以前、Microsoft Entra hybrid join(以降MEHJ)した端末が自動的にWi-Fiに接続できないという事象が発生しました。
今回は、本件に関しましてトラブルシュートを実施して、事象の原因と解決方法が判明しましたので、そちらの紹介をさせていただきます。
発生した事象
Service Connection Point(以下、SCP)用GPOを配布してMEHJを展開したところ、実施したWindows 端末にて802.1X認証を利用したWi-Fi接続が失敗する、という事象が発生しました。
原因
原因としてはWindows端末がMEHJすると証明書の個人ストアに「MS-Organization-Access」証明書が追加されるため、Wi-Fi接続時に証明書が正しく選択されず、証明書認証に失敗していると考えられます。
解決方法
無線LANプロファイルの証明書認証設定にて、使用する証明書の証明書発行者を明示的に設定することで、事象の解決が可能であることが判明しました。
その実施方法の手順を、簡単に下記で説明します。
- 「コントロールパネル」を起動します。
- [ネットワークとインターネット]をクリックします。
- [ネットワークと共有センター]をクリックします。
- 接続されているWi-FiのSSIDをクリックします。
- [ワイヤレスのプロパティ(W)]をクリックします。
- [セキュリティ]タブをクリックして、[設定]をクリックします。
- 「信頼されたルート証明機関(R)」で証明書発行者を指定して、[OK]をクリックします。
証明書の発行者を明示的に指定した後は、xmlでプロファイルを出力して、手動でPowerShellを実行して該当のプロファイルを読み込むか、GPOでプロファイルを配布します。
PowerShellによる手動での読み込み方法
PowerShellを使用して手動で読み込む際は、PowerShellを管理権限で起動し、下記のコマンドを実行します。
netsh wlan add profile filename="C:\xmlファイルパス"GPOでの配布方法
GPOでWi-Fiプロファイルのxmlを配布する場合は下記の手順に沿って配布を行います。
- グループポリシーオブジェクトを起動します。
- 下記のパスに移動します。
[コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定] - [ワイヤレスネットワーク(IEEE802.11)ポリシー]をクリックします。
- [ワイヤレスネットワーク(IEEE802.11)ポリシー]を右クリックし、[新しいWindowsXPポリシーの作成]をクリックします。
- 今回作成するポリシーの「ポリシー名」と「説明」を入力し、[追加]をクリックします。
- [プロファイルをインポートする]のウィンドウが表示されたら、今回配布する「Wi-Fiのプロファイル(.xml)」を選択し、[開く]をクリックします。
- 配布するxmlファイルを指定できたら、[適用]をクリックし、[OK]をクリックします。
最後に
証明書の個人ストアに複数のクライアント証明書が入っていると、Wi-Fiがどの証明書を使用したらいいのか判断できなくなるようです。
もし同じような事象に直面した方がいましたら本記事が参考になれば幸いです。
金山 翔太(日本ビジネスシステムズ株式会社)
Microsoft製品(主にMicrosoft 365やIntune)などの設計に携わったことがあります。趣味はゲームとキャンプです。業務上で学んだことを発信していきます。
担当記事一覧