Intune で Windows 10/11 デバイスの Wi-Fi 設定を追加する

注:

Intune では、この記事に記載されている設定よりも多くの設定がサポートされている場合があります。 すべての設定が文書化されているわけではなく、今後も文書化されない可能性があります。 構成できる設定を確認するには、デバイス構成ポリシーを作成し、[設定カタログ] を選択します。 詳細については、「設定カタログ」を参照してください。

特定の WiFi 設定を使用してプロファイルを作成できます。 次に、このプロファイルを Windows クライアント デバイスに展開します。 Microsoft Intune には、ネットワークへの認証、事前共有キーの使用など、多くの機能が用意されています。

この記事では、これらの設定の一部について説明します。

開始する前に

基本プロファイル

基本プロファイルまたは個人プロファイルでは、WPA/WPA2 を使用して、デバイス上の Wi-Fi 接続をセキュリティで保護します。 通常、WPA/WPA2 はホーム ネットワークまたはパーソナル ネットワークで使用されます。 事前共有キーを追加して接続を認証することもできます。

  • Wi-Fi の種類: [基本] を選択 します

  • Wi-Fi 名 (SSID): サービス セット識別子の短い。 この値は、デバイスが接続するワイヤレス ネットワークの実際の名前です。 ただし、ユーザーには、接続を選択したときに構成した 接続名 のみが表示されます。

  • [接続名]: この Wi-Fi 接続のわかりやすい名前を入力します。 入力するテキストは、ユーザーがデバイスで使用可能な接続を参照するときに表示される名前です。 たとえば、「ContosoWiFi」と入力します。

  • 範囲内の場合に自動的に接続する: [はい] の場合、デバイスはこのネットワークの範囲内にあるときに自動的に接続します。 [いいえ] の場合、デバイスは自動的に接続されません。

    • より優先されるネットワークに接続する (使用可能な場合): デバイスがより優先されるネットワークの範囲にある場合は、[ はい ] を選択して優先ネットワークを使用します。 [ いいえ] を選択して、この構成プロファイルで Wi-Fi ネットワークを使用します。

      たとえば、 ContosoCorp Wi-Fi ネットワークを作成し、この構成プロファイル内で ContosoCorp を 使用します。 また、 ContosoGuest Wi-Fi ネットワークも範囲内にあります。 会社のデバイスが範囲内にある場合は、 ContosoCorp に自動的に接続する必要があります。 このシナリオでは、[接続] を [ 使用可能な場合は、より優先されるネットワーク ] プロパティに [いいえ] に設定します。

    • SSID をブロードキャストしていない場合でも、このネットワークに接続する: ネットワークが非表示の場合でも、ネットワークに自動的に接続するには、[ はい ] を選択します。 つまり、そのサービス セット識別子 (SSID) はパブリックにブロードキャストされません。 この構成プロファイルを非表示ネットワークに接続しない場合は、[ いいえ ] を選択します。

  • 従量制課金接続制限: 管理者は、ネットワークのトラフィックの測定方法を選択できます。 その後、アプリケーションは、この設定に基づいてネットワーク トラフィックの動作を調整できます。 次のようなオプションがあります。

    • 無制限: 既定値。 接続は従量制課金されておらず、トラフィックに制限はありません。
    • 修正済み: ネットワークがネットワーク トラフィックの固定制限で構成されている場合は、このオプションを使用します。 この制限に達すると、ネットワーク アクセスは禁止されます。
    • 変数: ネットワーク トラフィックがバイトあたり (バイトあたりのコスト) に課金される場合に、このオプションを使用します。
  • ワイヤレス セキュリティの種類: ネットワーク上のデバイスの認証に使用するセキュリティ プロトコルを入力します。 選択肢は以下のとおりです。

    • 開く (認証なし): ネットワークがセキュリティで保護されていない場合にのみ、このオプションを使用します。

    • WPA/WPA2-Personal: より安全なオプションであり、一般的に Wi-Fi 接続に使用されます。 セキュリティを強化するために、事前共有キーのパスワードまたはネットワーク キーを入力することもできます。

      • 事前共有キー (PSK): 省略可能。 セキュリティの種類として [WPA/WPA2-Personal ] を選択すると表示されます。 組織のネットワークが設定または構成されると、パスワードまたはネットワーク キーも構成されます。 PSK 値にこのパスワードまたはネットワーク キーを入力します。 長さが 8 から 63 文字の ASCII 文字列を入力するか、64 文字の 16 進文字を使用します。

        重要

        PSK は、プロファイルの対象となるすべてのデバイスで同じです。 キーが侵害された場合は、任意のデバイスが Wi-Fi ネットワークに接続するために使用できます。 承認されていないアクセスを回避するために、PSK をセキュリティで保護します。

  • 会社のプロキシ設定: 組織内のプロキシ設定を使用する場合に選択します。 次のようなオプションがあります。

    • なし: プロキシ設定は構成されていません。

    • 手動で構成する: プロキシ サーバーの IP アドレス とその ポート番号を入力します。

    • 自動構成: プロキシ自動構成 (PAC) スクリプトを指す URL を入力します。 たとえば、「http://proxy.contoso.com/proxy.pac」と入力します。

      PAC ファイルの詳細については、「 プロキシ自動構成 (PAC) ファイル ( Microsoft 以外のサイトを開く)」を参照してください。

エンタープライズ プロファイル

エンタープライズ プロファイルでは、拡張認証プロトコル (EAP) を使用して Wi-Fi 接続を認証します。 EAP は、多くの場合、証明書を使用して接続を認証およびセキュリティで保護できるため、企業で使用されます。 さらに、セキュリティ オプションを構成します。

  • Wi-Fi の種類: [エンタープライズ] を選択 します

  • Wi-Fi 名 (SSID): サービス セット識別子の短い。 この値は、デバイスが接続するワイヤレス ネットワークの実際の名前です。 ただし、ユーザーには、接続を選択したときに構成した 接続名 のみが表示されます。

  • [接続名]: この Wi-Fi 接続のわかりやすい名前を入力します。 入力するテキストは、ユーザーがデバイスで使用可能な接続を参照するときに表示される名前です。 たとえば、「ContosoWiFi」と入力します。

  • 範囲内の場合に自動的に接続する: [はい] の場合、デバイスはこのネットワークの範囲内にあるときに自動的に接続します。 [いいえ] の場合、デバイスは自動的に接続されません。

    • より優先されるネットワークに接続する (使用可能な場合): デバイスがより優先されるネットワークの範囲にある場合は、[ はい ] を選択して優先ネットワークを使用します。 [ いいえ] を選択して、この構成プロファイルで Wi-Fi ネットワークを使用します。

      たとえば、 ContosoCorp Wi-Fi ネットワークを作成し、この構成プロファイル内で ContosoCorp を 使用します。 また、 ContosoGuest Wi-Fi ネットワークも範囲内にあります。 会社のデバイスが範囲内にある場合は、 ContosoCorp に自動的に接続する必要があります。 このシナリオでは、[接続] を [ 使用可能な場合は、より優先されるネットワーク ] プロパティに [いいえ] に設定します。

  • SSID をブロードキャストしていない場合でも、このネットワークに接続する: ネットワークが非表示の場合でも、構成プロファイルがネットワークに自動的に接続するには 、[ はい ] を選択します (つまり、SSID はパブリックにブロードキャストされません)。 この構成プロファイルを非表示ネットワークに接続しない場合は、[ いいえ ] を選択します。

  • 従量制課金接続制限: 管理者は、ネットワークのトラフィックの測定方法を選択できます。 その後、アプリケーションは、この設定に基づいてネットワーク トラフィックの動作を調整できます。 次のようなオプションがあります。

