মূল কন্টেন্টে যান
বাংলা

ডিভাইসে WiFi সার্টিফিকেট পুশ করতে কীভাবে Microsoft Intune ব্যবহার করবেন

Microsoft Intune-এর মাধ্যমে 802.1X WiFi সার্টিফিকেট ডিপ্লয় করার বিষয়ে আইটি লিডারদের জন্য একটি বিস্তৃত টেকনিক্যাল রেফারেন্স। এতে SCEP বনাম PKCS আর্কিটেকচার, ইমপ্লিমেন্টেশন ধাপ, কমপ্লায়েন্স ম্যাপিং এবং এন্টারপ্রাইজ এনভায়রনমেন্টের জন্য রিয়েল-ওয়ার্ল্ড ডিপ্লয়মেন্ট পরিস্থিতি কভার করা হয়েছে।

📖 7 মিনিট পাঠ📝 1,541 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
ডিভাইসে WiFi সার্টিফিকেট পুশ করতে কীভাবে Microsoft Intune ব্যবহার করবেন একটি Purple এন্টারপ্রাইজ WiFi ইন্টেলিজেন্স ব্রিফিং [ভূমিকা এবং প্রেক্ষাপট — প্রায় ১ মিনিট] আবারও স্বাগতম। আমি আজ এন্টারপ্রাইজ WiFi ইন্টেলিজেন্স প্ল্যাটফর্ম Purple-এর পক্ষ থেকে কথা বলছি, এবং এই পর্বটি Microsoft Intune টুলকিটের সবচেয়ে ব্যবহারিক — এবং সত্যি বলতে, সবচেয়ে আন্ডাররেটেড — ক্ষমতাগুলোর একটির উপর একটি ফোকাসড ব্রিফিং: 802.1X WiFi প্রমাণীকরণের জন্য স্বয়ংক্রিয় সার্টিফিকেট ডিপ্লয়মেন্ট। আপনি যদি কোনো হোটেল এস্টেট, রিটেইল চেইন, স্টেডিয়াম বা পাবলিক-সেক্টর এস্টেট জুড়ে WiFi পরিচালনা করেন, তবে আমি যে সমস্যার কথা বলতে যাচ্ছি তা আপনি জানবেন। আপনার কাছে শত শত বা হাজার হাজার পরিচালিত ডিভাইস রয়েছে। আপনি চান যে ব্যবহারকারীরা পাসওয়ার্ড টাইপ না করে, আইটি প্রতিটি ডিভাইসে স্পর্শ না করে সেগুলো স্বয়ংক্রিয়ভাবে, নিরাপদে আপনার কর্পোরেট WiFi-এর সাথে কানেক্ট হোক। এবং আপনি চান যে সেই কানেকশনটি ক্রিপ্টোগ্রাফিকভাবে শক্তিশালী হোক — শুধুমাত্র একটি শেয়ার করা পাসওয়ার্ড নয় যা ইতিমধ্যেই সংস্থার অর্ধেক লোককে ইমেল করা হয়েছে। Intune সার্টিফিকেট ডিপ্লয়মেন্ট ঠিক এই সমস্যারই সমাধান করে। এবং আগামী নয় মিনিটে, আমি আপনাকে দেখাব এটি কীভাবে কাজ করে, কীভাবে এটি ডিপ্লয় করতে হয় এবং সেই ফাঁদগুলো যা বেশিরভাগ টিমকে প্রথম প্রচেষ্টাতেই আটকে দেয়। [টেকনিক্যাল ডিপ-ডাইভ — প্রায় ৫ মিনিট] চলুন আর্কিটেকচার দিয়ে শুরু করা যাক। এখানকার ভিত্তি হলো IEEE 802.1X — পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল স্ট্যান্ডার্ড যা দুই দশকেরও বেশি সময় ধরে এন্টারপ্রাইজ WiFi নিরাপত্তার মেরুদণ্ড। যখন কোনো ডিভাইস আপনার WiFi-এর সাথে কানেক্ট হয়, তখন 802.1X-এর প্রয়োজন হয় যে এটি কোনো নেটওয়ার্ক অ্যাক্সেস পাওয়ার আগে প্রমাণীকরণ করবে। প্রমাণীকরণের কথোপকথনটি তিনটি পক্ষের মধ্যে ঘটে: ডিভাইস — যাকে সাপ্লিক্যান্ট বলা হয় — আপনার WiFi অ্যাক্সেস পয়েন্ট, যা অথেনটিকেটর হিসেবে কাজ করে এবং আপনার RADIUS সার্ভার, যা হলো প্রমাণীকরণ সার্ভার যা চূড়ান্ত সিদ্ধান্ত নেয়। এখন, 802.1X একাধিক প্রমাণীকরণ পদ্ধতি সমর্থন করে। সবচেয়ে সুরক্ষিত হলো EAP-TLS — Extensible Authentication Protocol with Transport Layer Security। EAP-TLS মিউচুয়াল সার্টিফিকেট প্রমাণীকরণ ব্যবহার করে: ডিভাইসটি তার পরিচয় প্রমাণ করতে একটি সার্টিফিকেট উপস্থাপন করে এবং RADIUS সার্ভার তার পরিচয় প্রমাণ করতে একটি সার্টিফিকেট উপস্থাপন করে। কোনো পাসওয়ার্ড জড়িত নেই। ফিশিং করা যেতে পারে এমন কোনো ক্রেডেনশিয়াল নেই। আমরা এটাই লক্ষ্য করছি। চ্যালেঞ্জটি সবসময়ই স্কেলে ডিভাইসগুলোতে সেই সার্টিফিকেটগুলো পৌঁছে দেওয়া। এখানেই Microsoft Intune আসে। Intune দুটি সার্টিফিকেট ডিপ্লয়মেন্ট মেকানিজম সমর্থন করে: SCEP — Simple Certificate Enrollment Protocol — এবং PKCS, যার অর্থ Public Key Cryptography Standards। পার্থক্য বোঝাটা গুরুত্বপূর্ণ। SCEP-এর মাধ্যমে, প্রাইভেট কী ডিভাইসেই তৈরি হয়। ডিভাইসটি একটি Certificate Signing Request তৈরি করে, এটি NDES — Network Device Enrollment Service — নামক একটি