次の手順に従って、セキュリティで保護されたパスワードを使用するクライアント認証向けの Protected Extensible Authentication Protocol - Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (PEAP-MS-CHAP v2) のプロファイルを構成します。
この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。
PEAP-MS-CHAP v2 ワイヤード接続のプロファイルを構成するには |
[全般] タブで、次の操作を行います。
-
[ポリシー名] に、ワイヤード ネットワーク ポリシーの名前を入力します。
-
[説明] に、ポリシーの簡単な説明を入力します。
-
[クライアントで Windows ワイヤード (有線) 自動構成サービスを使用する] が選択されていることを確認します。
- Windows 7 を実行するコンピューターのユーザーが、ドメイン資格情報 (ユーザー名およびパスワード) を入力し保存できるようにするには、[Windows 7 ポリシー設定] の [明示的な資格情報を有効にする] を選択します。コンピューターはこのドメイン資格情報を使用することにより、ユーザーが実際にログオンしていない場合でもネットワークにログオンできます。
- Windows 7 を実行するコンピューターがネットワークに自動接続するのを禁止する期間を指定するには、[ブロック期間を有効にする] を選択して、ブロックする期間を [ブロック期間 (分)] に分単位で指定します。指定できる分の範囲は 1 ~ 60 分です。
注 タブの設定の詳細を参照するには、そのタブを表示した状態で F1 キーを押してください。
-
[ポリシー名] に、ワイヤード ネットワーク ポリシーの名前を入力します。
[セキュリティ] タブで、次の操作を行います。
-
[ネットワーク アクセスのために IEEE 802.1X 認証を使用可能にする] を選択します。
-
[ネットワークの認証方法の選択] で [Microsoft: 保護された EAP (PEAP)] を選択します。
-
[認証モード] で、必要に応じて次のいずれかを選択します。[ユーザーまたはコンピューターの認証] (推奨)、[コンピューターの認証]、[ユーザー認証]、または [ゲスト認証]。既定では、[ユーザーまたはコンピューターの認証] が選択されています。
-
[認証エラーの最大数] に、ユーザーに認証の失敗が通知されるまで認証を試行できる回数を指定します。既定値は "1" に設定されています。
-
ユーザーの資格情報をキャッシュに保持するように指定するには、[このネットワークへの今後の接続のため、ユーザー情報をキャッシュする] を選択します。
-
[ネットワーク アクセスのために IEEE 802.1X 認証を使用可能にする] を選択します。
シングル サインオンや 802.1X の詳細設定を構成するには、[詳細設定] をクリックします。[詳細] タブで、次の操作を行います。
-
802.1X の詳細設定を構成するには [802.1X の詳細設定を強制する] を選択し、必要に応じて次の設定を変更します: [EAPOL 開始メッセージの最大数]、[保持期間]、[開始期間]、[認証期間]、[EAPOL 開始メッセージ]。
-
シングル サインオンを構成するには、[このネットワークに対するシングル サインオンを有効にする] を選択し、必要に応じて次の設定を変更します。
- [ユーザー ログオンの直前に実行する]
- [ユーザー ログオンの直後に実行する]
- [接続の最大遅延]
- [シングル サインオン中に追加のダイアログの表示を許可する]
- [このネットワークでは、コンピューターとユーザーの資格情報を使用した認証用に別の VLAN を使用する]
- [ユーザー ログオンの直前に実行する]
-
802.1X の詳細設定を構成するには [802.1X の詳細設定を強制する] を選択し、必要に応じて次の設定を変更します: [EAPOL 開始メッセージの最大数]、[保持期間]、[開始期間]、[認証期間]、[EAPOL 開始メッセージ]。
[OK] をクリックすると、[詳細なセキュリティ設定] ダイアログ ボックスが閉じ、[セキュリティ] タブに戻ります。[セキュリティ] タブで [プロパティ] をクリックすると、[保護された EAP のプロパティ] ダイアログ ボックスが開きます。
[保護された EAP のプロパティ] ダイアログ ボックスで、次の操作を行います。
-
[サーバーの証明書を検証する] を選択します。
- ワイヤード アクセス クライアントが認証および承認に使用する必要のあるリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーを指定するには、[次のサーバーに接続します] で、各 RADIUS サーバーの名前を、サーバー証明書のサブジェクト フィールドに表示されたとおりに入力します。RADIUS サーバー名を複数指定するにはセミコロンを使用します。
-
[信頼されたルート証明機関] で、ネットワーク ポリシー サーバー (NPS) を実行するサーバーにサーバー証明書を発行した、信頼されたルート証明機関 (CA) を選択します。
注 この設定では、クライアントが信頼する信頼されたルート証明機関を、選択した値に制限します。信頼されたルート証明機関が選択されていない場合、クライアントは、その信頼されたルート証明機関ストア内のすべての信頼されたルート証明機関を信頼します。
- セキュリティとユーザーの操作性を高めるため、[新しいサーバーまたは信頼された証明機関を承認するようユーザーに求めない] を選択します。
- [認証方法を選択する] の [セキュリティで保護されたパスワード (EAP-MSCHAP v2)] を選択します。
-
PEAP のすばやい再接続を有効にするには、[すばやい再接続を有効にする] を選択します。
-
クライアントが正常性の要件を確実に満たすように、ネットワークへの接続が許可される前に、ネットワーク アクセス保護 (NAP) によってクライアントのシステム正常性チェックを実行することを指定するには、[ネットワーク アクセス保護を強制する] を選択します。
- 暗号化バインドの Type-Length-Value (TLV) を必要とする場合は、[サーバーに暗号化バインドの TLV がない場合は切断する] を選択します。
- RADIUS サーバーの認証を完了するまでプレーンテキストで ID を送信しないようにクライアントを構成するには、[ID プライバシーを有効にする] を選択して匿名 ID の欄に名前や値を入力するか、空欄のままにします。
たとえば、[ID プライバシーを有効にする] が有効で、匿名 ID の値として "guest" を使用する場合、alice@realm の ID を持つユーザーに対する ID 応答は guest@realm になります。[ID プライバシーを有効にする] を選択し、匿名 ID 値を指定しなかった場合、ID 応答は @realm になります。 -
[OK] をクリックして [保護された EAP のプロパティ] の設定を保存し、[OK] を再度クリックしてポリシーを保存します。
-
[サーバーの証明書を検証する] を選択します。