Global Secure Access Microsoft トラフィックプロファイルによるオンプレ通信への影響

Question

M365を自社テナントアカウントのみにサインインさせる為に、既にサードパーティベンダーのイントラネットDLPシステムで使用するエージェントソフトがインストールされているPCに対してGlobal Secure Access クライアント（以下GSAクライアント）をインストールした所、DLPのエージェントソフトの通信の一部が異常となりました。

Microsoftトラフィックプロファイルを使用しているのですが、GSAクライアントのVPN通信の中にイントラネットサーバ宛ての通信を書き込む可能性はありますでしょうか？

Microsoftトラフィックポリシーを見ると、宛先ポートは80と443のみであり、オンプレサーバが使用するポートはそれとは異なる為、本来は転送対象にならないのでは？と想定しています。

しかし、一時的にMicrosoftトラフィックプロファイルを無効にしても改善せず、GSAクライアントをアンインストールするまでオンプレサーバの通信が改善しない為、そもそもトラフィックプロファイルの問題では無いのでしょうか？

Answer 1

こんにちは。 はい、ご報告の現象は起こり得ます。Microsoft トラフィック プロファイルを無効にしていても、Global Secure Access (GSA) クライアントはネットワーク ドライバーと仮想アダプターをインストールし、Windows Filtering Platform レベルでトラフィックをインターセプトします。つまり、他のエンドポイント エージェント（DLP ソフトなど）と競合する可能性があり、GSA クライアントをアンインストールすると正常に通信が戻るのはこのためです。この問題はトラフィック プロファイル自体に直接起因するものではありません。

他の管理者からも、GSA をエンドポイント セキュリティや VPN エージェント（FortiClient、Sophos など）と併用した際に同様の挙動が報告されています。これらの場合、競合は転送ルールではなく、ドライバーやネットワーク インターセプションのレイヤーで発生しています。

推奨される次のステップ:

• GSA と DLP エージェントの両方が最新バージョンであることを確認する
• GSA の診断機能（「トラフィック」タブや詳細ログ）を確認し、内部フローが誤分類されていないかチェックする
• 可能であれば、DLP エージェントで GSA クライアントをホワイトリストに登録する、またはネットワーク フィルタリングを無効にしてテストする
• 問題が解決しない場合は、ログを収集して Microsoft サポートにケースを開く

参考リンク: トラブルシューティング: Global Secure Access クライアント (Windows)

既知の問題 – Global Secure Access クライアント

Answer 2

チャブーンです。

この件ですが、以下の状況で合っていますか？

• イントラネット DLP システム利用下で「Microsoft Entra Internet Access」を構成した
• MIcrosoftトラフィックプロファイル = Microsoft 365通信を制御したい
• GSAクライアントはインストール済みでMEIAは正常に動作している

状況からDLPエージェントソフトとの干渉の可能性も高いと思います。GSAクライアントをアンインストールすると問題が解消、という点からはそれは高いと思います。切り分けとして、Microsoftトラフィックプロファイルを止めるのではなく、GSAクライアントを一時的に無効化したら、どうなるのでしょうか？無効化するためのボタンがあるはずです。

DLP ソフトが何なのか、エラー時のメッセージを明記するとわかりやすくなるでしょう。ちなみに イントラネット向けソフトでも、80や443は利用するケースは多いです。管理サーバーがWebアプリである可能性が高いからです。このような場合、ポート等のコンフリクトで正常動作しない可能性はありますね。