トラブルシューティング

接続の問題

クライアントビュー

不正なXML

クライアントに認証用の証明書があること、そして以下を正しく使用していることを確認してください： WiFi 構成プロファイル または XML.

信頼されたルートの問題

次のことを確認してください：

• 許可された証明書を接続可能としてRADIUSサーバーに通知した（詳細は説明どおり） ここ

• アクティブなRADIUSサーバー証明書をクライアントで信頼されたルートとしてインポートした（説明どおり） ここ

• を確認してください ログ. エラーの詳細な説明があります。おそらくそれは こちら の問題です。

接続を続行しますか？

クライアントが初回接続時に検証を必要とし、このダイアログが表示される場合：

WiFiプロファイルでRADIUSサーバー証明書を参照し、サーバー証明書のSAN属性（FQDN）と共通名（CN）を提供していることを確認してください：

サーバービュー

不明な CA

もしあなたの ログ が下に示すようなエラーメッセージを含んでいるなら

次のような根本原因が考えられます：

• クライアントがエラーを出す TLS Alert read:fatal:unknown CA

  • クライアントは知らない サーバー証明書 を拒否して接続を切ります。以下を追加したことを確認してください（説明どおり）： サーバー証明書 （説明どおり） ここ.

  • 新しい/変更された サーバー証明書 を追加し、クライアント上のXMLプロファイルが古いものを使用している可能性があります。その場合、WiFi/有線プロファイルを更新するか、証明書を追加した後に新しい XML を再生成してクライアントに配布したかどうかを再確認してください。

• サーバーがエラーを出す TLS Alert write:fatal:unknown CA

  • RADIUSサーバーが認証に使われた証明書の発行者を認識していません。CAを追加してください（説明どおり）。 ここ.

証明書が不明

macOS（および他のAppleプラットフォーム）を使用していて、もしあなたの ログ が下に示すようなエラーメッセージを含んでいる場合

次のような根本原因が考えられます：

• 構成プロファイルのどこかにスペース文字があります。 証明書サーバー名 あなたの中で WiFi または Wired 構成プロファイル。

復号エラー | アクセスが拒否されました

もしあなたの ログ が下に示すようなエラーメッセージを含んでいるなら

... その場合、おそらくWindowsマシン上のTPMソフトウェアのバグです。詳細は SCEPmanドキュメント.

に記載されています。 ログ

... そこには二つの理由があり得ます。一つはWiFiプロファイルがサーバー検証に誤ったルート証明書を参照していることです。プロファイルが正しく設定されているか確認してください。正しく設定されていても問題が続く場合は、KSPを ソフトウェアKSP.

ピアが不正な動作をしているため続行できません

ログに次のエラーで拒否が含まれている場合 "ピアが不正な動作をしているため続行できません" これはクライアントがRADIUSサービスとの通信を停止したことを示しており、たいていは信頼設定が正しくないためです。この場合、影響を受けているデバイス上の証明書を確認してください。

共有RADIUSシークレットが間違っている

もしあなたの（プロキシ） ログ が下に示すようなエラーメッセージを含んでいるなら

が表示されるなら、RADIUSaaSインスタンスに接続しようとしているアクセスポイントかスイッチのいずれかが RADIUSプロキシ を介して 不一致の.

共有シークレット 影響を受けるアクセスポイントやスイッチを特定するには、まずエラーメッセージを展開して proxyip

プロパティを検索し、RADIUSプロキシを特定します。プロキシが分かったら、インベントリや接続できない特定の場所やデバイスグループに関する知識を使って、誤設定されたネットワーク機器を特定してください。最後に、そのプロキシ用にRADIUSaaSインスタンスで設定されている値と一致するように共有シークレットを更新します。

証明書の問題

証明書チェーンを検証できませんでした

独自のサーバー証明書を使用する場合、RADIUSサーバーはサーバーの身元を他の参加者（プロキシ、RadSecクライアント、接続を試みるエンドポイント）が検証できるように完全な証明書チェーンを必要とします。 このメッセージが表示されたら、サーバー証明書の下にCA証明書をコピー＆ペーストするか、リードからルートまでのすべての証明書を含むPKCS#8証明書バンドルを作成してください。

管理ポータルの問題

ログイン

• RADIUSaaSウェブポータル（「RADIUSaaS 管理ポータル」）にログインするためには、以下の要件が満たされている必要があります： 技術管理者として提供したUPN／メールアドレスは、次に対して認証可能である必要があります： いくつかの

• Microsoft Entra ID（Azure AD）（RADIUSaaSをネットワーク認証に利用するテナントのユーザーのIDである必要はありません）。 ここ技術管理者として提供したUPN／メールアドレスは、RADIUSaaSインスタンスに説明どおり登録されている必要があります 。初期管理者である場合は、 誤ったユーザーが登録されていると思われる場合は、

• UPN／メールアドレスの背後にあるMicrosoft Entra ID（Azure AD）ユーザーオブジェクトは、RADIUSaaSエンタープライズアプリケーションに次の権限を付与できる資格がある必要があります（下のスクリーンショット参照）：

  • 読み取り 基本ユーザープロファイル

  • 維持 あなたがアクセス権を与えたデータへのアクセス（リフレッシュトークンの要求を許可する）

• もしあなたのMicrosoft Entra ID（Azure AD）ユーザーが必要な権限を付与する権限を持たない場合、対応する エンタープライズアプリケーション はあなたのMicrosoft Entra ID（Azure AD）に自動作成されません。これを回避するには、IT部門に必要な権限をユーザーに付与するよう依頼してください。

Intune 構成の問題

プロファイルの割り当て

Wi‑Fi 構成は、Wi‑Fi、SCEP、および信頼された証明書プロファイルが異なるグループに割り当てられていると展開されません。これらは「保留中」と表示されたり、まったくステータスが表示されない場合があります。次を使用してください： 同じグループ、または「すべてのデバイス」や「すべてのユーザー」 を すべてのリンクされたプロファイルに対して.

デバイス（「すべてのデバイス」に割り当て）とユーザー証明書（「すべてのユーザー」に割り当て）を併用している場合、SCEPルート証明書プロファイルを「すべてのユーザー」と「すべてのデバイス」の両方に割り当てることができます。

SCEP 証明書

Android

Androidの新しいバージョンでは（デバイス証明書でも）Subject alternative nameにUPNが必要なようです。SCEPプロファイルにこれを追加してください（例：{{DeviceId}}@contoso.com）：

Wi‑Fi プロファイル

Android

一般的なエラーコード：0xc7d24fc5 または -942518331

重要なポイントは：

• を選択する ルート CA 証明書 を サーバー検証 （重要：RADIUSaaSのサーバー証明書をアップロードしないでください） - および -

• を定義する radius サーバー名

  • 注：このフィールドには文字数制限があるようです。問題を解決するには、サブドメインを除いたドメイン部分（例：「radius-as-a-service.com」）を使用するだけでよい場合があります（「contoso.radius-as-a-service.com」の代わりに）。

  • Android 開発者 は次のように述べています：「[...] を構成する必要があります ルート CA 証明書の両方、およびいずれかの ドメイン接尾辞一致 または代替サブジェクト一致」。したがって、MDMはルート証明書をWi‑Fi構成に追加した後に「setAltSubjectMatch」または「setDomainSuffixMatch」を使用できます。Intuneは「setDomainSuffixMatch」を使用するようで、単に「radius-as-a-service.com」で十分です。

• 場合によっては 識別情報の非公開 が必要です（例：Androidキオスクデバイス／Android Enterprise専用で見られる）。