パスワードベース 802.1X 認証ワイヤレスアクセスの展開

[アーティクル]
05/06/2023

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

これは、Windows Server® 2016 コアネットワークガイドの必携ガイドです。コアネットワークガイドでは、新しいフォレスト内の新しい Active Directory® ドメインと、ネットワークが十分に機能するために必要なコンポーネントを計画および展開する手順を説明します。

このガイドでは、Protected Extensible Authentication Protocol – Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2 (PEAP-MS-CHAP v2) を使用して、Institute of Electrical and Electronics Engineers (IEEE) 802.1X で認証された IEEE 802.11 ワイヤレスアクセスを展開する手順を示しながら、コアネットワークの構築方法について説明します。

PEAP-MS-CHAP v2 では、認証プロセス中にユーザーが証明書ではなくパスワードベースの資格情報を指定する必要があるため、通常は、EAP-TLS または PEAP-TLS よりも展開がより簡単かつ低コストになります。

注意

このガイドでは、PEAP-MS-CHAP v2 を使用した IEEE 802.1X 認証ワイヤレスアクセスを、"ワイヤレスアクセス" と "WiFi アクセス" に短縮しています。

このガイドについて

このガイドは、以下で説明する前提条件ガイドと組み合わせて、次の WiFi アクセスインフラストラクチャを展開する方法について説明します。

1 つ以上の 802.1X 対応 802.11 ワイヤレスアクセスポイント (AP)。
Active Directory ドメインサービス (AD DS) ユーザーとコンピューター。
グループポリシー管理。
1 つ以上のネットワークポリシーサーバー (NPS) サーバー。
NPS を実行しているコンピューターのサーバー証明書。
Windows® 10、Windows 8.1、または Windows 8 を実行しているワイヤレスクライアントコンピューター。

このガイドの依存関係

このガイドを使用して認証済みワイヤレスを正常に展開するには、必要なすべてのテクノロジが展開されたネットワークとドメインの環境が必要です。また、認証 NPS に展開されたサーバー証明書も必要です。

次のセクションでは、これらのテクノロジを展開する方法を示したドキュメントへのリンクを提示します。

ネットワークとドメインの環境の依存関係

このガイドの対象は、Windows Server 2016 コアネットワークガイドの説明に従ってコアネットワークを展開したネットワーク管理者およびシステム管理者、または AD DS、ドメインネームシステム (DNS)、動的ホスト構成プロトコル (DHCP)、TCP/IP、NPS、Windows インターネットネームサービス (WINS) などのコアネットワークに含まれるコアテクノロジを既に展開したユーザーです。

Windows Server 2016 コアネットワークガイドは、Windows Server 2016 テクニカルライブラリから入手できます。

サーバー証明書の依存関係

802.1X 認証で使用するために認証サーバーをサーバー証明書に登録するオプションは 2 つあります。Active Directory 証明書サービス (AD CS) を使用して独自の公開キー基盤を展開する方法と、パブリック証明機関 (CA) によって登録されているサーバー証明書を使用する方法です。

AD CS

認証済みワイヤレスを展開するネットワーク管理者とシステム管理者は、「Windows Server 2016 コアネットワーク必携ガイド」の「802.1X 有線および無線展開のサーバー証明書を展開する」の手順に従う必要があります。このガイドでは、AD CS を展開および使用して、NPS を実行しているコンピューターにサーバー証明書を自動登録する方法について説明します。

このガイドは、次の場所から入手できます。

HTML 形式でテクニカルライブラリにある Windows Server 2016 コアネットワーク必携ガイドの「802.1X 有線および無線展開のサーバー証明書を展開する」。

パブリック CA

クライアントコンピューターが既に信頼しているパブリック CA (VeriSign など) からサーバー証明書を購入できます。

CA 証明書が信頼されたルート証明機関の証明書ストアにインストールされている場合、クライアントコンピューターは CA を信頼します。既定では、Windows を実行しているコンピューターには、複数のパブリック CA 証明書が、信頼されたルート証明機関の証明書ストアにインストールされています。

