Genel Güvenli Erişim için bilinen sınırlamalar

Genel Güvenli Erişim, hem Microsoft Entra İnternet Erişimi hem de Microsoft Entra Özel Erişim için kullanılan birleştirici terimdir.

Bu makalede, Genel Güvenli Erişim kullanırken karşılaşabileceğiniz bilinen sorunlar ve sınırlamalar açıklanır.

Genel Güvenli Erişim istemci sınırlamaları

Genel Güvenli Erişim istemcisi birden çok platformda kullanılabilir. Her platform için bilinen sınırlamalar hakkında ayrıntılı bilgi için her sekmeyi seçin.

Windows istemcisi

Windows için Genel Güvenli Erişim istemcisinin bilinen sınırlamaları şunlardır:

Güvenli Etki Alanı Adı Sistemi (DNS)

Genel Güvenli Erişim istemcisi şu anda HTTPS üzerinden DNS (DoH), TLS üzerinden DNS (DoT) veya DNS Güvenlik Uzantıları (DNSSEC) gibi farklı sürümlerinde güvenli DNS'yi desteklememektedir. İstemciyi ağ trafiği elde etmek üzere yapılandırmak için güvenli DNS'yi devre dışı bırakmanız gerekir. Tarayıcıda DNS'yi devre dışı bırakmak için bkz.tarayıcılarda güvenli DNS devre dışı .

TCP üzerinden DNS

DNS, ad çözümlemesi için 53 UDP numaralı bağlantı noktasını kullanır. Bazı tarayıcıların 53 TCP numaralı bağlantı noktasını da destekleyen kendi DNS istemcisi vardır. Global Secure Access istemcisi şu anda DNS port 53 TCP'yi desteklemiyor. Azaltma olarak, aşağıdaki kayıt defteri değerlerini ayarlayarak tarayıcının DNS istemcisini devre dışı bırakın:

• Microsoft Edge
  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
• Krom
  [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
  Ayrıca, gezinmeyi chrome://flags ekleyin ve devre dışı Async DNS resolverbırakın.

Grup İlkesi'nde Ad Çözümleme İlkesi Tablo kuralları desteklenmiyor

Windows için Genel Güvenli Erişim istemcisi, Grup İlkesi'nde Ad Çözümleme İlkesi Tablosu (NRPT) kurallarını desteklemez. İstemci, özel DNS'yi desteklemek için cihazda yerel NRPT kurallarını yapılandırıyor. Bu kurallar, ilgili DNS sorgularını özel DNS'ye yönlendirir. NRPT kuralları Grup İlkesi'nde yapılandırılırsa, istemci tarafından yapılandırılan yerel NRPT kurallarını geçersiz kılar ve özel DNS çalışmaz.

Ayrıca, Windows'nin eski sürümlerinde yapılandırılan ve silinen NRPT kuralları, registry.pol dosyasında boş bir NRPT kuralları listesi oluşturdu. Bu Grup İlkesi Nesnesi (GPO) cihaza uygulanırsa, boş liste yerel NRPT kurallarını geçersiz kılar ve özel DNS çalışmaz.

Azaltma olarak:

1. Kayıt defteri anahtarı HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig son kullanıcı cihazında varsa, NRPT kurallarını uygulamak için bir GPO yapılandırın.
2. NRPT kurallarıyla yapılandırılan GPO'ları bulmak için:
   1. son kullanıcı cihazında gpresult /h GPReport.html çalıştırın ve NRPT yapılandırmasını arayın.
   2. NRPT kuralları içeren registry.pol tüm sysvol dosyalarının yollarını algılayan aşağıdaki betiği çalıştırın.

Not

Ağınızın yapılandırmasını karşılamak için sysvolPath değişkenini değiştirmeyi unutmayın.

