Meraki Access ManagerでEntra ID連携＋EAP-TTLS認証をやってみた

この記事はCisco Systems Japan Advent Calendar 2025の5日目の記事となります。

はじめに

MerakiダッシュボードにAccess Managerという新機能が実装されました。
※2025年11月10日に一般提供（GA）開始
Access Managerを利用することで外部RADIUSサーバを利用せずに、ユーザとエンドポイントのネットワークアクセス制御、管理を行うことができます。

ここではAccess ManagerのEntra ID連携、EAP-TTLS認証の設定方法をご紹介します。
今回はMR33とWindowsPCを利用して無線接続を行いました。

Entra IDの準備

以下のサイトからAzureアカウントを新規作成し、テナントを開設しました。

テナントの開設手順、Entra IDでのユーザ作成手順は割愛します。
ユーザは以下サイトを参考に作成しました。
※ユーザ作成後、Azure Portalにログインできることをご確認下さい。

Entra ID連携設定

以下のサイトを参考に設定しました。

1. Azure Portalにログインします。

2. 「Microsoft Entra ID」に移動します。メニューに表示されない場合は検索して表示します。
   

3. 「Manage」→「Enterprise applications」より「All applications」画面に移動し、「New application」をクリックします。
   

4. 「＋Create your own application」をクリックし、アプリケーションの名前を入力します。
   ここではMeraki Access Managerと入力しています。
   「Integrate any other application you don't find in the gallery (Non-gallery)」を選択し、Createします。
   

5. アプリケーションが作成されたことを確認します。
   

6. 作成した「Meraki Access Manager」をクリックし、「Users and groups」に移動し、「＋Add user/group」をクリックます。
   

7. 「None Selected」をクリックし、今回認証で利用するユーザを選択後、「Assign」します。
   

8. 「Microsoft Entra ID」→「Manage」→「App registrations」→「All applications」より作成したアプリケーション「Meraki Access Manager」をクリックします。
   Application (client) ID と Directory (tenant) IDをコピーして控えておきます。後ほどMerakiダッシュボードに登録する際に必要になります。
   

9. 「Certificates & secrets」に移動し、「＋New client secret」をクリックします。
   Descriptionを入力し、有効期限を選択し、Addします。
   

10. client secretが作成されたことを確認し、Valueをコピーして控えておきます。この値も後ほどMerakiダッシュボードに登録する際に必要になります。
    

作成後に必ずシークレット値を控えて下さい。ページを離れると表示できなくなります。

11. Microsoft Graph API権限をEntra IDアプリケーションに付与します。
「API Permissions」に移動し、「＋Add a permissions name」より権限を追加します。


上記手順で以下の３つの権限を追加します。
・Microsoft Graph > Application > Group.Read.All
・Microsoft Graph > Application > User.Read.All
・Microsoft Graph > Delegated > User.Read (Required for Access Manager integration)

12. 「Grent admin consent for 既定のディレクトリ」をクリックしStatusが緑色になったことを確認します。

13. Merakiダッシュボードにログインします。

14. 「Access Manager」→「Configure」→「Users」より「＋Create Idp」をクリックします。
前の手順で控えたDirectory (tenant) ID, Application (client) ID, Client secret valueを入力しSaveします。

15. 「Users」画面に移動し、Entra IDのユーザが表示さていること(同期できていること)を確認します。

Access Managerを使用するためのSSID設定

以下のサイトを参考に設定しました。

ここではMerakiダッシュボードにMRが登録されており、SSIDが作成されているものとします。

1. 「Wireless」→「Configure」→「Access control」より使用するSSIDを選択します。
   

2. Securityセクションで「Enterprise with」を選択し「Access Manager」を選び、Saveします。
   

Access ManagerのRules作成

1. 「Access Manager」→「Policies」→「Access Rules」に移動し、「＋Add a rule」よりルールを追加します。

2. ルールの名前を入力し、有効化します。
   

3. 「Attribute source 1」で登録したEntra IDを選択します。
   ここではDisplay Nameに一致するものを設定しました。
   Authorizationは環境に応じて設定を行って下さい。
   

EAP-TTLSクライアント設定

1. 「Access Manager」→「Configure」→「Certificates」に移動し、「Download RADIUS CA certificates」をクリックします。

2. RADIUS-CA-certificates.zipというファイルがダウンロードされます。
   解凍すると画像のように2つのファイルが表示されます。
   

3. ダウンロードしたCA証明書をダブルクリックし、「開く」を選択すると以下の画面が表示されます。
   「証明書のインストール」をクリックし、「次へ」を選択し証明書をインストールします。
   

4. 「コントロールパネル」→「ネットワークと共有センター」から「新しい接続またはネットワークのセットアップ」を選択します。
   

5. 「ワイヤレスネットワークに手動で接続する」を選択します。
   

6. 「ネットワーク名」に設定したSSIDを入力し、「WPA2-エンタープライズ」を選択します。
   

7. 「接続の設定を変更します」をクリックします。
   

8. ネットワークの認証方法の選択を「EAP-TTLS」にし、「設定」をクリックします。
   以下の画像のように「これらのサーバーに接続:」にeap.meraki.comと入力し、信頼されたルート証明機関を選択、「暗号化されていないパスワード(PAP)」を選択します。
   

クライアントの接続確認

1. クライアント端末でSSID:Test-AMに接続します。
   接続する際に認証を求められるので、ユーザ名とパスワードを入力します。
   

2. Merakiダッシュボードから「Access Manager」→「Monitor」→「Session log」を表示します。
   ログを確認すると、user01でEAP-TTLS認証し、接続できていることがわかります。
   

おわりに

今回は無線クライアントのEAP-TTLS認証を行いました。このようにAccess Managerを利用することでMerakiダッシュボードのみでネットワーク、RADIUSの設定、接続ログの確認までを行うことができます。
是非Access Managerを利用してみてください。

免責事項

本サイトおよび対応するコメントにおいて表明される意見は、投稿者本人の個人的意見であり、シスコの意見ではありません。本サイトの内容は、情報の提供のみを目的として掲載されており、シスコや他の関係者による推奨や表明を目的としたものではありません。各利用者は、本Webサイトへの掲載により、投稿、リンクその他の方法でアップロードした全ての情報の内容に対して全責任を負い、本Web サイトの利用に関するあらゆる責任からシスコを免責することに同意したものとします。