ネットワーク アクセス保護 (NAP) を使用してクライアント コンピューターで正常性ポリシーを強制するためには、クライアント コンピューターで NAP 設定を構成しておく必要があります。グループ ポリシー管理コンソールで NAP クライアントの構成コンソールおよび NAP クライアント構成設定では、NAP クライアント設定を構成するためのグラフィカル ユーザー インターフェイスを提供します。
クライアント コンピューターで NAP 設定の管理が必要な理由
NAP はサーバーとクライアント コンポーネントの両方に依存します。サーバー コンポーネントとクライアント コンポーネントを連携して動作させるには、サーバーとクライアント コンピューターの両方で NAP 設定を構成する必要があります。
サーバー コンポーネントは、クライアント コンピューターの状態を検証して、クライアント コンピューターで利用可能なネットワーク リソースを特定します。
クライアント コンポーネントは、クライアント コンピューターで正常性の状態ステートメントを収集し、クライアント コンピューターの正常性の状態を管理してサーバー コンポーネントに伝えます。
NAP クライアントの構成コンソールは、クライアント コンピューターで NAP ユーザー インターフェイスの設定、NAP 強制クライアントの設定、および正常性登録機関 (HRA) の設定を構成する際に役立ちます。NAP 強制クライアントは、ネットワーク アクセス制限を強制します。
ほとんどの NAP シナリオでは、NAP 強制クライアント設定のみを構成する必要があります。インターフェイス設定の構成はオプションです。また、インターネット プロトコル セキュリティ (IPsec) ベースの強制を展開しない限り、NAP 正常性登録機関の設定を構成する必要はありません。既定では、ビルトインの NAP 強制クライアントは無効になっています。クライアント コンピューターで正常性ポリシーを強制するには、少なくとも 1 つの NAP 強制クライアントを有効にする必要があります。
NAP クライアントの構成の機能
NAP クライアントの構成コンソールを使用すると、クライアント コンピューターで次のタスクを実行できます。
-
NAP 強制クライアントを有効または無効にする (NAP プラットフォームで提供されるビルトインの NAP 強制クライアントと Microsoft 以外の NAP 強制クライアントを含む)。
-
クライアント コンピューターに表示される NAP ユーザー インターフェイスのブランド化のテキストとグラフィックスを構成する。
-
クライアント コンピューターが通信する HRA サーバーを指定する。
-
HRA サーバーと通信するときにクライアント コンピューターで使用する暗号化機構を指定する。
さらに、[NAP クライアントの構成] を使用すると、NAP トレースを有効または無効にしたり、トレース ログ ファイルに記録する詳細のレベルを指定したり、XML 形式の構成ファイルを使って NAP クライアント設定をインポートおよびエクスポートしたりすることもできます。
NAP クライアントの構成を使用するケース
[NAP クライアントの構成] は、クライアント コンピューターで NAP 設定を構成するために使用できる 3 つのツールのうちの 1 つです。[NAP クライアントの構成] 以外にも、NAP クライアントに対して Netsh コマンドを使用してローカル クライアント コンピューターで NAP 設定を構成したり、グループ ポリシー管理コンソール (GPMC) を使用して [NAP クライアントの構成] のグループ ポリシー設定を構成したりすることもできます。 グループ ポリシーで NAP クライアント設定を構成すると、グループ ポリシーが更新される際に、ドメイン メンバーの NAP 対応クライアント コンピューターでこれらの設定が自動的に構成されます。
重要 | |
グループ ポリシーで NAP クライアント設定を構成する場合、Netsh コマンド ライン ツールを使用して NAP クライアントまたは NAP クライアント構成コンソール用に構成されているすべての設定は無視されます。 |
次のいずれかに該当する場合は、ローカル コンピューターで [NAP クライアントの構成] を使用する必要があります。
-
NAP クライアントに対して Netsh コマンドを使用するのではなく、グラフィカル ユーザー インターフェイスを使用してローカル コンピューターの NAP 設定を構成する場合。
-
組織でグループ ポリシーを使用してドメイン メンバーのクライアント コンピューターを管理しており、NAP グループ ポリシー設定を構成するために使用できる XML 形式の構成ファイルを作成する場合。
-
カスタム構成の設定が必要なコンピューターの数が少なく、各コンピューターを個別に構成する場合。
-
まったく同じ方法ですべてのクライアント コンピューターを構成する際に、スクリプトまたはグループ ポリシーを使用した構成プロセスの自動化や管理ができない場合。
組織でグループ ポリシーを使用してクライアント コンピューターを管理しており、グループ ポリシー設定が適用されるときに NAP グループ ポリシー設定がクライアント コンピューターに適用されるようにする場合は、グループ ポリシーを通じて [NAP クライアントの構成] を使用する必要があります。
[NAP クライアントの構成] は、NAP 対応のコンピューターを構成する場合にのみ使用できます。NAP 対応のコンピューターとは、NAP コンポーネントがインストールされ、正常性ステートメント (SoH) を作成して正常性を検証できるコンピューターのことです。Windows® 7、Windows Vista®、Windows XP Service Pack 3 (SP3)、Windows Server® 2008、および Windows Server® 2008 R2 を実行しているコンピューターが NAP 対応のコンピューターです。[NAP クライアントの構成] を使用して NAP に対応していないコンピューターを管理することはできません。
注 | |
[NAP クライアントの構成] を使用してリモート コンピューターで NAP 設定を構成することはできません。[NAP クライアントの構成] は、ローカル コンピューターで NAP 設定を構成する場合と、ローカル コンピューターで XML 形式の構成ファイルを作成する場合にのみ使用できます。 |