# =========================================================================
# THIS CODE-SAMPLE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER 
# EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES 
# OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
#
# This sample is not supported under any Microsoft standard support program 
# or service. The code sample is provided AS IS without warranty of any kind. 
# Microsoft further disclaims all implied warranties including, without 
# limitation, any implied warranties of merchantability or of fitness for a 
# particular purpose. The entire risk arising out of the use or performance
# of the sample and documentation remains with you. In no event shall 
# Microsoft, its authors, or anyone else involved in the creation, 
# production, or delivery of the script be liable for any damages whatsoever 
# (including, without limitation, damages for loss of business profits, 
# business interruption, loss of business information, or other pecuniary 
# loss) arising out of  the use of or inability to use the sample or 
# documentation, even if Microsoft has been advised of the possibility of 
# such damages.
#========================================================================= 

# Define the sysvol share path.
# Change the sysvol path per your organization, for example: 
# $sysvolPath = "\\dc1.contoso.com\sysvol\contoso.com\Policies"
$sysvolPath = "\\<DC FQDN>\sysvol\<domain FQDN>\Policies"  ## Edit

# Define the search string.
$searchString = "dnspolicyconfig"

# Define the name of the file to search.
$fileName = "registry.pol"

# Get all the registry.pol files under the sysvol share.
$files = Get-ChildItem -Path $sysvolPath -Recurse -Filter $fileName -File

# Array to store paths of files that contain the search string.
$matchingFiles = @()

# Loop through each file and check if it contains the search string.
foreach ($file in $files) {
    try {
        # Read the content of the file.
        $content = Get-Content -Path $file.FullName -Encoding Unicode
        
        # Check if the content contains the search string.
        if ($content -like "*$searchString*") {
            $matchingFiles += $file.FullName
        }
    } catch {
        Write-Host "Failed to read file $($file.FullName): $_"
    }
}

# Output the matching file paths.
if ($matchingFiles.Count -eq 0) {
    Write-Host "No files containing '$searchString' were found."
} else {
    Write-Host "Files containing '$searchString':"
    $matchingFiles | ForEach-Object { Write-Host $_ }
}

3. Önceki bölümde bulunan GPO'ların her birini düzenleyin:
   1. NRPT bölümü boşsa yeni bir tiftif kural oluşturun, ilkeyi güncelleştirin, tiftif kuralı silin ve ilkeyi yeniden güncelleştirin. Bu adımlar DnsPolicyConfig dosyasından (Windows eski bir sürümünde oluşturulan) registry.pol kaldırır.
   2. NRPT bölümü boş değilse ve kurallar içeriyorsa, yine de bu kurallara ihtiyacınız olduğunu onaylayın. kurallara ihtiyacınız bunları silin. Kurallara ihtiyacınız ve Genel Güvenli Erişim istemcisine sahip bir cihaza GPO uygularsanız, özel DNS seçeneği çalışmaz.

Bağlantı geri dönüşü

Bulut hizmetinde bağlantı hatası varsa istemci, iletme profilindeki eşleşen kuralın sağlamlaştırma değerine bağlı olarak doğrudan İnternet bağlantısına geri döner veya bağlantıyı engeller.

Coğrafi Konum

Bulut hizmetine tünellenen ağ trafiği için, uygulama sunucusu (web sitesi) bağlantının kaynak IP'sini kullanıcının IP adresi olarak değil, kenarın IP adresi olarak algılar. Bu senaryo coğrafi konum kullanan hizmetleri etkileyebilir.

Bahşiş

Microsoft Entra ve Microsoft Graph cihazın gerçek özgün genel çıkış (kaynak) IP'sini algılamak için Source IP geri yükleme etkinleştirmeyi göz önünde bulundurun.

Sanallaştırma desteği

Sanal makineleri barındıran bir cihaza Genel Güvenli Erişim istemcisini yükleyemezsiniz. Ancak, istemci konak makinede yüklü olmadığı sürece Genel Güvenli Erişim istemcisini bir sanal makineye yükleyebilirsiniz. Aynı nedenle, bir Linux için Windows Alt Sistemi (WSL) konak makinede yüklü bir istemciden trafik almaz.

