Microsoft Intune で WPA3 Enterprise の Wi-Fi プロファイルを設定する

皆さん、こんにちは。

今回も Microsoft Intune 関連の記事となります。
最近、Configuration Manager 関連の記事が少なくてすみません。。。

さて、今回は Microsoft Intune にて WPA3 の Wi-Fi プロファイルを設定する方法を紹介したいと思います。

Wi-Fi プロファイルなら、Microsoft Intune の既定で用意されている構成プロファイル (Wi-Fi) で出来ると思ったあなた、残念ながら、2024/03/11 時点では、用意された構成プロファイルで作成出来るのは、WPA/WPA2 なので、WPA3 では作成出来ません。

実際に、Microsoft Intune で用意されている構成プロファイルを使って作成した Wi-Fi プロファイルを対象のクライアント デバイスで確認してみましょう。

構成プロファイルを配布している、クライアント デバイス上で下記のコマンドを実行します。

netsh wlan show profiles "SSID 名"

上記を見ると分かるように、WPA2 エンタープライズになっていますね。

一応、Microsoft Intune 画面も確認しておきましょう。

上記は、一部の抜粋ですが、残念ながら、2024/03/11 時点では、WPA3 を設定する項目はありません。

では、なぜ、WPA3 を設定する必要があるのか？ですが、最近 Wi-Fi 6E が登場し、6 GHz 帯も利用出来ますが、Wi-Fi 6E の 6 GHz 帯を利用するには、WPA3 が必須のようです。

そのため、もし、Wi-Fi 6E の 6 GHz 帯を利用したい場合、WPA3 のプロファイルの設定が必要になります。

そこで、Microsoft Intune を用いて、WPA3 エンタープライズの Wi-Fi プロファイルを設定する方法を紹介します。

<Microsoft Intune にて、WPA3 Enterprise Wi-Fi プロファイルを設定する方法>

カスタムの構成プロファイルを用いて、手動で設定していきます。

1. Wi-Fi 接続出来る物理 PC (作業用 PC) を一台用意します。
   (WPA3 Enterprise Wi-Fi プロファイルの設定のため、RADIUS 認証で使用する信頼されたルート証明機関のルート証明書をインストールした環境にしておいてください。
   また、信頼されたルート証明機関から発行された RADIUS 認証で利用するユーザーもしくはマシンの証明書もインストールしておくと、最後のステップの接続検証も行えますので、作業用 PC は、Microsoft Intune に登録されたデバイスが好ましいです。私は、Microsoft Intune に Enroll されたマシンを利用しました。)
2. [コントロール パネル] > [ネットワークとインターネット] > [ネットワークと共有センター] を開きます。
3. [新しい接続またはネットワークのセットアップ] を選択します。
4. [接続またはネットワークのセットアップ] ウィザードが起動しますので、[ワイヤレス ネットワークに手動で接続します] を選択します。
   
5. [セキュリティの種類] で [WPA3 – エンタープライズ] を選択します。
   また、[ネットワーク名] 等を接続する先のアクセス ポイント (AP) の SSID を入力します。
   
   ※ 組織や企業向けのアクセス ポイントでは、SSID を通知しない設定にしている場合があると思いますので、要件に応じて、[ネットワークがブロードキャストを行っていない場合でも接続する] を選択してください。
6. ワイヤレス ネットワークが追加されるので、[閉じる] を選択せず、[接続の設定を変更します] を選択します。
   
7. [ネットワークの認証方式の選択] にて、要件に応じた認証方式を選択します。この場合、[Microsoft: スマート カードまたはその他の証明書 (EAP-TLS)] を選択し、[設定] を選択します。
   
8. [信頼されたルート証明機関] にて、RADIUS 認証で利用するルート証明機関にチェックを入れ、[OK] を選択します。
   
9. 項番 7 の画面に戻りますので、[詳細設定] を選択します。
   
10. [認証モードを指定する] にチェックを入れ、そのしたのプルダウン メニューにて、要件に応じた設定をします。今回は、[ユーザーまたはコンピューターの認証] にしています。
    
11. 上記の画面等を [OK] で閉じます。
12. 最後に、作成したネットワークに接続出来ることを確認しておきましょう。
    
13. 同じ作業用 PC にてコマンド プロンプトを起動して、下記のコマンドを実行します。
    ※ 同じ作業用 PC にて、Microsoft Intune から配信テストを行う場合は、作成したワイヤレス ネットワーク プロファイルをエクスポートした後に消しておきましょう。

    netsh wlan export profile "SSID 名"

    

14. Microsoft Intune 管理センターを開き、[デバイス] > [構成] > [作成] > [新しいポリシー] を選択します。
15. プロファイルの作成にて、プラットフォームを [Windows 10 以降]、プロファイルの種類を [テンプレート] にし、テンプレート名にて、[カスタム] を選択します。
16. [基本] にて、[名前] 等を適宜入力します。
    
17. [構成設定] にて、[追加] を選択します。
    
18. [行の追加] にて、[名前] を SSID 等にし、下記のように設定します。
    OMA-URI : ./Vendor/MSFT/WiFi/Profile/SSID/WlanXml
    OMA-URI (私の環境) : ./Vendor/MSFT/WiFi/Profile/TDC-CORP/WlanXml
    データ型 : 文字列 (XML ファイル)
    カスタム XML : 項番 13 でエクスポートした XML をアップロード
19. 正しく、下記のように追加されたことを確認し、次に進みます。
20. [割り当て] にて、割り当てたいグループを選択します。
    
21. [適用性ルール] は今回設定しないので、このまま次に進みます。
    
22. [確認および作成] にて、設定内容に問題無いことを確認し、[作成] を選択します。
    
23. カスタムの構成プロファイルが問題無く作成されたことを確認します。
24. 割り当てたクライアント上で、対象の SSID に接続出来ることを確認します。
    

<おまけ>

今回、利用したアクセス ポイントは、HPE Aruba Networking 610 シリーズ (AP-615) になります。AP 側は下記の設定をしております。
互換性を意識して、[WPA3-エンタープライズ (CCM 128)] を選択しています。

対象のクライアント デバイス (Wi-Fi Adapter) が WPA3 に対応していないと、もちろん WPA3 は利用出来ないので、下記のコマンドにて、対象マシン上で WPA3 をサポートしているか確認しておきましょう。

netsh wlan show drivers

<まとめ>

今回は、Microsoft Intune を用いて、WPA3 Enterprise の Wi-Fi プロファイルを作成する方法をご紹介しました。Wi-Fi 6E のアクセス ポイントが増えてきているとはいえ、組織で導入するというのは、まだまだかと思いますが、WPA3 Enterprise 環境を構築する方の参考になれば幸いです。

本来であれば、Microsoft Intune の既定の Wi-Fi プロファイルでサポートして欲しいところですね。この点については、フィードバック済みです。将来的に、Microsoft Intune で WPA3 Enterprise のプロファイルが追加されることを望むばかりです。