Wi-Fiライブラリアイテムを構成する

802.1X 認証とは何ですか?

802.1X は、ネットワークへのアクセスを制御するための標準規格です。これにより、許可されたデバイスのみが接続できるようになり、ネットワークの安全性が向上します。このプロトコルは、有線(イーサネット)ネットワークと無線ネットワークの両方で使用されます。

802.1X 認証の仕組み

802.1X 認証には、次の 3 つの主要な部分があります。

  • サプリカント - これは、ネットワークに参加したいデバイス(ユーザーのMacなど)です。認証者に資格情報を提供します。

  • 認証者 (Authenticator) - これは、ネットワークへのアクセスを制御するスイッチやアクセスポイントなどのネットワークデバイスです。資格情報を確認し、デバイスの接続を許可するかどうかを決定します。

  • 認証サーバ - 通常はRADIUSサーバで、サプリカントから提供された資格情報を検証し、アクセスを許可するかどうかを認証者 (Authenticator)に指示します。

Kandji では、 MDM コントロールを使用して、Mac コンピュータを認証サーバおよび認証サーバに提供する必要な資格情報で構成します。 このライブラリアイテムを設定して展開する前に、内部のネットワークチームと協力してネットワーク要件を決定してください。

Wi-Fiライブラリアイテムを追加する

  1. 左側のナビゲーションバーで [ライブラリ]に移動します。

  2. 右上の[新規追加]をクリックし、[Wi-Fi]を選択します。

  3. 「追加と設定」をクリックして、編集用の新しい Wi-Fiライブラリアイテムを作成して表示します。

  4. 新しい Wi-Fiライブラリアイテムに [タイトル] を付けます。タイトルを使用して、このライブラリアイテムを他のWi-Fiライブラリアイテムと区別します。 たとえば、タイトルには SSID や Wi-Fi 構成が使用されている場所など、アイテムを識別することのできる名前を使用してください。

  5. このライブラリアイテムを、デプロイ先のデバイスを含む Blueprints に割り当てます。

一般設定の構成

[一般] 設定では、認証とは無関係のネットワークとデバイスの動作について説明します。

  1. Service Set Identifier(SSID)(ネットワークの名前とも呼ばれます)を指定します。

  2. このネットワークが利用可能になったときにデバイスが自動的に参加するようにするには、[ネットワークに自動参加] を選択します。[ネットワークに自動参加] を選択しない場合、デバイスはネットワークへの接続方法を認識しますが、ユーザーは接続を選択する必要があります。

  3. ネットワークが非表示の場合(SSIDをブロードキャストしていない場合など)は、[非表示のネットワーク]を選択します。非表示のネットワークは標準規格に準拠していないため、推奨されません。

  4. このネットワークで IPv6 を使用するには、 IPv6 を選択します。

  5. このネットワークで Apple のキャプティブネットワークアシスタントを使用しない場合は、「キャプティブネットワーク検出を無効にする」を選択します。

  6. MAC アドレスのランダム化をオフにする場合は、[MAC アドレスのランダム化を無効にする] を選択します。

認証設定の構成

Wi-Fiライブラリアイテムは、事前共有キー (PSK、"パーソナル") 認証と 802.1X 拡張認証プロトコル (EAP) 認証 (多くの場合、"エンタープライズ Wi-Fi" と呼ばれます) をサポートしています。ほとんどの EAP タイプには、構成する必要がある追加の設定があります。これらの設定は、EAP タイプを選択すると使用可能になります。ネットワークは複数の認証タイプをサポートしている場合があるため、エンタープライズ認証を設定するときに複数の EAP タイプを選択できます。

古い暗号化プロトコルの多くは、もはや安全とは見なされていません。ネットワークでサポートされている最新の認証と暗号化を使用してください。

認証なし

ネットワークに参加するためにパスワードが必要ない場合は、認証タイプ「なし」を使用します。指定された SSID のネットワークが使用可能で、認証が不要な場合、デバイスはそのネットワークへの接続を試みます。

パスワードなしで誰でもネットワークに参加できます。

事前共有キー

PSK認証は、家庭や中小企業の環境で一般的に使用されています。ネットワークの共有パスワードを持っている人なら誰でも参加できます。

  1. [認証タイプ] で、[WEP]、[WPA パーソナル]、[WPA2 パーソナル]、[WPA3 パーソナル]、または [任意のパーソナル] を選択します。任意のパーソナルは上記のいずれの方法でも機能し、WPA2を使用する場所とWPA3を使用する場所がある場合に便利です。

  2. パスワードを指定します パスワードを入力しない場合、デバイスはネットワークへの接続時にユーザーにパスワードの入力を求めます。

エンタープライズ認証

エンタープライズ認証では、802.1X を使用して、Wi-Fi ネットワークへの接続時により安全な認証オプションを提供します。エンタープライズ認証の種類には、動的WEP、WPAエンタープライズ、WPA2エンタープライズ、WPA3エンタープライズがあります。

