[GSA] グローバルセキュアアクセスクライアントの導入手順

Last updated at 2025-09-15Posted at 2025-09-15

グローバルセキュアアクセスクライアントとは？

グローバルセキュアアクセスクライアントは、下図のような Microsoft Entra Global Secure Access (略：GSA) を実現するための一部の構成要素です。

本記事では、グローバルセキュアアクセスクライアントのことを GSA クライアントと略して表記します。

下図の赤丸の箇所が、GSA クライアントであり、GSA に接続する各クライアント PC にインストールして利用する仕組みになっています。

GSA について
以下の記事が全体像の説明と詳細記事へジャンプできるサマリーになっています。

Microsoft Entra Global Secure Access の全体像
https://qiita.com/carol0226/items/29cba6c32a22893a1349

GSA クライアントのシステム要件

Windows 10 または Windows 11 が導入されたクライアント PC
PC のローカル管理者権限
Microsoft Entra Joined デバイス
※Microsoft Entra Hybrid Joined も可

公開情報：前提条件
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-windows-client?wt.mc_id=MVP_407731#prerequisites

※ Microsoft Entra Join の構成方法は以下の記事を参照ください
Microsoft Entra Join (旧：Azure AD Join) について
https://qiita.com/carol0226/items/8c2bbc0f480913eaeed4

クライアント PC への展開

ダウンロードした GSA クライアントモジュールを手動でインストールできるほか、Intune から配布することも可能です。

0. モジュールのダウンロード
1. 手動でのインストール
2. Intune を使ったインストール

0 を実施してモジュールを入手したあと、1（手動）または、2 (Intune) の方法でインストールを行います。

0. モジュールのダウンロード

手動、Intune のどちらの場合も共通です。
まずは、モジュールをダウンロードしてください。

1．任意の環境で Microsoft Entra 管理センターへアクセスします。
https://entra.microsoft.com

2．下図の通り、左ペインから グローバルセキュアアクセス から接続を開きます。
そのあと、クライアントのダウンロード を押して、GSA クライアントをダウンロードします。

3．以下のようにダウンロードされれば OK です。

公開情報：クライアントのダウンロード
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-windows-client?wt.mc_id=MVP_407731#download-the-client

1. 手動でのインストール

GSA クライアントのインストールには、PC のローカル管理者権限が必要です。

公開情報：手動インストール
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-windows-client?wt.mc_id=MVP_407731#manual-installation

1．導入するクライアント PC 上で、GlobalSecureAccessClient.exe を右クリックして 管理者として実行 を選択します。

ダブルクリックでもインストーラーの起動は可能ですが、Install ボタンに、盾のアイコンが追加されており、UAC にて管理者アカウントを求められます。その場合は、管理者アカウントで認証してください。

2．agree にチェックを入れ Install を押します。

上記のウィンドウ内のリンク先
https://www.microsoft.com/licensing/terms/productoffering

3．インストール中のプログレスバーです。

4．インストールが終わったら、このウィンドウは、Close で閉じてください。

5．インストールされた GSA クライアントは、以下の通り PCの設定アプリで確認できます。

2. Intune を使ったインストール

Intune を使うことで、社内にある数多くの PC に GSA クライアントをまとめて導入することが可能になります。
Intune を使う場合は、以下の２ステップのアクションが必要です。

2-1. GSA クライアントをパッケージ化する
Intune では、インストーラー(EXE) を直接配布ができません。
まず、拡張子が .intunewin というファイルに変換が必要です。
2-2. Intune を使用して GSA クライアントを展開する
前章で作成した .intunewin ファイルを Intune で展開します。

公開情報：Intune を使用してグローバルセキュリティで保護されたアクセスクライアントを展開する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-windows-client?wt.mc_id=MVP_407731#deploy-global-secure-access-client-with-intune

Intune を使うための前提となるノウハウについては、以下の私の記事にまとめてあります。
特にこのうち２章の Intune への接続 のところを確認してください。
Intune 関連の記事まとめ
https://qiita.com/carol0226/items/57363b81298f03ebab60

