画期的な“接続のサービス化”！　「UniFi Identity」で実現する超カンタンWi-Fi/VPN接続

ワンクリックのWi-Fi/VPN接続環境を提供するUniFi Identity

　UbiquitiのUniFiシリーズ向けに提供されている「UniFi Identity」ソフトウェア／サービスが面白い。簡単に言えば、ユーザーごとにWi-Fi接続やVPN接続を制御できる機能なのだが、設定が非常に簡単で、管理者が実行する設定は2～3ステップ、実際の接続時はワンクリックで済んでしまうという驚きの機能だ。

　相反する関係だった「セキュリティの強化」と「設定の手軽さ」の両立も実現しており、簡単なのに安全という側面も持つ。さらに、デバイス管理やワークフローなどの機能も備えたクラウド版「UniFi Identity Enterprise」もあり、中小規模向けのネットワーク機器に革新をもたらす存在と言えそうだ。

RADIUS？　Wireguard？　面倒な設定を自動で処理

　「UniFi Identity」は、ある意味、「接続のサービス化」と言ってもよさそうだ。

　管理者として必要な作業は、機能の有効化と誰にどんな接続を許可すればいいか？　という操作のみ。もう少し具体的に言えば、ユーザーを招待して、そのユーザーにWi-Fi接続やVPN接続を許可するかどうかを設定すれば、自動的にWi-FiやVPN接続をデプロイし、許可したユーザーにのみ接続環境を提供できる。

機能をオンにし、ユーザーに許可するだけで、Wi-Fi接続やVPN接続を提供可能

　従来は、その前段階として、接続先となるSSIDを登録し、ユーザー認証のためのRADIUSサーバーを用意し、ユーザーを追加。VPNも使うならプロトコルを選択してVPNサーバーを稼働させ、同じく認証のためのユーザーを登録し、接続のための証明書をユーザーに配布して……と、さまざまな設定が必要だった。しかし、UniFi Identityでは、こうした面倒な設定が全て裏で自動的に実行される。

　つまり、ユーザーベースのWi-Fi/VPN接続制御を、わずか数クリックで、誰でも簡単に導入できる機能となっているわけだ。

　さらに、有料となるクラウド版の「UniFi Identity Enterprise」では、Entra IDやGoogle Workspaceなどの外部認証機能と連携したり、ユーザー管理を応用したワークフロー機能（休暇申請や購入申請）やヘルプデスクチケット処理機能が提供されたり、デバイス管理を実現できたり、別売りのインターコムやカードリーダーなどと組み合わせた入退室管理（Attendance）も提供されたりと、さらなる拡張も可能となっている。

さらに高度な機能を使えるUniFi Identity Enterprise

　ネットワークのDIYを楽しめることが魅力の1つであるUbiquitiの製品だが、UniFi Identityによって、より高度な機能を、さらに幅広いユーザーが扱えるようになった印象だ。

UniFi Identityのプラン

UniFi Identityの概要

　それでは、UniFi Identityとは何なのかを、もう少し具体的に見ていこう。

　UniFi Identityは、以下のような機能を提供するUniFiゲートウェイ（ルーター）向けのソフトウェアとなる。前述したように無料版と有料版があるが、無料版は、ゲートウェイ上で動作するローカルのソフトウェアとなっており、特別なライセンス不要で無料で利用できる。

UniFi Identityの概要

　UniFiゲートウェイは複数販売されており、機種によって利用できる機能や必要なバージョンに違いがあるので、詳細は以下のリンク先を参照してほしいが、本誌でも過去に取り上げているUniFi Dream RouterやUniFi Dream Machine、UniFi Cloud Gateway Ultraなどで利用可能だ。

▼Ubiquitiによる解説
UniFi Identity Overview

　対応機器を利用している場合、「OS Settings」の「Admins & Users」の項目に「Identity Settings」というタブが表示され、ここから利用したい機能を選択できる。さらに「Users」や「Groups」タブで、その機能を使えるユーザーやグループを管理する方式になる。

　なお、利用できる機能は、上の概要の図で示したように複数あるが、「ワンクリックEV充電」や「電話による入退室管理」の機能は、別途、対応ハードウェアが必要になる（機種によってはWi-Fiアクセスポイントも別途必要）。一般的に利用するのは「ワンクリックWi-Fi」「ワンクリックVPN」となるだろう。

