802.1X のポート ベース ネットワーク アクセス コントロールに対するネットワーク アクセス保護 (NAP) 強制は、ネットワーク ポリシー サーバー (NPS) と、拡張認証プロトコル (EAP) ホスト強制クライアント コンポーネントを実行するサーバーを使用して展開されます。802.1X のポート ベースの強制を使用すると、NPS サーバーは 802.1X 認証スイッチまたは 802.1X 準拠のワイヤレス アクセス ポイントに対し、非準拠の 802.1X クライアントを修復ネットワークに配置するように指示します。NPS サーバーは、接続に IP フィルターや仮想 LAN 識別子を適用することで、修復ネットワークへのクライアントのネットワーク アクセスを制限します。802.1X 強制により、802.1X 対応のネットワーク アクセス サーバーを使用してネットワークにアクセスするすべてのコンピューターに対して強力なネットワークの制限を実現できます。

802.1X ワイヤードの要件

802.1X ワイヤードの NAP を展開するには、次の構成を行う必要があります。

  • NPS で、接続要求ポリシー、ネットワーク ポリシー、および NAP 正常性ポリシーを構成します。これらのポリシーは、NPS コンソールを使用して個別に構成することも、新しいネットワーク アクセス保護ウィザードを使用して構成することもできます。

  • 802.1X 認証スイッチをインストールし、構成します。

  • NAP の EAP 強制クライアントと NAP 対応クライアント コンピューターの NAP サービスを有効にします。

  • NAP の展開に応じて、Windows セキュリティ正常性検証ツール (WSHV) を構成するか、他のシステム正常性エージェント (SHA) およびシステム正常性検証ツール (SHV) をインストールおよび構成します。

  • スマート カードや証明書と共に、Protected Extensible Authentication Protocol - トランスポート層セキュリティ (PEAP-TLS) や EAP-TLS を使用している場合は、Active Directory® 証明書サービス (AD CS) で公開キー基盤 (PKI) を展開します。

  • Protected Extensible Authentication Protocol - Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (PEAP-MS-CHAP v2) を使用する場合は、AD CS を使用してサーバー証明書を発行するか、別の信頼されたルート証明書機関 (CA) からサーバー証明書を購入します。

802.1X ワイヤレスの要件

802.1X ワイヤレスの NAP を展開するには、次の構成を行う必要があります。

  • NPS で、接続要求ポリシー、ネットワーク ポリシー、および NAP 正常性ポリシーを構成します。これらのポリシーは、NPS コンソールを使用して個別に構成することも、新しいネットワーク アクセス保護ウィザードを使用して構成することもできます。

  • 802.1X ワイヤレス アクセス ポイントをインストールし、構成します。

  • NAP の EAP 強制クライアントを有効にし、NAP 対応クライアント コンピューターの NAP サービスを有効にします。

  • NAP の展開内容に応じて、WSHV を構成するか、他の SHA および SHV をインストールして構成します。


目次