グローバル セキュア アクセスの重要なコンポーネントであるグローバル セキュア アクセスクライアントは、組織がエンド ユーザー デバイス上のネットワーク トラフィックを管理およびセキュリティで保護するのに役立ちます。 クライアントの主な役割は、グローバル セキュア アクセスによって保護される必要があるトラフィックをクラウド サービスにルーティングすることです。 その他のすべてのトラフィックは、ネットワークに直接送信されます。 ポータルで構成された転送プロファイルは、グローバル セキュア アクセス クライアントがクラウド サービスにルーティングするトラフィックを決定します。
注
グローバル セキュア アクセス クライアントは、macOS、Android、iOS でも使用できます。 これらのプラットフォームにグローバル セキュア アクセス クライアントをインストールする方法については、 macOS 用のグローバル セキュア アクセス クライアント、 Android 用グローバル セキュア アクセス クライアント、 および iOS 用のグローバル セキュア アクセス クライアントに関するページを参照してください。
この記事には、Windows 用のグローバル セキュア アクセス クライアントをダウンロードしてインストールする方法について説明します。
前提条件
- グローバル セキュア アクセスにオンボードされた Microsoft Entra テナント。
- オンボードされたテナントに参加しているマネージド デバイス。 デバイスは、Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みである必要があります。
- Microsoft Entra 登録済みデバイスはサポートされていません。
- グローバル セキュア アクセス クライアントには、Windows 10 または Windows 11 の 64 ビット バージョンが必要です。
- Azure Virtual Desktop シングルセッションがサポートされています。
- Azure Virtual Desktop のマルチセッションはサポートされていません。
- Windows 365 がサポートされています。
- クライアントをインストールまたはアップグレードするには、ローカル管理者の資格情報が必要です。
- グローバル セキュア アクセス クライアントにはライセンスが必要です。 詳細については、「グローバル セキュア アクセスとは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
クライアントをダウンロードする
最新バージョンのグローバル セキュア アクセス クライアントは、Microsoft Entra 管理センターからダウンロードできます。
- Global Secure Access 管理者 として Microsoft Entra 管理センターにサインインします。
- [グローバル セキュア アクセス]>[接続]>[クラウド ダウンロード] に移動します。
-
[クライアントをダウンロードする] を選択します。
![[クライアントをダウンロードする] ボタンが強調表示されている、クライアント ダウンロードのスクリーンショット。](media/how-to-install-windows-client/client-download-screen.png)
グローバル セキュア アクセス クライアントをインストールする
自動インストール
組織では、/quiet スイッチを使ってグローバル セキュア アクセス クライアントをサイレントでインストールしたり、Microsoft Intune などのモバイル デバイス管理 (MDM) ソリューションを使ってクライアントをデバイスに展開したりできます。
Intune を使用してグローバル セキュリティで保護されたアクセス クライアントを展開する
このセクションでは、Intune を使用して Windows 11 クライアント デバイスにグローバル セキュリティで保護されたアクセス クライアントを手動でインストールする方法について説明します。
前提条件
- グローバル セキュア アクセス クライアントをインストールする場所を識別するデバイスまたはユーザーを含むセキュリティ グループ
クライアントをパッケージ化する
.exeファイルを.intunewinファイルに変換します。
Microsoft Entra 管理センター>グローバルセキュアアクセス>Connect>クライアント ダウンロードからグローバルセキュアアクセスクライアントをダウンロードします。 Windows 11 で [ クライアントのダウンロード ] を選択します。
Microsoft Win32 コンテンツ準備ツールに移動します。 [IntuneWinAppUtil.exe] を選択します。
右上隅にある 3 つのドット メニューを選択します。 [ ダウンロード] を選択します。
![[ダウンロード] を選択する 3 つのドット メニューのスクリーンショット。](media/how-to-install-windows-client/three-dot-menu-download.png)
IntuneWinAppUtil.exeに移動して実行します。 コマンド プロンプトが開きます。グローバル セキュア アクセス
.exeファイルのフォルダー パスの場所を入力します。 「を選択し、を入力します。」グローバル セキュア アクセス
.exeファイルの名前を入力します。 「を選択し、を入力します。」.intunewinファイルを配置するフォルダー パスを入力します。 「を選択し、を入力します。」N と入力します。Enter キーを押します。
.intunewin ファイルは、Microsoft Intune を展開する準備ができています。
Intune を使用してグローバル セキュリティで保護されたアクセス クライアントを展開する
Microsoft Intune に Win32 アプリを追加して割り当てる方法の詳細なガイダンスを参照してください。
https://intune.microsoft.com に移動します。
[ アプリ>すべてのアプリ>追加] を選択します。
[ アプリの種類の選択] の [ その他の アプリの種類] で、[ Windows アプリ (Win32)] を選択します。
選択 [アプリの追加] 手順が表示されます。
[ アプリ パッケージ ファイルの選択] を選択します。
フォルダー アイコンを選択します。 前のセクションで作成した
.intunewinファイルを開きます。
[OK] を選択.
