PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する

  • [アーティクル]

第 6 章: ワイヤレス LAN クライアントを構成する

公開日: 20004/9/7

トピック

概要 章の前提条件 実装の準備をする ユーザーおよびコンピュータに WLAN へのアクセスを許可する Windows XP の WLAN クライアントを構成する Pocket PC 2003 クライアントを構成する 要約 参照情報

概要

この章では、ワイヤレス ローカル エリア ネットワーク (WLAN) クライアントのネットワーク設定の構成と展開、および WLAN へのクライアントからの接続に関するガイダンスを提供します。Microsoft® Windows® XP (Professional および Tablet Edition) と Pocket PC 2003 クライアントを WLAN に接続する手順を示します。

また、WLAN ユーザーおよびコンピュータのセキュリティ グループ メンバシップの確認、グループ ポリシーを使用した Windows XP クライアント用 WLAN 設定の構成、および Pocket PC クライアントの構成手順についても詳しく説明します。

ページのトップへ

章の前提条件

「第 3 章: 環境を準備する」で説明されている前提条件以外に、次の知識も必要です。

  • Windows XP の構成およびドライバのインストール方法

  • Pocket PC 2003 の構成および使用方法

「第 3 章: 環境を準備する」、「第 4 章: ネットワーク証明機関を構築する」、および「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」で提供されるガイダンスを参照し、実行しておく必要があります。さらに、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」に記載されている設計と計画の情報を参照して、このソリューションのアーキテクチャと設計について理解しておく必要もあります。

ページのトップへ

実装の準備をする

この章で示すグループ ポリシーの構成手順を実行するには、WLAN 設定のインストール先ドメインの Domain Admins グループ アカウントでログオンする必要があります。既定では、ドメインのビルトイン Administrator アカウントは、このグループのメンバですが、同じグループに所属する他のアカウントを使用することもできます。

Windows XP クライアント コンピュータの確認手順を実行するには、そのコンピュータのローカルの Administrators グループのメンバでログオンする必要があります。

必要なツール

次の表は、この章で示す手順の実行に必要なツールの一覧です。

表 6.1: 必要なツール

ツール 説明 ソース
グループ ポリシー管理コンソール (GPMC) グループ ポリシー オブジェクト (GPO) をインポートおよびエクスポートするための高度な管理ツール 「第 3 章: 環境を準備する」に記載されているインストール手順
Active Directory ユーザーとコンピュータ Microsoft Active Directory® ディレクトリ サービス ユーザー、グループ、およびコンピュータとその他の Active Directory オブジェクトを管理するための Microsoft 管理コンソール (MMC) Windows Server 2003 の一部としてインストールされます。
#### WLAN クライアントのパラメータ 次の表は、この章で使用する主なパラメータの一覧です。 **表 6.2: WLAN クライアントの設定**

