英語で読む

次の方法で共有

macOS 用グローバル セキュア アクセス クライアント (プレビュー)

  • [アーティクル]

重要

macOS 用のグローバル セキュリティで保護されたアクセス クライアントは現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載されている情報に関して、明示または黙示を問わず、一切の保証を行いません。

グローバル セキュリティで保護されたアクセスの重要なコンポーネントである Global Secure Access クライアントは、組織がエンド ユーザー デバイス上のネットワーク トラフィックを管理およびセキュリティで保護するのに役立ちます。 クライアントの主な役割は、グローバル セキュリティで保護されたアクセスによって保護される必要があるトラフィックをクラウド サービスにルーティングすることです。 その他のすべてのトラフィックは、ネットワークに直接送信されます。 ポータルで構成された 転送プロファイルによって、グローバル セキュア アクセス クライアントがクラウド サービスにルーティングするトラフィックが決まります。

この記事では、macOS 用のグローバル セキュア アクセス クライアントをダウンロードしてインストールする方法について説明します。

前提 条件

  • macOS バージョン 13 以降を実行している Intel、M1、M2、M3、または M4 プロセッサを搭載した Mac デバイス。
  • ポータル サイトを使用して Microsoft Entra テナントに登録されたデバイス。
  • グローバル セキュリティで保護されたアクセスにオンボードされた Microsoft Entra テナント。
  • Microsoft Enterprise シングル サインオン (SSO) プラグインを Apple デバイス用に展開、ポータル サイトにサインインしているユーザーに基づいて SSO エクスペリエンスを実現することをお勧めします。
  • インターネット接続。

クライアントをダウンロードする

最新バージョンのグローバル セキュア アクセス クライアントは、Microsoft Entra 管理センターからダウンロードできます。

  1. グローバル セキュリティで保護されたアクセス管理者として、Microsoft Entra 管理センター にサインインします。
  2. [グローバル セキュア アクセス]>[接続]>[クラウド ダウンロード] に移動します。
  3. [ダウンロード クライアント] を選択します。 [クライアントのダウンロード] ボタンが強調表示された [クライアントのダウンロード] 画面のスクリーンショット。

グローバル セキュリティで保護されたアクセス クライアントをインストールする

自動インストール

サイレント インストールには、次のコマンドを使用します。 .pkg ファイルのダウンロード場所に従ってファイル パスを置き換える必要があります。

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

クライアントは、インストール中に承認する必要があるシステム拡張機能と透過的なアプリケーション プロキシを使用します。 エンド ユーザーにこれらのコンポーネントの許可を求めずにサイレント展開を行う場合は、コンポーネントを自動的に承認するポリシーを展開できます。

モバイル デバイス管理 (MDM) を使用してシステム拡張機能を許可する

次の手順は、Microsoft Intune を対象としており、さまざまな MVM に合わせて調整できます。

  1. Microsoft Intune 管理センターで、[デバイス] [デバイスの管理][構成ポリシー][新しいポリシー作成] を選択します。
  2. macOS プラットフォーム用のプロファイルを、種類 拡張機能のテンプレートに基づいて作成します。 [作成]を選択します macOS プラットフォーム、テンプレート プロファイルの種類、拡張機能テンプレートが強調表示された [プロファイルの作成] フォームのスクリーンショット。
  3. [基本] タブで、新しいプロファイルの名前を入力し、[次へ]選択します。
  4. [構成設定] タブで、次の表に従って、バンドル識別子 と、2 つの拡張機能の チーム識別子 を入力します。 次にを選択します。
バンドル識別子 チーム識別子
com.microsoft.naas.globalsecure.tunnel-df UBF8T346G9
com.microsoft.naas.globalsecure-df UBF8T346G9
  1. 必要に応じてユーザーとデバイスを割り当てることで、プロファイルの作成を完了します。

