一般

認証

デバイスは通常どのくらいの頻度で RADIUSaaS に対して認証を行いますか？

これはユーザー、クライアント、ネットワーキング機器（AP、NAC、スイッチ）の動作に依存するため答えが難しいです。さらに、 重要 なこととして、RADIUSaaS は認証を

• トリガーせず、

• 会計ポート経由でクライアントに終了要求を送信して再認証を引き起こす可能性もありません。

クライアントが常にクライアントソフトを再起動していないのにデバイスが非常に頻繁に（1時間に複数回）認証していると感じる場合、次のような理由が考えられます：

• ネットワークコントローラがクライアントをネットワークに参加させるのに十分速く認証を行えないため、クライアントが再度認証を試みる。ネットワークコントローラが RaaS からの応答をいつ受け取っているかを確認してください。

• ネットワークコントローラが認証を再起動している。何がこれを引き起こしているのかネットワークコントローラを確認してください。

RADIUSaaS管理ポータル

RADIUSaaS 管理ポータルを My Apps に追加するにはどうすればよいですか？

アプリを作成する

まず、Enterprise アプリを作成する必要があります。Azure ポータル経由で行うには、次の手順に従ってください：

1. にログイン Azure アカウント

2. に移動し、 管理者は Azure ポータルでユーザーの同意をレビューおよび取り消すことができます（

3. 選択する エンタープライズ アプリケーション

4. をクリックします + 新しいアプリケーション

1. をクリックします + 独自のアプリケーションを作成

2. アプリの名前を付けます（例：RADIUSaaS ポータル）

3. 選択する ギャラリーに見つからない他のアプリケーションを統合する および

4. をクリックします 作成

その後アプリがセットアップされると、次にユーザーを追加し、ロゴとリンクを構成する必要があります

ユーザーとロゴを追加する

1. の下で 管理 に移動 ユーザーとグループ - 新しい URL タイルを表示/使用できるようにするすべてのユーザー/グループを追加して保存

   
2. をクリックします プロパティ - 任意の画像ロゴをアップロードして保存

   
3. をクリックします シングルサインオン - 選択 リンク モード - 次に希望の URL を入力して保存します。

   

My Apps にアクセス

ユーザーは現在、作成したリンクタイルに経由してアクセスできるはずです My Apps.

RADIUS 返却属性

RADIUSaaS はデフォルトでどの VLAN 関連属性を返しますか？

該当する ルールを構成して有効化することで VLAN タグ付けが有効になっている場合、RADIUSaaS は次の一般的な VLAN 属性を返します

「Tunnel-Type」: 「VLAN」

「Tunnel-Medium-Type」: 「802」

「Tunnel-Private-Group-ID」

とともに、よく使用されるベンダー固有の VLAN 属性：

「WiMAX-VLAN-ID」

「Nexans-Port-Default-VLAN-ID」

「Dlink-VLAN-ID」

「UTStarcom-VLAN-ID」

「DHCP-IEEE-802.1Q-VLAN-ID」

「Motorola-WiMAX-VLAN-ID」

「Telrad-C-VLAN-ID」

「Telrad-S-VLAN-ID」

「SN-Assigned-VLAN-ID」

「Extreme-VM-VLAN-ID」

「Ruckus-VLAN-ID」

「Mikrotik-Wireless-VLANID」

「Egress-VLANID」

「HP-Egress-VLANID」

セカンダリインスタンスとフェイルオーバー

フェイルオーバーに関してセカンダリインスタンスはどのように動作しますか？

セカンダリインスタンスとは、少なくともセカンダリの RadSec サーバがあり、メインインスタンスとは独立して動作しますが同じ構成を持っていることを意味します。存在する場合、複数の IP アドレスを RadSec IP アドレス.

