🌐

Microsoft Entra Global Secure Access を Android で使う

2024/04/01に公開

はじめに

Microsoft のSecure Web Gateway (SWG) と リモートアクセス (ZTNA) 機能を持つ Microsoft Entra Global Secure Access (GSA) は Android でも利用可能になっていますので、動作確認してみました。なお、全般的な設定や使用方法などは以下をご確認ください。
https://zenn.dev/microsoft/articles/d276c4447c66a4
https://zenn.dev/microsoft/articles/645e632231735f
https://zenn.dev/microsoft/articles/54f2832a04c9b0

インストール

クライアント確認

Microsoft Entra 管理センターから [クライアントのダウンロード] を開いて Android の項目を確認します。以下の通り、個別クライアントではなく Microsoft Defender アプリと統合して提供されています。

Intune からインストール

せっかくなので Intune からインストールしていきます。[アプリ] > [Android] から [+追加] をクリックし、[マネージド Google Play アプリ] を選択します。


Microsoft Defender で検索しクリック、[選択] をクリックして [同期] をクリックします。一覧の画面に戻るので [最新の情報に更新] をクリックして「Microsoft Defender: AntiVirus」が表示されることを確認します。



インストール対象を割り当てます。[Microsoft Defender: AntiVirus] をクリックして [プロパティ] > 割り当ての [編集] をクリックします。必須の箇所でグループを割り当てます。


次にアプリ構成ポリシーを設定します。[アプリ] > [アプリ構成のポリシー] > [+追加] > [マネージド デバイス] を選択し、名前・プラットフォーム・プロファイルの種類を選択します。対象アプリは [Microsoft Defender: AntiVirus] を選択します。


構成設定の箇所で [構成デザイナーを使用する] を選択し、[+追加] をクリックして設定項目を追加し、[Global Secure Access] を [1] に設定します。(その他は必要に応じて) 最後にアプリと同様に割り当てで対象のグループを指定します。


動作確認

Android 端末上で動作を確認してみます。Microsoft Defender 上で以下のように グローバル セキュア アクセスの項目が表示されます。(翻訳されたために表示が崩れているようですが)
デフォルトは未接続の状態です。


ON に設定します。


仕事用のプロファイルで配布している Edge からは以下のようにプライベート環境にある App Service にアクセスできることを確認しました。


一方で個人用のプロファイルの Edge からはアクセスできない仕様のようです。(おそらく個人用プロファイルのアプリには GSA が効かないため、プライベート IP アドレスに名前解決できず、パブリック アクセスになると思われます。ドキュメントに記載がないため、想定です。)


ちなみに Andoroid の制限なのか、GSA のクライアントの制限なのかは分かりませんが、プライベート IP アドレスでのアクセスは不可でした。(nginx を起動した VM、Windows クライアントからはアクセス可)


以下のようにプライベート、インターネット、Microsoft 365 のログが確認できます。インターネットについても個人用プロファイルのアプリのログがないため、制御対象はやはり仕事用プロファイルのアプリのみと想定されます。

参考

https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/android-intune?view=o365-worldwide
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-install-android-client?tabs=device-administrator

Microsoft (有志)

Discussion