VPN
基本
VPN ルールを作成するには、 項目 の下に ルール コレクション ハイブ を選択し VPN ルール。
ルールに 意味のある を付けて、そのルールが何のために使われるかを説明してください。さらに、説明的な名前は後でログ内でこのルールによって処理された認証要求を簡単に識別するのに役立ちます。
忘れずに 有効化 してください!
認証
の下では、 認証 ハイブ、最初の選択はこのルールに対して 証明書ベースの または ユーザー名/パスワードベースの 認証を許可するか拒否するかです。
証明書ベースの認証
証明書ベースの認証では、受信認証要求をさらに制限するために次の選択肢があります。
特定の CA のみを許可する(信頼された CA)
これにより、受信認証要求を特定の信頼されたルートまたは発行 CA に絞り込むことができます。これらの CA は、RADIUSaaS プラットフォームに設定したすべての信頼されたルートのサブセットである可能性があります。
Intune ID のフィルタ
これは履歴的な設定です。クライアントが AAD-Join 中に受け取った証明書で認証している場合は、Intune テナント ID でフィルタしたいでしょう。
テナント ID を記載のとおりに入力している場合 ここ、RADIUSaaS のデフォルト動作は、拡張 OID を持つ証明書を提示し、テナント ID に対してホワイトリスト化された値を持つマシンのみがネットワークにアクセスできるというものです。 1.2.840.113556.5.14 ルール エンジンでは、特定のルールに対して特定の Intune ID にアクセスをさらに制限するか、証明書拡張を無視するオプションがあります。これにより、一部のクライアントは該当する OID を含む証明書を持ち、他のクライアントは持たないようなマルチデプロイメント構成を実現できます。
ユーザー名/パスワードベースの認証
認証を有効にした後、 ユーザー名/パスワードベースの 認証で Regex を構成して追加のフィルタを適用できます ユーザー名。デフォルトはすべてのユーザー名です。
構成
の下では、 構成 ハイブでは、認証要求の発信元に基づく追加フィルタ基準を構成したり、Filter-Id のような追加の RADIUS 属性を返したりすることができます。
NAS 識別子フィルタ
NAS が使用する識別子が不明な場合は、ログ(ログタイプ = detail)を確認できます。RADIUSaaS は、 NAS-Identifier というプロパティを参照して信頼された NAS 識別子と照合します。
NAS 識別子フィルタを設定するには、 識別子 または グループ.
を選択するか、 識別子を選択すると複数の 識別子を指定できます。
を選択するか、 グループ、 事前定義した 1 つ以上の NAS 識別子グループ.
NAS IP アドレスフィルタ
NAS IP アドレスフィルタを設定するには、 IP または グループ.
を選択するか、 IPを選択すると複数の を選択するか、
を選択するか、 グループ、 事前定義した 1 つ以上の NAS IP アドレス グループ.
RADIUS 属性の返却
デフォルトで利用できない返却属性が必要な場合は、 サポートにお問い合わせください.
RADIUSaaS ルール エンジンは、追加の RADIUS 属性を返すためのいくつかの方法を提供します。以下のオプションが利用可能です:
静的
関連するルールに基づいて割り当てるべき返却属性とその値を静的に指定します。
証明書拡張による方法
現在、多くの MDM システム(Microsoft Intune や JAMF を含む)では、SCEP プロファイルにカスタム証明書拡張を追加することはサポートされていません。
したがって、代わりに 証明書のサブジェクト名 を使用して VLAN 割り当てを追加することを推奨します。
作成した証明書拡張のいずれかを選択してください
フィルタは、指定された返却属性の値を指定した拡張(OID)と一致するように設定されています
ワイルドカードは .* の正規表現に変換されます
証明書のサブジェクト名プロパティによる方法
証明書のサブジェクト名内のプロパティに基づいて追加の RADIUS 属性を返すこともできます
そのため、返却属性値が格納されているプロパティを指定してください
次に、返却属性値がどの文字列でプレフィックスされているかを構成します
サブジェクト名プロパティに提供された値はプレフィックスを必要としません。ただし、サブジェクト名に同じ属性が複数回含まれる場合(例:複数の CN が一般的)には、プレフィックスを使用する必要がある場合があります。
最終更新
役に立ちましたか?