MDM を介して透過的なアプリケーション プロキシを許可する

次の手順は、Microsoft Intune を対象としており、さまざまな MVM に合わせて調整できます。

  1. Microsoft Intune 管理センターで、[デバイス] [デバイスの管理][構成ポリシー][新しいポリシー作成] を選択します。
  2. macOS プラットフォーム用のプロファイルを、カスタム の種類のテンプレート に基づいて作成し、[作成] を 選択します。 macOS プラットフォーム、テンプレート プロファイルの種類、カスタム テンプレートが強調表示されているプロファイルの作成フォームのスクリーンショット。
  3. [基本] タブで、プロファイルの を入力します。 image.png
  4. [構成設定] タブで、カスタム構成プロファイル名入力します。
  5. 展開チャネル "デバイス チャネル" に設定したままにします。
  6. 次のデータを含む .xml ファイルをアップロードします。
XML 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadDescription</key>
    <string>Ttransparent proxy settings</string>
    <key>PayloadDisplayName</key>
    <string>Global Secure Access Client - AppProxy</string>
    <key>PayloadIdentifier</key>
    <string>com.microsoft.naas.globalsecure-df.</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>68C6A9A4-ECF8-4FB7-BA00-291610F998D6</string>
    <key>PayloadVersion</key>
    <real>1</real>
    <key>TransparentProxy</key>
    <dict>
        <key>AuthName</key>
        <string>NA</string>
        <key>AuthPassword</key>
        <string>NA</string>
        <key>AuthenticationMethod</key>
        <string>Password</string>
        <key>ProviderBundleIdentifier</key>
        <string>com.microsoft.naas.globalsecure.tunnel-df</string>
        <key>RemoteAddress</key>
        <string>100.64.0.0</string>
        <key>ProviderDesignatedRequirement</key>
        <string>identifier &quot;com.microsoft.naas.globalsecure.tunnel-df&quot; and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9</string>
        <key>Order</key>
        <string>1</string>
    </dict>
    <key>UserDefinedName</key>
    <string>Global Secure Access Client - AppProxy</string>
    <key>VPNSubType</key>
    <string>com.microsoft.naas.globalsecure.tunnel-df</string>
    <key>VPNType</key>
    <string>TransparentProxy</string>
</dict>
</plist>

.xml データの一部を示す [構成設定] タブのスクリーンショット。

  1. 必要に応じてユーザーとデバイスを割り当てることで、プロファイルの作成を完了します。

手動で行う対話型インストール

グローバル セキュリティで保護されたアクセス クライアントを手動でインストールするには:

  1. GlobalSecureAccessClient.pkgセットアップ ファイルを実行します。 インストール ウィザードが起動します。 画面の指示に従います。

  2. [概要 ステップ]で、[続行]を選択します。

  3. [ライセンス] ステップで、[続行] を選択し、[同意 を選択して使用許諾契約書に同意します。 ソフトウェア使用許諾契約書のポップアップが表示されている SumLicense ステップのインストール ウィザードのスクリーンショット。

  4. インストール ステップで、インストールを選択します。

  5. サマリー の手順で、インストールが完了したら、[閉じる]を選択します。

  6. グローバル セキュリティで保護されたアクセス システム拡張機能を許可します。

    1. [システム拡張機能のブロック] ダイアログで、[システム設定を開く] を選択します。
      [システム拡張機能がブロックされました] ダイアログ ボックスのスクリーンショット。[システム設定を開く] が強調表示されています。

    2. [を許可する] を選択して、グローバル セキュア アクセス クライアント システム拡張機能 許可します。 [システム設定] のスクリーンショット。[プライバシー & セキュリティ] オプションが開き、[許可] ボタンが強調表示された、ブロックされたアプリケーション メッセージが表示されます。

    3. [プライバシー & セキュリティ] ダイアログボックスで、ユーザー名とパスワードを入力して、システム拡張機能の承認を検証します。 次に、設定を変更を選択します。
      サインイン資格情報を要求する [プライバシー & セキュリティ] ポップアップのスクリーンショット。[設定の変更] ボタンが強調表示されています。

    4. [ を許可 選択して、グローバル セキュア アクセス クライアントでプロキシ構成を追加できるようにすることで、プロセスを完了します。
      グローバル セキュア アクセス クライアントがプロキシ構成を追加しようとするポップアップのスクリーンショットで、[許可] ボタンが強調表示されています。

  7. インストールが完了すると、Microsoft Entra にサインインするように求められる場合があります。

注意

Apple デバイス用の Microsoft Enterprise SSO プラグイン が展開されている場合、既定の動作では、ポータル サイトに入力された資格情報でシングル サインオンを使用します。

