The Cable GuyWindows Vista 用ワイヤレス グループ ポリシーの設定
Joseph Davies
このコラムには、Windows Server のコードネーム "Longhorn" のプレリリース情報が含まれています。この記事のプレリリース情報は変更される可能性があります。
Active Directory ネットワーク内のすべてのコンピュータに対し、ワイヤレス ネットワーク設定を集中的に構成および配布することができれば、管理者の作業は多少軽減されることでしょう。幸いにも、Windows はコンピュータ構成用の特別なグループ ポリシーの拡張機能をサポートしているので、管理作業の軽減を実現できます。これは
ワイヤレス ネットワーク (IEEE 802.11) ポリシー拡張と呼ばれる拡張機能であり、Windows Vista™、Windows® XP、Windows Server® 2003、および次期バージョンの Windows Server (コード名 "Longhorn") を実行するコンピュータでサポートされます。
この機能がどのように動作するのかを説明します。これらのオペレーティング システムでは、ドメインへの参加時、または起動時に、このグループ ポリシー拡張にワイヤレス設定が自動的にダウンロードされ、適用されます。その後は、この動作が継続的に行われます。ドメイン ベースのグループ ポリシー オブジェクトのワイヤレス ポリシーは、グループ ポリシー オブジェクト エディタを使用して、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ワイヤレス ネットワーク (IEEE 802.11) ポリシー] と順に展開したノードで構成することができます。
図 1 に、コード名 "Longhorn" の Windows Server ドメイン、または 802.11Schema.ldf および 802.3Schema.ldf スキーマ拡張ファイルによってスキーマが拡張された Windows Server 2003 ドメインのワイヤレス ネットワーク (IEEE 802.11) ポリシー ノードの場所を示します (詳細については microsoft.com/technet/network/wifi/vista_ad_ext.mspx を参照してください)。
図 1** ワイヤレス ネットワーク (IEEE 802.11) ポリシー ノード **(画像を拡大するには、ここをクリックします)
既定では、ワイヤレス ネットワーク (IEEE 802.11) ポリシーはありません。新しいポリシーを作成するには、コンソール ツリーで [ワイヤレス ネットワーク (IEEE 802.11) ポリシー] を右クリックし、[新しい Windows XP ポリシーの作成] または [新しい Windows Vista ポリシーの作成] をクリックします。どのタイプのポリシーも 1 つずつしか作成できませんが、各ポリシーには複数のワイヤレス ネットワーク設定を保存することができます。
Windows XP のポリシー設定は、私の 2003 年 7 月号の記事で説明した手順とよく似ています。ただし、非ブロードキャスト ワイヤレス ネットワーク、Wi-Fi Protected Access 2 (WPA2) 認証方法、および WPA2 認証用の高速移動設定に対し、新たなオプションが用意されています。これらの新しい設定をサポートするには、Windows XP Service Pack 2 (SP2) を実行するコンピュータの場合 support.microsoft.com/kb/917021 から Windows XP SP2 用のワイヤレス クライアント更新プログラムをインストールする必要があります。
Windows Vista のワイヤレス ポリシーには、Windows Vista および Windows Server "Longhorn" のワイヤレス クライアント専用のポリシー設定が含まれています。両方のワイヤレス ポリシーが構成されている場合、Windows XP ワイヤレス クライアントは Windows XP 用のポリシー設定のみを使用し、Windows Vista ワイヤレス クライアントは Windows Vista 用のポリシー設定のみを使用します。Windows Vista のポリシー設定がない場合は、Windows Vista のワイヤレス クライアントは Windows XP の設定を使用します。この記事では、Windows Vista ワイヤレス ポリシーで構成可能な設定について説明します。
Windows Vista ワイヤレス ネットワーク ポリシーの [全般] タブでは、ポリシーの名前と説明の入力、WLAN 自動構成サービスを有効にするかどうかの指定、ワイヤレス ネットワーク プロファイルのリストの作成、およびプロファイルの優先順位の指定を行うことができます (図 2 を参照)。また、プロファイルを選択し、[エクスポート] をクリックすると、プロファイルを XML ファイルとしてエクスポートすることもできます。XML ファイルに保存されたワイヤレス プロファイルをインポートするには、[インポート] をクリックして、ファイルの保存場所を指定します。
