado.
• A coexistência Global Secure Access com o Microsoft Tunnel não é atualmente suportada. Para mais informações, consulte Pré-requisitos para o Microsoft Túnel no Intune.
• Transmitir vídeo de alta qualidade pode causar pausas ocasionalmente
• O cliente Global Secure Access atualmente não suporta DNS seguro nas suas diferentes versões, como DNS sobre HTTPS (DoH), DNS sobre TLS (DoT) ou Extensões de Segurança DNS (DNSSEC). Para configurar o cliente para que ele possa adquirir tráfego de rede, você deve desativar o DNS seguro.