মধ্যস্থতাকারী সার্ভারের মাধ্যমে আপনার Certificate Authority-তে পাঠায় এবং CA সার্টিফিকেটটি ফেরত ইস্যু করে। প্রাইভেট কী কখনোই ডিভাইস ছেড়ে যায় না। এটি আরও সুরক্ষিত পদ্ধতি এবং BYOD এনভায়রনমেন্ট এবং উচ্চ-নিরাপত্তা ডিপ্লয়মেন্টের জন্য প্রস্তাবিত। PKCS-এর মাধ্যমে, Certificate Authority কী পেয়ার তৈরি করে এবং Intune Certificate Connector প্রাইভেট কী এবং সার্টিফিকেট ডিভাইসে সরবরাহ করে। এটি সেট আপ করা সহজ — কোনো NDES সার্ভারের প্রয়োজন নেই — তবে প্রাইভেট কী কানেক্টরের মাধ্যমে ট্রানজিট করে, যা আপনার নিরাপত্তা কাঠামোর জন্য একটি বিবেচ্য বিষয়। বেশিরভাগ এন্টারপ্রাইজ ডিপ্লয়মেন্টের জন্য আমি BYOD এবং মিশ্র-ডিভাইস এনভায়রনমেন্টের জন্য SCEP এবং যেখানে আপনার কর্পোরেট-মালিকানাধীন Windows ডিভাইসের একটি সমজাতীয় ফ্লিট রয়েছে এবং ইনফ্রাস্ট্রাকচারের জটিলতা কমাতে চান সেখানে PKCS সুপারিশ করব। এখন, চলুন ডিপ্লয়মেন্ট সিকোয়েন্স নিয়ে কথা বলি — কারণ ক্রমটি গুরুত্বপূর্ণ এবং এটি ভুল করা ব্যর্থ রোলআউটের সবচেয়ে সাধারণ কারণ। ধাপ এক: আপনার Certificate Authority কনফিগার করুন। আপনার Active Directory Certificate Services ইনস্ট্যান্সে একটি সার্টিফিকেট টেমপ্লেট প্রয়োজন — অথবা আপনি যদি সম্পূর্ণ ক্লাউড-নেটিভ হন, তবে Microsoft-এর Intune Cloud PKI এখন সাধারণভাবে উপলব্ধ এবং অন-প্রিমিসেস CA প্রয়োজনীয়তা সম্পূর্ণরূপে দূর করে। টেমপ্লেটটিতে সঠিক কী ইউসেজ এক্সটেনশন প্রয়োজন: Client Authentication বাধ্যতামূলক। ন্যূনতম কী সাইজ 2048 বিট বা আপনার সংস্থার নিরাপত্তা নীতির প্রয়োজন হলে 4096 সেট করুন। ধাপ দুই: ট্রাস্টেড রুট সার্টিফিকেট ডিপ্লয় করুন। কোনো ডিভাইস RADIUS সার্ভারের সার্টিফিকেট যাচাই করার আগে, তাকে অবশ্যই সেই CA-কে বিশ্বাস করতে হবে যা এটি ইস্যু করেছে। আপনি Intune-এ একটি Trusted Certificate কনফিগারেশন প্রোফাইল তৈরি করুন, রুট CA সার্টিফিকেট আপলোড করুন এবং এটি আপনার ডিভাইস গ্রুপগুলোতে অ্যাসাইন করুন। কোনো WiFi প্রোফাইল বা ক্লায়েন্ট সার্টিফিকেট প্রোফাইলের আগে এটি অবশ্যই ডিভাইসগুলোতে ল্যান্ড করতে হবে। আপনি যদি সিকোয়েন্সিং ভুল করেন, তবে ডিভাইসগুলো RADIUS সার্ভারকে প্রত্যাখ্যান করবে এবং আপনি Windows ইভেন্ট লগে Event ID 20271 দেখে একটি বিকেল কাটিয়ে দেবেন। ধাপ তিন: ক্লায়েন্ট সার্টিফিকেট প্রোফাইল ডিপ্লয় করুন। এটি হয় আপনার SCEP প্রোফাইল — যা আপনার NDES সার্ভার URL-কে নির্দেশ করে — অথবা আপনার PKCS প্রোফাইল, যা আপনার Certificate Authority-কে নির্দেশ করে। Subject Alternative Name-এ ইউজার সার্টিফিকেটের জন্য User Principal Name বা ডিভাইস সার্টিফিকেটের জন্য AAD Device ID অন্তর্ভুক্ত করা উচিত। এই পার্থক্যটি গুরুত্বপূর্ণ: ইউজার সার্টিফিকেট লগ-ইন করা ব্যবহারকারীকে প্রমাণীকরণ করে, ডিভাইস সার্টিফিকেট মেশিনটিকে প্রমাণীকরণ করে, যার অর্থ ডিভাইসটি ব্যবহারকারী লগ ইন করার আগেই WiFi-এর সাথে কানেক্ট হতে পারে — যা ডোমেইন জয়েন পরিস্থিতি এবং কিয়স্ক ডিপ্লয়মেন্টের জন্য দরকারী। ধাপ চার: WiFi কনফিগারেশন প্রোফাইল তৈরি করুন। Intune-এ, এটি Devices, Configuration Profiles, Templates, Wi-Fi-এর অধীনে রয়েছে। WiFi টাইপ Enterprise-এ সেট করুন, আপনার SSID লিখুন, EAP টাইপ EAP-TLS-এ সেট করুন, সার্ভার ট্রাস্ট সেটিংস কনফিগার করুন — এখানেই আপনি RADIUS সার্ভার সার্টিফিকেটের নাম রেফারেন্স করবেন — এবং ক্লায়েন্ট প্রমাণীকরণের জন্য, ধাপ তিনে আপনার তৈরি করা সার্টিফিকেট প্রোফাইলটি রেফারেন্স করুন। ধাপ পাঁচ: সঠিক গ্রুপগুলোতে সবকিছু অ্যাসাইন করুন এবং যাচাই করুন। আপনার রুট সার্টিফিকেট, ক্লায়েন্ট সার্টিফিকেট এবং WiFi প্রোফাইলগুলো একই ডিভাইস বা ইউজার গ্রুপে অ্যাসাইন করুন। প্রোফাইল ডিপ্লয়মেন্ট স্ট্যাটাস নিরীক্ষণ করতে Intune-এর বিল্ট-ইন রিপোর্টিং ব্যবহার করুন। একটি সফল ডিপ্লয়মেন্ট ডিভাইসের কনফিগারেশন প্রোফাইল তালিকায় তিনটি প্রোফাইলকেই Succeeded হিসেবে দেখায়। Windows Server এনভায়রনমেন্টের জন্য NPS কনফিগারেশনের একটি গুরুত্বপূর্ণ পয়েন্ট: ২০২৪ সালের শুরু থেকে, Microsoft সার্টিফিকেট ম্যাপিং প্রয়োজনীয়তা কঠোর করেছে। আপনি যদি অন-প্রিমিসেস NPS-এর বিপরীতে প্রমাণীকরণ করা Azure AD-জয়েন করা ডিভাইসগুলোর সাথে ডিভাইস সার্টিফিকেট ব্যবহার করেন, তবে আপনাকে নিশ্চিত করতে হবে যে Active Directory-তে কম্পিউটার অবজেক্টের altSecurityIdentities অ্যাট্রিবিউটটি সার্টিফিকেটের থাম্বপ্রিন্টের সাথে পপুলেট করা আছে। এটি স্বয়ংক্রিয়ভাবে ঘটে না — এটি পরিচালনা করার জন্য আপনার একটি স্ক্রিপ্ট বা ওয়ার্কফ্লো প্রয়োজন, যা সাধারণত CA নতুন সার্টিফিকেট ইস্যু করার সময় ট্রিগার হয়। [ইমপ্লিমেন্টেশন রেকমেন্ডেশন এবং পিটফল — প্রায় ২ মিনিট] আমি আপনাকে তিনটি ফাঁদ সম্পর্কে বলি যা আমি এন্টারপ্রাইজ ডিপ্লয়মেন্টে সবচেয়ে বেশি দেখি। ফাঁদ এক: সার্টিফিকেট চেইন গ্যাপ। রুট CA থেকে শুরু করে RADIUS সার্ভারের সার্টিফিকেট পর্যন্ত চেইনের প্রতিটি সার্টিফিকেটকে ডিভাইসের বিশ্বাস করতে হবে। যদি আপনার RADIUS সার্ভার সার্টিফিকেট কোনো ইন্টারমিডিয়েট CA দ্বারা ইস্যু করা হয়, তবে আপনাকে রুট এবং ইন্টারমিডিয়েট উভয়ই ডিভাইসে ডিপ্লয় করতে হবে। আমি দেখেছি ডিপ্লয়মেন্ট কয়েক সপ্তাহ ধরে ব্যর্থ হয়েছে কারণ কেউ রুট ডিপ্লয় করেছে কিন্তু ইন্টারমিডিয়েট নয়। ফাঁদ দুই: প্রোফাইল অ্যাসাইনমেন্ট টাইমিং। Intune প্রোফাইলগুলো তাৎক্ষণিকভাবে ডিভাইসে ল্যান্ড করে না। একটি বড় এস্টেটে, অ্যাসাইনমেন্টের পরে প্রোফাইলগুলো প্রোপাগেট হতে ১৫ থেকে ৩০ মিনিট সময় লাগতে পারে। প্রোফাইল তৈরি করার পরপরই পরীক্ষা করবেন না। চেক-ইন বাধ্য করতে Intune পোর্টালে Sync বোতামটি ব্যবহার করুন, তারপর অপেক্ষা করুন। এছাড়াও, WiFi প্রোফাইল প্রয়োগ করার আগে ক্লায়েন্ট সার্টিফিকেট প্রোফাইলগুলো অবশ্যই ডিপ্লয় এবং নিশ্চিত করতে হবে — যদি WiFi প্রোফাইল এমন কোনো সার্টিফিকেট রেফারেন্স করে যার অস্তিত্ব এখনও নেই, তবে প্রোফাইলটি কিছু প্ল্যাটফর্মে নীরবে ব্যর্থ হবে। ফাঁদ তিন: BYOD সার্টিফিকেট রিভোকেশন। যখন কোনো ডিভাইস Intune থেকে আনএনরোল করা হয় — কারণ কোনো কর্মচারী চলে যায়, বা কোনো ডিভাইস হারিয়ে যায় — তখন সার্টিফিকেট বাতিল করার জন্য আপনার একটি প্রক্রিয়া প্রয়োজন। আপনি যদি ADCS-এর সাথে SCEP ব্যবহার করেন, তবে Certificate Revocation List ডিস্ট্রিবিউশন পয়েন্ট সঠিকভাবে কনফিগার করুন এবং নিশ্চিত করুন যে আপনার RADIUS সার্ভার প্রতিটি প্রমাণীকরণে CRL বা OCSP চেক করছে। এটি PCI DSS-এর মতো ফ্রেমওয়ার্কের অধীনে একটি কমপ্লায়েন্স প্রয়োজনীয়তা, যা বাধ্যতামূলক করে যে অ্যাক্সেস কন্ট্রোল মেকানিজমগুলো আর প্রয়োজন না হলে অবিলম্বে বাতিল করতে হবে। কমপ্লায়েন্সের বিষয়ে: আপনি যদি PCI DSS স্কোপে কাজ করেন — উদাহরণস্বরূপ, রিটেইল পেমেন্ট এনভায়রনমেন্ট — তবে ওয়্যারলেস নেটওয়ার্ক অ্যাক্সেসের জন্য সার্টিফিকেট-ভিত্তিক 802.1X প্রমাণীকরণ হলো আপনার সবচেয়ে শক্তিশালী কন্ট্রোল। এটি নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের চারপাশে PCI DSS Requirement 1.3 এবং প্রমাণীকরণ ফ্যাক্টরগুলোর চারপাশে Requirement 8.6 পূরণ করে। আপনার কমপ্লায়েন্স প্রমাণের অংশ হিসেবে আপনার সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্ট প্রক্রিয়াটি ডকুমেন্ট করুন। GDPR-নিয়ন্ত্রিত এনভায়রনমেন্টের জন্য, বিশেষ করে হসপিটালিটি এবং পাবলিক-সেক্টরে, আপনার কর্পোরেট 802.1X নেটওয়ার্ক এবং আপনার গেস্ট WiFi নেটওয়ার্কের মধ্যে পৃথকীকরণ অত্যন্ত গুরুত্বপূর্ণ। আপনার কর্পোরেট Intune-পরিচালিত নেটওয়ার্কটি