Batasan yang diketahui untuk Akses Aman Global

Akses Aman Global adalah istilah pemersatu yang digunakan untuk Microsoft Entra Internet Access dan Microsoft Entra Private Access.

Artikel ini merinci masalah dan batasan yang diketahui yang mungkin Anda temui saat menggunakan Akses Aman Global.

Batasan klien Akses Aman Global

Klien Akses Aman Global tersedia di beberapa platform. Pilih setiap tab untuk detail tentang batasan yang diketahui untuk setiap platform.

Batasan yang diketahui untuk klien Akses Aman Global untuk Windows meliputi:

Sistem Nama Domain Aman (DNS)

Klien Akses Aman Global saat ini tidak mendukung DNS aman dalam versinya yang berbeda, seperti DNS melalui HTTPS (DoH), DNS melalui TLS (DoT), atau DNS Security Extensions (DNSSEC). Untuk mengonfigurasi klien sehingga dapat memperoleh lalu lintas jaringan, Anda harus menonaktifkan DNS aman. Untuk menonaktifkan DNS di browser, lihat DNS aman dinonaktifkan di browser.

DNS melalui TCP

DNS menggunakan port 53 UDP untuk resolusi nama. Beberapa browser memiliki klien DNS mereka sendiri yang juga mendukung port 53 TCP. Klien Akses Aman Global saat ini tidak mendukung port DNS 53 TCP. Sebagai mitigasi, nonaktifkan klien DNS browser dengan mengatur nilai registri berikut:

• Microsoft Edge
  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
• Chrome
  [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
  Juga, tambahkan penjelajahan chrome://flags dan nonaktifkan Async DNS resolver.

Aturan Tabel Kebijakan Resolusi Nama dalam Kebijakan Grup tidak didukung

Klien Akses Aman Global untuk Windows tidak mendukung aturan Tabel Kebijakan Resolusi Nama (NRPT) dalam Kebijakan Grup. Untuk mendukung DNS privat, klien mengonfigurasi aturan NRPT lokal pada perangkat. Aturan ini mengalihkan kueri DNS yang relevan ke DNS privat. Jika aturan NRPT dikonfigurasi dalam Kebijakan Grup, aturan NRPT lokal yang dikonfigurasi oleh klien dan DNS privat tidak berfungsi.

Selain itu, aturan NRPT yang dikonfigurasi dan dihapus di versi Windows yang lebih lama membuat daftar aturan NRPT kosong dalam file registry.pol. Jika Objek Kebijakan Grup (GPO) ini diterapkan pada perangkat, daftar kosong akan mengambil alih aturan NRPT lokal dan DNS privat tidak berfungsi.

Sebagai mitigasi:

1. Jika kunci registri HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig ada di perangkat pengguna akhir, konfigurasikan GPO untuk menerapkan aturan NRPT.
2. Untuk menemukan GPO mana yang dikonfigurasi dengan aturan NRPT:
   1. Jalankan gpresult /h GPReport.html pada perangkat pengguna akhir dan cari konfigurasi NRPT.
   2. Jalankan skrip berikut yang mendeteksi jalur semua file registry.pol di sysvol yang berisi aturan NRPT.

Nota

Ingatlah untuk mengubah variabel sysvolPath untuk memenuhi konfigurasi jaringan Anda.

# =========================================================================
# THIS CODE-SAMPLE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER 
# EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES 
# OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
#
# This sample is not supported under any Microsoft standard support program 
# or service. The code sample is provided AS IS without warranty of any kind. 
# Microsoft further disclaims all implied warranties including, without 
# limitation, any implied warranties of merchantability or of fitness for a 
# particular purpose. The entire risk arising out of the use or performance
# of the sample and documentation remains with you. In no event shall 
# Microsoft, its authors, or anyone else involved in the creation, 
# production, or delivery of the script be liable for any damages whatsoever 
# (including, without limitation, damages for loss of business profits, 
# business interruption, loss of business information, or other pecuniary 
# loss) arising out of  the use of or inability to use the sample or 
# documentation, even if Microsoft has been advised of the possibility of 
# such damages.
#========================================================================= 

