Microsoft の ZTNA をちょっと紐解いていく

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. https://www.progrive.co.jp https://www.progrive.co.jp
株式会社プログライブコンサルティング Kazuyuki Sakemi (酒見一幸) Microsoft の ZTNA をちょっと紐解いていく 2025/05/10 1

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. はじめに \\\
Global Azure 開催おめでとうございます！ /// \\\ Congrats!! > new Microsoft MVPs /// \\\ 3 箇所での同時開催すごい /// \\\ 内容は後半かなり難しいかもです ///

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. https://twitter.com/_skmkzyk Summary
Azure を中心とした開発や運用自動化のスペシャリストとして、日系・外資系 SIer や日本マイクロソフトを経験し、現職にて活躍中。独法や文教業界を中心に、要件定義から設計構築、NW/SV/アプリ運用までの幅広いプロジェクトに従事。日本マイクロソフトでは、顧客のコスト最適化や人材育成に向けたコンサルティングを中心に、ビジネスの加速に貢献。2024年08月より Microsoft MVP for Azure。自己紹介 https://zenn.dev/skmkzyk https://atbex.attokyo.co.jp/blog/001013001/ 酒見一幸 (Kazuyuki Sakemi) from 株式会社プログライブコンサルティング https://speakerdeck.com/skmkzyk

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft MVP
でしてー 6 ◼ Most Valuable Professionals ⁻ Most Valuable Player ではなく、Professional です！ ⁻ ブログ書いたり、登壇したり、QA に回答したり、イベント主催したり、コミュニティやったりしてる人たちの集まり ⁻ いろいろ benefit がある (Azure のサブスクリプションがもらえたりいろいろもらえる)

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ゼロトラストネットワークアーキテクチャーと Microsoft
の Global Secure Access

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ゼロトラストネットワークアーキテクチャーへの流れ 9
アプリケーションクライアント社内ネットワーク社内ネットワーク社外クライアントクライアント SaaS 社内外の区別なし SaaS クライアント VPN アプリケーション過去 (でありたい) 今 (ほとんどの企業がたぶんこれ) 未来 (Microsoft とか)

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ゼロトラストネットワークアーキテクチャー導入の動機 10
1. コロナ禍をきっかけとしたリモートワークの推進 ⁻ 最近オフィス回帰もかなり進んでいる気がしますが。 2. 従来型の境界型防御からの脱却 ⁻ ファイアウォール、IPS/IDS、、、などが複雑になってきた ⁻ 社内からのアクセスでも社外からのアクセスでも同じポリシーを適用したい 3. VPN 脱却 ⁻ 一部のベンダーの VPN 機器で脆弱性が多く見つかっている ⁻ アップデートを適用せずセキュリティ事故につながったケースも少なくない ⁻ VPN ってもともとは緊急用だったのにみんなが使うようになるとキャパシティーが全然足りない クラウド型なら実質無限のキャパシティーがある 4. そのほかにも、、、？

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 転職するにも “リモート可”
や “フルリモート可” という文字列の魅力がある (よね) 11

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. アプリケーションとはいえ社内システムは残っており、ZTNA
により対応する必要がある 13 ◼ VPN フリーで社内アプリケーションにアクセスする仕組み ⁻ Zero Trust Network Access (ZTNA) ⁻ Microsoft Entra Private Access (MEPA) が該当するサービス ◼ クラウド上のネットワークを経由してアクセス ⁻ Secure Service Edge = SSE ⁻ アクセス先のアプリケーションごとにユーザの許可・拒否を制御できるように 宛先アプリケーションに加えて、もう一枚認証のレイヤーを追加できる ⁻ 宛先のアプリケーションの変更なく多要素認証 (MFA) を追加できる Application proxy と似たような機能社内外の区別なし SaaS クライアント社内ネットワーク Secure Service Edge

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ZTNA のイメージ
14 MSFTGUEST (10.60.212.0/22) 社内ネットワーク (192.168.10.0/24) MSFTGUEST (10.60.212.0/22) 社内ネットワーク (192.168.10.0/24) 通信できないエージェントを入れるコネクターを置く

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 社内アプリケーションといえば 15
◼ 単一ラベルドメインが残っている環境もあるのでは ⁻ 単一ラベルドメイン = SLD、FQDN ではないもの 単一ラベルドメインの Microsoft サポート - Windows Server | Microsoft Learn http://app-ui/login とか http://server01/share/photos/2025/04/report.html みたいなやつ ⁻ FQDN = Fully Qualified Domain Name、完全修飾ドメイン名 (細かい定義はさておき) hoge.example.jp のように .co.jp とか .com で終わるようなもの MSFTGUEST 社内ネットワーク

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. SLD と
Microsoft Entra Private Access

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Entra
Private Access と SLD の組み合わせ 17 ◼ SLD を使ったアクセスは Microsoft Entra Private Access で考慮されてそう ⁻ (先日の勉強会でなんかできないんだよね、、と言っていたところだった) ⁻ (コネクターサーバーが AD 参加していなかったりいろいろと確認が足りていなかったのが敗因の一つ) ⁻ その実際の仕組みがとても奥深いのでご紹介したい https://learn.microsoft.com/en-us/entra/global-secure-access/concept-private-name- resolution#single-label-domain-sld-resolution

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (前提知識) prefix
と suffix 18 ◼ prefix ⁻ なんか “前” っぽいイメージのやつ ⁻ prefix (“vm”) + 連番 = vm01、vm02、vm03、、、 ◼ suffix ⁻ “後” っぽいイメージのやつ ⁻ ↑ のやつ + suffix (“example.local”) = vm01.example.local、vm02.example.local、vm03.example.local ◼ Windows のインターフェース設定の奥深くにサフィックスに関する設定がある

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Windows 上の
2 種類の DNS サフィックス 19 ◼ DNS サフィックス検索一覧 ◼ 接続固有の DNS サフィックス PS C: \ Users \ KazuyukiSakemi> ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : DESKTOP - XXXXXXX Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : xxxxxxxx - xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local PS C: \ Users \ KazuyukiSakemi> ipconfig /all <snip> Wireless LAN adapter Wi - Fi: Connection - specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) Wi - Fi 6E AX211 160MHz こっちは無いこれ

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (余談) 接続固有の
DNS サフィックス 20 ◼ RFC 3397 で定義される DHCP の option 119 で設定できるらしい ⁻ https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saawCAA&lang=ja ⁻ バイト列で指定が必要そうでめんどそう ⁻ 255 文字が最長だが、圧縮ポインターを使うと結構いっぱい書けるっぽい

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. MEPA +
Private DNS 利用時の DNS サフィックス検索一覧 21 ◼ Private DNS を有効化すると、 DNS サフィックス検索一覧にドメインが追加される ⁻ エンタープライズアプリケーションの Application (client) ID に紐づいたドメインが付与される ⁻ xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local など ◼ インターフェースのプロパティ > IPv4 のプロパティ > advanced > DNS のところに追加される

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (余談) xxxxxxxx-xxxx-xxxx-xxxx-f503e7611871.globalsecureaccess.local
は 22 ◼ 該当の GUID を Entra admin center で検索すると Enterprise application が一致した ⁻ Quick Access で利用しているので、いまのところテナントごとに 1 つになると思われる

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. SLD の名前解決の流れ
(途中まで) 23 ad01 に行きたい DNS サフィックスリストを参照し “ad01.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.globalsecureaccess.local” を名前解決しようとするインターフェースに設定された DNS サーバーに従って・・・？

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Name Resolution
Policy Table (NRPT) 24 ◼ “*.example.co.jp” だったら DNS サーバーは x.x.x.x に向ける、みたいな ⁻ AD サーバーの条件付きフォワーダーの、 Client OS 版みたいな ⁻ 参考: Windows Client OS で条件付きフォワーダー的なことをやってみる https://zenn.dev/skmkzyk/articles/conditional-forwarder-on-client ⁻ 参考: AD 参加してる一部のマシンに条件付きフォワーダーを設定するみたいなやつ https://zenn.dev/skmkzyk/articles/selective-conditional-forwarder-ad ◼ 2 つの PowerShell コマンドがある ⁻ Get - DnsClientNrptPolicy GPO で設定されたものを表示する ⁻ Get - DnsClientNrptRule GPO で設定されたものと手動で設定したものを合わせて表示する

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. MEPA +
Private DNS 利用時の NRPT 25 ◼ “DNS サフィックス検索一覧” の設定に加え、NRPT にも設定が追加される ⁻ Get-DnsClientNrptPolicy ⁻ Get-DnsClientNrptRule ⁻ どちらのケースでも 6.6.255.254 に名前解決するような設定となっている PS C: \ Users \ KazuyukiSakemi> Get - DnsClientNrptRule | ft - AutoSize Namespace DA DADnsServers DnsSec NameServers NameEncoding --------- -- ------------ ------ ----------- ------------ {.xxxxxxxx - xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local} False False 6.6.255.254 Disable {.wpad.xxxxxxxx - xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local} False False Disable PS C: \ Users \ KazuyukiSakemi> Get - DnsClientNrptPolicy | ft - AutoSize Namespace DA DADnsServers DnsSec NameServers NameEncoding --------- -- ------------ ------ ----------- ------------ .wpad.xxxxxxxx - xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local False Utf8WithoutMapping .xxxxxxxx - xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local False 6.6.255.254 Utf8WithoutMapping wpad は proxy の自動設定的なやつなので今回はあんまり関係ない

