全球安全访问常见问题解答

如果已启用通用租户限制，并访问允许列表中的某个租户的 Microsoft Entra 管理中心，则可能会看到“拒绝访问”错误。 将功能标志添加到 Microsoft Entra 管理中心：?feature.msaljs=true&exp.msaljsexp=true。 例如，你为 Contoso 工作，并且将 Fabrikam 作为合作伙伴租户加入允许列表。 你会看到 Fabrikam 租户的 Microsoft Entra 管理中心的错误消息。 如果收到 URL https://entra.microsoft.com/ 的“拒绝访问”错误消息，请添加功能标志，如下所示：https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home

仅当用户从已加入 Microsoft Entra 的设备访问服务时，才支持 B2B 登录。 Microsoft Entra 租户必须与用户登录凭据匹配。 例如，一个人在 Fabrikam 工作，正在为 Contoso 处理一个项目。 Contoso 为其提供了设备和 Contoso 标识，例如 v-Bob@contoso.com。 要使用 Contoso 设备访问 Contoso 的全球安全访问，该人员可以使用 Bob@Fabrikam.com 或 v-Bob@Contoso.com。 但是，其无法使用已联接 Fabrikam 租户的 Fabrikam 设备来访问 Contoso 的全球安全访问。

目前，IPv4 优先于 IPv6。 如果遇到问题，请禁用 IPv6。 有关详细信息，请参阅安装 Windows 客户端一文的“禁用 IPv6”部分。

是，有一组 Microsoft Graph API 可用于管理 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问的各个方面。 有关这些 API 的详细信息，请参阅使用 Microsoft Graph 网络访问 API 保护对云、公共和专用应用的访问一文。

目前仅支持 TCP。 UDP 支持正在开发中。

目前不支持专用域名系统 (DNS)。 指定用于访问快速访问配置中的内部资源的主机名或 FQDN 以及相应的端口。

确保已反转 CPE 与全球安全访问之间的 BGP IP 地址。 例如，如果为 CPE 将本地 BGP IP 地址指定为 1.1.1.1，将对等 BGP IP 地址指定为 0.0.0.0，则需要在全球安全访问中交换这些值。 所以，全球安全访问中的本地 BGP IP 地址为 0.0.0.0，对等 GBP IP 地址为 1.1.1.1。