グローバルセキュアアクセスクライアント とは?
グローバルセキュアアクセスクライアントは、 下図のような Microsoft Entra Global Secure Access (略:GSA) を実現するための 一部の構成要素です。
本記事では、グローバルセキュアアクセスクライアント のことを GSA クライアント と略して表記します。
下図の赤丸の箇所が、GSA クライアント であり、GSA に接続する 各 クライアント PC にインストールして利用する仕組みになっています。
GSA について
以下の記事が 全体像の説明と 詳細記事へジャンプできるサマリー になっています。
Microsoft Entra Global Secure Access の全体像
https://qiita.com/carol0226/items/29cba6c32a22893a1349
GSA クライアント の システム要件
- Windows 10 または Windows 11 が導入されたクライアント PC
- PC の ローカル管理者権限
- Microsoft Entra Joined デバイス
※Microsoft Entra Hybrid Joined も可
※ Microsoft Entra Join の構成方法は 以下の記事を参照ください
Microsoft Entra Join (旧:Azure AD Join) について
https://qiita.com/carol0226/items/8c2bbc0f480913eaeed4
クライアント PC への 展開
ダウンロードした GSA クライアント モジュールを 手動でインストール できるほか、Intune から配布することも可能です。
- 0. モジュールのダウンロード
- 1. 手動でのインストール
- 2. Intune を使ったインストール
0 を実施して モジュールを入手したあと、1(手動)または、2 (Intune) の方法でインストールを行います。
0. モジュールのダウンロード
手動、Intune のどちらの場合も共通です。
まずは、モジュールを ダウンロードしてください。
1.任意の環境で Microsoft Entra 管理センターへアクセスします。
https://entra.microsoft.com
2.下図の通り、左ペインから グローバルセキュアアクセス から 接続 を開きます。
そのあと、クライアントのダウンロード を押して、GSA クライアント をダウンロードします。
3.以下のようにダウンロードされれば OK です。
公開情報:クライアントのダウンロード
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-windows-client?wt.mc_id=MVP_407731#download-the-client
1. 手動でのインストール
GSA クライアント の インストールには、PC のローカル管理者権限が必要です。
1.導入する クライアント PC 上で、GlobalSecureAccessClient.exe を右クリックして 管理者として実行 を選択します。
ダブルクリックでもインストーラーの起動は可能ですが、Install ボタンに、盾のアイコンが追加されており、UAC にて管理者アカウントを求められます。その場合は、管理者アカウントで認証してください。
2.agree にチェックを入れ Install を押します。
上記のウィンドウ内のリンク先
https://www.microsoft.com/licensing/terms/productoffering
3.インストール中のプログレスバーです。
4.インストールが終わったら、このウィンドウは、Close で閉じてください。
5.インストールされた GSA クライアント は、以下の通り PCの設定アプリで確認できます。
2. Intune を使ったインストール
Intune を使うことで、社内にある 数多くの PC に GSA クライアント をまとめて導入することが可能になります。
Intune を使う場合は、以下の 2ステップのアクションが必要です。
-
2-1. GSA クライアントをパッケージ化する
Intune では、インストーラー(EXE) を直接配布ができません。
まず、拡張子が .intunewin というファイルに変換が必要です。 -
2-2. Intune を使用して GSA クライアントを 展開する
前章で作成した .intunewin ファイルを Intune で展開します。
公開情報:Intune を使用してグローバル セキュリティで保護されたアクセス クライアントを展開する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-windows-client?wt.mc_id=MVP_407731#deploy-global-secure-access-client-with-intune
Intune を使うための前提となるノウハウについては、以下の私の記事にまとめてあります。
特に このうち 2章 の Intune への接続 のところを確認してください。
Intune 関連の記事 まとめ
https://qiita.com/carol0226/items/57363b81298f03ebab60
注意事項(2026/5/1 追記)
私が検証をおこなった時期(2025年9月)から公開情報に記載されている手順に更新があった様子です。
GUI 的な操作の流れは同じですが、設定するパラメーターに相違があったり、更新のための手順の案内が追記されているようです。私の方で確認ができたら Qiita 記事を更新しますが、それまでは 本記事の手順を正とはせず、公開情報の内容を優先して対応してください。
公開情報:Windows用のグローバル セキュリティで保護されたアクセス クライアントをインストールする
