はじめに
Intune を使い、Windows PC へ WiFi プロファイルを配布する手順となっています。
WPA エンタープライズ は、企業向けです。
WPA エンタープライズ を使うと、WiFi で接続する際に、ユーザー ID + パスワード [PEAP (MS-CHAPv2)] で認証させたり、クライアント証明書 [EAP-TLS または PEAP (EAP-TLS)] を使って認証させることができます。
公開情報:エンタープライズ プロファイル
本記事の目的
上記のリンク先の「エンタープライズ プロファイル」の章で説明されている内容のうち、PEAP (EAP-TLS) の設定を Intune で配布する方法を紹介します。
一般家庭で使われている WiFi ルーター で多く使われている 事前共有キー(固定文字列のキー) の場合には、キーの漏洩に対して何の防衛もできませんが、そもそも 個人や家族だけが知っていれば良いキーなので問題ありません。
この事前共有キーの仕組みの中で、暗号化レベルが高めで 広く普及しているのが WPA パーソナルです。
しかし、企業の WiFi になると、社員の入社や退社といった企業の組織活動や 協業者や派遣さんなどの従業員以外の方々の出入りもあります。そのような環境で 事前共有キー での運用は、もはや 誰でも 企業内ネットワークにアクセスできる状態と変わりありません。そのような運用はナンセンスですね。
WPA エンタープライズ は、企業にとって 必須の WiFi ソリューションとなります。
以下の記事では、別の認証方式 のプロファイルを Intune で配布する手順を紹介しています。
WPA パーソナル
https://qiita.com/carol0226/items/084d31ce07e4540f069c
WPA エンタープライズ PEAP (MS-CHAPv2)
https://qiita.com/carol0226/items/0aa29d3a3004f5241012
1. 前提となる環境
1-1. Intune 環境
WiFi プロファイルを配布するために Intune を利用できる環境が必要です。
以下の記事のうち、① または ② を実施して、Windows PC を Intune に登録してください。
(①:PC を Microsoft Entra テナント に参加させる場合)
(②:PC が オンプレミスのドメインに参加済みの場合)
Microsoft Entra Hybrid Join を構成します。
(③:その他:オンプレミスのドメインに参加してるけど Hybrid Join 構成はしたくない/WORKGROUP の状態など)
認証は、オンプレミスドメインコントローラ や ローカルアカウント に任せて、Intune でデバイスの管理を担う方式です。
1-2. ネットワークポリシーサービス (NPS) - 802.1x認証 PEAP (EAP-TLS) の構築
まず、WiFi で PEAP (EAP-TLS) での接続を受け付けるための WiFi アクセスポイントが必要です。
Intune から、PEAP (EAP-TLS) 用の WiFi プロファイル が配布されると、その構成情報を使って、PC が WiFi アクセスポイントに接続します。
そのため、当然 WiFi アクセスポイント側が PEAP (EAP-TLS) を受け付け可能な状態になっていないと、テストができません。
まずは、そのための WiFi 環境を準備しましょう。
1-3. SCEP を使って Intune から クライアント証明書 配布する環境
PEAP (EAP-TLS) で WiFi 接続を行う場合は、各クライアント に 固有のクライアント証明書が配布されている必要があります。
それを実現するために、以下の記事で Intune で SCEP 証明書プロファイルを配布する仕組みについて、記事化してあります。
上記の方法で クライアント証明書 が配布され、次章以降の手順で WiFI プロファイル が配布されることで、PEAP (EAP-TLS) で WiFi 接続ができるようになります。
2. Intune 構成プロファイルの作成手順
- Intune 管理センター へ グローバル管理者 でサインインします。
https://intune.microsoft.com
- 「構成プロファイル」を開き「作成」から「新しいポリシー」を選択します。
- 以下の選択肢を選び、「作成」を押します。
・プラットフォーム = Wndows 10 以降
・プロファイルの種類 = テンプレート
・テンプレート名 = WiFi
- 「基本」タブでは、構成プロファイルの名称を設定します。この名称は Intune 管理センター内でプロファイルの識別のために使われます(ユーザー側には見えないので、管理用の名前)
- 「構成設定」タブでは、WiFi の詳細な設定値を入力して「次へ」を押します。
| 項目 | 設定値 | 補足 |
|---|---|---|
| Wi-Fi の種類 | エンタープライズ | WPA エンタープライズを使うので、"エンタープライズ" を選ぶ必要があります。 |
| Wi-Fi 名(SSID) | [任意の SSID 名] | 接続する SSID を指定 |
| 接続名 | [任意の名前] | ここで指定した名前が 利用者の PC 画面に表示されます。 |
| 範囲内にある場合は自動的に接続する | はい | シングルサインオン (SSO) が無効の時に「はい」になっていると、SSID が範囲内にあると認証ウィンドウが立ち上がってしまいます。SSO が動作している時に「はい」にすると効果的です。 |
| 認証モード | マシン | PEAP (EAP-TLS) で「コンピューター名」で認証するときは これ! |
| EAP の種類 | 保護された EAP (PEAP) | PEAP (EAP-TLS) の時は これ! |
| サーバー検証に使用するルート証明書 | [ルート証明書 の配布] で作成したものを選択 | |
| サーバー検証を実行する | いいえ | |
| 暗号化のバインドを必要とする | はい | |
| 認証方法 | SCEP 証明書 | PEAP (EAP-TLS) の時は これ! |
| ID プライバシー | 空欄 | 値を入れると 認証できなかったので、空欄にしました |
上記で、設定値が明記されていない項目は、任意で選択してください。
下図のうち、赤下線部は 必ず 値を指定してください。
緑下線部は、この値が 私の推奨ですが、必要に応じて 変更してください。
(上記の画面で、「1つ以上の証明書プロファイルを選択します」を押して、アップロードされた証明書を選択します)
(上記の画面で、「証明書プロファイルを選択します」を押して、SCEP 証明書 を選択します)
各設定項目の選択肢の内容も示しておきます。
(Wi-Fi の種類)
(従量制課金接続の制限)
(認証モード)
(EAP の種類)
(認証方法)
(会社のプロキシの設定)
6.「割り当て」タブでは、WiFi 設定を配布するグループ を指定して「次へ」を押します。
ここでは、「すべてのデバイスを追加」を選択して検証を実施しました。
7.「適用性ルール」タブでは、何も修正せずに、「次へ」を押します。
※「割り当て」タブで選択された ユーザー/デバイス のうち、適用する条件や 除外する条件 を指定できます。未設定の場合は、全台が適用されるため、検証時は未選択としました。
8.「確認および作成」タブでは、設定値を最終確認して、「作成」を押します。
9.以下の通知メッセージが表示されれば OK です。
10.構成プロファイル が作成されると、以下のように 一覧に表示されます。
3. 接続テスト
- テストする PC に ルート証明書 や WiFi プロファイル が残されている場合には、手動で削除しておきます。
- PC を 起動して、インターネットに接続します(有線LAN または 別の WiFi を使います)
このタイミングで Intune から 構成プロファイルが適用されます。
- タスクトレイ で ネットワーク アイコンをクリックして、WiFi 接続し "Intune で設定した接続名" を選択します。
- 接続できない場合のトラブルシューティングは、以下の記事と共通の内容になります。
https://qiita.com/carol0226/items/564a21455cd3e5f58906#トラブルシューティング