যেকোনো গেস্ট বা ভিজিটর নেটওয়ার্ক থেকে সম্পূর্ণ আলাদা VLAN এবং SSID-তে হওয়া উচিত। Purple-এর গেস্ট WiFi প্ল্যাটফর্ম ভিজিটর-ফেসিং দিকটি পরিচালনা করে — Captive Portal, সম্মতি ক্যাপচার, অ্যানালিটিক্স — যখন আপনার Intune-পরিচালিত কর্পোরেট নেটওয়ার্ক স্টাফ এবং অপারেশনাল ডিভাইসগুলো পরিচালনা করে। এই দুটি নেটওয়ার্কের কখনোই প্রমাণীকরণ ইনফ্রাস্ট্রাকচার শেয়ার করা উচিত নয়। [র‍্যাপিড-ফায়ার প্রশ্নোত্তর — প্রায় ১ মিনিট] আমি নিয়মিত আসা কয়েকটি প্রশ্নের উত্তর দিচ্ছি। আমি কি অন-প্রিমিসেস ADCS-এর পরিবর্তে Intune Cloud PKI ব্যবহার করতে পারি? হ্যাঁ। ২০২৪ সালে রিলিজ হওয়া Microsoft-এর Intune Cloud PKI, Azure-এ একটি সম্পূর্ণ পরিচালিত CA প্রদান করে। এটি SCEP-এর জন্য NDES সার্ভারের প্রয়োজনীয়তা দূর করে এবং কানেক্টর সেটআপকে উল্লেখযোগ্যভাবে সহজ করে। গ্রিনফিল্ড ডিপ্লয়মেন্ট বা বিদ্যমান ADCS ইনফ্রাস্ট্রাকচার নেই এমন সংস্থাগুলোর জন্য, এটি প্রস্তাবিত পথ। এটি কি macOS এবং iOS ডিভাইসের জন্য কাজ করে? হ্যাঁ। Intune Windows, iOS, iPadOS, Android এবং macOS-এর জন্য সার্টিফিকেট প্রোফাইল সমর্থন করে। প্রোফাইলের ধরন এবং কনফিগারেশন বিকল্পগুলো প্ল্যাটফর্ম অনুযায়ী সামান্য পরিবর্তিত হয়, তবে মূল আর্কিটেকচার — ট্রাস্টেড রুট, ক্লায়েন্ট সার্টিফিকেট, WiFi প্রোফাইল — সামঞ্জস্যপূর্ণ। একটি BYOD প্রোগ্রামে ব্যক্তিগত ডিভাইসগুলোর কী হবে? SCEP এখানে আপনার বন্ধু। Intune-এর ডিভাইস কমপ্লায়েন্স পলিসির সাহায্যে, আপনি সার্টিফিকেট ইস্যু করার আগে ডিভাইসের ন্যূনতম নিরাপত্তা মান পূরণ করার শর্ত দিতে পারেন। যদি ডিভাইসটি কমপ্লায়েন্সের বাইরে চলে যায় — কোনো স্ক্রিন লক নেই, পুরানো OS — তবে সার্টিফিকেট বাতিল করা যেতে পারে এবং নেটওয়ার্ক অ্যাক্সেস স্বয়ংক্রিয়ভাবে সরিয়ে নেওয়া যেতে পারে। Purple কি এই আর্কিটেকচারের সাথে একীভূত হতে পারে? অবশ্যই। Purple-এর প্ল্যাটফর্ম গেস্ট নেটওয়ার্কের দিকে বসে, Captive Portal প্রমাণীকরণ, সম্মতি ব্যবস্থাপনা এবং অ্যানালিটিক্স পরিচালনা করে। কর্পোরেট 802.1X নেটওয়ার্ক এবং Purple-এর গেস্ট WiFi সমান্তরালভাবে কাজ করে — একই ফিজিক্যাল ইনফ্রাস্ট্রাকচার, ভিন্ন SSID এবং VLAN — যা আপনাকে স্টাফ কানেক্টিভিটি এবং ভিজিটর এনগেজমেন্টের মধ্যে সম্পূর্ণ পৃথকীকরণ দেয়। [সারসংক্ষেপ এবং পরবর্তী পদক্ষেপ — প্রায় ১ মিনিট] শেষ করার জন্য: Intune-এর মাধ্যমে WiFi সার্টিফিকেট ডিপ্লয় করা একটি পাঁচ-ধাপের প্রক্রিয়া — CA কনফিগারেশন, ট্রাস্টেড রুট ডিপ্লয়মেন্ট, ক্লায়েন্ট সার্টিফিকেট প্রোফাইল, WiFi প্রোফাইল এবং গ্রুপ অ্যাসাইনমেন্ট। BYOD এবং উচ্চ-নিরাপত্তা এনভায়রনমেন্টের জন্য SCEP বেছে নিন; সহজ কর্পোরেট-মালিকানাধীন ফ্লিটের জন্য PKCS। সিকোয়েন্সিং ঠিক করুন, NPS সার্টিফিকেট ম্যাপিং প্রয়োজনীয়তা পরিচালনা করুন এবং প্রথম দিন থেকেই একটি সার্টিফিকেট রিভোকেশন ওয়ার্কফ্লো তৈরি করুন। বিজনেস কেসটি সোজা: আপনি শেয়ার করা WiFi পাসওয়ার্ডগুলো দূর করেন, আপনি প্রতি-ডিভাইস এবং প্রতি-ইউজার প্রমাণীকরণ লগ পান, আপনি PCI DSS এবং ISO 27001 ওয়্যারলেস নিরাপত্তা প্রয়োজনীয়তা পূরণ করেন এবং আপনি একটি বড় এস্টেট জুড়ে WiFi ক্রেডেনশিয়াল পরিচালনার আইটি ওভারহেড কমান। আপনি যদি একটি ডিপ্লয়মেন্টের পরিকল্পনা করেন এবং বুঝতে চান যে Purple-এর গেস্ট WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্ম কীভাবে আপনার কর্পোরেট নেটওয়ার্ক আর্কিটেকচারের পাশাপাশি ফিট করে, তবে purple.ai-তে যান। আমাদের কাছে Azure Entra ID ইন্টিগ্রেশন, 802.1X আর্কিটেকচার এবং হসপিটালিটি, রিটেইল এবং পাবলিক-সেক্টর এনভায়রনমেন্টের জন্য গেস্ট নেটওয়ার্ক ডিজাইনের উপর বিস্তারিত গাইড রয়েছে। শোনার জন্য ধন্যবাদ। পরের বার পর্যন্ত বিদায়।