構成項目 設定
WLAN アクセスを許可するグループ Wireless LAN Access
ユーザーの WLAN アクセスを許可するグループ Wireless LAN Users
コンピュータの WLAN アクセスを許可するグループ Wireless LAN Computers
WLAN GPO 名 WLAN Client Settings
GPO フィルタリング セキュリティ グループ Wireless LAN Computer Settings
ワイヤレス ネットワーク ポリシー名 Windows XP WLAN Client Settings (Protected Extensible Authentication Protocol (PEAP)-Wired Equivalent Privacy (WEP))
WLAN ネットワーク名 (SSID) LucerneWLAN (使用する WLAN のサービス セット識別子 (SSID) に置き換えてください。)
拡張認証プロトコル (EAP) の種類 PEAP
PEAP 認証方法 セキュリティで保護されたパスワード (EAP-MSCHAP v2)
PEAP 高速再接続 有効
斜体フォントで記載されている値は、ユーザー環境に適した設定値に置き換える必要があります。 [](#mainsection)[ページのトップへ](#mainsection) ### ユーザーおよびコンピュータに WLAN へのアクセスを許可する ユーザーおよびコンピュータによるネットワーク アクセス サーバー (ワイヤレス アクセス ポイント (AP) など) へのアクセスを制御するには、ユーザーまたはコンピュータのドメイン アカウントに対してダイヤルインの許可を設定します。これは、Windows NT 4.0 がリモート アクセス サービス (RAS) へのユーザー アクセスを制御するために使用した方法です。しかし、この方法で多数のユーザーのネットワーク アクセスを制御するのは、きわめて困難です。そのうえ、これは "融通のきかない" 設定です。つまり、ある特定のユーザーに対して、WLAN アクセスをブロックしながら、仮想プライベート ネットワーク (VPN) アクセスを許可することはできません。 Windows 2000 および Windows Server 2003 でインターネット認証サービス (IAS) を使用すると、Active Directory セキュリティ グループにリモート アクセス ポリシーを関連付けることによって、ネットワーク サービスへのアクセスを制御できます。この方法のほうが、柔軟で管理が容易です。それは、グループ メンバシップを使用してネットワーク サービスへのアクセスを管理できるからです。 #### セキュリティ グループを使用して WLAN アクセスを制御する WLAN へのアクセスは、IAS リモート アクセス ポリシー (RAP) によって制御されます。このソリューションの RAP は、「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」で構成しました。このポリシーには、Wireless LAN Access セキュリティ グループのメンバだけに WLAN へのアクセスを許可するフィルタが含まれています。 Wireless LAN Access には、ユーザーおよびコンピュータ アカウントは直接含まれていません。このグループのメンバとして、2 つのセキュリティ グループがあります。それは、Wireless LAN Users と Wireless LAN Computers です。このソリューションでは、これらのグループのメンバとして、それぞれ Domain Users および Domain Computers を作成し、すべてのユーザーとコンピュータが既定で WLAN にアクセスできるようにしています。このトピックの背景については、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」の「WLAN ユーザーとコンピュータの管理モデル」で説明されています。 ##### セキュリティ グループを使用してより詳細に制御する すべてのユーザーおよびコンピュータに WLAN へのアクセスを許可するのは、非常に簡単な管理モデルです。しかし、ユーザーおよびコンピュータによる WLAN へのアクセスをより詳細に制御することが必要な場合もあります。そのためには、Wireless LAN Users および Wireless LAN Computers から Domain Users および Domain Computers をそれぞれ削除する必要があります。それから、これらのグループのメンバとして、アクセスを許可する特定のユーザーとコンピュータを追加することが可能です。 ユーザーとコンピュータを Wireless LAN Access に直接追加しないでください。それは、Wireless LAN Access がユニバーサル グループであり、そのメンバシップはフォレスト全体のグローバル カタログに公開されるからです。メンバシップがグローバル カタログに公開されると、そのメンバシップに対するすべての変更が、組織内のすべてのドメイン コントローラに複製されます。