この展開シナリオで使用される各テクノロジについてはそれぞれの設計ガイドや展開ガイドを参照することをお勧めします。これらのガイドを使用して、自らの組織のネットワークに必要なサービスと構成がこの展開シナリオによってもたらされるかどうかを判断できます。

要件

次に、このガイドに記載されているシナリオを使用してワイヤレスアクセスインフラストラクチャを展開するための要件を示します。

このシナリオを展開する前に、まず、802.1X 対応ワイヤレスアクセスポイントを購入して、サイトの目的の場所にワイヤレスカバレッジを提供する必要があります。このガイドの「計画」セクションは、AP でサポートする必要のある機能の特定に役立ちます。
Active Directory ドメインサービス (AD DS) が、Windows Server 2016 コアネットワークガイドに記載されている手順に従って、他の必要なネットワークテクノロジと同様にインストールされている必要があります。
AD CS が展開され、サーバー証明書が NPS に登録されている必要があります。これらの証明書は、このガイドで使用されている PEAP-MS-CHAP v2 証明書ベースの認証方法を展開するときに必要です。
組織のメンバーは、ワイヤレス AP でサポートされている IEEE 802.11 標準と、ネットワーク上のクライアントコンピューターとデバイスに取り付けられているワイヤレスネットワークアダプターに精通している必要があります。たとえば、組織内の誰かが無線周波数の種類、802.11 ワイヤレス認証 (WPA2 または WPA)、暗号 (AES または TKIP) に精通している必要があります。

このガイドで説明されていないもの

このガイドで説明されていない項目を次に示します。

802.1X 対応ワイヤレスアクセスポイントを選択するための包括的なガイダンス

802.1X 対応ワイヤレス AP のブランドとモデルの間には多くの違いがあるため、このガイドでは次の詳細については説明していません。

ニーズに最も適したワイヤレス AP のブランドまたはモデルの決定。
ネットワーク上のワイヤレス AP の物理的な展開。
ワイヤレス仮想ローカルエリアネットワーク (VLAN) などの高度なワイヤレス AP 構成。
NPS でワイヤレス AP ベンダー固有の属性を構成する方法について説明します。

さらに、設定の用語や名前は、ワイヤレス AP のブランドやモデルで異なり、このガイドで使用される汎用の設定名に一致していないことがあります。ワイヤレス AP の構成の詳細については、ワイヤレス AP の製造元から提供されている製品ドキュメントを確認する必要があります。

NPS 証明書を展開するための手順

NPS 証明書の展開には、次の 2 つの方法があります。このガイドでは、どちらの方法がニーズに最も適しているかを判断するための包括的なガイダンスは提供していません。ただし、一般に、直面する選択肢は次のとおりです。

Windows ベースのクライアントから既に信頼されている、VeriSign などのパブリック CA から証明書を購入する。このオプションは、通常、小さいネットワークに推奨されます。
AD CS を使用してネットワークに公開キー基盤 (PKI) を展開する。これは、ほとんどのネットワークで推奨されています。AD CS を使用してサーバー証明書を展開する方法については、前述の展開ガイドを参照してください。

NPS ネットワークポリシーとその他の NPS 設定

このガイドで説明している、802.1X の構成ウィザードを実行するときに行われた構成設定を除き、このガイドでは、NPS の条件、制約、またはその他の NPS 設定を手動で構成する方法については詳しく説明しません。

[DHCP]

この展開ガイドでは、ワイヤレス LAN の DHCP サブネットを設計または展開する方法については説明しません。

テクノロジの概要

ワイヤレスアクセスを展開するためのテクノロジの概要を次に示します。

IEEE 802.1X

IEEE 802.1X 標準では、イーサネットネットワークへの認証されたネットワークアクセスを提供するために使用されるポートベースのネットワークアクセス制御を定義しています。このポートベースのネットワークアクセス制御では、スイッチド LAN インフラストラクチャの物理的特性を使って、LAN ポートに接続されたデバイスを認証します。認証プロセスが失敗した場合は、ポートへのアクセスを拒否できます。この標準はワイヤードイーサネットネットワーク用に設計されたものですが、802.11 ワイヤレス LAN に対して使用できるように変更が加えられています。

