グローバル セキュリティで保護されたアクセスに関する既知の制限事項

グローバル セキュリティで保護されたアクセスは、Microsoft Entra Internet Access と Microsoft Entra Private Access の両方で使用される統一用語です。

この記事では、グローバル セキュリティで保護されたアクセスを使用するときに発生する可能性がある既知の問題と制限事項について詳しく説明します。

グローバル セキュリティで保護されたアクセス クライアントの制限事項

グローバル セキュリティで保護されたアクセス クライアントは、複数のプラットフォームで使用できます。 各プラットフォームの既知の制限事項の詳細については、各タブを選択してください。

Windows 用グローバル セキュア アクセス クライアントの既知の制限事項は次のとおりです。

セキュリティで保護されたドメイン ネーム システム (DNS)

グローバル セキュリティで保護されたアクセス クライアントは、現在、HTTPS 経由の DNS (DoH)、DNS over TLS (DoT)、DNS セキュリティ拡張機能 (DNSSEC) など、さまざまなバージョンのセキュリティで保護された DNS をサポートしていません。 ネットワーク トラフィックを取得できるようにクライアントを構成するには、セキュリティで保護された DNS を無効にする必要があります。 ブラウザーで DNS を無効にするには、「ブラウザーで無効になっているセキュリティで保護された DNS」を参照してください。

TCP 経由の DNS

DNS では、名前解決にポート 53 UDP が使用されます。 一部のブラウザーには、ポート 53 TCP もサポートする独自の DNS クライアントがあります。 現在、グローバル セキュリティで保護されたアクセス クライアントは DNS ポート 53 TCP をサポートしていません。 軽減策として、次のレジストリ値を設定して、ブラウザーの DNS クライアントを無効にします。

• Microsoft Edge
  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge] "BuiltInDnsClientEnabled"=dword:00000000
• クロム
  [HKEY_CURRENT_USER\Software\Policies\Google\Chrome] "BuiltInDnsClientEnabled"=dword:00000000
  また、閲覧 chrome://flags を追加し、Async DNS resolverを無効にします。

グループ ポリシーの名前解決ポリシー テーブルルールがサポートされていません

Windows 用グローバル セキュリティで保護されたアクセス クライアントは、グループ ポリシーの名前解決ポリシー テーブル (NRPT) 規則をサポートしていません。 プライベート DNS をサポートするために、クライアントはデバイスでローカル NRPT 規則を構成します。 これらのルールにより、関連する DNS クエリがプライベート DNS にリダイレクトされます。 NRPT 規則がグループ ポリシーで構成されている場合、クライアントによって構成されたローカル NRPT 規則がオーバーライドされ、プライベート DNS は機能しません。

さらに、以前のバージョンの Windows で構成および削除された NRPT 規則によって、registry.pol ファイルに NRPT 規則の空のリストが作成されました。 このグループ ポリシー オブジェクト (GPO) がデバイスに適用されている場合、空のリストはローカル NRPT 規則をオーバーライドし、プライベート DNS は機能しません。

軽減策として:

1. レジストリ キー HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig エンド ユーザー デバイスに存在する場合は、NRPT 規則を適用するように GPO を構成します。
2. NRPT 規則で構成されている GPO を検索するには:
   1. エンド ユーザー デバイスで gpresult /h GPReport.html を実行し、NRPT 構成を探します。
   2. NRPT 規則を含む sysvol 内のすべての registry.pol ファイルのパスを検出する次のスクリプトを実行します。

手記

ネットワークの構成に合わせて、sysvolPath 変数を必ず変更してください。

# =========================================================================
# THIS CODE-SAMPLE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER 
# EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES 
# OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
#
# This sample is not supported under any Microsoft standard support program 
# or service. The code sample is provided AS IS without warranty of any kind. 
# Microsoft further disclaims all implied warranties including, without 
# limitation, any implied warranties of merchantability or of fitness for a 
# particular purpose. The entire risk arising out of the use or performance
# of the sample and documentation remains with you. In no event shall 
# Microsoft, its authors, or anyone else involved in the creation, 
# production, or delivery of the script be liable for any damages whatsoever 
# (including, without limitation, damages for loss of business profits, 
# business interruption, loss of business information, or other pecuniary 
# loss) arising out of  the use of or inability to use the sample or 
# documentation, even if Microsoft has been advised of the possibility of 
# such damages.
#========================================================================= 

