Microsoft Intuneに Windows デバイスの有線ネットワーク設定を追加する

  • [アーティクル]

特定の有線ネットワーク設定を使用してプロファイルを作成し、このプロファイルを Windows デバイスに展開できます。 Microsoft Intuneには、ネットワークへの認証、SCEP 証明書の追加など、多くの機能が用意されています。

この記事では、構成できる設定について説明します。

開始する前に

有線ネットワーク

  • 認証モード: プロファイルがネットワークで認証される方法を選択します。 証明書認証を使用している場合は、証明書の種類が認証の種類と一致していることを確認します。

    次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、OS は ユーザー認証またはマシン認証を 使用する場合があります。
    • ユーザー: デバイスにサインインしているユーザー アカウントがネットワークに対して認証されます。
    • マシン: デバイス資格情報がネットワークに対して認証されます。
    • ユーザーまたはコンピューター: ユーザーがデバイスにサインインすると、ユーザー資格情報がネットワークに対して認証されます。 ユーザーがサインインしていない場合は、デバイス資格情報が認証されます。
    • ゲスト: 資格情報はネットワークに関連付けされません。 認証は開いているか、Web ページを介して外部で処理されます。

  • ログオンごとに資格情報を記憶する: ユーザー資格情報をキャッシュする場合、またはユーザーがネットワークに接続するときに毎回入力する必要がある場合に選択します。 次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS でこの機能が有効になり、資格情報がキャッシュされる場合があります。
    • [有効] : ユーザーが初めてネットワークに接続するときに、ユーザー資格情報をキャッシュします。 キャッシュされた資格情報は将来の接続に使用され、ユーザーは再入力する必要はありません。
    • 無効: ユーザー資格情報は記憶またはキャッシュされません。 ユーザーがネットワークに接続する場合、ユーザーは毎回資格情報を入力する必要があります。

  • 認証期間: 1 から 3600 までの認証を試行した後にデバイスが待機する必要がある秒数を入力します。 入力した時刻にデバイスが接続しない場合、認証は失敗します。 この値を空または空白のままにすると、 18 秒が使用されます。

  • 認証再試行の遅延期間: 失敗した認証試行から次の認証試行までの秒数 (1 から 3600) を入力します。 この値を空または空白のままにすると、 1 second が使用されます。

  • 開始期間: 1 から 3600 までのEAPOL-Start メッセージを送信するまでに待機する秒数を入力します。 この値を空または空白のままにすると、 5 秒が使用されます。

  • 最大 EAPOL-start: EAPOL-Start メッセージの数を 1 から 100 まで入力します。 この値を空または空白のままにすると、メッセージの 3 最大数が送信されます。

  • [最大認証エラー数]: 認証する資格情報のこのセットの認証エラーの最大数を 1 から 100 まで入力します。 この値を空または空白のままにした 1 場合は、試行が使用されます。

  • 802.1x: [強制] に設定されている場合、有線ネットワーク (有線自動構成) の自動構成サービスでは、ポート認証に 802.1X を使用する必要があります。 [強制しない] (既定値) に設定されている場合、有線 AutoConfig サービスでは、ポート認証に 802.1X を使用する必要はありません。

    警告

    [適用] に設定されている場合は、ポリシーの構成設定が正しく、ネットワーク設定と一致していることを確認します。 ポリシー設定がネットワーク設定と一致しない場合、デバイスでインターネット アクセスがブロックされます。 更新されたポリシー バージョンを取得するために、デバイスをインターネットに接続できません。 インターネット に再度アクセスするには、デバイスからポリシーを手動で削除する必要があります。

  • ブロック期間 (分): 認証試行が失敗した後、OS は自動的に再認証を試みます。 0 から 1440 までの自動認証試行をブロックする時間 (分) を入力します。 この値を空または空白のままにすると、OS が自動的に再認証を試みる場合があります。

  • EAP の種類: セキュリティで保護された有線接続を認証するには、拡張認証プロトコル (EAP) の種類を選択します。 次のようなオプションがあります。

    • EAP-SIM

    • EAP-TLS: 次の入力も行います。

      • サーバーの信頼 - 証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の一般的な名前を入力します。 この情報を入力すると、ユーザー デバイスがこのネットワークに接続するときに表示される動的信頼ウィンドウをバイパスできます。
      • サーバー検証用のルート証明書: 1 つ以上の既存の信頼されたルート証明書プロファイルを選択します。 クライアントがネットワークに接続すると、これらの証明書を使用してサーバーとの信頼チェーンが確立されます。 認証サーバーでパブリック証明書を使用する場合は、ルート証明書を含める必要はありません。
      • クライアント認証 - 認証方法: デバイス クライアントで使用される認証方法を選択します。 次のようなオプションがあります。

