はじめに
Global Secure Access (GSA) の インターネットアクセス を構成するためには、前提条件 を満たす必要があるのですが、実施しなければならない項目数が多いです。
PoC 検証のために コマンドで操作する程度なら 公開情報を見ながらなんとかなりますが、運用を想定して 設定を PC へ配布することを考えると、情報が不十分で 誰もがハマる要素がてんこ盛りの状態でした。
私も、この記事を完成させるまで、数か月を要しましたが、その結集を まとめました。
特に、クライアント PC の設定を Intune のみで構成し、GSA インターネットアクセスに必要なすべての前提条件を展開できることを実証できました。その内容を一気通貫で紹介できることを本当に嬉しく思います。
GSA について、基礎的なことは 以下の記事で解説していますので、GSA について分からない場合は、先に こちらを参照ください。
GSA インターネットアクセスとは?
https://qiita.com/carol0226/items/ae2bfdb209170fb41bae
Global Secure Access (GSA) とは?
https://qiita.com/carol0226/items/29cba6c32a22893a1349
この記事で得られること
- GSA インターネットアクセスの前提条件を理解できる
- Intune だけで前提条件を満たす構成が分かる
- Health Check で All Green にするための具体的手順が分かる
GSA インターネットアクセスに必要な前提条件とは?
以下の GSA インターネットアクセス を利用するほとんどの機能(①~③ ⑤~⑦)を利用する際には、後述する公開情報で示されている 前提条件 を満たす必要がありますが、本記事では その前提事項の満たし方を解説しています。
① Web コンテンツフィルタリング
② トランスポート層セキュリティ検査(いわゆる TLS インスペクション)
➂ 脅威インテリジェンス
④ クラウド ファイアウォール
⑤ ファイルポリシー
⑥ Prompt Shield(生成 AI アプリケーションの保護)
⑦ Microsoft Copilot Studio エージェント用に Secure Web と AI Gateway を構成
参考
上記の ①~⑦ がどのような機能なのかは、以下の記事を参照ください。
https://qiita.com/carol0226/items/ae2bfdb209170fb41bae#インターネット-アクセス-について
前提条件
GSA インターネットアクセス の各種機能を動作させるためには、複雑な前提条件があります。
1つ1つ見ていきます。
公開情報:前提条件
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-web-content-filtering?wt.mc_id=MVP_407731#prerequisites
(上記の公開情報より抜粋)
上記で色分けした内容は、以下の対応が必要です。
以下の表は、GSA インターネットアクセスの前提条件を満たすための 各章へのリンク一覧です。
| 色 | 章 | 章のタイトル | 章へのリンク |
|---|---|---|---|
| 茶 | 1 | 条件付きアクセス の有効化 | リンク |
| 桃 | 2 | GSA インターネットアクセスの有効化 | リンク |
| 橙 | 3 | GSA クライアントのインストール | リンク |
| 赤 | 4 | DoH を禁止するように DNS クライアントを構成する | リンク |
| 緑 水 |
5 | Chrome および Microsoft Edge で 組み込みの DNS クライアント および QUIC を無効化 |
リンク |
| 紫 | 6 | IPv4 を優先するように OS を構成する | リンク |
| 灰 | 7 | Web コンテンツ フィルタリングを構成する | リンク |
注意点
これらの前提条件の設定を行わないと、各種 インターネットアクセス の機能が適正に動作しなくなるため、必ず 設定してください。
ポイント
タスクトレイにある GSA クライアント のアイコンをクリックし、左ペインの Troubleshooting というメニューから Run tool を開くことで 前提条件のヘルスチェックを実施できます。
Health check タブを開くとチェックが開始され、すべての前提条件を満たしていると All checks are successful と表示されます。本記事で紹介する手順によって、これらの前提条件を満たすことができます。
公開情報:Windows のグローバル セキュリティで保護されたアクセス クライアントのトラブルシューティング: [正常性チェック] タブ
https://learn.microsoft.com/ja-jp/entra/global-secure-access/troubleshoot-global-secure-access-client-diagnostics-health-check?wt.mc_id=MVP_407731
1. 条件付きアクセス の有効化
GSA インターネットアクセス による制御をおこなうためには、テナントで 条件付きアクセス が利用できるようになっている必要があります。条件付きアクセス の初回利用については、以下の記事を参照してください。
セキュリティの既定値群 と 条件付きアクセス の初回利用について
https://qiita.com/carol0226/items/51a70a561b78af567972
2. GSA インターネットアクセスの有効化
