Windows 用グローバルセキュリティで保護されたアクセスクライアントの問題のトラブルシューティング

[アーティクル]
04/13/2024

グローバルセキュリティで保護されたアクセスクライアントは、マネージド Microsoft Windows デバイス (つまり、Microsoft Entra ハイブリッド参加デバイスまたはMicrosoft Entra参加済みデバイス) に展開されます。これにより、organizationは、これらのデバイスと、インターネットまたはイントラネット (オンプレミスの企業ネットワーク) で使用できるさまざまな Web サイト、アプリケーション、リソース間のネットワークトラフィックを制御できます。この方法を使用してトラフィックをルーティングする場合は、継続的アクセス評価 (CAE)、デバイスコンプライアンス、多要素認証など、より多くのチェックと制御をリソースアクセスに適用できます。

インストール

次の方法を使用して、マネージド Windows デバイスにグローバルセキュリティで保護されたアクセスクライアントをインストールできます。

ローカル管理者として Windows デバイスにダウンロードしてインストールします。
Microsoft Entra ハイブリッド参加デバイスのActive Directory Domain Services (AD DS) グループポリシーを使用してデプロイします。
Microsoft Entra ハイブリッド参加または参加済みデバイスのIntuneまたはその他の MDM サービスMicrosoft Entra展開します。

グローバルセキュリティで保護されたアクセスクライアントをインストールしようとしたときにエラーが発生した場合は、次の項目をチェックします。

Windows 用グローバルセキュリティで保護されたアクセスクライアントの前提条件
グローバルセキュリティで保護されたアクセスクライアントログのエラー (C:\Users\<username>\AppData\Local\Temp\Global_Secure_Access_Client_<number>.log)
プロセスエラーなど、その他のエラーに関するアプリケーションとシステムのイベントログ

クライアントをアップグレードしようとしたときに問題が発生した場合は、最初に以前のクライアントバージョンをアンインストールしてから、デバイスを再起動してから、もう一度インストールしてみてください。

インストールが成功した後のグローバルセキュリティで保護されたアクセスクライアントの問題のトラブルシューティングには、次のセルフサービス診断ツールを使用できます。

クライアントチェッカー
接続診断

これらのツールにアクセスするには、システムトレイを開き、グローバルセキュリティで保護されたアクセスクライアントのアイコンを右クリックし、ショートカットメニューで次のいずれかのツールを選択します。

トラブルシューティングチェックリスト

手順 1: クライアントチェッカーツールを使用する方法について説明します

クライアントチェッカーツールの手順

クライアントチェッカーツールでは、いくつかのチェックを実行して、グローバルセキュリティで保護されたアクセスクライアントの前提条件が満たされていることを確認します。次の項目を実行するためにクライアントが実行するタスクの状態が報告されます。

グローバルセキュリティで保護されたアクセスネットワークに安全に接続する
取得したトラフィックを Microsoft Entra "インターネットアクセス" または "プライベートアクセス" サービスにルーティングする

このツールが実行するすべてのタスクに状態が表示 YES される場合、これは GSA クライアントがグローバルセキュリティで保護されたアクセスサービスに接続して通信できることを示します。この状態は、アプリケーショントラフィックがグローバルセキュリティで保護されたアクセスネットワークを介して取得および送信されることを意味するものではありません。クライアントとサービスの構成に関する追加の問題により、アプリケーショントラフィックが取得されない場合や、グローバルセキュリティで保護されたアクセスがこのトラフィックをブロックする可能性があります。

次のテキストは、クライアントチェッカーツールからの完全なコンソール出力の例です。

Starting Client Checker tool
Is Device AAD joined: YES
Forwarding profile Registry Exists: YES
Process GlobalSecureAccessManagementService is running: YES
Process GlobalSecureAccessTunnelingService is running: YES
Process GlobalSecureAccessPolicyRetrieverService is running: YES
Process GlobalSecureAccessClient is running: YES
GlobalSecureAccessDriver is running: YES
GlobalSecureAccess Processes are healthy and not crashing in the last 24h: YES
Other-processes are healthy and not crashing in the last 24h: NO
Magic IP received for Fqdn m365.edgediagnostic.globalsecureaccess.microsoft.com: YES
Magic IP received for Fqdn private.edgediagnostic.globalsecureaccess.microsoft.com: YES
Cached token: YES
M365's edge reachable: YES
Private's edge reachable: YES
Channel M365 diagnosticUri in policy: YES
Channel Private diagnosticUri in policy: YES
Is secure DNS disabled in Chrome?: YES
Is secure DNS disabled in Edge?: YES
Manual Proxy is disabled: YES
Is M365 channel reachable: YES
Is Private channel reachable: YES
M365 tunneling success: YES
Private tunneling success: YES
Finished Client Checker tool, press any key to exit

