アクセスマネージャーは、クラウドベースのアクセスコントロールサービスで、外部のRADIUSサーバーを使用せずに、許可されたユーザーやデバイスだけがリソースにアクセスできるようにする強力でスケーラブル、かつ柔軟なソリューションです。
また、Merakiの既存機能であるAdaptive Policyを統合し、1つのダッシュボードでアイデンティティベースのマイクロセグメンテーションポリシーを簡素化、ゼロトラストの迅速な導入を促進します。
機能概要:
a. 認証方法 | b. アインデンティティと コンテキスト属性 | c. 承認結果 |
→→→ | →→→ | →→→ |
| EAP-TLS (certificate) | 証明書属性 | Adaptive Policy グループ |
| EAP-TTLS (Username/Password | RADIUS属性 | L3 ACL / グループポリシー |
| MAB (MAC Authentication Bypass | Entra ID属性 | VLAN アサインメント |
| | Networks, SSIDs, 接続詳細など | iPSKパスフレーズ |
| | エンドポイントとグループ | |
クライアントは割り当てられた承認結果に基づいて、ネットワークへ接続します。
ユースケース:
1️⃣ 証明書認証 + Entra IDユーザー Lookup
MDMで管理されているエンドポイントに推奨
エンドポイントにインストールされたユーザー証明書を使用して認証を行い、ユーザーのEntra IDグループメンバーシップや、場所、役職などの他の属性に基づいて、SGT、VLAN、グループポリシーなどを割り当てします。
2️⃣ Entra ID EAP-TTLS/PAP認証
外部 PKI インフラストラクチャを持たない組織の管理対象エンドポイントに推奨
ユーザ名とパスワードを使用してEntra IDを認証し、Entra IDのグループメンバーシップや、場所、役職などの属性に基づいてSGT、VLAN、グループポリシーなどを割り当てします。
3️⃣ MAC Authentication Bypass (MAB) and/or IPSK
管理されていないエンドポイントや、一部のプリンタ、カメラなどの 802.1X をサポートしないエンドポイントに推奨
認証をバイパスし、クライアントの MAC(完全または部分)、クライアントグループなどに基づいて SGT、VLAN、グループポリシーなどを割り当てします。
オプションで、MAC 認証バイパスに対するセキュリティの追加レイヤーとして IPSK を使用ください。
サポート対象のハードウェアとファームウェア
スイッチ:
| モデル | ファームウェア条件 |
| クラウド管理型 Catalyst 9300 | CS17.1 |
| MS390 | CS17.1 |
| MS1XX、MS2XX、およびMS3XX | MS16 |
アクセスポイント:
| カテゴリー | ファームウェア条件 |
| Meraki MR Wi-Fi 5 Wave 2 (802.11ac Wave 2) | MR30.6 |
| Meraki MR Wi-Fi 6 (802.11ax) | MR30.6 |
| Meraki MR と Catalyst Wi-Fi 6E (802.11ax) | MR30.6 |
| Wi-Fi 7(802.11be) | MR30.6 |
機能の詳細については、こちらのドキュメント(英語)からご確認ください。
MR-Advancedライセンスが必要ですが、「新機能を試す」の期間中はライセンスが不要で、無料でお試しいただけます。(2025年5月時点)
