Microsoft Windows 用グローバル セキュア アクセス クライアント
グローバル セキュア アクセスの重要なコンポーネントであるグローバル セキュア アクセスクライアントは、組織がエンド ユーザー デバイス上のネットワーク トラフィックを管理およびセキュリティで保護するのに役立ちます。 クライアントの主な役割は、グローバル セキュア アクセスによって保護される必要があるトラフィックをクラウド サービスにルーティングすることです。 その他のすべてのトラフィックは、ネットワークに直接送信されます。 ポータルで構成された転送プロファイルは、グローバル セキュア アクセス クライアントがクラウド サービスにルーティングするトラフィックを決定します。
この記事には、Windows 用のグローバル セキュア アクセス クライアントをダウンロードしてインストールする方法について説明します。
前提条件
- グローバル セキュア アクセスにオンボードされた Microsoft Entra テナント。
- オンボードされたテナントに参加しているマネージド デバイス。 デバイスは、Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みである必要があります。
- Microsoft Entra 登録済みデバイスはサポートされていません。
- グローバル セキュア アクセス クライアントには、Windows 10 または Windows 11 の 64 ビット バージョンが必要です。
- Azure Virtual Desktop シングルセッションがサポートされています。
- Azure Virtual Desktop のマルチセッションはサポートされていません。
- Windows 365 がサポートされています。
- クライアントをインストールまたはアップグレードするには、ローカル管理者の資格情報が必要です。
- グローバル セキュア アクセス クライアントにはライセンスが必要です。 詳細については、「グローバル セキュア アクセスとは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
クライアントをダウンロードする
最新バージョンのグローバル セキュア アクセス クライアントは、Microsoft Entra 管理センターからダウンロードできます。
- Global Secure Access 管理者 として Microsoft Entra 管理センターにサインインします。
- [グローバル セキュア アクセス]>[接続]>[クラウド ダウンロード] に移動します。
- [クライアントをダウンロードする] を選択します。
グローバル セキュア アクセス クライアントをインストールする
自動インストール
組織では、/quiet
スイッチを使ってグローバル セキュア アクセス クライアントをサイレントでインストールしたり、Microsoft Intune などのモバイル デバイス管理 (MDM) ソリューションを使ってクライアントをデバイスに展開したりできます。
手動のインストール
グローバル セキュア アクセス クライアントを手動でインストールするには
- セットアップ ファイル GlobalSecureAccessClient.exe を 実行します。 ソフトウェア ライセンス条項に同意します。
- クライアントがインストールされ、Microsoft Entra 資格情報を使用してサイレントにサインインします。 サイレント サインインに失敗した場合、インストーラーは手動でサインインするように求められます。
- サインイン。 接続アイコンが緑色に変わります。
- 接続アイコンにカーソルを合わせると、クライアントの状態通知が開き、接続済みと表示されます。
クライアント アクション
使用可能なクライアント メニューアクションを表示するには、グローバルセキュア アクセス システム トレイ アイコンを右クリックします。
ヒント
グローバル セキュア アクセス クライアントのメニュー アクションは、 クライアント レジストリ キー 構成によって異なります。
アクション | 説明 |
---|---|
サインアウト | 既定では非表示。 Windows へのサインインに使用した以外の Microsoft Entra ユーザーを使用してグローバル セキュア アクセス クライアントにサインインする必要がある場合は、サインアウト アクションを使用します。 このアクションを使用するには、適切なクライアント レジストリ キーを更新します。 |
無効にする | クライアントを無効にするには、無効アクションを選択します。 クライアントを有効にするか、マシンを再起動するまで、クライアントは無効のままとなります。 |
有効にする | グローバル セキュア アクセス クライアントを有効にします。 |
プライベート アクセスを無効にする | 既定では非表示。 デバイスを企業ネットワークに直接接続して、グローバル セキュア アクセスをバイパスして、グローバル セキュア アクセスではなく、ネットワーク経由で直接プライベート アプリケーションにアクセスする場合は、プライベート アクセスを無効にするアクションを使用します。 このアクションを使用するには、適切なクライアント レジストリ キーを更新します。 |
ログの収集 | クライアント ログ (クライアント マシンに関する情報、サービスの関連イベント ログ、レジストリ値) を収集し、調査のために Microsoft サポートと共有する zip ファイルにアーカイブするには、このアクションを選択します。 ログの既定の場所は C:\Program Files\Global Secure Access Client\Logs です。 コマンド プロンプトで次のコマンドを入力して、Windows 上でクライアント ログを収集することもできます: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user> 。 |
詳細な診断 | このアクションを選択して詳細な診断ユーティリティを起動させ、さまざまなトラブルシューティングツールにアクセスします。 |
クライアント ステータス インジケーター
状態の通知
グローバル セキュア アクセス アイコンをダブルクリックしてクライアントの状態通知を開き、クライアント用に構成された各チャネルの状態を表示します。
システム トレイ アイコンのクライアント ステータス
アイコン | メッセージ | 説明 |
---|---|---|
Global Secure Access | クライアントは、グローバル セキュア アクセスへの接続を初期化して確認しています。 | |
グローバル セキュア アクセス - 接続済み | クライアントがグローバル セキュア アクセスに接続済み。 | |
グローバル セキュア アクセス - 無効 | サービスがオフラインであるか、ユーザーがクライアントを無効にしているため、クライアントは無効になっています。 | |
グローバル セキュア アクセス - 切断済み | クライアントがグローバル セキュア アクセスへの接続に失敗しました。 | |
グローバル セキュア アクセス - 一部のチャネルに到達できない | クライアントはグローバル セキュア アクセスに部分的に接続されています (つまり、少なくとも次のいずれかのチャネルへの接続に失敗しました: Microsoft Entra、Microsoft 365、プライベート アクセス、インターネット アクセス)。 | |
グローバル セキュア アクセス - 組織によって無効にされている | 組織がクライアントを無効にしました (つまり、すべてのトラフィック転送プロファイルが無効になっています)。 | |
グローバル セキュア アクセス : プライベート アクセスが無効になっている | ユーザーは、このデバイスでプライベート アクセスを無効にしました。 | |
グローバル セキュア アクセス : インターネットに接続できませんでした | クライアントがインターネット接続を検出できませんでした。 デバイスは、インターネットに接続されていないネットワークまたはキャプティブ ポータルのサインインを必要とするネットワークに接続されています。 |
既知の制限事項
グローバル セキュア アクセス クライアントの現在のバージョンに関する既知の制限事項は次のとおりです。
セキュリティで保護されたドメイン ネーム システム (DNS)
グローバル セキュア アクセス クライアントは、現在、HTTPS 経由の DNS (DoH)、DNS over TLS (DoT)、DNS セキュリティ拡張機能 (DNSSEC) など、さまざまなバージョンのセキュリティで保護された DNS をサポートしていません。 ネットワーク トラフィックを取得できるようにクライアントを構成するには、セキュリティで保護された DNS を無効にする必要があります。 ブラウザーでセキュリティで保護された DNS を無効にするには、「ブラウザーでセキュリティで保護された DNS が無効になっている」をご覧ください。
TCP 経由の DNS
DNS では、名前解決にポート 53 UDP が使用されます。 一部のブラウザーには、ポート 53 TCP もサポートする独自の DNS クライアントがあります。 現在、グローバル セキュア アクセス クライアントは DNS ポート 53 TCP をサポートしていません。 軽減策として、次のレジストリ値を設定して、ブラウザーの DNS クライアントを無効にします。
- Microsoft Edge
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
- Chrome
[HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
また、chrome://flags
の閲覧とAsync DNS resolver
の無効化も追加しました。
IPv6 はサポートされていません。
クライアントは IPv4 トラフィックのみをトンネルします。 IPv6 トラフィックはクライアントによって取得されないため、ネットワークに直接転送されます。 関連するすべてのトラフィックをトンネリングできるようにするには、ネットワーク アダプターのプロパティを IPv4 優先に設定します。
接続フォールバック
クラウド サービスへの接続エラーが発生した場合、クライアントは、転送プロファイル内の一致するルールのセキュリティ強化値に基づいて、インターネットへの直接接続または接続のブロックにフォールバックします。
地理的位置情報
クラウド サービスにトンネリングされるネットワーク トラフィックの場合、アプリケーション サーバー (Web サイト) は接続のソース IP を Edge の IP アドレス (ユーザーデバイスの IP アドレスとしてではなく) として検出します。 このシナリオは、位置情報に依存するサービスに影響する可能性があります。