2-1. GSA クライアントをパッケージ化する

1．以下の URL（Microsoft Win32 コンテンツ準備ツール) のサイトを開きます。
https://github.com/Microsoft/Microsoft-Win32-Content-Prep-Tool

2．下図の赤枠の箇所 (IntuneWinAppUtil.exe) をクリックして開きます。

3．右上隅にある ・・・ を開き、Download を選択します。

4．以下の通り IntuneWinAppUtil.exe がダウンロードされれば OK です。
このファイルをダブルクリックして、実行します。

前提
この章で紹介する手順は、ダウンロードフォルダ(C:\Users\nogus\Downloads) 上に IntuneWinAppUtil.exe と GlobalSecureAccessClient.exe の両ファイルを配置しておき、同じダウンロードフォルダ上に .intunewin ファイルを作成するシナリオにしています。

5．以下のようなウィンドウが開くため、各メッセージに対して、情報を入力していきます。
Please specify the souece folder: -> [インストーラー(EXE) が置かれたパス]
Please specify the setup flie: -> GlobalSecureAccessClient.exe
Please specity the output folder: -> [変換後の .intunewin ファイルの保存先のパス]
Do you want to specify catalog folder (Y/N)? -> n
→　ここまで実行して Enter を押すと、下図の画面のような処理が実行されていきます。

6．処理が 100% まで完了すると、指定したパスに .intunewin ファイルが作成されています。

出来上がった *.intunewin ファイルは Intune を使って PC へ配布することができます。

2-2. Intune を使用して GSA クライアントを展開する

1．Intune 管理センター (https://intune.microsoft.com) にアクセスします。

2．アプリ > すべてのアプリ > 作成を選択します。

3．下図の画面で一覧から Windows アプリ (Win32) を選択します。

4．以下のように表示されたら選択を押します。

上記のリンク（Win32 ベースアプリに関する詳細情報）
https://learn.microsoft.com/ja-jp/intune/intune-service/apps/apps-win32-app-management?wt.mc_id=MVP_407731

5．下図の通り、① アプリパッケージの選択 を押すと、右側の アプリのパッケージファイル のウィンドウが開くため ② ボタンを押し、前章で作成した GlobalSecureAccessClient.intunewin ファイルを指定します。その後 ③ OK ボタンを押します。

6．下図のとおり アプリの追加 の画面が開きます。
アプリ情報 タブでは、発行元が入力必須項目になっているので、Microsoft と入力します。
緑下線のアプリのバージョンは、"省略可能" です（私はバージョンをそのまま入れました）
それ以外は、既定値のままで問題ありません。次へを押して進めます。

7．プログラム タブでは、インストールコマンド欄とアンインストールコマンド欄には、変換前の .EXE 名 (GlobalSecureAccessClient.EXE) に続けて、パラメーターを記載します。
インストールは /install /quiet /norestart、アンインストールは /uninstall /quiet /norestartになっている点が違います。あとは画面キャプチャの通りに設定を変更し次へを押して進めます。

8．必須条件 タブでは、オペレーティングシステムのアーキテクチャでは x64 を指定します。
最小なオペレーティングシステムは、GSA クライアントは Win10 以降はサポートされているので、一番古いバージョンを選択します。これで次へを押して進めます。

GSA クライアントをダウンロードした際に、Windows 版を選択したなら、アーキテクチャは x64 です。
もし、その下段の Windows on Arm を選択したなら、アーキテクチャは ARM64 です。
アプリは混在できないので、Intune では、ダウンロードした資材に合わせて上記の設定をしてください。
モジュールをダウンロードした時の画面

9．必須条件 タブではまず 検出規則を手動で構成する を選択し下段の ＋追加 を押します。
右側に 検出規則 のウィンドウが表示されるため規則の種類で ファイル を選択してから、各項目に値を設定していきます。終わったら OK を押して進めます。
パス = C:\Program Files\Global Secure Access Client\TrayApp
ファイルまたはフォルダー = GlobalSecureAccessClient.exe
検出方法 = 文字列（バージョン）
演算子 = 以上
値 = 2.20.56
64ビットクライアント上で 32ビットアプリに関連付ける = いいえ