header_image.png

এক্সিকিউটিভ সামারি

Hospitality , Retail বা পাবলিক-সেক্টর ভেন্যু জুড়ে বড় আকারের এনভায়রনমেন্ট পরিচালনা করা এন্টারপ্রাইজ আইটি লিডারদের জন্য, সুরক্ষিত ওয়্যারলেস অ্যাক্সেস হলো একটি বেসলাইন অপারেশনাল প্রয়োজনীয়তা। শেয়ার করা PSK (Pre-Shared Keys) বা ইউজারনেম/পাসওয়ার্ড প্রমাণীকরণের (PEAP-MSCHAPv2) উপর নির্ভর করা নেটওয়ার্ককে ক্রেডেনশিয়াল চুরি, ফিশিং এবং কমপ্লায়েন্স ব্যর্থতার ঝুঁকিতে ফেলে। শক্তিশালী এন্টারপ্রাইজ WiFi নিরাপত্তার জন্য ইন্ডাস্ট্রি স্ট্যান্ডার্ড হলো EAP-TLS (Extensible Authentication Protocol with Transport Layer Security) সহ 802.1X, যা ডিভাইস এবং নেটওয়ার্কের মধ্যে মিউচুয়াল সার্টিফিকেট-ভিত্তিক প্রমাণীকরণ বাধ্যতামূলক করে।

যাইহোক, EAP-TLS গ্রহণের ক্ষেত্রে প্রাথমিক বাধা ঐতিহাসিকভাবে সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্টের অপারেশনাল ওভারহেড। Microsoft Intune পরিচালিত ডিভাইসগুলোতে স্কেলে ডিজিটাল সার্টিফিকেটের ডেলিভারি, রিনিউয়াল এবং রিভোকেশন স্বয়ংক্রিয় করার মাধ্যমে এর সমাধান করে।

এই টেকনিক্যাল রেফারেন্সটি Microsoft Intune-এর মাধ্যমে WiFi সার্টিফিকেট পুশ করার জন্য প্রয়োজনীয় আর্কিটেকচার, ডিপ্লয়মেন্ট মেথডলজি (SCEP বনাম PKCS) এবং ইমপ্লিমেন্টেশন ধাপগুলোর বিস্তারিত বিবরণ দেয়। এটি নেটওয়ার্ক আর্কিটেক্ট এবং সিস্টেম ইঞ্জিনিয়ারদের জন্য কার্যকর নির্দেশিকা প্রদান করে, যাদের কাজ হলো কর্পোরেট কমিউনিকেশন সুরক্ষিত করা এবং একই সাথে ভিজিটর নেটওয়ার্কগুলো থেকে কঠোর পৃথকীকরণ বজায় রাখা, যেমন একটি Guest WiFi প্ল্যাটফর্ম দ্বারা পরিচালিত নেটওয়ার্ক।

টেকনিক্যাল ডিপ-ডাইভ: আর্কিটেকচার এবং প্রোটোকল

সার্টিফিকেট-ভিত্তিক প্রমাণীকরণ কার্যকরভাবে বাস্তবায়ন করতে, আইটি টিমগুলোকে অবশ্যই Mobile Device Management (MDM) প্ল্যাটফর্ম, Public Key Infrastructure (PKI) এবং নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল লেয়ারের মধ্যকার ইন্টারঅ্যাকশন বুঝতে হবে।

802.1X অথেনটিকেশন ফ্রেমওয়ার্ক

IEEE 802.1X স্ট্যান্ডার্ড পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল সংজ্ঞায়িত করে। ওয়্যারলেস প্রেক্ষাপটে, এটি কোনো ডিভাইসের পরিচয় যাচাই না হওয়া পর্যন্ত তাকে কোনো ট্রাফিক (EAP প্রমাণীকরণ ফ্রেম ছাড়া) পাস করতে বাধা দেয়। এই আর্কিটেকচারটি তিনটি উপাদান নিয়ে গঠিত:

  1. সাপ্লিক্যান্ট (Supplicant): ক্লায়েন্ট ডিভাইস (ল্যাপটপ, স্মার্টফোন, ট্যাবলেট) যা নেটওয়ার্ক অ্যাক্সেসের অনুরোধ করছে।
  2. অথেনটিকেটর (Authenticator): ওয়্যারলেস অ্যাক্সেস পয়েন্ট বা ওয়্যারলেস ল্যান কন্ট্রোলার যা প্রমাণীকরণ সফল না হওয়া পর্যন্ত ট্রাফিক ব্লক করে।
  3. অথেনটিকেশন সার্ভার (Authentication Server): RADIUS (Remote Authentication Dial-In User Service) সার্ভার, যেমন Microsoft Network Policy Server (NPS) বা Cisco ISE, যা ক্রেডেনশিয়াল যাচাই করে এবং অ্যাক্সেস অনুমোদন করে。

EAP-TLS এবং মিউচুয়াল অথেনটিকেশন

EAP-TLS হলো সবচেয়ে সুরক্ষিত EAP পদ্ধতি কারণ এর জন্য মিউচুয়াল অথেনটিকেশন প্রয়োজন। RADIUS সার্ভার সাপ্লিক্যান্টের কাছে তার সার্টিফিকেট উপস্থাপন করে প্রমাণ করে যে এটি বৈধ কর্পোরেট নেটওয়ার্ক (ইভিল-টুইন আক্রমণ প্রতিরোধ করে), এবং সাপ্লিক্যান্ট RADIUS সার্ভারের কাছে তার ক্লায়েন্ট সার্টিফিকেট উপস্থাপন করে প্রমাণ করে যে এটি একটি অনুমোদিত ডিভাইস বা ব্যবহারকারী।

architecture_overview.png

Intune সার্টিফিকেট ডিপ্লয়মেন্ট মেকানিজম: SCEP বনাম PKCS

ডিভাইসগুলোতে ক্লায়েন্ট সার্টিফিকেট ডিপ্লয় করার জন্য Microsoft Intune দুটি প্রাথমিক প্রোটোকল সমর্থন করে। উপযুক্ত মেকানিজম নির্বাচন করা একটি গুরুত্বপূর্ণ আর্কিটেকচারাল সিদ্ধান্ত।

সিম্পল সার্টিফিকেট এনরোলমেন্ট প্রোটোকল (SCEP)

SCEP-এর মাধ্যমে, প্রাইভেট কী সরাসরি ক্লায়েন্ট ডিভাইসে তৈরি হয়। ডিভাইসটি একটি Certificate Signing Request (CSR) তৈরি করে এবং এটি Intune-এর মাধ্যমে Network Device Enrollment Service (NDES) সার্ভারে জমা দেয়, যা Active Directory Certificate Services (ADCS) ইনফ্রাস্ট্রাকচারের প্রক্সি হিসেবে কাজ করে। CA সার্টিফিকেট ইস্যু করে, যা ডিভাইসে ফেরত পাঠানো হয়।

যেহেতু প্রাইভেট কী কখনোই ডিভাইস ছেড়ে যায় না, তাই SCEP-কে অত্যন্ত সুরক্ষিত বলে মনে করা হয় এবং এটি BYOD (Bring Your Own Device) ডিপ্লয়মেন্ট এবং জিরো-ট্রাস্ট আর্কিটেকচারের জন্য প্রস্তাবিত পদ্ধতি।

পাবলিক কী ক্রিপ্টোগ্রাফি স্ট্যান্ডার্ডস (PKCS)

PKCS-এর মাধ্যমে, Intune Certificate Connector ডিভাইসের পক্ষে CA-এর কাছে সার্টিফিকেটের অনুরোধ করে। CA পাবলিক সার্টিফিকেট এবং প্রাইভেট কী উভয়ই তৈরি করে, যা কানেক্টর তারপর Intune-এর মাধ্যমে ডিভাইসে নিরাপদে সরবরাহ করে।