ヒント
Office 365 と Entra でデバイスの真のソース IP を検出するには、ソース IP の復元を有効にすることを検討してください。
仮想化サポート
Hyper-V のサポート:
- 外部仮想スイッチ: Windows 用グローバル セキュア アクセス クライアントでは、現在、Hyper-V 外部仮想スイッチを備えたホスト マシンをサポートしていません。 ただし、クライアントを仮想マシンにインストールすれば、トラフィックをグローバル セキュア アクセスにトンネリングできます。
- 内部仮想スイッチ: グローバル セキュア アクセスの Windows 用クライアントは、ホストおよびゲスト マシンにインストールすることができます。 クライアントでは、自身がインストールされているマシンのネットワーク トラフィックのみをトンネリングします。 つまり、ゲスト マシンのネットワーク は、ホスト マシンにインストールされているクライアントによってトンネリングされません。
グローバル セキュア アクセスの Windows 用クライアントでは、Azure Virtual Machines がサポートされています。
グローバル セキュア アクセスの Windows 用クライアントでは、Azure Virtual Desktop (AVD) がサポートされています。
Note
AVD マルチセッションはサポートされていません。
プロキシ
プロキシがアプリケーション レベル (ブラウザーなど) または OS レベルで構成されている場合、クライアントがトンネリングする必要があるすべての FQDN と IP を除外するようにプロキシ自動構成 (PAC) ファイルを構成します。
特定の FQDN/IP に対する HTTP 要求がプロキシにトンネリングされないようにするには、FQDN/IP を例外として PAC ファイルに追加します。 (これらの FQDN/IP は、トンネリング用のグローバル セキュア アクセスの転送プロファイルにあります)。 次に例を示します。
function FindProxyForURL(url, host) {
if (isPlainHostName(host) ||
dnsDomainIs(host, ".microsoft.com") || // tunneled
dnsDomainIs(host, ".msn.com")) // tunneled
return "DIRECT"; // If true, sets "DIRECT" connection
else // If not true...
return "PROXY 10.1.0.10:8080"; // forward the connection to the proxy
}
インターネットに直接接続できない場合は、プロキシ経由でグローバル セキュア アクセス サービスに接続するようにクライアントを構成します。 たとえば、grpc_proxy
システム変数をプロキシの値 (http://proxy:8080
など) と一致するように設定します。
構成の変更を適用するには、グローバル セキュア アクセス クライアントの Windows サービスを再起動します。
パケット挿入
クライアントは、ソケットを使用して送信されたトラフィックのみをトンネリングします。 ドライバーを使用してネットワーク スタックに挿入されたトラフィック (たとえば、ネットワーク Mapper (Nmap) によって生成されたトラフィックの一部) はトンネリングされません。 挿入されたパケットは、ネットワークに直接送信されます。
マルチセッション
グローバル セキュア アクセス クライアントは、同じマシン上での同時セッションに対応していません。 この制限は、複数セッション用に構成されている Azure Virtual Desktop (AVD) などの RDP サーバーと VDI ソリューションに適用されます。
Arm64
ARM64 アーキテクチャのグローバル セキュア アクセス クライアントは、まだサポートされていません。
QUIC はインターネット アクセスでサポートされていません
QUIC はまだインターネット アクセスに対応していないため、ポート 80 UDP と 443 UDP へのトラフィックはトンネリングできません。
ヒント
QUIC は現在、プライベート アクセスと Microsoft 365 ワークロードでサポートされています。
管理者は、クライアントが TCP 経由で HTTPS にフォールバックするようにトリガーする QUIC プロトコルを無効にすることができます。これは、インターネット アクセスで完全にサポートされています。 詳細については、「QUIC はインターネット アクセスでサポートされていません」をご覧ください。
トラブルシューティング
グローバル セキュア アクセス クライアントのトラブルシューティングを行うには、タスク バーのクライアント アイコンを右クリックし、トラブルシューティング オプション (ログの収集または詳細な診断) のいずれかを選択します。
ヒント
管理者は、クライアント レジストリ キーを変更することで、グローバル セキュア アクセス クライアント のメニュー オプションを変更できます。
グローバル セキュア アクセス クライアントのトラブルシューティングの詳細については、次の記事をご覧ください。
クライアント レジストリ キー