次のフィールドを構成します。
- 名前: クライアント アプリの名前を入力します。
- 説明: 説明を入力します。
- 発行元: 「Microsoft」と入力します。
- アプリのバージョン(省略可能): クライアントのバージョンを入力します。
残りのフィールドには既定値を使用できます。 [次へ] を選択します。
次のフィールドを構成します。
-
インストール コマンド:
.exeには、"OriginalNameOfFile.exe" /install /quiet /norestartファイルの元の名前を使用します。 -
アンインストール コマンド:
.exeには、"OriginalNameOfFile.exe" /uninstall /quiet /norestartファイルの元の名前を使用します。 - 使用可能なアンインストールは許可しない: いいえを選択します。
- インストール動作: [システム] を選択します。
- デバイスの再起動の動作: リターン コードに基づいて動作を決定するを選択します。
-
インストール コマンド:
| リターン コード | コードの種類 |
|---|---|
| 0 | 成功 |
| 1707 | 成功 |
| 3010 | 成功 |
| 1641 | 成功 |
| 1618 | [再試行] |
注
リターン コードには、既定の Windows 終了コードが設定されます。 この場合、不要なデバイスの再起動を回避するために、コードの種類の 2 つを Success に変更しました。
[次へ] を選択します。
次のフィールドを構成します。
- オペレーティング システムのアーキテクチャ: 最小要件を選択します。
- 最小オペレーティング システム: 最小要件を選択します。
残りのフィールドは空白のままにします。 [次へ] を選択します。
[ ルールの形式] で、[ 検出ルールを手動で構成する] を選択します。
[] を選択し、[] を追加します。
ルールの種類でファイルを選択します。
次のフィールドを構成します。
-
パス:
C:\Program Files\Global Secure Access Client\TrayAppを入力します。 -
ファイルまたはフォルダー: 「
GlobalSecureAccessClient.exe」と入力します。 - 検出方法: 文字列 (バージョン) を選択します。
- 演算子: 次の値以上を選択します。
- 値: クライアントのバージョン番号を入力します。
- 64 ビット クライアント上の 32 ビット アプリに関連付けられている: [いいえ] を選択します。
-
パス:
[OK] を選択. [次へ] を選択します。
[ 次へ] をもう 2 回選択して 、[割り当て] に移動します。
[ 必須] で、[ +グループの追加] を選択します。 ユーザーまたはデバイスのグループを選択します。 選択
[次へ] を選択します。 を選択してを作成します。
クライアントを新しいバージョンに更新する
最新のクライアント バージョンに更新するには、「 基幹業務アプリの更新」の 手順に従います。 新しい .intunewin ファイルをアップロードするだけでなく、次の設定を更新してください。
- クライアント バージョン
- コマンドのインストールとアンインストール
- 新しいクライアント バージョン番号に設定された検出ルールの値
運用環境では、段階的な展開アプローチで新しいクライアント バージョンをデプロイすることをお勧めします。
- 現時点では、既存のアプリはそのままにしておきます。
- 前の手順を繰り返して、新しいクライアント バージョンの新しいアプリを追加します。
- 新しいクライアント バージョンをパイロットするには、新しいアプリを少数のユーザー グループに割り当てます。 これらのユーザーを、インプレース アップグレード用の古いクライアント バージョンのアプリに割り当ててもかまいません。
- 必要なすべてのデバイスに新しいクライアントを展開するまで、パイロット グループのメンバーシップをゆっくりと増やします。
- 古いクライアント バージョンのアプリを削除します。
手動のインストール
グローバル セキュア アクセス クライアントを手動でインストールするには
- セットアップ ファイル GlobalSecureAccessClient.exe を 実行します。 ソフトウェア ライセンス条項に同意します。
- クライアントがインストールされ、Microsoft Entra 資格情報を使用してサイレントにサインインします。 サイレント サインインに失敗した場合、インストーラーは手動でサインインするように求められます。
- サインイン。 接続アイコンが緑色に変わります。
- 接続アイコンにカーソルを合わせると、クライアントの状態通知が開き、接続済みと表示されます。
クライアント アクション
使用可能なクライアント メニューアクションを表示するには、グローバルセキュア アクセス システム トレイ アイコンを右クリックします。
ヒント
グローバル セキュア アクセス クライアントのメニュー アクションは、 クライアント レジストリ キー 構成によって異なります。
| アクション | 説明 |
|---|---|