Hyper-V desteği:

1. Dış sanal anahtar: Genel Güvenli Erişim Windows istemcisi şu anda Hyper-V dış sanal anahtarı olan konak makineleri desteklememektedir. Ancak istemci, trafiği Genel Güvenli Erişime tünel eklemek için sanal makinelere yüklenebilir.
2. İç sanal anahtar: Genel Güvenli Erişim Windows istemcisi konak ve konuk makinelere yüklenebilir. İstemci yalnızca yüklü olduğu makinenin ağ trafiğine tünel oluşturur. Başka bir deyişle, konak makinede yüklü bir istemci konuk makinelerin ağ trafiğine tünel oluşturmaz.

Genel Güvenli Erişim Windows istemcisi Azure Sanal Makineler ve Azure Sanal Masaüstü (AVD) destekler.

Not

Genel Güvenli Erişim Windows istemcisi AVD çoklu oturumunu desteklemez.

Vekil Sunucu

Bir ara sunucu uygulama düzeyinde (tarayıcı gibi) veya işletim sistemi düzeyinde yapılandırılmışsa, istemcinin tünel oluşturmasını beklediğiniz tüm FQDN'leri ve IP'leri dışlamak için bir ara sunucu otomatik yapılandırma (PAC) dosyası yapılandırın.

Belirli FQDN'ler/IP'ler için HTTP isteklerinin ara sunucuya tünel oluşturmasını önlemek için FQDN'leri/IP'leri ÖZEL durumlar olarak PAC dosyasına ekleyin. (Bu FQDN'ler/IP'ler tünel için Genel Güvenli Erişim'in iletme profilindedir). Mesela:

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

Önemli

Genel Güvenli Erişim istemcisi giden ara sunucu arkasındaysa, Genel Güvenli Erişim trafiği için ara sunucuyu atlamak üzere daha önce açıklandığı gibi PAC dosyası dışlamalarını yapılandırın.

Paket ekleme

İstemci yalnızca yuvalar kullanılarak gönderilen trafiği tüneller. Bir sürücü kullanarak ağ yığınına eklenen trafiğe tünel oluşturmaz (örneğin, Ağ Eşleyicisi (Nmap) tarafından oluşturulan trafiğin bir kısmı). Eklenen paketler doğrudan ağa gider.

Çoklu oturum

Genel Güvenli Erişim istemcisi aynı makinedeki eşzamanlı oturumları desteklemez. Bu sınırlama, Uzak Masaüstü Protokolü (RDP) sunucuları ve çoklu oturum için yapılandırılmış Azure Sanal Masaüstü (AVD) gibi Sanal Masaüstü Altyapısı (VDI) çözümleri için geçerlidir.

QUIC İnternet Erişimi için desteklenmiyor

QUIC henüz İnternet Erişimi için desteklenmediğinden 80 UDP ve 443 UDP numaralı bağlantı noktalarına gelen trafik tünellenemez.

Bahşiş

QUIC şu anda Özel Erişim ve Microsoft 365 iş yüklerinde desteklenmektedir.

Yöneticiler, istemcilerin TCP üzerinden HTTPS'ye geri dönmesini tetikleyen QUIC protokolünü devre dışı bırakabilir ve bu da İnternet Erişimi'nde tam olarak desteklenir. Daha fazla bilgi için bkz. İnternet Erişimiiçin desteklenmeyen QUIC.

WSL 2 bağlantısı

Konak makinede Windows için Genel Güvenli Erişim istemcisi etkinleştirildiğinde, Linux için Windows Alt Sistemi (WSL) 2 ortamından giden bağlantılar engellenebilir. Bu sorunu düzeltmek için, dnsTunneling'i .wslconfig olarak ayarlayan bir dosya oluşturun. Bu şekilde, WSL'den gelen tüm trafik Genel Güvenli Erişimi atlar ve doğrudan ağa gider. Daha fazla bilgi için bkz. WSL'de gelişmiş ayarlar yapılandırması.

macOS için Genel Güvenli Erişim istemcisinin bilinen sınırlamaları şunlardır:

Güvenli Etki Alanı Adı Sistemi (DNS)

Tarayıcıda veya macOS'ta Güvenli DNS etkinleştirildiyse ve DNS sunucusu Güvenli DNS'yi destekliyorsa, istemci FQDN tarafından alınacak trafik kümesine tünel oluşturmaz. (IP tarafından alınan ağ trafiği etkilenmez ve iletme profiline göre tünel oluşturulur.) Güvenli DNS sorununu azaltmak için Güvenli DNS'yi devre dışı bırakın, Güvenli DNS'yi desteklemeyen bir DNS sunucusu ayarlayın veya IP'ye dayalı kurallar oluşturun.

Bağlantı geri dönüşü

Bulut hizmetinde bağlantı hatası varsa istemci, iletme profilindeki eşleşen kuralın sağlamlaştırma değerine bağlı olarak doğrudan İnternet bağlantısına geri döner veya bağlantıyı engeller.

Kaynak IP adresinin coğrafi konumu

Bulut hizmetine tünellenen ağ trafiği için, uygulama sunucusu (web sitesi) bağlantının kaynak IP'sini kullanıcının IP adresi olarak değil, kenarın IP adresi olarak algılar. Bu senaryo coğrafi konum kullanan hizmetleri etkileyebilir.

Bahşiş

Office 365 ve Microsoft Entra cihazın gerçek kaynak IP'sini algılamak için Source IP geri yükleme etkinleştirmeyi göz önünde bulundurun.

UTM ile sanallaştırma desteği

• Ağ köprü modundaysa ve konak makinede Genel Güvenli Erişim istemcisi yüklüyse:
  • Sanal makinede Genel Güvenli Erişim istemcisi yüklüyse, sanal makinenin ağ trafiği yerel ilkesine tabidir. Konak makinenin ilkesi, sanal makinedeki iletme profilini etkilemez.
  • Sanal makinede Genel Güvenli Erişim istemcisi yüklü değilse, sanal makinenin ağ trafiği atlanır.
• Genel Güvenli Erişim istemcisi, sanal makinenin ağ trafiğini engelleyebileceği için ağ paylaşılan modunu desteklemez.
• Ağ paylaşılan moddaysa, istemci konak makinede de yüklü olmadığı sürece Genel Güvenli Erişim istemcisini macOS çalıştıran bir sanal makineye yükleyebilirsiniz.

QUIC İnternet Erişimi için desteklenmiyor

QUIC henüz İnternet Erişimi için desteklenmediğinden 80 UDP ve 443 UDP numaralı bağlantı noktalarına gelen trafik tünellenemez.

Bahşiş

QUIC şu anda Özel Erişim ve Microsoft 365 iş yüklerinde desteklenmektedir. Yöneticiler tarayıcılarda QUIC protokolünü devre dışı bırakabilir ve istemcilerin TCP üzerinden HTTPS'ye geri dönmesini tetikleyebilir ve bu da İnternet Erişimi'nde tam olarak desteklenir. Daha fazla bilgi için bkz. İnternet Erişimiiçin desteklenmeyen QUIC.

Android için Genel Güvenli Erişim istemcisinin bilinen sınırlamaları şunlardır:

• Android (Go sürümü) çalıştıran mobil cihazlar şu anda desteklenmiyor.
• Android paylaşılan cihazlarda Uç Nokta için Microsoft Defender şu anda desteklenmiyor.
• Cihazda Özel Etki Alanı Adı Sistemi (DNS) devre dışı bırakılmalıdır. Bu ayarı genellikle Sistem > Ağı ve İnternet'te bulabilirsiniz.
• Uç Nokta için Microsoft Defender Microsoft olmayan uç nokta koruma ürünlerinin kullanılması performans sorunlarına ve öngörülemeyen sistem hatalarıyla karşılaşabilir.
• Microsoft Tüneli ile Genel Güvenli Erişim birlikte kullanılabilirliği şu anda desteklenmiyor. Daha fazla bilgi için bkz. Intune Microsoft Tüneli için Prerequisites.
• Genel Güvenli Erişim istemcisi şu anda HTTPS üzerinden DNS (DoH), TLS üzerinden DNS (DoT) veya DNS Güvenlik Uzantıları (DNSSEC) gibi farklı sürümlerinde güvenli DNS'yi desteklememektedir. İstemciyi ağ trafiği elde etmek üzere yapılandırmak için güvenli DNS'yi devre dışı bırakmanız gerekir.

iOS istemcisi

iOS için Genel Güvenli Erişim istemcisinin bilinen sınırlamaları şunlardır:

• Hızlı Kullanıcı Veri Birimi Protokolü (UDP) İnternet Bağlantıları (QUIC) trafiğine tünel oluşturma (Exchange Online hariç) desteklenmez.
• Microsoft Tüneli ile Genel Güvenli Erişim birlikte kullanılabilirliği şu anda desteklenmiyor. Daha fazla bilgi için bkz. Intune Microsoft Tüneli için Prerequisites.
• Yüksek kaliteli video akışı zaman zaman duraklamalara neden olabilir
• Genel Güvenli Erişim istemcisi şu anda HTTPS üzerinden DNS (DoH), TLS üzerinden DNS (DoT) veya DNS Güvenlik Uzantıları (DNSSEC) gibi farklı sürümlerinde güvenli DNS'yi desteklememektedir. İstemciyi ağ trafiği elde etmek üzere yapılandırmak için güvenli DNS'yi devre dışı bırakmanız gerekir.

Uzak ağ sınırlamaları

Uzak ağlar için bilinen sınırlamalar şunlardır:

• Kiracı başına maksimum uzak ağ sayısı 200, uzak ağ başına maksimum cihaz bağlantısı sayısı ise 25'tir. Kiracınızda bu sınırları daha fazla artırmak için Microsoft Desteği ile iletişime geçin.
• Evrensel Koşullu Erişim, çok faktörlü kimlik doğrulama gerektirme, uyumlu bir cihaz gerektirmek veya sadece bulut uygulamalarına değil, ağ trafiğine kabul edilebilir bir giriş riski tanımlamak gibi kimlik kontrollerini uygulamanıza olanak tanır. Bu kimlik kontrolleri, Global Secure Access istemcisi yüklü cihazlar için geçerlidir. Uzaktan ağ bağlantısı, müşterilerin yerel ekipmanlarından Global Secure Access kenar servisine bir IPsec tüneli oluşturduğu müşterisiz bir yaklaşımdır. O uzak ağdaki (veya şube ofisi) tüm cihazlardan gelen ağ trafiği, IPsec tüneli üzerinden Global Secure Access'e gönderilir. Başka bir deyişle, Microsoft veya İnternet trafiği için Koşullu Erişim ilkeleri yalnızca kullanıcının Genel Güvenli Erişim istemcisi olduğunda uygulanır.
• Microsoft Entra Özel Erişim için Genel Güvenli Erişim istemcisini kullanın. Uzak ağ bağlantısı, Microsoft trafiğini ve İnternet Erişimi trafik iletme profillerini destekler.
• İnternet trafiği yönlendirme profilindeki Özel Bypass özelliği uzaktan ağ bağlantısında çalışmaz. Müşteri Tesisi Ekipmanınızdan (CPE) belirli URL'leri manuel olarak atlamalısınız.

Erişim denetimleri sınırlamaları

Erişim denetimleri için bilinen sınırlamalar şunlardır:

• Özel Erişim trafiğine Koşullu Erişim ilkeleri uygulama şu anda desteklenmiyor. Bu davranışı modellemek için, Hızlı Erişim ve Küresel Güvenli Erişim uygulamaları için uygulama seviyesinde Koşullu Erişim politikası uygulanır. Daha fazla bilgi için bkz. Özel Erişim uygulamalarına Koşullu Erişim Uygulama.
• Microsoft trafiğe Genel Güvenli Erişim İstemcisi olmadan uzak ağ bağlantısı üzerinden erişilebilir; ancak Koşullu Erişim ilkesi uygulanmaz. Başka bir deyişle, Genel Güvenli Erişim Microsoft trafiği için Koşullu Erişim ilkeleri yalnızca bir kullanıcının Genel Güvenli Erişim İstemcisi olduğunda uygulanır.
• Uyumlu ağ denetimi şu anda Özel Erişim uygulamaları için desteklenmiyor.
• Kaynak IP geri yükleme etkinleştirildiğinde, yalnızca özgün genel çıkış (kaynak) IP'sini görebilirsiniz. Genel Güvenli Erişim hizmetinin IP adresi görünmez. Genel Güvenli Erişim hizmeti IP adresini görmek istiyorsanız kaynak IP geri yüklemesini devre dışı bırakın.
• Şu anda yalnızca Microsoft resources IP konumu tabanlı Koşullu Erişim ilkelerini değerlendirin çünkü özgün kaynak IP adresi sürekli erişim değerlendirmesi (CAE) tarafından korunan Microsoft olmayan kaynaklar tarafından bilinmemektedir.
• CAE'nin sıkı konum denetimini kullanırsanız, kullanıcılar güvenilir IP aralığında olmalarına rağmen engellener. Bu durumu çözmek için şu önerilerden birini izleyin:
  • Microsoft olmayan kaynakları hedefleyen IP konumu tabanlı Koşullu Erişim ilkeleriniz varsa, katı konum zorlamayı etkinleştirmeyin.
  • Kaynak IP Geri Yükleme'nin trafiği desteklediğinden emin olun. Aksi takdirde, ilgili trafiği Genel Güvenli Erişim üzerinden göndermeyin.
• Şu anda, Özel Erişim trafiğini elde etmek için Global Secure Access istemcisi üzerinden bağlantı sağlanması zorunludur.
• Evrensel Kiracı Kısıtlamaları'nı etkinleştirir ve izin verme listesindeki bir kiracının Microsoft Entra yönetim merkezi erişirseniz, "Erişim reddedildi" hatası görebilirsiniz. Bu hatayı düzeltmek için Microsoft Entra yönetim merkezi aşağıdaki özellik bayrağını ekleyin:
  • ?feature.msaljs=true&exp.msaljsexp=true
  • Örneğin, Contoso için çalışıyorsunuz. bir iş ortağı kiracısı olan Fabrikam, izin verme listesindedir. Fabrikam kiracısının Microsoft Entra yönetim merkezi hata iletisini görebilirsiniz.
    • URL https://entra.microsoft.com/için "erişim reddedildi" hata iletisini aldıysanız özellik bayrağını şu şekilde ekleyin: https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
• Yalnızca Windows için Genel Güvenli Erişim istemcisi (sürüm 1.8.239.0 veya üzeri) Evrensel CAE'yi destekler. Diğer platformlarda, Genel Güvenli Erişim istemcisi normal erişim belirteçleri kullanır.
• Microsoft Entra ID Genel Güvenli Erişim için kısa süreli belirteçler oluşturur. Evrensel CAE erişim tokenı 60 ila 90 dakika sürer ve neredeyse gerçek zamanlı iptal desteğini destekler.
• Microsoft Entra ID sinyalinin Genel Güvenli Erişim istemcisine ulaşması ve kullanıcıdan yeniden kimlik doğrulaması istemesi yaklaşık iki-beş dakika sürer.
• Global Secure Access istemcisi, kullanıcıya üç kez kimlik doğrulaması için uyarır; her seferinde 2 dakikalık bir geçiş süresi vardır. Bu, CAE akışının tamamının Genel Güvenli Erişim istemcisine sinyal vermek için 4-5 dakika, ardından 6 dakikaya kadar yetkisiz kullanım süresi içerdiği ve yaklaşık 10 dakika sonra bağlantı kesilmesine neden olduğu anlamına gelir.

Trafik iletme profili sınırlamaları

Trafik iletme profilleri için bilinen sınırlamalar şunlardır:

• Şu anda, Özel Erişim trafiği yalnızca Küresel Güvenli Erişim istemcisi ile alınabilmektedir. Özel Erişim trafiği uzak ağlardan alınamaz.
• IP adresine göre Özel Erişim hedeflerine tünel trafiği yalnızca son kullanıcı cihazının yerel alt ağı dışındaki IP aralıkları için çalışır.
• Trafik iletme profilindeki tam etki alanı adlarının (FQDN) kurallarına göre ağ trafiğine tünel oluşturmak için HTTPS üzerinden DNS'yi (Güvenli DNS) devre dışı bırakmanız gerekir.

