Windows で EAP プロファイルと設定を構成する

適用対象: Windows Server 2022、Windows 11、Windows 10

この記事では、拡張認証プロトコル (EAP) 設定を構成するために一般的に使用されるさまざまな方法について説明します。 具体的には、XML およびコマンド ライン ツールを使用した EAP プロファイルの構成について説明します。 また、Windows のさまざまな UI を使用して EAP 設定とプロファイルを構成する方法も示します。

XML プロファイル

EAP の XML プロファイルに関する記事で説明されているように、Wi-Fi、イーサネット、VPN の接続プロファイルは、その接続の構成オプションを含む XML ファイルです。 これらのプロファイルは、インポート/エクスポートおよび手動による編集が可能です。 プロファイルが UI で作成または編集されると (以降のセクションで詳しく説明します)、Windows は対応する XML 構成オプションを内部的に設定します。 その結果、UI を使用してプロファイルを作成し、それをエクスポートして、設定された XML 構成オプションを確認できます。

注意

すべての構成オプションが UI で公開されるわけではありません。 シナリオによっては、XML プロファイルを手動で編集して目的の構成オプションを設定し、更新されたプロファイルをデプロイ用にインポートすることが必要な場合があります。

たとえば、モバイル デバイス管理 (MDM) ポリシー (Wi-Fi CSP など) を使用する場合は、完全な XML プロファイルをプロビジョニングする必要があります。

Wi-Fi プロファイルの例については、このサンプルを参照してください。

コマンド ライン ツールを使用してプロファイルをインポートおよびエクスポートする

コマンド ライン ツールを使用したプロファイルのインポートとエクスポートは、多くのシナリオで役立ちます。 たとえば、MDM またはグループ ポリシーを構成できない場合は、これらのコマンドを手動で実行するかスクリプト化することが最も簡単なオプションです。 また、他の UI を使用してプロファイルを構成した後にプロファイルをエクスポートするためにも使用できます。

netsh

netsh は、さまざまなネットワーク関連の設定を表示および構成するために使用できるコマンド ライン ツールです。 詳細については、「ネットワーク シェル (netsh)」を参照してください。 netshは、cmd と powershell の両方から呼び出すことができます。 次の表に、プロファイルのインポートとエクスポートに関する一般的な netsh コマンドと例をいくつか示します。 /? は、任意 netsh コマンドと共に使用して、構文など、コマンドに関する詳細情報を取得できます。

Wi-Fi

コマンド	説明
netsh wlan show profiles	プロファイル名を含むすべての Wi-Fi プロファイルを表示します。
netsh wlan show profiles name="ProfileName"	特定の Wi-Fi プロファイルに関する詳細情報を表示します
netsh wlan export profile name="ProfileName" folder="C:\Profiles"	指定したフォルダーに Wi-Fi プロファイルをエクスポートします。 フォルダーが存在している必要があります。
netsh wlan add profile filename="C:\Profiles\ProfileName.xml"	指定したファイルから Wi-Fi プロファイルを追加します。
netsh wlan delete profile name="ProfileName"	Wi-Fi のプロファイルを削除します。

有線

コマンド	説明
netsh lan show profiles	プロファイル名やその他の詳細を含むすべての有線プロファイルを表示します。
netsh lan show profiles interface="Ethernet"	特定のインターフェイスの有線プロファイルに関する詳細情報を表示します。
netsh lan export profile interface="Ethernet" folder="C:\Profiles"	指定したフォルダーに優先プロファイルをエクスポートします。 フォルダーが存在している必要があります。 インターフェイスが指定されていない場合は、マシン プロファイルがエクスポートされます。
netsh lan add profile filename="C:\Profiles\ProfileName.xml" interface="Ethernet"	指定したファイルから指定したインターフェイスに有線プロファイルを追加します。 インターフェイスが指定されていない場合は、プロファイルがマシン プロファイルとして追加されます。
netsh lan delete profile interface="ProfileName"	有線プロファイルを削除します。 インターフェイスが指定されていない場合は、マシン プロファイルが削除されます。

PowerShell

PowerShell は、さまざまな設定を表示および構成するために使用できるコマンド ライン シェルとスクリプト言語です。 これには、接続プロファイルのインポートとエクスポートに使用できるさまざまなコマンド (コマンドレット) が含まれています。 Get-Help コマンドレットは、任意のコマンドレットと共に使用して、構文など、そのコマンドレットに関する詳細情報を取得できます。

VPN

これらのコマンドレットの詳細については、「Get-VpnConnection」、「Set-VpnConnection」、「Add-VpnConnection」を参照してください。

コマンド	説明
Get-VpnConnection	プロファイル名やその他の詳細を含むすべての VPN プロファイルを表示します。
Get-VpnConnection -Name "ProfileName"	特定の VPN プロファイルに関する概要情報を表示します。
(Get-VpnConnection -Name "ProfileName").EapConfigXmlStream.InnerXml \| Out-File -FilePath "C:\Profiles\vpn_eap.xml"	特定の VPN プロファイルの EAP 構成をファイルにエクスポートします。
Set-VpnConnection -Name "ProfileName" -EapConfigXmlStream (Get-Content -Path "C:\Profiles\vpn_eap.xml")	ファイルから EAP 構成をインポートし、それを使用して指定された VPN プロファイルを更新します。

設定アプリ (デスクトップ Windows)

Windows デスクトップ クライアントでは、設定アプリを使用して、さまざまな一般的な Wi-Fi、イーサネット、VPN 設定を構成できます。 以下のスクリーンショットは Windows 11 の設定アプリを示していますが、UI はWindows 10 でも同様です。 ただし、機能やオプションによっては、Windows 11 でしか使用できない場合があります。

Wi-Fi

Windows 10 と 11 では、設定アプリで特定の構成 (802.1X を含む) を使用して Wi-Fi プロファイルを追加できます。 この設定は、設定アプリの [ネットワークとインターネット]>[Wi-Fi]>[既知のネットワークの管理]>[ネットワークの追加] で確認できます。

このダイアログでは、Wi-Fi プロファイルの SSID、セキュリティの種類、およびその他の設定を構成できます。 EAP をサポートするセキュリティの種類 (WPA3-Enterprise AES など) を選択すると、ダイアログに EAP 設定を構成するオプションが表示されます。

ヒント

ネットワークが追加されると、設定アプリで EAP 設定を編集することはできません。 EAP 設定を編集するには、次のいずれかを実行します。

• プロファイルを削除し、正しい設定で再度追加する
• netsh に記載されている netsh コマンドを使用して、プロファイルを手動で編集する。

有線

Windows 11 では、設定アプリで有線接続の 802.1X 認証設定を変更できるようになりました。 この設定は、設定アプリの [ネットワークとインターネット]>[イーサネット]>[認証設定]>[編集]>[イーサネット認証設定] で確認できます。

[Enable IEEE 802.1X authentication] (IEEE 802.1X 認証を有効にする) の設定を [オン] に切り替えると、このプロファイルの EAP 設定を編集できます。

コンピュータでマシン プロファイルが構成されている場合、またはインターフェイスにグループ ポリシーで構成されたプロファイルがある場合、[Enable IEEE 802.1X authentication] (IEEE 802.1X 認証を有効にする) の設定は無効になり、変更できません。

VPN

Windows 10 と 11 では、設定アプリで、EAP オプションを含む VPN プロファイルの変更がサポートされています。 この設定は、設定アプリの [ネットワーク とインターネット]>[VPN] で確認できます。

[Add VPN] (VPNの追加) を選択すると、新しい VPN プロファイルを追加できます。

追加した VPN プロファイルは、そのプロファイルを展開し、[詳細オプション]>[編集] を選択して編集することができます。

グループ ポリシー エディター (デスクトップとサーバー)

グループ ポリシーは、ユーザーとコンピュータの構成を管理できるインフラストラクチャです。 グループ ポリシーを使用すると、定義したルールに基づいて Wi-Fi、イーサネット、VPN の設定を構成できます。 以下のスクリーンショットは、Windows Server 2022 グループ ポリシー管理エディターを示していますが、デスクトップ Windows のコントロール パネルとローカル グループ ポリシー エディターの UI は類似しています。 次のスクリーンショットに示すオプションの詳細については、「ネットワーク アクセスの拡張認証プロトコル (EAP)」を参照してください。

Wi-Fi

Wi-Fi のグループ ポリシー オプションは、[コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[ワイヤレス ネットワーク (IEEE 802.11) ポリシー] にあります。

[ワイヤレス ネットワーク (IEEE 802.11) ポリシー] を右クリックし、[Windows Vista 以降のリリース用の新しいワイヤレス ネットワーク ポリシーを作成する] を選択すると、[新しいワイヤレス ネットワーク ポリシーのプロパティ] ダイアログが開きます。

このダイアログでは、ポリシー名、説明、プロファイルの追加/編集/削除および XML プロファイルのインポートとエクスポートを設定できます。

[追加] をクリックして [インフラストラクチャ] を選択すると、新しいプロファイルのプロパティ ダイアログが開きます。

このダイアログでは、プロファイル名を設定し、このプロファイルを適用する SSID を追加できます。

[セキュリティ] を選択して、プロファイルの EAP 設定を構成することができます。

このダイアログでは、Wi-Fi プロファイルのセキュリティの種類、およびその他の設定を構成できます。 802.1X 認証をサポートする認証の種類 (WPA2-Enterprise など) を選択すると、802.1X セキュリティ オプションが表示されます。 各ネットワーク認証方法の詳細については、「EAP メソッド」を参照してください。

[詳細設定] ボタンを選択すると、[セキュリティの詳細設定] ダイアログが表示されます。

このダイアログでは、802.1X の詳細設定とシングル サインオンオプションを設定できます。

ヒント

グループ ポリシー エディターですべての設定を構成できるわけではありません。 ただし、これは、任意の設定で XML プロファイルをインポートすることで回避できます。 詳細については、XML プロファイルに関するページをご覧ください。

有線

有線のグループ ポリシー オプションは、[コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[有線ネットワーク (IEEE 802.3) ポリシー] にあります。

[有線ネットワーク (IEEE 802.3) ポリシー] を右クリックし、[Windows Vista 以降のリリース用の新しい有線ネットワーク ポリシーを作成する] を選択すると、[新しい有線ネットワーク ポリシーのプロパティ] ダイアログが開きます。

このダイアログでは、ポリシー名、説明、および以下のオプションを設定できます。

設定	XML 要素	説明
クライアントに対して Windows の有線自動構成サービスを使用する	enableAutoConfig	選択した場合、Windows 有線自動構成 (dot3svc) を使用して、明示的な構成なしで有線ネットワークに接続できます。 選択されていない場合、このポリシーで指定されたネットワークが、接続に使用できる唯一のネットワークです。
ネットワーク認証に対して共有ユーザー資格情報を許可しない	enableExplicitCreds	選択した場合、共有ユーザーの資格情報はネットワーク認証に使用できません。 資格情報は明示的である必要があります。
[ブロック期間 (分) を有効にする]	blockPeriod	既定値は 20 分で、認証の試行が失敗した後で自動認証が試行されないようにする期間を指定します。

[セキュリティ] を選択して、プロファイルの EAP 設定を構成することができます。

このダイアログでは、有線ネットワークのセキュリティの種類、およびその他の設定を構成できます。 詳細については、802.1X セキュリティ オプションに関するページを参照してください。 各ネットワーク認証方法の詳細については、「EAP メソッド」を参照してください。

[詳細設定] ボタンを選択すると、[セキュリティの詳細設定] ダイアログが表示されます。

このダイアログでは、802.1X の詳細設定とシングル サインオンオプションを設定できます。

ヒント

グループ ポリシー エディターですべての設定を構成できるわけではありません。 ただし、グループ ポリシー オブジェクトをバックアップし、任意の設定で Backup.xml ファイルを編集して再インポートすることで、この問題を回避できます。 詳細については、XML プロファイルに関するページをご覧ください。

EAP メソッド

さまざまな EAP メソッドの概要については、「認証方法」を参照してください。

Microsoft: スマート カードまたはその他の証明書

このダイアログの詳細については、「EAP-TLS」を参照してください。

[詳細設定] オプションを選択すると、[証明書の選択を構成] ダイアログが開きます。

Microsoft:保護された EAP (PEAP)

このダイアログの詳細については、「PEAP」を参照してください。

[セキュリティで保護されたパスワード (EAP-MSCHAP v2)] が選択されている場合に [構成] を選択すると、[EAP MSCHAPv2] ダイアログが開きます。

Microsoft: EAP-SIM

このダイアログの詳細については、「EAP-SIM」を参照してください。

Microsoft:EAP-TTLS

このダイアログの詳細については、「EAP-TTLS」を参照してください。

Microsoft: EAP-AKA

このダイアログの詳細については、「EAP-AKA」を参照してください。

Microsoft: EAP-AKA'

このダイアログの詳細については、「EAP-AKA'」を参照してください。

Microsoft: EAP-TEAP

このダイアログの詳細については、「TEAP」を参照してください。

その他のリソース

• 新しいワイヤレス ネットワーク (IEEE 802.11) ポリシーの設定の管理
• Managing the New Wired Network (IEEE 802.3) Policies Settings
• ワイヤード (有線) およびワイヤレス ネットワーク ポリシーのセキュリティの詳細設定