  1. グローバル セキュア アクセス - 接続 アイコンがシステム トレイに表示され、グローバル セキュア アクセスへの正常な接続が示されます。
    グローバル セキュア アクセス - 接続済みアイコンが強調表示されているシステム トレイのスクリーンショット。

グローバル セキュリティで保護されたアクセス クライアントをアップグレードする

クライアント インストーラーはアップグレードをサポートします。 インストール ウィザードを使用して、現在以前のクライアント バージョンを実行しているデバイスに新しいバージョンをインストールできます。

サイレント アップグレードの場合は、次のコマンドを使用します。
.pkg ファイルのダウンロード場所に従ってファイル パスを置き換える必要があります。

sudo installer -pkg ~/Downloads/GlobalSecureAccessClient.pkg -target / -verboseR

グローバル セキュリティで保護されたアクセス クライアントをアンインストールする

グローバル セキュア アクセス クライアントを手動でアンインストールするには、次のコマンドを使用します。

sudo /Applications/Global\ Secure\ Access\ Client.app/Contents/Resources/install_scripts/uninstall

MDM を使用している場合は、MDM を使用してクライアントをアンインストールします。

クライアント アクション

使用可能なクライアント メニューアクションを表示するには、グローバルセキュアアクセスシステムトレイアイコンを右クリックします。
グローバル セキュア アクセス クライアント アクションの一覧を示すスクリーンショット。

アクション 説明
を無効にする ユーザーが再度有効になるまで、クライアントを無効にします。 ユーザーがクライアントを無効にすると、業務上の正当な理由を入力し、サインイン資格情報を再入力するように求められます。 業務上の正当な理由がログに記録されます。
を有効にする クライアントを有効にします。
一時停止 ユーザーがクライアントを再開するまで、またはデバイスが再起動されるまで、クライアントを 10 分間一時停止します。 ユーザーがクライアントを一時停止すると、業務上の正当な理由を入力し、サインイン資格情報を再入力するように求められます。 業務上の正当な理由がログに記録されます。
履歴書 一時停止しているクライアントを再開します。
再起動 クライアントを再起動します。
ログの収集 クライアント ログを収集し、それらを zip ファイルにアーカイブして、調査のために Microsoft サポートと共有します。
設定 設定と高度な診断ツールを開きます。
概要 製品のバージョンに関する情報を表示します。

システム トレイ アイコンのクライアントの状態

アイコン メッセージ 説明
グローバル セキュリティで保護されたアクセス クライアント クライアントは、グローバル セキュリティで保護されたアクセスへの接続を初期化して確認しています。
グローバル セキュリティで保護されたアクセス クライアント - 接続済み クライアントはグローバル セキュリティで保護されたアクセスに接続されています。
グローバル セキュリティで保護されたアクセス クライアント - 無効 サービスがオフラインであるか、ユーザーがクライアントを無効にしているため、クライアントは無効になっています。
グローバルセキュアアクセスクライアント - 切断 クライアントがグローバル セキュリティで保護されたアクセスに接続できませんでした。
グローバル セキュリティで保護されたアクセス クライアント - 一部のチャネルに到達できない クライアントはグローバル セキュリティで保護されたアクセスに部分的に接続されています (つまり、Microsoft Entra、Microsoft 365、Private Access、Internet Access という少なくとも 1 つのチャネルへの接続に失敗しました)。
グローバルなセキュリティで保護されたアクセス クライアント - 組織によって無効になっている 組織がクライアントを無効にしました (つまり、すべてのトラフィック転送プロファイルが無効になっています)。
グローバル セキュリティで保護されたアクセス - プライベート アクセスが無効になっている ユーザーは、このデバイスでプライベート アクセスを無効にしました。
グローバルセキュリティで保護されたアクセス - インターネットに接続できませんでした クライアントがインターネット接続を検出できませんでした。 デバイスは、インターネットに接続されていないネットワークまたはキャプティブ ポータルのサインインを必要とするネットワークに接続されています。