802.1X 対応ワイヤレスアクセスポイント (AP)

このシナリオでは、リモート認証ダイヤルインユーザーサービス (RADIUS) プロトコルと互換性のある 1 つ以上の 802.1X 対応ワイヤレス AP を展開する必要があります。

802.1X および RADIUS 対応の AP は、NPS などの RADIUS サーバーを使って RADIUS インフラストラクチャに展開されている場合、RADIUS クライアントと呼ばれます。

ワイヤレスクライアント

このガイドでは、Windows 10、Windows 8.1、Windows 8 を実行するワイヤレスクライアントコンピューターを使用してネットワークに接続するドメインメンバーユーザーに 802.1X 認証済みアクセスを提供するための包括的な構成について詳しく説明します。認証されたアクセスを正常に確立するには、コンピューターがドメインに参加している必要があります。

注意

Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 を実行しているコンピューターをワイヤレスクライアントとして使用することもできます。

IEEE 802.11 標準のサポート

サポートされている Windows および Windows Server オペレーティングシステムでは、802.11 ワイヤレスネットワークのサポートが組み込まれています。これらのオペレーティングシステムでは、取り付けられている 802.11 ワイヤレスネットワークアダプターは、[ネットワークと共有センター] のワイヤレスネットワーク接続として表示されます。

802.11 ワイヤレスネットワークのサポートは組み込まれていますが、Windows のワイヤレスコンポーネントは次に依存しています。

ワイヤレスネットワークアダプターの機能。インストールされているワイヤレスネットワークアダプターは、必要なワイヤレス LAN またはワイヤレスセキュリティ標準をサポートしている必要があります。たとえば、ワイヤレスネットワークアダプターが Wi-Fi 保護アクセス (WPA) をサポートしていない場合、WPA セキュリティオプションを有効にしたり構成したりすることはできません。
ワイヤレスネットワークアダプタードライバーの機能。ワイヤレスネットワークオプションを構成できるようにするには、ワイヤレスネットワークアダプターのドライバーで、すべての機能に関する Windows へのレポートがサポートされている必要があります。ワイヤレスネットワークアダプターのドライバーが、オペレーティングシステムの機能用に作成されていることを確認します。また、Microsoft Update か、ワイヤレスネットワークアダプターベンダーの Web サイトをチェックして、ドライバーが最新バージョンであることを確認します。

次の表には、一般的な IEEE 802.11 ワイヤレス標準の転送速度と周波数を示します。

標準	周波数	ビット転送速度	使用
802.11	S バンド工業用、科学技術用、医療用 (ISM) の周波数範囲 (2.4 から 2.5 GHz)	2 メガビット/秒 (Mbps)	互換性のために残されています。一般的に使用されません。
802.11b	S バンド ISM	11 Mbps	一般的に使用されます。
802.11a	C バンド ISM (5.725 から 5.875 GHz)	54 Mbps	費用と制限のある範囲のために一般的には使用されません。
802.11g	S バンド ISM	54 Mbps	広く使用されます。 802.11g は、802.11b デバイスと互換性があります。
802.11n \2.4 および 5.0 GHz	C バンドと S バンド ISM	250 Mbps	事前批准された IEEE 802.11n 標準に基づくデバイスは、2007 年 8 月に利用可能になりました。多くの 802.11n デバイスは、802.11a、b、g デバイスと互換性があります。
802.11ac	5 GHz	6.93 Gbps	2014 年に IEEE によって認可された 802.11ac は、802.11n よりもスケーラブルで高速であり、AP とワイヤレスクライアントの両方でサポートされる場所に展開されます。