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-windows-client
更新についての注意事項
Intune を使った GSA クライアントの更新には、課題があるようです。
以下のような海外の記事も出ているため、注意が必要です。
Update Global Secure Access Client With Intune — SMB IT Spice
https://medium.com/@kmuitspice/update-global-secure-access-client-with-intune-smb-it-spice-83630fb2bda8
Deploy Global Secure Access client with Microsoft Intune and PSADT
https://kasperjohansen.net/index.php/2025/02/18/deploy-global-secure-access-client-with-microsoft-intune-and-psadt/
2-1. GSA クライアントをパッケージ化する
1.以下の URL(Microsoft Win32 コンテンツ準備ツール) のサイトを開きます。
https://github.com/Microsoft/Microsoft-Win32-Content-Prep-Tool
2.下図の赤枠の箇所 (IntuneWinAppUtil.exe) をクリックして開きます。
3.右上隅にある ・・・ を開き、Download を選択します。
4.以下の通り IntuneWinAppUtil.exe がダウンロードされれば OK です。
このファイルを 右クリックして、管理者実行します。
前提
この章で紹介する手順は、ダウンロードフォルダ(C:\Users\nogus\Downloads) 上に IntuneWinAppUtil.exe と GlobalSecureAccessClient.exe の両ファイルを配置しておき、同じダウンロードフォルダ上に .intunewin ファイルを作成するシナリオにしています。
5.以下のようなウィンドウが開くため、各メッセージに対して、情報を入力していきます。
Please specify the souece folder: -> [インストーラー(EXE) が置かれたパス]
Please specify the setup flie: -> GlobalSecureAccessClient.exe
Please specity the output folder: -> [変換後の .intunewin ファイルの保存先のパス]
Do you want to specify catalog folder (Y/N)? -> n
→ ここまで実行して Enter を押すと、下図の画面のような処理が実行されていきます。
6.処理が 100% まで完了すると、指定したパスに .intunewin ファイル が作成されています。
出来上がった *.intunewin ファイルは Intune を使って PC へ配布することができます。
2-2. Intune を使用して GSA クライアントを 展開する
1.Intune 管理センター (https://intune.microsoft.com) にアクセスします。
2.アプリ > すべてのアプリ > 作成 を選択します。
3.下図の画面で 一覧から Windows アプリ (Win32) を選択します。
4.以下のように表示されたら 選択 を押します。
上記のリンク(Win32 ベース アプリに関する詳細情報)
https://learn.microsoft.com/ja-jp/intune/intune-service/apps/apps-win32-app-management?wt.mc_id=MVP_407731
5.下図の通り、① アプリパッケージの選択 を押すと、右側の アプリのパッケージファイル のウィンドウが開くため ② ボタンを押し、前章で作成した GlobalSecureAccessClient.intunewin ファイルを指定します。その後 ③ OK ボタンを押します。
6.下図のとおり アプリの追加 の画面が開きます。
アプリ情報 タブでは、発行元 が入力必須項目になっているので、Microsoft と入力します。
緑下線の アプリのバージョンは、"省略可能" です(私は バージョンを そのまま入れました)
それ以外は、既定値のままで問題ありません。次へ を押して進めます。
7.プログラム タブでは、インストールコマンド欄 と アンインストールコマンド欄には、変換前の .EXE 名 (GlobalSecureAccessClient.EXE) に続けて、パラメーター を記載します。
インストールは /install /quiet /norestart、アンインストールは /uninstall /quiet /norestartになっている点が違います。あとは 画面キャプチャの通りに設定を変更し 次へ を押して進めます。
8.必須条件 タブでは、オペレーティングシステムのアーキテクチャでは x64 を指定します。
最小なオペレーティングシステムは、GSA クライアントは Win10 以降はサポートされているので、一番古いバージョンを選択します。これで 次へ を押して進めます。
GSA クライアントをダウンロードした際に、Windows 版 を選択したなら、アーキテクチャは x64 です。
もし、その下段の Windows on Arm を選択したなら、アーキテクチャは ARM64 です。
アプリは混在できないので、Intune では、ダウンロードした資材に合わせて上記の設定をしてください。
モジュールをダウンロードした時の画面
9.必須条件 タブでは まず 検出規則を手動で構成する を選択し 下段の +追加 を押します。
