# LAN

## 基本

1. LANルールを作成するには、 **アイテム** を **ルールコレクション** ハイブ の下に追加し、 **LAN Rule.**&#x20;
2. ルールに **名前** を付けて、そのルールが何に使われるのかを説明してください。さらに、説明的な名前を付けておくと、後でログ内でこのルールによって処理された認証要求を簡単に識別できます。
3. 忘れずに **有効化** してください！

<figure><img src="/files/e0991230137e141cd9e04fe5815b20af96fdb323" alt=""><figcaption></figcaption></figure>

## **認証**&#x20;

の下で、 **認証** ハイブでは、まずこのルールで **証明書ベースの** または **ユーザー名/パスワードベースの** 認証を許可するか拒否するかを選択します。

<figure><img src="/files/52eb3a33eff6c520d342d32254c9ec180e23bfa6" alt=""><figcaption><p>LAN認証の表示</p></figcaption></figure>

### **証明書ベースの認証**

証明書ベースの認証では、受信する認証要求をさらに制限するために次の選択肢があります。

#### 特定のCAのみを許可する（Trusted CAs）

これにより、受信する認証要求を特定の信頼されたルートCAまたは発行CAに絞り込むことができます。これらのCAは、RADIUSaaSプラットフォームで構成済みのすべてのTrusted Rootsのサブセットである場合があります。

<figure><img src="/files/980d77a2b72d8816553010f2af508f6848d7ed85" alt=""><figcaption><p>Trusted Root CAフィルタリングの表示</p></figcaption></figure>

#### Intune IDでフィルタ&#x20;

これは過去の設定です。クライアントがAAD-Join中に受け取った証明書で認証している場合は、Intune Tenant IDでフィルタする必要があります。&#x20;

Tenant IDを [こちら](/ja/ptaru/settings/trusted-roots.md#intune-id)で説明されているように入力している場合、RADIUSaaSの既定の動作では、拡張子OIDを持つ証明書を提示し、かつTenant IDの許可リストに載っている値を持つマシンのみがネットワークにアクセスできます。ルールエンジンでは、特定のルールに対して特定のIntune IDへのアクセスをさらに制限するか、証明書拡張を無視するかを選択できるようになりました。これにより、いくつかのクライアントは対応するOIDを提供する証明書を持ち、他のクライアントは持たない、というマルチデプロイ構成が可能になります。 **1.2.840.113556.5.14** Intune IDフィルタリングの表示&#x20;

<figure><img src="/files/65493c9f39bb59a67d5df7bd78ed00736bca29b7" alt=""><figcaption><p>ユーザー名/パスワードベースの認証</p></figcaption></figure>

### 認証を有効化した後、

のRegexを設定して追加のフィルタリングを適用できます。 **ユーザー名/パスワードベースの** ユーザー名 **。既定値はすべてのユーザー名です。**&#x30E6;ーザー名 / パスワードベースの認証の表示

<figure><img src="/files/e6d88776dc1124019fc7757dc774eef42f2ae0ff" alt=""><figcaption><p>設定</p></figcaption></figure>

## ハイブでは、認証要求の発信元に基づく追加のフィルタ条件を設定したり、VLAN IDを割り当てたりできます。

の下で、 **ハイブでは、認証要求の発信元に基づく追加のフィルタ条件を設定したり、VLAN IDを割り当てたりできます。** スイッチフィルタ

### このMACアドレスフィルタにより、特定の

{% hint style="info" %}
スイッチ **がRADIUSaaSと通信することを許可できます。** これはエンドポイント向けのMACアドレスフィルタではありません！ **を設定するには、**
{% endhint %}

MACアドレスベースの **スイッチフィルタを** アドレス **グループ** または **のいずれかを選択するか、**.&#x20;

* を選択すると、複数のスイッチMACアドレスを指定できます。 **グループ**グループ&#x3092;**.**&#x20;
* を選択すると、複数のスイッチMACアドレスを指定できます。 **を選択すると、事前定義済みの** を1つ以上参照できます。 **MAC Address Groups**.&#x20;

<figure><img src="/files/010b4c3a1346ec2312da4949a537a827cefead70" alt=""><figcaption><p>MACアドレスフィルタリングの表示</p></figcaption></figure>

MACアドレスでは以下の表記がサポートされています:

* xx-xx-xx-xx-xx-xx
* xx:xx:xx:xx:xx:xx
* xxxxxxxxxxxx

### VLAN割り当て

{% hint style="info" %}
ベンダー固有のVLAN返却属性が必要な場合は、 [こちら](/ja/ptaru/settings/rules/general-structure.md#vlan-attributes).
{% endhint %}

RADIUSaaSのルールエンジンには、Virtual-LAN IDを割り当てるいくつかの方法があります。利用可能なオプションは次のとおりです:

#### 静的

* 関連するルールに基づいて割り当てるVLAN IDを静的に指定します

#### 証明書拡張による

{% hint style="info" %}
現在、Microsoft IntuneやJAMFを含む多くのMDMシステムでは、SCEPプロファイルにカスタム証明書拡張を追加することはサポートされていません。

そのため、代わりに [証明書のサブジェクト名](#by-certificate-subject-name) を使ってVLAN割り当てを追加することを推奨します。
{% endhint %}

* 作成済みの証明書拡張のいずれかを選択してください
* フィルタは、値を指定した拡張（OID）に一致させるよう設定されています
* ワイルドカードは .\* Regex に変換されます

#### 証明書のサブジェクト名プロパティによる

証明書のサブジェクト名にあるプロパティに基づいてVLAN IDを割り当てることもできます。たとえば、ルールでVLAN 15を割り当てたい場合で、Intuneを使ってSCEPプロファイルを定義および展開しているなら、 **サブジェクト名形式** をSCEPプロファイルで次のように設定する必要があります `CN={{DeviceId}},`**`OU=vlan-15`**

<figure><img src="/files/41efee331f8d69b21430321c29582b732fab86a3" alt=""><figcaption><p>SCEPデバイス証明書でのVLAN ID設定の表示</p></figcaption></figure>

プロファイルが展開されたら、 **RADIUSaaS** > **Rules** に戻り、VLAN IDがどのプロパティに格納されるかを指定し、VLAN IDの前に付く文字列を設定します。例: `vlan-`

{% hint style="info" %}
VLAN IDにプレフィックスは必須ではありません。ただし、サブジェクト名に同じ属性が複数回含まれる場合（例: 複数のCNはかなり一般的です）には役立つことがあります。
{% endhint %}

例として、次のルールは `サブジェクト名` 属性 `OU` にプレフィックス `vlan-`&#x20;

<figure><img src="/files/5043d19769d4e5a9a9447361d106258c685b1454" alt=""><figcaption></figcaption></figure>

![](/files/213e9a709496066e76fbaa4f903cb208cceda3e2)

### 追加のRADIUS属性

{% hint style="info" %}
既定では利用できない返却属性が必要な場合は、追加してください [こちら](/ja/ptaru/settings/rules/general-structure.md#radius-attributes).
{% endhint %}

RADIUSaaSのルールエンジンは、追加のRADIUS属性（VLAN ID以外）を返すためのいくつかの方法を提供します。利用可能なオプションは次のとおりです:

#### 静的

返却属性とその値を、関連するルールに基づいて割り当てるものとして静的に指定します。

#### 証明書拡張による

{% hint style="info" %}
現在、Microsoft IntuneやJAMFを含む多くのMDMシステムでは、SCEPプロファイルにカスタム証明書拡張を追加することはサポートされていません。

そのため、代わりに [証明書のサブジェクト名](#by-certificate-subject) を使ってVLAN割り当てを追加することを推奨します。
{% endhint %}

* 作成済みの証明書拡張のいずれかを選択してください
* フィルタは、指定した返却属性の値を、指定した拡張（OID）に一致させるよう設定されています
* ワイルドカードは .\* Regex に変換されます

#### 証明書のサブジェクト名プロパティによる

* 証明書のサブジェクト名にあるプロパティに基づいて追加のRADIUS属性を返すこともできます
* そのため、返却属性の値がどのプロパティに格納されるかを指定してください
* 次に、返却属性の値の前に付く文字列を設定します
* サブジェクト名プロパティで提供される値にプレフィックスは必須ではありません。ただし、サブジェクト名に同じ属性が複数回含まれる場合（例: 複数のCNはかなり一般的です）には、プレフィックスの使用が必要になることがあります。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/ja/ptaru/settings/rules/lan.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.