Appleデバイスを802.1Xネットワークに接続する
Appleデバイスを組織の802.1Xネットワークに安全に接続することができます。これにはWi-FiおよびEthernet接続が含まれます。
デバイス | 接続方法 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet(iOS 17以降) | ||||||||||
iPad | Wi-Fi Ethernet(iPadOS 17以降) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K(第3世代)Wi-Fi | Wi-Fi Ethernet(tvOS 17以降) | ||||||||||
Apple TV 4K(第3世代)Wi-Fi + Ethernet | Wi-Fi Ethernet(tvOS 17以降) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
802.1X認証ネゴシエーション時、RADIUSサーバはデバイスサプリカントに自動的に証明書を提示します。RADIUSサーバ証明書は、特定の証明書、または証明書のホストに一致する期待されるホスト名のリストをトラストアンカーとすることにより、サプリカントによって信頼される必要があります。証明書は、既知のCAによって発行され、デバイスの信頼されたルートストアにリストされている場合でも、特定の目的のために信頼される必要があります。この場合、サーバの証明書はRADIUSサービス用に信頼される必要があります。これは、ユーザがエンタープライズネットワークに参加するときに接続済みWi-Fiネットワーク用に証明書を信頼することを求められた際に手動で、または構成プロファイル内で実行されます。
802.1X構成が含まれているものと同じプロファイルに信頼の証明書チェーンを確立する必要はありません。例えば、管理者は組織の信頼の証明書をスタンドアロンプロファイルに導入し、802.1X構成は別のプロファイルに含めることができます。これによって、各プロファイルに対する変更を互いに無関係に管理できます。
ほかのパラメータのうち、802.1X構成は次のものも指定できます:
EAPの種類:
ユーザ名およびパスワードに基づくEAPの場合(PEAPなど): ユーザ名またはパスワードをプロファイルに提供できます。これらが提供されない場合、ユーザはこれらの提供を求められます。
証明書識別情報に基づくEAPの場合(EAP-TLSなど): 認証用の証明書識別情報が含まれるペイロードを選択します。Active Directory証明書ペイロード(macOSのみ)、ACMEペイロード、証明書ペイロード内のPKCS #12固有名証明書(.p12または.pfx)ファイル、またはSCEPペイロードを選択できます。デフォルトでは、iOS、iPadOS、およびmacOSサプリカントは、802.1Xネゴシエーション時にRADIUSサーバに送信するEAP Response Identityの証明書識別情報コモンネームを使用します。詳しくは、MDMペイロードを使用した証明書導入方法を参照してください。
重要: iOS 17、iPadOS 17、およびmacOS 14では、デバイスがTLS 1.3版EAP-TLS(EAP-TLS 1.3)を使った802.1Xネットワークへの接続に対応するようになりました。
共有iPadのEAP資格情報: 共有iPadはすべてのユーザに対して同じEAP資格情報を使用します。
信頼:
信頼できる証明書: 802.1X構成が含まれているものと同じプロファイルの証明書ペイロードにRADIUSサーバのリーフ証明書が提供されている場合、管理者はここでその証明書を選択できます。これによって、クライアントのサプリカントはこのリスト内のいずれかの証明書を提示するRADIUSサーバが設置された802.1Xネットワークにのみ接続するよう構成されます。この方法で構成すると、802.1X接続は暗号化されて特定の証明書に紐付けされます。
信頼できるサーバ証明書の名前: この配列を使用して、これらの名前と一致する証明書を提示しているRADIUSサーバにのみサプリカントが接続するよう構成します。このフィールドはワイルドカードに対応しています。例えば、*.betterbag.comは証明書コモンネームradius1.betterbag.comやradius2.betterbag.comにマッチします。ワイルドカードを使用すると、使用可能なRADIUSサーバまたは認証局サーバの変更が発生したときに、管理者がより柔軟に対応できます。
Mac用802.1X構成
macOSのログインウインドウでWPA/WPA2/WPA3エンタープライズ認証を使用することもでき、その場合ユーザはログインすることでネットワーク認証します。macOS設定アシスタントで、ユーザ名およびパスワード資格情報による、TTLSまたはPEAPを使用した802.1X認証もサポートされます。詳しくは、Appleのサポート記事「802.1X認証をログインウインドウモードで使ってネットワークを認証する」を参照してください。
802.1X構成の種類は以下の通りです:
ユーザモード: このモードは、最も単純に構成するモードで、ユーザがWi-Fiメニューからネットワークに参加し、認証が求められるときに使用されます。ユーザはRADIUSサーバのX.509構成を承諾して、Wi-Fi接続を信頼する必要があります。
システムモード: システムモードはコンピュータ認証に使用されます。システムモードを使用した認証は、ユーザがコンピュータにログインする前に行われます。システムモードでは、一般的に地域の認証局が発行した証明書コンピュータのX.509証明書(EAP-TLS)で認証を行うように構成します。
システム+ユーザモード: システム+ユーザ構成は、X.509証明書(EAP-TLS)でコンピュータが認証される、1人1台導入の一部あることが多いです。ユーザはコンピュータにログインしたあと、Wi-FiメニューからWi-Fiネットワークに接続して資格情報を入力できます。ユーザの資格情報はユーザ名およびパスフレーズ(EAP-PEAP、EAP-TTLS)またはユーザ証明書(EAP-TLS)などです。ユーザがネットワークに接続したあと、ユーザの資格情報はログインキーチェーンに保存され、今後ネットワークに接続するときに使用されます。
ログインウインドウモード: このモードはコンピュータがActive Directoryなどのオンプレミスのローカルディレクトリサービスにバインドされているときに使用されます。ログインウインドウモードが構成されていて、ユーザがログインウインドウにユーザ名およびパスフレーズを入力すると、802.1X認証を使用してユーザはコンピュータとネットワークに認証されます。ログインウインドウモードでは、ログインウインドウが最初に表示された場合のみ、ユーザ名とパスワードの資格情報が渡されます。MacがスリープしてWLANコントローラのアイドルセッション時間が経過すると、ログインウインドウモードでのみ構成されたMacは、再起動するかユーザがログアウトする必要があります。ユーザはその後、自分のユーザ名とパスワードを再度入力できます。
注記: システムモード、システム+ユーザモード(システムモード構成に必要です)、およびログインウインドウモードにはMDMソリューションによる構成が必要です。ネットワークペイロード設定を適切なWi-Fiネットワーク設定で構成し、システムモード用のデバイスまたはデバイスグループに対象範囲の構成を適用します。
802.1Xと共有iPad
802.1Xネットワークで共有iPadを使用することができます。詳しくは、共有iPadと802.1Xネットワークを参照してください。