# Define the sysvol share path.
# Change the sysvol path per your organization, for example: 
# $sysvolPath = "\\dc1.contoso.com\sysvol\contoso.com\Policies"
$sysvolPath = "\\<DC FQDN>\sysvol\<domain FQDN>\Policies"  ## Edit

# Define the search string.
$searchString = "dnspolicyconfig"

# Define the name of the file to search.
$fileName = "registry.pol"

# Get all the registry.pol files under the sysvol share.
$files = Get-ChildItem -Path $sysvolPath -Recurse -Filter $fileName -File

# Array to store paths of files that contain the search string.
$matchingFiles = @()

# Loop through each file and check if it contains the search string.
foreach ($file in $files) {
    try {
        # Read the content of the file.
        $content = Get-Content -Path $file.FullName -Encoding Unicode
        
        # Check if the content contains the search string.
        if ($content -like "*$searchString*") {
            $matchingFiles += $file.FullName
        }
    } catch {
        Write-Host "Failed to read file $($file.FullName): $_"
    }
}

# Output the matching file paths.
if ($matchingFiles.Count -eq 0) {
    Write-Host "No files containing '$searchString' were found."
} else {
    Write-Host "Files containing '$searchString':"
    $matchingFiles | ForEach-Object { Write-Host $_ }
}

3. 前のセクションで見つかった各 GPO を編集します。
   1. NRPT セクションが空の場合は、新しい Fictive ルールを作成し、ポリシーを更新し、Fictive ルールを削除して、ポリシーをもう一度更新します。 次の手順では、registry.pol ファイル (レガシ バージョンの Windows で作成されたもの) から DnsPolicyConfig を削除します。
   2. NRPT セクションが空ではなく、ルールが含まれている場合は、これらのルールが引き続き必要であることを確認します。 ルール 必要 ない場合は、削除します。 規則 必要、グローバル セキュリティで保護されたアクセス クライアントを使用するデバイスに GPO を適用する場合、プライベート DNS オプションは機能しません。

接続フォールバック

クラウド サービスへの接続エラーが発生した場合、クライアントは、転送プロファイル内の一致する規則の 強化 値に基づいて、インターネットへの直接接続または接続のブロックのいずれかにフォールバックします。

地理位置情報

クラウド サービスにトンネリングされるネットワーク トラフィックの場合、アプリケーション サーバー (Web サイト) は接続のソース IP をエッジの IP アドレス (ユーザー デバイスの IP アドレスとしてではなく) として検出します。 このシナリオは、位置情報に依存するサービスに影響する可能性があります。

先端

Microsoft 365 と Microsoft Entra がデバイスの真のソース IP を検出するには、ソース IP 復元を有効にすることを検討してください。

仮想化のサポート

仮想マシンをホストするデバイスにグローバル セキュリティで保護されたアクセス クライアントをインストールすることはできません。 ただし、クライアントがホスト マシンにインストールされていない限り、グローバル セキュリティで保護されたアクセス クライアントを仮想マシンにインストールできます。 同じ理由から、Windows Subsystem for Linux (WSL) は、ホスト コンピューターにインストールされているクライアントからトラフィックを取得しません。

Hyper-V サポート:

1. 外部仮想スイッチ: グローバル セキュア アクセス Windows クライアントは、現在、Hyper-V 外部仮想スイッチを持つホスト マシンをサポートしていません。 ただし、クライアントを仮想マシンにインストールして、トラフィックをグローバル セキュリティで保護されたアクセスにトンネリングできます。
2. 内部仮想スイッチ: グローバル なセキュア アクセス Windows クライアントはホストおよびゲスト マシンにインストールすることができます。 クライアントは、インストールされているマシンのネットワーク トラフィックのみをトンネルします。 つまり、ホスト コンピューターにインストールされているクライアントは、ゲスト マシンのネットワーク トラフィックをトンネリングしません。

