次の方法で共有


Windows 用グローバル セキュア アクセス クライアント

グローバル セキュア アクセスの重要なコンポーネントであるグローバル セキュア アクセスクライアントは、組織がエンド ユーザー デバイス上のネットワーク トラフィックを管理およびセキュリティで保護するのに役立ちます。 クライアントの主な役割は、グローバル セキュア アクセスによって保護される必要があるトラフィックをクラウド サービスにルーティングすることです。 その他のすべてのトラフィックは、ネットワークに直接送信されます。 ポータルで構成された転送プロファイルは、グローバル セキュア アクセス クライアントがクラウド サービスにルーティングするトラフィックを決定します。

この記事には、Windows 用のグローバル セキュア アクセス クライアントをダウンロードしてインストールする方法について説明します。

前提条件

  • グローバル セキュア アクセスにオンボードされた Entra テナント。
  • オンボードされたテナントに参加しているマネージド デバイス。 デバイスは、Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みである必要があります。
    • Microsoft Entra 登録済みデバイスはサポートされていません。
  • グローバル セキュア アクセス クライアントは、64 ビット バージョンの Windows 11 または Windows 10 が必要です。
    • Azure Virtual Desktop シングルセッションがサポートされています。
    • Azure Virtual Desktop のマルチセッションはサポートされていません。
    • Windows 365 がサポートされています。
  • クライアントをインストールまたはアップグレードするには、ローカル管理者の資格情報が必要です。
  • グローバル セキュア アクセス クライアントにはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。

クライアントをダウンロードする

最新バージョンのグローバル セキュア アクセス クライアントは、Microsoft Entra 管理センターからダウンロードできます。

  1. Microsoft Entra 管理センターに、グローバル セキュア アクセス管理者としてサインインします。
  2. [グローバル セキュア アクセス]>[接続]>[クラウド ダウンロード] に移動します。
  3. [クライアントをダウンロードする] を選択します。 [クライアントをダウンロードする] ボタンが強調表示されている、クライアント ダウンロードのスクリーンショット。

グローバル セキュア アクセス クライアントをインストールする

自動インストール

組織では、/quiet スイッチを使ってグローバル セキュア アクセス クライアントをサイレントでインストールしたり、Microsoft Intune などのモバイル デバイス管理 (MDM) ソリューションを使ってクライアントをデバイスに展開したりできます。

手動のインストール

グローバル セキュア アクセス クライアントを手動でインストールするには

  1. セットアップ ファイル GlobalSecureAccessClient.exe を 実行します。 ソフトウェア ライセンス条項に同意します。
  2. クライアントがインストールされ、Microsoft Entra 資格情報を使用してサイレントにサインインします。 サイレント サインインに失敗した場合、インストーラーは手動でサインインするように求められます。
  3. サインイン。 接続アイコンが緑色に変わります。
  4. 接続アイコンにカーソルを合わせると、クライアントの状態通知が開き、接続済みと表示されます。
    クライアントが接続されたことを示すスクリーンショット。

クライアント アクション

使用可能なクライアント メニューアクションを表示するには、グローバルセキュア アクセス システム トレイ アイコンを右クリックします。 グローバル セキュア アクセス クライアントのコンテキスト メニューを示すスクリーンショット。

ヒント

グローバル セキュア アクセス クライアントのメニュー アクションは、 クライアント レジストリ キー 構成によって異なります。

アクション 説明
サインアウト 既定では非表示サインアウトアクションは、Windows へのサインインに使用された以外の Entra ユーザーを使用してグローバル セキュア アクセス クライアントにサインインする必要がある場合に使用します。 このアクションを使用するには、適切なクライアント レジストリ キーを更新します。
[一時停止] 一時停止アクションを選択して、クライアントを一時的に一時停止します。 クライアントを再開するか、マシンを再起動するまで、クライアントは一時停止したままです。
再開 一時停止しているクライアントを再開します。
プライベート アクセスを無効にする 既定では非表示。 デバイスを企業ネットワークに直接接続して、グローバル セキュア アクセスをバイパスして、グローバル セキュア アクセスではなく、ネットワーク経由で直接プライベート アプリケーションにアクセスする場合は、プライベート アクセスを無効にするアクションを使用します。 このアクションを使用するには、適切なクライアント レジストリ キーを更新します。
ログの収集 クライアント ログ (クライアント マシンに関する情報、サービスの関連イベント ログ、レジストリ値) を収集し、調査のために Microsoft サポートと共有する zip ファイルにアーカイブするには、このアクションを選択します。 ログの既定の場所は C:\Program Files\Global Secure Access Client\Logs です。
詳細な診断 このアクションを選択して詳細な診断ユーティリティを起動させ、さまざまなトラブルシューティングツールにアクセスします。

クライアント ステータス インジケーター

状態の通知

グローバル セキュア アクセス アイコンをダブルクリックしてクライアントの状態通知を開き、クライアント用に構成された各チャネルの状態を表示します。
クライアントの状態が接続されたことを示すスクリーンショット。