# Define the sysvol share path.
# Change the sysvol path per your organization, for example: 
# $sysvolPath = "\\dc1.contoso.com\sysvol\contoso.com\Policies"
$sysvolPath = "\\<DC FQDN>\sysvol\<domain FQDN>\Policies"  ## Edit

# Define the search string.
$searchString = "dnspolicyconfig"

# Define the name of the file to search.
$fileName = "registry.pol"

# Get all the registry.pol files under the sysvol share.
$files = Get-ChildItem -Path $sysvolPath -Recurse -Filter $fileName -File

# Array to store paths of files that contain the search string.
$matchingFiles = @()

# Loop through each file and check if it contains the search string.
foreach ($file in $files) {
    try {
        # Read the content of the file.
        $content = Get-Content -Path $file.FullName -Encoding Unicode
        
        # Check if the content contains the search string.
        if ($content -like "*$searchString*") {
            $matchingFiles += $file.FullName
        }
    } catch {
        Write-Host "Failed to read file $($file.FullName): $_"
    }
}

# Output the matching file paths.
if ($matchingFiles.Count -eq 0) {
    Write-Host "No files containing '$searchString' were found."
} else {
    Write-Host "Files containing '$searchString':"
    $matchingFiles | ForEach-Object { Write-Host $_ }
}

3. Edit setiap GPO yang ditemukan di bagian sebelumnya:
   1. Jika bagian NRPT kosong, buat aturan fiktif baru, perbarui kebijakan, hapus aturan fiktif, dan perbarui kebijakan lagi. Langkah-langkah ini menghapus DnsPolicyConfig dari file registry.pol (yang dibuat dalam versi Lama Windows).
   2. Jika bagian NRPT tidak kosong dan berisi aturan, konfirmasikan bahwa Anda masih memerlukan aturan ini. Jika Anda tidak memerlukan aturan, hapus aturan tersebut. Jika Anda memerlukan aturan dan menerapkan GPO pada perangkat dengan klien Akses Aman Global, opsi DNS privat tidak berfungsi.

Fallback koneksi

Jika ada kesalahan koneksi ke layanan awan, klien kembali ke koneksi Internet langsung atau memblokir koneksi, berdasarkan nilai pengerasan aturan yang cocok di profil penerusan.

Geolokasi

Untuk lalu lintas jaringan yang terowongan ke layanan cloud, server aplikasi (situs web) mendeteksi IP sumber koneksi sebagai alamat IP tepi (dan bukan sebagai alamat IP perangkat pengguna). Skenario ini dapat memengaruhi layanan yang mengandalkan geolokasi.

Ujung

Agar Microsoft Entra dan Microsoft Graph mendeteksi IP keluar publik asli (sumber) asli perangkat, pertimbangkan untuk mengaktifkan pemulihan IP Sumber.

Dukungan virtualisasi

Anda tidak dapat menginstal klien Akses Aman Global pada perangkat yang menghosting komputer virtual. Namun, Anda dapat menginstal klien Akses Aman Global pada komputer virtual, selama klien tidak diinstal pada komputer host. Untuk alasan yang sama, Subsistem Windows untuk Linux (WSL) tidak memperoleh lalu lintas dari klien yang diinstal pada komputer host.

dukungan Hyper-V:

1. Sakelar virtual eksternal: Klien Windows Akses Aman Global saat ini tidak mendukung komputer host yang memiliki sakelar virtual eksternal Hyper-V. Namun, klien dapat diinstal pada komputer virtual untuk terowongan lalu lintas ke Akses Aman Global.
2. Sakelar virtual internal: Klien Windows Akses Aman Global dapat diinstal pada host dan komputer tamu. Klien hanya membuat terowongan lalu lintas jaringan komputer tempat komputer diinstal. Dengan kata lain, klien yang diinstal pada komputer host tidak terowongan lalu lintas jaringan komputer tamu.

