はじめに

WiFi-AP へアクセスを行う際には、SSID と固定のキーを使って接続する方法は個人向けとして広く普及していて、実際に自宅の WiFi-AP にスマートフォンや PC を接続したことがある人も多くいると思います。
これに対して、固定のキーでは無く、Active Directory のアカウントや、クライアント証明書などを使って認証する方法があり、この仕組みのことを 802.1x認証と呼びます。

固定のキーでは、キーが人づてで共有されてしまうと、誰でもネットワークに接続できてしまうため、企業用途ではセキュリティを維持できません。

そのため、802.1x認証を活用する事で、ユーザーやコンピューターごとにネットワークへの接続可否を制御する事で、適切な人や PC だけがネットワークへアクセスできるようになります。

例１：退職した人のアカウントを停止することで、以後アクセスできなくなる。
例２：紛失や盗難に遭った PC のクライアント証明書を失効させることで、以後アクセスできなくなる。

802.1x認証の環境を構築するには、さまざまな技術を組み合わせる必要であり、難易度が高くなります。

この記事では、その中でも難易度が低めなユーザーアカウントでの認証を実現する、MS-CHAPv2 での構築手順を紹介します。

なお、クライアント証明書での認証を行う EAP-TLS を構築したい場合も、いきなりそれを目指すのではなく MS-CHAPv2 で構成に成功した環境から、構成変更して作っていく事をお勧めします。

802.1x認証で使われる、EAPプロトコル（MS-CHAPv2 や EAP-TLS）は、保護された PEAP と組み合わせて使われるのですが、各方面で表現に "ゆらぎ" があって、大変理解しづらいです。
その点を、以下の記事で説明してみましたので、参考にしてみてください。

PEAP (EAP-TLS) で構成する場合は、以下の記事を参考にしてください。
クライアント証明書を扱う分、高難度になっていますが、セキュリテイは向上します。

1. 事前準備

本構成を行うために必要な前提となる環境です。

1-1. AD DS インストール

構築済みの Active Directory ドメインを用意してください。
まだ構築していない場合は、以下の手順を参考に構築しましょう。

新規構築したら、ドメイン内にテスト用のユーザーを作っておきましょう。
この記事では、user01 というユーザーが作られている前提で手順が作られています。
「パスワードを無期限にする」にチェックを入れない場合は、作成したユーザーで PCからログオンして初回パスワードの変更をしておいてください。

1-2. NPS インストール

NPS サーバーを用意してください。
事前にサーバーを 1-1. で構築したドメインにドメイン参加させてください。

まだ構築していない場合は、以下の手順を参考に構築しましょう。

1-3. AD CS インストール

AD CS サーバーを用意してください。
※AD CS サーバーは、ドメインへの参加要件はなく、WORKGROUP でも構いません。

この手順では、AD CS が、以下の構成となっていることを想定しています。

スタンドアロン CA
証明機関を導入済み
証明機関 Web 登録を導入済み

まだ構築していない場合は、以下の手順を参考に準備しましょう。
※スタンドアロン CA を選択してください。

AD CS サーバーをドメイン参加せず、WORKGROUP で構成した場合は、CRL を HTTP 匿名アクセスの構成にしておきましょう。
以下の記事を参考に「2-2. CRL 配布ポイントの変更手順」まで実施すれば大丈夫です。

1-4. 802.1x認証に対応した WiFi アクセスポイント

802.1x 認証に対応した WiFi アクセスポイントが必要です。
私が検証した時には、Cisco AIR-AP1832I-Q-K9 という機種を使いました。

それから、私が自宅で使っている WiFiルーター (TP-Link製 Archer AX73 | AX5400) も、設定画面を見る限りは、 802.1x 認証に対応しているみたいでした。仕様的にも対応していそうです。
お値段としては、安価で手に入るので、試してみる価値はありそうです。
※私の方で、検証までは実施できていません（家族も使っているので、自宅から動かせない）