ワイヤレスネットワークセキュリティ方法

ワイヤレスネットワークセキュリティ方法とは、ワイヤレス認証 (ワイヤレスセキュリティとも呼ばれます) とワイヤレスセキュリティ暗号化の非公式な分類です。ワイヤレス認証と暗号化は、認可されていないユーザーがワイヤレスネットワークにアクセスできないようにし、ワイヤレス伝送を保護するために、ペアで使用されます。

グループポリシーのワイヤレスネットワークポリシーでワイヤレスセキュリティ設定を構成する場合、複数の組み合わせから選択できます。ただし、WPA2 エンタープライズ、WPA エンタープライズ、オープンシステム (802.1X) の認証標準のみが、802.1X 認証ワイヤレス展開でサポートされています。

注意

802.1X 認証ワイヤレス展開に必要な EAP 設定にアクセスするために、ワイヤレスネットワークポリシーの構成中に、[WPA2-エンタープライズ]、[WPA-エンタープライズ]、または [オープンシステム (802.1X)] を選択する必要があります。

ワイヤレス認証

このガイドでは、802.1X 認証ワイヤレス展開に対して、次のワイヤレス認証標準を使用することをお勧めしています。

Wi-Fi Protected Access – エンタープライズ (WPA-エンタープライズ) WPA は、802.11 ワイヤレスセキュリティプロトコルに準拠するために WiFi Alliance によって開発された暫定標準です。 WPA プロトコルは、以前の WEP (Wired Equivalent Privacy) プロトコルで多数の重大な欠陥が検出されたことを受けて開発されました。

WPA-エンタープライズでは、次のことから WEP よりも高いセキュリティをもたらします。

一元的な相互認証と動的なキー管理を確保する、802.1X EAP フレームワークをインフラストラクチャに組み込んだ認証を必要としていること
メッセージ整合性チェック (MIC) を使用して整合性チェック値 (ICV) を高めて、ヘッダーとペイロードを保護していること
リプレイ攻撃を阻止するためのフレームカウンターを実装していること

Wi-Fi Protected Access 2 – エンタープライズ (WPA2-エンタープライズ) WPA-エンタープライズ標準と同様に、WPA2-エンタープライズでは 802.1X と EAP フレームワークが使用されます。 WPA2-エンタープライズでは、複数のユーザーと管理された大規模ネットワークに対して、より強力なデータ保護が提供されます。 WPA2-エンタープライズは、認証サーバーを介してネットワークユーザーを検証することで、認可されていないネットワークアクセスを防ぐように設計された堅牢なプロトコルです。

ワイヤレスセキュリティ暗号化

ワイヤレスセキュリティ暗号化は、ワイヤレスクライアントとワイヤレス AP との間で送信されるワイヤレス伝送を保護するために使用されます。ワイヤレスセキュリティ暗号化は、選択したネットワークセキュリティ認証方法と組み合わせて使用されます。既定では、Windows 10、Windows 8.1、Windows 8 を実行しているコンピューターで 2 つの暗号化標準をサポートしています。

Temporal Key Integrity Protocol (TKIP) は、本質的に弱い Wired Equivalent Privacy (WEP) プロトコルによりもたらされる暗号化よりも安全なワイヤレス暗号化を実現するように元々設計されていた古い暗号化プロトコルです。 TKIP は、レガシハードウェアを交換することなく WEP に置き換わるように、IEEE 802.11i タスクグループと Wi-Fi Alliance によって設計されました。 TKIP は、WEP ペイロードをカプセル化するアルゴリズムのスイートであり、従来の WiFi 機器のユーザーがハードウェアを交換せずに、TKIP にアップグレードできるようにします。 WEP と同様に、TKIP では RC4 ストリーム暗号化アルゴリズムがその基盤として使用されます。ただし、新しいプロトコルでは、各データパケットが一意の暗号化キーで暗号化され、そのキーは WEP によるキーよりもはるかに強力です。 TKIP は、WEP のみを使用するように設計された古いデバイスのセキュリティをアップグレードする場合に役立ちますが、ワイヤレス LAN で発生するセキュリティの問題のすべてには対処しておらず、機密性の高い政府機関や企業のデータ伝送を保護できるだけ十分堅牢でもありません。
Advanced Encryption Standard (AES) は、商用および政府機関のデータの暗号化に推奨される暗号化プロトコルです。 AES では、TKIP または WEP よりも高いレベルのワイヤレス伝送セキュリティがもたらされます。 TKIP や WEP とは異なり、AES には AES 標準をサポートするワイヤレスハードウェアが必要になります。 AES は、AES-128、AES-192、AES-256 の 3 つのブロック暗号を使用する対称キー暗号化標準です。