グローバル セキュリティで保護されたアクセス Windows クライアントは、Azure Virtual Machines と Azure Virtual Desktop (AVD) をサポートしています。

手記

グローバル セキュリティで保護されたアクセス Windows クライアントは、AVD マルチセッションをサポートしていません。

プロキシ

プロキシがアプリケーション レベル (ブラウザーなど) または OS レベルで構成されている場合は、クライアントがトンネリングする必要があるすべての FQDN と IP を除外するようにプロキシ自動構成 (PAC) ファイルを構成します。

特定の FQDN/IP に対する HTTP 要求がプロキシにトンネリングされないようにするには、FQDN/IP を例外として PAC ファイルに追加します。 (これらの FQDN/IP は、トンネリング用のグローバル セキュア アクセスの転送プロファイルにあります)。 例えば：

function FindProxyForURL(url, host) {   
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".microsoft.com") || // tunneled 
            dnsDomainIs(host, ".msn.com")) // tunneled 
           return "DIRECT";                    // If true, sets "DIRECT" connection 
        else                                   // If not true... 
           return "PROXY 10.1.0.10:8080";  // forward the connection to the proxy
}

インターネットに直接接続できない場合は、プロキシ経由でグローバル セキュア アクセス サービスに接続するようにクライアントを構成します。 たとえば、http://proxy:8080など、grpc_proxy システム変数をプロキシの値と一致するように設定します。

構成の変更を適用するには、グローバル セキュリティで保護されたアクセス クライアントの Windows サービスを再起動します。

パケットインジェクション

クライアントは、ソケットを使用して送信されたトラフィックのみをトンネリングします。 ドライバーを使用してネットワーク スタックに挿入されたトラフィックはトンネリングされません (たとえば、ネットワーク マッパー (Nmap) によって生成されたトラフィックの一部)。 挿入されたパケットは、ネットワークに直接送信されます。

マルチセッション

グローバル セキュリティで保護されたアクセス クライアントは、同じコンピューターでの同時セッションをサポートしていません。 この制限は、マルチセッション用に構成された Azure Virtual Desktop (AVD) などのリモート デスクトップ プロトコル (RDP) サーバーと仮想デスクトップ インフラストラクチャ (VDI) ソリューションに適用されます。

Arm64

グローバル セキュリティで保護されたアクセス クライアントは、Arm64 アーキテクチャをサポートしていません。

QUIC はインターネット アクセスでサポートされていません

QUIC はまだインターネット アクセスでサポートされていないため、ポート 80 UDP と 443 UDP へのトラフィックはトンネリングできません。

先端

QUIC は現在、プライベート アクセスと Microsoft 365 ワークロードでサポートされています。

管理者は、クライアントが TCP 経由で HTTPS にフォールバックするようにトリガーする QUIC プロトコルを無効にすることができます。これは、インターネット アクセスで完全にサポートされています。 詳細については、インターネット アクセスでサポートされていない QUIC を参照してください。

WSL 2 接続

ホスト コンピューターで Windows 用グローバル セキュア アクセス クライアントが有効になっている場合、Windows Subsystem for Linux (WSL) 2 環境からの送信接続がブロックされる可能性があります。 この問題を軽減するには、dnsTunneling を falseに設定する ファイル 作成します。 これにより、WSL からのすべてのトラフィックがグローバル セキュア アクセスをバイパスし、ネットワークに直接送信されます。 詳細については、「WSLの詳細設定の構成を する」を参照してください。

macOS 用グローバル セキュア アクセス クライアントの既知の制限事項は次のとおりです。

セキュリティで保護されたドメイン ネーム システム (DNS)

ブラウザーまたは macOS でセキュリティで保護された DNS が有効になっていて、DNS サーバーが Secure DNS をサポートしている場合、クライアントは FQDN によって取得されるように設定されたトラフィックをトンネリングしません。 (IP によって取得されたネットワーク トラフィックは影響を受けず、転送プロファイルに従ってトンネリングされます)。セキュリティで保護された DNS の問題を軽減するには、セキュリティで保護された DNS を無効にするか、セキュリティで保護された DNS をサポートしていない DNS サーバーを設定するか、IP に基づいてルールを作成します。

