この手順に従って、スマート カードまたはその他の証明書を使用する認証向けに、Protected Extensible Authentication Protocol - トランスポート層セキュリティ (TLS) プロファイルを構成することができます。

この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。

Windows 7 および Windows Vista を実行するコンピューターに PEAP-TLS ワイヤレス プロファイルを構成するには
  1. [新しいワイヤレス ネットワーク (IEEE 802.11) ポリシーのプロパティ] ダイアログ ボックスを開きます。

  2. [全般] タブの [ポリシー名] にポリシーの新しい名前を入力するか、既定値のままにしておきます。

  3. [説明] に、ポリシーの説明を入力します。

  4. [Windows を使ってクライアントのワイヤレス ネットワーク設定を構成する] を選択し、WLAN AutoConfig がワイヤレス ネットワーク アダプター設定の構成に使用されるように指定します。

  5. [全般] タブで、次のいずれかの操作を行います。

    • 新しいプロファイルを追加および構成するには、[追加] をクリックして [インフラストラクチャ] を選択します。

    • 既存のプロファイルを編集するには、変更するプロファイルを選択して [編集] をクリックします。

  6. 新しいプロファイルを追加する場合は、[接続] タブの [プロファイル名] に、プロファイルの名前を入力します。既に追加されているプロファイルを編集する場合は、既存のプロファイル名を使用するか、必要に応じてプロファイル名を変更します。

  7. [ネットワーク名 (SSID)] にワイヤレス AP のサービス セット識別子 (SSID) を入力して、[追加] をクリックします。

    複数の SSID を使用して展開し、各ワイヤレス AP で同じワイヤレス セキュリティ設定を使用する場合は、この手順を繰り返して、このプロファイルを適用する各ワイヤレス AP の SSID を追加します。

    複数の SSID を使用して展開し、各 SSID のセキュリティ設定が一致しない場合は、同じセキュリティ設定を使用する SSID のグループごとに、別のプロファイルを構成します。たとえば、WPA2-エンタープライズと AES を使用するように構成されたワイヤレス AP のグループ、および WPA-エンタープライズと TKIP を使用する別のワイヤレス AP のグループが存在する場合、これらのワイヤレス AP のグループごとに別のプロファイルを構成します。

  8. [ネットワーク名 (SSID)] で SSID が指定されているワイヤレス AP にワイヤレス クライアントが自動接続するように指定するには、[このネットワークが接続範囲内に入ると自動的に接続する] を選択します。

  9. ワイヤレス クライアントが優先順位に従ってネットワークに接続するように指定するには、[さらに優先順位の高いネットワークが利用可能な場合は、そのネットワークに接続する] を選択します。

  10. ビーコン機能によるブロードキャストを行わないように構成されているワイヤレス アクセス ポイントを展開している場合は、[ネットワークがブロードキャストしていない場合でも接続する] を選択します。

    セキュリティについての 注

    このオプションを有効にすると、ワイヤレス クライアントがワイヤレス ネットワークをプローブしてそれに接続しようとするため、セキュリティ上の危険が発生する可能性があります。既定では、この設定は有効になっていません。

  11. [セキュリティ] タブをクリックします。ワイヤレス AP およびワイヤレス クライアント ネットワーク アダプターで WPA2-エンタープライズがサポートされている場合は、[このネットワークのセキュリティ メソッドの選択] の [認証] で、[WPA2-エンタープライズ] を選択します。WPA2-エンタープライズがサポートされていない場合は、[WPA-エンタープライズ] を選択します。

    WPA2 を選択すると、WPA の選択時には表示されない、高速ローミングの設定が示されます。高速ローミングの既定の設定値は、大部分のワイヤレス展開にそのまま使用できます。

  12. ワイヤレス AP およびワイヤレス クライアント ネットワーク アダプターで AES がサポートされている場合は、[暗号化] で [AES] を選択します。AES がサポートされていない場合は、[TKIP] を選択します。

    [認証] および [暗号化] の設定は、ワイヤレス AP で構成された設定と一致している必要があります。

  13. [ネットワークの認証方法の選択] で [Microsoft: 保護された EAP (PEAP)] を選択します。

  14. [認証モード] で、必要に応じて次のいずれかを選択します。[ユーザーまたはコンピューターの認証]、[コンピューターの認証]、[ユーザー認証]、または [ゲスト認証]。既定では、[ユーザーまたはコンピューターの認証] が選択されています。

  15. [認証エラーの最大数] に、ユーザーに認証の失敗が通知されるまで認証を試行できる回数を指定します。既定値は "1" に設定されています。

  16. ユーザーの資格情報をキャッシュに保持するように指定するには、[このネットワークへの今後の接続のため、ユーザー情報をキャッシュする] を選択します。

  17. [詳細設定] をクリックし、次の構成を行います。

    1. 802.1X の詳細設定を構成するには、[IEEE 802.1X] で [802.1X の詳細設定を強制する] を選択し、必要に応じて次の設定を構成します。[EAPOL 開始メッセージの最大数]、[保持期間]、[開始期間]、および [認証期間]。

      802.1X の詳細設定を適用する場合、既定値は大部分のワイヤレス展開にそのまま使用できます。

    2. シングル サインオンを有効にするには、[このネットワークに対するシングル サインオンを有効にする] を選択します。

    3. シングル サインオンを実行するタイミングを指定するには、必要に応じて [ユーザー ログオンの直前に実行する] または [ユーザー ログオンの直後に実行する] のいずれかを選択します。