次の一覧では、クライアントチェッカーツールが実行するアクションについて説明します。

グローバルセキュリティで保護されたアクセスクライアントに関連するサービスが開始されているかどうかを確認します。

停止状態または開始状態のサービスがある場合は、次の出力が表示される場合があります。
```
Process GlobalSecureAccessManagementService is running: YES
Process GlobalSecureAccessTunnelingService is running: YES
Process GlobalSecureAccessPolicyRetrieverService is running: NO
Process GlobalSecureAccessClient is running: YES
```
この場合は、次の手順に従います。
1. [ スタート] を選択し、 services.msc を検索し、サービスアプリを選択します。
2. [サービス] ウィンドウの [名前] 列で次のサービスを探し、対応する [状態] 列の値が [実行中] と等しいかどうかをチェックします。
  - グローバルセキュリティで保護されたアクセス管理サービス
  - グローバルセキュリティで保護されたアクセスポリシー取得サービス
  - グローバルセキュリティで保護されたアクセストンネリングサービス
グローバルセキュリティで保護されたアクセスドライバーが読み込まれているかどうかを確認します。

クライアントチェッカーツールでは、次の出力が生成される場合があります。
```
GlobalSecureAccessDriver is running: NO
```
この場合は、 sc クエリコマンドを実行して、ドライバーが実際に動作しているかどうかを確認します。
```
sc query GlobalSecureAccessDriver
```
コマンドの出力で sc query ドライバーが実行されていないことが示されている場合は、イベントログで、グローバルセキュリティで保護されたアクセスクライアントを含むイベント 304 を検索します。イベントによってドライバーが実行されていないことが確認された場合は、グローバルセキュリティで保護されたアクセスクライアントを再インストールします。
グローバルセキュリティで保護されたアクセスのエッジの場所にアクセスできるかどうかを確認します。

エッジの場所のアクセシビリティをチェックするには、クライアントチェッカーで次の項目がテストされます。
- Microsoft 365 およびプライベートエッジの場所に対してマジック IP アドレスを受信するかどうか
- Microsoft 365 とプライベートエッジの場所に到達できるかどうか
これらの項目のクライアントチェッカーの出力は、次のテキストのようになります。
```
Magic IP received for Fqdn m365.edgediagnostic.globalsecureaccess.microsoft.com: YES
Magic IP received for Fqdn private.edgediagnostic.globalsecureaccess.microsoft.com: YES
Cached token: YES
M365's edge reachable: YES
Private's edge reachable: YES
```
いずれかのテスト結果がである場合は NO、ファイアウォールまたは Web プロキシが接続をブロックしているかどうかを確認することを検討できます。ネットワークトレースは、次の完全修飾ドメイン名 (FQDN) の DNS 解決の問題、ドロップされたパケット、または "接続が拒否されました" エラーを特定するのに役立つ場合があります。
- m365.edgediagnostic.globalsecureaccess.microsoft.com
- private.edgediagnostic.globalsecureaccess.microsoft.com
問題を再現するには、次の Test-NetConnection コマンドレットを実行します。
```
Test-NetConnection -ComputerName <edge-fqdn> -Port 443
```
たとえば、次のコマンドレットを実行できます。
```
Test-NetConnection -ComputerName <tenant-id>.m365.client.globalsecureaccess.microsoft.com -Port 443
Test-NetConnection -ComputerName <tenant-id>.private.client.globalsecureaccess.microsoft.com -Port 443
```
コマンドレットの出力にのフィールド値Trueが表示されるTcpTestSucceeded場合、クライアントはエッジへの TCP 接続を確立できました。コマンドレットは TCP 接続を行った後、ネットワークトレースに表示するトランスポート層セキュリティ (TLS) 接続を確立します。
デバイスがMicrosoft Entra IDに参加しているかどうか、およびユーザー認証が成功したかどうかを確認します。

これらのチェックのいずれかが失敗を示している場合は、次の 1 つ以上のアクションを実行します。
- デバイスがMicrosoft Entra参加しているか、ハイブリッド参加Microsoft Entraしていることを確認します。現時点では、Microsoft Entra登録済みデバイスはサポートされていません。
- マネージドデバイスのデバイスの状態が healthyであることを確認します。詳細については、「dsregcmd コマンドを使用したデバイスのトラブルシューティング」を参照してください。
- グローバルセキュリティで保護されたアクセスが構成され、ライセンスが付与されているのと同じテナント内のMicrosoft Entra ユーザーとしてグローバルセキュリティで保護されたアクセスクライアントにサインインしていることを確認します。
- もう一度サインインする場合は、システムトレイのグローバルセキュリティで保護されたアクセスクライアントのアイコンを右クリックし、ショートカットメニューで [ ユーザーの切り替え ] を選択します。
  
  このコマンドは、ユーザーのサインインプロセスを再起動する必要があります。
- クライアントのシステムトレイアイコンにカーソルを合わせます。ヒントテキストには、グローバルセキュリティで保護されたアクセスクライアントの状態が表示されます。 ポリシーによって状態が無効と表示される場合は、クライアントが認証を求めるメッセージを表示しないようにしてください。
  
  注:
  
  以前にトラフィック転送プロファイルを無効にした場合、 ポリシーによって 無効にされたメッセージが表示されることがあります。詳細については、項目 6 (トラフィックプロファイルのセキュリティで保護されたトンネルを確立できるかどうかを確認する) を参照してください。

さまざまなトラフィックプロファイルに関連するグローバルセキュリティで保護されたアクセスポリシーがデバイスに適用されているかどうかを確認します。

クライアントチェッカーツールは、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client レジストリサブキーの存在を検索し、次のレジストリエントリを確認します。

レジストリエントリ	値の説明
ForwardingProfile	レジストリにキャッシュされるグローバルセキュリティで保護されたアクセスポリシー
TenantId	クライアントチェッカーツールがポリシーをフェッチするテナントの ID

トラフィックプロファイルのセキュリティで保護されたトンネルを確立できるかどうかを確認します。

クライアントチェッカーツールは、チャネルと Private チャネルにM365到達可能かどうか、およびそれらのチャネルへのトンネリングが成功したかどうかを判断します。次のテキストのような出力が生成されます。
```
Is M365 channel reachable: YES
Is Private channel reachable: YES
M365 tunneling success: YES
Private tunneling success: YES
```
必要なトラフィック転送プロファイルが有効になっていることを確認するには、次の手順に従います。
1. Microsoft Entra 管理センターのナビゲーションウィンドウで、[グローバルセキュリティで保護されたアクセス (プレビュー)] を展開し、[接続] を展開して、[トラフィック転送] を選択します。
2. [ トラフィック転送 ] ページで、[ トラフィック転送プロファイルの管理 ] 見出しを見つけます。
3. その見出しで、[ Microsoft 365 プロファイル ] オプションと [ プライベートアクセスプロファイル ] オプションが選択されていることを確認し、それらのプロファイル名の後に [有効] という単語が表示されていることを確認します。
トラフィック取得の問題を引き起こす可能性のある構成の問題を確認します。

クライアントチェッカーツールは、Google Chrome および Microsoft Edge ブラウザーでセキュリティで保護された DNS が無効になっているかどうかを確認し、手動プロキシが無効になっているかどうかを確認します。これらのチェックの出力は、次のテキストのようになります。
```
Is secure DNS disabled in Chrome?: YES
Is secure DNS disabled in Edge?: YES
Manual Proxy is disabled: YES
```
注:

グローバルセキュリティで保護されたアクセスの現在のリリースのいくつかの制限により、グローバルセキュリティで保護されたアクセスクライアントがアプリケーションと Web トラフィックを取得できません。これらの制限には、次のプロトコルがサポートされていないことが含まれます。 (Microsoft が新しい機能をリリースし、これらのプロトコルをサポートするため、制限事項は削除される予定です)。
- IPv6
- セキュリティで保護された DNS
- UDP トラフィック
重要

グローバルセキュアアクセスは現在 UDP トラフィックをサポートしていないため、ポート 443 への UDP トラフィックはトンネリングできません。 QUIC プロトコルを無効にして、グローバルセキュアアクセスクライアントが HTTPS (ポート 443 の TCP トラフィック) を使用してフォールバックするようにすることができます。アクセスしようとしているサーバーが QUIC をサポートしている場合は、この変更を行う必要があります (例: Microsoft Exchange Online)。 QUIC を無効にするには、次のいずれかのアクションを実行できます。
- Windows ファイアウォールで QUIC を無効にする
  
  QUIC を無効にする最も一般的な方法は、Windows ファイアウォールでその機能を無効にすることです。このメソッドは、ブラウザーやリッチクライアントアプリ (Microsoft Office など) を含むすべてのアプリケーションに影響します。 PowerShell で、次の New-NetFirewallRule コマンドレットを実行して、デバイスからの送信トラフィックすべてに対して QUIC を無効にする新しいファイアウォール規則を追加します。
```
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams
```
- Web ブラウザーで QUIC を無効にする
  
  WEB ブラウザーレベルで QUIC を無効にできます。ただし、QUIC を無効にするこの方法は、QUIC がブラウザー以外のアプリケーションで引き続き動作することを意味します。 Microsoft Edge または Google Chrome で QUIC を無効にするには、ブラウザーを開き、 試験的な QUIC プロトコル 設定 (#enable-quic フラグ) を見つけて、設定を [無効] に変更します。次の表に、ブラウザーのアドレスバーに入力する URI を示し、その設定にアクセスできるようにします。
  
  ブラウザー URI
  
  Microsoft Edge edge://flags/#enable-quic
  
  Google Chrome chrome://flags/#enable-quic

ブラウザー	URI
Microsoft Edge	`edge://flags/#enable-quic`
Google Chrome	`chrome://flags/#enable-quic`

手順 2: 接続診断ツールを使用する方法について説明します

接続診断ツールの手順

接続診断ツールを使用して、サービスが実行されているか、ホストの取得が発生しているかを確認できます。接続診断ツールを開くと、[グローバルセキュアアクセスクライアント接続診断] ウィンドウが表示されます。

[概要] タブ

接続診断ツールが最初に開き、[ 概要 ] タブが開きます。このタブには、次の情報が表示されます。

ポリシーが最後に更新されたとき
ポリシーのバージョン
テナント ID (GUID)
ホスト名の取得が発生したかどうか (色付きの箇条書きを使用してその状態を示す)

[ 概要 ] タブは次の図のようになります。

[サービス] タブ

[ サービス ] タブには、さまざまなサービスの状態が表示されます。次の図では、緑色の箇条書きはトンネリングサービスと管理サービスが実行されていることを示し、赤い箇条書きはポリシー取得サービスが実行されていないことを示しています。

[チャネル] タブ

[ チャネル ] タブには、使用可能なトラフィックプロファイルが表示され、トラフィックプロファイルに対して確立されたトンネルの状態が示されます。状態を取得するために、接続診断ツールはキープアライブ正常性プローブを次の FQDN に送信します。

m365.edgediagnostic.globalsecureaccess.microsoft.com
private.edgediagnostic.globalsecureaccess.microsoft.com
<tenant-id>.edgediagnostic.globalsecureaccess.microsoft.com

注:

プローブの実際の URL は、次の文字列 https://m365.edgediagnostic.globalsecureaccess.microsoft.com:6543/connectivitytest/ping のようになります。(M365 チャネルの場合)。

次の図では、[ チャネル ] タブに M365 トンネルと プライベート トンネルの横に緑色の行頭文字が表示され、正常に動作していることを示しています。

HostNameAcquisition タブ

[HostNameAcquisition] タブには、グローバルセキュリティで保護されたアクセスクライアントによって取得され、準拠ネットワーク経由でルーティングされるトラフィックの URL と IP アドレスが表示されます。この情報は、次のデータ列を含む表形式で表示されます。