Klien Windows Akses Aman Global mendukung Azure Virtual Machines dan Azure Virtual Desktop (AVD).

Nota

Klien Windows Akses Aman Global tidak mendukung multi-sesi AVD.

Perantara

Jika proksi dikonfigurasi di tingkat aplikasi (seperti browser) atau di tingkat OS, konfigurasikan file konfigurasi otomatis proksi (PAC) untuk mengecualikan semua FQDN dan IP yang Anda harapkan terowongan klien.

Untuk mencegah permintaan HTTP untuk FQDN/IP tertentu terowongan ke proksi, tambahkan FQDN/IP ke file PAC sebagai pengecualian. (FQDN/IP ini berada di profil penerusan Akses Aman Global untuk penerowongan). Misalnya:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Penting

Jika klien Akses Aman Global berada di belakang proksi keluar, konfigurasikan pengecualian file PAC seperti yang dijelaskan sebelumnya untuk melewati proksi untuk lalu lintas Akses Aman Global.

Injeksi paket

Klien hanya membuat terowongan lalu lintas yang dikirim menggunakan soket. Ini tidak terowongan lalu lintas yang disuntikkan ke tumpukan jaringan menggunakan driver (misalnya, beberapa lalu lintas yang dihasilkan oleh Network Mapper (Nmap)). Paket yang disuntikkan langsung ke jaringan.

Multi-sesi

Klien Akses Aman Global tidak mendukung sesi bersamaan pada komputer yang sama. Batasan ini berlaku untuk server Protokol Desktop Jauh (RDP) dan solusi Infrastruktur Desktop Virtual (VDI) seperti Azure Virtual Desktop (AVD) yang dikonfigurasi untuk multi-sesi.

QUIC tidak didukung untuk Akses Internet

Karena QUIC belum didukung untuk Akses Internet, lalu lintas ke port 80 UDP dan 443 UDP tidak dapat diterowongkan.

Ujung

QUIC saat ini didukung dalam beban kerja Private Access dan Microsoft 365.

Administrator dapat menonaktifkan protokol QUIC yang memicu klien untuk kembali ke HTTPS melalui TCP, yang didukung penuh di Akses Internet. Untuk informasi selengkapnya, lihat QUIC tidak didukung untuk Akses Internet.

Konektivitas WSL 2

Ketika klien Akses Aman Global untuk Windows diaktifkan pada komputer host, koneksi keluar dari Lingkungan Subsistem Windows untuk Linux (WSL) 2 mungkin diblokir. Untuk memperbaiki masalah ini, buat .wslconfig file yang mengatur dnsTunneling ke false. Dengan cara ini, semua lalu lintas dari WSL melewati Akses Aman Global dan langsung masuk ke jaringan. Untuk informasi selengkapnya, lihat Konfigurasi pengaturan tingkat lanjut di WSL.

Batasan yang diketahui untuk klien Akses Aman Global untuk macOS meliputi:

Sistem Nama Domain Aman (DNS)

Jika DNS Aman diaktifkan di browser atau di macOS dan server DNS mendukung DNS Aman, maka klien tidak membuat lalu lintas terowongan yang diatur untuk diperoleh oleh FQDN. (Lalu lintas jaringan yang diperoleh oleh IP tidak terpengaruh dan terowongan sesuai dengan profil penerusan.) Untuk mengurangi masalah DNS Aman, nonaktifkan DNS Aman, atur server DNS yang tidak mendukung DNS Aman, atau buat aturan berdasarkan IP.

Fallback koneksi

Jika ada kesalahan koneksi ke layanan awan, klien kembali ke koneksi Internet langsung atau memblokir koneksi, berdasarkan nilai pengerasan aturan yang cocok di profil penerusan.