      [シングル サインオン] の他の既定値は、一般的なワイヤレス展開にそのまま使用できます。

    4. 802.1X 認証がネットワーク アクセスを完了して承認するための最大時間を秒単位で指定するには、[接続の最大待ち時間 (秒)] に値を必要に応じて入力します。

    5. シングル サインオン中にダイアログの表示を許可するには、[シングル サインオン中に追加のダイアログの表示を許可する] を選択します。

    6. 起動時にはワイヤレス コンピューターを特定の仮想ローカル エリア ネットワーク (VLAN) に配置し、ユーザーがコンピューターにログオンした後に別のネットワークに移行するように指定するには、[このネットワークでは、コンピューターとユーザーの資格情報を使用した認証用に別の VLAN を使用する] を選択します。

    7. 高速ローミングを有効にするには、[高速ローミング] で [ペアワイズ マスター キー (PMK) のキャッシュを有効にする] を選択します。[PMK の Time to Live (TTL) (分)] および [PMK キャッシュのエントリ数] の既定値は、一般的な高速ローミングにそのまま使用できます。

    8. ワイヤレス AP に事前認証が構成されている場合は、[このネットワークで事前認証を使用する] を選択します。既定値 3 は、[事前認証の最大試行回数] として通常そのまま使用できます。

    9. 暗号化を FIPS 140-2 承認済みモードに準拠させるには、[暗号化処理を FIPS 140-2 証明済みモードで実行する] を選択します。

  18. [OK] をクリックして設定を保存し、[セキュリティ] タブに戻ります。

  19. [プロパティ] をクリックします。[保護された EAP のプロパティ] ダイアログ ボックスが表示されます。

  20. [保護された EAP のプロパティ] で、[サーバーの証明書を検証する] が選択されていることを確認します。

  21. [信頼されたルート証明機関] で、ネットワーク ポリシー サーバー (NPS) を実行するサーバーにサーバー証明書を発行した、信頼されたルート証明機関 (CA) を選択します。

    この設定では、クライアントが信頼する信頼されたルート証明機関を、選択した証明機関に制限します。信頼されたルート証明機関が選択されていない場合、クライアントは、その信頼されたルート証明機関ストア内のすべてのルート証明機関を信頼します。

  22. ワイヤード アクセス クライアントが認証および承認に使用する必要のあるリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーを指定するには、[次のサーバーに接続します] で、各 RADIUS サーバーの名前を、サーバー証明書のサブジェクト フィールドに表示されたとおりに入力します。RADIUS サーバー名を複数指定するにはセミコロンを使用します。

  23. セキュリティとユーザーの操作性を高めるため、[新しいサーバーまたは信頼された証明機関を承認するようユーザーに求めない] を選択します。

  24. [認証方法を選択する] で [スマート カードまたはその他の証明書] を選択します。

  25. PEAP のすばやい再接続を有効にするには、[すばやい再接続を有効にする] を選択します。

  26. クライアントが正常性の要件を確実に満たすように、ネットワークへの接続が許可される前に、ネットワーク アクセス保護 (NAP) によってクライアントのシステム正常性チェックを実行することを指定するには、[ネットワーク アクセス保護を強制する] を選択します。

  27. 暗号化バインドの Type-Length-Value (TLV) を必要とする場合は、[サーバーに暗号化バインドの TLV がない場合は切断する] を選択します。

  28. RADIUS サーバーの認証を完了するまでプレーンテキストで ID を送信しないようにクライアントを構成するには、[ID プライバシーを有効にする] を選択して、匿名 ID のフィールドに名前や値を入力するか、空欄のままにします。

    たとえば、[ID プライバシーを有効にする] が有効で、匿名 ID の値として "guest" を使用する場合、alice@realm の ID を持つユーザーに対する ID 応答は guest@realm になります。[ID プライバシーを有効にする] を選択し、匿名 ID 値を指定しなかった場合、ID 応答は @realm になります。

  29. [構成] をクリックします。[スマート カードまたはその他の証明書のプロパティ] ダイアログ ボックスの [接続のための認証方法] で、[自分のスマート カードを使う] を選択するか、[このコンピューターの証明書を使う] と [単純な証明書の選択を使う (推奨)] の両方を選択します。

  30. アクセス クライアントによる NPS サーバーの証明書の検証を必要とする場合は、[サーバーの証明書を検証する] を選択します。

  31. ワイヤード アクセス クライアントが認証および承認に使用する必要のある RADIUS サーバーを指定するには、[次のサーバーに接続します] で、各 RADIUS サーバーの名前を、サーバー証明書のサブジェクト フィールドに表示されたとおりに入力します。RADIUS サーバー名を複数指定するにはセミコロンを使用します。

  32. [信頼されたルート証明機関] で、NPS サーバーに証明書を発行した CA を選択します。

  33. クライアントが他の名前を使用してアクセスするように指定するには、[この接続で別のユーザー名を使う] を選択します。

  34. サーバー証明書が不適切に構成されていたり、まだ信頼されていない場合、またはその両方の場合に、その証明書を信頼することをユーザーに対して要求しないようにするには、[新しいサーバーまたは信頼された証明機関を承認するようユーザーに求めない] を選択します (推奨)。

  35. [OK] をクリックして [スマート カードまたはその他の証明書のプロパティ] ダイアログ ボックスを閉じ、再度 [OK] をクリックして [保護された EAP のプロパティ] ダイアログ ボックスを閉じると、[新しいワイヤレス ネットワーク ポリシーのプロパティ] に戻ります。


目次