トラブルシューティング

接続の問題

クライアントビュー

間違った XML

クライアントに認証用の証明書があり、正しいものを使用していることを確認してください WiFi 構成プロファイル または XML.

信頼されたルートの問題

次のことを実施したことを確認してください:

• RADIUS サーバーに、接続を許可する証明書を次のように指定した こちら

• アクティブな RADIUS サーバー証明書を、クライアントに信頼されたルートとして次のようにインポートした こちら

• 確認してください ログ。エラーの詳細な説明があります。もしかすると こちら の問題かもしれません。

接続を続行しますか?

クライアントが初回接続時に確認を必要とし、このダイアログが表示される場合:

WiFi プロファイルで RADIUS サーバー証明書を参照し、サーバー証明書の SAN 属性 (FQDN) と共通名 (CN) を指定していることを確認してください:

サーバービュー

不明な CA

次の ログ に、以下に示すものと同様のエラーメッセージが含まれている場合

次のような原因が考えられます:

• クライアントでエラーが発生 TLS Alert read:fatal:unknown CA

  • クライアントが サーバー証明書 を認識しておらず、接続を拒否しています。追加したことを確認してください サーバー証明書 次のように こちら.

  • 新しい サーバー証明書 を変更/追加したのに、クライアント上の XML プロファイルが古いものを使用している場合。その場合は、WiFi/有線プロファイルを更新したか、証明書を追加した後に XML を再生成して、クライアントにプッシュしたことを再確認してください。

• サーバーでエラーが発生 TLS Alert write:fatal:unknown CA

  • RADIUS サーバーが、認証に使用された証明書の発行者を認識していません。CA を次のように追加してください こちら.

証明書が不明

macOS（および場合によっては他の Apple プラットフォーム）を使用していて、次の ログ に、以下に示すものと同様のエラーメッセージが含まれている場合

次のような原因が考えられます:

• どこかにスペース文字が存在します 証明書サーバー名 あなたの WiFi または 有線 構成プロファイル。

復号エラー | アクセスが拒否されました

次の ログ に、以下に示すものと同様のエラーメッセージが含まれている場合

... その場合、おそらく Windows マシン上の TPM ソフトウェアの不具合です。その詳細は、次の場所で確認できます SCEPman のドキュメント.

次のようなものがログに表示される場合 ログ

... その原因は 2 つ考えられます。1 つは、WiFi プロファイルがサーバー検証用に間違ったルート証明書を参照していることです。プロファイルが正しく設定されていることを確認してください。正しく設定されているのに問題が続く場合は、KSP を次に設定してみてください Software KSP.

ピアの動作が異常なため続行できません

ログに次のエラーによる拒否が含まれている場合 「ピアの動作が異常なため続行できません」 これは、主に信頼設定が正しくないために、クライアントが RADIUS サービスとの通信を停止したことを示します。この場合は、影響を受けるデバイス上の証明書を確認してください。

共有 RADIUS シークレットが間違っています

(proxy) ログ に、以下に示すものと同様のエラーメッセージが含まれている場合

その場合、RADIUSaaS インスタンスに経由で接続しようとしているアクセスポイントまたはスイッチのいずれかが RADIUS Proxy 不一致の 共有シークレット.

影響を受けるアクセスポイントまたはスイッチを特定するには、まずエラーメッセージを展開して次を検索し、RADIUS プロキシを確認します proxyip プロパティ。プロキシが分かったら、インベントリと、ネットワークに接続できない特定の場所またはデバイスグループに関する知識を使って、誤設定されたネットワークデバイスを特定します。最後に、そのプロキシに対して RADIUSaaS インスタンスで構成されている値と一致するように共有シークレットを更新します。

証明書の問題

証明書チェーンを検証できませんでした

独自のサーバー証明書を使用する場合、RADIUS サーバーは他の参加者（Proxy、RadSec クライアント、接続を試みるエンドポイント）がサーバーのIDを検証できるように、完全な証明書チェーンを必要とします。 このメッセージが表示された場合は、テキストフィールドでサーバー証明書の下に CA 証明書をコピー＆ペーストするか、先頭からルートまでのすべての証明書を含む PCKS8 証明書バンドルを作成してください。

管理ポータルの問題

ログイン

RADIUSaaS Web ポータル（「RADIUSaas Admin Portal」）にログインするには、次の要件を満たす必要があります:

• 技術管理者として指定した UPN/メールアドレスが、次に対して認証可能である必要があります いずれかの Microsoft Entra ID (Azure AD)（そのユーザーが所属するテナントが、ネットワーク認証に RADIUSaaS を利用するテナントである必要はありません）。

• 技術管理者として指定した UPN/メールアドレスが、次のように RADIUSaaS インスタンスに登録されている必要があります こちら。最初の管理者である場合は、 お問い合わせください 登録したユーザーが間違っていると思われる場合。

• UPN/メールアドレスの背後にある Microsoft Entra ID (Azure AD) ユーザー オブジェクトは、RADIUSaaS Enterprise Application に次の権限を付与できる権限を持っている必要があります（下のスクリーンショットを参照）:

  • 基本ユーザー プロファイルを 読み取り

  • 維持 アクセスしたデータへのアクセス権を維持する（更新トークンの要求を許可する）

• Microsoft Entra ID (Azure AD) ユーザーに必要な権限を付与する権限がない場合、対応する Enterprise Application は Microsoft Entra ID (Azure AD) に自動作成されません。これを回避するには、IT 部門にユーザーへ必要な権限を付与してもらってください。

Intune 構成の問題

プロファイル割り当て

Wi-Fi、SCEP、および信頼された証明書のプロファイルが異なるグループに割り当てられていると、Wi-Fi 構成は展開されません。「保留中」と表示されるか、まったくステータスが表示されないことがあります。次の項目には 同じグループまたは「すべてのデバイス」または「すべてのユーザー」 を すべての関連プロファイル.

デバイス証明書（「すべてのデバイス」に割り当て）とユーザー証明書（「すべてのユーザー」に割り当て）の両方を使用している場合は、SCEP ルート証明書プロファイルを「すべてのユーザー」と「すべてのデバイス」の両方に割り当てることができます。

SCEP 証明書

Android

Android の新しいバージョンでは、Subject Alternative Name に UPN が必要なようです（デバイス証明書の場合でも）。SCEP プロファイルにこれを追加してください（例: {{DeviceId}}@contoso.com）:

Wi-Fi プロファイル

Android

一般的なエラーコード: 0xc7d24fc5 または -942518331

重要なポイントは次のとおりです:

• 次を選択します ルート CA 証明書 を サーバー検証 （重要: RADIUSaaS のサーバー証明書をアップロードしないでください） - および -

• 次を定義します radius サーバー名

  • 注: このフィールドには文字数制限があるようです。問題を解決するには、「contoso.radius-as-a-service.com」ではなく「radius-as-a-service.com」のように、サブドメインを含めずにドメイン部分のみを使用するとよいでしょう。

  • Android 開発者 は次のように述べています:「[...] を構成する必要があります ルート CA 証明書と、さらに次のいずれかを ドメインサフィックスの一致 または代替サブジェクトの一致」したがって、MDM は Wi-Fi 構成にルート証明書を追加した後、「setAltSubjectMatch」または「setDomainSuffixMatch」を使用できます。Intune では「setDomainSuffixMatch」を使用しているようで、「radius-as-a-service.com」だけで十分です。

• 場合によっては ID プライバシー が必要です（例: Android キオスク デバイス / Android Enterprise 専用で見られます）