Skip to main content

 

Cisco Meraki Documentation

システムマネージャー Sentry Wi-Fi を使用した EAP-TLS 無線認証の設定方法

このドキュメントは原文を 2025年07月23日付けで翻訳したものです。
最新の情報は原文をご確認ください。

システムマネージャー Sentry Wi-Fiセキュリティは、数回クリックするだけで自動的に証明書ベースのEAP-TLS構成を行い、証明機関(CA)の利用や各デバイス・ユーザーごとの追加管理が不要となります。

サードパーティ発行のSCEP CA証明書とSentry Wi-Fiを同時にサポートすることはできません。つまり、サードパーティ発行のSCEP CA証明書はSentry認証とは互換性がありません。

本記事では、SM SentryをCisco Meraki MRアクセスポイントと統合し、EAP-TLSによる無線認証を行う方法を解説します。

ユースケース

ネットワーク管理者は、一般的に企業所有デバイス、従業員所有デバイス、ゲストそれぞれに異なる設定を構成したいと考えます。各ユーザーグループごとに専用SSIDを設け、さらにオンボーディング用のSSIDも追加されることが多いです:

SSID

ユースケース

デフォルトSSIDポリシー

Corp

企業所有デバイスのみ

企業VLANへのフルアクセス

BYOD

従業員所有デバイス

企業アクセスは制限あり

一部アプリも制限可能

Guestより高い帯域幅

Guest

その他すべて

インターネットはフィルタリング

帯域制限あり

企業デバイス不可

Corp-onboarding

Corpネットワークへのオンボーディング専用

オンボーディングのみに制限

システムマネージャー Sentry WiFiセキュリティを使ったEAP-TLSの設定

以下の手順では、例としてシステムマネージャーネットワークで「Corp」タグ付きの企業所有デバイスにEAP-TLS無線アクセスを適用する方法を説明します。

  1. Dashboardでワイヤレス > 設定 > SSIDに移動し、各SSIDを有効化・命名します。
    下記の例では、SL-corp, SL-byod, SL-guestSL-corp-onboardingの4つのSSIDがあります:
    Configuration Overview page
  2. ワイヤレス > 設定 > アクセス制御に進みます:
    Access Control page
     
  3. EAP-TLSに関連付けるデバイスのタグを選択します。これにより、SL-corp SSID用に自動的にシステムマネージャープロファイルが作成され、各クライアントにダッシュボードからクライアント証明書がインストールされます(このプロファイルはシステムマネージャー > 管理 > 設定に表示されます)。無線認証設定は本記事で説明しているSSID側か、もしくはMDMのプロファイルシステムマネージャー > 管理 > 設定)のどちらか一方から行い、両方で設定しないよう注意してください。

Select SM Sentry Wi-Fi settings

  1. 変更を保存をクリックします。システムマネージャーでcorpタグが付与されているすべてのデバイスにEAP-TLSが設定されます。iPad, General settings, profile management

Sentry WiFiデバイスのオペレーティングシステム対応状況

オペレーティングシステム Sentry WiFi対応
iOS はい
macOS はい
tvOS はい
Windows 10/11

はい1

Android

はい2

Samsung Knox 3.0+

はい3
Chrome OS いいえ

1. ローカルユーザーアカウントのみ対応。1台のデバイスに複数ユーザーがいる環境では、Sentry WiFiプロファイルは1ユーザーのみ正常に機能します。Sentry WiFi SSIDに接続するには、ユーザーがログインしている必要があります。

2. Knoxモード時はデバイスにパスコードが必要です。

システムマネージャーとMeraki APを組み合わせた証明書Wi-Fi認証

このドキュメントは原文を 2025年07月23日付けで翻訳したものです。
最新の情報は原文をご確認ください。

システムマネージャーはCisco Merakiワイヤレスネットワークと連携し、iOS、Android、OS X、Windowsクライアントに対して証明書ベース(EAP-TLS)認証を簡単に導入できます。これは、WPA2を利用しつつ、外部RADIUSサーバーの追加要件を回避し、シームレスかつ安全にユーザー認証を行いたいお客様に最適です。本記事では、このソリューションの実装例について説明します。

仕組み

システムマネージャーに登録された各デバイスには一意のSCEP証明書が付与されます。下記のように設定すると、この証明書がCisco Merakiアクセスポイントによるデバイス認証に使用されます。すべての処理はバックグラウンドで自動的に行われ、手動で認証情報を入力したり証明書を配布したりする必要はありません。

 

この方法では、ユーザー名とパスワードによる同じSSIDへの認証も可能ですが、ユーザー認証情報はユーザーページで管理する必要があります。

Authenticating using the username and password

設定方法

以下の手順では、システムマネージャーとMR側の両方で証明書ベース認証を設定するプロセスを説明します:

対象デバイスへのタグ付与

この方法でモバイルデバイスから無線ネットワークへアクセスするには、手動でタグを付与します。タグについての詳細は、Using and Applying Tags in システムマネージャーの記事を参照してください。この場合、必要なタグを該当デバイスに付与してください。

 

デバイスは、接続先の無線ネットワークと同じ組織内のシステムマネージャーネットワークに登録されている必要があります。AndroidデバイスはAndroid 4.3以上を実行し、システムマネージャーアプリがインストールされている必要があります。

無線ネットワークのセットアップ

SCEP証明書によって認証される無線SSIDをセットアップします。これは新規SSIDでも既存のSSIDでも構いませんが、Association requirementsが以下のように設定されている必要があります。

 

  1. ワイヤレスネットワーク内のワイヤレス > 設定 > アクセス制御 に移動します。
  2. 目的のSSIDを選択します。
  3. セキュリティの項目で、エンタープライズ認証 -> Merakiクラウド認証を選択します。
    Selecting Meraki Cloud Authentication
     
  4. SM Sentry Wi-Fiの下で Sentry ネットワークの追加をクリックし、希望するネットワーク、範囲、タグを選択します。リストにあるタグのいずれかが付与されているデバイスが許可されます。組織内に複数のシステムマネージャーネットワークがある場合、ネットワーク名がタグの前に表示されます。
    Adding Sentry network
  5. 必要に応じて、このSSIDの追加設定を行います。
  6. 変更を保存をクリックします。

SSIDに接続する前に、タグ付与されたデバイスに自動的にプロファイルと証明書が配布されるまでしばらく時間をおいてください。デバイスはオンラインであり、システムマネージャーへのチェックインができる状態である必要があります。

デバイス上でのプロファイル確認

該当タグが付与された各デバイスには、Meraki Wifiというプロファイルが適用されます。これはシステムマネージャーのクライアント詳細ページで確認できます。

Confirming profiles on devices

また、デバイス上でも確認できます。iOSデバイスの場合、一般 > デバイス管理 > Meraki Management > 詳細で確認します。SSID(この例ではMeraki-Cert)のWIFI NETWORKSエントリ、およびDEVICE IDENTITY CERTIFICATES下に「WiFi SCEP Certificate」と表示されている項目があるはずです。

Wi-Fi networks

Device identity certificates

Androidデバイスの場合は、システムマネージャーアプリを開き、「Meraki Wifi」用のプロファイルが存在することを確認します。この機能にはシステムマネージャーアプリが必須です。

Systems Manager status

アクセスの無効化

証明書によるクライアントデバイスの無線ネットワークアクセスを無効化するには、次のいずれかを実施してください: