Microsoft の ZTNA をちょっと紐解いていく
>100 Views
May 09, 25
スライド概要
Global Azure 2025 での資料ですー。
https://jazug.connpass.com/event/348980/
関連スライド
各ページのテキスト
Microsoft の ZTNA をちょっと紐解いていく 株式会社プログライブ コンサルティング Kazuyuki Sakemi (酒見 一幸) https://www.progrive.co.jp https://www.progrive.co.jp 1 2025/05/10 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
はじめに \\\ Global Azure 開催おめでとうございます! /// \\\ Congrats!! > new Microsoft MVPs /// \\\ 3 箇所での同時開催すごい /// \\\ 内容は後半かなり難しいかもです /// Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
自己紹介 酒見 一幸 (Kazuyuki Sakemi) from 株式会社プログライブ コンサルティング https://twitter.com/_skmkzyk https://zenn.dev/skmkzyk https://atbex.attokyo.co.jp/blog/001013001/ https://speakerdeck.com/skmkzyk Summary Azure を中心とした開発や運用自動化のスペシャリストとして、 日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活躍中。 独法や文教業界を中心に、要件定義から設計構築、NW/SV/アプリ 運用までの幅広いプロジェクトに従事。日本マイクロソフトでは、顧客の コスト最適化や人材育成に向けたコンサルティングを中心に、ビジネスの 加速に貢献。2024年08月より Microsoft MVP for Azure。 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Microsoft MVP でしてー ◼ Most Valuable Professionals ⁻ Most Valuable Player ではなく、Professional です! ⁻ ブログ書いたり、登壇したり、QA に回答したり、イベント主催したり、コミュニティやったりしてる人たちの集まり ⁻ いろいろ benefit がある (Azure のサブスクリプションがもらえたりいろいろもらえる) 6 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ゼロトラスト、してますか? 7 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ゼロトラストネットワークアーキテクチャーと Microsoft の Global Secure Access Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ゼロトラストネットワークアーキテクチャーへの流れ SaaS アプリケーション SaaS アプリケーション クライアント クライアント クライアント 社内ネットワーク 社内ネットワーク 過去 (でありたい) 9 VPN クライアント 社外 今 (ほとんどの企業がたぶんこれ) 社内外の区別なし 未来 (Microsoft とか) Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ゼロトラストネットワークアーキテクチャー導入の動機 1. コロナ禍をきっかけとしたリモートワークの推進 ⁻ 最近オフィス回帰もかなり進んでいる気がしますが。 2. 従来型の境界型防御からの脱却 ⁻ ファイアウォール、IPS/IDS、、、などが複雑になってきた ⁻ 社内からのアクセスでも社外からのアクセスでも同じポリシーを適用したい 3. VPN 脱却 ⁻ 一部のベンダーの VPN 機器で脆弱性が多く見つかっている ⁻ アップデートを適用せずセキュリティ事故につながったケースも少なくない ⁻ VPN ってもともとは緊急用だったのにみんなが使うようになるとキャパシティーが全然足りない クラウド型なら実質無限のキャパシティーがある 4. 10 そのほかにも、、、? Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
転職するにも “リモート可” や “フルリモート可” という文字列の魅力がある (よね) 11 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
とはいえ社内システムは残っており、ZTNA により対応する必要がある ◼ VPN フリーで社内アプリケーションにアクセスする仕組み ⁻ Zero Trust Network Access (ZTNA) SaaS ⁻ Microsoft Entra Private Access (MEPA) が該当するサービス ◼ クラウド上のネットワークを経由してアクセス Secure Service Edge ⁻ Secure Service Edge = SSE ⁻ アクセス先のアプリケーションごとに ユーザの許可・拒否を制御できるように 宛先アプリケーションに加えて、 もう一枚認証のレイヤーを追加できる ⁻ 宛先のアプリケーションの変更なく 多要素認証 (MFA) を追加できる アプリケーション Application proxy と似たような機能 クライアント 社内ネットワーク 13 社内外の区別なし Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ZTNA のイメージ エージェントを入れる コネクターを置く 通信できない MSFTGUEST (10.60.212.0/22) 14 社内ネットワーク 社内ネットワーク (192.168.10.0/24) (192.168.10.0/24) MSFTGUEST (10.60.212.0/22) Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
社内アプリケーションといえば ◼ 単一ラベル ドメインが残っている環境もあるのでは ⁻ 単一ラベル ドメイン = SLD、FQDN ではないもの 単一ラベル ドメインの Microsoft サポート - Windows Server | Microsoft Learn http://app-ui/login とか http://server01/share/photos/2025/04/report.html みたいなやつ ⁻ FQDN = Fully Qualified Domain Name、完全修飾ドメイン名 (細かい定義はさておき) hoge.example.jp のように .co.jp とか .com で終わるようなもの 社内ネットワーク MSFTGUEST 15 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
SLD と Microsoft Entra Private Access Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Microsoft Entra Private Access と SLD の組み合わせ ◼ SLD を使ったアクセスは Microsoft Entra Private Access で考慮されてそう ⁻ (先日の勉強会でなんかできないんだよね、、と言っていたところだった) ⁻ (コネクターサーバーが AD 参加していなかったりいろいろと確認が足りていなかったのが敗因の一つ) ⁻ その実際の仕組みがとても奥深いのでご紹介したい https://learn.microsoft.com/en-us/entra/global-secure-access/concept-private-nameresolution#single-label-domain-sld-resolution 17 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