タイムスタンプ
FQDN
生成された IP アドレス
元の IPv4 アドレス
処理時間
パケット ID

HostNameAcquisition タブは次の図のようになります。

アプリケーションまたはリソースの IP アドレスが [HostNameAcquisition ] タブに表示されない場合は、リソースへのアクセス中にネットワークトレースを収集します。トレースを調べて、ネットワークトラフィックが別のルートを通過したかどうかを判断します。

グローバルセキュリティで保護されたアクセスクライアントの既知の制限があるため、次の条件が満たされていることを確認します。

IPv6 トラフィックが使用されていない
Web ブラウザーでセキュリティで保護された DNS が無効になっている
ブラウザーで DNS 解決とキャッシュが無効になっている

注:

最初の 2 つの条件を実装するには、「 IPv6 とセキュリティで保護された DNS を無効にする」を参照してください。

デバイスで代替の Web プロキシまたはセキュリティで保護されたアクセスサービスエッジ (SASE) ソリューションを使用していますか? この場合は、Web プロキシまたは SASE ソリューションを構成して、グローバルセキュリティで保護されたアクセスネットワークを経由するのと同じトラフィックを取得しないようにします。 Web プロキシでこの構成を変更する方法については、「プロキシの構成例」を参照してください。

[フロー] タブ

[ フロー ] タブには、作成されたすべての接続の一覧が表示されます。一覧に示されている接続の一部は、グローバルセキュリティで保護されたアクセスネットワーク経由でルーティングされ、他の接続は直接ルーティングされます。一覧は表形式で表示され、次の列があります。

タイムスタンプ
FQDN
送信元ポート
送信先 IP アドレス
宛先ポート
プロトコル
プロセス名
フローがアクティブですか?
送信データ[バイト]
受信データ[バイト]
認証時間
相互関係 ID

[ フロー ] タブを次の図に示します。

このタブは、グローバルセキュリティで保護されたアクセスクライアントが次の項目を処理する方法を示しています。

ネットワークトラフィック
取得されたConnections
バイパスされないConnections

グローバルセキュリティで保護されたアクセスクライアントでは、"フロー" は、グローバルセキュリティで保護されたアクセストラフィックログの "Connections" と同じです。取得されたトラフィック (つまり、6.6 を持つトラフィック) には、[フロー] タブの相関 ID を使用できます。x。x シリーズの宛先 IP アドレス) を使用して、Microsoft Entra 管理センター内の対応するエントリを検索します。管理センターで、[ グローバルセキュリティで保護されたアクセス>モニター>のトラフィックログ] を選択します。接続診断ツールの "相関 ID" は、トラフィックログアクティビティの詳細の "connectionId" フィールドと同じです。詳細については、「グローバルセキュリティで保護されたアクセス (プレビュー) トラフィックログを使用する方法」を参照してください。

また、接続のために送受信されるデータをチェックすることもできます。送受信されるデータがほとんどない場合は、問題が発生する可能性があります。または、トンネルセッションが設定されましたが、データは転送されませんでした。

手順 3: イベントログを確認する

グローバルセキュリティで保護されたアクセスクライアントには、詳細なイベントログのサポートがあります。ログを表示するには、次の手順に従います。

[スタート] を選択し、[イベントビューアー] を検索して選択します。
[イベントビューアー] ウィンドウのコンソールツリーで、[アプリケーションとサービス] [ログ>] [Microsoft>Windows>Microsoft Global Secure Access Client] の順に展開します。
[Microsoft グローバルセキュリティで保護されたアクセスクライアント] ノードで、[運用ログ] を選択します。このログ内には、次のカテゴリに属するイベントが表示されます。
- 接続処理とエラー
- 認証処理とエラー
[Microsoft グローバルセキュリティで保護されたアクセスクライアント] ノードで、デバッグ ログを選択します。このログには、次のカテゴリに属するイベントが含まれています。
- 詳細なトラフィックフロー処理
- 取得されたトラフィックまたは取得されていないトラフィック

サードパーティの情報に関する免責事項

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティサポートにお問い合わせください。 Azure フィードバックコミュニティに製品フィードバックを送信することもできます。

次の方法で共有

Windows 用グローバルセキュリティで保護されたアクセスクライアントの問題のトラブルシューティング

インストール