যদিও PKCS ইনফ্রাস্ট্রাকচারের প্রয়োজনীয়তা সহজ করে (কোনো NDES সার্ভারের প্রয়োজন নেই), প্রাইভেট কী নেটওয়ার্কের মাধ্যমে ট্রান্সমিট করা হয়। এই মডেলটি সাধারণত কর্পোরেট-মালিকানাধীন, সম্পূর্ণ পরিচালিত ডিভাইস ফ্লিটগুলোর জন্য গ্রহণযোগ্য যেখানে MDM প্ল্যাটফর্মটি ইতিমধ্যেই একটি অত্যন্ত বিশ্বস্ত উপাদান।

certificate_deployment_comparison.png

ইমপ্লিমেন্টেশন গাইড: ধাপে ধাপে ডিপ্লয়মেন্ট

Intune-এর মাধ্যমে WiFi সার্টিফিকেট ডিপ্লয় করার জন্য সুনির্দিষ্ট সিকোয়েন্সিং প্রয়োজন। ভুল ক্রমানুসারে প্রোফাইল ডিপ্লয় করা ইমপ্লিমেন্টেশন ব্যর্থতার সবচেয়ে সাধারণ কারণ।

ধাপ ১: পাবলিক কী ইনফ্রাস্ট্রাকচার (PKI) প্রস্তুত করুন

অন-প্রিমিসেস ADCS বা Microsoft Cloud PKI-এর মতো ক্লাউড-নেটিভ সলিউশন ব্যবহার করা হোক না কেন, সার্টিফিকেট অথরিটিকে অবশ্যই উপযুক্ত টেমপ্লেটগুলোর সাথে কনফিগার করতে হবে।

  • কী ইউসেজ (Key Usage): টেমপ্লেটে অবশ্যই Client Authentication OID (1.3.6.1.5.5.7.3.2) অন্তর্ভুক্ত থাকতে হবে।
  • কী সাইজ (Key Size): আধুনিক ক্রিপ্টোগ্রাফিক স্ট্যান্ডার্ডের সাথে সামঞ্জস্য রাখতে ন্যূনতম 2048 বিট (RSA) কী সাইজ কনফিগার করুন।
  • সাবজেক্ট নেম (Subject Name): ইউজার সার্টিফিকেটের জন্য, Subject Alternative Name (SAN) User Principal Name (UPN) ব্যবহার করার জন্য কনফিগার করা উচিত। ডিভাইস সার্টিফিকেটের জন্য, Azure AD Device ID ব্যবহার করুন।

ধাপ ২: ট্রাস্টেড রুট সার্টিফিকেট ডিপ্লয় করুন

কোনো ডিভাইস প্রমাণীকরণ করার আগে, তাকে অবশ্যই সেই CA-কে বিশ্বাস করতে হবে যা RADIUS সার্ভারের সার্টিফিকেট ইস্যু করেছে।

  1. Root CA সার্টিফিকেট (এবং যেকোনো ইন্টারমিডিয়েট CA সার্টিফিকেট) .cer ফরম্যাটে এক্সপোর্ট করুন।
  2. Intune অ্যাডমিন সেন্টারে, Devices > Configuration profiles > Create profile-এ নেভিগেট করুন।
  3. প্ল্যাটফর্ম নির্বাচন করুন এবং Trusted certificate প্রোফাইল টাইপ বেছে নিন।
  4. .cer ফাইলটি আপলোড করুন এবং টার্গেট ডিভাইস বা ইউজার গ্রুপে প্রোফাইলটি অ্যাসাইন করুন।

নোট: পরবর্তী ধাপে যাওয়ার আগে এই প্রোফাইলটি অবশ্যই ডিভাইসগুলোতে সফলভাবে প্রয়োগ করতে হবে।

ধাপ ৩: ক্লায়েন্ট সার্টিফিকেট প্রোফাইল ডিপ্লয় করুন

সাপ্লিক্যান্টের কাছে আইডেন্টিটি সার্টিফিকেট সরবরাহ করতে একটি SCEP বা PKCS সার্টিফিকেট প্রোফাইল তৈরি করুন।

  1. Devices > Configuration profiles > Create profile-এ নেভিগেট করুন。
  2. প্ল্যাটফর্ম নির্বাচন করুন এবং SCEP certificate বা PKCS certificate বেছে নিন।
  3. আপনার আইডেন্টিটি প্রয়োজনীয়তা (ইউজার বনাম ডিভাইস) অনুযায়ী সাবজেক্ট নেম ফরম্যাট এবং SAN কনফিগার করুন।
  4. Key Storage Provider (KSP) নির্দিষ্ট করুন — সাধারণত হার্ডওয়্যার-ব্যাকড নিরাপত্তার জন্য Trusted Platform Module (TPM)।
  5. ধাপ ২-এ টার্গেট করা একই গ্রুপগুলোতে প্রোফাইলটি অ্যাসাইন করুন।

ধাপ ৪: WiFi প্রোফাইল কনফিগার করুন

চূড়ান্ত উপাদানটি ওয়্যারলেস নেটওয়ার্ক সেটিংসের সাথে সার্টিফিকেটগুলোকে আবদ্ধ করে।

