circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

WiFi

hashtag
基本

  1. WiFiルールを作成するには、次を追加します: 項目 の下に追加します ルール コレクション ハイブ を選択し WiFiルール。

  2. ルールに 意味のある を付けて、そのルールが何のために使われるかを説明してください。さらに、説明的な名前は後でログ内でこのルールによって処理された認証要求を簡単に識別するのに役立ちます。

  3. 忘れずに 有効化 してください!

Wi-Fiルールの追加方法を表示しています

hashtag
認証

の下では、 認証 最初の選択は、このルールで 証明書ベースの または ユーザー名/パスワードベースの 認証を許可するか拒否するかです。

認証を表示しています

hashtag
証明書ベースの認証

証明書ベースの認証では、受信認証要求をさらに制限するために次の選択肢があります。

hashtag
特定の CA のみを許可する(信頼された CA)

これにより、受信する認証要求を特定の信頼されたルートまたは発行元 CA に絞り込むことができます。これらの CA は、RADIUSaaS プラットフォームで構成したすべての信頼されたルートのサブセットである可能性があります。

証明書フィルタリングの表示

hashtag
Intune ID のフィルタリング

これは歴史的な設定です。クライアントが AAD-Join 時に受け取った証明書で認証している場合は、Intune テナント ID でフィルタリングする必要があります。

テナント ID を記載のとおりに入力している場合 ここ、RADIUSaaS のデフォルトの動作は、拡張 OID を持つ証明書とテナント ID のホワイトリスト値を提示するマシンのみがネットワークにアクセスできるというものです。 1.2.840.113556.5.14 ルール エンジンでは、特定のルールに対してアクセスを特定の Intune ID にさらに制限するか、証明書拡張を無視するオプションがあります。これにより、一部のクライアントは該当 OID を提供する証明書を持ち、他のクライアントは持たないようなマルチデプロイメント構成を実現できます。

Intune IDによるフィルタリングを表示しています

hashtag
ユーザー名/パスワードベースの認証

認証を有効にした後、 ユーザー名/パスワードベースの で Regex を構成して追加フィルタリングを適用できます。 ユーザー名。デフォルトはすべてのユーザー名です

hashtag
構成

の下では、 構成 ハイブでは、認証要求の発信元に基づく追加フィルター基準を構成したり、VLAN ID を割り当てたりできます。

hashtag
SSIDフィルター

SSIDフィルターを設定するには、いずれかを選択してください: 名前 または グループ.

  • を選択した場合、 名前を選択すると複数の SSID。

  • を選択した場合、 グループ、 を選択すると、事前定義した 1 つ以上の SSIDグループ.

SSID名またはグループによるフィルタを表示しています

hashtag
アクセスポイントフィルター

circle-info

この MAC アドレス フィルターにより、特定の アクセスポイント が RADIUSaaS と通信することを許可できます。 これはエンドポイント用の MAC アドレス フィルターではありません!

設定するには MAC アドレス ベースの アクセスポイントフィルターでは、いずれかを選択します: アドレス または グループ.

  • を選択した場合、 アドレス、複数のアクセスポイントのMACアドレスを指定できます.

  • を選択した場合、 グループ、 を選択すると、事前定義した 1 つ以上の MAC アドレス グループ.

MACアドレスまたはグループによるアクセスポイント選択を表示しています

MAC アドレスには次の表記がサポートされています:

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

  • xxxxxxxxxxxx

circle-info

お使いのアクセスポイント(AP)は、おそらく本体に印刷されているLAN MACアドレスやAP管理ポータルに主要MACアドレスとして表示されるものを使用しません。多くのベンダーは、各SSIDおよび周波数ごとに個別のランダムなMACアドレス(BSSID)を生成します。

AP管理インターフェースで使用されているMACアドレスが見つからない場合は、RADIUSaaS管理Webコンソールの「Insights」セクションにある「Rule Engine」ログも参照できます。APが送信しているMACアドレスはフィールド「AP-MAC".

hashtag
VLAN 割り当て

RADIUSaaS ルール エンジンは、仮想 LAN ID を割り当てるための複数の方法を提供します。利用可能なオプションは次のとおりです:

hashtag
静的

  • 関連するルールに基づいて割り当てる VLAN ID を静的に指定します

hashtag
証明書拡張による

circle-info

現在、多くの MDM システム(Microsoft Intune や JAMF を含む)では、SCEP プロファイルにカスタム証明書拡張を追加することはサポートされていません。

したがって、VLAN 割り当てを追加するには 証明書のサブジェクト名 を代わりに使用することをお勧めします。

  • 作成した証明書拡張のいずれかを選択してください

  • フィルターは指定した拡張(OID)に対して値が一致するように設定されます

  • ワイルドカードは次に変換されます。* 正規表現

hashtag
証明書サブジェクト名プロパティによる

  • 証明書のSubject Name内のプロパティに基づいてVLAN IDを割り当てることもできます

  • そのため、VLAN IDが格納されているプロパティを指定してください

  • 次に、VLAN IDに付与されるプレフィックス文字列を構成してください

  • VLAN IDはプレフィックスを必要としません。ただし、Subject Nameが同じ属性を複数回持つ場合(例えば複数のCNが一般的)には、プレフィックスの使用が必要となる場合があります。

例として、次のルールは次に基づいて VLAN ID 15 を割り当てます: サブジェクト名 属性 OU 接頭辞 vlan-

VLAN フィルタリングの表示

hashtag
追加の RADIUS 属性

circle-info

デフォルトで利用できない返却属性が必要な場合は、 サポートにお問い合わせくださいarrow-up-right.

RADIUSaaS ルール エンジンは、VLAN ID に加えて追加の RADIUS 属性を返すためのいくつかの方法を提供します。利用可能なオプションは次のとおりです:

hashtag
静的

関連するルールに基づいて割り当てる返却属性とその値を静的に指定します。

hashtag
証明書拡張による

circle-info

現在、多くの MDM システム(Microsoft Intune や JAMF を含む)では、SCEP プロファイルにカスタム証明書拡張を追加することはサポートされていません。

したがって、VLAN 割り当てを追加するには 証明書のサブジェクト名 を代わりに使用することをお勧めします。

  • 作成した証明書拡張のいずれかを選択してください

  • フィルターは指定した返却属性の値が指定した拡張(OID)に一致するように設定されます

  • ワイルドカードは .* の正規表現に変換されます

hashtag
証明書サブジェクト名プロパティによる

  • 証明書のサブジェクト名のプロパティに基づいて追加の RADIUS 属性を返すこともできます

  • そのため、返却属性値が格納されているプロパティを指定してください

  • 次に、返却属性値に付けられている接頭辞の文字列を構成します

  • サブジェクト名プロパティに提供された値は接頭辞を必要としません。ただし、サブジェクト名に同じ属性が複数存在する場合(例:複数の CN がよくある)には、接頭辞を使用する必要がある場合があります。

最終更新

役に立ちましたか?