接続フォールバック

クラウド サービスへの接続エラーが発生した場合、クライアントは、転送プロファイル内の一致する規則の 強化 値に基づいて、インターネットへの直接接続または接続のブロックのいずれかにフォールバックします。

ソース IP アドレスの位置情報

クラウド サービスにトンネリングされるネットワーク トラフィックの場合、アプリケーション サーバー (Web サイト) は接続のソース IP をエッジの IP アドレス (ユーザー デバイスの IP アドレスとしてではなく) として検出します。 このシナリオは、位置情報に依存するサービスに影響する可能性があります。

先端

Office 365 と Microsoft Entra でデバイスの真のソース IP を検出するには、ソース IP 復元を有効にすることを検討してください。

UTM での仮想化のサポート

• ネットワークがブリッジ モードで、グローバル セキュア アクセス クライアントがホスト コンピューターにインストールされている場合:
  • グローバル セキュア アクセス クライアントが仮想マシンにインストールされている場合、仮想マシンのネットワーク トラフィックはローカル ポリシーの対象となります。 ホスト マシンのポリシーは、仮想マシンの転送プロファイルには影響しません。
  • グローバル セキュア アクセス クライアント が仮想マシンに インストールされていない場合、仮想マシンのネットワーク トラフィックはバイパスされます。
• グローバル セキュリティで保護されたアクセス クライアントは、仮想マシンのネットワーク トラフィックをブロックする可能性があるため、ネットワーク 共有 モードをサポートしていません。
• ネットワークが共有 モード 場合は、クライアントがホスト コンピューターにもインストールされていない限り、macOS を実行している仮想マシンにグローバル セキュリティで保護されたアクセス クライアントをインストールできます。

QUIC はインターネット アクセスでサポートされていません

QUIC はまだインターネット アクセスでサポートされていないため、ポート 80 UDP と 443 UDP へのトラフィックはトンネリングできません。

先端

QUIC は現在、プライベート アクセスと Microsoft 365 ワークロードでサポートされています。 管理者はブラウザーで QUIC プロトコルを無効にして、クライアントが TCP 経由で HTTPS にフォールバックするようにトリガーできます。これは、インターネット アクセスで完全にサポートされています。 詳細については、インターネット アクセスでサポートされていない QUIC を参照してください。

Android 用グローバル セキュア アクセス クライアントの既知の制限事項は次のとおりです。

• Android (Go エディション) を実行しているモバイル デバイスは、現在サポートされていません。
• 共有デバイス上の Android 上の Microsoft Defender for Endpoint は現在サポートされていません。
• デバイスでプライベート ドメイン ネーム システム (DNS) を無効にする必要があります。 この設定は、多くの場合、[システム > ネットワークとインターネット] オプションにあります。
• Microsoft Defender for Endpoint と共に Microsoft 以外のエンドポイント保護製品を実行すると、パフォーマンスの問題や予期しないシステム エラーが発生する可能性があります。
• Microsoft Tunnel とのグローバル なセキュリティで保護されたアクセスの共存は現在サポートされていません。 詳細については、「Intuneの Microsoft Tunnel の前提条件」を参照してください。

Android 用グローバル セキュア アクセス クライアントの既知の制限事項は次のとおりです。

• トンネリング クイック ユーザー データグラム プロトコル (UDP) インターネット接続 (QUIC) トラフィック (Exchange Online を除く) はサポートされていません。
• Microsoft Tunnel とのグローバル なセキュリティで保護されたアクセスの共存は現在サポートされていません。 詳細については、「Intuneの Microsoft Tunnel の前提条件」を参照してください。

