はじめに
802.1x認証 - PEAP (MS-CHAPv2) の WiFi アクセスポイントに接続する際に必要な Windows クライアント 側 の設定です。
サーバーや WiFi-AP 側 の設定については、以下の記事を参照してください。
本記事の内容とは別に、Intune で クライアント側の構成を配布する方法もあります。
ルート証明書や WiFi プロファイルの構成などを すべてまとめて構成して 配布できます。
以下の記事にまとめてありますので、参照ください。
手順の開始前に
なお、1~3 章 の構成を全く行わなくても、OS 既定の設定で WiFi-AP への接続は可能なはずです。
接続できるかどうか、確認してみましょう。
しかし、1~3 章 の対応 を行わないと、ID + Pass を入力したあとに、以下の画面が表示されます。
「接続を続けますか?」で、「接続」ボタンを押す必要があります。
クライアント が ドメインに参加していれば、1~3 章 のすべての対処を行うことで、「接続を続けますか?」の画面の表示を抑制することができます。
なお、2 章 と 3 章 の設定おこなって、1 章 だけ未構成だと接続できないなど、動作要件が厳しいです。注意して対応してください。
中途半端に行わず、1~3 章 は すべてセットで実装する必要があると考えて下さい。
1~3 章 の作業は、PC 毎に いちいちやっていられませんよね?
なので、PC 単体で 接続テスト が成功したら、2章 , 3 章 の設定は GPO を使って配布するのが ベストプラクティス です。
そうすれば、ユーザーの手を煩わすことなく、「接続を続けますか?」のメッセージを抑制できます。
1. NT Auth ストア に ルート証明書 を インポート する
ドメインコントローラー にて、以下の記事に記載された対処を行ってください。
ドメイン に参加した PC にも反映されます。
WORKGROUP の PC の場合は、各マシンごとに対応が必要です。その場合の手順も、以下の記事に記載してあります。
2. クライアント の 信頼されたルート証明機関 へ ルート証明書 を インポート する
2-1. ルート証明書 の 単体 PC 用手順(接続テスト用)
NPS 用 サーバー証明書 と ペア となった ルート証明書 が、クライアント の「信頼されたルート証明機関」にインポートされている必要があります。
以下の記事を参照し、クライアント の 信頼されたルート証明機関 へ ルート証明書 をインポートしてください。
AD CS で、HTTP のファイアウォールが許可されて、クライアントPC がドメイン参加 されていれば、クライアント の ブラウザ で 直接 AD CS の IP に接続して クライアント証明書 を ダウンロードすることもできます。
2-2. ルート証明書 の GPO 配布方法(運用向け)
(公開情報:グループポリシー を使用してクライアントコンピューターに証明書を配布する)
3. WiFi プロファイルの設定
3-1. WiFi プロファイル の 単体 PC 用手順(接続テスト用)
以下の記事を参考に、WiFi プロファイルを作成します。
(重要)
WiFi プロファイルは、一度 WiFi-AP に接続されると そのまま PC 内に保存されて、以後 同じ SSID に接続する際に転用されます。
接続しなおす テスト等 を行う場合は、毎回 WiFi プロファイル を 削除してください。
- netsh wlan show profile で、プロファイル を一覧表示
- netsh wlan delete profile = [プロファイル名] で、プロファイル を削除
※ GUI でも 接続中の WiFi 名 を、右クリックして "削除" できます。
コマンドの実行例は、以下のリンク先で確認してください。
https://qiita.com/carol0226/items/0aa29d3a3004f5241012#コマンドでの確認方法
3-2. WiFi プロファイル の GPO 配布方法(運用向け)
(公開情報:Windows で EAP プロファイルを構成する)
グループ ポリシー エディター (デスクトップとサーバー)
→ この章の手順で WiFi プロファイル を GPO で配布します。