Windows Server 2016 では、WPA2-エンタープライズの認証方法を選択した場合 (これが推奨)、次の AES ベースのワイヤレス暗号化方法をワイヤレスプロファイルプロパティの構成に使用できます。

AES-CCMP。 Counter Mode Cipher Block Chaining Message Authentication Code Protocol (CCMP) は、802.11i 標準を実装するために使用するものであり、WEP によって提供されるものより高いセキュリティ暗号化を目的に設計され、128 ビットの AES 暗号化キーが使用されます。
AES-GCMP。 Galois Counter Mode Protocol (GCMP) は 802.11ac でサポートされ、AES-CCMP よりも効率がよく、ワイヤレスクライアントのパフォーマンスを高めます。 GCMP では、256 ビットの AES 暗号化キーを使用します。

重要

Wired Equivalency Privacy (WEP) は、ネットワークトラフィックの暗号化に使用されていた元のワイヤレスセキュリティ標準でした。この古い形式のセキュリティには既知の脆弱性が存在するので、WEP をネットワークに導入しないでください。

Active Directory Domain Services (AD DS)

AD DS では、分散データベースにより、ネットワークリソース、およびディレクトリ対応アプリケーションに固有のデータが保存、管理されます。管理者は、AD DS を使用して、ユーザー、コンピューター、その他のデバイスなどのネットワーク要素を、階層化された格納構造で管理できます。階層化された格納構造は、Active Directory フォレスト、フォレスト内のドメイン、および各ドメイン内の組織単位 (OU) から構成されます。 AD DS を実行するサーバーは、ドメインコントローラーと呼ばれます。

AD DS には、ユーザーの資格情報を認証し、ワイヤレス接続の認可を評価するために IEEE 802.1X および PEAP-MS-CHAP v2 で必要とされるユーザーアカウント、コンピューターアカウント、およびアカウントのプロパティが含まれています。

Active Directory ユーザーとコンピューティング

Active Directory ユーザーとコンピューターは、コンピューター、ユーザー、セキュリティグループなどの物理エンティティを表すアカウントを含んだ AD DS のコンポーネントです。 セキュリティグループとは、管理者が 1 つのユニットとして管理できるユーザーアカウントまたはコンピューターアカウントのコレクションです。特定のグループに属するユーザーとコンピューターは、グループメンバーと呼ばれます。

グループポリシー管理

グループポリシー管理を使用すると、セキュリティやユーザー情報などのユーザーとコンピューターの設定をディレクトリベースで変更および構成管理できます。グループポリシーを使用し、ユーザーとコンピューターのグループの構成を定義します。グループポリシーを使用すると、レジストリエントリ、セキュリティ、ソフトウェアのインストール、スクリプト、フォルダーリダイレクト、リモートインストールサービス、Internet Explorer のメンテナンスの設定を指定できます。作成するグループポリシー設定は、グループポリシーオブジェクト (GPO) に含まれています。選択した Active Directory システムコンテナー (サイト、ドメイン、OU) に GPO を関連付けると、これらの Active Directory コンテナー内のユーザーとコンピューターにその GPO の設定を適用できます。企業全体でグループポリシーオブジェクトを管理するには、グループポリシー管理エディター Microsoft 管理コンソール (MMC) を使用できます。

