IntuneでWindows 10/11 デバイスのWi-Fi設定を追加する

  • [アーティクル]

注意

Intuneは、この記事に記載されている設定よりも多くの設定をサポートしている場合があります。 すべての設定が文書化されているわけではありません。また、文書化されません。 構成できる設定を表示するには、デバイス構成プロファイルを作成し、[ 設定カタログ] を選択します。 詳細については、「設定カタログ」を参照してください。

特定の WiFi 設定を使用してプロファイルを作成できます。 次に、このプロファイルを Windows クライアント デバイスに展開します。 Microsoft Intuneには、ネットワークへの認証、事前共有キーの使用など、多くの機能が用意されています。

この記事では、これらの設定の一部について説明します。

はじめに

Windows 10/11 Wi-Fiデバイス構成プロファイルを作成します。

これらの設定では 、Wi-Fi CSP が使用されます。

基本プロファイル

基本プロファイルまたは個人用プロファイルでは、WPA/WPA2 を使用して、デバイス上のWi-Fi接続をセキュリティで保護します。 通常、WPA/WPA2 はホーム ネットワークまたは個人用ネットワークで使用されます。 事前共有キーを追加して接続を認証することもできます。

  • Wi-Fi の種類: [基本] を選択します。

  • Wi-Fi 名 (SSID): サービス セット識別子の略。 この値は、デバイスが接続するワイヤレス ネットワークの実名です。 ただし、ユーザーには、接続を選択したときに構成した 接続名 のみが表示されます。

  • 接続名: このWi-Fi接続のわかりやすい名前を入力します。 入力するテキストは、ユーザーがデバイスで使用可能な接続を参照するときに表示される名前です。 たとえば、「ContosoWiFi」と入力します。

  • 範囲内の場合に自動的に接続 する: [はい] の場合、デバイスはこのネットワークの範囲内にあるときに自動的に接続します。 いいえの 場合、デバイスは自動的に接続されません。

    • より優先されるネットワークに接続する (使用可能な場合): デバイスがより優先されるネットワークの範囲内にある場合は、[ はい ] を選択して優先ネットワークを使用します。 この構成プロファイルでWi-Fi ネットワークを使用するには、[ いいえ ] を選択します。

      たとえば、 ContosoCorp Wi-Fi ネットワークを作成し、この構成プロファイル内で ContosoCorp を使用します。 また、 ContosoGuest Wi-Fi ネットワークが範囲内にあります。 会社のデバイスが範囲内にある場合は、 ContosoCorp に自動的に接続します。 このシナリオでは、[接続] プロパティ を [使用可能な場合は、より優先されるネットワークに接続する] プロパティを [いいえ] に設定します。

    • SSID をブロードキャストしていない場合でも、このネットワークに接続 します:ネットワークが非表示になっている場合でも、ネットワークに自動的に接続するには、[ はい ] を選択します。 つまり、サービス セット識別子 (SSID) はパブリックにブロードキャストされません。 この構成プロファイルを非表示のネットワークに接続しない場合は、[ いいえ] を選択します。

  • 従量制課金接続制限: 管理者は、ネットワークのトラフィックを測定する方法を選択できます。 その後、アプリケーションは、この設定に基づいてネットワーク トラフィックの動作を調整できます。 次のようなオプションがあります。

    • 制限なし: 既定値。 接続は従量制ではなく、トラフィックに制限はありません。
    • 修正済み: ネットワーク トラフィックの固定制限を使用してネットワークが構成されている場合は、このオプションを使用します。 この制限に達すると、ネットワーク アクセスは禁止されます。
    • 変数: ネットワーク トラフィックがバイト単位で課金される場合にこのオプションを使用します (バイトあたりのコスト)。

