グローバル セキュア アクセス クライアントのトラブルシューティング: 詳細な診断
このドキュメントでは、グローバル セキュア アクセス クライアントのトラブルシューティングに関するガイダンスを提供します。 詳細な診断ユーティリティの各タブについて詳しく説明します。
はじめに
グローバル セキュア アクセス クライアントはバックグラウンドで動作し、関連するネットワーク トラフィックをグローバル セキュア アクセスにルーティングします。 ユーザーの操作は必要ありません。 詳細な診断ツールを使用すると、クライアントの動作が管理者に表示され、トラブルシューティングに役立ちます。
詳細な診断ツールを起動する
詳細な診断ツールを起動するには:
- システム トレイにある [グローバル セキュア アクセス クライアント] アイコンを右クリックします。
- [高度な診断] を選びます。 これを有効にすると、ユーザー アカウント制御 (UAC) によって特権の昇格が求められます。
[概要] タブ
詳細な診断の [概要] タブには、グローバル セキュア アクセス クライアントに関する一般的な構成の詳細が表示されます。
- ユーザー名: クライアントへの認証を行ったユーザーの Microsoft Entra ユーザー プリンシパル名。
- デバイス ID: Microsoft Entra 内のデバイスの ID。 デバイスはテナントに参加している必要があります。
- テナント ID: クライアントが指しているテナントの ID。デバイスが参加しているのと同じテナントです。
- 転送プロファイル ID: クライアントが現在使用している転送プロファイルの ID。
- 転送プロファイル最終確認日時: 更新された転送プロファイルをクライアントが最後に確認した時刻。
- クライアント バージョン: デバイスに現在インストールされているグローバル セキュア アクセス クライアントのバージョン。
![[詳細な診断] ダイアログ ボックスの [概要] タブのグローバル セキュア アクセス クライアントを示すスクリーンショット。](media/troubleshoot-global-secure-access-client-advanced-diagnostics/global-secure-access-client-advanced-diagnostics-overview-tab.png)
[正常性チェック] タブ
[正常性チェック] タブでは、クライアントが正常に機能し、そのコンポーネントが動作していることを確認するための一般的なテストを実行します。 [正常性チェック] タブの詳細については、「グローバル セキュア アクセス クライアントのトラブルシューティング: [正常性チェック] タブ」をご覧ください。
[転送プロファイル] タブ
[転送プロファイル] タブには、転送プロファイルに設定されている現在のアクティブなルールのリストが表示されます。 このタブには次の情報が含まれています。
- 転送プロファイル ID: クライアントが現在使用している転送プロファイルの ID。
- 転送プロファイル最終確認日時: 更新された転送プロファイルをクライアントが最後に確認した時刻。
- 更新の詳細: クライアントのキャッシュから転送データを再度読み込む場合に選択します (前回の更新以降に更新された場合)。
- ポリシー テスター: 特定の宛先への接続のアクティブなルールを表示する場合に選択します。
- フィルターの追加: 特定のフィルター プロパティ セットに従ってルールのサブセットのみを表示するようにフィルターを設定する場合に選択します。
- 列: テーブルに表示される列を選ぶ場合に選択します。
![[詳細な診断] ダイアログ ボックスの [転送プロファイル] タブのグローバル セキュア アクセス クライアントを示すスクリーンショット。](media/troubleshoot-global-secure-access-client-advanced-diagnostics/global-secure-access-client-advanced-diagnostics-forwarding-profile-tab.png)
[ルール] セクションには、各ワークロード別にグループ化されたルールのリスト (M365 ルール、プライベート アクセス ルール、インターネット アクセス ルール) が表示されます。 このリストには、お使いのテナントでアクティブ化されたワークロードのルールのみが含まれます。
ヒント
ルールに複数の宛先 (完全修飾ドメイン名 (FQDN) または IP 範囲) が含まれている場合、ルールは宛先ごとに 1 行で複数の行にわたります。
各ルールで使用可能な列は次のとおりです。
- 優先度: ルールの優先度。 優先度が高い (数値が小さい) ルールは、優先度が低いルールよりも優先されます。
- 宛先 (IP/FQDN): トラフィックの宛先 (FQDN または IP で指定)。
- プロトコル: トラフィックのネットワーク プロトコル (TCP または UDP)。
- ポート: トラフィックの宛先ポート。
- アクション: デバイスからの送信トラフィックが宛先、プロトコル、およびポートと一致したときにクライアントが実行するアクション。 サポートされているアクションはトンネル (グローバル セキュア アクセスへのルート) またはバイパス (宛先に直接移動) です。
- セキュリティ強化: トラフィックをトンネリング (グローバル セキュア アクセスにルーティング) する必要があるが、クラウド サービスへの接続に失敗した場合のアクション。 サポートされているセキュリティ強化アクションは、ブロック (接続の削除) またはバイパス (接続をネットワークに直接移動させる) です。
- ルール ID: 転送プロファイル内のルールの一意識別子。
