この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。
Ctrlk

WiFi

基本

  1. WiFi ルールを作成するには、次を追加します 項目を追加し、 の下の ルールコレクション ハイブ を選択し WiFi ルール。

  2. ルールに 名前 を付けて、そのルールが何に使用されるのかを説明してください。さらに、説明的な名前を付けることで、後でログ内でこのルールによって処理された認証要求を簡単に識別できます。

  3. 忘れずに 有効化 してください!

Wi‑Fi ルールの追加方法を表示

認証

の下で 認証 ハイブ、最初の選択は、このルールで 証明書ベースの または ユーザー名/パスワードベースの 認証を許可するか拒否するかです。

認証の表示

証明書ベースの認証

証明書ベースの認証では、受信する認証要求をさらに制限するために、次の選択肢があります。

特定のCAのみを許可する(信頼されたCA)

これにより、受信する認証要求を特定の信頼されたルートCAまたは発行CAに絞り込むことができます。これらのCAは、RADIUSaaSプラットフォームで構成したすべての信頼されたルートのサブセットにできます。

証明書フィルタリングを表示

Intune IDでフィルタ

これは履歴的な設定です。クライアントがAAD参加時に受け取った証明書で認証している場合は、IntuneテナントIDでフィルタリングしてください。

テナントIDを前述のように入力している場合 こちら、RADIUSaaSのデフォルト動作では、OID拡張 1.2.840.113556.5.14 を持つ証明書と、テナントIDの許可リストに登録された値を提示するマシンのみがネットワークにアクセスできます。ルールエンジンを使用すると、特定のルールに対して特定のIntune IDへのアクセスをさらに制限するか、証明書拡張を無視するかを選択できます。これにより、OIDを提供する証明書を持つクライアントと、持たないクライアントが混在するマルチデプロイ構成を実現できます。

Intune ID によるフィルターの表示

ユーザー名/パスワードベースの認証

有効化後、 ユーザー名/パスワードベースの 認証に対して、のRegexを構成することで追加のフィルタリングを適用できます ユーザー名。既定はすべてのユーザー名です

構成

の下で 構成 hive では、認証要求の発信元に基づく追加のフィルター条件を構成し、VLAN ID を割り当てることもできます。

SSID フィルター

SSID フィルターを設定するには、次のいずれかを選択します 名前 または グループ.

  • を選択した場合 名前、複数の SSID。

  • を選択した場合 グループを選択した場合、 事前定義された SSID グループ.

SSID 名またはグループによるフィルターの表示

アクセスポイント フィルター

この MAC アドレス フィルターを使用すると、特定の アクセスポイント を RADIUSaaS と通信するように許可できます。 これはエンドポイント向けの MAC アドレス フィルターではありません!

を設定するには MAC アドレス ベースの アクセスポイント フィルター、次のいずれかを選択します アドレス または グループ.

  • を選択した場合 アドレス、複数のアクセスポイント MAC アドレスを指定できます.

  • を選択した場合 グループを選択した場合、 事前定義された MAC アドレス グループ.

MAC アドレスまたはグループによるアクセスポイントの選択の表示

MAC アドレスでは、次の表記がサポートされています:

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

  • xxxxxxxxxxxx

アクセスポイント(AP)は、おそらく LAN の MAC アドレスを使用しません。これは AP の筐体に印字され、AP 管理ポータルではプライマリ MAC アドレスとして表示されます。多くのベンダーは、各 SSID と周波数ごとに個別/ランダムな MAC アドレス(BSSID)を生成します。

AP 管理インターフェースで使用されている MAC アドレスが見つからない場合は、RADIUSaaS 管理 Web コンソールの(「Insights」セクションにある)「Rule Engine」ログも確認できます。AP が送信している MAC アドレスは、フィールド「AP-MAC".

VLAN の割り当て

ベンダー固有の VLAN 返却属性が必要な場合は、それらを管理できます こちら.

RADIUSaaS ルール エンジンには、Virtual-LAN ID を割り当てるためのいくつかの方法があります。使用できるオプションは次のとおりです:

静的

  • 関連するルールに基づいて割り当てる VLAN ID を静的に指定する

証明書拡張による

現在、Microsoft IntuneやJAMFを含む多くのMDMシステムでは、SCEPプロファイルにカスタム証明書拡張を追加することはサポートされていません。

そのため、代わりに 証明書のサブジェクト名 を使用してVLAN割り当てを追加することを推奨します。

  • 作成済みの証明書拡張のいずれかを選択

  • フィルターは、指定した拡張子 (OID) に対する Value に一致するように設定されます

  • ワイルドカードは . * Regex に変換されます

証明書サブジェクト名プロパティによる

  • 証明書の Subject Name のプロパティに基づいて VLAN ID を割り当てることもできます

  • したがって、VLAN ID が格納されているプロパティを指定します

  • 次に、VLAN ID の前に付ける文字列を設定します

  • VLAN ID にプレフィックスは必須ではありません。ただし、Subject Name に同じ属性が複数回含まれる場合(たとえば、複数の CN はかなり一般的です)は、プレフィックスの使用が必要になることがあります。

例として、次のルールは、 Subject Name 属性に基づいて VLAN ID 15 を割り当てます OU が付いた vlan-

VLAN フィルタリングの表示

追加の RADIUS 属性

既定では利用できない返却属性が必要な場合は、それらを追加してください こちら.

RADIUSaaS ルール エンジンは、追加の RADIUS 属性 (VLAN ID 以外) を返すためのいくつかの方法を提供します。使用できるオプションは次のとおりです:

静的

関連するルールに基づいて割り当てるべき返却属性とその値を静的に指定します。

証明書拡張による

現在、Microsoft IntuneやJAMFを含む多くのMDMシステムでは、SCEPプロファイルにカスタム証明書拡張を追加することはサポートされていません。

そのため、代わりに 証明書のサブジェクト名 を使用してVLAN割り当てを追加することを推奨します。

  • 作成済みの証明書拡張のいずれかを選択

  • フィルタは、指定した返却属性の値を、指定した拡張(OID)に一致させるよう設定されます

  • ワイルドカードは .* 正規表現に変換されます

証明書サブジェクト名プロパティによる

  • 証明書のサブジェクト名内のプロパティに基づいて、追加のRADIUS属性を返すこともできます

  • そのため、返却属性値がどのプロパティに保存されるかを指定してください

  • 次に、返却属性値の前に付ける文字列を構成します

  • サブジェクト名プロパティで指定された値にプレフィックスは必須ではありません。ただし、サブジェクト名が同じ属性を複数回含む場合(例:複数のCNは非常に一般的です)には、プレフィックスの使用が必要になることがあります。

最終更新

役に立ちましたか?