ドメイン固有のグループ (Wireless LAN Users および Wireless LAN Computers) にユーザーとコンピュータを追加すれば、変更の複製は、1 つのドメイン内のドメイン コントローラに制限されます。 **注:** Pocket PC には Active Directory のコンピュータ アカウントがないので、Pocket PC を Wireless LAN Computers に追加する必要はありません。Pocket PC は、ユーザー アカウントだけを使用して WLAN に対する認証を受けます。したがって、重要なのは、Pocket PC ユーザーのアカウントだけです。 ユーザーは、ログオンするときだけ、変更されたグループ メンバシップ情報を受信します。したがって、WLAN アクセス グループを作成したりメンバを追加した場合は、一度ログオフして再度ログオンする必要があります。同様に、グループ メンバシップを変更した場合は、クライアント コンピュータを再起動する必要があります。 [](#mainsection)[ページのトップへ](#mainsection) ### Windows XP の WLAN クライアントを構成する ここでは、Windows XP の WLAN クライアントの設定を構成する方法を説明します。ここで示す手順を実行すれば、動的な Wired Equivalent Privacy (WEP) キーを使用した PEAP パスワード認証を構成して、データを保護できます。その設定は、Windows XP Professional Edition および Windows XP Tablet Edition の両方に適用することが可能です。 Wi-Fi Protected Access (WPA) のデータ保護とキー管理を構成する手順については、「付録 B: ソリューションで WPA を使用する」を参照してください。 #### 必要な修正プログラムと更新プログラムをインストールする すべての関連する修正プログラムと更新 (次の一覧を参照) がクライアント コンピュータに適用されていることを確認する必要があります。 - 重要なセキュリティ修正プログラム - Windows XP のサービス パック (Service Pack 1 以降) - Windows XP WPA クライアント (必要な場合) - WLAN 関連の Windows 修正プログラム (Windows XP 用のワイヤレス更新のロールアップ パッケージなど。詳細は、サポート技術情報 826942 を参照してください。Windows XP SP2 がインストールされていない場合は、このパッケージをインストールすることを強くお勧めします。) - ネットワーク アダプタまたはコンピュータのベンダが提供する、WLAN ドライバの更新 #### WLAN 設定 GPO を作成する WLAN クライアントの設定を自動的に配信するには、Active Directory グループ ポリシーを使用します。Windows Server 2003 のグループ ポリシー エディタには、ワイヤレス ネットワーク ポリシーと呼ばれる一連の設定が含まれています。これを使用して、各 WLAN 固有のクライアント設定が行えます。 **重要:** クライアント コンピュータがドメインに含まれ、ワイヤード (有線) LAN に接続して WLAN クライアントの設定を受信できることを前提とします。 GPMC または Active Directory ユーザーとコンピュータを使用して、GPO を作成できます。 **重要:** Windows 2000 または Windows XP システムで GPO を編集する場合、ワイヤレス ネットワーク ポリシーの GPO 設定は、GPO エディタに表示されません。これらの設定は、Windows Server 2003 システムまたは Windows Server 2003 管理ツールがインストールされているシステムから編集する必要があります。ただし、設定は、Windows 2000 および Windows Server 2003 の両方のドメイン コントローラで機能します。これらの設定は、どの Windows バージョンのローカル ポリシー オブジェクトにも存在しません。 **GPMC を使用して WLAN クライアント GPO を作成するには** 1. GPMC を開き、構成するドメインのドメイン オブジェクトを選択します。 2. ドメインを右クリックし、\[GPO の作成およびリンク\] をクリックします。 **注:** GPO は、ドメイン レベルでリンクされます。したがって、ドメイン内のすべてのコンピュータがその設定を利用できます。GPO を下位レベルの組織単位 (OU) にリンクすることによって、GPO のスコープを制限することもできます。 3. 名前の入力を求められたら、「WLAN Client Settings」と入力します。 4. 右側のペインで、新しく作成した "WLAN Client Settings" GPO をダブルクリックします。右側のペインに、その GPO のプロパティが表示されます。 