(途中まで) 26 ad01 に行きたい DNS サフィックスリストを参照し “ad01.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.globalsecureaccess.local” を名前解決しようとする NRPT に合致するので指定された DNS サーバーである 6.6.255.254 に名前解決を依頼する 6.6.255.254 とは・・・？

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Whois を引いてみる
27 ◼ US Army Information Systems Command = 米陸軍ネットワーク ⁻ よくわからん。。。。 $ whois 6.6.255.254 NetRange : 6.0.0.0 - 6.255.255.255 CIDR: 6.0.0.0/8 <snip> OrgName : Headquarters, USAISC OrgId : HEADQU - 3 Address: NETC - ANC CONUS TNOSC City: Fort Huachuca StateProv : AZ PostalCode : 85613 Country: US RegDate : 1990 - 03- 26 Updated: 2025 - 03- 13 Ref: https://rdap.arin.net/registry/entity/HEADQU - 3

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. (余談) 1.1.1.1
から 9.9.9.9 の持ち主 (ChatGPT 調べ…) 28 IP アドレス組織名用途例 1.1.1.1 Cloudflare / APNIC パブリック DNS 2.2.2.2 Orange S.A.（フランス） ISP（オレンジ） 3.3.3.3 Amazon Technologies Inc. AWS インフラ 4.4.4.4 Level 3 (現 Lumen) ISP 5.5.5.5 E-Plus Mobilfunk GmbH（ドイツ） ISP 6.6.6.6 US Army Information Systems Command 米陸軍ネットワーク 7.7.7.7 DoD Network Information Center（米国防総省）政府ネットワーク 8.8.8.8 Google LLC パブリック DNS 9.9.9.9 Quad9（非営利団体）セキュア DNS • Cloudflare は Malware Blocking Only として 1.1.1.1/1.0.0.2、 Malware and Adult Content Blocking Together として1.1.1.3/1.0.0.3 も提供している (https://one.one.one.one/family/) • Google は 8.8.8.8 のほかに 8.8.4.4 でも同様のサービスを展開している (https://developers.google.com/speed/public-dns/)

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 6.6.255.254 とは
29 ◼ Microsoft Learn より ⁻ プライベート DNS を使用すると、状況がさらに興味深くなります。構成されたプライベート DNS サフィックスごとに、 Global Secure Access クライアントは、これらのクエリを合成 IP (通常は 6.6.255.254) に向ける名前解決ポリシーテーブル (NRPT) ルールを追加します。NRPT を使用すると、指定された名前空間に対して指定された DNS サーバーへの名前解決リクエストルーティングを構成できます。これは、これらのリクエストをコンピュータのネットワークアダプタに構成された DNS サーバーに送信するというデフォルトの動作を上書きします。 ⁻ つまり、MEPA の内部で処理される特別な IP ⁻ (とはいえほんとに米陸軍ネットワークに通信したいとき困らないのかしら…) https://learn.microsoft.com/en- us/entra/global-secure- access/troubleshoot-app-access

30 ad01 に行きたい DNS サフィックスリストを参照し “ad01.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.globalsecureaccess.local” を名前解決しようとする NRPT に合致するので指定された DNS サーバーである 6.6.255.254 に名前解決を依頼する 6.6.255.254 宛ての DNS 要求はなんやかんやあってコネクターに飛んでいき、そこらへんで名前解決されるドメイン環境のサフィックスが自動補完されて名前解決が完了する解決されたプライベート IP アドレスが通常の MEPA の経路に沿って通信ができるようになるコネクターサーバーの AD 参加は Private DNS の必須要件

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Connector 側の
DNS サフィックス検索一覧 31 ◼ 今回は PoC のため AD + Connector 同居構成です PS C: \ Users \ Administrator> ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : ad01 Primary Dns Suffix . . . . . . . : corp.xxxxxxxx.progrive.co.jp Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : corp.xxxxxxxx.progrive.co.jp flets - east.jp iptvf.jp PS C: \ Users \ Administrator> Resolve - DnsName ad01 - Type A Name Type TTL Section IPAddress ---- ---- --- ------- --------- ad01.corp. xxxxxxxx .progrive.co.jp A 1200 Question 192.168.10.21