このガイドでは、グループポリシー管理のワイヤレスネットワーク (IEEE 802.11) ポリシー拡張機能で設定を指定する方法について詳しく説明します。ワイヤレスネットワーク (IEEE 802.11) ポリシーでは、802.1X 認証ワイヤレスアクセスに必要な接続とワイヤレス設定を使用して、ドメインメンバーのワイヤレスクライアントコンピューターを構成します。

サーバー証明書

この展開シナリオには、802.1X 認証を実行する NPS ごとにサーバー証明書が必要となります。

サーバー証明書は、認証と、オープンネットワーク上の情報の保護に一般的に使用される、デジタルドキュメントです。証明書によって、公開キーが、対応する秘密キーを保持するエンティティに安全に結び付けられます。証明書は、発行元の CA によってデジタル署名され、ユーザー、コンピューター、またはサービスに対して発行できます。

証明機関 (CA) は、サブジェクト (通常はユーザーまたはコンピューター) または他の CA に属する公開キーの信頼性を確立し保証する責任を持ったエンティティです。証明機関の活動には、署名された証明書によって公開キーを識別名に結び付けることに加え、証明書のシリアル番号の管理、証明書の取り消しも含まれます。

Active Directory 証明書サービス (AD CS) は、ネットワーク CA として証明書を発行するサーバーの役割の 1 つです。 AD CS 証明書インフラストラクチャは、公開キー基盤 (PKI) とも呼ばれ、証明書を発行し管理するカスタマイズ可能なサービスを企業に提供します。

EAP、PEAP、PEAP-MS-CHAP v2

拡張認証プロトコル (EAP) は、任意の長さの資格情報と情報の交換を使用する追加の認証方法を許可することで、Point-to-Point プロトコル (PPP) を拡張したものです。 EAP 認証では、ネットワークアクセスクライアントと認証システム (NPS など) が、同じ種類の EAP をサポートしている必要があります。 Windows Server 2016 には、EAP 基盤が含まれ、2 種類の EAP と、NPS に EAP メッセージを渡す機能がサポートされています。 EAP を使用すると、EAP の種類として知られる追加の認証方式をサポートできます。 Windows Server 2016 でサポートされている EAP の種類は次のとおりです。

トランスポート層セキュリティ (TLS)
Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2 (MS-CHAP v2)

重要

強力な EAP の種類 (証明書に基づくものなど) は、パスワードベースの認証プロトコル (CHAP や MS-CHAP バージョン 1 など) に比べて、ブルートフォース攻撃、辞書攻撃、パスワード推測攻撃に対して高いセキュリティをもたらします。

保護された EAP (PEAP) では、TLS を使用して、ワイヤレスコンピューターなどの認証 PEAP クライアントと、NPS や他の RADIUS サーバーなどの PEAP 認証システムとの間に暗号化されたチャネルを作成します。 PEAP は認証方法を指定しませんが、PEAP が提供する TLS 暗号化チャネルを通じて動作できる、他の EAP 認証プロトコル (EAP-MSCHAPv2 など) に対し、追加のセキュリティを提供します。 PEAP は、組織のネットワークに次の種類のネットワークアクセスサーバー (NAS) を介して接続しているアクセスクライアントの認証方法として使用されます。

802.1X 対応ワイヤレスアクセスポイント
802.1X 対応認証スイッチ
仮想プライベートネットワーク (VPN) サーバー、DirectAccess サーバー、またはその両方として構成されている Windows Server 2016 およびリモートアクセスサービス (RAS) を実行しているコンピューター
Windows Server 2016 とリモートデスクトップサービスを実行しているコンピューター

PEAP-MS-CHAP v2 は、ユーザー認証が証明書やスマートカードではなくパスワードベースの資格情報 (ユーザー名とパスワード) を利用して行われるため、EAP-TLS よりも容易に展開できます。 NPS または他の RADIUS サーバーのみで、証明書を用意できます。 NPS 証明書は、識別情報を PEAP クライアントに提供するために、NPS によって認証処理中に使用されます。