図 2** ワイヤレス ネットワーク ポリシーのプロパティ **(画像を拡大するには、ここをクリックします)
図 3 は、Windows Vista ワイヤレス ネットワーク ポリシーの [ネットワークのアクセス許可] タブにおける既定の設定を示しています。このタブは Windows Vista で新しく追加されたものであり、ワイヤレス ネットワークを名前で指定し、そのネットワークに対するアクセスを許可または拒否することができます。たとえば、Windows Vista ワイヤレス クライアントが接続を許可されているワイヤレス ネットワーク名 (サービス セット識別子 (SSID) とも呼ばれる) を記載した許可リストを作成することができます。これは、ある組織のノート型コンピュータを、その組織のワイヤレス ネットワークや、インターネット サービス プロバイダなどの特定のワイヤレス ネットワークに接続させたいネットワーク管理者にとって便利な機能です。
![図 3 [ネットワークのアクセス許可] タブ](images/cc162468.fig03.gif)
図 3** [ネットワークのアクセス許可] タブ **(画像を拡大するには、ここをクリックします)
拒否リストでは、ワイヤレス クライアントに接続を許可しない一連のワイヤレス ネットワークを名前で指定できます。これは、管理対象のノート型コンピュータが、範囲内にある他のワイヤレス ネットワークに接続しないようにするのに便利な機能です。たとえば、ある組織がビルの 1 フロアを使用しており、隣接するフロアに別の組織のワイヤレス ネットワークがある場合などです。拒否リストを使用すると、管理対象のノート型コンピュータが、セキュリティで保護されていない既知のワイヤレス ネットワークに接続するのを防ぐこともできます。許可リストまたは拒否リストのいずれかを作成したり、個々のワイヤレス ネットワークに対してアクセスを許可または拒否したりするには、[追加] をクリックしてワイヤレス ネットワークの名前を指定して追加し、許可または拒否のどちらかを設定します。
[ネットワークのアクセス許可] タブには、アドホック モードまたはインフラストラクチャ モードのワイヤレス ネットワークへの接続を防ぐための設定もあります。ユーザーがアクセスを拒否されるように構成されたワイヤレス ネットワークを表示できるようにしたり、任意のユーザーに対してすべてのユーザー プロファイルの作成を許可することもできます。すべてのユーザー プロファイルを使用すると、コンピュータ上にアカウントがある任意のユーザーが、特定のワイヤレス ネットワークに接続できます。この設定が無効になっていると、Network Administrators グループまたは Network Operators グループに属するユーザーのみが、コンピュータ上にすべてのユーザーのワイヤレス プロファイルを作成することができます。
ワイヤレス ネットワーク プロファイルのプロパティ
Windows Vista ワイヤレス ポリシーの [全般] タブからワイヤレス ネットワーク プロファイルを管理するには、既存のプロファイルを選択して [編集] をクリックするか、[追加] をクリックして、新規のワイヤレス プロファイルがアドホック ワイヤレス ネットワーク用であるか、インフラストラクチャ モードのワイヤレス ネットワーク用であるかを指定します。
新規のワイヤレス プロファイルを作成するには、まず [接続] タブでプロファイルの名前を指定し、プロファイルを適用するワイヤレス ネットワーク名のリストを作成します (図 4 を参照)。新しい名前を追加するには、[ネットワーク名 (SSID)] に名前を入力し、[追加] をクリックします。このプロファイルを使用するワイヤレス クライアントがワイヤレス範囲内に入ったときに、プロファイル内に指定されているワイヤレス ネットワークに自動的に接続を試行するかどうかも指定できます (Windows Vista ポリシーの [全般] タブに示される、ワイヤレス プロファイルの優先順位が適用されます)。さらに、より優先順位の高いワイヤレス ネットワークが範囲内に検出された場合に、このワイヤレス ネットワークから自動的に切断するかどうかを指定したり、このプロファイルのワイヤレス ネットワークが非ブロードキャスト ネットワーク (非表示のネットワークとも呼ばれる) であることを指定したりすることもできます。
![図 4 [接続] タブ](images/cc162468.fig04.gif)
図 4** [接続] タブ **(画像を拡大するには、ここをクリックします)
図 5 に示す [セキュリティ] タブでは、プロファイル内のワイヤレス ネットワークに対して適用される認証方法および暗号化の方法を構成できます。選択できる暗号化の方法は、認証方法によって決まります。その選択肢を図 6 に示します。
Figure 6 セキュリティ メソッド
| 認証方法 |
| オープン |
| 共有 |
| Wi-Fi Protected Access (WPA) - パーソナル |
| WPA - エンタープライズ |
| WPA2 - パーソナル |