| サインアウト | 既定では非表示。 Windows へのサインインに使用した以外の Microsoft Entra ユーザーを使用してグローバル セキュア アクセス クライアントにサインインする必要がある場合は、サインアウト アクションを使用します。 このアクションを使用するには、適切なクライアント レジストリ キーを更新します。 |
| 無効にする | クライアントを無効にするには、無効アクションを選択します。 クライアントを有効にするか、マシンを再起動するまで、クライアントは無効のままとなります。 |
| 有効にする | グローバル セキュア アクセス クライアントを有効にします。 |
| プライベート アクセスを無効にする | 既定では非表示。 デバイスを企業ネットワークに直接接続して、グローバル セキュア アクセスをバイパスして、グローバル セキュア アクセスではなく、ネットワーク経由で直接プライベート アプリケーションにアクセスする場合は、プライベート アクセスを無効にするアクションを使用します。 このアクションを使用するには、適切なクライアント レジストリ キーを更新します。 |
| ログの収集 | クライアント ログ (クライアント マシンに関する情報、サービスの関連イベント ログ、レジストリ値) を収集し、調査のために Microsoft サポートと共有する zip ファイルにアーカイブするには、このアクションを選択します。 ログの既定の場所は C:\Program Files\Global Secure Access Client\Logs です。 コマンド プロンプトで次のコマンドを入力して、Windows 上でクライアント ログを収集することもできます: C:\Program Files\Global Secure Access Client\LogsCollector\LogsCollector.exe" <username> <user>。 |
| 詳細な診断 | このアクションを選択して詳細な診断ユーティリティを起動させ、さまざまなトラブルシューティングツールにアクセスします。 |
クライアント ステータス インジケーター
状態の通知
グローバル セキュア アクセス アイコンをダブルクリックしてクライアントの状態通知を開き、クライアント用に構成された各チャネルの状態を表示します。
システム トレイ アイコンのクライアント ステータス
| アイコン | メッセージ | 説明 |
|---|---|---|
|
グローバルなセキュリティで保護されたアクセス | クライアントは、グローバル セキュア アクセスへの接続を初期化して確認しています。 |
|
グローバル セキュア アクセス - 接続済み | クライアントがグローバル セキュア アクセスに接続済み。 |
|
グローバル セキュア アクセス - 無効 | サービスがオフラインであるか、ユーザーがクライアントを無効にしているため、クライアントは無効になっています。 |
|
グローバル セキュア アクセス - 切断済み | クライアントがグローバル セキュア アクセスへの接続に失敗しました。 |
|
グローバル セキュア アクセス - 一部のチャネルに到達できない | クライアントはグローバル セキュア アクセスに部分的に接続されています (つまり、少なくとも次のいずれかのチャネルへの接続に失敗しました: Microsoft Entra、Microsoft 365、プライベート アクセス、インターネット アクセス)。 |
|
|
グローバル セキュア アクセス - 組織によって無効にされている | 組織がクライアントを無効にしました (つまり、すべてのトラフィック転送プロファイルが無効になっています)。 |
|
|
グローバル セキュア アクセス : プライベート アクセスが無効になっている | ユーザーは、このデバイスでプライベート アクセスを無効にしました。 |
|
|
グローバル セキュア アクセス : インターネットに接続できませんでした | クライアントがインターネット接続を検出できませんでした。 デバイスは、インターネットに接続されていないネットワークまたはキャプティブ ポータルのサインインを必要とするネットワークに接続されています。 |
既知の制限事項
既知の問題と制限事項の詳細については、「 グローバル セキュリティで保護されたアクセスの既知の制限事項」を参照してください。
トラブルシューティング
グローバル セキュア アクセス クライアントのトラブルシューティングを行うには、タスク バーのクライアント アイコンを右クリックし、トラブルシューティング オプション (ログの収集または詳細な診断) のいずれかを選択します。
ヒント
管理者は、クライアント レジストリ キーを変更することで、グローバル セキュア アクセス クライアント のメニュー オプションを変更できます。
グローバル セキュア アクセス クライアントのトラブルシューティングの詳細については、次の記事をご覧ください。
クライアント レジストリ キー
グローバル セキュア アクセス クライアントは、特定のレジストリ キーを使用して、さまざまな機能を有効または無効にします。 管理者は、Microsoft Intune やグループ ポリシーなどのモバイル デバイス管理 (MDM) ソリューションを使用して、レジストリ値を制御できます。
注意事項
Microsoft サポートの指示がない限り、他のレジストリ値を変更しないでください。