UniFi Identityのユーザー管理画面

ワンクリックWi-Fi/VPNを設定してみる

　それでは、具体的な設定方法を見ていこう。といっても、設定は下図のように非常に簡単だ。

　管理者がやることは「機能をオンにする」と「ユーザーを登録して機能を許可する」という2ステップのみ。これで、自動的に必要な設定が登録される。

　例えば、ワンクリックWi-Fiでは以下のような設定が自動的に適用される。

• SSID：UniFi Identity
• Wi-Fiバンド：2.4GHz+5GHz（バンドステアリング）
• セキュリティプロトコル：WPA2エンタープライズ
• RADIUS設定
  
  • シークレット：自動生成
  • RADIUSユーザー：uid-［ユーザー名］（smzgoro@outlook.jpならuid-smzgoro@outlook.jp）
  • RADIUSユーザーパスワード：自動生成

WPA2エンタープライズ設定の「UniFi Identity」という接続先が自動的に作成される

WPA2エンタープライズの認証で利用するRADIUSの構成も自動的に作成される

　また、VPNサーバーであれば、次のような設定が自動的に適用される。

• VPNタイプ：WireGuard
• 名前：UCG-Ultara（今回の例ではUniFi Cloud Gateway Ultraだったため）
• プライベートキー：自動生成
• パブリックキー：自動生成
• サーバーアドレス：WAN側アドレス:51820
• クライアント
  
  • クライアント名：ユーザー名+デバイス名（Goro Tanaka’s Mobile Phone）
  • インターフェイスIP：自動割り当て（192.168.3.2）
  • パブリックキー：自動生成
  • ゲートウェイIP：自動設定
  • DNSサーバー：自動設定

WireGuardによるVPNサーバーが自動構成される

　これまで、管理者は、悩みながらこうした設定を正しく構成しなければならなかったが、それが全て自動的に「デプロイ」されるわけだ。

　利用するユーザーの設定もシンプルだ。招待メールに記載されたリンクをクリックすることでアプリをインストールし、初回はアカウント作成画面からパスワードを設定することで、2要素認証の設定が強制される。

　このアカウントでアプリにサインインすると、管理者によって許可されたワンクリックWi-FiやワンクリックVPNのアイコンが表示される。接続に必要なSSID、ユーザー名、パスワードなどは全て設定済みとなっているので、シンプルにタップするだけで、デバイスのWi-Fi機能やVPN機能と連動し、実際に接続が確立される。

ユーザーにWi-Fiのみを許可

ユーザーのアプリにはワンクリックWi-Fiのみが表示される

　ユーザーはもちろんのこと、管理者も調べない限りは各種パスワードなどを知らないため、人為的なミスによってWi-FiやVPN接続用のパスワードが漏洩する心配がない。しかも、アプリへのサインインには、UniFi向けの「UniFi Verifi」アプリやSNS認証、パスキー（Windows Hello利用）などを使った2要素認証が必須なので、意図しないユーザーの接続も防止できる。

　全体の設計や設定など、多くの面倒な作業を「すっ飛ばして」、高度なWi-Fi/VPN環境を簡単に構築できることになる。

自分のアカウントやパスワードは調べられるが、自動設定されるため普段は意識しなくて済む

クラウドでIDを管理する「UniFi Identity Enterprise」

　ローカル版のUniFi Identityでも、なかなか便利なのだが、これをクラウド版のUniFi Identity Enterpriseにアップグレードすると、さらに便利な機能が使えるようになる。

クラウド版のUniFi Identity

　まず、大規模な環境に対応可能になる。UniFi Identity Enterpriseの有料プラン（現状、米国のみでの提供。日本ではプレビュー）では、複数拠点（サイト）を管理可能なうえ、1000ユーザーまで管理可能となっている。

　また、外部のIDプロバイダーとの連携も可能となっており、Active DirectoryやLDAP、Microsoft 365（Entra ID）、Google Workspaceなどを認証基盤として利用したり、逆にUniFi Identityのユーザーを利用してMicrosoft 365やGoogle Workspaceにシングルサインオンしたりできる。

外部のIDプロバイダーを利用した認証が可能

UniFi Identityで管理しているアカウントから外部サービスにシングルサインオンすることも可能

　試しに、Google Workspaceへのシングルサインオンを設定してみたが、設定に必要な情報（サインインURLや証明書など）が画面上にわかりやすく表示されるうえ、「Setup Instruction」のページから、実際に設定する値が埋め込まれた設定ガイドを参照できるなど、かなり簡単に設定できるように工夫されていた。

Setup Instructionsのページが秀逸。英語だが、サイトごとの個別の設定情報が埋め込まれたステップバイステップの設定方法が記載されている。手順を上から順番に進めていけばSSOを設定できる

　このほか、ログ機能も充実しており、接続の失敗などの情報が詳細に記録される。これにより、どのユーザーが、どの端末で、どのアクセスポイントに対して接続が失敗したのか、といった状況を詳しく確認できる。

　これらの機能が使えることで、中規模以上の環境でも導入を検討しやすいだろう。

ログも充実。誰が、どの端末から、どのサービスの、どのアクセスポイントに接続しようとして、どのようなエラーが発生したかを確認できる

さまざまな付加機能を提供

　さらに、ID管理機能とデバイスにインストールされたソフトウェア（エージェント）を活用した付加機能が提供されており、次のようなこともできる。

ワークフロー＆アプリケーション

　休暇申請や購入申請などのワークフローアプリケーションを、ノーコードで作成できる。ユーザーのプロパティとして上司の設定が可能となっており、申請が上司へと通知され、許可するかどうかが判断される。

　本格的なノーコードアプリ環境となっており、フォームエディタでテキストなどのパーツを配置したり、登録済みのユーザーを参照したりできる。また、ワークフローで条件を設定することなども可能で、例えば、決済金額の大小によってワークフローのルートを変えるといった処理も可能だ。

アカウント情報を活用したワークフローを構成可能。条件分岐などを設定した複雑なものも構成できる

自分宛に届いたワークフロー。ウェブのワークスペースページやスマホのアプリで承認できる

デバイス管理

　ネットワーク上のデバイスの情報を収集でき、OSのバージョンやインストールされているソフトウェア（別途機能を有効化する必要あり）などのデータを収集できる。

　また、MDM機能も搭載しており、Windowsデバイス（要Proエディション）またはMacを登録することで、リモートロックや初期化、ポリシーの適用、ソフトウェアインストールなども可能となっている。

デバイスの状態を確認可能

ポリシーを適用したり、リモートロックしたりできる

実験的機能の提供

　さらに、開発中のLab機能が先行公開されており、UniFi Intercomなどの入退室管理デバイスと組み合わせて労務管理ができる「Attendance」、訪問客をあらかじめ登録しておくことでドアアクセスを一時的に開放する「Visitors」、さらには外部アプリ（Slack）との連携機能（例えばヘルプデスクチケットの通知など）も提供される。

ハードウェアとの併用も必要だが、さまざまな機能が提供予定となっている

　このように、Enterpriseを利用すると、単なる通信機器を超えたアプリケーションサーバー的な利用が可能になる。アイデア次第では、業務アプリなどと連携した複雑な処理も可能になるだろう。

かなり面白いが、有料サービスには懸念も……

　以上、UbiquitiのUniFiシリーズに搭載されているUniFi Identityを実際に使ってみたが、かなり面白い機能と言える。

　無料版の手軽さにも感動したが、Enterprise版の多機能さに驚かされた。最終的に組織のシステム管理はID管理が「キモ」になるので、そこに一つの提案をした点は高く評価したい。

　その一方で、個人的にはEnterprise版の登場による有料化に対する懸念もある。UniFiシリーズのいいところは、コントローラーなどが無料で、月額のコストを抑えられる点にある（最近は為替の影響も厳しいが……）。

　今回のUniFi Identity Enterpriseは、その名のとおりの法人向けクラウドサービスということで、仕方がないとも言えるが、次々と有料化・サブスクリプション化が進み、個人マニアの手が届かなくなってしまうことがないように祈りたいところだ。