(前提知識) prefix と suffix ◼ prefix ⁻ なんか “前” っぽいイメージのやつ ⁻ prefix (“vm”) + 連番 = vm01、vm02、vm03、、、 ◼ suffix ⁻ “後” っぽいイメージのやつ ⁻ ↑ のやつ + suffix (“example.local”) = vm01.example.local、vm02.example.local、vm03.example.local ◼ Windows のインターフェース設定の奥深くにサフィックスに関する設定がある 18 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Windows 上の 2 種類の DNS サフィックス ◼ DNS サフィックス検索一覧 PS C: \ Users \ KazuyukiSakemi> ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : DESKTOP Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : - XXXXXXX これ xxxxxxxx - xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local ◼ 接続固有の DNS サフィックス PS C: \ Users \ KazuyukiSakemi> ipconfig /all <snip> Wireless LAN adapter Wi Connection - specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) Wi 19 こっちは無い - Fi: - Fi 6E AX211 160MHz Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
(余談) 接続固有の DNS サフィックス ◼ RFC 3397 で定義される DHCP の option 119 で設定できるらしい ⁻ https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saawCAA&lang=ja ⁻ バイト列で指定が必要そうでめんどそう ⁻ 255 文字が最長だが、圧縮ポインターを使うと結構いっぱい書けるっぽい 20 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
MEPA + Private DNS 利用時の DNS サフィックス検索一覧 ◼ Private DNS を有効化すると、 DNS サフィックス検索一覧 にドメインが追加される ⁻ エンタープライズ アプリケーションの Application (client) ID に紐づいたドメインが付与される ⁻ xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local など ◼ インターフェースのプロパティ > IPv4 のプロパティ > advanced > DNS のところに追加される 21 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
(余談) xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local は ◼ 該当の GUID を Entra admin center で検索すると Enterprise application が一致した ⁻ Quick Access で利用しているので、いまのところテナントごとに 1 つになると思われる 22 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
SLD の名前解決の流れ (途中まで) ad01 に行きたい DNS サフィックスリストを参照し “ad01.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.globalsecureaccess.local” を名前解決しようとする インターフェースに設定された DNS サーバーに従って・・・? 23 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Name Resolution Policy Table (NRPT) ◼ “*.example.co.jp” だったら DNS サーバーは x.x.x.x に向ける、みたいな ⁻ AD サーバーの条件付きフォワーダーの、 Client OS 版みたいな ⁻ 参考: Windows Client OS で条件付きフォワーダー的なことをやってみる https://zenn.dev/skmkzyk/articles/conditional-forwarder-on-client ⁻ 参考: AD 参加してる一部のマシンに条件付きフォワーダーを設定するみたいなやつ https://zenn.dev/skmkzyk/articles/selective-conditional-forwarder-ad ◼ 2 つの PowerShell コマンドがある ⁻ Get - DnsClientNrptPolicy GPO で設定されたものを表示する ⁻ Get - DnsClientNrptRule GPO で設定されたものと手動で設定したものを合わせて表示する 24 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
MEPA + Private DNS 利用時の NRPT
◼ “DNS サフィックス検索一覧” の設定に加え、NRPT にも設定が追加される
⁻ Get-DnsClientNrptPolicy
PS C: \ Users \ KazuyukiSakemi> Get
- DnsClientNrptPolicy
| ft
wpad は proxy の自動設定的なやつ
なので今回はあんまり関係ない
- AutoSize
Namespace
DA
--------.wpad.xxxxxxxx
- xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local
.xxxxxxxx
- xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local
-False
False
DADnsServers
DnsSec
----------------Utf8WithoutMapping
NameServers
-----------
NameEncoding
------------
6.6.255.254
Utf8WithoutMapping
⁻ Get-DnsClientNrptRule
PS C: \ Users \ KazuyukiSakemi> Get
- DnsClientNrptRule
| ft
- AutoSize
Namespace
DA
--------{.xxxxxxxx
- xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local} False
{.wpad.xxxxxxxx
- xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local} False
--
DADnsServers
------------
