circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

あなたの

hashtag
基本

  1. WiFiルールを作成するには、次のを追加します 項目 の下に追加します ルールコレクション ハイブ を選択し WiFiルール。

  2. ルールに 名前 を付けて、そのルールが何に使われるかを説明してください。さらに、説明的な名前にすることで、このルールで処理された認証要求を後でログから簡単に識別できます。

  3. 忘れずに 有効化 してください!

Wi-Fiルールの追加方法を表示

hashtag
認証

の下では、最初の選択としてこのルールに対して 認証 を許可するか拒否するかを選べます 証明書ベースの または ユーザー名/パスワードベースの 認証。

認証を表示

hashtag
証明書ベースの認証

証明書ベースの認証では、受信認証要求をさらに制限するために次の選択肢があります。

hashtag
特定の認証局のみ許可(信頼された認証局)

これにより、受信認証要求を特定の信頼されたルートまたは発行認証局に絞り込むことができます。これらの認証局は、RADIUSaaSプラットフォームに設定されているすべての信頼されたルートのサブセットである可能性があります。

証明書フィルタリングを表示

hashtag
Intune IDでフィルタ

これは歴史的な設定です。クライアントがAAD参加(AAD-Join)時に取得した証明書で認証する場合、IntuneテナントIDでフィルタしたいことがあります。

テナントIDを記載のとおりに入力している場合 ここで、RADIUSaaSのデフォルト動作は拡張OIDを持つ証明書を提示し、テナントIDのホワイトリスト値を持つマシンのみがネットワークにアクセスできる、というものです。 1.2.840.113556.5.14 ルールエンジンを使用すると、特定のルールに対してアクセスを特定のIntune IDにさらに制限するか、証明書拡張を無視するオプションがあります。これにより、一部のクライアントは該当するOIDを含む証明書を持ち、他のクライアントは持たないといったマルチデプロイメント構成が可能になります。

Intune IDによるフィルタリングを表示

hashtag
ユーザー名/パスワードベースの認証

認証を有効にした後、 ユーザー名/パスワードベースの でRegexを構成して追加のフィルタリングを適用できます ユーザー名。デフォルトはすべてのユーザー名です

hashtag
構成

の下では、最初の選択としてこのルールに対して 構成 ハイブでは、認証要求の発信元に基づく追加のフィルタ条件を設定したり、VLAN IDを割り当てたりできます。

hashtag
SSIDフィルタ

SSIDフィルタを設定するには、いずれかを選択します 名前 または グループ.

  • を選択した場合、 名前複数の SSID。

  • を選択した場合、 グループ、 を選択すると、事前定義された1つ以上の SSIDグループ.

SSID名またはグループによるフィルタを表示

hashtag
アクセスポイントフィルタ

circle-info

このMACアドレスフィルタにより、特定の アクセスポイント がRADIUSaaSと通信することを許可できます。 これはエンドポイント用のMACアドレスフィルタではありません!

を設定するには MACアドレスベースの アクセスポイントフィルタでは、いずれかを選択します アドレス または グループ.

  • を選択した場合、 アドレス、複数のアクセスポイントのMACアドレスを指定できます.

  • を選択した場合、 グループ、 を選択すると、事前定義された1つ以上の MACアドレスグループ.

MACアドレスまたはグループによるアクセスポイント選択を表示

MACアドレスに対して次の表記がサポートされています:

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

  • xxxxxxxxxxxx

circle-info

お使いのアクセスポイント(AP)は、おそらく本体に印刷されているLAN MACアドレスやAP管理ポータルに表示されるプライマリMACアドレスを使用しません。多くのベンダーは、SSIDや周波数ごとに個別の(ランダムな)MACアドレス(BSSID)を生成します。

AP管理画面で使用されているMACアドレスが見つからない場合は、RADIUSaaS管理ウェブコンソールの「インサイト」セクションにある「ルールエンジン」ログも参照できます。APが送信しているMACアドレスはフィールド「AP-MAC".

hashtag
VLAN割り当て

circle-info

ベンダー固有のVLAN返却属性が必要な場合、これらを管理できます ここ.

RADIUSaaSのルールエンジンは、仮想LAN IDを割り当てるいくつかの方法を提供します。利用可能なオプションは次のとおりです:

hashtag
静的

  • 関連するルールに基づいて割り当てるVLAN IDを静的に指定します

hashtag
証明書拡張による

circle-info

現在、多くのMDMシステム(Microsoft IntuneやJAMFを含む)では、SCEPプロファイルにカスタム証明書拡張を追加することはサポートされていません。

したがって、代わりに 証明書のサブジェクト名 を使用してVLAN割り当てを行うことをお勧めします。

  • 作成した証明書拡張のいずれかを選択してください

  • フィルタは指定した拡張(OID)に対して値が一致するように設定されます

  • ワイルドカードはに変換されます。* 正規表現

hashtag
証明書サブジェクト名のプロパティによる

  • 証明書のSubject Name内のプロパティに基づいてVLAN IDを割り当てることもできます

  • したがって、VLAN IDが格納されているプロパティを指定してください

  • 次に、VLAN IDに付与されている接頭辞の文字列を設定します

  • VLAN IDに接頭辞が必要というわけではありません。ただし、Subject Nameが同じ属性を複数回持つ場合(例えば複数のCNがあるのはよくあることです)には、接頭辞を使用する必要がある場合があります。

例として、次のルールは次の サブジェクト名 属性に基づいてVLAN ID 15を割り当てます OU が接頭辞として vlan-

VLANフィルタリングの表示

hashtag
追加のRADIUS属性

circle-info

デフォルトで利用できない返却属性が必要な場合は、それらを追加してください ここ.

RADIUSaaSのルールエンジンは、VLAN ID以外の追加のRADIUS属性を返すいくつかの方法を提供します。利用可能なオプションは次のとおりです:

hashtag
静的

関連するルールに基づいて割り当てる返却属性とその値を静的に指定します。

hashtag
証明書拡張による

circle-info

現在、多くのMDMシステム(Microsoft IntuneやJAMFを含む)では、SCEPプロファイルにカスタム証明書拡張を追加することはサポートされていません。

したがって、代わりに 証明書のサブジェクト名 を使用してVLAN割り当てを行うことをお勧めします。

  • 作成した証明書拡張のいずれかを選択してください

  • フィルタは、指定した返却属性の値が指定した拡張(OID)と一致するように設定されます

  • ワイルドカードは .* の正規表現に変換されます

hashtag
証明書サブジェクト名のプロパティによる

  • 証明書のサブジェクト名のプロパティに基づいて追加のRADIUS属性を返すこともできます

  • そのため、返却属性の値が格納されているプロパティを指定してください

  • 次に、返却属性の値に付与される接頭辞文字列を構成してください

  • サブジェクト名プロパティに提供された値は接頭辞を必要としません。ただし、サブジェクト名に同じ属性が複数存在する場合(例:複数のCNが一般的)、接頭辞の使用が必要になることがあります。

最終更新

役に立ちましたか?