        • SCEP 証明書: デバイスにも展開されている既存の SCEP クライアント証明書プロファイルを選択します。 この証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。

        • PKCS 証明書: 既存の PKCS クライアント証明書 プロファイルと、デバイスにも展開されている既存の信頼された ルート証明書 を選択します。 クライアント証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。

        • PFX インポート証明書: インポートされた既存の PFX 証明書プロファイルを選択します。 クライアント証明書は、接続を認証するためにデバイスによって提示される ID です。

          インポートされた PFX 証明書の詳細については、「Intuneでインポートされた PKCS 証明書を構成して使用する」を参照してください。

        • 派生資格情報: ユーザーのスマート カードから派生した既存の証明書プロファイルを選択します。 詳細については、「Microsoft Intuneで派生資格情報を使用する」を参照してください。

    • EAP-TTLS: 次も入力します。

      • サーバーの信頼 - 証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の一般的な名前を入力します。 この情報を入力すると、ユーザー デバイスがこのネットワークに接続するときに表示される動的信頼ダイアログをバイパスできます。

      • サーバー検証用のルート証明書: 1 つ以上の既存の信頼されたルート証明書プロファイルを選択します。 クライアントがネットワークに接続すると、これらの証明書を使用してサーバーとの信頼チェーンが確立されます。 認証サーバーでパブリック証明書を使用する場合は、ルート証明書を含める必要はありません。

      • クライアント認証 - 認証方法: デバイス クライアントで使用される認証方法を選択します。 次のようなオプションがあります。

        • ユーザー名とパスワード: ネットワーク接続を認証するためのユーザー名とパスワードをユーザーに求めます。 また、次のように入力します。

          • EAP 以外の方法 (内部 ID): ネットワーク接続を認証する方法を選択します。 ネットワーク上で構成されているのと同じプロトコルを選択してください。

            オプション: 暗号化されていないパスワード (PAP)チャレンジ ハンドシェイク (CHAP)Microsoft CHAP (MS-CHAP)または Microsoft CHAP バージョン 2 (MS-CHAP v2)

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには、 などの anonymous任意の値を指定できます。 認証中に、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • SCEP 証明書: デバイスにも展開されている既存の SCEP クライアント証明書プロファイルを選択します。 この証明書は、ネットワーク接続を認証するためにデバイスによって提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには、 などの anonymous任意の値を指定できます。 認証中に、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • PKCS 証明書: 既存の PKCS クライアント証明書 プロファイルと、デバイスにも展開されている既存の信頼された ルート証明書 を選択します。 クライアント証明書は、ネットワーク接続を認証するためにデバイスによって提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには、 などの anonymous任意の値を指定できます。 認証中に、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • PFX インポート証明書: インポートされた既存の PFX 証明書プロファイルを選択します。 クライアント証明書は、ネットワーク接続を認証するためにデバイスによって提示される ID です。

          インポートされた PFX 証明書の詳細については、「Intuneでインポートされた PKCS 証明書を構成して使用する」を参照してください。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには、 などの anonymous任意の値を指定できます。 認証中に、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • 派生資格情報: ユーザーのスマート カードから派生した既存の証明書プロファイルを選択します。 詳細については、「Microsoft Intuneで派生資格情報を使用する」を参照してください。

    • 保護された EAP (PEAP): 次の入力も行います。

      • サーバーの信頼 - 証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の一般的な名前を入力します。 この情報を入力すると、ユーザー デバイスがこのネットワークに接続するときに表示される動的信頼ダイアログをバイパスできます。

      • サーバー検証用のルート証明書: 1 つ以上の既存の信頼されたルート証明書プロファイルを選択します。 クライアントがネットワークに接続すると、これらの証明書を使用してサーバーとの信頼チェーンが確立されます。 認証サーバーでパブリック証明書を使用する場合は、ルート証明書を含める必要はありません。

      • サーバー検証を実行する: [はい] に設定すると、PEAP ネゴシエーション フェーズ 1 では、デバイスによって証明書が検証され、サーバーが検証されます。 [ いいえ] を選択して、この検証をブロックまたは禁止します。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。

        [はい] を選択した場合は、次の構成も行います。

        • サーバー検証のユーザー プロンプトを無効にする: [はい] に設定すると、PEAP ネゴシエーション フェーズ 1 では、信頼された証明機関に対して新しい PEAP サーバーを承認するように求めるユーザー プロンプトは表示されません。 プロンプトを表示するには 、[いいえ ] を選択します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