10．下図の通り、１行追加されたことを確認して次へを押して進めます。

11．依存関係 タブでは既定値のままで問題ありません。次へを押して進めます。

12．置き換え タブでは既定値のままで問題ありません。次へを押して進めます。

13．割り当て タブでは、GSA クライアントを導入するデバイスを指定して次へを押します。
下図の場合は、すべてのデバイス に配ることを想定した設定になっています。

14．確認と作成 タブでは設定値の最終確認を行って作成ボタンを押します。

15．このあと、以下の通知が表示されアプリ展開の構成が作成されます。

16．以下の画面に遷移されますが、このタイミングで GlobalSecureAccessClinet.intunewin ファイルがアップロードされるようです。完了するまで待ってください。

通知欄を見ると、進捗状況が分かるみたいでしたが、かなり時間が掛かります。

以下のようにアップロードが完了するまで 35 分掛かりました。
これで、アプリが展開できる状態になっています。

Intune 管理画面の様子
GSA クライアントが PC へ展開されると、下図のような画面を確認できます。
反映されるまで、タイムラグがあるので注意が必要です。忍耐も必要です。
先に、PC 側で状態を確認した方が良いです。

アプリ単位でテナント全体の展開状態が確認できます
デバイス単位では、マネージドアプリ を見ると状態が確認できます。

3. 展開した PC 側の様子

手動インストールと Intune 展開どちらも、このような状態になります。

[設定パネル]－[アプリ]－[インストールされたアプリ] の一覧
[タスクトレイ] を開き、GSA アイコン（黄下線）にマウスをポイントすると Global Secure Access - connected と表示されています。

Intune の場合は、アプリ一覧に追加されたのちに、タスクトレイに GSA アイコンが表示されるようになるまで、少し掛かります。その間特に再起動などは不要でした。

タスクトレイの GSA アイコン（黄下線）をクリックすると、以下の画面が表示されます。
Additional details 下部の Show more detaiis を押すと以下の情報を確認できます。
タスクトレイの GSA アイコンを右クリックし Advanced diagnostics を参照できます（管理者のみ）

Health check タブで、ステータスを確認し、トラブルシューティングに役立てることができます。

上記の画面の Learn more about Health check page のリンク先は、以下のページです。

公開情報：グローバルセキュアアクセスクライアントのトラブルシューティング: [正常性チェック] タブ
https://learn.microsoft.com/ja-jp/entra/global-secure-access/troubleshoot-global-secure-access-client-diagnostics-health-check?wt.mc_id=MVP_407731

NIC のプロパティを開くと、Global Secure Access Clinet が追加されてバインドされていることが確認できます。

上記までの確認がうまく行っていれば、GSA クライアントの導入は OK です。
実際に、GSA 経由の通信ができるかどうかは、その他のコンポーネントや設定による影響もあるため、以下の記事を参照して、すべての構成を完了させてください。

Microsoft Entra Global Secure Access について
https://qiita.com/carol0226/private/29cba6c32a22893a1349

トラブルシューティング

認証が求められず Organization や Account , Tenand id が空欄になっている

Microsoft Entra テナントに参加されていない PC（つまり WORKGROUP）で、グローバルセキュアアクセスクライアントをインストールすると、インストーラーは正常終了しますが、以下の表示になっており、認証操作をすることができません。デバイスを Entra に参加させてから、再確認してください。

公開情報のトラブルシューティングページ

公開情報：Windows 用のグローバルセキュリティで保護されたアクセスクライアントのトラブルシューティング: 高度な診断
https://learn.microsoft.com/ja-jp/entra/global-secure-access/troubleshoot-global-secure-access-client-advanced-diagnostics?wt.mc_id=MVP_407731
（上記のリンク先の左ペイン）
以下のように、GSA クライアントのトラシューページが３種類用意されているので、トラブったら熟読しましょう。

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up