[GSA: Internet] Explicit Forward Proxy (Preview) + Intune MAM BYOD シナリオを試す

はじめに

この記事では、Microsoft Learn の以下のドキュメントを一次情報として、
Microsoft Entra Global Secure Access（GSA）の Explicit Forward Proxy（プレビュー）を Intune のアプリ管理ポリシーで構成する方法を整理します。

「GSA クライアントを入れずに Internet Access を使いたい」「Edge のみを対象に Explicit Forward Proxy を配布したい」といったケースを検討している方に向けた内容です。

MAM と GSA (EFP) を組み合わせることで、何ができるのか？
個人所有 (BYOD) PC 上の Edge を使って、Microsoft 365 の業務データを安全（コピペ、印刷などの制御）に利用することが可能になります。そして、そのブラウザセッションからのみ、企業が許可した Web フィルタリング、ファイルアップロード・ダウンロードの制御、脅威インテリジェンス、AI プロンプトポリシー などを適用することができるようになります。

公開情報：Intune アプリケーション管理ポリシーを使用して明示的な転送プロキシ (プレビュー) を使用してMicrosoft Edgeを構成する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-explicit-forward-proxy-intune-policy?wt.mc_id=MVP_407731

1. 背景・概要

Explicit Forward Proxy（以下 EFP）は、Microsoft Entra Global Secure Access の Microsoft Entra Internet Access 機能を、PAC ファイルを用いた明示的プロキシ構成として利用するための仕組みです。

この Microsoft Learn では、EFP を Intune の Mobile Application Management（MAM）ポリシーを使って Microsoft Edge に配布する方法が紹介されています。

ポイントは以下です。

• OS 全体のプロキシ設定ではなく、Edge アプリ単位で設定を配布する
• PAC ファイル URL と TLS 検査用の証明書信頼を Intune から自動配布できる
• Global Secure Access クライアントを前提としない構成が可能

この機能は 2026 年 5 月時点でプレビューであり、仕様変更の可能性がある点が明記されています。

2. 前提条件

Microsoft Learn に記載されている前提条件は以下の通りです。

• 2-1. 管理者ロール
• 2-2. 対象ユーザーを含む Microsoft Entra ID のセキュリティグループ
• 2-3. GSA Explicit Forward Proxy の構成
• 2-4. GSA TLS インスペクションの構成
• 2-5. Intune MAM の動作を構成し 単体確認しておく

公開情報：前提条件
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-explicit-forward-proxy-intune-policy?wt.mc_id=MVP_407731#prerequisites

2-1. 管理者ロール

• Global Secure Access Administrator Reader
• Intune Administrator

2-2. 対象ユーザーを含む Microsoft Entra ID のセキュリティグループ

あらかじめ セキュリテイグループ を作成し、MAM 登録を許可するユーザーを追加しておてください。
※本記事では、MAM というセキュリティグループ を作成し、mam@carol226.com というユーザーをグループに含めた状態で説明しています。

2-3. GSA Explicit Forward Proxy の構成

以下の記事は、GSA Explicit Forward Proxy (EFP) を動作させるための設定方法を説明しています。
まずは、基本的な EFP の動作を確認しておくことをお勧めします。

[GSA : Internet] Explicit Forward Proxy (Preview) の構成手順と検証レポート
https://qiita.com/carol0226/items/1ea6d0608c177923a667

2-4. GSA TLS インスペクションの構成

上記 2-3 の GSA Explicit Forward Proxy を事前検証していれば、TLS インスペクションも構成済みとなっているハズです。

[GSA : Internet] TLS インスペクションを構成する完全ガイド（AD CS 対応）
https://qiita.com/carol0226/items/9cda8cfa8c6b437f1161

上記の作業で使用した .pem ファイルを 本記事でも活用します。

2-5. Intune MAM の動作を構成し 単体確認しておく

本記事では、最終的に GSA EFP と Intune MAM を連携させた動作となります。
Intune MAM を機能させるための要件を確認しておいてください。

丸1日溶かした アンマネージドな MAM 登録：Windows 11新UI・MDM分岐・ライセンス罠を全部整理する【BYOD】
https://qiita.com/carol0226/items/1b4eb70e10999f0c079c