このガイドでは、802.1X 認証アクセスに PEAP-MS-CHAP v2 を使用するようにワイヤレスクライアントと NPS を構成する手順について説明します。

ネットワークポリシーサーバー

ネットワークポリシーサーバー (NPS) では、リモート認証ダイヤルインユーザーサービス (RADIUS) サーバーと RADIUS プロキシを使用して、ネットワークポリシーを一元的に構成および管理できます。 802.1X ワイヤレスアクセスを展開するときには、NPS が必要です。

NPS で 802.1X ワイヤレスアクセスポイントを RADIUS クライアントとして構成すると、NPS は、AP によって送信された接続要求を処理します。接続要求の処理中に、NPS により認証と認可が行われます。認証では、クライアントが有効な資格情報を提示したかどうかが判断されます。 NPS で要求元のクライアントが正常に認証されると、クライアントが要求された接続の確立を認可されているかどうかが判断され、接続が許可または拒否されます。以下、このことについて詳しく説明します。

認証

正常な相互 PEAP-MS-CHAP v2 認証には、2 つの主要な部分があります。

クライアントが NPS を認証します。相互認証のこのフェーズでは、NPS からサーバー証明書をクライアントコンピューターに送信し、クライアントでその証明書を使用して NPS の ID を検証できます。 NPS の認証が成功するには、クライアントコンピューターが NPS 証明書を発行した CA を信頼している必要があります。信頼されたルート証明機関証明書ストアに CA の証明書が存在するときに、クライアントはこの CA を信頼します。

独自のプライベート CA を展開する場合、ドメインメンバーのクライアントコンピューターでグループポリシーが更新されると、CA 証明書が、現在のユーザーのおよびローカルコンピューターの信頼されたルート証明機関証明書ストアに自動的にインストールされます。パブリック CA からサーバー証明書を展開する場合は、パブリック CA 証明書が既に信頼されたルート証明機関証明書ストアにあることを確認します。
NPS がユーザーを認証します。クライアントで NPS が正常に認証されると、クライアントからユーザーのパスワードベースの資格情報が NPS に送信されます。NPS では、Active Directory ドメインサービス (AD DS) のユーザーアカウントデータベースに対してユーザーの資格情報が検証されます。

資格情報が有効で認証が成功した場合は、NPS で接続要求の処理の認可フェーズが開始されます。資格情報が有効ではなく、認証が失敗した場合は、NPS からアクセス拒否メッセージが送信され、接続要求が拒否されます。

承認

NPS を実行しているサーバーでは、次のように認可を行います。

NPS では、AD DS のユーザーまたはコンピューターアカウントのダイヤルインプロパティに制限があるかどうかを確認します。 Active Directory ユーザーとコンピューターにおけるすべてのユーザーおよびコンピューターアカウントには、[ダイヤルイン] タブに表示されているものなど、複数のプロパティが含まれています。このタブの [ネットワークアクセス許可] で値が [アクセスを許可] の場合、そのユーザーまたはコンピューターはネットワークへの接続が認可されています。値が [アクセスを拒否] の場合、そのユーザーまたはコンピューターにはネットワークへの接続が許可されていません。値が [NPS ネットワークポリシーでアクセスを制御] の場合、NPS では、構成されたネットワークポリシーを評価して、ユーザーまたはコンピューターがネットワークへの接続を認可されているかどうかを判断します。
続いて NPS ではそのネットワークポリシーを処理して、接続要求を照合するポリシーを見つけます。照合ポリシーが見つかった場合、NPS は、そのポリシーの構成に基づいて接続を許可または拒否します。

認証と認可の両方が成功し、照合ネットワークポリシーによってアクセスが付与された場合、NPS からネットワークへのアクセスが付与され、ユーザーとコンピューターはアクセス許可が与えられているネットワークリソースに接続できます。

