アクセスポイントやネットワークスイッチなどのネットワーク装置に802.1X認証を設定し、Microsoft Entra ID(旧Azure AD)で管理するユーザーまたはデバイスのみが組織のネットワークに接続したい場合、残念ながらMicrosoft社が提供するクラウドサービスだけでは実現することが出来ません。従来どおり、オンプレミスのWindowsサーバーで展開するネットワークポリシーサーバー(NPS)が必要であり、更にEntra IDとの連携のためには拡張アドオンが必要なため、より構成を複雑にし、オンプレミスからの脱却からも遠のいてしまいます。そこで、Microsoft Entra IDをユーザー源泉としつつ、クラウドRADIUSを利用した802.1X認証を実現する SecureW2 をご紹介します。
クラウドRADIUSは単に"クラウド上に存在する"だけではありません
マネージドPKI・クラウドRADIUSを提供するSecureW2では、オンプレミス資産不要で、ネットワーク装置からの802.1X認証要求に対してEAP-TLSを利用した安全かつスムーズな認証体験を提供します。クラウドにRADIUSサーバーを置いただけなのでは?とお感じかもしれませんが、実態はまったく異なります。Active DirectoryやNPSとは異なり、クラウドネイティブな製品であることをご紹介いたします。
IDaaS・MDMと高度に統合された認証・認可の提供
SecureW2は、ネットワークに接続しようとするユーザー・デバイスが自社のMicrosoft Entra IDに登録された正規の利用者であるのか、Microsoft Intuneで管理され、かつコンプライアンスポリシーに準拠したデバイスであるかを確認することができます。また、Microsoft Entra ID上のユーザーステータスの変化(無効化・削除)に伴い、リアルタイムにクライアント証明書の無効化の実施や、Cisco Meraki・Ubiquiti UniFi・HPE Arubaの機器に対しては、接続中であっても即時遮断を連携することが可能です。
さらに、クライアント証明書の失効状態とは別に、RADIUS認証時にMicrosoft Entra IDにユーザーをルックアップすることで、ユーザーが有効かどうか、ユーザーの所属するセキュリティグループに応じた動的なVLAN応答なども実現できるため、IDaaSであるMicrosoft Entra IDが把握・管理する様々なコンテキストに基づく細かな認証・認可をネットワークポリシーにも持ち込むことが可能です。
SecureW2はMicrosoft Entra IDを利用するすべての組織にゼロトラストアーキテクチャに親和性の高い次世代のネットワーク認証・認可をクラウドサービスとして提供します。
SCEPによるクライアント証明書の自動発行
ネットワークの802.1X認証に利用する認証局・クライアント証明書については、SecureW2 JoinNow Management Portal(管理コンソール)上での簡単な操作で発行できるほか、Microsoft IntuneやJamf Pro、Kandji、GoogleなどのMDMと連携することで自動的にWindows 10/11搭載またはmacOS搭載PC、iPhone、Android、Chromebookなどあらゆるデバイスに認証局の信頼設定、クライアント証明書の動的発行、Wi-Fiの接続設定を配信することができます。
SecureW2は、管理者の管理作業の軽減・セキュリティリスクの軽減だけでなく、エンドユーザーに手間とストレスを感じさせないネットワーク認証・認可をクラウドサービスとして提供します。
より高度な脅威情報との連携によるデバイス信頼性評価
2025年4月のアップデートにより、Microsoft Denfender とのデバイス信頼性評価情報のリアルタイム連携にも対応しました。このため、Entra IDのユーザー状態やIntuneでのデバイス管理状態に加え、エンドポイントの脅威を検出・分析しているMicrosoft Defenderが評価したリスクスコアに応じて、発行済みクライアント証明書を自動失効させること、また一定以上のリスクを検知しているデバイスに対してはIntuneによる証明書発行指示が出たとしてもSecureW2は証明書発行要求を拒否し、端末が安全な状態となるまでネットワークアクセス、クラウドへのアクセスを拒否します。
*同様の脅威情報連携はCrowdStrikeでもご利用頂くことができます
詳しくは、弊社ウェブサイトの検証レポート記事を御覧ください。
検証レポート記事
Microsoft Entra IDとSecureW2 クラウドRADIUSの認証連携についてはこちら
Entra IDとクラウドRADIUSで無線LAN認証を実現する
〜ユーザーステータス・属性に応じたネットワークアクセスの動的制御をクラウドで完結〜
Microsoft Entra IDのユーザー状態変化にリアルタイム連動した証明書の自動失効、及び無線LANコントローラへのネットワーク接続遮断措置についてはこちら
Entra IDのユーザー無効化によりMerakiネットワーク接続用の証明書を自動失効する
〜IDaaSによるネットワーク認証認可連携 Part 1〜
Entra IDのユーザー無効化によりMerakiネットワークへの接続を即時遮断する
〜IDaaSによるネットワーク認証認可連携 Part 2〜
Microsoft IntuneとSecureW2 マネージドPKIのSCEP証明書発行連携についてはこちら
Microsoft Intuneで無線LAN認証用のSCEP証明書を自動配布する
〜組織が管理するデバイスにネットワーク接続を制限する〜
Microsoft Defenderとの脅威情報連携記事はただいま準備中です
お問い合わせ
ご関心のあるお客様は弊社担当者までお使いのネットワーク機器やユーザー・デバイスの管理状況、ご相談内容を添えてぜひ下記フォームからお問い合わせください。