この手順に従って、スマート カードまたはその他の証明書を使用する認証向けに、拡張認証プロトコル - トランスポート層セキュリティ (EAP-TLS) プロファイルを構成することができます。
この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。
 | ワイヤード (有線) 接続の EAP-TLS プロファイルを構成するには |
[全般] タブで、次の操作を行います。
-
[ポリシー名] に、ワイヤード ネットワーク ポリシーの名前を入力します。
-
[説明] に、ポリシーの簡単な説明を入力します。
-
[クライアントで Windows ワイヤード (有線) 自動構成サービスを使用する] が選択されていることを確認します。
- Windows 7 を実行するコンピューターのユーザーが、ドメイン資格情報 (ユーザー名およびパスワード) を入力し保存できるようにするには、[Windows 7 ポリシー設定] の [明示的な資格情報を有効にする] を選択します。コンピューターはこのドメイン資格情報を使用することにより、ユーザーが実際にログオンしていない場合でもネットワークにログオンできます。
- Windows 7 を実行するコンピューターがネットワークに自動接続するのを禁止する期間を指定するには、[ブロック期間を有効にする] を選択して、ブロックする期間を [ブロック期間 (分)] に分単位で指定します。指定できる分の範囲は 1 ~ 60 分です。
注 タブの設定の詳細を参照するには、そのタブを表示した状態で F1 キーを押してください。
-
[ポリシー名] に、ワイヤード ネットワーク ポリシーの名前を入力します。
[セキュリティ] タブで、次の操作を行います。
-
[ネットワーク アクセスのために IEEE 802.1X 認証を使用可能にする] を選択します。
-
[ネットワークの認証方法の選択] で [スマート カードまたはその他の証明書] を選択します。
-
[認証モード] で、必要に応じて次のいずれかを選択します。[ユーザーまたはコンピューターの認証]、[コンピューターの認証]、[ユーザー認証]、または [ゲスト認証]。既定では、[ユーザーまたはコンピューターの認証] が選択されています。
-
[認証エラーの最大数] に、ユーザーに認証の失敗が通知されるまで認証を試行できる回数を指定します。既定値は "1" に設定されています。
-
ユーザーの資格情報をキャッシュに保持するように指定するには、[このネットワークへの今後の接続のため、ユーザー情報をキャッシュする] を選択します。
-
[ネットワーク アクセスのために IEEE 802.1X 認証を使用可能にする] を選択します。
シングル サインオンまたは 802.1X の詳細設定を構成するには、[詳細設定] をクリックします。[詳細設定] タブで、次の操作を行います。
-
802.1X の詳細設定を構成するには、[802.1X の詳細設定を強制する] を選択し、必要な場合にのみ [EAPOL 開始メッセージの最大数]、[保持期間]、[開始期間]、[認証期間]、[Eapol 開始メッセージ] の設定を変更します。
-
シングル サインオンを構成するには、[このネットワークに対するシングル サインオンを有効にする] を選択し、必要に応じて次の設定を変更します。
- [ユーザー ログオンの直前に実行する]
- [ユーザー ログオンの直後に実行する]
- [接続の最大遅延]
- [シングル サインオン中に追加のダイアログの表示を許可する]
- [このネットワークでは、コンピューターとユーザーの資格情報を使用した認証用に別の VLAN を使用する]
- [ユーザー ログオンの直前に実行する]
-
802.1X の詳細設定を構成するには、[802.1X の詳細設定を強制する] を選択し、必要な場合にのみ [EAPOL 開始メッセージの最大数]、[保持期間]、[開始期間]、[認証期間]、[Eapol 開始メッセージ] の設定を変更します。
[OK] をクリックします。[詳細なセキュリティ設定] ダイアログ ボックスが閉じ、[セキュリティ] タブに戻ります。[セキュリティ] タブで [プロパティ] をクリックします。[スマート カードまたはその他の証明書のプロパティ] ダイアログ ボックスが表示されます。
[スマート カードまたはその他の証明書のプロパティ] ダイアログ ボックスで、次の操作を行います。
- [接続のための認証方法] で、[自分のスマート カードを使う] を選択するか、または [このコンピューターの証明書を使う] と [単純な証明書の選択を使う (推奨)] の両方を選択します。
- [サーバーの証明書を検証する] を選択します。
- ワイヤード アクセス クライアントが認証および承認に使用する必要のあるリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーを指定するには、[次のサーバーに接続します] で、各 RADIUS サーバーの名前を、サーバー証明書のサブジェクト フィールドに表示されたとおりに入力します。RADIUS サーバー名を複数指定するにはセミコロンを使用します。
-
[信頼されたルート証明機関] で、ネットワーク ポリシー サーバー (NPS) を実行するサーバーにサーバー証明書を発行した、信頼されたルート証明機関 (CA) を選択します。
注 この設定では、クライアントが信頼する信頼されたルート証明機関を、選択した値に制限します。信頼されたルート証明機関が選択されていない場合、クライアントは、その信頼されたルート証明機関ストア内のすべての信頼されたルート証明機関を信頼します。
- クライアントが他の名前を使用してアクセスするように指定するには、[この接続で別のユーザー名を使う] を選択します。
- セキュリティとユーザーの操作性を高めるため、[新しいサーバーまたは信頼された証明機関を承認するようユーザーに求めない] を選択します。
-
[OK] をクリックして、[スマート カードまたはその他の証明書のプロパティ] の設定を保存します。再度 [OK] をクリックし、[新しいワイヤード (有線) ネットワーク ポリシーのプロパティ] ダイアログ ボックスに戻ります。
- [接続のための認証方法] で、[自分のスマート カードを使う] を選択するか、または [このコンピューターの証明書を使う] と [単純な証明書の選択を使う (推奨)] の両方を選択します。