- アプリケーション ID: ルールに関連付けられているプライベート アプリケーションの ID。 この列は、プライベート アプリケーションにのみ関連します。
[ホスト名の取得] タブ
[ホスト名の取得] タブでは、転送プロファイルの FQDN 規則に基づいて、クライアントが取得したホスト名のライブ リストを収集できます。 各ホスト名は新しい行に表示されます。
- 収集の開始: 取得したホスト名のライブ コレクションを開始する場合に選択します。
- CSV のエクスポート: 取得したホスト名の一覧を CSV ファイルにエクスポートする場合に選択します。
- テーブルのクリア: テーブルに表示されている取得したホスト名をクリアする場合に選択します。
- フィルターの追加: フィルターを設定して、特定のフィルター プロパティのセットに従って取得したホスト名のサブセットのみを表示するように選択します。
- 列: テーブルに表示される列を選ぶ場合に選択します。
ホスト名ごとに、使用可能な列は次のとおりです。
- タイムスタンプ: 各 FQDN ホスト名取得の日付と時刻。
- FQDN: 取得したホスト名の FQDN。
- 生成された IP アドレス: 内部で使うためにクライアントによって生成された IP アドレス。 この IP は、対応する FQDN に確立された接続のトラフィックタブに表示されます。
- 取得済み: FQDN が転送プロファイルのルールと一致するかどうかを示す Yes または No が表示されます。
- 元の IP アドレス: FQDN のクエリを実行したときの DNS 応答での最初の IPv4 アドレスです。 エンド ユーザー デバイスが指す DNS サーバーが、クエリに対して IPv4 アドレスを返さない場合、元の IP アドレス列は空白値が表示されます。
[トラフィック] タブ
[トラフィック] タブでは、転送プロファイルのルールに基づいて、デバイスによって開かれた接続のライブ リストを収集できます。 各接続は新しい行で表示されます。
- 収集の開始: 接続のライブ コレクションを開始する場合に選択します。
- CSV のエクスポート: 接続の一覧を CSV ファイルにエクスポートする場合に選択します。
- テーブルのクリア: テーブルに表示されている接続をクリアする場合に選択します。
- フィルターの追加: フィルターを設定して、特定のフィルター プロパティのセットに従って接続のサブセットのみを表示する場合に選択します。
- 列: テーブルに表示される列を選ぶ場合に選択します。
接続ごとに、使用可能な列は次のとおりです。
- タイムスタンプの開始: オペレーティング システムが接続を開始した時刻。
- タイムスタンプの終了: オペレーティング システムが接続を終了した時刻。
- 接続の状態: 接続がまだアクティブであるか、既に終了されているかを示します。
- プロトコル: 接続のネットワーク プロトコル (TCP または UDP)。
- 宛先 FQDN: 接続の宛先 FQDN。
- ソースポート : 接続のソースポート。
- [宛先 IP]: 接続の宛先 IP。
- 宛先ポート: 接続の宛先ポート。
- 相関ベクトル ID: ポータルのグローバル セキュア アクセス トラフィック ログと関連付けることができる各接続に属性付けされた一意の ID。 Microsoft サポートは、この ID を使用して、特定の接続に関連する内部ログを調査することもできます。
- プロセス名: 接続を開始したプロセスの名前。
- プロセス ID: 接続を開いたプロセスの ID 番号。
- 送信バイト数: デバイスから宛先に送信されたバイト数。
- 受信バイト数: デバイスが宛先から受信したバイト数。
- チャネル: 接続がトンネリングされたチャネル。Microsoft 365、プライベート アクセス、またはインターネット アクセス。
- フロー ID: 接続の内部 ID 番号。
- ルール ID: この接続のアクションを決定するために使用される転送プロファイル ルールの識別子。
- アクション: この接続に対して実行されたアクション。考えられるアクションは次のとおりです。
- トンネル: クライアントは、クラウド内のグローバル セキュア アクセス サービスへの接続をトンネリングしました。
- バイパス: 接続は、クライアントによる介入なしで、デバイスのネットワークを介して宛先に直接送信されます。
- ブロック: クライアントが接続をブロックしました (セキュリティ強化モードでのみ可能)。
- セキュリティ強化: この接続にセキュリティ強化が適用されたかどうかを示します。[はい] または [いいえ] にすることができます。 セキュリティ強化は、グローバル セキュリティで保護されたアクセス サービスにデバイスから到達できない場合に適用されます。
[詳細ログ収集] タブ
[詳細ログ収集] タブでは、特定の期間中にクライアント、オペレーティング システム、およびネットワーク トラフィックの詳細ログを収集できます。 ログは、調査のために管理者または Microsoft サポートに送信できる ZIP ファイルにアーカイブされます。
- 記録を開始する: 詳細ログの記録を開始する場合に選択します。 記録中に問題を再現する必要があります。
- 記録の停止: 問題を再現した後、このボタンを選択して記録を停止し、収集したログを ZIP ファイルに保存します。 トラブルシューティングのサポートと ZIP ファイルを共有します。
![[詳細ログ収集] タブの [グローバル なセキュリティで保護されたアクセス クライアント : 詳細な診断] ダイアログ ボックスを示すスクリーンショット。](media/troubleshoot-global-secure-access-client-advanced-diagnostics/global-secure-access-client-advanced-advanced-log-collection-tab.png)