EAP - Windows 11 の変更点

  • [アーティクル]

適用の対象: Windows 11、Windows 10

Windows 11 は WPA3-Enterprise をサポートしています。これは、EAP 認証のサーバー証明書検証に関する一連の要件を定義する Wi-Fi セキュリティ標準です。 Windows 11では、既定で TLS 1.3 もサポートされています。 この記事では、これらの機能による Windows 11 における EAP 動作の変更について詳しく説明します。

Windows 11 でのサーバー証明書の検証動作を更新しました

Windows 10 を含む以前の Windows リリースでは、サーバー証明書の検証ロジックは EAP メソッドによって異なります。 Windows 11 では、すべての EAP メソッドが一貫した予測可能な方法で動作するように調整されました。これは、WPA3-Enterprise 仕様とも一致します。 この新しい動作は、Wi-Fi、イーサネット、VPN のシナリオなど、Windows に付属するファースト パーティの EAP メソッドを使用した EAP 認証に適用されます。

次のいずれかの条件が満たされた場合、Windows はサーバー証明書を信頼します。

  • サーバー証明書の拇印がプロファイルに追加されました。

    注意

    ユーザーが事前に構成されたプロファイルなしで接続している場合、またはユーザーがサーバー検証のプロンプトをプロファイルで有効にした場合、ユーザーが UI プロンプトを使用してサーバーを受け入れると、拇印がプロファイルに自動的に追加されます。

  • 次のすべての条件が満たされた場合:
    1. サーバー証明書チェーンは、コンピューターまたはユーザーによって信頼されます。
      • この信頼は、OneX authMode に応じて、マシンまたはユーザーの信頼されたルート ストアに存在するルート証明書に基づいています。
    2. 信頼されたルート証明書の拇印がプロファイルに追加されました。
    3. サーバー名の検証が有効 (推奨) の場合、名前はプロファイルで指定されているものと一致します。
      • プロファイルでのサーバー名の検証の構成の詳細については、サーバーの検証に関する記事を参照してください。

Windows 10 から Windows 11 へのアップグレードに関する潜在的な問題

Windows 10 では、特定の状況で、PEAP 認証と EAP-TLS 認証は、Windows の信頼されたルート ストアに信頼されたルート証明書が存在することのみに基づいてサーバーを正常に検証できます。 Windows 11 へのアップグレード後に EAP 認証が一貫して失敗する場合は、接続プロファイルをチェックして、上記の動作の新しい要件に準拠していることを確認します。

ほとんどの場合、ルート証明書が信頼されたルート ストアに既に存在することを前提として、プロファイルで信頼されたルート証明書の拇印を指定するだけで問題に対処できます。

もう 1 つの注意点は、Windows 11 バージョン 21H2 (ビルド番号 22000) では、サーバー名の照合で大文字と小文字が区別される点です。 サーバー名の照合は、Windows 11 バージョン 22H2 (ビルド番号 22621) で大文字と小文字を区別しないように調整されました。 サーバー名の検証を使用している場合は、プロファイルで指定された名前がサーバー名と正確に一致していることを確認するか、Windows 11 バージョン 22H2 以降にアップグレードします。

WPA3-Enterprise 信頼オーバーライド無効化 (TOD) ポリシー

WPA3-Enterprise では、デバイスがサーバー証明書を信頼する必要があります。サーバーの検証に失敗した場合、Windows は EAP 交換のフェーズ 2 に入りません。 サーバー証明書が信頼されていない場合、ユーザーはサーバー証明書を受け入れるよう求められます。 この動作は、サーバー証明書のユーザー オーバーライド (UOSC) と呼ばれます。 事前構成済みプロファイルがないマシンに対して UOSC を無効にするには、サーバー証明書で信頼オーバーライド無効化 (TOD) ポリシーを設定できます。

TOD ポリシーは、特定の OID を含めることで、サーバー証明書の証明書ポリシー拡張で示されます。 次のポリシーがサポートされています。

  • TOD-STRICT: サーバー証明書が信頼されていない場合、ユーザーはサーバー証明書を受け入れるよう求められません。 認証は失敗します。 このポリシーには OID 1.3.6.1.4.1.40808.1.3.1 があります。
  • TOD-TOFU (Trust On First Use): サーバー証明書が信頼されていない場合、ユーザーは初回接続時にのみサーバー証明書を受け入れるよう求められます。 ユーザーがサーバー証明書を受け入れると、サーバー証明書がプロファイルに追加され、認証が続行されます。 ただし、それ以降の接続では、サーバー証明書が信頼されている必要があり、再度プロンプトが表示されることはありません。 このポリシーには OID 1.3.6.1.4.1.40808.1.3.2 があります。

TLS 1.3

Windows 11 では既定でシステム全体で TLS 1.3 が有効になっていますが、EAP-TLS では TLS 1.3 が使用され、PEAP と EAP-TTLS では引き続き TLS 1.2 が使用されます。 Windows 11 バージョン 22H2 (ビルド番号 22621)では、既定で TLS 1.3 を使用するようにこれらの方法が更新されました。

TLS 1.3 と Windows 11 に関する既知の問題

  • 現時点では、NPS では TLS 1.3 はサポートされていません。
  • 一部の古いバージョンのサード パーティ製 RADIUS サーバーでは、TLS 1.3 のサポートが正しくアドバタイズされない場合があります。 Windows 11 22H2 で TLS 1.3 を使用した EAP-TLS の認証に関する問題が発生している場合は、RADIUS サーバーにパッチが適用されて最新の状態になっているか、TLS 1.3 が無効になっていることを確認してください。
  • セッションの再開は、現在サポートされていません。 Windows クライアントは常に完全認証を行います。