GSA の Web コンテンツ フィルタリング を動作させるためには、インターネット アクセス が構成済みである必要があります。以下の記事を参照し インターネット アクセス を機能させておいてください。
[GSA] Microsoft Entra インターネット アクセス を構成する
https://qiita.com/carol0226/items/ae2bfdb209170fb41bae
3. GSA クライアントのインストール
クライアント PC には、アプリケーション(GSA クライアント)をインストールする必要があります。
以下の記事では、手動でインストールする方法に加えて Intune で展開する方法を説明しています。
[GSA] グローバルセキュアアクセスクライアントの導入手順
https://qiita.com/carol0226/items/8e30fc6caf36c83894dc
4. DoH を禁止するように DNS クライアントを構成する
GSA インターネットネットワークアクセス を利用するためには、HTTPS 経由のドメイン ネーム システム (DNS) (Secure DNS) を無効にする必要があります。
※トラフィック転送プロファイルでは 完全修飾ドメイン名 (FQDN) の規則が利用されています。
公開情報:HTTPS 経由の DNS はサポートされていません
https://learn.microsoft.com/ja-jp/entra/global-secure-access/troubleshoot-global-secure-access-client-diagnostics-health-check#dns-over-https-not-supported
以下の私の記事で、この構成のための手順や画面キャプチャとともに、GPO や Intune による展開方法までを示しています。
[GSA:Internet] 前提条件の DoH 無効化を構成する
https://qiita.com/carol0226/items/c00c0fae1b045654469b
5. Chrome および Microsoft Edge で組み込みの DNS クライアント および QUIC を無効化
GSA は、HTTPS 経由のDNS および クイック UDP インターネット接続 (QUIC) トラフィック経由の DNS はまだサポートされていません。 そのため、ユーザーのブラウザーでこれらのプロトコルを無効にする必要があります。
公開情報:ブラウザーでセキュリティで保護された DNS が無効になっている (Microsoft Edge、Chrome、Firefox)
https://learn.microsoft.com/ja-jp/entra/global-secure-access/troubleshoot-global-secure-access-client-diagnostics-health-check?wt.mc_id=MVP_407731#secure-dns-disabled-in-browsers-microsoft-edge-chrome-firefox
公開情報:QUIC はインターネット アクセスでサポートされていません
https://learn.microsoft.com/ja-jp/entra/global-secure-access/troubleshoot-global-secure-access-client-diagnostics-health-check?wt.mc_id=MVP_407731#quic-not-supported-for-internet-access
上記の公開情報では 各ブラウザ と Intune での手順が紹介されています。以下の私の記事では その内容を踏襲し、解説やキャプチャ付きの詳しい内容を記載しています。
[GSA:Internet] 前提条件を満たす構成(組み込みDNS , QUIC の無効化)
https://qiita.com/carol0226/items/44519d3a45b24932fc3f
6. IPv4 を優先するように OS を構成する
GSA は、IPv6 に対応していません。GSA で、インターネットネットワーク トラフィックをトンネルするには、IPv4 を優先にした構成にする必要があります。
上記の公開情報では コマンド による手順しか紹介されていませんが、以下の私の記事では コマンド実行時の解説やキャプチャに加えて、Intune による設定の展開方法までを示しています。
[GSA:Internet] 前提条件の IPv4 優先 を構成する
https://qiita.com/carol0226/items/7b3cff50503d07211946
7. Web コンテンツ フィルタリングを構成する
1章から6章までの構成を行うことで、ようやく Web コンテンツフィルタリング が利用できるようになります。さらに、この Web コンテンツフィルタリング の構成が その他の インターネットアクセス の前提事項にもなってきます。
以下の私の記事で、この構成のための手順を紹介しています。
[GSA:Internet] Web コンテンツ フィルタリングを構成する
https://qiita.com/carol0226/items/e33dd928ae848691bb1e
まとめ
GSA インターネットアクセスを正しく動作させるには、以下の 7 つの前提条件を満たす必要があります。
- 条件付きアクセスの有効化
- インターネットアクセスの有効化
- GSA クライアントのインストール
- DoH 無効化
- 組み込み DNS / QUIC 無効化
- IPv4 優先
- Web コンテンツフィルタリングの構成
これらをすべて満たすことで、Health Check が All Green となり、GSA の各機能を安定して利用できるようになります。