DnsSec
-----False
False
NameServers
----------6.6.255.254
NameEncoding
-----------Disable
Disable
⁻ どちらのケースでも 6.6.255.254 に名前解決するような設定となっている
25
Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
SLD の名前解決の流れ (途中まで) ad01 に行きたい DNS サフィックスリストを参照し “ad01.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.globalsecureaccess.local” を名前解決しようとする NRPT に合致するので指定された DNS サーバーである 6.6.255.254 に名前解決を依頼する 6.6.255.254 とは・・・? 26 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Whois を引いてみる ◼ US Army Information Systems Command = 米陸軍ネットワーク ⁻ よくわからん。。。。 $ whois 6.6.255.254 NetRange : 6.0.0.0 CIDR: 6.0.0.0/8 - 6.255.255.255 <snip> OrgName : Headquarters, USAISC OrgId : HEADQU -3 Address: NETC - ANC CONUS TNOSC City: Fort Huachuca StateProv : AZ PostalCode : 85613 Country: US RegDate : 1990 - 03 - 26 Updated: 2025 - 03 - 13 Ref: https://rdap.arin.net/registry/entity/HEADQU 27 -3 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
(余談) 1.1.1.1 から 9.9.9.9 の持ち主 (ChatGPT 調べ…) IP アドレス 組織名 用途例 1.1.1.1 Cloudflare / APNIC パブリック DNS 2.2.2.2 Orange S.A.(フランス) ISP(オレンジ) 3.3.3.3 Amazon Technologies Inc. AWS インフラ 4.4.4.4 Level 3 (現 Lumen) ISP 5.5.5.5 E-Plus Mobilfunk GmbH(ドイツ) ISP 6.6.6.6 US Army Information Systems Command 米陸軍ネットワーク 7.7.7.7 DoD Network Information Center(米国防総省) 政府ネットワーク 8.8.8.8 Google LLC パブリック DNS 9.9.9.9 Quad9(非営利団体) セキュア DNS • Cloudflare は Malware Blocking Only として 1.1.1.1/1.0.0.2、 Malware and Adult Content Blocking Together として1.1.1.3/1.0.0.3 も提供している (https://one.one.one.one/family/) • Google は 8.8.8.8 のほかに 8.8.4.4 でも同様のサービスを展開している (https://developers.google.com/speed/public-dns/) 28 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
6.6.255.254 とは ◼ Microsoft Learn より ⁻ プライベート DNS を使用すると、状況がさらに興味深くなります。構成されたプライベート DNS サフィックスごとに、 Global Secure Access クライアントは、これらのクエリを合成 IP (通常は 6.6.255.254) に向ける名前解決ポリシー テーブル (NRPT) ルールを追加します。NRPT を使用すると、指定された名前空間に対して指定された DNS サーバー への名前解決リクエストルーティングを構成できます。これは、これらのリクエストをコンピュータのネットワークアダプタに 構成された DNS サーバーに送信するというデフォルトの動作を上書きします。 ⁻ つまり、MEPA の内部で処理される特別な IP ⁻ (とはいえほんとに米陸軍ネットワークに通信したいとき 困らないのかしら…) https://learn.microsoft.com/enus/entra/global-secureaccess/troubleshoot-app-access 29 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
SLD の名前解決の流れ ad01 に行きたい DNS サフィックスリストを参照し “ad01.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.globalsecureaccess.local” を名前解決しようとする NRPT に合致するので指定された DNS サーバーである 6.6.255.254 に名前解決を依頼する 6.6.255.254 宛ての DNS 要求はなんやかんやあってコネクターに飛んでいき、そこらへんで名前解決される コネクターサーバーの AD 参加は Private DNS の必須要件 ドメイン環境のサフィックスが自動補完されて名前解決が完了する 解決されたプライベート IP アドレスが通常の MEPA の経路に沿って通信ができるようになる 30 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Connector 側の DNS サフィックス検索一覧 ◼ 今回は PoC のため AD + Connector 同居構成です PS C: \ Users \ Administrator> ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : ad01 Primary Dns Suffix . . . . . . . : corp.xxxxxxxx.progrive.co.jp Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : corp.xxxxxxxx.progrive.co.jp flets - east.jp iptvf.jp PS C: \ Users \ Administrator> Resolve Name ---ad01.corp. 31 - DnsName ad01 - Type A Type TTL Section xxxxxxxx .progrive.co.jp A -----------1200 Question 192.168.10.21 IPAddress --------- Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
SLD でのリモートデスクトップ接続 ◼ “ad01” を指定しただけで、前述のなんやかんやがあって接続ができる 32 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
nslookup は何をするコマンドか Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