アンマネージドな MAM を登録した BYOD 環境で実現できるアプリ保護・構成・制御とは？
https://qiita.com/carol0226/items/8001e08bb2195cd7b09d

ポイント
MAM を機能させられるようになっておけば、EFP + MAM は比較的 簡単に構成することができます。

3. 制限事項

Learn には明確に以下の制限が記載されています。

• 対象は Windows 版 Microsoft Edge のみ
• デバイスに MDM が構成されており、Edge に対する競合する MDM ポリシーが存在する場合、この MAM ポリシーは適用されません（つまり、Intune に参加していないデバイスで検証する必要があります）

公開情報：制限事項
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-explicit-forward-proxy-intune-policy?wt.mc_id=MVP_407731#limitations

4. 構成手順の全体像

Learn の手順は、大きく以下の流れで構成されています。

• 4-1. PAC ファイル URL の取得
• 4-2. 証明書を文字列に変換する
• 4-3. Intune で Edge 向けアプリ管理ポリシーを作成
• 4-4. 動作確認

公開情報：コンフィギュレーション
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-explicit-forward-proxy-intune-policy?wt.mc_id=MVP_407731#configuration

4-1. PAC ファイル URL の取得

1．Microsoft Entra 管理センターで以下に移動します。
https://entra.microsoft.com

2．グローバル セキュア アクセス > 設定 > セッション管理 > 明示的な転送プロキシ に移動します。

3．ここで表示される PAC ファイルの URLをコピーします。

4．コピーした文字列を 以下の太字の部分に貼り付けて合成します。
{"ProxyMode":"pac_script","ProxyPacMandatory":false,"ProxyPacUrl":"URL_you_copied_from_the_Entra_portal"}

（貼り付けた結果は、以下のようになります）
{"ProxyMode":"pac_script","ProxyPacMandatory":false,"ProxyPacUrl":"https://pac.globalsecureaccess.microsoft.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/xxxxxxxx"}

上記の文字列を あとの手順で利用します。

インターネットアクセス の設定が "無効" だった場合

以下の記事を参考に EFP を有効化してください。

[GSA : Internet] Explicit Forward Proxy (Preview) の構成手順と検証レポート
https://qiita.com/carol0226/items/1ea6d0608c177923a667

公開情報：PAC ファイルの URL を取得する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-explicit-forward-proxy-intune-policy?wt.mc_id=MVP_407731#1-get-the-url-of-the-pac-file

4-2. 証明書を文字列に変換する

TLS インスペクションを構成した際に利用した .pem ファイルを使用します。
そのままでは使えないので、コマンドを実行して 連続するプレーンテキスト文字列に変換する必要があります。

1．.pem または .cer プレーンテキスト キーが格納されている場所にディレクトリを変更します。

テキスト or バイナリ の確認
2．以下のコマンドを実行します。

if ((Get-Content Chain.pem -First 1) -match '-----BEGIN') { 'PEM (plain text)' } else { 'DER (binary)' }

以下のように PEM (plain text) と表示されれば OK です。

プレーンテキストキー を 連続するプレーンテキスト文字列 へ変換
3．以下のコマンドで 変換 を実行します。

(Get-Content Chain.pem | Where-Object { $_ -notmatch '-----' }) -join ''

以下のように出力されたら、テキスト全体を範囲指定して コピーします。このコピー文字列は あとの手順で使用します。

公開情報：キーを文字列に変換する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-explicit-forward-proxy-intune-policy?wt.mc_id=MVP_407731#4-convert-the-key-into-a-string

以下の私の記事を見て TLS インスペクションの証明書を作った場合は、

[GSA : Internet] TLS インスペクションを構成する完全ガイド（AD CS 対応）
https://qiita.com/carol0226/items/9cda8cfa8c6b437f1161

以下が 使用する .pem ファイルになります。

.pem ファイルがどこかに行ってしまった場合は、3. 署名済み証明書のアップロード の章を見て ADCS から ルート証明書：certnew.cer と 証明書チェーン：certnew.p7b をダウンロードしなおして再作成してください。

