Microsoft Intuneで macOS デバイスの Wi-Fi 設定を追加する
特定の Wi-Fi 設定を使用してプロファイルを作成し、Intuneを使用してこのプロファイルを macOS デバイスにデプロイできます。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用してネットワークを認証し、PKCS (公開キー暗号化標準) または SCEP (簡易証明書登録プロトコル) 証明書を追加し、プロキシを構成します。
この機能は、以下に適用されます:
- macOS
これらの Wi-Fi 設定は、基本設定とエンタープライズ設定の 2 つのカテゴリに分かれています。
この記事では、構成できる設定について説明します。
開始する前に
macOS Wi-Fi デバイス構成プロファイルを作成します。
これらの設定は、すべての登録の種類で使用できます。 登録の種類の詳細については、「 macOS 登録」を参照してください。
基本プロファイル
基本プロファイルまたは個人プロファイルでは、WPA/WPA2 を使用して、デバイス上の Wi-Fi 接続をセキュリティで保護します。 通常、WPA/WPA2 はホーム ネットワークまたはパーソナル ネットワークで使用されます。 事前共有キーを追加して接続を認証することもできます。
Wi-Fi の種類: [基本] を選択 します。
SSID: この サービス セット識別子 (SSID) プロパティは、デバイスが接続するワイヤレス ネットワークの実際の名前です。 ただし、ユーザーには、接続を選択したときに構成したネットワーク名のみが表示されます。
[自動的に接続する]: [有効にする] を選択して、デバイスが範囲内にあるときにこのネットワークに自動的に接続します。 [ 無効] を選択 すると、デバイスが自動的に接続できなくなります。
[非表示ネットワーク]: [有効] を 選択して、デバイス上の使用可能なネットワークの一覧からこのネットワークを非表示にします。 SSID はブロードキャストされません。 [ 無効] を選択 すると、デバイス上の使用可能なネットワークの一覧にこのネットワークが表示されます。
セキュリティの種類: Wi-Fi ネットワークに対して認証するセキュリティ プロトコルを選択します。 次のようなオプションがあります。
- 開く (認証なし): ネットワークがセキュリティで保護されていない場合にのみ、このオプションを使用します。
- WPA/WPA2 - 個人用: 事前共有キー (PSK) にパスワードを入力します。 組織のネットワークが設定または構成されると、パスワードまたはネットワーク キーも構成されます。 PSK 値にこのパスワードまたはネットワーク キーを入力します。
- WEP
プロキシ設定: オプション:
なし: プロキシ設定は構成されていません。
手動: IP アドレスとそのポート番号としてプロキシ サーバー アドレスを入力します。
自動: ファイルを使用してプロキシ サーバーを構成します。 構成ファイルを含む プロキシ サーバー URL を 入力します。 たとえば、「
http://proxy.contoso.com
」、「10.0.0.11
」、または「http://proxy.contoso.com/proxy.pac
」と入力します。PAC ファイルの詳細については、「 プロキシ自動構成 (PAC) ファイル ( Microsoft 以外のサイトを開く)」を参照してください。
エンタープライズ プロファイル
エンタープライズ プロファイルでは、拡張認証プロトコル (EAP) を使用して Wi-Fi 接続を認証します。 EAP は、多くの場合、証明書を使用して接続の認証とセキュリティ保護を行い、より多くのセキュリティ オプションを構成できるため、企業で使用されます。
デプロイ チャネル: プロファイルをデプロイする方法を選択します。 この設定により、認証証明書が格納されるキーチェーンも決定されるため、適切なチャネルを選択することが重要です。 プロファイルをデプロイした後、デプロイ チャネルを編集することはできません。 そのためには、新しいプロファイルを作成する必要があります。
注:
リンクされた認証証明書が更新のために稼働している場合は、既存のプロファイルのデプロイ チャネル設定を再確認して、目的のチャネルが選択されていることを確認することをお勧めします。 そうでない場合は、適切なデプロイ チャネルを使用して新しいプロファイルを作成します。
次の 2 つの方法があります。
- ユーザー チャネル: ユーザー証明書を含むプロファイルで、常にユーザー展開チャネルを選択します。 このオプションは、ユーザー キーチェーンに証明書を格納します。
- デバイス チャネル: デバイス証明書を含むプロファイルで、常にデバイス展開チャネルを選択します。 このオプションは、証明書をシステム キーチェーンに格納します。
Wi-Fi の種類: [エンタープライズ] を選択 します。
SSID: サービス セット識別子の短い。 このプロパティは、デバイスが接続するワイヤレス ネットワークの実際の名前です。 ただし、ユーザーには、接続を選択したときに構成したネットワーク名のみが表示されます。
[自動的に接続する]: [有効にする] を選択して、デバイスが範囲内にあるときにこのネットワークに自動的に接続します。 [ 無効] を選択 すると、デバイスが自動的に接続できなくなります。
[非表示ネットワーク]: [有効] を 選択して、デバイス上の使用可能なネットワークの一覧からこのネットワークを非表示にします。 SSID はブロードキャストされません。 [ 無効] を選択 すると、デバイス上の使用可能なネットワークの一覧にこのネットワークが表示されます。
EAP の種類: セキュリティで保護されたワイヤレス接続の認証に使用される拡張認証プロトコル (EAP) の種類を選択します。 次のようなオプションがあります。
EAP-FAST: 保護されたアクセス資格情報 (PAC) 設定を入力します。 このオプションでは、保護されたアクセス資格情報を使用して、クライアントと認証サーバーの間に認証トンネルを作成します。 次のようなオプションがあります。
- 使用しない (PAC)
- 使用 (PAC): 既存の PAC ファイルが存在する場合は、それを使用します。
- PAC の使用とプロビジョニング: PAC ファイルを作成してデバイスに追加します。
- PAC を匿名で使用してプロビジョニングする: サーバーに認証せずに PAC ファイルを作成してデバイスに追加します。
EAP-SIM
EAP-TLS: 次の入力も行います。
証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の一般的な名前を 追加 します。 この情報を入力すると、ユーザーがこの Wi-Fi ネットワークに接続するときに、ユーザーのデバイスに表示される動的信頼ウィンドウをバイパスできます。
サーバー検証用のルート証明書: 1 つ以上の既存の信頼されたルート証明書プロファイルを選択します。 クライアントがネットワークに接続すると、これらの証明書を使用してサーバーとの信頼チェーンが確立されます。 認証サーバーでパブリック証明書を使用する場合は、ルート証明書を含める必要はありません。
証明書: デバイスにも展開されている SCEP または PKCS クライアント証明書プロファイルを選択します。 この証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。 展開チャネルの選択に合わせて証明書を選択します。 ユーザー チャネルを選択した場合、証明書オプションはユーザー証明書プロファイルに制限されます。 デバイス チャネルを選択した場合は、ユーザー証明書プロファイルとデバイス証明書プロファイルの両方から選択できます。 ただし、選択したチャネルに合わせて証明書の種類を常に選択することをお勧めします。 システムキーチェーンにユーザー証明書を格納すると、セキュリティ リスクが高まります。
ID プライバシー (外部 ID): EAP ID 要求への応答で送信されるテキストを入力します。 このテキストには、
anonymous
などの任意の値を指定できます。 認証中に、この匿名 ID は最初に送信されます。 次に、実際の識別がセキュリティで保護されたトンネルで送信されます。
EAP-TTLS: 次も入力します。
証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の一般的な名前を 追加 します。 この情報を入力すると、ユーザーがこの Wi-Fi ネットワークに接続するときに、ユーザーのデバイスに表示される動的信頼ウィンドウをバイパスできます。
サーバー検証用のルート証明書: 1 つ以上の既存の信頼されたルート証明書プロファイルを選択します。 クライアントがネットワークに接続すると、これらの証明書がサーバーに表示されます。 接続を認証します。
認証方法: デバイス クライアントで使用される認証方法を選択します。 次のようなオプションがあります。
ユーザー名とパスワード: 接続を認証するためのユーザー名とパスワードをユーザーに求めます。 また、以下の内容も入力します。
EAP 以外の方法 (内部 ID): 接続の認証方法を選択します。 Wi-Fi ネットワークで構成されているのと同じプロトコルを選択してください。
オプション: 暗号化されていないパスワード (PAP)、 チャレンジ ハンドシェイク認証プロトコル (CHAP)、 Microsoft CHAP (MS-CHAP)、または Microsoft CHAP バージョン 2 (MS-CHAP v2)
証明書: デバイスにも展開されている SCEP または PKCS クライアント証明書プロファイルを選択します。 この証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。
ID プライバシー (外部 ID): EAP ID 要求への応答で送信されるテキストを入力します。 このテキストには、
anonymous
などの任意の値を指定できます。 認証中に、この匿名 ID は最初に送信されます。 次に、実際の識別がセキュリティで保護されたトンネルで送信されます。
跳ねる
PEAP: また、次のように入力します。
証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の一般的な名前を 追加 します。 この情報を入力すると、ユーザーがこの Wi-Fi ネットワークに接続するときに、ユーザーのデバイスに表示される動的信頼ウィンドウをバイパスできます。
サーバー検証用のルート証明書: 1 つ以上の既存の信頼されたルート証明書プロファイルを選択します。 クライアントがネットワークに接続すると、これらの証明書を使用してサーバーとの信頼チェーンが確立されます。 認証サーバーでパブリック証明書を使用する場合は、ルート証明書を含める必要はありません。
認証方法: デバイス クライアントで使用される認証方法を選択します。 次のようなオプションがあります。
ユーザー名とパスワード: 接続を認証するためのユーザー名とパスワードをユーザーに求めます。
証明書: デバイスにも展開されている SCEP または PKCS クライアント証明書プロファイルを選択します。 この証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。
ID プライバシー (外部 ID): EAP ID 要求への応答で送信されるテキストを入力します。 このテキストには、
anonymous
などの任意の値を指定できます。 認証中に、この匿名 ID は最初に送信されます。 次に、実際の識別がセキュリティで保護されたトンネルで送信されます。
プロキシ設定: プロキシ構成を選択します。 次のようなオプションがあります。
なし: プロキシ設定は構成されていません。
手動: IP アドレスとそのポート番号としてプロキシ サーバー アドレスを入力します。
自動: ファイルを使用してプロキシ サーバーを構成します。 構成ファイルを含む プロキシ サーバー URL を 入力します。 たとえば、「
http://proxy.contoso.com
」、「10.0.0.11
」、または「http://proxy.contoso.com/proxy.pac
」と入力します。PAC ファイルの詳細については、「 プロキシ自動構成 (PAC) ファイル ( Microsoft 以外のサイトを開く)」を参照してください。
関連記事
- 必ずプロファイルを割り当て、その状態を監視してください。
- Android、Android Enterprise、iOS/iPadOS、および Windows デバイスで Wi-Fi 設定を構成します。