注意

ワイヤレスアクセスを展開するには、NPS ポリシーを構成する必要があります。このガイドでは、NPS の 802.1X の構成ウィザードを使用して、802.1X 認証ワイヤレスアクセス用の NPS ポリシーを作成する手順について説明します。

ブートストラッププロファイル

802.1X 認証ワイヤレスネットワークでは、ネットワークに接続するために、ワイヤレスクライアントによって、RADIUS サーバーで認証されるセキュリティ資格情報が提供される必要があります。 Protected EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol バージョン 2 [MS-CHAP v2] の場合、セキュリティ資格情報はユーザー名とパスワードです。 EAP-トランスポート層セキュリティ [TLS] または PEAP-TLS の場合、セキュリティ資格情報は、クライアントユーザーとコンピューターの証明書やスマートカードなどの証明書になります。

既定では、PEAP-MS-CHAP v2、PEAP-TLS、または EAP-TLS 認証を実行するように構成されているネットワークに接続する場合、Windows ワイヤレスクライアントは、RADIUS サーバーによって送信されたコンピューター証明書も検証する必要があります。すべての認証セッションで RADIUS サーバーから送信されるコンピューター証明書は、一般にサーバー証明書と呼ばれます。

前述のように、商用 CA (VeriSign, Inc. など) と、ネットワーク上で展開するプライベート CA の 2 つの方法のいずれかで、RADIUS サーバーのサーバー証明書を発行できます。クライアントの信頼されたルート証明機関証明書ストアにルート証明書が既にインストールされている商用 CA で発行されたコンピューター証明書が、RADIUS サーバーから送信されると、ワイヤレスクライアントが Active Directory ドメインに参加しているかどうかに関係なく、その RADIUS サーバーのコンピューター証明書をワイヤレスクライアントで検証できます。この場合、ワイヤレスクライアントは、ワイヤレスネットワークに接続でき、ドメインにコンピューターを参加させることができます。

注意

クライアントでサーバー証明書を検証する必要のある動作は無効にできますが、サーバー証明書の検証を無効にすることは、運用環境ではお勧めしません。

ワイヤレスブートストラッププロファイルは、コンピューターがドメインに参加する前に、またはユーザーが特定のワイヤレスコンピューターを初めて使用してドメインに正常にログオンする前に、ワイヤレスクライアントユーザーが 802.1 X 認証ワイヤレスネットワークに接続できるようにするように構成されている一時的なプロファイルです。このセクションでは、ドメインにワイヤレスコンピューターを参加させようとしたときに、またはドメインに参加しているワイヤレスコンピューターをユーザーが初めて使用してドメインにログオンするときに発生する問題について説明します。

ユーザーまたは IT 管理者が、コンピューターをワイヤードイーサネットネットワークに物理的に接続してコンピューターをドメインに参加させることができず、必要な発行側ルート CA 証明書がコンピューターの信頼されたルート証明機関証明書ストアにインストールされていない展開の場合、ブートストラッププロファイルと呼ばれる一時的なワイヤレス接続プロファイルで、ワイヤレスネットワークに接続するようにワイヤレスクライアントを構成できます。

ブートストラッププロファイルにより、RADIUS サーバーのコンピューター証明書を検証する必要がなくなります。この一時的な構成により、ワイヤレスユーザーはコンピューターをドメインに参加させることができます。この時点で、ワイヤレスネットワーク (IEEE 802.11) ポリシーが適用され、適切なルート CA 証明書がコンピューターに自動的にインストールされます。

グループポリシーが適用されると、相互認証の要件を強制する 1 つ以上のワイヤレス接続プロファイルがコンピューターに適用されます。ブートストラッププロファイルは不要になり、削除されます。コンピューターをドメインに参加させ、コンピューターを再起動した後、ユーザーはワイヤレス接続を使用してドメインにログオンできます。

これらのテクノロジを使用したワイヤレスアクセス展開プロセスの概要については、「ワイヤレスアクセスの展開の概要」を参照してください。

パスワード ベース 802.1X 認証ワイヤレス アクセスの展開