      • 暗号化バインドが必要: [はい] にすると 、PEAP ネゴシエーション中に暗号化バインドを使用しない PEAP サーバーへの接続が禁止されます。 いいえ では暗号化バインドは必要ありません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

      • クライアント認証 - 認証方法: デバイス クライアントで使用される認証方法を選択します。 次のようなオプションがあります。

        • ユーザー名とパスワード: ネットワーク接続を認証するためのユーザー名とパスワードをユーザーに求めます。 また、次のように入力します。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには、 などの anonymous任意の値を指定できます。 認証中に、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • SCEP 証明書: デバイスにも展開されている既存の SCEP クライアント証明書 プロファイルを選択します。 この証明書は、ネットワーク接続を認証するためにデバイスからサーバーに提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには、 などの anonymous任意の値を指定できます。 認証中に、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • PKCS 証明書: 既存の PKCS クライアント証明書 プロファイルと、デバイスにも展開されている既存の信頼された ルート証明書 を選択します。 クライアント証明書は、ネットワーク接続を認証するためにデバイスからサーバーに提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには、 などの anonymous任意の値を指定できます。 認証中に、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • PFX インポート証明書: インポートされた既存の PFX 証明書プロファイルを選択します。 クライアント証明書は、ネットワーク接続を認証するためにデバイスによって提示される ID です。

          インポートされた PFX 証明書の詳細については、「Intuneでインポートされた PKCS 証明書を構成して使用する」を参照してください。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには、 などの anonymous任意の値を指定できます。 認証中に、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • 派生資格情報: ユーザーのスマート カードから派生した既存の証明書プロファイルを選択します。 詳細については、「Microsoft Intuneで派生資格情報を使用する」を参照してください。

    • トンネル EAP (TEAP): 次も入力します。

      • サーバーの信頼 - 証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の一般的な名前を入力します。 この情報を入力すると、ユーザー デバイスがこのネットワークに接続するときに表示される動的信頼ダイアログをバイパスできます。

      • クライアント認証 - プライマリ認証方法: ユーザー認証にデバイス クライアントによって使用されるプライマリ認証方法を選択します。 この認証方法は、デバイスによってサーバーに提示される ID 証明書です。

        次のようなオプションがあります。

        • ユーザー名とパスワード: ネットワーク接続を認証するためのユーザー名とパスワードをユーザーに求めます。

        • SCEP 証明書: デバイスにも展開されている既存の SCEP クライアント証明書 プロファイルを選択します。 この証明書は、ネットワーク接続を認証するためにデバイスからサーバーに提示される ID です。

        • PKCS 証明書: 既存の PKCS クライアント証明書 プロファイルと、デバイスにも展開されている既存の信頼された ルート証明書 を選択します。 クライアント証明書は、ネットワーク接続を認証するためにデバイスからサーバーに提示される ID です。

        • 派生資格情報: ユーザーのスマート カードから派生した既存の証明書プロファイルを選択します。 詳細については、「Microsoft Intuneで派生資格情報を使用する」を参照してください。

      • クライアント認証 - セカンダリ認証方法: デバイス クライアントがマシン認証に使用するセカンダリ認証方法を選択します。 この認証方法は、デバイスによってサーバーに提示される ID 証明書です。

        プライマリ認証方法が失敗した場合は、セカンダリ認証方法が使用されます。 セカンダリ認証方法を使用できない場合、プライマリ認証方法が失敗した場合でも、セカンダリ認証方法は使用されません。 認証は失敗します。

        次のようなオプションがあります:

        • [未構成]: Intune では、この設定は変更または更新されません。 既定では、セカンダリ認証方法は使用されません。 プライマリ認証方法が失敗した場合、認証は失敗します。

        • ユーザー名とパスワード: ネットワーク接続を認証するためのユーザー名とパスワードをユーザーに求めます。

        • SCEP 証明書: デバイスにも展開されている既存の SCEP クライアント証明書 プロファイルを選択します。 この証明書は、ネットワーク接続を認証するためにデバイスからサーバーに提示される ID です。

        • PKCS 証明書: 既存の PKCS クライアント証明書 プロファイルと、デバイスにも展開されている既存の信頼された ルート証明書 を選択します。 クライアント証明書は、ネットワーク接続を認証するためにデバイスからサーバーに提示される ID です。

        • 派生資格情報: ユーザーのスマート カードから派生した既存の証明書プロファイルを選択します。 詳細については、「Microsoft Intuneで派生資格情報を使用する」を参照してください。

次の手順

プロファイルは作成されますが、何も行っていない可能性があります。 このプロファイルを割り当てその状態を監視してください。

macOS デバイスの有線ネットワーク設定

その他のリソース

ネットワーク アクセス用の拡張認証プロトコル (EAP)