nslookup と Resolve-DnsName の比較 ◼ nslookup → 引けない PS C: \ Users \ KazuyukiSakemi> Server: dns.google Address: 8.8.8.8 *** dns.google nslookup can't find ad01: Non ad01 - existent domain ◼ Resolve - DnsName → 引ける PS C: \ Users \ KazuyukiSakemi> Resolve - DnsName ad01 - Type A Name Type TTL Section ---ad01.xxxxxxxx - xxxx - xxxx - xxxx - f503e7611871.glob A alsecureaccess.local 35 -----1190 Answer ------- IPAddress --------192.168.10.21 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
nslookup は何をするコマンドか ◼ 名前解決をするコマンド → ちょっと不正確 ◼ 正確には、”指定された DNS サーバーに名前解決のリクエストを送る” コマンド ⁻ なので hosts ("C:\Windows\System32\drivers\etc\hosts“) を見ない ⁻ NRPT も効かない ◼ NRPT が効かない理由 ⁻ 要求されたドメインが NRPT に合致するかを見て、宛先の DNS サーバーを選んで要求を送る ⁻ nslookup は “DNS サーバーを先に選んでから要求を送る” コマンド ⁻ なので NRPT に従わない ⁻ hosts を見ないのもほぼ同じ理由 36 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
nslookup の代わりに何を使うべきか ◼ Resolve - DnsName ⁻ (たぶん OS のスタブリゾルバーに名前解決を依頼するコマンドのはず) ⁻ (Edge や Chrome などが名前解決するのと同じような動きをするはず) ⁻ なので hosts や NRPT が反映された名前解決の結果が返ってくる ◼ ping ⁻ 正確な代替にはならないが、Resolve-DnsName のように OS の名前解決の機能を使うので同様に動く ⁻ ping は返ってこなくてもよく、1 行目に出てくる名前解決の結果だけを参考にする PS C: \ Users \ KazuyukiSakemi> ping ad01 Pinging Control 37 ad01.xxxxxxxx -C - xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local [192.168.10.21] with 32 bytes of data: Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
nslookup の代わりに何を使うべきか (contd.) ◼ Test - NetConnection ⁻ 細かい名前解決の流れはわからないが、とりあえずどのプライベート IP に解決されたかは分かる ⁻ また、TCP のレベルで通信ができるかも分かる (ファイアウォールとかもろもろの設定含めて簡単な疎通確認にも) PS C: \ Users \ KazuyukiSakemi> Test ComputerName RemoteAddress RemotePort InterfaceAlias SourceAddress TcpTestSucceeded 38 - NetConnection ad01 - Port 3389 : ad01 : 192.168.10.21 : 3389 : Wi - Fi : 192.168.179.2 : True Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
ちなみに nslookup でうまく解決させるためには ◼ nslookup で 6.6.255.254 にクエリを投げる PS C: \ Users \ KazuyukiSakemi> DNS request timed out. timeout was 2 seconds. Server: UnKnown Address: 6.6.255.254 Name: ad01.19faf966 Address: 192.168.10.21 nslookup - type=a ad01 6.6.255.254 - 594a - 4145 - bdec - f503e7611871.globalsecureaccess.local https://learn.microsoft.com/en-us/entra/global-secure-access/troubleshootapp-access 39 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Wireshark でもトラシューできない Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
GSA のクライアントは LWF フィルターを利用 ◼ NDIS lightweight filter (LWF) driver ⁻ 一般的な VPN は専用のインターフェースが作成されるが GSA はインターフェースを作成せず、 フィルターを利用してパケットを処理している route print してもあまりトラブルシュートにつながらない ⁻ 一つ下に見えている NPCAP は Wireshark が利用しているもの ⁻ 参考: Microsoft Entra Private Access はどうやって パケットを曲げているのか (分からんかった) https://zenn.dev/skmkzyk/articles/me-private-access-routing ◼ Wireshark と GSA の処理はどちらが優先される・・・? ⁻ Wireshark: パケットを見るだけ ⁻ GSA: パケットをカプセル化して SSE に送ったりしている 41 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
inf ファイルに書かれている FilterClass が重要 ◼ "C:\Program Files\Global Secure Access Client\GlobalSecureAccessDriver.inf“ ; Set the FilterClass here. The FilterClass controls the order in which ; filters are bound to the underlying miniport. Possible options include: ; Custom, Diagnostic, Failover, Loadbalance , Vpn , Compression, Encryption, Scheduler ; See MSDN for a description of each. HKR, Ndi,FilterClass ,, scheduler ◼ "C:\Program Files\Npcap\npcap.inf" ; ------------------------------------------------------------------------; Ndi installation support for the standard filter ; ------------------------------------------------------------------------[FilterStandard.reg] HKR, Ndi,Service,,% NPF_Filter_Name_Standard % HKR, Ndi,CoServices,0x00010000,%NPF_Filter_Name_Standard% HKR, Ndi, HelpText ,,% NPF_HelpText_Standard % HKR, Ndi,FilterClass ,, compression 42 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
