circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

LAN

hashtag
基本

  1. LANルールを作成するには、 項目 の下に追加します ルールコレクション ハイブ を選択し LANルール。

  2. ルールに 名前 を付けて、そのルールが何に使われるかを説明してください。さらに、説明的な名前にすることで、このルールで処理された認証要求を後でログから簡単に識別できます。

  3. 忘れずに 有効化 してください!

hashtag
認証

の下では、最初の選択としてこのルールに対して 認証 を許可するか拒否するかを選べます 証明書ベースの または ユーザー名/パスワードベースの 認証。

LAN認証の表示

hashtag
証明書ベースの認証

証明書ベースの認証では、受信認証要求をさらに制限するために次の選択肢があります。

hashtag
特定の認証局のみ許可(信頼された認証局)

これにより、受信認証要求を特定の信頼されたルートまたは発行認証局に絞り込むことができます。これらの認証局は、RADIUSaaSプラットフォームに設定されているすべての信頼されたルートのサブセットである可能性があります。

信頼されたルートCAフィルタリングの表示

hashtag
Intune IDでフィルタ

これは歴史的な設定です。クライアントがAAD参加(AAD-Join)時に取得した証明書で認証する場合、IntuneテナントIDでフィルタしたいことがあります。

テナントIDを記載のとおりに入力している場合 ここで、RADIUSaaSのデフォルト動作は拡張OIDを持つ証明書を提示し、テナントIDのホワイトリスト値を持つマシンのみがネットワークにアクセスできる、というものです。 1.2.840.113556.5.14 ルールエンジンを使用すると、特定のルールに対してアクセスを特定のIntune IDにさらに制限するか、証明書拡張を無視するオプションがあります。これにより、一部のクライアントは該当するOIDを含む証明書を持ち、他のクライアントは持たないといったマルチデプロイメント構成が可能になります。

Intune IDフィルタリングの表示

hashtag
ユーザー名/パスワードベースの認証

認証を有効にした後、 ユーザー名/パスワードベースの でRegexを構成して追加のフィルタリングを適用できます ユーザー名。既定はすべてのユーザー名です。

ユーザー名/パスワードベースの認証の表示

hashtag
構成

の下では、最初の選択としてこのルールに対して 構成 ハイブでは、認証要求の発信元に基づく追加のフィルタ条件を設定したり、VLAN IDを割り当てたりできます。

hashtag
スイッチフィルタ

circle-info

このMACアドレスフィルタにより、特定の スイッチ がRADIUSaaSと通信することを許可できます。 これはエンドポイント用のMACアドレスフィルタではありません!

を設定するには MACアドレスベースの スイッチフィルタでは、次のいずれかを選択します アドレス または グループ.

  • を選択した場合、 アドレス複数のスイッチMACアドレスを指定できます.

  • を選択した場合、 グループ、 を選択すると、事前定義された1つ以上の MACアドレスグループ.

を参照できます。

MACアドレスに対して次の表記がサポートされています:

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

  • xxxxxxxxxxxx

hashtag
VLAN割り当て

circle-info

ベンダー固有のVLAN返却属性が必要な場合、これらを管理できます ここ.

RADIUSaaSのルールエンジンは、仮想LAN IDを割り当てるいくつかの方法を提供します。利用可能なオプションは次のとおりです:

hashtag
静的

  • 関連するルールに基づいて割り当てるVLAN IDを静的に指定します

hashtag
証明書拡張による

circle-info

現在、多くのMDMシステム(Microsoft IntuneやJAMFを含む)では、SCEPプロファイルにカスタム証明書拡張を追加することはサポートされていません。

したがって、代わりに 証明書のサブジェクト名 を使用してVLAN割り当てを行うことをお勧めします。

  • 作成した証明書拡張のいずれかを選択してください

  • フィルタは指定した拡張(OID)に対して値が一致するように設定されます

  • ワイルドカードは .* の正規表現に変換されます

hashtag
証明書サブジェクト名のプロパティによる

証明書のサブジェクト名のプロパティに基づいてVLAN IDを割り当てることもできます。たとえば、ルールでVLAN 15を割り当てたい場合、Intuneを使用してSCEPプロファイルを定義および配布しているなら、SCEPプロファイルで サブジェクト名フォーマット を次のように構成する必要があります CN={{DeviceId}},OU=vlan-15

SCEPデバイス証明書でのVLAN ID構成の表示

プロファイルが配布されたら、戻って RADIUSaaS > ルール に移動し、どのプロパティにVLAN IDが格納されているかを指定し、VLAN IDに付加されている接頭辞文字列を設定します。例: vlan-

circle-info

VLAN IDに接頭辞が必要なわけではありません。ただし、サブジェクト名に同じ属性が複数回含まれる場合(複数のCNが一般的)には有用です。

例として、次のルールは次の サブジェクト名 属性に基づいてVLAN ID 15を割り当てます OU が接頭辞として vlan-

VLANフィルタリングの表示

hashtag
追加のRADIUS属性

circle-info

デフォルトで利用できない返却属性が必要な場合は、それらを追加してください ここ.

RADIUSaaSのルールエンジンは、VLAN ID以外の追加のRADIUS属性を返すいくつかの方法を提供します。利用可能なオプションは次のとおりです:

hashtag
静的

関連するルールに基づいて割り当てる返却属性とその値を静的に指定します。

hashtag
証明書拡張による

circle-info

現在、多くのMDMシステム(Microsoft IntuneやJAMFを含む)では、SCEPプロファイルにカスタム証明書拡張を追加することはサポートされていません。

したがって、代わりに 証明書のサブジェクト名 を使用してVLAN割り当てを行うことをお勧めします。

  • 作成した証明書拡張のいずれかを選択してください

  • フィルタは、指定した返却属性の値が指定した拡張(OID)と一致するように設定されます

  • ワイルドカードは .* の正規表現に変換されます

hashtag
証明書サブジェクト名のプロパティによる

  • 証明書のサブジェクト名のプロパティに基づいて追加のRADIUS属性を返すこともできます

  • そのため、返却属性の値が格納されているプロパティを指定してください

  • 次に、返却属性の値に付与される接頭辞文字列を構成してください

  • サブジェクト名プロパティに提供された値は接頭辞を必要としません。ただし、サブジェクト名に同じ属性が複数存在する場合(例:複数のCNが一般的)、接頭辞の使用が必要になることがあります。

最終更新

役に立ちましたか?