グローバル セキュア アクセス クライアントは、特定のレジストリ キーを使用して、さまざまな機能を有効または無効にします。 管理者は、Microsoft Intune やグループ ポリシーなどのモバイル デバイス管理 (MDM) ソリューションを使用して、レジストリ値を制御できます。
注意事項
Microsoft サポートによって指示されない限り、他のレジストリ値を変更しないでください。
特権のないユーザーを制限する
管理者は、次のレジストリ キーを設定することで、Windows デバイス上の特権のないユーザーがクライアントを無効または有効にできないようにすることができます。
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD
データ | 説明 |
---|---|
0x0 | Windows デバイス上の特権のないユーザーは、クライアントを無効および有効にすることができます。 |
0x1 | Windows デバイス上の特権のないユーザーは、クライアントを無効および有効にすることができません。 無効および有効オプションの場合は、UAC プロンプトによってローカル管理者の資格情報が要求されます。 管理者は、無効化ボタンを非表示にすることもできます (「システム トレイ メニュー ボタンの非表示または再表示」を参照)。 |
クライアントでプライベート アクセスを無効または有効にする
このレジストリ値は、クライアントに対してプライベート アクセスを有効にするか無効にするかを制御します。 ユーザーが企業ネットワークに接続されている場合、グローバル セキュア アクセスをバイパスし、プライベート アプリケーションに直接アクセスすることを選択できます。
ユーザーは、システム トレイ メニューからプライベート アクセスを無効または有効にすることができます。
ヒント
このオプションは、メニューが非表示でなく (「システム トレイ メニュー ボタンの表示または再表示」をご覧ください)、このテナントに対してプライベート アクセスが有効になっている場合にのみ使用できます。
管理者は、レジストリ キーを設定することで、ユーザーのプライベート アクセスを無効または有効にすることができます。
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
値 | Type | データ | 説明 |
---|---|---|---|
IsPrivateAccessDisabledByUser | REG_DWORD | 0x0 | このデバイスでは、プライベート アクセスが有効になっています。 プライベート アプリケーションへのネットワーク トラフィックは、グローバル セキュア アクセスを経由します。 |
IsPrivateAccessDisabledByUser | REG_DWORD | 0x1 | このデバイスでは、プライベート アクセスは無効になっています。 プライベート アプリケーションへのネットワーク トラフィックは、ネットワークに直接送信されます。 |
レジストリ値が存在しない場合、既定値は 0x0 であり、プライベート アクセスが有効になります。
システム トレイ メニュー ボタンの非表示または再表示
管理者は、クライアント システム トレイ アイコン メニューの特定のボタンを表示または非表示にすることができます。 次のレジストリ キー値を作成します。
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
値 | Type | データ | 既定の動作 | 説明 |
---|---|---|---|---|
HideSignOutButton | REG_DWORD | 0x0 - 表示 0x1 : 非表示 | 非表示 | この設定を構成して、サインアウトアクションを表示または非表示にします。 このオプションは、ユーザーが Windows へのサインインに使用したのとは異なる Microsoft Entra ユーザーを使用してクライアントにサインインする必要がある特定のシナリオに適しています。 注: クライアントへのサインインは、デバイスが参加しているのと同じ Microsoft Entra テナント内のユーザーを使用して行う必要があります。 サインアウトアクションを使用して、既存のユーザーを再認証することもできます。 |
HideDisablePrivateAccessButton | REG_DWORD | 0x0 - 表示 0x1 : 非表示 | 非表示 | この設定を構成して、プライベート アクセスを無効にするアクションを表示または非表示にします。 このオプションは、デバイスが企業ネットワークに直接接続されていて、ユーザーがグローバル セキュア アクセスではなく、ネットワーク経由で直接プライベート アプリケーションにアクセスすることを好むシナリオに適しています。 |
HideDisableButton | REG_DWORD | 0x0 - 表示 0x1 : 非表示 | 表示 | 無効アクションを表示または非表示にするには、この設定を構成します。 表示されている場合、ユーザーはグローバル セキュア アクセス クライアントを無効にすることができます。 クライアントは、ユーザーによって再度有効にされるまで、無効のままです。 無効アクションが非表示の場合、特権のないユーザーはクライアントを無効にできません。 |
詳細については、高度なユーザー向けのWindowsで IPv6 を構成するためのガイダンスをご覧ください。