  • ワイヤレス セキュリティの種類: ネットワーク上のデバイスの認証に使用するセキュリティ プロトコルを入力します。 選択肢は以下のとおりです。

    • 開く (認証なし): ネットワークがセキュリティで保護されていない場合にのみ、このオプションを使用します。

    • WPA/WPA2-Personal: より安全なオプションであり、Wi-Fi接続に一般的に使用されます。 セキュリティを強化するために、事前共有キーのパスワードまたはネットワーク キーを入力することもできます。

      • 事前共有キー (PSK): 省略可能です。 セキュリティの種類として WPA/WPA2-Personal を選択したときに表示されます。 組織のネットワークが設定または構成されると、パスワードまたはネットワーク キーも構成されます。 PSK 値のパスワードまたはネットワーク キーを入力します。 長さが 8 ~ 63 文字の ASCII 文字列を入力するか、64 桁の 16 進数文字を使用します。

        重要

        PSK は、プロファイルを対象とするすべてのデバイスで同じです。 キーが侵害された場合は、任意のデバイスでWi-Fi ネットワークに接続するために使用できます。 承認されていないアクセスを回避するために、PSK をセキュリティで保護します。

  • 会社のプロキシ設定: 組織内のプロキシ設定を使用する場合に選択します。 次のようなオプションがあります。

    • なし: プロキシ設定は構成されていません。

    • 手動で構成 する: プロキシ サーバーの IP アドレス とその ポート番号 を入力します。

    • 自動構成: プロキシ自動構成 (PAC) スクリプトを指す URL を入力します。 たとえば、「http://proxy.contoso.com/proxy.pac」と入力します。

      PAC ファイルの詳細については、「 プロキシ自動構成 (PAC) ファイル ( Microsoft 以外のサイトを開く)」を参照してください。

エンタープライズ プロファイル

エンタープライズ プロファイルでは、拡張可能認証プロトコル (EAP) を使用して、Wi-Fi接続を認証します。 EAP は、多くの場合、証明書を使用して接続を認証し、セキュリティで保護できるため、企業で使用されます。 さらに、より多くのセキュリティ オプションを構成します。

  • Wi-Fi の種類: [ エンタープライズ] を選択します。

  • Wi-Fi 名 (SSID): サービス セット識別子の略。 この値は、デバイスが接続するワイヤレス ネットワークの実名です。 ただし、ユーザーには、接続を選択したときに構成した 接続名 のみが表示されます。

  • 接続名: このWi-Fi接続のわかりやすい名前を入力します。 入力するテキストは、ユーザーがデバイスで使用可能な接続を参照するときに表示される名前です。 たとえば、「ContosoWiFi」と入力します。

  • 範囲内の場合に自動的に接続 する: [はい] の場合、デバイスはこのネットワークの範囲内にあるときに自動的に接続します。 いいえの 場合、デバイスは自動的に接続されません。

    • より優先されるネットワークに接続する (使用可能な場合): デバイスがより優先されるネットワークの範囲内にある場合は、[ はい ] を選択して優先ネットワークを使用します。 この構成プロファイルでWi-Fi ネットワークを使用するには、[ いいえ ] を選択します。

      たとえば、 ContosoCorp Wi-Fi ネットワークを作成し、この構成プロファイル内で ContosoCorp を使用します。 また、 ContosoGuest Wi-Fi ネットワークが範囲内にあります。 会社のデバイスが範囲内にある場合は、 ContosoCorp に自動的に接続します。 このシナリオでは、[接続] プロパティ を [使用可能な場合は、より優先されるネットワークに接続する] プロパティを [いいえ] に設定します。

  • SSID をブロードキャストしていない場合でも、このネットワークに接続 する:ネットワークが非表示になっている場合でも、構成プロファイルで [ はい ] を選択してネットワークに自動的に接続します (つまり、SSID はパブリックにブロードキャストされません)。 この構成プロファイルを非表示のネットワークに接続しない場合は、[ いいえ] を選択します。

  • 従量制課金接続制限: 管理者は、ネットワークのトラフィックを測定する方法を選択できます。 その後、アプリケーションは、この設定に基づいてネットワーク トラフィックの動作を調整できます。 次のようなオプションがあります。

    • 制限なし: 既定値。 接続は従量制ではなく、トラフィックに制限はありません。
    • 修正済み: ネットワーク トラフィックの固定制限を使用してネットワークが構成されている場合は、このオプションを使用します。 この制限に達すると、ネットワーク アクセスは禁止されます。
    • 変数: ネットワーク トラフィックがバイトごとにコストがかかる場合は、このオプションを使用します。

  • 認証モード: Wi-Fi プロファイルがWi-Fi サーバーで認証する方法を選択します。 次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、 ユーザー認証またはマシン 認証が使用されます。
    • ユーザー: デバイスにサインインしているユーザー アカウントは、Wi-Fi ネットワークに対して認証を行います。
    • マシン: デバイス資格情報は、Wi-Fi ネットワークに対して認証されます。
    • ユーザーまたはマシン: ユーザーがデバイスにサインインすると、ユーザー資格情報がWi-Fi ネットワークに対して認証されます。 ユーザーがサインインしていない場合は、デバイス資格情報が認証されます。
    • ゲスト: Wi-Fi ネットワークに資格情報が関連付けられていない。 認証は、Web ページを介して開くか、外部で処理されます。

  • ログオン時に資格情報を記憶 する:ユーザー資格情報をキャッシュするか、Wi-Fi に接続するときに毎回入力する必要がある場合に選択します。 次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によってこの機能が有効になり、資格情報がキャッシュされる場合があります。
    • 有効: ユーザーがWi-Fi ネットワークに初めて接続するときに、ユーザー資格情報をキャッシュします。 キャッシュされた資格情報は将来の接続に使用され、ユーザーは再入力する必要はありません。
    • 無効: ユーザー資格情報は記憶またはキャッシュされません。 Wi-Fi に接続する場合、ユーザーは毎回資格情報を入力する必要があります。

  • 認証期間: デバイスが認証を試行した後に待機する必要がある秒数を 1 から 3600 まで入力します。 入力した時点でデバイスが接続されない場合、認証は失敗します。 この値を空白または空白のままにすると、 18 秒が使用されます。

  • 認証再試行の遅延期間: 失敗した認証試行から次の認証試行までの秒数を 1 から 3600 まで入力します。 この値を空のままにするか空白のままにすると 1 、2 番目の値が使用されます。

  • 開始期間: EAPOL-Start メッセージを送信するまでに待機する秒数を 1 から 3600 まで入力します。 この値を空白または空白のままにすると、 5 秒が使用されます。

  • EAPOL-start の最大数: EAPOL-Start メッセージの数 (1 ~ 100) を入力します。 この値を空のままにするか空白のままにすると、最大メッセージ 3 が送信されます。

  • 認証エラーの最大数: 認証する資格情報のセットに対する認証エラーの最大数を 1 ~ 100 個入力します。 この値を空のままにするか空白のままにすると 1 、試行が使用されます。

  • シングル サインオン (SSO): シングル サインオン (SSO) を構成できます。ここで、コンピューターとWi-Fiネットワーク サインインの資格情報が共有されます。 次のようなオプションがあります。

    • 無効: SSO 動作を無効にします。 ユーザーは、ネットワークに対して個別に認証する必要があります。
    • ユーザーがデバイスにサインインする前に有効にする: SSO を使用して、ユーザー サインイン プロセスの直前にネットワークに対して認証します。
    • ユーザーがデバイスにサインインした後に有効にする: SSO を使用して、ユーザー サインイン プロセスが完了した直後にネットワークに対して認証します。
    • タイムアウト前に認証する最大時間: ネットワークに対して認証するまでに待機する最大秒数 (1 ~ 120 秒) を入力します。
    • Windows に追加の認証資格情報の入力を求めることを許可 する: 認証 方法で必要な場合は、Windows システムがユーザーに資格情報の入力を求めることを許可します。 これらのプロンプトを非表示にするには、[ いいえ] を 選択します。

  • ペアワイズ マスター キー (PMK) キャッシュを有効にする: [ はい ] を選択して、認証で使用される PMK をキャッシュします。 通常、このキャッシュを使用すると、ネットワークに対する認証をより迅速に完了できます。 [ いいえ ] を選択すると、毎回Wi-Fi ネットワークに接続するときに認証ハンドシェイクが強制されます。

    • PMK をキャッシュに格納する最大時間: ペアワイズ マスター キー (PMK) がキャッシュに格納される時間 (5 分から 1440 分) を入力します。
    • キャッシュに格納される PMK の最大数: キャッシュ に格納されているキーの数を 1 から 255 まで入力します。
    • 事前認証を有効にする: 事前認証を使用すると、接続する前にプロファイル内のネットワークのすべてのアクセス ポイントに対してプロファイルを認証できます。 アクセス ポイント間を移動すると、事前認証によってユーザーまたはデバイスがより迅速に再接続されます。 このネットワークの範囲内にあるすべてのアクセス ポイントに対して認証するには、プロファイルで [はい ] を選択します。 ユーザーまたはデバイスが各アクセス ポイントに対して個別に認証する必要がある場合は 、[いいえ ] を選択します。
    • 認証前の最大試行 回数: 事前認証を行う試行の回数を 1 から 16 まで入力します。

  • EAP の種類: セキュリティで保護されたワイヤレス接続を認証するには、拡張認証プロトコル (EAP) の種類を選択します。 次のようなオプションがあります。

    • EAP-SIM

    • EAP-TLS: 次のように入力します。

      • 証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の共通名を入力します。 この情報を入力すると、ユーザー デバイスがこのWi-Fi ネットワークに接続するときに表示される動的信頼ダイアログをバイパスできます。

      • サーバー検証のルート証明書: 接続の認証に使用する信頼されたルート証明書プロファイルを選択します。

      • 認証方法: デバイス クライアントで使用される認証方法を選択します。 次のようなオプションがあります。

        • SCEP 証明書: デバイスにも展開される SCEP クライアント証明書プロファイルを選択します。 この証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。
        • PKCS 証明書: デバイスにも展開される PKCS クライアント証明書 プロファイルと信頼された ルート証明書 を選択します。 クライアント証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。
        • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 詳細については、「Microsoft Intuneで派生資格情報を使用する」を参照してください。

    • EAP-TTLS: 次のように入力します。

      • 証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の共通名を入力します。 この情報を入力すると、ユーザー デバイスがこのWi-Fi ネットワークに接続するときに表示される動的信頼ダイアログをバイパスできます。

      • サーバー検証のルート証明書: 接続の認証に使用する信頼されたルート証明書プロファイルを選択します。

      • 認証方法: デバイス クライアントで使用される認証方法を選択します。 次のようなオプションがあります。

        • ユーザー名とパスワード: 接続を認証するユーザー名とパスワードをユーザーに求めます。 また、次のように入力します。

          • EAP 以外の方法 (内部 ID): 接続を認証する方法を選択します。 Wi-Fi ネットワークで構成されているのと同じプロトコルを選択してください。

            オプション: 暗号化されていないパスワード (PAP)チャレンジ ハンドシェイク (CHAP)Microsoft CHAP (MS-CHAP)Microsoft CHAP バージョン 2 (MS-CHAP v2)

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されたテキストを入力します。 このテキストには任意の値を指定できます。 認証中、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • SCEP 証明書: デバイスにも展開される SCEP クライアント証明書プロファイルを選択します。 この証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されたテキストを入力します。 このテキストには任意の値を指定できます。 認証中、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • PKCS 証明書: デバイスにも展開される PKCS クライアント証明書 プロファイルと信頼された ルート証明書 を選択します。 クライアント証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されたテキストを入力します。 このテキストには任意の値を指定できます。 認証中、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 詳細については、「Microsoft Intuneで派生資格情報を使用する」を参照してください。

    • 保護された EAP (PEAP): 次のように入力します。

      • 証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の共通名を入力します。 この情報を入力すると、ユーザー デバイスがこのWi-Fi ネットワークに接続するときに表示される動的信頼ダイアログをバイパスできます。

      • サーバー検証のルート証明書: 接続の認証に使用する信頼されたルート証明書プロファイルを選択します。

      • サーバー検証を実行する: [はい] に設定すると、PEAP ネゴシエーション フェーズ 1 では、デバイスによって証明書が検証され、サーバーが検証されます。 [ いいえ] を選択して、この検証をブロックまたは禁止します。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。

        [はい] を選択した場合は、次の構成も行います。

        • サーバー検証のユーザー プロンプトを無効にする: [はい] に設定すると、PEAP ネゴシエーション フェーズ 1 では、信頼された証明機関の新しい PEAP サーバーの承認を求めるユーザー プロンプトは表示されません。 [いいえ] を選択してプロンプトを表示します。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。

      • 暗号化バインディングを必要とする: はいはい 、PEAP ネゴシエーション中に暗号化バインドを使用しない PEAP サーバーへの接続を防止します。 暗号化 バインドは必要ありません。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。

      • 認証方法: デバイス クライアントで使用される認証方法を選択します。 次のようなオプションがあります。

        • ユーザー名とパスワード: 接続を認証するユーザー名とパスワードをユーザーに求めます。 また、次のように入力します。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されたテキストを入力します。 このテキストには任意の値を指定できます。 認証中、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • SCEP 証明書: デバイスにも展開される SCEP クライアント証明書 プロファイルを選択します。 この証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されたテキストを入力します。 このテキストには任意の値を指定できます。 認証中、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • PKCS 証明書: デバイスにも展開される PKCS クライアント証明書 プロファイルと信頼された ルート証明書 を選択します。 クライアント証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されたテキストを入力します。 このテキストには任意の値を指定できます。 認証中、この匿名 ID は最初に送信され、その後にセキュリティで保護されたトンネルで送信された実際の ID が送信されます。

        • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 詳細については、「Microsoft Intuneで派生資格情報を使用する」を参照してください。

  • 会社のプロキシ設定: 組織内のプロキシ設定を使用する場合に選択します。 次のようなオプションがあります。

    • なし: プロキシ設定は構成されていません。

    • 手動で構成 する: プロキシ サーバーの IP アドレス とその ポート番号 を入力します。

    • 自動構成: プロキシ自動構成 (PAC) スクリプトを指す URL を入力します。 たとえば、「http://proxy.contoso.com/proxy.pac」と入力します。

      PAC ファイルの詳細については、「 プロキシ自動構成 (PAC) ファイル ( Microsoft 以外のサイトを開く)」を参照してください。

  • Wi-Fi プロファイルを連邦情報処理標準 (FIPS) に準拠させる: FIPS 140-2 標準に対して検証する場合 は、[はい ] を選択します。 この標準は、暗号化ベースのセキュリティ システムを使用して、デジタルに格納されている機密の未分類の情報を保護するすべての米国連邦政府機関に必要です。 FIPS 準拠でない場合は 、[いいえ] を 選択します。

インポートされた設定ファイルを使用する

Intuneで使用できない設定については、別の Windows デバイスからWi-Fi設定をエクスポートできます。 このエクスポートでは、すべての設定を含む XML ファイルが作成されます。 次に、このファイルをIntuneにインポートし、Wi-Fi プロファイルとして使用します。 Windows デバイスのWi-Fi設定のエクスポートとインポートに関するWi-Fiを参照してください

次の手順

プロファイルは作成されましたが、何も実行できない可能性があります。 必ずプロファイルを割り当てその状態を監視してください。

その他のリソース