この手順に従って、スマート カードまたはその他の証明書を使用するクライアント認証向けに、Protected Extensible Authentication Protocol - トランスポート層セキュリティ (PEAP-TLS) プロファイルを構成することができます。
この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。
PEAP-TLS ワイヤード (有線) 接続のプロファイルを構成するには |
[全般] タブで、次の操作を行います。
-
[ポリシー名] に、ワイヤード ネットワーク ポリシーの名前を入力します。
-
[説明] に、ポリシーの簡単な説明を入力します。
-
[クライアントで Windows ワイヤード (有線) 自動構成サービスを使用する] が選択されていることを確認します。
- Windows 7 を実行するコンピューターのユーザーが、ドメイン資格情報 (ユーザー名およびパスワード) を入力し保存できるようにするには、[Windows 7 ポリシー設定] の [明示的な資格情報を有効にする] を選択します。コンピューターはこのドメイン資格情報を使用することにより、ユーザーが実際にログオンしていない場合でもネットワークにログオンできます。
- Windows 7 を実行するコンピューターがネットワークに自動接続するのを禁止する期間を指定するには、[ブロック期間を有効にする] を選択して、ブロックする期間を [ブロック期間 (分)] に分単位で指定します。指定できる分の範囲は 1 ~ 60 分です。
注 タブの設定の詳細を参照するには、そのタブを表示した状態で F1 キーを押してください。
-
[ポリシー名] に、ワイヤード ネットワーク ポリシーの名前を入力します。
[セキュリティ] タブで、次の操作を行います。
-
[ネットワーク アクセスのために IEEE 802.1X 認証を使用可能にする] を選択します。
-
[ネットワークの認証方法の選択] で [Microsoft: 保護された EAP (PEAP)] を選択します。
-
[認証モード] で、必要に応じて次のいずれかを選択します。[ユーザーまたはコンピューターの認証]、[コンピューターの認証]、[ユーザー認証]、または [ゲスト認証]。既定では、[ユーザーまたはコンピューターの認証] が選択されています。
-
[認証エラーの最大数] に、ユーザーに認証の失敗が通知されるまで認証を試行できる回数を指定します。既定値は "1" に設定されています。
-
ユーザーの資格情報をキャッシュに保持するように指定するには、[このネットワークへの今後の接続のため、ユーザー情報をキャッシュする] を選択します。
-
[ネットワーク アクセスのために IEEE 802.1X 認証を使用可能にする] を選択します。
シングル サインオンまたは 802.1X の詳細設定を構成するには、[詳細設定] をクリックします。[詳細設定] タブで、次の操作を行います。
-
802.1X の詳細設定を構成するには、[802.1X の詳細設定を強制する] を選択し、必要な場合にのみ [EAPOL 開始メッセージの最大数]、[保持期間]、[開始期間]、[認証期間]、[Eapol 開始メッセージ] の設定を変更します。
-
シングル サインオンを構成するには、[このネットワークに対するシングル サインオンを有効にする] を選択し、必要に応じて次の設定を変更します。
- [ユーザー ログオンの直前に実行する]
- [ユーザー ログオンの直後に実行する]
- [接続の最大遅延]
- [シングル サインオン中に追加のダイアログの表示を許可する]
- [このネットワークでは、コンピューターとユーザーの資格情報を使用した認証用に別の VLAN を使用する]
- [ユーザー ログオンの直前に実行する]
-
802.1X の詳細設定を構成するには、[802.1X の詳細設定を強制する] を選択し、必要な場合にのみ [EAPOL 開始メッセージの最大数]、[保持期間]、[開始期間]、[認証期間]、[Eapol 開始メッセージ] の設定を変更します。
[OK] をクリックします。[詳細なセキュリティ設定] ダイアログ ボックスが閉じ、[セキュリティ] タブに戻ります。[セキュリティ] タブで [プロパティ] をクリックします。[保護された EAP のプロパティ] ダイアログ ボックスが表示されます。
[保護された EAP のプロパティ] ダイアログ ボックスで、次の操作を行います。
-
[サーバーの証明書を検証する] を選択します。