リモート ネットワークの制限事項

リモート ネットワークの既知の制限事項は次のとおりです。

• テナントあたりのリモート ネットワークの最大数は 10 です。 リモート ネットワークあたりのデバイス リンクの最大数は 4 です。
• Microsoft トラフィックは、グローバル セキュリティで保護されたアクセス クライアントなしでリモート ネットワーク接続を介してアクセスされます。 ただし、条件付きアクセス ポリシーは適用されません。 つまり、グローバル セキュア アクセス Microsoft トラフィックの条件付きアクセス ポリシーは、ユーザーがグローバル セキュア アクセス クライアントを持っている場合にのみ適用されます。
• Microsoft Entra Private Access には、グローバル セキュリティで保護されたアクセス クライアントを使用する必要があります。 リモート ネットワーク接続では、Microsoft Entra Internet Access のみがサポートされます。
• 現時点では、リモート ネットワークは Microsoft トラフィック転送プロファイルにのみ割り当てることができます。

アクセス制御の制限事項

アクセス制御の既知の制限事項は次のとおりです。

• Microsoft トラフィックのユニバーサル条件付きアクセスでは、継続的アクセス評価 (CAE) は現在サポートされていません。
• プライベート アクセス トラフィックへの条件付きアクセス ポリシーの適用は現在サポートされていません。 この動作をモデル化するには、クイック アクセス アプリとグローバル セキュア アクセス アプリのアプリケーション レベルで条件付きアクセス ポリシーを適用します。 詳細については、「プライベート アクセス アプリへの条件付きアクセスの適用 」を参照してください。
• Microsoft トラフィックは、グローバル セキュア アクセス クライアントなしでリモート ネットワーク接続を介してアクセスできます。ただし、条件付きアクセス ポリシーは適用されません。 つまり、グローバル セキュア アクセス Microsoft トラフィックの条件付きアクセス ポリシーは、ユーザーがグローバル セキュア アクセス クライアントを持っている場合にのみ適用されます。
• 継続的アクセス評価を使用した準拠ネットワーク チェック データ プレーンの適用 (プレビュー) は、SharePoint Online と Exchange Online でサポートされています。
• グローバル セキュア アクセス条件付きアクセスシグナリングを有効にすると、認証プレーン (Microsoft Entra ID) とデータ プレーン シグナリング (プレビュー) の両方のシグナリングが可能になります。 現時点では、これらの設定を個別に有効にすることはできません。
• 現在、プライベート アクセス アプリケーションでは、準拠しているネットワーク チェックはサポートされていません。
• ソース IP 復元が有効になっている場合は、ソース IP のみが表示されます。 グローバル セキュリティで保護されたアクセス サービスの IP アドレスが表示されません。 グローバル セキュア アクセス サービスの IP アドレスを表示する場合は、ソース IP 復元を無効にします。
• 現在、元のソース IP アドレスは継続的アクセス評価 (CAE) によって保護されている Microsoft 以外のリソースでは認識されないため、IP の場所ベースの条件付きアクセス ポリシーを評価 Microsoft リソース のみです。
• CAE の 厳密な場所の強制を使用している場合、ユーザーは信頼できる IP 範囲内にあるにもかかわらずブロックされます。 この条件を解決するには、次のいずれかの推奨事項を実行します。
  • Microsoft 以外のリソースを対象とする IP の場所ベースの条件付きアクセス ポリシーがある場合は、厳密な場所の適用を有効にしないでください。
  • ソース IP 復元でトラフィックがサポートされていることを確認します。 そうでない場合は、関連するトラフィックをグローバル セキュリティで保護されたアクセス経由で送信しないでください。
• 現時点では、プライベート アクセス トラフィックを取得するには、グローバル セキュリティで保護されたアクセス クライアントを介した接続が必要です。
• データ プレーン保護機能はプレビュー段階です (認証プレーンの保護は一般提供されています)。
• ユニバーサル テナント制限を有効にし、許可リストのテナントの Microsoft Entra 管理センターにアクセスすると、"アクセスが拒否されました" というエラーが表示されることがあります。 このエラーを修正するには、Microsoft Entra 管理センターに次の機能フラグを追加します。
  • ?feature.msaljs=true&exp.msaljsexp=true
  • たとえば、Contoso で働いているとします。 パートナー テナントである Fabrikam が許可リストにあります。 Fabrikam テナントの Microsoft Entra 管理センターのエラー メッセージが表示される場合があります。
    • URL https://entra.microsoft.com/の "アクセスが拒否されました" というエラー メッセージを受け取った場合は、次のように機能フラグを追加します https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home
• ユニバーサル CAE を認識するのは、バージョン 1.8.239.0 以降の Windows 用グローバル セキュア アクセス クライアントのみです。 他のプラットフォームでは、グローバル セキュリティで保護されたアクセス クライアントは通常のアクセス トークンを使用します。
• Microsoft Entra ID は、グローバル セキュリティで保護されたアクセスの有効期間が短いトークンを発行します。 ユニバーサル CAE アクセス トークンの有効期間は 60 ~ 90 分で、ほぼリアルタイムの失効がサポートされます。
• Microsoft Entra ID シグナルがグローバル セキュア アクセス クライアントに到達し、ユーザーに再認証を求めるのに約 2 ~ 5 分かかります。
• ユーザーは、再認証を完了するために CAE イベントを受信した後、2 分間の猶予期間を持ちます。 2 分後、ユーザーが Global Secure Access クライアントに正常にサインインするまで、グローバル セキュリティで保護されたアクセスを経由する既存のネットワーク フローが中断されます。