  1. 認証タイプで、動的WEP、WPAエンタープライズ、WPA2エンタープライズ、またはWPA3エンタープライズを選択します。

  2. macOSで、ログインウィンドウでログインするユーザーとしてネットワークに認証する場合は、[ログインウィンドウ設定として使用] を選択します。それ以外の場合、構成はシステム構成と見なされ、ユーザーがログインしていないときでも Mac システムはネットワークに対して認証できます。また、このオプションを EAP-TLS と組み合わせて使用すると、ログイン前に証明書の ID を使用してシステムを認証し、その後はログインウィンドウの資格情報を使用してユーザーを認証することもできます。

    この設定を使用するには、ディレクトリサービスとの統合が必要です。詳しくは 、このAppleサポート記事 を参照してください。

  3. ネットワークがサポートする [受け入れ可能なEAP タイプ] を選択します。複数選択でき、選択した EAP タイプに必要なすべての設定を行う必要があります。特定の EAP タイプの設定の詳細については、「 エンタープライズ Wi-Fi 認証プロトコルの設定」を参照してください。

ID 証明書の設定

ID 証明書は、AD CS、SCEP を使用するか、PKCS #12 ファイルをアップロードして構成できます。ID 証明書の設定手順については、サポート記事「 802.1X 認証での ID 証明書の使用 」を参照してください。

証明書信頼設定の構成

Wi-Fiライブラリアイテムで信頼できる証明書を指定することはお勧めしません。証明書を更新または変更した場合は、Wi-Fi プロファイル全体を再デプロイする必要があるため、デバイスが Wi-Fi ネットワークから切断される可能性があります。代わりに、別の証明書ライブラリアイテムを使用して、RADIUSサーバーの信頼できる証明書チェーンをインストールします。次に、Wi-Fi ライブラリアイテムで、 サーバ証明書名を指定するでこれらの証明書の名前を指定します。詳細については、「Apple プラットフォームの展開」を参照してください。

ほとんどのエンタープライズ Wi-Fi 環境では、デバイスが 802.1X 認証サーバー (通常はリモートアクセスダイヤルインユーザーサーバー (RADIUS)) を信頼する必要があります。 [証明書の信頼] 設定では、サーバーデバイスによって提示される証明書のうちどの証明書を信頼するかを構成できます。デバイスが認証サーバーを信頼していない場合、ユーザーはそれを信頼するように求められます。 

  1. 信頼するように構成されたデバイスの証明書を提供する場合は、[信頼された証明書の指定] を選択します。次に、証明書を .cer または .crt 形式でアップロードします。

  2. デバイスが信頼する証明書の DNS 名を指定する場合は、[サーバー証明書名を指定する] を選択します。次に、DNS名を入力します(ワイルドカードを使用できます)。

  3. 提示された証明書が検証に失敗した場合に認証サーバーを信頼するかどうかをユーザーに確認する場合は、[信頼の例外を許可する] を選択します。このオプションは、新しいバージョンの macOS および iOSでは非推奨です。

プロキシ設定の構成

ネットワークプロキシを使用するようにデバイスを構成するには、[プロキシ] セクションで設定を構成します。

  1. ネットワークプロキシ設定を構成するには、[プロキシ] セクションを [マネージド] に切り替えます。

  2. プロキシ自動設定(PAC)ファイルを使用するようにデバイスを設定するには、プロキシタイプ[自動]を選択します。

    1. デバイスが PAC ファイルを検索できる プロキシ PAC URL を指定します。

    2. PAC ファイルが使用できないときにデバイスが宛先への直接接続を試みる場合は、[プロキシ PAC フォールバックを許可する] を選択します。  

  3. 特定のプロキシを使用するようにデバイスを設定するには、[プロキシタイプ] で [手動] を選択します。

    1. プロキシサーバーとポートを指定します。

    2. プロキシで認証が必要な場合は、 プロキシ ユーザー名プロキシ パスワードを入力します。

Fast Lane マーキングの設定

サービス品質 (QoS) マーキングをサポートするネットワークとデバイスで Fast Laneを使用して、接続されたデバイス上のアプリからのトラフィックを音声、ビデオ、またはリアルタイムデータとして優先します。Fast Lane の詳細については、『Cisco QoS Fastlane および Adaptive 802.11r とのiOS互換性』を参照してください。

Fast Lane は、すべてのネットワークまたはデバイスでサポートされているわけではありません。

  1. Fast Lane マーキングを管理する場合は、[ Fast Lane] マーキング セクションを [Managed] に切り替えます。 

  2. Fast Lane をオフにするには、 すべてのアプリで [Fast Lane を無効にする] を選択します。

  3. Fast Lane をオンにするには、[ 特定のアプリで許可] を選択します。 

  4. Fast Lane は、特定のアプリからのネットワークトラフィックに適用されます。[ アプリケーションの追加 ] をクリックして、アプリを許可リストに追加します。 

  5. Kandjiライブラリからアプリを追加するには、[名前で検索] にアプリの名前を入力します。Fast Lane の使用を許可するアプリを選択します。

  6. バンドル ID でアプリを指定することもできます。[ バンドル ID の追加] をクリックします

  7. [App Name] と [Bundle ID] を入力し、[Add] をクリックします。複数のバンドル ID を追加できます。 

  8. 「完了」をクリックします。