右側に 検出規則 のウィンドウが表示されるため 規則の種類 で ファイル を選択してから、各項目に値を設定していきます。終わったら OK を押して進めます。
パス = C:\Program Files\Global Secure Access Client\TrayApp
ファイルまたはフォルダー = GlobalSecureAccessClient.exe
検出方法 = 文字列(バージョン)
演算子 = 以上
値 = 2.20.56
64ビットクライアント上で 32ビットアプリに関連付ける = いいえ
10.下図の通り、1行 追加されたことを確認して 次へ を押して進めます。
11.依存関係 タブでは 既定値のままで問題ありません。次へ を押して進めます。
12.置き換え タブでは 既定値のままで問題ありません。次へ を押して進めます。
注意
※ 本記事は「新規配布」を前提としています。
既存バージョンからの更新(アップグレード)を行う場合は、
Intune の「置き換え(Supersedence)」や事前アンインストールの設計が別途必要です。
13.割り当て タブでは、GSA クライアントを導入するデバイスを指定して 次へ を押します。
下図の場合は、すべてのデバイス に配ることを想定した設定になっています。
14.確認と作成 タブでは 設定値の最終確認を行って 作成 ボタンを押します。
15.このあと、以下の通知が表示され アプリ展開の構成が作成されます。
16.以下の画面に遷移されますが、このタイミングで GlobalSecureAccessClinet.intunewin ファイルがアップロードされるようです。完了するまで 待ってください。
通知欄を見ると、進捗状況が分かるみたいでしたが、かなり時間が掛かります。
以下のように アップロードが完了するまで 35 分 掛かりました。
これで、アプリが展開できる状態になっています。
Intune 管理画面の様子
GSA クライアントが PC へ展開されると、下図のような画面を確認できます。
反映されるまで、タイムラグがあるので注意が必要です。忍耐も必要です。
先に、PC 側で状態を確認した方が良いです。
-
アプリ単位で テナント全体の展開状態が確認できます
-
デバイス単位では、マネージドアプリ を見ると 状態が確認できます。
3. 展開した PC 側の様子
手動インストールと Intune 展開 どちらも、このような状態になります。
-
[設定パネル]-[アプリ]-[インストールされたアプリ] の一覧
-
[タスクトレイ] を開き、GSA アイコン(黄下線)にマウスをポイントすると Global Secure Access - connected と表示されています。
Intune の場合は、アプリ一覧に追加されたのちに、タスクトレイ に GSA アイコンが表示されるようになるまで、少し掛かります。その間 特に 再起動などは不要でした。
- タスクトレイの GSA アイコン(黄下線)をクリックすると、以下の画面が表示されます。
- Additional details 下部の Show more detaiis を押すと 以下の情報を確認できます。
- タスクトレイの GSA アイコンを 右クリックし Advanced diagnostics を参照できます(管理者のみ)
Health check タブで、ステータスを確認し、トラブルシューティングに役立てることができます。
上記の画面の Learn more about Health check page のリンク先は、以下のページです。
公開情報:グローバル セキュア アクセス クライアントのトラブルシューティング: [正常性チェック] タブ
https://learn.microsoft.com/ja-jp/entra/global-secure-access/troubleshoot-global-secure-access-client-diagnostics-health-check?wt.mc_id=MVP_407731
- NIC の プロパティ を開くと、Global Secure Access Clinet が追加されてバインドされていることが確認できます。
上記までの確認がうまく行っていれば、GSA クライアント の導入は OK です。
実際に、GSA 経由 の通信ができるかどうかは、その他のコンポーネントや設定による影響もあるため、以下の記事を参照して、すべての構成を完了させてください。
Microsoft Entra Global Secure Access について
https://qiita.com/carol0226/private/29cba6c32a22893a1349
トラブルシューティング
認証が求められず Organization や Account , Tenand id が空欄になっている
Microsoft Entra テナント に 参加されていない PC(つまり WORKGROUP)で、グローバルセキュアアクセスクライアントをインストールすると、インストーラーは正常終了しますが、以下の表示になっており、認証操作をすることができません。デバイスを Entra に参加させてから、再確認してください。
公開情報のトラブルシューティングページ
公開情報:Windows 用のグローバル セキュリティで保護されたアクセス クライアントのトラブルシューティング: 高度な診断
https://learn.microsoft.com/ja-jp/entra/global-secure-access/troubleshoot-global-secure-access-client-advanced-diagnostics?wt.mc_id=MVP_407731
(上記のリンク先の 左ペイン)
以下のように、GSA クライアントのトラシューページが 3種類用意されているので、トラブったら熟読しましょう。