トラフィック転送プロファイルの制限事項

トラフィック転送プロファイルの既知の制限事項は次のとおりです。

• 個々のサービスは、継続的に Microsoft トラフィック プロファイルに追加されます。 現在、Microsoft Entra ID、Microsoft Graph、Exchange Online、および SharePoint Online は、Microsoft トラフィック プロファイルの一部としてサポートされています
• 現時点では、プライベート アクセス トラフィックはグローバル セキュア アクセス クライアントでのみ取得できます。 プライベート アクセス トラフィックをリモート ネットワークから取得することはできません。
• IP アドレスによるプライベート アクセス宛先へのトラフィックのトンネリングは、エンド ユーザー デバイスのローカル サブネット以外の IP 範囲でのみサポートされます。
• トラフィック転送プロファイルの完全修飾ドメイン名 (FQDN) の規則に基づいてネットワーク トラフィックをトンネリングするには、HTTPS 経由の DNS (セキュリティで保護された DNS) を無効にする必要があります。

プライベート アクセスの制限事項

プライベート アクセスの既知の制限事項は次のとおりです。

• クイック アクセス アプリとグローバル セキュア アクセス アプリの間でアプリ セグメントが重複しないようにします。
• クイック アクセスとアプリごとのアクセスの間でアプリ セグメントが重複しないようにします。
• IP アドレスによるプライベート アクセス宛先へのトラフィックのトンネリングは、エンド ユーザー デバイスのローカル サブネット以外の IP 範囲でのみサポートされます。
• 現時点では、プライベート アクセス トラフィックはグローバル セキュア アクセス クライアントでのみ取得できます。 リモート ネットワークをプライベート アクセス トラフィック転送プロファイルに割り当てることはできません。

インターネット アクセスの制限事項

インターネット アクセスの既知の制限事項は次のとおりです。

• 現在、管理者は、最大 8,000 個の FQDN に基づいて、最大 100 個の Web コンテンツ フィルタリング ポリシーと最大 1,000 個のルールを作成できます。 管理者は、最大 256 個のセキュリティ プロファイルを作成することもできます。
• このプラットフォームでは、HTTP/S トラフィックの標準ポート (ポート 80 および 443) が想定されています。
• グローバル セキュリティで保護されたアクセス クライアントは、IPv6 をサポートしていません。 クライアントは IPv4 トラフィックのみをトンネルします。 IPv6 トラフィックはクライアントによって取得されないため、ネットワークに直接転送されます。 すべてのトラフィックがグローバル セキュア アクセスにルーティングされるようにするには、ネットワーク アダプターのプロパティを IPv4 優先設定します。
• UDP は、このプラットフォームではまだサポートされていません。
• ユーザー フレンドリなエンド ユーザー通知が開発中です。
• インターネット アクセスのリモート ネットワーク接続は開発中です。
• トランスポート層セキュリティ (TLS) 検査は開発中です。
• HTTP トラフィックと HTTPS トラフィックの URL パス ベースのフィルター処理と URL 分類は開発中です。