- ワイヤード アクセス クライアントが認証および承認に使用する必要のあるリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーを指定するには、[次のサーバーに接続します] で、各 RADIUS サーバーの名前を、サーバー証明書のサブジェクト フィールドに表示されたとおりに入力します。RADIUS サーバー名を複数指定するにはセミコロンを使用します。
-
[信頼されたルート証明機関] で、ネットワーク ポリシー サーバー (NPS) を実行するサーバーにサーバー証明書を発行した、信頼されたルート証明機関 (CA) を選択します。
注 この設定では、クライアントが信頼する信頼されたルート証明機関を、選択した値に制限します。信頼されたルート証明機関が選択されていない場合、クライアントは、その信頼されたルート証明機関ストア内のすべての信頼されたルート証明機関を信頼します。
- セキュリティとユーザーの操作性を高めるため、[新しいサーバーまたは信頼された証明機関を承認するようユーザーに求めない] を選択します。
- [認証方法を選択する] で [スマート カードまたはその他の証明書] を選択します。
- PEAP のすばやい再接続を有効にするには、[すばやい再接続を有効にする] を選択します。
-
クライアントが正常性の要件を確実に満たすように、ネットワークへの接続が許可される前に、ネットワーク アクセス保護 (NAP) によってクライアントのシステム正常性チェックを実行することを指定するには、[ネットワーク アクセス保護を強制する] を選択します。
- 暗号化バインドの Type-Length-Value (TLV) を必要とする場合は、[サーバーに暗号化バインドの TLV がない場合は切断する] を選択します。
- RADIUS サーバーの認証を完了するまでプレーンテキストで ID を送信しないようにクライアントを構成するには、[ID プライバシーを有効にする] を選択して匿名 ID の欄に名前や値を入力するか、空欄のままにします。
たとえば、[ID プライバシーを有効にする] が有効で、匿名 ID の値として "guest" を使用する場合、alice@realm の ID を持つユーザーに対する ID 応答は guest@realm になります。[ID プライバシーを有効にする] を選択し、匿名 ID 値を指定しなかった場合、ID 応答は @realm になります。 - PEAP-TLS のプロパティを構成するには、[構成] をクリックし、[スマート カードまたはその他の証明書のプロパティ] で、必要に応じて次の項目を構成します。
- [接続のための認証方法] で、[自分のスマート カードを使う] を選択するか、または [このコンピューターの証明書を使う] と [単純な証明書の選択を使う (推奨)] の両方を選択します。
- アクセス クライアントによる NPS サーバーの証明書の検証を必要とする場合は、[サーバーの証明書を検証する] を選択します。
- ワイヤード アクセス クライアントが認証および承認に使用する必要のある RADIUS サーバーを指定するには、[次のサーバーに接続します] で、各 RADIUS サーバーの名前を、サーバー証明書のサブジェクト フィールドに表示されたとおりに入力します。RADIUS サーバー名を複数指定するにはセミコロンを使用します。
- [信頼されたルート証明機関] で、ネットワークの NPS サーバー証明書を発行した CA を選択します。
- クライアントが他の名前を使用してアクセスするように指定するには、[この接続で別のユーザー名を使う] を選択します。
- サーバー証明書が不適切に構成されていたり、まだ信頼されていない場合、またはその両方の場合に、その証明書を信頼することをユーザーに対して要求しないようにするには、[新しいサーバーまたは信頼された証明機関を承認するようユーザーに求めない] を選択します (推奨)。
- [OK] をクリックして [スマート カードまたはその他の証明書のプロパティ] ダイアログ ボックスを閉じ、再度 [OK] をクリックして [保護された EAP のプロパティ] ダイアログ ボックスを閉じます。この操作によって、[新しいワイヤード (有線) ネットワーク ポリシーのプロパティ] ダイアログ ボックスに戻ります。
- [接続のための認証方法] で、[自分のスマート カードを使う] を選択するか、または [このコンピューターの証明書を使う] と [単純な証明書の選択を使う (推奨)] の両方を選択します。
-
[サーバーの証明書を検証する] を選択します。