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. SLD でのリモートデスクトップ接続
32 ◼ “ad01” を指定しただけで、前述のなんやかんやがあって接続ができる

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. nslookup と
Resolve-DnsName の比較 35 ◼ nslookup → 引けない ◼ Resolve - DnsName → 引ける PS C: \ Users \ KazuyukiSakemi> nslookup ad01 Server: dns.google Address: 8.8.8.8 *** dns.google can't find ad01: Non - existent domain PS C: \ Users \ KazuyukiSakemi> Resolve - DnsName ad01 - Type A Name Type TTL Section IPAddress ---- ---- --- ------- --------- ad01.xxxxxxxx - xxxx - xxxx - xxxx - f503e7611871.glob A 1190 Answer 192.168.10.21 alsecureaccess.local

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. nslookup は何をするコマンドか
36 ◼ 名前解決をするコマンド → ちょっと不正確 ◼ 正確には、”指定された DNS サーバーに名前解決のリクエストを送る” コマンド ⁻ なので hosts ("C:\Windows\System32\drivers\etc\hosts“) を見ない ⁻ NRPT も効かない ◼ NRPT が効かない理由 ⁻ 要求されたドメインが NRPT に合致するかを見て、宛先の DNS サーバーを選んで要求を送る ⁻ nslookup は “DNS サーバーを先に選んでから要求を送る” コマンド ⁻ なので NRPT に従わない ⁻ hosts を見ないのもほぼ同じ理由

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. nslookup の代わりに何を使うべきか
37 ◼ Resolve - DnsName ⁻ (たぶん OS のスタブリゾルバーに名前解決を依頼するコマンドのはず) ⁻ (Edge や Chrome などが名前解決するのと同じような動きをするはず) ⁻ なので hosts や NRPT が反映された名前解決の結果が返ってくる ◼ ping ⁻ 正確な代替にはならないが、Resolve-DnsName のように OS の名前解決の機能を使うので同様に動く ⁻ ping は返ってこなくてもよく、1 行目に出てくる名前解決の結果だけを参考にする PS C: \ Users \ KazuyukiSakemi> ping ad01 Pinging ad01.xxxxxxxx - xxxx - xxxx - xxxx - f503e7611871.globalsecureaccess.local [192.168.10.21] with 32 bytes of data: Control - C

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. nslookup の代わりに何を使うべきか
(contd.) 38 ◼ Test - NetConnection ⁻ 細かい名前解決の流れはわからないが、とりあえずどのプライベート IP に解決されたかは分かる ⁻ また、TCP のレベルで通信ができるかも分かる (ファイアウォールとかもろもろの設定含めて簡単な疎通確認にも) PS C: \ Users \ KazuyukiSakemi> Test - NetConnection ad01 - Port 3389 ComputerName : ad01 RemoteAddress : 192.168.10.21 RemotePort : 3389 InterfaceAlias : Wi - Fi SourceAddress : 192.168.179.2 TcpTestSucceeded : True

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. ちなみに nslookup
でうまく解決させるためには 39 ◼ nslookup で 6.6.255.254 にクエリを投げる PS C: \ Users \ KazuyukiSakemi> nslookup - type=a ad01 6.6.255.254 DNS request timed out. timeout was 2 seconds. Server: UnKnown Address: 6.6.255.254 Name: ad01.19faf966 - 594a - 4145 - bdec - f503e7611871.globalsecureaccess.local Address: 192.168.10.21 https://learn.microsoft.com/en-us/entra/global-secure-access/troubleshoot- app-access

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. GSA のクライアントは
LWF フィルターを利用 41 ◼ NDIS lightweight filter (LWF) driver ⁻ 一般的な VPN は専用のインターフェースが作成されるが GSA はインターフェースを作成せず、フィルターを利用してパケットを処理している route print してもあまりトラブルシュートにつながらない ⁻ 一つ下に見えている NPCAP は Wireshark が利用しているもの ⁻ 参考: Microsoft Entra Private Access はどうやってパケットを曲げているのか (分からんかった) https://zenn.dev/skmkzyk/articles/me-private-access-routing ◼ Wireshark と GSA の処理はどちらが優先される・・・？ ⁻ Wireshark: パケットを見るだけ ⁻ GSA: パケットをカプセル化して SSE に送ったりしている