    • 無制限: 既定値。 接続は従量制課金されておらず、トラフィックに制限はありません。
    • 修正済み: ネットワークがネットワーク トラフィックの固定制限で構成されている場合は、このオプションを使用します。 この制限に達すると、ネットワーク アクセスは禁止されます。
    • 変数: ネットワーク トラフィックがバイトあたりにコストがかかる場合は、このオプションを使用します。
  • 認証モード: Wi-Fi サーバーで Wi-Fi プロファイルを認証する方法を選択します。 次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、 ユーザー認証またはマシン 認証が使用されます。
    • ユーザー: デバイスにサインインしているユーザー アカウントは、Wi-Fi ネットワークに対して認証されます。
    • マシン: デバイス資格情報は、Wi-Fi ネットワークに対して認証されます。
    • ユーザーまたはコンピューター: ユーザーがデバイスにサインインすると、ユーザー資格情報は Wi-Fi ネットワークに対して認証されます。 ユーザーがサインインしていない場合は、デバイス資格情報が認証されます。
    • ゲスト: Wi-Fi ネットワークに資格情報は関連付けされません。 認証は開いているか、Web ページを介して外部で処理されます。
  • ログオンごとに資格情報を記憶する: ユーザー資格情報をキャッシュするか、Wi-Fi に接続するときにユーザーが毎回入力する必要がある場合に選択します。 次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS でこの機能が有効になり、資格情報がキャッシュされる場合があります。
    • 有効: ユーザーが初めて Wi-Fi ネットワークに接続したときに入力されたときに、ユーザーの資格情報をキャッシュします。 キャッシュされた資格情報は将来の接続に使用され、ユーザーは再入力する必要はありません。
    • 無効: ユーザー資格情報は記憶またはキャッシュされません。 デバイスが Wi-Fi に接続する場合、ユーザーは毎回資格情報を入力する必要があります。
  • 認証期間: 1 から 3600 までの認証を試行した後にデバイスが待機する必要がある秒数を入力します。 入力した時刻にデバイスが接続しない場合、認証は失敗します。 この値を空または空白のままにすると、 18 秒が使用されます。

  • 認証再試行の遅延期間: 失敗した認証試行から次の認証試行までの秒数 (1 から 3600) を入力します。 この値を空または空白のままにした場合は、2 番目 1 使用されます。

  • 開始期間: 1 から 3600 までの EAPOL-Start メッセージを送信するまでに待機する秒数を入力します。 この値を空または空白のままにすると、 5 秒が使用されます。

  • 最大 EAPOL-start: EAPOL-Start メッセージの数を 1 から 100 まで入力します。 この値を空または空白のままにすると、最大 3 メッセージが送信されます。

  • [最大認証エラー数]: 認証する資格情報のこのセットの認証エラーの最大数を 1 から 100 まで入力します。 この値を空または空白のままにした場合は、 1 試行が使用されます。

  • シングル サインオン (SSO): シングル サインオン (SSO) を構成できます。ここで、資格情報はコンピューター用に共有され、ネットワーク サインイン Wi-Fi されます。 次のようなオプションがあります。

    • 無効: SSO 動作を無効にします。 ユーザーは、ネットワークに対して個別に認証する必要があります。
    • ユーザーがデバイスにサインインする前に有効にする: SSO を使用して、ユーザー サインイン プロセスの直前にネットワークに対する認証を行います。
    • ユーザーがデバイスにサインインした後に有効にする: SSO を使用して、ユーザーのサインイン プロセスが完了した直後にネットワークに対する認証を行います。
    • [タイムアウト前の認証の最大時間]: ネットワークへの認証を待機する最大秒数を 1 ~ 120 秒で入力します。
    • Windows で追加の認証資格情報の入力を求めるメッセージを Windows に許可する: [はい ] を選択すると、認証方法で必要な場合に、Windows システムはユーザーに追加の資格情報の入力を求められます。 [ いいえ] を選択して、これらのプロンプトを非表示にします。
  • ペアワイズ マスター キー (PMK) キャッシュを有効にする: 認証で使用される PMK をキャッシュするには、[ はい ] を選択します。 通常、このキャッシュを使用すると、ネットワークへの認証をより高速に完了できます。 [ いいえ] を選択すると、毎回 Wi-Fi ネットワークに接続するときに認証ハンドシェイクが強制されます。