1-5. 検証用クライアント PC

本記事では、無線LAN に対応した Windows 10 / 11 の PC を想定しています。
この PC を 1-1. で構築したドメインにドメイン参加させてください。

ドメイン参加は、必須ではなく WORKGROUP の PC でも構いませんが、ちょっと制約があるので手順の中で、補足説明などを入れてあります。

2. サーバー側の構築手順

2-1. NPS を Active Directory サーバーに登録する

（この作業の目的）

承認プロセス中にユーザーアカウントのダイヤルインプロパティを読み取るアクセス許可を付与します。
NPS サーバーが Active Directory の RAS and IAS Servers グループに追加されます。

NPS サーバーにドメイン管理者でサインインして、サーバーマネージャーから、ネットワークポリシーサーバーのツールを起動します。

　
NPS (ローカル) を右クリックして「Active Directory にサーバーを登録」を選択する。

　
以下のメッセージで「OK」を押します。

　
以下のメッセージで「OK」を押します。

ちゃんと登録されたかどうかを見る場合は、下図のメニューを再表示して「Active Directory にサーバーを登録」がグレーアウトしていることを確認します。

以上で、本作業は完了です。
この作業に関する公開情報は、以下を参照ください。

2-2. NPS 用サーバー証明書の作成

NPS には、以下の要件で作成されたサーバー証明書が必要ですが、これを見ただけで意図された証明書を作成することは難しいと思います。
※見なくても当記事の手順を参考に進めていただければ問題はありません。

そのため、以下の記事を参照し、NPS サーバー用のサーバー証明書を発行してください。
この記事から参照するために書き下ろした記事となっています。

2-3. NPS ポリシー（MS-CHAPv2）の作成

2-3-1. ウィザードでのポリシー作成

まず、NPS ポリシーは、以下の公開情報で紹介されているウィザードを使って作成していきます。

（公開情報：ネットワークポリシーを構成する）
https://learn.microsoft.com/ja-jp/windows-server/networking/technologies/nps/nps-np-configure#create-network-policies-for-8021x-wired-or-wireless-with-a-wizard
★以下の２つの章が、以降の手順で紹介している箇所に該当しています。
・ウィザードを使用した 802.1X 有線またはワイヤレスのポリシーの作成
・ウィザードを使用して 802.1X ワイヤード (有線) または 802.1X ワイヤレス (無線) のポリシーを作成するには

サーバーマネージャーから、ネットワークポリシーサーバーを起動します。

　
「802.1Xワイヤレス接続またはワイヤード（有線）接続用の RADIUS サーバーを選択して「802.1X を構成する」のリンクをクリックしてウィザードを開始します。

　
「ワイヤレス接続をセキュリティで保護する」を選択し、名前（任意で変更）を設定し「次へ」を押します。

　
NPS では、あらかじめ許可された RADIUS クライアントからのみ、認証を受け付けます。
許可されていない RADIUS クライアントから、認証要求が来た場合は、拒否されます。

許可する RADIUS クライアントを追加するために、「追加」を押します。

　
ここで、RADIUSクライアント（WiFI-AP）の情報を入力します。
・フレンドリ名は、あとでこの設定がどの WiFi-AP のものだったのかを識別するための名前です。
・機器のメーカー名や、機器の資産番号などを設定します。
・アドレスは、WiFi-AP 自身の IP アドレスを設定します。
・緑下線の共有シークレットは、RADIUS クライアント (WiFi-AP) 側の設定と同一の文字列である必要があります（つまり、合言葉）

　
下図の通りに追加されたことを確認して「次へ」を押します。

　
「Microsoft 保護された EAP (PEAP)」を選択して「構成」を押します。
★（要注意）ここでは、決して EAP-MS-CHAPv2 を選択しないようにしてください。

上記の図の緑枠「構成」ボタンを押すと、以下の画面になります。
ここで、以下の２点を確認します。

証明書の発行先が、AD CS で発行したサーバー証明書になっていること。
EAP の種類が「セキュリティで保護されたパスワード(EAP-MSCHAP v2)」になっていること。

なお、以下の画面が出た場合は、サーバー証明書がうまく導入されていません。
サーバー証明書の状態を確認して再度インポートしなおすなどを実施してください。

8．802.1x 認証をさせたいオブジェクトのグループを選択します。
未選択の場合は、全ユーザーが対象となるため、そのまま「次へ」進んで問題ありません。
ここで、複数の条件を設定した場合は、アンド条件になるので、覚えておきましょう。

9．以下の画面では、そのまま「次へ」を押します。

10．以下の画面になれば完了です。「完了」を押してウィザードを終了させます。

2-3-2. ウィザード構成後の差分設定（任意）

ウィザード構成後に、差分で設定をする内容です。
なお、この設定をやらなくても、PEAP (MS-CHAPv2) で認証は可能です。
ここでは単に、想定していない認証については、"オフ" にしているだけです。

2-3-3. RADIUS プロトコルの Firewall 解放（必要に応じて）

WiFi-AP から、NPS サーバーへの RADIUS の通信を許可する必要があります。
なお、NPS サーバーでは、既定で RADIUS の Firewall ポートは解放されているハズです。
ですが、特定の条件でポートが空いていない場合があるので、WiFi-AP と疎通が取れない場合などは、この設定を入れることを検討ください。

サーバーマネージャーから「ツール」－「セキュリティが強化された Windows Defender ファイアウォール」を起動します。

　
「受信の規則」を右クリックして「新しい規則」を選択します。

　
「ポート」を選んで「次へ」を押します。

　
「UDP」を選び、特定のローカルポート欄に「1812」を入力して「次へ」を押します。
Ciscoルーターが 1812 を使っているのでそうしましたが、必要によって 1813 , 1645 , 1646 を開けることも検討ください。

　
「接続を許可する」を選択して「次へ」を押します。

　
「ドメイン・プライベート・パブリック」全てにチェックが入った状態にして「次へ」を押します。

　
任意の名前をつけて、「完了」を押します。

　
こんな感じで追加されれば OK です。

（参考情報）

特に、上記の記事によると、Windows Server 2019 だと既定のルールで通信ができなくて、ハマる場合があるようです。
"sc sidtype IAS unrestricted" コマンドを実行すれば良いのですが、こういうのって、忘れますよね？
なので、ここで紹介したように明確にポートを空ければ OK と覚えておくと良いと思います。

3. WiFi アクセスポイント側の設定例

以下の記事に、例として Cisco 社の WiFi-AP で設定した際の内容などを説明してあります。

RADIUS サーバーの IPアドレスには、NPSサーバーの IPアドレスを設定します。
RADIUS シークレットに設定したシークレットキーは、あとで NPS サーバーに設定します。

4. クライアント側の設定手順（推奨）

この時点で WiFi-AP への接続は可能なはずです。
接続できるかどうか、確認してみましょう。
しかし、ID + Pass を入力したあとに、以下の画面が表示されます。

「接続を続けますか？」で、「接続」ボタンを押す必要があります。

クライアントがドメインに参加していれば、以下の記事の手順をすべて実施することで、「接続を続けますか？」の画面の表示を抑制できます。

5. 接続テスト

5-1. 正常に接続できた場合のパターン

クライアント PC から、SSID を選択して WiFi-AP に接続すると、以下の認証窓が出ます。
ここに、ドメインユーザーの ID とパスワードを入力して「OK」を押します。

　
接続成功した場合の画面

　
セキュリティのイベントログを確認すると、以下のログが確認できます。

イベント ID： 6272
メッセージ：ネットワークポリシーサーバーがユーザーのアクセスを許可しました。
アカウント名：認証をおこなったユーザー名
接続要求ポリシー名： NPSで定義したポリシー名
認証サーバー：NPSのサーバー名
認証の種類：PEAP
EAP の種類：Microsoft: セキュリティで保護されたパスワード (EAP-MSCHAPv2)
キーワード：成功の監査