5. \[スコープ\] タブをクリックします。\[セキュリティ フィルタ処理\] ボックスの一覧の \[Authenticated Users\] をクリックし、\[削除\] をクリックしてそれを削除します。 6. \[Add\] をクリックし、別のグループを追加します。 7. 「Wireless LAN Computer Settings」と入力するか、またはこれを探します。 **注:** Wireless LAN Computer Settings グループの有効なメンバは、Domain Computers グループです。Domain Computers は Wireless LAN Computers のメンバであり、さらに、Wireless LAN Computers は Wireless LAN Computer Settings グループのメンバです。ドメイン レベルの GPO (ステップ 1 を参照) を使用すると、ドメイン内のすべてのコンピュータは WLAN クライアントの設定を受信できます。設定をさらに小さなサブセットに制限する必要がある場合は、Wireless LAN Computers グループから Domain Computers を削除します。 8. \[詳細\] タブをクリックし、\[GPO の状態\] ボックスの一覧の \[ユーザーの構成の設定が無効\] をクリックします。\[OK\] をクリックします。 9. 左側のペインで GPO を右クリックし、\[編集\] をクリックして GPO 設定を編集します。 10. GPO エディタが起動されたら、"\\コンピュータの構成\\Windows の設定\\セキュリティの設定\\ワイヤレス ネットワーク (IEEE 802.11) ポリシー" に移動します。 11. ナビゲーション ウィンドウで \[ワイヤレス ネットワーク (IEEE 802.11) ポリシー\] オブジェクトを右クリックし、\[ワイヤレス ネットワーク ポリシーの作成\] をクリックします。 12. ウィザードを使用して、ポリシーに "Windows XP WLAN Client Settings (PEAP-WEP)" という名前を付けます。\[プロパティを編集する\] チェック ボックスをオンにしたまま \[完了\] をクリックして、ウィザードを閉じます。 13. \[優先するネットワーク\] タブをクリックし、\[追加\] をクリックして新しい優先するネットワークを追加します。 14. \[ネットワーク名 (SSID)\] フィールドに、ワイヤレス ネットワークの名前を入力します。 15. \[説明\] フィールドに、ネットワークの説明を入力します。 **注:** 既存の WLAN があり、それをこのソリューションの 802.1X ベースの WLAN と並行して運用する場合は、新しい WLAN に異なる SSID を使用する必要があります。 16. \[IEEE 802.1x\] タブをクリックし、\[EAP の種類\] ボックスの一覧の \[保護された EAP (PEAP)\] をクリックします。 17. \[設定\] をクリックして、PEAP 設定を変更します。\[信頼されたルート証明機関\] ボックスの一覧で、「第 4 章: ネットワーク証明機関を構築する」でインストールした CA のルート CA 証明書をクリックします。 **重要:** CA をバックアップから復元せずに最初からインストールし直す必要がある場合は、GPO を編集して、新しい CA のルート CA 証明書を選択します。 18. \[認証方法を選択する\] の \[セキュリティで保護されたパスワード (EAP-MSCHAP v2)\] をクリックし、\[すばやい再接続を有効にする\] をクリックします。 19. \[OK\] をクリックして、各プロパティ ウィンドウを閉じます。 20. GPO エディタと GPMC を閉じます。 GPMC がインストールされていない場合に Active Directory ユーザーとコンピュータを使用して GPO を作成するには、前の手順のステップ 1 ~ 10 の代わりに次のステップを実行してください。 **Active Directory ユーザーとコンピュータを使用して GPO を作成するには** 1. \[Active Directory ユーザーとコンピュータ\] を開き、ドメイン オブジェクトを選択します。 2. 選択したドメイン オブジェクトを右クリックし、\[プロパティ\] をクリックします。 3. \[グループ ポリシー\] タブをクリックして、\[新規\] をクリックします。 4. GPO 名として、「WLAN Client Settings」と入力します。 5. \[プロパティ\] をクリックして、\[セキュリティ\] タブをクリックします。 6. \[グループ名またはユーザー名\] ボックスの一覧の \[Authenticated Users\] をクリックし、\[削除\] をクリックします。 7. \[追加\] をクリックし、「Wireless LAN Computer Settings」と入力するか、またはこれを探します。\[OK\] をクリックします。 