    • PMK がキャッシュに格納される最大時間: ペアワイズ マスター キー (PMK) がキャッシュに格納される時間 (5 分から 1440 分) を入力します。
    • キャッシュに格納される PMK の最大数: キャッシュに格納されているキーの数を 1 から 255 まで入力します。
    • 事前認証を有効にする: 事前認証を使用すると、プロファイルを接続する前に、プロファイル内のネットワークのすべてのアクセス ポイントに対して認証できます。 デバイスがアクセス ポイント間を移動すると、事前認証によってユーザーまたはデバイスがより迅速に再接続されます。 プロファイルの [ はい ] を選択して、このネットワークの範囲内にあるすべてのアクセス ポイントに対して認証を行います。 [ いいえ] を選択すると、ユーザーまたはデバイスが各アクセス ポイントに対して個別に認証を要求します。
    • 事前認証試行の最大数: 1 から 16 までの事前認証試行の数を入力します。
  • EAP の種類: セキュリティで保護されたワイヤレス接続を認証するには、拡張認証プロトコル (EAP) の種類を選択します。 次のようなオプションがあります。

    • EAP-SIM

    • EAP-TLS: 次の入力も行います。

      • 証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の一般的な名前を入力します。 この情報を入力すると、ユーザーデバイスがこの Wi-Fi ネットワークに接続するときに表示される動的信頼ダイアログをバイパスできます。

      • サーバー検証用のルート証明書: 1 つ以上の既存の信頼されたルート証明書プロファイルを選択します。 クライアントがネットワークに接続すると、これらの証明書を使用してサーバーとの信頼チェーンが確立されます。 認証サーバーでパブリック証明書を使用する場合は、ルート証明書を含める必要はありません。

      • 認証方法: デバイス クライアントで使用される認証方法を選択します。 次のようなオプションがあります。

        • SCEP 証明書: デバイスにも展開されている SCEP クライアント証明書プロファイルを選択します。 この証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。
        • PKCS 証明書: デバイスにも展開されている PKCS クライアント証明書 プロファイルと信頼された ルート証明書 を選択します。 クライアント証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。
        • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 詳細については、「 Microsoft Intune で派生資格情報を使用する」を参照してください。
    • EAP-TTLS: 次も入力します。

      • 証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の一般的な名前を入力します。 この情報を入力すると、ユーザーデバイスがこの Wi-Fi ネットワークに接続するときに表示される動的信頼ダイアログをバイパスできます。

      • サーバー検証用のルート証明書: 1 つ以上の既存の信頼されたルート証明書プロファイルを選択します。 クライアントがネットワークに接続すると、これらの証明書を使用してサーバーとの信頼チェーンが確立されます。 認証サーバーでパブリック証明書を使用する場合は、ルート証明書を含める必要はありません。

      • 認証方法: デバイス クライアントで使用される認証方法を選択します。 次のようなオプションがあります。

        • ユーザー名とパスワード: 接続を認証するためのユーザー名とパスワードをユーザーに求めます。 また、以下の内容も入力します。

          • EAP 以外の方法 (内部 ID): 接続の認証方法を選択します。 Wi-Fi ネットワークで使用するプロトコルと同じプロトコルを選択してください。

            オプション: 暗号化されていないパスワード (PAP)チャレンジ ハンドシェイク (CHAP)Microsoft CHAP (MS-CHAP)Microsoft CHAP バージョン 2 (MS-CHAP v2)

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには任意の値を指定できます。 認証中に、この匿名 ID は最初に送信されます。 次に、実際の識別がセキュリティで保護されたトンネルで送信されます。

        • SCEP 証明書: デバイスにも展開されている SCEP クライアント証明書プロファイルを選択します。 この証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには任意の値を指定できます。 認証中に、この匿名 ID は最初に送信されます。 次に、実際の識別がセキュリティで保護されたトンネルで送信されます。
        • PKCS 証明書: デバイスにも展開されている PKCS クライアント証明書 プロファイルと信頼された ルート証明書 を選択します。 クライアント証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには任意の値を指定できます。 認証中に、この匿名 ID は最初に送信されます。 次に、実際の識別がセキュリティで保護されたトンネルで送信されます。
        • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 詳細については、「 Microsoft Intune で派生資格情報を使用する」を参照してください。

    • 保護された EAP (PEAP): 次の入力も行います。

      • 証明書サーバー名: 信頼された証明機関 (CA) によって発行された証明書で使用される 1 つ以上の一般的な名前を入力します。 この情報を入力すると、ユーザーデバイスがこの Wi-Fi ネットワークに接続するときに表示される動的信頼ダイアログをバイパスできます。

      • サーバー検証用のルート証明書: 1 つ以上の既存の信頼されたルート証明書プロファイルを選択します。 クライアントがネットワークに接続すると、これらの証明書を使用してサーバーとの信頼チェーンが確立されます。 認証サーバーでパブリック証明書を使用する場合は、ルート証明書を含める必要はありません。

      • サーバー検証を実行する: [はい] に設定すると、PEAP ネゴシエーション フェーズ 1 では、デバイスによって証明書が検証され、サーバーが検証されます。 [ いいえ] を選択して、この検証をブロックまたは禁止します。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。

        [はい] を選択した場合は、次の構成も行います。

        • サーバー検証のユーザー プロンプトを無効にする: [はい] に設定すると、PEAP ネゴシエーション フェーズ 1 では、信頼された証明機関に対して新しい PEAP サーバーを承認するように求めるユーザー プロンプトは表示されません。 プロンプトを表示するには 、[いいえ ] を選択します。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。
      • 暗号化バインドが必要: [はい] にすると 、PEAP ネゴシエーション中に暗号化バインドを使用しない PEAP サーバーへの接続が禁止されます。 いいえ では暗号化バインドは必要ありません。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。

      • 認証方法: デバイス クライアントで使用される認証方法を選択します。 次のようなオプションがあります。

        • ユーザー名とパスワード: 接続を認証するためのユーザー名とパスワードをユーザーに求めます。 また、以下の内容も入力します。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには任意の値を指定できます。 認証中に、この匿名 ID は最初に送信されます。 次に、実際の識別がセキュリティで保護されたトンネルで送信されます。
        • SCEP 証明書: デバイスにも展開されている SCEP クライアント証明書 プロファイルを選択します。 この証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには任意の値を指定できます。 認証中に、この匿名 ID は最初に送信されます。 次に、実際の識別がセキュリティで保護されたトンネルで送信されます。
        • PKCS 証明書: デバイスにも展開されている PKCS クライアント証明書 プロファイルと信頼された ルート証明書 を選択します。 クライアント証明書は、接続を認証するためにデバイスからサーバーに提示される ID です。

          • ID プライバシー (外部 ID): EAP ID 要求に応答して送信されるテキストを入力します。 このテキストには任意の値を指定できます。 認証中に、この匿名 ID は最初に送信されます。 次に、実際の識別がセキュリティで保護されたトンネルで送信されます。
        • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 詳細については、「 Microsoft Intune で派生資格情報を使用する」を参照してください。

  • 会社のプロキシ設定: 組織内のプロキシ設定を使用する場合に選択します。 次のようなオプションがあります。

    • なし: プロキシ設定は構成されていません。

    • 手動で構成する: プロキシ サーバーの IP アドレス とその ポート番号を入力します。

    • 自動構成: プロキシ自動構成 (PAC) スクリプトを指す URL を入力します。 たとえば、「http://proxy.contoso.com/proxy.pac」と入力します。

      PAC ファイルの詳細については、「 プロキシ自動構成 (PAC) ファイル ( Microsoft 以外のサイトを開く)」を参照してください。

  • Wi-Fi プロファイルが連邦情報処理標準 (FIPS) に準拠するように強制する: FIPS 140-2 標準に対して検証する場合は、[ はい] を 選択します。 この標準は、暗号化ベースのセキュリティ システムを使用して、デジタルに保存されている機密で分類されていない情報を保護するすべての米国連邦政府機関に必要です。 [ いいえ] を選択すると、FIPS に準拠しません。

インポートされた設定ファイルを使用する

Intune で使用できない設定については、別の Windows デバイスから Wi-Fi 設定をエクスポートできます。 このエクスポートでは、すべての設定を含む XML ファイルが作成されます。 次に、このファイルを Intune にインポートし、Wi-Fi プロファイルとして使用します。 XML ファイルのインポートについては、「 Windows デバイスの設定 Wi-Fi エクスポートおよびインポートする」を参照してください。