設定とトラブルシューティング

[設定] ウィンドウでは、さまざまな構成を設定し、いくつかの高度なアクションを実行できます。 設定ウィンドウには、次の 2 つのタブがあります。

設定

オプション 説明
テレメトリの完全な診断 アプリケーションの改善のために、完全なテレメトリ データを Microsoft に送信します。
詳細ログ を有効にする ログを zip ファイルにエクスポートするときに、詳細ログとネットワーク キャプチャを収集できるようにします。

macOS の [設定とトラブルシューティング] ビューのスクリーンショット。[設定] タブが選択されています。

トラブルシューティング

アクション 説明
最新のポリシーを取得する 組織の最新の転送プロファイルをダウンロードして適用します。
キャッシュされたデータ をクリアする 認証、転送プロファイル、FQDN、IP に関連するクライアントの内部キャッシュ データを削除します。
ログのエクスポート クライアントに関連するログと構成ファイルを zip ファイルにエクスポートします。
高度な診断ツール クライアントの動作を監視およびトラブルシューティングするための高度なツール。

macOS の [設定とトラブルシューティング] ビューのスクリーンショット。[トラブルシューティング] タブが選択されています。

既知の制限事項

グローバル セキュア アクセス クライアントの現在のバージョンに関する既知の制限事項は次のとおりです。

セキュリティで保護されたドメイン ネーム システム (DNS)

ブラウザーまたは macOS でセキュリティで保護された DNS が有効になっていて、DNS サーバーが Secure DNS をサポートしている場合、クライアントは FQDN によって取得されるように設定されたトラフィックをトンネリングしません。 (IP によって取得されたネットワーク トラフィックは影響を受けず、転送プロファイルに従ってトンネリングされます)。セキュリティで保護された DNS の問題を軽減するには、セキュリティで保護された DNS を無効にするか、セキュリティで保護された DNS をサポートしていない DNS サーバーを設定するか、IP に基づいてルールを作成します。

IPv6 はサポートされていません

クライアントは IPv4 トラフィックのみをトンネルします。 IPv6 トラフィックはクライアントによって取得されないため、ネットワークに直接ルーティングされます。 すべてのトラフィックがグローバル セキュア アクセスにルーティングされるようにするには、IPv6 を無効にします。

接続フォールバック

クラウド サービスへの接続エラーが発生した場合、クライアントは、転送プロファイル内の一致する規則の 強化 値に基づいて、インターネットへの直接接続または接続のブロックのいずれかにフォールバックします。

ソース IP アドレスの位置情報

クラウド サービスにトンネリングされるネットワーク トラフィックの場合、アプリケーション サーバー (Web サイト) は接続のソース IP をエッジの IP アドレス (ユーザー デバイスの IP アドレスとしてではなく) として検出します。 このシナリオは、位置情報に依存するサービスに影響する可能性があります。

ヒント

Office 365 と Entra でデバイスの真のソース IP を検出するには、ソース IP 復元を有効にすることを検討してください。

UTM での仮想化のサポート

  • ネットワークがブリッジ モードで、グローバル セキュア アクセス クライアントがホスト コンピューターにインストールされている場合:
    • グローバル セキュア アクセス クライアントが仮想マシンにインストールされている場合、仮想マシンのネットワーク トラフィックはローカル ポリシーの対象となります。 ホスト マシンのポリシーは、仮想マシンの転送プロファイルには影響しません。
    • グローバル セキュア アクセス クライアント が仮想マシンに インストールされていない場合、仮想マシンのネットワーク トラフィックはバイパスされます。
  • グローバル セキュリティで保護されたアクセス クライアントは、仮想マシンのネットワーク トラフィックをブロックする可能性があるため、ネットワーク 共有 モードをサポートしていません。
  • ネットワークが共有 モード 場合は、クライアントがホスト コンピューターにもインストールされていない限り、macOS を実行している仮想マシンにグローバル セキュリティで保護されたアクセス クライアントをインストールできます。

QUIC はインターネット アクセスでサポートされていません

QUIC はまだインターネット アクセスでサポートされていないため、ポート 80 UDP と 443 UDP へのトラフィックはトンネリングできません。

ヒント

QUIC は現在、プライベート アクセスと Microsoft 365 ワークロードでサポートされています。 管理者はブラウザーで QUIC プロトコルを無効にして、クライアントが TCP 経由で HTTPS にフォールバックするようにトリガーできます。これは、インターネット アクセスで完全にサポートされています。 詳細については、インターネット アクセスでサポートされていない QUIC を参照してください。

関連コンテンツ