4-3. Intune で Edge 向けアプリ管理ポリシーを作成

この章では、
Microsoft Edge（Windows）限定で Explicit Forward Proxy（PAC + 証明書信頼）を適用する
アプリ構成ポリシー（Managed apps） を作成しています。

1．Intune 管理センターで以下を実施します。
https://intune.microsoft.com

2．以下を開く
Apps > Manage apps > Configuration
＋ Create > Managed Apps

3．以下を参考に 画面への入力を行います。

• 名前は任意（例：GSA Explicit Forward Proxy Settings for Edge）
• Target policy to：選択されているアプリ
• パブリックアプリから Microsoft Edge / Windows を選択

4．設定カタログ タブでは、＋設定の追加 を押します。

設定ピッカー の画面では、Microsoft Edge\Proxy server を検索して選びます。
Proxy settings にチェックを入れて、右上の ｘ（閉じる）を押します。

以下の赤下線部に、ここに先ほど取得した PAC ファイル URL を指定

• Microsoft Edge Certificate management settings
  • TLS server certificates that should be trusted by Microsoft Edge
    • TLS 検査用ルート証明書の公開鍵を設定
      

.pem から変換した 連続したプレーンテキスト文字列 を、以下の場所に貼り付けます。

5．最終的には、以下の画面になっているハズです。次へ を押して進めます。

6．設定 タブでは、そのまま 次へ を押して進めます。

7．割り当て タブでは、グループの追加 を押して、事前に用意していた MAM グループを選択します。

8．選択したグループが追加されたことを確認して 次へ を押して進めます。

9．確認および作成 タブで、最終確認を実施して、作成 を押します。

10．以下のように変更されれば OK です。

4-4. 動作確認

設定が正しく構成されていると、

Edge → PAC ファイル参照 → GSA Explicit Forward Proxy → Microsoft Entra Internet Access

という通信経路が、Edge に対して明示的に適用されるようになります。

Edge のプロファイルにサインインした MAM ユーザーだけが アプリ保護ポリシーで許可された操作のみを実施できます。その他の Edge プロファイルのユーザーは、通常通りのブラウザ操作となります。

動作確認としては、

• Edge の通信が GSA 経由になっているか（CMAN で確認可）
• TLS 検査が有効になっているか
• 脅威インテリジェンスが機能するか
• AI プロンプトポリシーが機能するか

などを確認することができます。

以下のように 1台 の PC 上の Edge で、別々のプロファイルで画面を開いて 上下に並べてみました。
MAM + EFP の場合だけ GSA 経由の通信になっていることが分かります。
（送信元 IP の確認）

（Microsoft 365 Apps の確認）

注） 実際には、MAM のアプリ保護ポリシーでコピーを禁止すると、スクリーンキャプチャも禁止されて、下半分だけ 真っ黒になります。その画像を上記に貼っても何だかわからないので、画像編集でディスプレイ上の見た目を再現させています。

トラブルシューティング

意図したとおりに機能しない場合は、まず、Edge にアプリ構成ポリシーが適用されているのか否か？ で切り分けます。

ブラウザの URL 欄に、edge://policy と入力することで判別できます。

• ポリシーが取得できていない場合は、MAM の制御に問題があります。
• ポリシーが取得できている場合は、本記事内の EFP の構成（pem や PROXY 文字列）に問題があります。

edge://policy は、edge のアドレス欄に入力することで、アプリ構成ポリシーの結果を画面表示で確認することができます。この結果で アンマネージドな MAM 登録が成功している裏付けとなります。

ポリシーが取得できた場合の結果例
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-explicit-forward-proxy-intune-policy?wt.mc_id=MVP_407731#validation

ポリシーが取得できなかった場合

5. まとめ・学び

• Explicit Forward Proxy を使うことで、GSA クライアント不要で Internet Access を利用できる
• Intune の アプリ保護ポリシー および 条件付きアクセスによるアプリ保護の強制 によって、Edge 単位に安全に展開可能
• PAC ファイル URL と TLS 検査証明書が構成の要
• プレビュー機能のため、PoC や限定展開から始めるのが現実的

Global Secure Access を「クライアント前提」にせずに展開したい場合の 一つの現実的な選択肢 として、覚えておくと実務で役立つ構成だと感じました。