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. inf ファイルに書かれている
FilterClass が重要 42 ◼ "C:\Program Files\Global Secure Access Client\GlobalSecureAccessDriver.inf“ ◼ "C:\Program Files\Npcap\npcap.inf" ; Set the FilterClass here. The FilterClass controls the order in which ; filters are bound to the underlying miniport. Possible options include: ; Custom, Diagnostic, Failover, Loadbalance , Vpn, Compression, Encryption, Scheduler ; See MSDN for a description of each. HKR, Ndi,FilterClass ,, scheduler ; ------------------------------------------------------------------------- ; Ndi installation support for the standard filter ; ------------------------------------------------------------------------- [FilterStandard.reg] HKR, Ndi,Service,,% NPF_Filter_Name_Standard % HKR, Ndi,CoServices,0x00010000,%NPF_Filter_Name_Standard% HKR, Ndi, HelpText ,,% NPF_HelpText_Standard % HKR, Ndi,FilterClass ,, compression

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. FilterClass の処理順序
43 Value Description scheduler Packet scheduling filter service. This class of filter driver is the highest-level driver that can exist above encryption class filters in a driver stack. A packet scheduler detects the 802.1p priority classification that is given to packets by quality of service (QoS) signaling components and the scheduler sends those packets levels to underlying drivers according to their priority. encryption Encryption class filter drivers exist between scheduler and compression class filters. compression Compression class filter drivers exist between encryption and vpn class filters. vpn VPN class filter drivers exist between compression and load balance filter drivers. loadbalance Load balancing filter service. This class of filter driver exists between packet scheduling and failover drivers. A load balancing filter service balances its workload of packet transfers by distributing the workload over its set of underlying miniport adapters. failover Failover filter service. This class of filter driver exists between load balance and diagnostics drivers. diagnostic Diagnostic filter drivers exist below failover drivers in the stack. custom Filter drivers in custom class exist below diagnostic drivers. provider_address Provider address filter drivers exist below the in-box Hyper-V Network Virtualization ms_wnv filter and operate on provider address (PA) packets. https://learn.microsoft.com/en-us/windows-hardware/drivers/network/configuring-an-inf-file-for-a-modifying-filter-driver GSA Wireshark 先後

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. GSA のインストール前後での違い
44 上の方のレイヤー (アプリケーション) がデータを送りたいパケットが作られてレイヤーが下りてくる Wireshark がパケットの情報を見る (見るだけでそのまま) NIC からパケット (フレーム) が飛んでったり返ってきたりする上の方のレイヤー (アプリケーション) がデータを送りたいパケットが作られてレイヤーが下りてくる GSA が該当するパケットを TLS でくるんで SSE に送る Wireshark で見たいけど宛先変わってるし TLS で見えない GSA で変わってしまった宛先に NIC から飛んでいく Wireshark が最終手段にならない

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Microsoft Learn
より 45 TCP/UDP Wireshark Wi-Fi TCP/UDP GSA Wireshark Wi-Fi たぶんこんなイメージで GSA のインストール後こうなる https://learn.microsoft.com/en-us/windows-hardware/drivers/network/ndis-filter-drivers ここでカプセル化 TLS で見えないいろいろ見れる見てるだけなので影響はない

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. Wireshark では
GSA の詳細なパケットは見れない 46 ◼ GSA のレイヤーで TLS のトンネルを張っている ⁻ 6.6.255.254 宛てのパケットを実際の TLS の終端 IP アドレス宛のトンネルでカプセル化的なものをやっているはず ⁻ Wireshark で 6.6.255.254 宛てのパケットを見ようと思っても何も見えない ◼ そこで、GSA Client の Advanced log collection を利用する ⁻ Zip ファイルが出てくるが、その中に NetworkTrace.pcap があり、これを Wireshark で開ける ⁻ https://microsoft.github.io/GlobalSecureAccess/Troubleshooting/GSAClientLogging/ ↑ みたいに Microsoft Learn のほかに、公式っぽい、いい感じの資料があるのがうーん

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. GSA Client
47 ◼ Advanced log collection ⁻ “Start recording” して、再現のための作業して、止めるだけ ⁻ 右上の “フォルダー” アイコンから別の log を import できる 事象発生するマシンと、解析するマシンが別でもいい ⁻ が、そもそも → を開くのに管理者権限がいる。。。

Copyright (C) ProGrive Consulting Co.,Ltd. All rights reserved. 56 会社名
株式会社プログライブコンサルティング [ProGrive Consulting Co., Ltd.] お問い合わせ [email protected] ~ Expand Your Business ~ ～ビジネスの成長、新たな機会の追求、そして未来を切り開く～

Microsoft の ZTNA をちょっと紐解いていく

Microsoft の ZTNA をちょっと紐解いていく

More Decks by skmkzyk

Featured

Transcript