Geolokasi alamat IP sumber

Untuk lalu lintas jaringan yang terowongan ke layanan cloud, server aplikasi (situs web) mendeteksi IP sumber koneksi sebagai alamat IP tepi (dan bukan sebagai alamat IP perangkat pengguna). Skenario ini dapat memengaruhi layanan yang mengandalkan geolokasi.

Ujung

Agar Office 365 dan Microsoft Entra mendeteksi IP sumber sejati perangkat, pertimbangkan untuk mengaktifkan pemulihan IP Sumber .

Dukungan virtualisasi dengan UTM

• Jika jaringan dalam mode jembatan dan klien Akses Aman Global diinstal pada komputer host:
  • Jika klien Akses Aman Global diinstal pada komputer virtual, lalu lintas jaringan komputer virtual tunduk pada kebijakan lokalnya. Kebijakan komputer host tidak memengaruhi profil penerusan pada komputer virtual.
  • Jika klien Akses Aman Global tidak diinstal pada komputer virtual, lalu lintas jaringan komputer virtual dilewati.
• Klien Global Secure Access tidak mendukung mode berbagi jaringan karena mungkin dapat memblokir lalu lintas jaringan mesin virtual.
• Jika jaringan dalam mode bersama , Anda dapat menginstal klien Akses Aman Global pada komputer virtual yang menjalankan macOS, selama klien tidak juga diinstal pada komputer host.

QUIC tidak didukung untuk Akses Internet

Karena QUIC belum didukung untuk Akses Internet, lalu lintas ke port 80 UDP dan 443 UDP tidak dapat diterowongkan.

Ujung

QUIC saat ini didukung dalam beban kerja Private Access dan Microsoft 365. Administrator dapat menonaktifkan protokol QUIC pada browser, memicu klien untuk kembali ke HTTPS melalui TCP, yang sepenuhnya didukung di Akses Internet. Untuk informasi selengkapnya, lihat QUIC tidak didukung untuk Akses Internet.

Batasan yang diketahui untuk klien Akses Aman Global untuk Android meliputi:

• Perangkat seluler yang menjalankan Android (edisi Go) saat ini tidak didukung.
• Pertahanan Microsoft untuk Titik Akhir di Android di perangkat bersama saat ini tidak didukung.
• Sistem Nama Domain Privat (DNS) harus dinonaktifkan pada perangkat. Anda biasanya dapat menemukan pengaturan ini di Jaringan Sistem > dan Internet.
• Menggunakan produk perlindungan titik akhir non-Microsoft bersama Pertahanan Microsoft untuk Titik Akhir dapat menyebabkan masalah performa dan kesalahan sistem yang tidak dapat diprediksi.
• Koeksistensi Akses Aman Global dengan Microsoft Tunnel saat ini tidak didukung. Untuk informasi selengkapnya, lihat Prasyarat untuk Terowongan Microsoft di Intune.
• Klien Akses Aman Global saat ini tidak mendukung DNS aman dalam versinya yang berbeda, seperti DNS melalui HTTPS (DoH), DNS melalui TLS (DoT), atau DNS Security Extensions (DNSSEC). Untuk mengonfigurasi klien sehingga dapat memperoleh lalu lintas jaringan, Anda harus menonaktifkan DNS aman.

Batasan yang diketahui untuk klien Akses Aman Global untuk iOS meliputi:

• Penerowongan lalu lintas Koneksi Internet Protokol Datagram Pengguna Cepat (UDP) (QUIC) (kecuali untuk Exchange Online) tidak didukung.
• Koeksistensi Akses Aman Global dengan Microsoft Tunnel saat ini tidak didukung. Untuk informasi selengkapnya, lihat Prasyarat untuk Terowongan Microsoft di Intune.
• Streaming video berkualitas tinggi dapat menyebabkan jeda sesekali
• Klien Akses Aman Global saat ini tidak mendukung DNS aman dalam versinya yang berbeda, seperti DNS melalui HTTPS (DoH), DNS melalui TLS (DoT), atau DNS Security Extensions (DNSSEC). Untuk mengonfigurasi klien sehingga dapat memperoleh lalu lintas jaringan, Anda harus menonaktifkan DNS aman.