FilterClass の処理順序 GSA 先 後 43 Value Description scheduler Packet scheduling filter service. This class of filter driver is the highest-level driver that can exist above encryption class filters in a driver stack. A packet scheduler detects the 802.1p priority classification that is given to packets by quality of service (QoS) signaling components and the scheduler sends those packets levels to underlying drivers according to their priority. encryption Encryption class filter drivers exist between scheduler and compression class filters. compression Compression class filter drivers exist between encryption and vpn class filters. vpn VPN class filter drivers exist between compression and load balance filter drivers. loadbalance Load balancing filter service. This class of filter driver exists between packet scheduling and failover drivers. A load Wireshark balancing filter service balances its workload of packet transfers by distributing the workload over its set of underlying miniport adapters. failover Failover filter service. This class of filter driver exists between load balance and diagnostics drivers. diagnostic Diagnostic filter drivers exist below failover drivers in the stack. custom Filter drivers in custom class exist below diagnostic drivers. provider_address Provider address filter drivers exist below the in-box Hyper-V Network Virtualization ms_wnv filter and operate on provider address (PA) packets. https://learn.microsoft.com/en-us/windows-hardware/drivers/network/configuring-an-inf-file-for-a-modifying-filter-driver Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
GSA のインストール前後での違い 上の方のレイヤー (アプリケーション) がデータを送りたい 上の方のレイヤー (アプリケーション) がデータを送りたい パケットが作られてレイヤーが下りてくる パケットが作られてレイヤーが下りてくる Wireshark がパケットの情報を見る (見るだけでそのまま) GSA が該当するパケットを TLS でくるんで SSE に送る NIC からパケット (フレーム) が飛んでったり返ってきたりする Wireshark で見たいけど宛先変わってるし TLS で見えない GSA で変わってしまった宛先に NIC から飛んでいく Wireshark が最終手段にならない 44 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Microsoft Learn より TCP/UDP TCP/UDP ここでカプセル化 いろいろ見れる GSA TLS で見えない Wireshark たぶんこんなイメージで GSA のインストール後 こうなる Wi-Fi 見てるだけなので 影響はない Wireshark Wi-Fi https://learn.microsoft.com/en-us/windows-hardware/drivers/network/ndis-filter-drivers 45 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Wireshark では GSA の詳細なパケットは見れない ◼ GSA のレイヤーで TLS のトンネルを張っている ⁻ 6.6.255.254 宛てのパケットを実際の TLS の終端 IP アドレス宛のトンネルでカプセル化的なものをやっているはず ⁻ Wireshark で 6.6.255.254 宛てのパケットを見ようと思っても何も見えない ◼ そこで、GSA Client の Advanced log collection を利用する ⁻ Zip ファイルが出てくるが、その中に NetworkTrace.pcap があり、これを Wireshark で開ける ⁻ https://microsoft.github.io/GlobalSecureAccess/Troubleshooting/GSAClientLogging/ ↑ みたいに Microsoft Learn のほかに、公式っぽい、いい感じの資料があるのがうーん 46 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
GSA Client ◼ Advanced log collection ⁻ “Start recording” して、 再現のための作業して、 止めるだけ ⁻ 右上の “フォルダー” アイコンから 別の log を import できる 事象発生するマシンと、 解析するマシンが別でもいい ⁻ が、そもそも → を開くのに 管理者権限がいる。。。 47 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
etl ファイル読み込みイメージ 48 Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
Microsoft Entra Internet Access と 2 種類の proxy と PAC ファイル To be continued… Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.
~ Expand Your Business ~ ~ビジネスの成長、新たな機会の追求、そして未来を切り開く~ 会社名 お問い合わせ 56 株式会社プログライブコンサルティング [ProGrive Consulting Co., Ltd.] [email protected] Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved.