2
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Intune 構成プロファイル で WiFi 設定 を配布する - PEAP(MS-CHAPv2) 編

Last updated at Posted at 2024-02-03

はじめに

Intune を使い、Windows PC へ WiFi プロファイルを配布する手順となっています。

WPA エンタープライズ は、企業向けです。
WPA エンタープライズ を使うと、WiFi で接続する際に、ユーザー ID + パスワード [PEAP(MS-CHAPv2)] で認証させたり、クライアント証明書 [EAP-TLS] を使って認証させることができます。

この記事では、ユーザー ID + パスワード [PEAP(MS-CHAPv2)] での認証を実現する方法を紹介していきます。

(公開情報:エンタープライズ プロファイル)

上記のリンク先の「エンタープライズ プロファイル」の章が、本記事で紹介している手順です。

なお、「基本プロファイル」の章は、WPA パーソナル を構成するための手順ですので、今回は実施不要です。

一般家庭で使われている WiFi ルーター で多く使われている 事前共有キー(固定文字列のキー) の場合には、キーの漏洩に対して何の防衛もできませんが、そもそも 個人や家族だけが知っていれば良いキーなので問題ありません。
この事前共有キーの仕組みの中で、暗号化レベルが高めで 広く普及しているのが WPA パーソナルです。

しかし、企業の WiFi になると、社員の入社や退社といった企業の組織活動や 協業者や派遣さんなどの従業員以外の方々の出入りもあります。そのような環境で 事前共有キー での運用は、もはや 誰でも 企業内ネットワークにアクセスできる状態と変わりありません。そのような運用はナンセンスですね。

WPA エンタープライズ は、企業にとって 必須の WiFi ソリューションとなります。

以下の記事では、WPA パーソナル のプロファイルを Intune で配布する手順を紹介しています。

1. 前提となる環境

1-1. Intune 環境

WiFi プロファイルを配布するために Intune を利用できる環境が必要です。
以下の記事のうち、① または ② を実施して、Windows PC を Intune に登録してください。

(①:PC を Microsoft Entra テナント に参加させる場合)

(②:PC が オンプレミスのドメインに参加済みの場合)
Microsoft Entra Hybrid Join を構成します。

(③:その他:オンプレミスのドメインに参加してるけど Hybrid Join 構成はしたくない/WORKGROUP の状態など)
認証は、オンプレミスドメインコントローラ や ローカルアカウント に任せて、Intune でデバイスの管理を担う方式です。

1-2. WiFi アクセスポイント - 802.1x認証 PEAP(MS-CHAPv2)

まず、WiFi で PEAP(MS-CHAPv2)での接続を受け付けるための WiFi アクセスポイントが必要です。
Intune から、PEAP(MS-CHAPv2) 用の WiFi プロファイル が配布されると、その構成情報を使って、PC が WiFi アクセスポイントに接続します。

そのため、当然 WiFi アクセスポイント側が PEAP(MS-CHAPv2) を受け付け可能な状態になっていないと、テストができません。
まずは、そのための WiFi 環境を準備しましょう。

2. Intune 構成プロファイルの作成手順

今回の構成では、ルート証明書 と WiFi プロファイル の 2種類の構成プロファイルの作成が必要です。

2-1. ルート証明書 の配布

PEAP(MS-CHAPv2) の認証を行うためには、NPS サーバー側にある サーバー証明書 を確認するための ルート証明書 が クライアント PC 側の「信頼されたルート証明書ストア」にインポートされている必要があります。この章の構成で、Intune を使って、ルート証明書 を配布できます。

ルート証明書は、以下の手順で AD CS サーバーから入手してください(1章のみ実施。2章のクライアントPCへのインポートは実施不要です)

  1. Intune 管理センター へ グローバル管理者 でサインインします。
    https://intune.microsoft.com
    image.png
     
  2. 「構成プロファイル」を開き「作成」から「新しいポリシー」を選択します。
    image.png
     
  3. 以下の選択肢を選び、「作成」を押します。
    ・プラットフォーム = Wndows 10 以降
    ・プロファイルの種類 = テンプレート
    ・フィルタ欄 = 証明書
    ・テンプレート名 = 信頼済み証明書
    image.png
     
  4. 「基本」タブでは、構成プロファイルの名称を設定します。
    image.png
     
  5. 「構成設定」タブでは、AD CS サーバーからダウンロードした ルート証明書 を指定して、保存先ストアは、「コンピューター証明書ストア - ルート」を選択して「次へ」を押します。
    image.png
     
  6. 「割り当て」タブでは、ルート証明書 を配布するグループ を指定して「次へ」を押します。
    ここでは、「すべてのデバイスを追加」を選択して検証を実施しました。
    image.png
     
  7. 「適用性ルール」タブでは、何も修正せずに、「次へ」を押します。
    ※「割り当て」タブで選択された ユーザー/デバイス のうち、適用する条件や 除外する条件 を指定できます。未設定の場合は、全台が適用されるため、検証時は未選択としました。
    image.png
     
  8. 「確認および作成」タブでは、設定値を最終確認して、「作成」を押します。
    image.png
     
  9. 以下の通知メッセージが表示されれば OK です。
    image.png
     
  10. 構成プロファイル が作成されると、以下のように 一覧に表示されます。
    image.png

2-2. WiFi プロファイル の配布

  1. Intune 管理センター へ グローバル管理者 でサインインします。
    https://intune.microsoft.com
    image.png
     
  2. 「構成プロファイル」を開き「作成」から「新しいポリシー」を選択します。
    image.png
     
  3. 以下の選択肢を選び、「作成」を押します。
    ・プラットフォーム = Wndows 10 以降
    ・プロファイルの種類 = テンプレート
    ・テンプレート名 = WiFi
    image.png
     
  4. 「基本」タブでは、構成プロファイルの名称を設定します。この名称は Intune 管理センター内でプロファイルの識別のために使われます(ユーザー側には見えないので、管理用の名前)
    image.png
     
  5. 「構成設定」タブでは、WiFi の詳細な設定値を入力して「次へ」を押します。
項目 設定値 補足
Wi-Fi の種類 エンタープライズ WPA エンタープライズを使うので、"エンタープライズ" を選ぶ必要があります。
Wi-Fi 名(SSID) [任意の SSID 名] 接続する SSID を指定
接続名 [任意の名前] ここで指定した名前が 利用者の PC 画面に表示されます。
範囲内にある場合は自動的に接続する はい シングルサインオン (SSO) が無効の時に「はい」になっていると、SSID が範囲内にあると認証ウィンドウが立ち上がってしまいます。SSO が動作している時に「はい」にすると効果的です。
認証モード ユーザー PEAP (MS-CHAPv2) の時は これ!
ログオンするたびに資格情報を記憶する 無効にする 有効にした場合、WiFi 接続時の認証がキャッシュされるため、毎回認証しなくても良くなりますが、セキュリティは下がります。
認証エラーの最大数 3 既定値は、1のため 認証を誤ると 接続できなくなる恐れがあるので、3 にしてます。
シングルサインオン (SSO) ユーザーがデバイスにサインインする前に有効にする この機能は 4 章で説明しています
タイムアウトになる前の認証の最長時間 120  
ユーザーに追加の認証資格情報を要求することを Windows に許可する はい シングルサインオン (SSO) を有効にした場合は、これ! 
EAP の種類 保護された EAP (PEAP) PEAP (MS-CHAPv2) の時は これ!
証明書サーバー名 [AD CS サーバーのホスト名]
サーバー検証に使用するルート証明書 [2-1. ルート証明書 の配布] で作成したものを選択
サーバー検証を実行する いいえ
暗号化のバインドを必要とする はい
認証方法 ユーザー名とパスワード PEAP (MS-CHAPv2) の時は これ!
ID プライバシー 空欄 値を入れると 認証できなかったので、空欄にしました

上記で、設定値が明記されていない項目は、任意で選択してください。
下図のうち、赤下線部は 必ず 値を指定してください。
緑下線部は、この値が 私の推奨ですが、必要に応じて 変更してください。
image.png
image.png
(上記の画面で、「1つ以上の証明書プロファイルを選択します」を押して、アップロードされた証明書を選択します)
image.png
image.png

各設定項目の選択肢の内容も示しておきます。
(Wi-Fi の種類)
image.png
(従量制課金接続の制限)
image.png
(認証モード)
image.png
(EAP の種類)
image.png
(認証方法)
image.png
(会社のプロキシの設定)
image.png

6.「割り当て」タブでは、WiFi 設定を配布するグループ を指定して「次へ」を押します。
ここでは、「すべてのデバイスを追加」を選択して検証を実施しました。
image.png

7.「適用性ルール」タブでは、何も修正せずに、「次へ」を押します。
※「割り当て」タブで選択された ユーザー/デバイス のうち、適用する条件や 除外する条件 を指定できます。未設定の場合は、全台が適用されるため、検証時は未選択としました。
image.png

8.「確認および作成」タブでは、設定値を最終確認して、「作成」を押します。
image.png

9.以下の通知メッセージが表示されれば OK です。
image.png

10.構成プロファイル が作成されると、以下のように 一覧に表示されます。
image.png

3. 接続テスト

  1. テストする PC に ルート証明書 や WiFi プロファイル が残されている場合には、手動で削除しておきます。
     
  2. PC を 起動して、インターネットに接続します(有線LAN または 別の WiFi を使います)
    このタイミングで Intune から 構成プロファイルが適用されます。
     
  3. タスクトレイ で ネットワーク アイコンをクリックして、WiFi 接続し "Intune で設定した接続名" を選択します。
     
  4. 以下の記事を参考に ユーザー ID と パスワード を入力して接続してください。
    接続できない場合のトラブルシューティングも、この記事が参考になります。
    https://qiita.com/carol0226/items/05d8ef17a6d25018cd4e#5-接続テスト

4. シングルサインオン (SSO) の動作について

OS へのサインインの前に WiFi に接続することが出来るようになります。
そうする事で OS がキャッシュログオン ではなく、ネットワーク経由でドメインログオンが行われる形になります。

毎回、両方の認証情報を入れる必要があるので、面倒っちゃ面倒です。

なお、ドメイン認証と、WiFi 認証の情報を同時に入力する必要があります。
image.png

上記の緑枠をみると、この時点では ネットワーク に繋がっていませんが、認証に成功すると、ネットワークに繋がってから ドメインにログオンします。
左下に "user01" と "他のユーザー" というアイコンが 2 個ずつ並んでいますが、丸い方 は WiFi に 接続せず にサインインします。四角い方(ピンク枠) の方が WiFi に 接続してから サインインします。

手動で、WiFi プロファイルを作成した場合は、「Windows のログオン名とパスワード(およびドメインがある場合はドメイン)を自動的に使う」 の機能が使えるのですが、Intune から配布できる設定として、この項目が用意されていないようです。残念!
image.png

この設定が出来れば、以下のように 1つの認証情報で接続できるようになるのですが・・・
image.png

2
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?