Batasan jaringan jarak jauh

Batasan yang diketahui untuk jaringan jarak jauh meliputi:

• Jumlah maksimum jaringan jarak jauh per penyewa adalah 200, dan jumlah maksimum tautan perangkat per jaringan jarak jauh adalah 25. Untuk meningkatkan batas ini lebih lanjut untuk penyewa Anda, hubungi Dukungan Microsoft.
• Akses Bersyarat Universal memungkinkan Anda menerapkan kontrol identitas seperti mewajibkan autentikasi multifaktor, memerlukan perangkat yang sesuai, atau menentukan risiko masuk yang dapat diterima ke lalu lintas jaringan—bukan hanya aplikasi cloud. Kontrol identitas ini berlaku untuk perangkat dengan klien Global Secure Access terinstal. Konektivitas jaringan jarak jauh adalah pendekatan tanpa klien di mana pelanggan membuat terowongan IPsec dari peralatan lokal mereka ke layanan edge Global Secure Access. Lalu lintas jaringan dari semua perangkat di jaringan jarak jauh (atau kantor cabang) dikirim ke Global Secure Access melalui terowongan IPsec. Dengan kata lain, kebijakan Akses Bersyarat untuk Microsoft atau lalu lintas Internet hanya diterapkan ketika pengguna memiliki klien Akses Aman Global.
• Gunakan klien Akses Aman Global untuk Akses Pribadi Microsoft Entra. Konektivitas jaringan jarak jauh mendukung lalu lintas Microsoft dan profil penerusan lalu lintas Akses Internet.
• Internet melalui konektivitas jaringan jarak jauh hanya didukung di wilayah tertentu yang tercantum dalam drop-down Wilayah saat Anda membuat jaringan jarak jauh.
• Fitur Bypass Kustom di profil penerusan lalu lintas Internet tidak berfungsi dengan konektivitas jaringan jarak jauh. Anda harus melewati URL tertentu secara manual dari Customer Premises Equipment (CPE).

Batasan kontrol akses

Batasan yang diketahui untuk kontrol akses meliputi:

• Menerapkan kebijakan Akses Bersyar ke lalu lintas Akses Privat saat ini tidak didukung. Untuk memodelkan perilaku ini, terapkan kebijakan Akses Bersyarat di tingkat aplikasi untuk aplikasi Akses Cepat dan Akses Aman Global. Untuk informasi selengkapnya, lihat Menerapkan Akses Bersyarah ke aplikasi Akses Privat.
• Lalu lintas Microsoft dapat diakses melalui konektivitas jaringan jarak jauh tanpa Klien Akses Aman Global; namun, kebijakan Akses Bersyarat tidak diterapkan. Dengan kata lain, kebijakan Akses Bersyar untuk lalu lintas Microsoft Akses Aman Global hanya diberlakukan saat pengguna memiliki Klien Akses Aman Global.
• Pemeriksaan jaringan yang sesuai saat ini tidak didukung untuk aplikasi Akses Privat.
• Saat pemulihan IP sumber diaktifkan, Anda hanya dapat melihat IP keluar publik (sumber) asli. Alamat IP layanan Akses Aman Global tidak terlihat. Jika Anda ingin melihat alamat IP layanan Akses Aman Global, nonaktifkan pemulihan IP sumber.
• Saat ini hanya sumber daya Microsoft yang mengevaluasi kebijakan Akses Bersyarkat berbasis lokasi IP, karena alamat IP sumber asli tidak diketahui oleh sumber daya non-Microsoft yang dilindungi oleh evaluasi akses berkelanjutan (CAE).
• Jika Anda menggunakan penegakan lokasi ketat CAE, pengguna akan diblokir meskipun berada dalam rentang IP tepercaya. Untuk mengatasi kondisi ini, ikuti salah satu rekomendasi berikut:
  • Jika Anda memiliki kebijakan Akses Bersyar berbasis lokasi IP yang menargetkan sumber daya non-Microsoft, jangan aktifkan penegakan lokasi yang ketat.
  • Pastikan Bahwa Restorasi IP Sumber mendukung lalu lintas. Jika tidak, jangan kirim lalu lintas yang relevan melalui Akses Aman Global.
• Saat ini, menghubungkan melalui klien Global Secure Access diperlukan untuk memperoleh lalu lintas Private Access.
• Jika Anda mengaktifkan Pembatasan Penyewa Universal dan mengakses pusat admin Microsoft Entra untuk penyewa pada daftar yang diizinkan, Anda mungkin melihat kesalahan "Akses ditolak". Untuk memperbaiki kesalahan ini, tambahkan bendera fitur berikut ke pusat admin Microsoft Entra:
  • ?feature.msaljs=true&exp.msaljsexp=true
  • Misalnya, Anda bekerja untuk Contoso. Fabrikam, penyewa mitra, ada dalam daftar izinkan. Anda mungkin melihat pesan kesalahan untuk pusat admin Microsoft Entra penyewa Fabrikam.
    • Jika Anda menerima pesan kesalahan "akses ditolak" untuk URL https://entra.microsoft.com/, tambahkan bendera fitur sebagai berikut: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
• Hanya klien Global Secure Access untuk Windows (versi 1.8.239.0 atau lebih baru) yang mendukung Universal CAE. Pada platform lain, klien Akses Aman Global menggunakan token akses reguler.
• ID Microsoft Entra mengeluarkan token berumur pendek untuk Akses Aman Global. Token akses CAE Universal berlangsung 60 hingga 90 menit dan mendukung pencabutan hampir real-time.
• Dibutuhkan sekitar dua hingga lima menit agar sinyal ID Microsoft Entra mencapai klien Akses Aman Global dan meminta pengguna untuk mengautentikasi ulang.
• Klien Global Secure Access meminta pengguna tiga kali untuk mengautentikasi, dengan masa tenggang 2 menit setiap kali. Ini berarti bahwa seluruh alur CAE mencakup 4-5 menit untuk memberi sinyal klien Akses Aman Global, lalu hingga masa tenggang 6 menit, menghasilkan pemutusan sambungan setelah sekitar 10 menit.

Batasan profil penerusan lalu lintas

Batasan yang diketahui untuk profil penerusan lalu lintas meliputi:

• Saat ini, lalu lintas Akses Pribadi hanya dapat diperoleh dengan klien Akses Aman Global. Lalu lintas Akses Privat tidak dapat diperoleh dari jaringan jarak jauh.
• Lalu lintas kanalisasi ke tujuan Akses Pribadi berdasarkan alamat IP hanya berfungsi untuk rentang IP di luar subnet lokal perangkat pengguna akhir.
• Anda harus menonaktifkan DNS melalui HTTPS (DNS Aman) ke lalu lintas jaringan terowongan berdasarkan aturan nama domain yang sepenuhnya memenuhi syarat (FQDN) di profil penerusan lalu lintas.

Batasan Akses Privat

Batasan yang diketahui untuk Akses Privat meliputi:

• Hindari segmen aplikasi yang tumpang tindih antara aplikasi Global Secure Access.
• Penerowongan lalu lintas ke tujuan Akses Privat berdasarkan alamat IP hanya didukung untuk rentang IP di luar subnet lokal perangkat pengguna akhir.
• Saat ini, lalu lintas Akses Privat hanya dapat diperoleh dengan klien Akses Aman Global. Jaringan jarak jauh tidak dapat ditetapkan ke profil penerusan lalu lintas akses privat.