8. \[グループ名またはユーザー名\] ボックスの一覧の \[Wireless LAN Computer Settings\] をクリックし、\[アクセス許可\] ボックスの一覧の \[許可\] 列で、\[読み取り\] と \[グループ ポリシーの適用\] をクリックします。 9. \[全般\] タブをクリックし、\[ユーザーの構成の設定を無効にする\] をクリックします。表示される警告メッセージに対して \[はい\] をクリックします。 10. \[OK\] をクリックし、変更を適用して GPO のプロパティ ウィンドウを閉じます。 11. ポリシーを編集するために \[編集\] をクリックし、"\\コンピュータの構成\\Windows の設定\\セキュリティの設定\\ワイヤレス ネットワーク (IEEE 802.11) ポリシー" に移動します。 12. 前述の手順のステップ 11 ~ 20 を繰り返します。 #### WLAN 設定を展開する 既存の WLAN (セキュリティで保護されていない静的な WEP またはその他のタイプ) から移行する場合は、ワイヤレス アクセス ポイントの 802.1X 設定を構成して新しい WLAN を有効にする数日前、または数週間前に、新しい 802.1X ベースのネットワークに対して WLAN グループ ポリシー設定を展開する必要があります。これにより、クライアント コンピュータがワイヤード (有線) LAN に接続する機会が少ない場合でも、クライアント コンピュータは、WLAN Client Settings グループ ポリシーをダウンロードして適用する多くの機会を得ることができます。 また、WLAN ネットワーク アダプタをインストールして Windows で構成する前に、グループ ポリシー設定をクライアント コンピュータに適用することもできます。WLAN 設定は、有効な WLAN ネットワーク アダプタがインストールされるまで無視されます。ネットワーク アダプタがインストールされると、WLAN グループ ポリシー設定によって自動的に構成されます。 #### WLAN グループ ポリシーの適用を確認する WLAN の GPO 設定が正しく適用されているかどうかを確認するには、クライアント コンピュータにログオンする必要があります。Domain Computers グループは、Wireless LAN Computer Settings セキュリティ グループのメンバです。このセキュリティ グループは、WLAN Client Settings GPO 内の WLAN 設定を受信するコンピュータをフィルタリングするために使用されます。したがって、すべてのドメイン コンピュータは、これらの GPO 設定を受信しているはずです。Wireless LAN Computer Settings グループの作成以降、コンピュータを再起動していない場合は、コンピュータの再起動が必要になることがあります。 **注:** ワイヤレス ネットワークの設定を表示するには、コンピュータに WLAN ネットワーク アダプタがインストールされている必要があります。 **WLAN 設定が正常に展開されているかどうかを確認するには** 1. ローカルの Administrators グループのメンバとして、クライアント コンピュータにログオンします。 2. \[コントロール パネル\] で、\[ネットワーク接続\] をダブルクリックします。 3. ワイヤレス カードに対応する \[ワイヤレス ネットワーク接続\] アイコンのプロパティを表示します。\[ワイヤレス ネットワーク\] タブで、\[優先するネットワーク\] の下の新しいワイヤレス ネットワーク SSID (名) を確認します。 4. 新しいワイヤレス SSID をクリックし、\[プロパティ\] をクリックして設定を表示します。それらの設定が WLAN グループ ポリシーで選択した設定と一致しているか確認します。 5. SSID が \[優先するネットワーク\] の下に表示されないか、またはこの SSID 用のネットワーク設定が WLAN グループ ポリシーで構成した設定と一致しない場合は、ワイヤレス ネットワークのすべてのダイアログ ボックスを閉じて、コマンド プロンプトから次のコマンドを実行します。 **Gpupdate /force** 1 ~ 2 分後に、設定を再度確認します。それでも設定が表示されない場合は、「第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する」の「トラブルシューティング」を参照してください。 #### クライアント上のルート CA 証明書を確認する PEAP を使用して IAS サーバーに対する認証を受けるには、クライアントの信頼されたルート CA ストアに、ネットワーク CA の証明書 (「第 4 章: ネットワーク証明機関を構築する」のガイダンスに従ってインストール済み) が必要です。この証明書は、CA インストールの一環として、Active Directory に公開されました。Active Directory フォレストのすべてのメンバは、自動的にこの証明書をダウンロードして、それぞれの信頼されたルート CA ストアにインストールします。 **ルート CA 証明書がインストールされていることを確認するには** 1. クライアント コンピュータに Administrator としてログオンします。 2. MMC.exe を実行します。\[スタート\] メニューの \[ファイル名を指定して実行\] またはコマンド シェルから実行します。 3. MMC の \[ファイル\] メニューの \[スナップインの追加と削除\] をクリックします。 4. \[スナップインの追加と削除\] ウィンドウで、\[追加\] をクリックします。利用可能なスナップインの一覧で、\[証明書\] をクリックします。 5. \[コンピュータ アカウント\] をクリックし、\[次へ\] をクリックします。 6. \[完了\] をクリックします。 7. \[スタンドアロン スナップインの追加\] および \[スナップインの追加と削除\] ウィンドウを閉じます。 8. 左側のペインで、\[証明書 (ローカル コンピュータ)\]、\[信頼されたルート証明機関\]、\[証明書\] の順にクリックします。 9. CA の証明書を探します。証明書は、CA のインストール中に付けた名前で一覧表示されます。 10. 一覧に証明書が表示されない場合は、コマンド シェルを開いて次のコマンドを入力します。 **Gpupdate /force** 11. 証明書管理コンソールに戻ります。\[証明書 (ローカル コンピュータ)\] ノードを右クリックし、\[最新の情報に更新\] をクリックして CA 証明書を再確認します。 それでも証明書が表示されない場合は、「第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する」の「トラブルシューティング」を参照してください。 #### WLAN への接続を確認する WLAN の GPO 設定とルート CA 証明書を確認したら、クライアント コンピュータを使用して WLAN への接続をテストできます。 **WLAN への接続をテストするには** 1. WLAN カードがインストールされ、ワイヤード (有線) ネットワークに接続していないクライアント コンピュータに、WLAN へのアクセスを許可されたメイン ユーザーとしてログオンします。既定では、すべてのドメイン ユーザーは WLAN へアクセスすることができます。 **注:** この時点で WLAN が動作しておらず、かつユーザーが証明書をコンピュータ上のキャッシュに格納していない場合、ログオンは失敗します。 2. コマンド プロンプトで ping コマンドを実行して、ネットワーク上の他のコンピュータへのネットワーク接続を確認します。 ping コマンド (またはログオン) が失敗する場合は、「第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する」の「トラブルシューティング」で WLAN へのクライアント接続を監視する方法についての説明を参照してください。 WLAN クライアントのテスト手順の詳細については、「第 7 章: セキュリティ保護されたワイヤレス LAN ソリューションをテストする」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### Pocket PC 2003 クライアントを構成する Pocket PC 2003 は、パスワードによる PEAP または証明書による Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) を使用した 802.1X WLAN ネットワークを完全にサポートしています。ただし、Pocket PC 2003 はモジュール式のオペレーティング システムなので、ハンドヘルド デバイスのベンダがこの機能を搭載するかどうかを選択できます。したがって、すべての Pocket PC 2003 デバイスが WLAN に対応していると想定しないでください。これらのデバイスの業界をリードするベンダは、ビルトイン WLAN ハードウェアまたはアドオン WLAN ネットワーク アダプタを搭載した 802.1X WLAN 対応のシステムを提供しています。ここでは、汎用の Pocket PC WLAN インターフェイスの構成について、HP IPAQ 5550 Pocket PC をベースに説明します。ただし、一部のベンダは、独自の WLAN ドライバやインターフェイスを実装しています。次の手順は、後者のデバイスには当てはまらない場合があります。その場合は、デバイス ベンダが提供する手順書に従ってください。 また、Pocket PC 2002 上の 802.1X WLAN サポートを提供する Pocket PC デバイス ベンダもあります。Pocket PC 2002 は、このソリューションではテストしていません。Pocket PC 2002 の WLAN サポートの詳細については、ベンダの Web サイトを参照してください。 #### Pocket PC デバイスを準備する デバイスを構成する前に、そのベンダから入手可能な Pocket PC 用の適切な更新プログラム (次の一覧を参照) を入手してインストールする必要があります。 - Read-Only Memory (ROM) の更新プログラム (ドライバなどのさまざまな更新が含まれる場合があります。) - ネットワーク ドライバの更新プログラム - 802.1X ネットワークに関連するその他の WLAN またはネットワークの更新プログラム **重要:** 更新プログラムをインストールする前に、付属のドキュメントをよく読んでください。他の更新プログラムまたは実行しようとしているものと互換性のない更新プログラムもあります。たとえば、HP は、Cisco LEAP をサポートするために IPAQ 555x シリーズの更新プログラムを公開しました。しかし、この更新プログラムは、802.1X WLAN ドライバの更新プログラムと互換性がないので、PEAP が機能しなくなります。 #### CA 証明書を利用可能にする WLAN に接続する必要があるすべての Pocket PC の信頼されたルート CA ストアに、ネットワーク CA の CA 証明書をインストールする必要があります。そのためには、CA からの証明書をエクスポートして、それを Pocket PC ユーザーまたは情報技術 (IT) スタッフが利用できるようにする必要があります。 **CA 証明書をエクスポートするには** 1. CA サーバーにログオンして、コマンド シェルを開きます。 2. 次のコマンドを実行して、CA 証明書をファイルにエクスポートします。 **certutil -ca.cert rootca.cer** Rootca.cer ファイルを別のフォルダに保存する場合は、そのパスを指定します (スペースを含むパスとファイル名は、引用符で囲む必要があります)。 3. 証明書ファイルをファイル共有または Web サーバー ディレクトリにコピーします。これにより、そのファイルが Pocket PC のインストールで必要になったときに、容易にダウンロードできるようになります。 #### Pocket PC を構成する Pocket PC を WLAN に接続するには、各 Pocket PC に CA 証明書および WLAN 設定を構成する必要があります。Pocket PC に証明書ファイルをコピーする方法がいくつか必要になります。この手順では、ドッキング クレイドル、赤外線、または Bluetooth 接続によって確立された ActiveSync® 接続を使用することを前提としています。リムーバル メディア (Compact Flash、Secure Digital、Multimedia カードなど) を使用して証明書ファイルを転送したり、認証されていない WLAN 接続を使用して Pocket PC による Web サイトからの証明書のダウンロードを可能にしたりすることもできます。また、証明書を電子メールでユーザーに送信し、証明書の同期を可能にして (電子メールを Pocket Outlook® に転送する)、添付された証明書ファイルをユーザーに実行させることもできます。 **CA 証明書を Pocket PC にインポートするには** 1. ActiveSync (ActiveSync のパートナーシップの設定が必要になる場合があります) と好みの接続方法を使用して、Pocket PC をホスト コンピュータに接続します。 2. ホスト コンピュータから、ActiveSync の \[エクスプローラ\] をクリックして、デバイス上にフォルダ ウィンドウを開きます。これにより、\[マイ ドキュメント\] フォルダが開くはずです。 3. CA 証明書ファイルを発行された場所から取得して、\[マイ ドキュメント\] フォルダにコピーします。ファイル変換に関する警告は無視してください。これで、デバイスを ActiveSync 接続から切断できます。 4. Pocket PC 上で、\[ファイル エクスプローラ\] を使用して CA 証明書ファイルを探し、そのファイルをダブルタップします。 5. 証明書をインストールするかどうかを確認するメッセージが表示されます。CA 名がネットワーク CA の名前と一致していることを確認し、\[はい\] をタップしてその CA をインストールします。 証明書が正常にインストールされているかどうかを確認するには、\[設定\] をタップして \[システム\] をタップします。次に、\[証明書\] をタップして \[ルート\] タブをタップします。 **Pocket PC 上で 802.1X WLAN 設定を構成するには** 1. WLAN アダプタがデバイス上でまだ有効になっていない場合は、ハードウェア スイッチまたはソフトウェア ツールを使用して有効にします。 2. 新しいネットワークが検出されたことを示すポップアップ メッセージが表示されたら、WLAN の接続先として \[勤務先\] をタップします。次に、\[設定\] をタップします。 ポップアップ メッセージが表示されない (WLAN が検出済みであるため) 場合は、次のステップを実行してください。 - Pocket PC のタイトル バー上にある \[接続\] アイコン (2 つの矢印が反対方向を指しているアイコン) をタップし、\[設定\] をタップします。 - \[詳細設定\] タブをタップし、\[ネットワーク カード\] をタップします。 \[ワイヤレス\] タブで、利用可能なワイヤレス ネットワークの一覧に、使用する WLAN の SSID があることを確認します。範囲内に他の WLAN が存在する場合は、その名前がこの一覧に表示されることがあります。 - 一覧の WLAN 名をタップします。 3. \[全般\] タブで、\[接続先\] ボックスの一覧の \[勤務先\] をタップします。 4. \[認証\] タブで、次のオプションを選択します。 - **データの暗号化 (WEP 有効)** - **自動的に提供されるキーを使用する** - **IEEE 802.1X でネットワークにアクセスさせる** \[ネットワーク認証 (共有モード)\] チェック ボックスをオフにします。 5. \[EAP の種類\] ボックスの一覧で \[PEAP\] を選択します。 6. \[OK\] をタップして WLAN の設定画面を閉じます。 7. WLAN に接続するときにドメインの資格情報の入力を求められたら、WLAN に接続する権限のあるユーザーの名前、パスワード、およびドメインを入力します。 **警告:** \[パスワードの保存\] オプションは、デバイスの不正使用を防止するための指紋読み取りや強力なパスワード アクセスなど、強力なセキュリティ メカニズムが実装されている場合のみ選択してください。ユーザーの資格情報は、WLAN だけでなく、ドメイン リソースに対する認証を受けるためにも使用されます。資格情報が漏洩すると、侵入者は、検知されることなく WLAN 経由ですべての内部ネットワーク リソースにアクセスできてしまいます。 8. ステップ 2 で \[新しいネットワーク\] ポップアップから WLAN の設定画面に移動した場合は、Pocket PC のタイトル バー上にある \[接続\] アイコンをタップし、\[設定\] をタップして \[接続\] 画面を開きます。 9. \[詳細設定\] タブをタップし、\[ネットワーク カード\] をタップします (手順 2 で \[新しいネットワーク\] ポップアップから WLAN の設定画面に移動しなかった場合は、既にこの画面が表示されています)。 10. \[ワイヤレス ネットワーク\] ボックスの一覧に、構成したばかりの WLAN の名前があることを確認します。ステータスは \[接続完了\] になっているはずです。それ以外の場合は、WLAN 名をタップしたまま押さえて、\[接続\] をタップします (ユーザー資格情報の再入力を求められる場合もあります)。 11. WLAN のステータスが \[接続完了\] と表示されたら、\[OK\] をタップして \[ワイヤレス ネットワークの構成\] および \[接続\] 画面を閉じます。 **注:** デバイスを構成する Pocket PC ユーザーにこれらの手順を示すと、ユーザーは要求に応じて固有のドメイン資格情報を入力できます。ただし、IT サポート エンジニアがユーザーに合わせて Pocket PC を事前に構成する場合は、エンジニアに、WLAN へのアクセス権を持つ有効なドメイン アカウントを提供する必要があります。特に、エンジニアはそのアカウントを使用するときに、\[パスワードの保存\] チェック ボックスをオンにしないように注意することが重要です。ユーザーが、Pocket PC を使用して最初に接続するときに、固有の資格情報を入力するように指示してください。 #### WLAN への Pocket PC 接続を確認する Pocket PC が WLAN に正常に接続されているかどうかを確認するには、さまざまな方法があります。最も簡単な方法は、Web サイトなどのネットワーク上のアプリケーションに接続することです (Web サーバーが LAN 上にない場合は、デバイス上でプロキシ サーバーの構成が必要になる場合があります)。 接続が失敗する場合は、「第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する」の「トラブルシューティング」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### 要約 この章では、Windows XP および Pocket PC クライアントの WLAN ネットワーク設定を構成する方法について説明しました。セキュリティ グループを使用して WLAN へのアクセスを制御する方法、グループ ポリシーを構成して WLAN 設定を Windows XP クライアントに展開する方法、そして Pocket PC 2003 クライアントを構成する手順に関するガイダンスを示しました。 [](#mainsection)[ページのトップへ](#mainsection) ### 参照情報 ここでは、この章の内容に関連する重要な補足情報やその他の参考資料を紹介します。 - ユーザーおよびセキュリティ グループごとに WLAN アクセスを管理する方法の詳細については、次の URL にある Windows Server 2003 製品マニュアルのトピック「Introduction to remote access policies」(英語) を参照してください。