システム トレイ アイコンのクライアント ステータス

アイコン メッセージ 説明
グローバル セキュア アクセス クライアント クライアントは、グローバル セキュア アクセスへの接続を初期化して確認しています。
グローバル セキュア アクセス クライアント : 接続済み クライアントがグローバル セキュア アクセスに接続済み。
グローバル セキュア アクセス クライアント : 無効 サービスがオフラインであるか、ユーザーがクライアントを無効にしているため、クライアントは無効になっています。
グローバル セキュア アクセス クライアント : 切断済み クライアントがグローバル セキュア アクセスへの接続に失敗しました。
グローバル セキュア アクセス クライアント : 一部のチャネルに到達できない クライアントはグローバル セキュア アクセスに部分的に接続されています (つまり、少なくとも 1 つのチャネルへの接続に失敗しました: Entra、Microsoft 365、プライベート アクセス、インターネット アクセス)。
グローバル セキュア アクセス クライアント : 組織によって無効になっている 組織がクライアントを無効にしました (つまり、すべてのトラフィック転送プロファイルが無効になっています)。
グローバル セキュア アクセス : プライベート アクセスが無効になっている ユーザーは、このデバイスでプライベート アクセスを無効にしました。
グローバル セキュア アクセス : インターネットに接続できませんでした クライアントがインターネット接続を検出できませんでした。 デバイスは、インターネットに接続されていないネットワークまたはキャプティブ ポータルのサインインを必要とするネットワークに接続されています。

既知の制限事項

グローバル セキュア アクセス クライアントの現在のバージョンに関する既知の制限事項は次のとおりです。

セキュリティで保護されたドメイン ネーム システム (DNS)

グローバル セキュア アクセス クライアントは、現在、HTTPS 経由の DNS (DoH)、DNS over TLS (DoT)、DNS セキュリティ拡張機能 (DNSSEC) など、さまざまなバージョンのセキュリティで保護された DNS をサポートしていません。 ネットワーク トラフィックを取得できるようにクライアントを構成するには、セキュリティで保護された DNS を無効にする必要があります。 ブラウザーでセキュリティで保護された DNS を無効にするには、「ブラウザーでセキュリティで保護された DNS が無効になっている」をご覧ください。

TCP 経由の DNS

DNS では、名前解決にポート 53 UDP が使用されます。 一部のブラウザーには、ポート 53 TCP もサポートする独自の DNS クライアントがあります。 現在、グローバル セキュア アクセス クライアントは DNS ポート 53 TCP をサポートしていません。 軽減策として、次のレジストリ値を設定して、ブラウザーの DNS クライアントを無効にします。

  • Microsoft Edge
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
  • Chrome
    [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
    また、chrome://flags の閲覧と Async DNS resolver の無効化も追加しました。

IPv6 はサポートされていません。

クライアントは IPv4 トラフィックのみをトンネルします。 IPv6 トラフィックはクライアントによって取得されないため、ネットワークに直接転送されます。 関連するすべてのトラフィックをトンネリングできるようにするには、ネットワーク アダプターのプロパティを IPv4 優先に設定します。

接続フォールバック

クラウド サービスへの接続エラーが発生した場合、クライアントは、転送プロファイル内の一致するルールのセキュリティ強化値に基づいて、インターネットへの直接接続または接続のブロックにフォールバックします。

位置情報

クラウド サービスにトンネリングされるネットワーク トラフィックの場合、アプリケーション サーバー (Web サイト) は接続のソース IP を Edge の IP アドレス (ユーザーデバイスの IP アドレスとしてではなく) として検出します。 このシナリオは、位置情報に依存するサービスに影響する可能性があります。

ヒント

Office 365 と Entra でデバイスの真のソース IP を検出するには、ソース IP の復元を有効にすることを検討してください。

仮想化サポート

仮想マシンをホストするデバイスにグローバル セキュア アクセス クライアントをインストールすることはできません。 ただし、クライアントがホスト マシンにインストールされていない限り、グローバル セキュア アクセス クライアントを仮想マシンにインストールできます。 同じ理由から、Linux 用 Windows サブシステム (WSL) は、ホストマシンにインストールされているクライアントからトラフィックを取得しません。

プロキシ

プロキシがアプリケーション レベル (ブラウザーなど) または OS レベルで構成されている場合、クライアントがトンネリングする必要があるすべての FQDN と IP を除外するようにプロキシ自動構成 (PAC) ファイルを構成します。

特定の FQDN/IP に対する HTTP 要求がプロキシにトンネリングされないようにするには、FQDN/IP を例外として PAC ファイルに追加します。 (これらの FQDN/IP は、トンネリング用のグローバル セキュア アクセスの転送プロファイルにあります)。 次に例を示します。

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

インターネットに直接接続できない場合は、プロキシ経由でグローバル セキュア アクセス サービスに接続するようにクライアントを構成します。 たとえば、grpc_proxy システム変数をプロキシの値 (http://proxy:8080 など) と一致するように設定します。

構成の変更を適用するには、グローバル セキュア アクセス クライアントの Windows サービスを再起動します。

パケット挿入

クライアントは、ソケットを使用して送信されたトラフィックのみをトンネリングします。 ドライバーを使用してネットワーク スタックに挿入されたトラフィック (たとえば、ネットワーク Mapper (Nmap) によって生成されたトラフィックの一部) はトンネリングされません。 挿入されたパケットは、ネットワークに直接送信されます。

マルチセッション

グローバル セキュア アクセス クライアントは、同じマシン上での同時セッションに対応していません。 この制限は、複数セッション用に構成されている Azure Virtual Desktop (AVD) などの RDP サーバーと VDI ソリューションに適用されます。

Arm64

ARM64 アーキテクチャのグローバル セキュア アクセス クライアントは、まだサポートされていません。

QUIC はインターネット アクセスでサポートされていません

QUIC はまだインターネット アクセスに対応していないため、ポート 80 UDP と 443 UDP へのトラフィックはトンネリングできません。

ヒント

QUIC は現在、プライベート アクセスと Microsoft 365 ワークロードでサポートされています。

管理者は、クライアントが TCP 経由で HTTPS にフォールバックするようにトリガーする QUIC プロトコルを無効にすることができます。これは、インターネット アクセスで完全にサポートされています。 詳細については、「QUIC はインターネット アクセスでサポートされていません」をご覧ください。

トラブルシューティング

グローバル セキュア アクセス クライアントのトラブルシューティングを行うには、タスク バーのクライアント アイコンを右クリックし、トラブルシューティング オプション (ログの収集または詳細な診断) のいずれかを選択します。

ヒント

管理者は、クライアント レジストリ キーを変更することで、グローバル セキュア アクセス クライアント のメニュー オプションを変更できます。

グローバル セキュア アクセス クライアントのトラブルシューティングの詳細については、次の記事をご覧ください。

クライアント レジストリ キー

グローバル セキュア アクセス クライアントは、特定のレジストリ キーを使用して、さまざまな機能を有効または無効にします。 管理者は、Microsoft Intune やグループ ポリシーなどのモバイル デバイス管理 (MDM) ソリューションを使用して、レジストリ値を制御できます。

注意事項

Microsoft サポートによって指示されない限り、他のレジストリ値を変更しないでください。

クライアントでプライベート アクセスを無効または有効にする

このレジストリ値は、クライアントに対してプライベート アクセスを有効にするか無効にするかを制御します。 ユーザーが企業ネットワークに接続されている場合、グローバル セキュア アクセスをバイパスし、プライベート アプリケーションに直接アクセスすることを選択できます。

ユーザーは、システム トレイ メニューからプライベート アクセスを無効または有効にすることができます。

ヒント

このオプションは、メニューが非表示でなく (「システム トレイ メニュー ボタンの表示または再表示」をご覧ください)、このテナントに対してプライベート アクセスが有効になっている場合にのみ使用できます。

管理者は、レジストリ キーを設定することで、ユーザーのプライベート アクセスを無効または有効にすることができます。
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client

Type データ 説明
IsPrivateAccessDisabledByUser REG_DWORD 0x0 このデバイスでは、プライベート アクセスが有効になっています。 プライベート アプリケーションへのネットワーク トラフィックは、グローバル セキュア アクセスを経由します。
IsPrivateAccessDisabledByUser REG_DWORD 0x1 このデバイスでは、プライベート アクセスは無効になっています。 プライベート アプリケーションへのネットワーク トラフィックは、ネットワークに直接送信されます。

IsPrivateAccessDisabledByUser レジストリ キーが強調表示されたレジストリ エディターを示すスクリーンショット。

レジストリ値が存在しない場合、既定値は 0x0 であり、プライベート アクセスが有効になります。

システム トレイ メニュー ボタンの非表示または再表示

管理者は、クライアント システム トレイ アイコン メニューの特定のボタンを表示または非表示にすることができます。 次のレジストリ キー値を作成します。
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client

Type データ​​ 既定の動作 説明
HideSignOutButton REG_DWORD 0x0 - 表示 0x1 : 非表示 非表示 この設定を構成して、サインアウトアクションを表示または非表示にします。 このオプションは、ユーザーが Windows へのサインインに使用したものとは異なる Entra ユーザーを使用してクライアントにサインインする必要がある特定のシナリオに適しています。 注: デバイスが参加しているのと同じ Entra テナント内のユーザーでクライアントにサインインする必要があります。 サインアウトアクションを使用して、既存のユーザーを再認証することもできます。
HideDisablePrivateAccessButton REG_DWORD 0x0 - 表示 0x1 : 非表示 非表示 この設定を構成して、プライベート アクセスを無効にするアクションを表示または非表示にします。 このオプションは、デバイスが企業ネットワークに直接接続されていて、ユーザーがグローバル セキュア アクセスではなく、ネットワーク経由で直接プライベート アプリケーションにアクセスすることを好むシナリオに適しています。

HideSignOutButton レジストリ キーと HideDisablePrivateAccessButton レジストリ キーが強調表示されているレジストリ エディターを示すスクリーンショット。

詳細については、高度なユーザー向けのWindowsで IPv6 を構成するためのガイダンスをご覧ください。