| WPA2 - エンタープライズ |
| 802.1X で開く |
| 暗号化の方法 |
| Wired Equivalent Privacy (WEP) |
| Temporal Key Integrity Protocol (TKIP) |
| Advanced Encryption Standard (AES、高度暗号化標準) |
![図 5 [セキュリティ] タブ](images/cc162468.fig05.gif)
図 5** [セキュリティ] タブ **(画像を拡大するには、ここをクリックします)
認証方法として [WPA - エンタープライズ]、[WPA2 - エンタープライズ]、または [802.1X で開く] を選択した場合、ネットワークの認証方法 (拡張認証プロトコル (EAP) の種類)、認証モード (ユーザーの再認証、コンピュータの認証、ユーザーの認証、またはゲスト認証)、認証が中止されるまでの試行回数、および次回接続用にユーザー情報をキャッシュするかどうかも指定できます。ユーザー情報をキャッシュするかどうかの設定では、ユーザーがログオフしたときに、ユーザー資格情報のデータをレジストリから削除することを指定できます。この場合、ユーザーが次回ログオンした際に、資格情報 (ユーザー名とパスワードなど) の入力を求められます。
[WPA - エンタープライズ]、[WPA2 - エンタープライズ]、または [802.1X で開く] の各認証方法に対して高度なセキュリティ設定を構成するには、[詳細設定] をクリックします。図 7 に、[セキュリティの詳細設定] ダイアログ ボックスの既定の設定を示します。
![図 7 [セキュリティの詳細設定] ダイアログ ボックス](images/cc162468.fig07.gif)
図 7** [セキュリティの詳細設定] ダイアログ ボックス **(画像を拡大するには、ここをクリックします)
[IEEE 802.1X] セクションでは、初回の EAP over LAN (EAPOL) 開始メッセージに対する応答がない場合に続けて送信される EAPOL 開始メッセージの数と、先に送信された EAPOL 開始メッセージに対する応答がない場合に EAPOL 開始メッセージを再送信する間隔を指定します。また、認証クライアントが認証システムから認証エラーを受信した後に 802.1X 認証アクティビティの実行を禁止する期間や、エンド ツー エンドの 802.1X 認証が開始された後に 802.1X 要求の再送信を待機する間隔も設定できます。
シングル サインオン (SSO) を使用すると、802.1X 認証をユーザーのログオンと関連付けて実行するよう構成したり、ユーザー ログオンと 802.1X 認証の資格情報を Windows ログオン サーバー上で統合したりできます。[シングル サインオン] セクションには、ユーザー ログオン処理の直前または直後にワイヤレス認証を実行するための設定と、処理開始までの接続遅延時間を秒単位で指定する設定があります。また、認証方法により追加の資格情報の入力が要求される場合に、追加の入力フィールドをユーザーに表示するかどうか、およびこのフィールドを表示する時間、そしてこのプロファイルのワイヤレス ネットワークのコンピュータ認証またはユーザー認証に対し、別の仮想 LAN (VLAN) を使用するかどうかも指定できます。
[高速移動] セクションでは、ペアワイズ マスタ キー (PMK) のキャッシュや、事前認証のオプションを構成できます。[高速移動] セクションは、認証方法として [WPA2 - エンタープライズ] を選択した場合にのみ表示されます。PMK のキャッシュを使用すると、ワイヤレス クライアントとワイヤレス アクセス ポイント (AP) が 802.1X 認証の結果をキャッシュします。これにより、ワイヤレス クライアントが認証済みのワイヤレス AP に戻ったときに、すばやくアクセスすることができます。PMK キャッシュにエントリを保持する最大時間と、エントリの最大数を構成できます。事前認証では、ワイヤレス クライアントは、現在のワイヤレス AP との接続状態を保ちつつ、範囲内にある他のワイヤレス AP に対して 802.1X 認証を実行できます。ワイヤレス クライアントが、事前認証済みのワイヤレス AP に移動した場合に、アクセス時間を大幅に短縮することができます。ワイヤレス AP との事前認証を試行する最大回数も構成することができます。
Windows のワイヤレスのサポートに関する詳細については、microsoft.com/wifi を参照してください。Windows グループ ポリシーに関する詳細については、microsoft.com/gp のリソースを参照してください。
Joseph Daviesマイクロソフトのテクニカル ライターとして Windows ネットワークのトピックに関する講義および執筆を 1992 年から行っています。Joseph Davies は、Microsoft Press 向けに本を 5 冊執筆しており、また月間の TechNet Cable Guy コラムの著者でもあります。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.