Batasan Akses Internet

Batasan yang diketahui untuk Akses Internet meliputi:

• Admin dapat membuat hingga 256 profil keamanan per penyewa, hingga 1.000 kebijakan per penyewa, dan hingga 1.000 aturan per penyewa.
• Admin dapat mengonfigurasi 8.000 total tujuan (yang dapat berupa kombinasi IP, FQDN, URL, atau kategori web) di setiap penyewa. Misalnya, dalam satu penyewa dapat membuat hingga dua kebijakan yang menargetkan masing-masing 4.000 domain atau hingga 1.000 kebijakan dengan masing-masing delapan domain.
• Inspeksi TLS mendukung hingga 100 kebijakan inspeksi TLS, 1.000 aturan, dan 8.000 tujuan.
• Platform ini mengasumsikan port standar untuk lalu lintas HTTP/S (port 80 dan 443).
• Klien Akses Aman Global tidak mendukung IPv6. Klien hanya mengowongan lalu lintas IPv4 dan mentransfer lalu lintas IPv6 langsung ke jaringan. Untuk memastikan bahwa semua lalu lintas dirutekan ke Global Secure Access, atur properti adaptor jaringan ke IPv4 yang disukai.
• UDP belum didukung pada platform ini.
• Lalu lintas yang tersedia untuk akuisisi di profil lalu lintas Microsoft tidak tersedia untuk akuisisi di profil lalu lintas Akses Internet.

Batasan akses tamu B2B (pratinjau)

• Klien Global Secure Access tidak mendukung Azure Virtual Desktop multi-sesi.

Keterbatasan Akses Aman Global Di Cloud Pemerintah

Akses Aman Global tidak tersedia di cloud komunitas Pemerintah AS High (GCC-H), cloud Departemen Pertahanan, dan lingkungan cloud Pemerintah/Sovereign lainnya.

Untuk penggunaan di cloud komunitas Pemerintah AS (GCC), batasan/penafian yang diketahui meliputi:

• Bersertifikat Standar Pemrosesan Informasi Non Federal (FIPS) 140-2: Perhatikan bahwa meskipun layanan GSA terakreditasi FedRAMP High, layanan GSA belum bersertifikat FIPS 140-2. Microsoft secara aktif berupaya mencapai akreditasi/sertifikasi FIPS, dan proses ini saat ini sedang berlangsung. Pelanggan harus mempertimbangkan status ini saat mengevaluasi persyaratan kepatuhan. FIPS 140-2 adalah standar pemerintah AS yang mendefinisikan persyaratan keamanan minimum FedRAMP untuk modul kriptografi dalam produk dan sistem. Untuk informasi selengkapnya, lihat Federal Information Processing Standard (FIPS) 140.
• Persyaratan Residensi Data: Pelanggan harus mempertimbangkan persyaratan residensi data dengan cermat saat mengevaluasi solusi GSA untuk kebutuhan mereka. Saat menggunakan GSA, ada kemungkinan bahwa data Anda (hingga dan termasuk konten pelanggan) mungkin dihentikan dan diproses di luar Amerika Serikat, terutama dalam kasus di mana pengguna mengakses GSA saat bepergian ke luar AS dan wilayahnya. Selain itu, data juga dapat dihentikan dan diproses TLS di luar AS ketika GSA mengarahkan lalu lintas melalui lokasi tepi terdekat yang tersedia, yang mungkin berada di luar perbatasan AS tergantung pada beberapa faktor. Faktor penghentian dan pemrosesan TLS di luar AS dapat mencakup namun tidak terbatas pada: lokasi fisik pengguna, kedekatan dengan lokasi edge, latensi jaringan, ketersediaan layanan, pertimbangan kinerja, konfigurasi pelanggan, dan sebagainya. Sebagai contoh, pengguna di dekat perbatasan AS dengan wilayah non-AS dapat terhubung ke edge non-AS, tempat inspeksi data dan penegakan kebijakan dilakukan.