5-2. 認証エラー

以下の認証ウィンドウに対して、誤ったアカウント情報が入力された場合です。
このとき、セキュリティのイベントログを確認すると、以下のログが確認できます

イベント ID： 4625
メッセージ：アカウントがログオンに失敗しました。
失敗の原因：ユーザーを識別できないか、またはパスワードが間違っています。
ログオンプロセス： CHAP
キーワード：失敗の監査

3．クライアントには、以下のような再認証のウィンドウが開きます。

4．その後、正しいパスワードを入れると、接続が成功します。

5．このとき、セキュリティのイベントログには、接続に成功した際と同様に「成功の監査」のログが確認できます

5-3. 接続できないパターン

5-3-1. 設定不足によるポリシー不一致の場合

認証窓が表示されずに、以下のようなエラーが出ます。
セキュリティのイベントログには、以下のログが出力されています。

イベント ID： 6273
接続要求ポリシー名： NPSで定義したポリシー名
ネットワークポリシー名：他のアクセスサーバーへの接続
認証サーバー：NPSのサーバー名
認証の種類：EAP
EAP の種類：-
理由コード：65
理由：Active Directory 内のユーザーアカウントのダイヤルインプロパティの [リモートアクセス許可]設定が、ユーザーに対して [アクセス拒否] に設定されています。
キーワード：失敗の監査

3．ここでは、「ネットワークポリシー名」が「他のサーバーへの接続」になっている点や、EAPの種類が - になっている点、キーワードが「失敗の監査」となっている点に着目。

対策として、ネットワークポリシーが合致しなかった理由を探します。

5-3-1 の事象に対する対策例

ウィザードの構成を終えただけでは、条件が不足している場合があります。

ネットワークポリシーを開く。
以下の画面で、「NASポートの種類」が「ワイヤレス - その他」になっている事を確認して「編集」を押す。
以下で、ワイヤレス - IEEE 802.11 のチェックが外れていれば、チェックを入れる。

5-3-2. 証明書が失効している場合

この事象は、ルート証明書をあえて「信頼されていない証明機関」に配置させることで再現させています。実際には、証明書が失効された場合に出るメッセージです。

認証窓が出て、認証を成功させます。
しかし、認証成功したあとに、「このネットワークに接続できません」のエラーが出て接続できません。

3．セキュリティのイベントログには、以下のように、証明書失効のログが出ています。

イベント ID： 6273
接続要求ポリシー名： NPSで定義したポリシー名
ネットワークポリシー名： NPSで定義したポリシー名
認証サーバー：NPSのサーバー名
認証の種類：PEAP
理由コード：256
理由：この証明書は失効しています。
EAP の種類：-
キーワード：失敗の監査

4．証明書が失効している原因（AD CS 側で証明書が失効されていないか）・・などを確認します。
このテストでは、ルート証明書を「信頼されたルート証明機関」に戻したところ、接続できるようになりました。

おまけ

ウィザード終了時の設定画面（チェック用）

NPS サーバーで、ウィザードでポリシーを作成した際に自動的に構成された設定値です。

RADIUS クライアント

接続要求ポリシー

（概要）

（条件）

（NAS ポートの種類）
　※上記の画面で、NASポートの種類を選んだあと「編集」を押して表示

（設定）

ネットワークポリシー

（概要）

（条件）

（NAS ポートの種類）
　※上記の画面で、NASポートの種類を選んだあと「編集」を押して表示

（制約）

（保護された EAP プロパティの編集）
　※上記の画面で「Microsoft 保護された EAP (PEAP)」を選んだあと「編集」を押して表示

NPS + WiFi + 802.1x 認証 (MS-CHAPv2) 構築手順