VPN
基本
VPNルールを作成するには、 項目を追加し、 の下の ルールコレクション ハイブ を選択し VPNルールを選択します。
ルールに 名前 を付けて、そのルールが何に使用されるのかを説明してください。さらに、説明的な名前を付けることで、後でログ内でこのルールによって処理された認証要求を簡単に識別できます。
忘れずに 有効化 してください!
認証
の下で 認証 ハイブ、最初の選択は、このルールで 証明書ベースの または ユーザー名/パスワードベースの 認証を許可するか拒否するかです。
証明書ベースの認証
証明書ベースの認証では、受信する認証要求をさらに制限するために、次の選択肢があります。
特定のCAのみを許可する(信頼されたCA)
これにより、受信する認証要求を特定の信頼されたルートCAまたは発行CAに絞り込むことができます。これらのCAは、RADIUSaaSプラットフォームで構成したすべての信頼されたルートのサブセットにできます。
Intune IDでフィルタ
これは履歴的な設定です。クライアントがAAD参加時に受け取った証明書で認証している場合は、IntuneテナントIDでフィルタリングしてください。
テナントIDを前述のように入力している場合 こちら、RADIUSaaSのデフォルト動作では、OID拡張 1.2.840.113556.5.14 を持つ証明書と、テナントIDの許可リストに登録された値を提示するマシンのみがネットワークにアクセスできます。ルールエンジンを使用すると、特定のルールに対して特定のIntune IDへのアクセスをさらに制限するか、証明書拡張を無視するかを選択できます。これにより、OIDを提供する証明書を持つクライアントと、持たないクライアントが混在するマルチデプロイ構成を実現できます。
ユーザー名/パスワードベースの認証
有効化後、 ユーザー名/パスワードベースの 認証に対して、のRegexを構成することで追加のフィルタリングを適用できます ユーザー名。既定値はすべてのユーザー名です。
構成
の下で 構成 ハイブでは、認証要求の送信元に基づく追加のフィルター条件を構成できるほか、Filter-Idなどの追加のRADIUS属性を返すこともできます。
NAS識別子フィルタ
NASがどの識別子を使用しているか分からない場合は、ログ(Logtype = detail)を確認できます。RADIUSaaSは、次のプロパティを探します NAS-Identifier 信頼されたNAS識別子と照合します。
NAS識別子フィルタを設定するには、次のいずれかを選択します 識別子 または グループ.
を選択した場合 識別子、複数の 識別子を指定できます。
を選択した場合 グループを選択した場合、 事前定義された NAS識別子グループ.
NAS IPアドレスフィルタ
NAS IPアドレスフィルタを設定するには、次のいずれかを選択します IP または グループ.
を選択した場合 IP、複数の IP。
を選択した場合 グループを選択した場合、 事前定義された NAS IPアドレスグループ.
RADIUS属性の返却
既定では利用できない返却属性が必要な場合は、それらを追加してください こちら.
RADIUSaaSルールエンジンは、追加のRADIUS属性を返すための複数の方法を提供します。次のオプションが利用できます。
静的
関連するルールに基づいて割り当てるべき返却属性とその値を静的に指定します。
証明書拡張による
現在、Microsoft IntuneやJAMFを含む多くのMDMシステムでは、SCEPプロファイルにカスタム証明書拡張を追加することはサポートされていません。
そのため、代わりに 証明書のサブジェクト名 を使用してVLAN割り当てを追加することを推奨します。
作成済みの証明書拡張のいずれかを選択
フィルタは、指定した返却属性の値を、指定した拡張(OID)に一致させるよう設定されます
ワイルドカードは .* 正規表現に変換されます
証明書サブジェクト名プロパティによる
証明書のサブジェクト名内のプロパティに基づいて、追加のRADIUS属性を返すこともできます
そのため、返却属性値がどのプロパティに保存されるかを指定してください
次に、返却属性値の前に付ける文字列を構成します
サブジェクト名プロパティで指定された値にプレフィックスは必須ではありません。ただし、サブジェクト名が同じ属性を複数回含む場合(例:複数のCNは非常に一般的です)には、プレフィックスの使用が必要になることがあります。
最終更新
役に立ちましたか?