特権のないユーザーを制限する
管理者は、次のレジストリ キーを設定することで、Windows デバイス上の特権のないユーザーがクライアントを無効または有効にできないようにすることができます。
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client
RestrictNonPrivilegedUsers REG_DWORD
| データ | 説明 |
|---|---|
| 0x0 | Windows デバイス上の特権のないユーザーは、クライアントを無効および有効にすることができます。 |
| 0x1 | Windows デバイス上の特権のないユーザーは、クライアントを無効および有効にすることができません。 無効および有効オプションの場合は、UAC プロンプトによってローカル管理者の資格情報が要求されます。 管理者は、無効化ボタンを非表示にすることもできます (「システム トレイ メニュー ボタンの非表示または再表示」を参照)。 |
クライアントでプライベート アクセスを無効または有効にする
このレジストリ値は、クライアントに対してプライベート アクセスを有効にするか無効にするかを制御します。 ユーザーが企業ネットワークに接続されている場合、グローバル セキュア アクセスをバイパスし、プライベート アプリケーションに直接アクセスすることを選択できます。
ユーザーは、システム トレイ メニューからプライベート アクセスを無効または有効にすることができます。
ヒント
このオプションは、メニューが非表示ではなく ( システム トレイ メニュー ボタンの非表示または再表示を参照)、このテナントに対して Private Access が有効になっている場合にのみ使用できます。
管理者は、レジストリ キーを設定することで、ユーザーのプライベート アクセスを無効または有効にすることができます。
Computer\HKEY_CURRENT_USER\Software\Microsoft\Global Secure Access Client
| 値 | タイプ | データ | 説明 |
|---|---|---|---|
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x0 | このデバイスでは、プライベート アクセスが有効になっています。 プライベート アプリケーションへのネットワーク トラフィックは、グローバル セキュア アクセスを経由します。 |
| IsPrivateAccessDisabledByUser | REG_DWORD | 0x1 | このデバイスでは、プライベート アクセスは無効になっています。 プライベート アプリケーションへのネットワーク トラフィックは、ネットワークに直接送信されます。 |
レジストリ値が存在しない場合、既定値は 0x0 であり、プライベート アクセスが有効になります。
システム トレイ メニュー ボタンの非表示または再表示
管理者は、クライアント システム トレイ アイコン メニューの特定のボタンを表示または非表示にすることができます。 次のレジストリ キー値を作成します。
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client
| 値 | タイプ | データ | 既定の動作 | 説明 |
|---|---|---|---|---|
| サインアウトボタンを隠す | REG_DWORD | 0x0 - 表示 0x1 : 非表示 | 非表示 | この設定を構成して、サインアウトアクションを表示または非表示にします。 このオプションは、ユーザーが Windows へのサインインに使用したのとは異なる Microsoft Entra ユーザーを使用してクライアントにサインインする必要がある特定のシナリオに適しています。 注: クライアントへのサインインは、デバイスが参加しているのと同じ Microsoft Entra テナント内のユーザーを使用して行う必要があります。 サインアウトアクションを使用して、既存のユーザーを再認証することもできます。 |
| プライベートアクセス非表示ボタン隠す | REG_DWORD | 0x0 - 表示 0x1 : 非表示 | 非表示 | この設定を構成して、プライベート アクセスを無効にするアクションを表示または非表示にします。 このオプションは、デバイスが企業ネットワークに直接接続されていて、ユーザーがグローバル セキュア アクセスではなく、ネットワーク経由で直接プライベート アプリケーションにアクセスすることを好むシナリオに適しています。 |
| ボタンを非表示に/無効化する | REG_DWORD | 0x0 - 表示 0x1 : 非表示 | 表示 | 無効アクションを表示または非表示にするには、この設定を構成します。 表示されている場合、ユーザーはグローバル セキュア アクセス クライアントを無効にすることができます。 クライアントは、ユーザーによって再度有効にされるまで、無効のままです。 無効アクションが非表示の場合、特権のないユーザーはクライアントを無効にできません。 |
詳細については、高度なユーザー向けのWindowsで IPv6 を構成するためのガイダンスをご覧ください。