RadSec 接続

で確認できます。RadSec サーバは互いに独立しているため、何らかのフェイルオーバー処理を行いません。どのサーバに認証要求を転送するかを決定するネットワークコントローラに両方の IP アドレス/DNS エントリを追加する必要があります。

RADIUS 接続

RADIUS プロキシの場合は少し状況が異なります：プロキシは各 RadSec インスタンスとそのヘルス状態を認識しているため、プライマリサーバが障害した場合にフェイルオーバーを処理します。

タイマーとタイムアウト

どの EAP パラメータとタイムアウトを構成するべきですか？

すべてのアクセスポイントやスイッチ（認証器）が EAP や一般的な（RADIUS サーバ）タイムアウトパラメータに対して同じ量の構成オプションを提供するわけではありません。以下の概要は、認証器と RADIUSaaS 間の接続の信頼性を最大化するために知られている最大のパラメータセットとその推奨設定方法を示します。

RADIUS サーバタイムアウト

5 秒

EAP パラメータ

ログ

認証が発生したサイトのパブリック IP アドレスをどのように特定できますか？

特定の認証について認証元サイトのパブリック IP を特定する方法は、RADIUS 接続（RADIUS プロキシ経由）を使用しているか直接 RadSec 接続を使用しているかによって異なります：

RadSec 接続

• 次の場所に移動します Insights > Logs.

• 関連する時間範囲/検索ウィンドウを設定します。

• 次に設定する ログタイプ フィルタを 詳細.

• タイムスタンプとユーザー名を照合して該当する認証を特定します。

• 次の Access-Request メッセージ（message > Packet-Type = Acess-Request）が調査対象の認証に属するものを特定します。

• 該当するログエントリを展開します。

• パブリック IP はログエントリの message > Packet-Src-IP-Address プロパティから抽出できます。

  

RADIUS 接続

• 次の場所に移動します Insights > Logs.

• 関連する時間範囲/検索ウィンドウを設定します。

• 次に設定する ログタイプ フィルタを プロキシ.

• タイムスタンプとユーザー名を照合して該当する認証を特定します。

• パブリック IP はログエントリの message ログエントリのプロパティ：

  

RADIUSaaS は WPA3 Enterprise をサポートしていますか？

はい、RADIUSaaS は WPA3 Enterprise をサポートしています。また、次の制限付きで WPA3 Enterprise 192 ビットモードもサポートします：

Windows 11 24H2 は WPA3-Enterprise 192-bit 暗号化に対してより厳格な証明書要件を導入し、証明書チェーン全体が特定の暗号強度基準を満たさない場合に認証失敗を引き起こすようになりました。この更新により、関与するすべての証明書に対して最低でも 3072 ビットの RSA 鍵長、または P-384 曲線を使用した ECDSA を要求するようになりました。RSA 2048 ビットなどの弱いパラメータを使用している組織は問題に直面する可能性があります。

SCEPman は Windows 向けに 4096 ビット RSA 鍵をサポートしますが、これはソフトウェアキー ストレージ プロバイダ（KSP）に限定され、ハードウェア TPM はこの鍵サイズをサポートしません。

Windows 11 24H2 にアップグレードした後に認証問題が発生する場合、クライアントとサーバ間の暗号アルゴリズムの互換性の問題を示す指標として、イベント ビューア（システムログおよび CAPI2）で「SEC_E_ALGORITHM_MISMATCH」エラーを探してください。

Windows で WPA3-Enterprise 認証を使用したい場合はどうすればよいですか？

今後の選択肢は、Windows 11 24H2 クライアントに対する WPA3-Enterprise 192 ビットの証明書要件に対処することです。これには、リーフ証明書を新しい最小要件に合わせて更新することが含まれます。

なお、Intune の SCEP プロファイルには受信コンピュータの TPM に格納できる 3072 ビットの鍵サイズを指定するオプションが現在含まれていません。この制限のため、現時点で Windows クライアントに実現可能な唯一の解決策は、ソフトウェアキー ストレージ プロバイダ（KSP）に登録された 4096 ビット RSA 鍵を使用することです。