circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

LAN

hashtag
基本

  1. LAN ルールを作成するには、 項目 の下に追加します ルール コレクション ハイブ を選択し LAN ルール。

  2. ルールに 意味のある を付けて、そのルールが何のために使われるかを説明してください。さらに、説明的な名前は後でログ内でこのルールによって処理された認証要求を簡単に識別するのに役立ちます。

  3. 忘れずに 有効化 してください!

hashtag
認証

の下では、 認証 最初の選択は、このルールで 証明書ベースの または ユーザー名/パスワードベースの 認証を許可するか拒否するかです。

LAN 認証の表示

hashtag
証明書ベースの認証

証明書ベースの認証では、受信認証要求をさらに制限するために次の選択肢があります。

hashtag
特定の CA のみを許可する(信頼された CA)

これにより、受信する認証要求を特定の信頼されたルートまたは発行元 CA に絞り込むことができます。これらの CA は、RADIUSaaS プラットフォームで構成したすべての信頼されたルートのサブセットである可能性があります。

信頼されたルート CA フィルタリングの表示

hashtag
Intune ID のフィルタリング

これは歴史的な設定です。クライアントが AAD-Join 時に受け取った証明書で認証している場合は、Intune テナント ID でフィルタリングする必要があります。

テナント ID を記載のとおりに入力している場合 ここ、RADIUSaaS のデフォルトの動作は、拡張 OID を持つ証明書とテナント ID のホワイトリスト値を提示するマシンのみがネットワークにアクセスできるというものです。 1.2.840.113556.5.14 ルール エンジンでは、特定のルールに対してアクセスを特定の Intune ID にさらに制限するか、証明書拡張を無視するオプションがあります。これにより、一部のクライアントは該当 OID を提供する証明書を持ち、他のクライアントは持たないようなマルチデプロイメント構成を実現できます。

Intune ID フィルタリングの表示

hashtag
ユーザー名/パスワードベースの認証

認証を有効にした後、 ユーザー名/パスワードベースの で Regex を構成して追加フィルタリングを適用できます。 ユーザー名デフォルトはすべてのユーザー名です。

ユーザー名/パスワードベースの認証の表示

hashtag
構成

の下では、 構成 ハイブでは、認証要求の発信元に基づく追加フィルター基準を構成したり、VLAN ID を割り当てたりできます。

hashtag
スイッチ フィルター

circle-info

この MAC アドレス フィルターにより、特定の スイッチ が RADIUSaaS と通信することを許可できます。 これはエンドポイント用の MAC アドレス フィルターではありません!

設定するには MAC アドレス ベースの スイッチ フィルターを設定するには、次のいずれかを選択してください アドレス または グループ.

  • を選択した場合、 アドレス複数のスイッチ MAC アドレスを指定できます.

  • を選択した場合、 グループ、 を選択すると、事前定義した 1 つ以上の MAC アドレス グループ.

MAC アドレス フィルタリングの表示

MAC アドレスには次の表記がサポートされています:

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

  • xxxxxxxxxxxx

hashtag
VLAN 割り当て

RADIUSaaS ルール エンジンは、仮想 LAN ID を割り当てるための複数の方法を提供します。利用可能なオプションは次のとおりです:

hashtag
静的

  • 関連するルールに基づいて割り当てる VLAN ID を静的に指定します

hashtag
証明書拡張による

circle-info

現在、多くの MDM システム(Microsoft Intune や JAMF を含む)では、SCEP プロファイルにカスタム証明書拡張を追加することはサポートされていません。

したがって、VLAN 割り当てを追加するには 証明書のサブジェクト名 を代わりに使用することをお勧めします。

  • 作成した証明書拡張のいずれかを選択してください

  • フィルターは指定した拡張(OID)に対して値が一致するように設定されます

  • ワイルドカードは .* の正規表現に変換されます

hashtag
証明書サブジェクト名プロパティによる

証明書のサブジェクト名のプロパティに基づいて VLAN ID を割り当てることもできます。たとえば、ルールで VLAN 15 を割り当てたい場合、Intune を使用して SCEP プロファイルを定義および展開していると、SCEP プロファイルで サブジェクト名形式 を次のように構成する必要があります CN={{DeviceId}},OU=vlan-15

SCEP デバイス証明書での VLAN ID 構成の表示

プロファイルを展開したら、に戻って RADIUSaaS > ルール どのプロパティに VLAN ID が格納されているかを指定し、VLAN ID が接頭辞として付けられている文字列を構成します。例: vlan-

circle-info

VLAN ID に接頭辞は必須ではありません。ただし、サブジェクト名に同じ属性が複数存在する場合(例:複数の CN がよくある)には役立ちます。

例として、次のルールは次に基づいて VLAN ID 15 を割り当てます: サブジェクト名 属性 OU 接頭辞 vlan-

VLAN フィルタリングの表示

hashtag
追加の RADIUS 属性

circle-info

デフォルトで利用できない返却属性が必要な場合は、 サポートにお問い合わせくださいarrow-up-right.

RADIUSaaS ルール エンジンは、VLAN ID に加えて追加の RADIUS 属性を返すためのいくつかの方法を提供します。利用可能なオプションは次のとおりです:

hashtag
静的

関連するルールに基づいて割り当てる返却属性とその値を静的に指定します。

hashtag
証明書拡張による

circle-info

現在、多くの MDM システム(Microsoft Intune や JAMF を含む)では、SCEP プロファイルにカスタム証明書拡張を追加することはサポートされていません。

したがって、VLAN 割り当てを追加するには 証明書のサブジェクト名 を代わりに使用することをお勧めします。

  • 作成した証明書拡張のいずれかを選択してください

  • フィルターは指定した返却属性の値が指定した拡張(OID)に一致するように設定されます

  • ワイルドカードは .* の正規表現に変換されます

hashtag
証明書サブジェクト名プロパティによる

  • 証明書のサブジェクト名のプロパティに基づいて追加の RADIUS 属性を返すこともできます

  • そのため、返却属性値が格納されているプロパティを指定してください

  • 次に、返却属性値に付けられている接頭辞の文字列を構成します

  • サブジェクト名プロパティに提供された値は接頭辞を必要としません。ただし、サブジェクト名に同じ属性が複数存在する場合(例:複数の CN がよくある)には、接頭辞を使用する必要がある場合があります。

最終更新

役に立ちましたか?