はじめに
802.1x認証 - PEAP (MS-CHAPv2) の WiFi アクセスポイントに接続する際に必要な設定を Windows クライアント 側 で行う手順です。
サーバーや WiFi-AP 側 の設定については、以下の記事を参照してください。
それから、WiFi プロファイルの設定 を行う前に、ルート証明書 のインポートなどの作業も必要となります。本記事の手順を行う前に、以下の記事も参照してください。
クライアント側で行う手順とは別に、Intune を使って クラウドから設定を配布する方法もあります。以下の記事で説明していますので、こちらも参考にしてください。
WiFi プロファイル設定手順
- 「コントロールパネル」-「ネットワークとインターネット」-「ネットワークと共有センター」を開きます。
- 「ネットワークと共有センター」の画面で「新しい接続またはネットワークのセットアップ」を開きます。
- 「ワイヤレスネットワークに手動で接続します」を選んで「次へ」を押します。
- 以下の設定を入力して「次へ」を押します。
・ネットワーク名 = [SSID]
・セキュリティの種類 = "WPA2-エンタープライズ"
※WiFi AP 側 の構成によっては、WPA3-エンタープライズ などの候補になりますが、パーソナルではなく、エンタープライズ を選んでください。
- 「接続の設定を変更します」を選びます。
- 「セキュリテイ」タブを選び、「ネットワークの認証方法の選択」で、「Microsoft: 保護されたEAP (PEAP)」を選択して「設定」ボタンを押します。
- 以下の画面で、①「信頼されたルート証明機関」では、NPS サーバー にインポートした サーバー証明書 と ペア になる ルート証明書 を選んで、②「セキュリティで保護されたパスワード (EAP-MS-CHAP v2)」を選択し、③「構成」を押す。
③「構成」ボタンを押した後の画面について
OS にサインインするアカウントが オンプレミスドメインユーザー のみである場合は、「Windows のログオン名とパスワード(およびドメインがある場合はドメイン)を自動的に使う」 の機能が使えます。チェックを入れて「OK」を押してください。
このチェックを ON にすることで、OS にサインインした時のアカウントを WiFi 接続時の MS-CHAPv2 の認証にも使用されるため、認証のアクション無しで WiFi に接続されます。
公開情報では、以下で説明されています。
("UseWinLogonCredentials" の項目が この設定に該当しています)
https://learn.microsoft.com/ja-jp/windows/win32/nativewifi/single-sign-on-profile-sample
Credential Guard が有効な場合は、この機能が利用できないので、GPO で 無効化も実施します。
Windows 11 Enterprise 版では、既定で Credential Guard が 有効 になっています。
なお、Credential Guard を無効化することはセキュリティが低下する行為となるため、利便性とトレードオフになります。
(Credential Guard の無効化)
https://learn.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/configure?tabs=gpo#disable--credential-guard-with-group-policy
なお、この設定を ON にした場合は、オンプレミスドメイン の ドメインユーザー以外では WiFi に接続できなくなります。理由を調べてみたのですが OS にサインインした時の ユーザー名が そのまま NPS サーバーに引き継がれて認証されており、そこでエラーになると、認証窓が開かずに 1発でエラーになっていました。
そのため、この機能が使えるのは オンプレミスドメイン参加ユーザー または Hybrid Entra Join ユーザー のいずれかです。
WORKGROUP のローカルアカウント か Entra Join の Entra ユーザー の場合は、"必ず" チェックオフ にしてください。
Entra ユーザーの場合は、以下のように AzureAD\user01 のような形になってしまい、"ドメインが無い" という扱いになって、エラーになってしまいます。
"チェックオフ" であれば、WiFi 接続時 に 認証窓 が開くので ユーザーID と パスワード を入力すれば認証できます。
8.④ の「OK」を押すと、以下の画面に戻るので、「詳細設定」ボタンを押す。
9.「認証モードを指定する」にチェックを入れて「ユーザー認証」を選択して「OK」を押す。
オンプレミスドメイン にサインインする環境でのおススメ
さらに、以下の設定を行う事で、OS への ドメインログオン の前に WiFi に接続してからサインインが行われるようにする事ができます。そうする事で OS がキャッシュログオン ではなく、ネットワーク経由で ドメイン認証されてから ログオン が行われる形になります。
さらに、「Windows のログオン名とパスワード(およびドメインがある場合はドメイン)を自動的に使う」 の設定との組み合わせで、動作に違いがあります。
「Windows のログオン名とパスワード(およびドメインがある場合はドメイン)を自動的に使う」が "オフ" の場合
ドメイン認証と、WiFi 認証の情報を同時に入力する必要があります。
「Windows のログオン名とパスワード(およびドメインがある場合はドメイン)を自動的に使う」が "オン" の場合
左下に "user01" と "他のユーザー" というアイコンが 2 個ずつ並んでいますが、丸い方 は WiFi に 接続せず にサインインします。四角い方(ピンク枠) の方が WiFi に 接続してから サインインします。
コマンドでの確認方法
netsh wlan show profile
保存されている WiFi プロファイル の 一覧 を取得します。
netsh wlan show profile name=[プロファイル名]
取得した一覧の中から、プロファイル名 を指定して、詳細な情報を表示できます。
PS C:\Windows\System32> netsh wlan show profile name=QiitaWiFi
インターフェイス Wi-Fi のプロファイル QiitaWiFi:
=======================================================================
適用先: すべてのユーザー プロファイル
プロファイル情報
-------------------
バージョン : 1
種類 : ワイヤレス LAN
名前 : QiitaWiFi
コントロール オプション :
接続モード : 自動接続
ネットワーク ブロードキャスト : このネットワークがブロードキャスト配信している場合に限り接続
AutoSwitch : 他のネットワークに切り替えません
MAC ランダム化 : 無効
接続の設定
---------------------
SSID の数 : 1
SSID 名 : "QiitaWiFi"
ネットワークの種類 : インフラストラクチャ
無線の種類 : [ 任意の無線の種類 ]
ベンダー拡張 : 存在しません
セキュリティの設定
-----------------
認証 : WPA2-エンタープライズ
暗号 : CCMP
認証 : WPA2-エンタープライズ
暗号 : GCMP
セキュリティ キー : なし
802.1X : 有効
EAP の種類 : Microsoft: 保護された EAP (PEAP)
802.1X 認証の資格情報 : ユーザーの資格情報
資格情報の構成 : いいえ
ユーザー情報のキャッシュ : はい
コスト設定
-------------
コスト : 制限なし
混雑 : いいえ
データ制限間近 : いいえ
データ制限超過 : いいえ
ローミング : いいえ
コスト ソース : 既定
PS C:\Windows\System32>
netsh wlan delete profile name=[プロファイル名]
取得した一覧の中から、プロファイル名 を指定して、削除できます。
(参考)
WiFi プロファイルは、一度 WiFi-AP に接続されると そのまま PC 内に保存されて、以後 同じ SSID に接続する際に転用されます。
接続しなおす テスト等 を行う場合は、毎回 WiFi プロファイル を 削除して作り直す方が無難です。
- netsh wlan show profile で、プロファイル を一覧表示
- netsh wlan delete profile = [プロファイル名] で、プロファイル を削除
※ GUI でも 接続中の WiFi 名 を、右クリックして "削除" できます。