💻

GPOを使った無線LANプロファイルの配布

2024/12/30に公開

自治体ではLGWAN接続系とインターネット系は無線LANの利用はOKとなっているが、LGWAN接続系では以下の要件があるため、グループポリシーを使って、無線LANのプロファイルの配布や接続先の制限を行う


※地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会(第15回)
 資料1_番号法関連規定を踏まえたマイナンバー利用事務系に係る画面転送・無線LAN 利用について
https://www.soumu.go.jp/main_sosiki/kenkyu/chiho_security/02gyosei02_04000199.html

ポリシーの作成

以下のポリシーを設定する。

コンピューターの構成 - ポリシー - Windowsの設定 - セキュリティの設定 -  ワイヤレス ネットワーク (IEEE 802.1) ポリシー

グループポリシーの管理でポリシーを作成
ワイヤレスネットワークにポリシーを作成
プロファイルの追加でSSIDやセキュリティ設定を追加

プロファイルの追加

認証は、WPA2ーエンタープライズ/WPA3ーエンタープライズを環境に応じて選択
ネットワークの認証方法はEAP-TLSで行うので、スマートカードで。

プロパティでどのルート証明機関を使うかを明示しておくとよい。

表示および接続するアクセス許可に先ほど設定したSSIDを追加
「インフラストラクチャネットワークに接続しない」
にチェックを入れることで、許可されたSSIDしかコンピュータ側で表示されなくなる。

例ではついでにアドホックネットワークも制限をしている。

プロパティの配布

GPOで配布したいコンピュータが属するOUに↑で作ったポリシーを割り当てればOK!

ポリシーを配布後に無線のプロファイル作成されていることと許可したSSIDしか表示されていないことを端末で確認

SSIDのフィルタの状況は以下のコマンドを実行すると確認可能

netsh wlan show filter

関連記事

ADCSとNPSを使ったEAP-TLSの無線LANを構築
https://zenn.dev/8chikuwa3/articles/d43ffd966c0283

これと組み合わせすることで、認証方式と端末の設定の必須要件は簡単にクリアは可能になる。

Discussion