Özel Erişim sınırlamaları

Özel Erişim için bilinen sınırlamalar şunlardır:

• Global Secure Access uygulamaları arasında çakışan uygulama segmentlerinden kaçının.
• Trafiğin IP adresine göre Özel Erişim hedeflerine tünellenmesi yalnızca son kullanıcı cihazı yerel alt ağı dışındaki IP aralıkları için desteklenir.
• Şu anda Özel Erişim trafiği yalnızca Genel Güvenli Erişim istemcisiyle alınabiliyor. Uzak ağlar Özel erişim trafiği iletme profiline atanamaz.

İnternet Erişimi sınırlamaları

İnternet Erişimi için bilinen sınırlamalar şunlardır:

• Bir yönetici kiracı başına en çok 256 güvenlik profili, kiracı başına en fazla 1.000 ilke ve kiracı başına en fazla 1.000 kural oluşturabilir.
• Bir yönetici, her kiracıda toplam 8.000 hedef (HERHANGI bir IP, FQDN, URL veya web kategorisi birleşimi olabilir) yapılandırabilir. Örneğin, tek bir kiracı içinde her birinde 4.000 etki alanını hedefleyen en fazla iki ilke veya her birinde sekiz etki alanı olan en fazla 1.000 ilke oluşturabilir.
• TLS denetimi 100 TLS'ye kadar denetim ilkelerini, 1.000 kuralı ve 8.000 hedefi destekler.
• Platform, HTTP/S trafiği için standart bağlantı noktalarını (80 ve 443 bağlantı noktaları) varsayar.
• Genel Güvenli Erişim istemcisi IPv6'yi desteklemez. İstemci yalnızca IPv4 trafiğini tüneller ve IPv6 trafiğini doğrudan ağa aktarır. Tüm trafik Küresel Güvenli Erişim'e yönlendirildiğinden emin olmak için ağ adaptörü özelliklerini tercih edilen IPv4 olarak ayarlayın.
• UDP henüz bu platformda desteklenmiyor.
• Microsoft trafik profilinde edinilebilir trafik, İnternet Erişimi trafik profilinde edinilebilir değildir.
• Kaynak trafik türü filtreleme (önizleme) yalnızca istemci tabanlı Genel Güvenli Erişim bağlantıları için desteklenir. Uzak ağlar kaynak trafik türü kurallarını desteklemez.
• HTTP yöntemi isteği filtreleme (önizleme) zorlaması, HTTPS trafiği için TLS incelemesi gerektirir. TLS denetimi olmadan HTTP yöntemi üst bilgileri görünmez ve yalnızca Sunucu Adı Göstergesi (SNI) tabanlı web içeriği filtreleme kuralları uygulanır.
• Genel Güvenli Erişim istemcisi görev veya işlemci bilgilerini belirleyemezse, kaynak trafik türü Bilinmiyor olarak sınıflandırılır.
• Kaynak trafik türü sınıflandırma doğruluğu, Genel Güvenli Erişim istemcisinin uç nokta cihazında işlem meta verilerini inceleyebilmesine bağlıdır.

B2B konuk erişimi (önizleme) sınırlamaları

• Genel Güvenli Erişim istemcisi çoklu oturum Azure Sanal Masaüstü desteklemez.

Hükümetin Bulut Sınırlamalarında Küresel Güvenli Erişim

Küresel Güvenli Erişim, ABD Hükümeti topluluk bulutu Yüksek (GCC-H), Savunma Bakanlığı bulutu ve diğer Hükümet/Egemen bulut ortamlarında mevcut değildir.

ABD Hükümeti topluluğu (GCC) bulutunda kullanım için bilinen sınırlamalar/feragatnameler şunlardır:

• Federal Olmayan Bilgi İşleme Standardı (FIPS) 140-2 sertifikalı: GSA servisi FedRAMP High akredite olsa da henüz FIPS 140-2 sertifikalı değildir. Microsoft FIPS akreditasyonu/sertifikasyonuna ulaşmak için etkin bir şekilde çalışmaktadır ve bu süreç şu anda devam ediyor. Müşteriler, uyum gereksinimlerini değerlendirirken bu durumu göz önünde bulundurmalıdır. FIPS 140-2, ürünler ve sistemlerdeki kriptografik modüller için FedRAMP minimum güvenlik gereksinimlerini tanımlayan bir ABD hükümet standardıdır. Daha fazla bilgi için bkz . Federal Bilgi İşleme Standardı (FIPS) 140.
• Veri Ikamet Gereksinimleri: Müşteriler, GSA çözümünü kendi ihtiyaçları için değerlendirirken veri ikamet gereksinimlerini dikkatlice değerlendirmelidir. GSA kullanırken verilerinizin (müşteri içeriği dahil) Aktarım Katmanı Güvenliği (TLS) sonlandırılmış ve Birleşik Devletler esp dışında işlenmiş olma olasılığı vardır. Kullanıcıların ABD ve bölgeleri dışında seyahat ederken GSA'ya eriştiği durumlarda. Ayrıca, GSA trafik en yakın mevcut kenar konumundan yönlendirdiğinde, birkaç faktöre bağlı olarak ABD sınırları dışında olabilir, bu da ABD sınırları dışında olabilir. TLS sonlandırma ve ABD dışındaki işleme faktörleri şunları içerebilir ancak bunlarla sınırlı değildir: kullanıcının fiziksel konumu, kenar konumlarına yakınlığı, ağ gecikmesi, hizmet erişilebilirliği, performans hususları, müşteri yapılandırmaları ve benzeri. Örneğin, ABD sınırına yakın bir kullanıcı, ABD dışı bir bölgeye yakın bir kullanıcı, veri denetimi ve politika uygulanmasının yapıldığı ABD dışı bir kenara bağlanabilir.

Açık İletme Ara Sunucusu (önizleme) sınırlamaları

Açık İletme Ara Sunucusu (önizleme) için bilinen sınırlamalar şunlardır:

• EFP için TLS denetimi zorunludur. Kullanıcı EFP ağ kanalını kullanarak bağlanırken TLSi atlama ilkeleri yoksayılır.
• EFP PAC dosya barındırma, EFP tarafından oluşturulan varsayılan önerilen PAC dosyasıyla sınırlıdır.
• Kullanıcı kullanan ilkeleri uygulamak için EFP PAC dosya barındırmayı kullanmanız gerekir. Kendi PAC dosyalarınızı barındırdıysanız temel güvenlik profili uygulanır.
• Koşullu Erişim'de Genel Güvenli Erişim kaynağına sahip tüm internet uygulamalarıGSA-ExplicitForwardProxy kaynağını içermez. Güvenlik profili ataması için Tüm İnternet uygulamalarını Genel Güvenli Erişim ile kullanıyorsanız, kaynak olarak GSA-ExplicitForwardProxy'yi hedefleyen ve Koşullu Erişim ilkesinin Oturum sekmesinde kullanılacak Genel Güvenli Erişim profilini belirten ayrı bir ilke oluşturmanız gerekir.
• Tüm Uygulamalar için Uyumlu Ağ'ın karşılanması gereken Koşullu Erişim İlkesi uygularsanız, GSA-ExplicitForwardProxy kaynağını bu ilkenin dışında tutmanız gerekir. EFP, bağlantıdan önce Entra ID kimlik doğrulaması gerektirir- Entra ID trafiğin her zaman ara sunucu otomatik yapılandırma (PAC) dosyalarından dışlanması gerekir. Entra ID trafik EFP'den geçmediği için, GSA-ExplicitForwardProxy sorumlusu ilkenin dışında tutulmadığı sürece Uyumlu Ağ denetimi başarısız olur.
• MacOS'ta, istemci sertifikası sorunları nedeniyle GSA istemcisi ve EFP ayarlarının bir arada bulunmaları desteklenmez.
• Microsoft Office 365 trafik EFP'ye tünel oluşturulmamalıdır. EFP tarafından barındırılan PAC dosyası Office 365 hedeflerini dışlar. Office 365 trafiği Microsoft 365 IP ve FQDN listesinde tanımlanır
• EFP, Microsoft Entra İnternet Erişimi trafik türünü destekler. Kullanıcılar EFP'yi yapılandırdığında Özel Erişim ve Microsoft Trafiği desteklenmez.