この手順に従って、Windows XP および Windows Server 2003 を実行するワイヤレス コンピューター用の Protected Extensible Authentication Protocol - トランスポート層セキュリティ (PEAP-TLS) ワイヤレス プロファイルを構成することができます。

この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。

Windows XP を実行するコンピューター用の PEAP-TLS ワイヤレス プロファイルを構成するには

  1. [新しい XP ワイヤレス ネットワーク (IEEE 802.11) ポリシーのプロパティ] ダイアログ ボックスを開きます。

    [全般] タブで、次の操作を行います。

    1. [XP ポリシー名] に、ワイヤレス ポリシーの名前を入力します。

    2. [説明] に、ポリシーの説明を入力します。

    3. [アクセスするネットワーク] で、[アクセス ポイント (インフラストラクチャ) のネットワークのみ] または [利用可能なネットワーク (アクセス ポイント優先)] を選択します。

    4. [Windows を使ってクライアントのワイヤレス ネットワーク設定を構成する] を選択します。

  2. [優先するネットワーク] タブで [追加] をクリックし、[インフラストラクチャ] を選択します。[ネットワークのプロパティ] タブで次の操作を行います。

    1. [ネットワーク名 (SSID)] にネットワークのサービス セット識別子 (SSID) を入力します。

      このフィールドに入力する値は、ネットワークに展開したアクセス ポイントに構成されている値と同じである必要があります。

    2. [説明] に [優先する新しい設定] プロパティの説明を入力します。

    3. [このネットワークのセキュリティ メソッドの選択] の [認証] で、[WPA2] (推奨) または [WPA] のいずれかを選択し、[暗号化] で [AES] または [TKIP] のいずれかを指定します。

      Windows XP ワイヤレス ネットワーク (IEEE 802.11) ポリシーの [WPA2] および [WPA] は、Windows Vista ワイヤレス ネットワーク (IEEE 802.11) ポリシーの [WPA2-エンタープライズ] 設定および [WPA-エンタープライズ] 設定にそれぞれ対応します。

      WPA2 を選択すると、高速ローミング用の追加の設定が表示されます。高速ローミングの既定の設定値は、大部分のワイヤレス展開にそのまま使用できます。

  3. [IEEE 802.1X] タブをクリックします。[EAP の種類] では、既定で [保護された EAP (PEAP)] が選択されています。

    [IEEE 802.1X] タブにあるその他の既定の設定値は、大部分のワイヤレス展開にそのまま使用できます。

  4. [設定] をクリックします。[保護された EAP のプロパティ] ダイアログ ボックスで、次の操作を行います。

    1. [サーバーの証明書を検証する] を選択します。

    2. ワイヤード アクセス クライアントが認証および承認に使用する必要のあるリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーを指定するには、[次のサーバーに接続します] で、各 RADIUS サーバーの名前を、サーバー証明書のサブジェクト フィールドに表示されたとおりに入力します。RADIUS サーバー名を複数指定するにはセミコロンを使用します。

    3. [信頼されたルート証明機関] で、ネットワーク ポリシー サーバー (NPS) を実行するサーバーにサーバー証明書を発行した、信頼されたルート証明機関 (CA) を選択します。

      この設定では、クライアントが信頼する信頼されたルート証明機関を、選択した値に制限します。信頼されたルート証明機関が選択されていない場合、クライアントは、その信頼されたルート証明機関ストア内のすべての信頼されたルート証明機関を信頼します。

    4. セキュリティとユーザーの操作性を高めるため、[新しいサーバーまたは信頼された証明機関を承認するようユーザーに求めない] を選択します。

    5. [認証方法を選択する] で [スマート カードまたはその他の証明書] を選択します。

    6. PEAP のすばやい再接続を有効にするには、[すばやい再接続を有効にする] を選択します。

    7. クライアントが正常性の要件を確実に満たすように、ネットワークへの接続が許可される前に、ネットワーク アクセス保護 (NAP) によってクライアントのシステム正常性チェックを実行することを指定するには、[ネットワーク アクセス保護を強制する] を選択します。

    8. 暗号化バインドの Type-Length-Value (TLV) を必要とする場合は、[サーバーに暗号化バインドの TLV がない場合は切断する] を選択します。

    9. RADIUS サーバーの認証を完了するまでプレーンテキストで ID を送信しないようにクライアントを構成するには、[ID プライバシーを有効にする] を選択して、匿名 ID のフィールドに名前や値を入力するか、空欄のままにします。

      たとえば、[ID プライバシーを有効にする] が有効で、匿名 ID の値として "guest" を使用する場合、alice@realm の ID を持つユーザーに対する ID 応答は guest@realm になります。[ID プライバシーを有効にする] を選択し、匿名 ID 値を指定しなかった場合、ID 応答は @realm になります。

    10. PEAP-TLS のプロパティを構成するには、[構成] をクリックし、[スマート カードまたはその他の証明書のプロパティ] で、必要に応じて次の項目を構成します。

      • [接続のための認証方法] で、[自分のスマート カードを使う] を選択するか、または [このコンピューターの証明書を使う] と [単純な証明書の選択を使う (推奨)] の両方を選択します。

      • アクセス クライアントによる NPS サーバーの証明書の検証を必要とする場合は、[サーバーの証明書を検証する] を選択します。

      • ワイヤード アクセス クライアントが認証および承認に使用する必要のある RADIUS サーバーを指定するには、[次のサーバーに接続します] で、各 RADIUS サーバーの名前を、サーバー証明書のサブジェクト フィールドに表示されたとおりに入力します。RADIUS サーバー名を複数指定するにはセミコロンを使用します。

      • [信頼されたルート証明機関] で、ネットワークの NPS サーバー証明書を発行した CA を選択します。

      • クライアントが他の名前を使用してアクセスするように指定するには、[この接続で別のユーザー名を使う] を選択します。

      • サーバー証明書が不適切に構成されていたり、まだ信頼されていない場合、またはその両方の場合に、その証明書を信頼することをユーザーに対して要求しないようにするには、[新しいサーバーまたは信頼された証明機関を承認するようユーザーに求めない] を選択します (推奨)。

      • [OK] をクリックして [スマート カードまたはその他の証明書のプロパティ] ダイアログ ボックスを閉じ、再度 [OK] をクリックして [保護された EAP のプロパティ] ダイアログ ボックスを閉じると、[新しい Vista ワイヤード (有線) ネットワーク ポリシーのプロパティ] ダイアログ ボックスに戻ります。

目次