  1. Devices > Configuration profiles > Create profile-এ নেভিগেট করুন。
  2. প্ল্যাটফর্ম নির্বাচন করুন এবং Wi-Fi প্রোফাইল টাইপ বেছে নিন।
  3. Wi-Fi টাইপ Enterprise-এ সেট করুন এবং সঠিক SSID লিখুন।
  4. EAP টাইপ EAP-TLS-এ সেট করুন।
  5. Server Trust-এর অধীনে, RADIUS সার্ভার সার্টিফিকেটের সঠিক নাম উল্লেখ করুন এবং ধাপ ২-এ ডিপ্লয় করা Trusted Root সার্টিফিকেট প্রোফাইল নির্বাচন করুন।
  6. Client Authentication-এর অধীনে, ধাপ ৩-এ ডিপ্লয় করা SCEP বা PKCS সার্টিফিকেট প্রোফাইল নির্বাচন করুন。
  7. টার্গেট গ্রুপগুলোতে প্রোফাইলটি অ্যাসাইন করুন।

বেস্ট প্র্যাকটিস এবং স্ট্র্যাটেজিক রেকমেন্ডেশন

ডিভাইস বনাম ইউজার সার্টিফিকেট

নেটওয়ার্ক আর্কিটেক্টদের অবশ্যই সিদ্ধান্ত নিতে হবে যে তারা ডিভাইসে (মেশিন অথেনটিকেশন) নাকি ইউজারে (ইউজার অথেনটিকেশন) সার্টিফিকেট ইস্যু করবেন।

  • ডিভাইস সার্টিফিকেট: কোনো ব্যবহারকারী লগ ইন করার আগেই মেশিনটিকে WiFi নেটওয়ার্কের সাথে কানেক্ট করার অনুমতি দেয়। এটি প্রাথমিক ডিভাইস প্রভিশনিং, গ্রুপ পলিসি প্রসেসিং এবং লগইন স্ক্রিনে পাসওয়ার্ড রিসেট করার জন্য অত্যন্ত গুরুত্বপূর্ণ। কর্পোরেট-মালিকানাধীন ডিভাইসের জন্য প্রস্তাবিত।
  • ইউজার সার্টিফিকেট: নেটওয়ার্ক অ্যাক্সেসকে ব্যক্তির পরিচয়ের সাথে যুক্ত করে। এটি গ্র্যানুলার অডিটিং এবং রোল-ভিত্তিক অ্যাক্সেস কন্ট্রোল প্রদান করে। BYOD পরিস্থিতির জন্য প্রস্তাবিত।

নেটওয়ার্ক সেগমেন্টেশন এবং গেস্ট অ্যাক্সেস

একটি মৌলিক নিরাপত্তা নীতি হলো ভিজিটর বা পাবলিক অ্যাক্সেস নেটওয়ার্কগুলো থেকে কর্পোরেট 802.1X নেটওয়ার্কের কঠোর লজিক্যাল পৃথকীকরণ। Intune-পরিচালিত ইনফ্রাস্ট্রাকচারটি একচেটিয়াভাবে কর্পোরেট ডিভাইস এবং প্রমাণীকৃত কর্মীদের জন্য ডেডিকেটেড হওয়া উচিত।

ভিজিটর অ্যাক্সেসের জন্য, সংস্থাগুলোর উচিত একটি Captive Portal দ্বারা সমর্থিত ডেডিকেটেড Guest WiFi SSID ডিপ্লয় করা। এটি নিশ্চিত করে যে আনম্যানেজড ডিভাইসগুলো আইসোলেটেড থাকে, পাশাপাশি ব্যবসাকে একটি WiFi Analytics প্ল্যাটফর্মের মাধ্যমে ভিজিটর অ্যানালিটিক্স ক্যাপচার করার অনুমতি দেয়। উভয় সেগমেন্ট জুড়ে DNS ইনফ্রাস্ট্রাকচার সুরক্ষিত করার বিষয়ে আরও জানতে, Protect Your Network with Strong DNS and Security সম্পর্কিত আমাদের গাইডটি পর্যালোচনা করুন।

NPS সার্টিফিকেট ম্যাপিং রিকোয়ারমেন্ট অ্যাড্রেস করা

Azure AD-জয়েন করা ডিভাইসগুলোর সাথে Microsoft Network Policy Server (NPS) ব্যবহার করা সংস্থাগুলোর জন্য, Microsoft একটি গুরুত্বপূর্ণ কনফিগারেশন পরিবর্তন চালু করেছে। NPS-এর এখন শক্তিশালী সার্টিফিকেট ম্যাপিং প্রয়োজন।

ডিভাইস সার্টিফিকেট ব্যবহার করার সময়, অন-প্রিমিসেস Active Directory-তে থাকা কম্পিউটার অবজেক্টের altSecurityIdentities অ্যাট্রিবিউটে অবশ্যই সার্টিফিকেটের বিবরণ (সাধারণত X509IssuerSerialNumber) থাকতে হবে। Intune যখন নতুন সার্টিফিকেট ইস্যু করে তখন এই অ্যাট্রিবিউট আপডেট করার জন্য আইটি টিমগুলোকে অবশ্যই একটি শিডিউল করা স্ক্রিপ্ট বা ইভেন্ট-ড্রিভেন ওয়ার্কফ্লো বাস্তবায়ন করতে হবে, অন্যথায় প্রমাণীকরণ ব্যর্থ হবে।

ট্রাবলশুটিং এবং রিস্ক মিটিগেশন

যখন একটি 802.1X ডিপ্লয়মেন্ট ব্যর্থ হয়, তখন সমস্যাটি প্রায় সবসময়ই সার্টিফিকেট চেইন বা Intune প্রোফাইল সিকোয়েন্সিংয়ে থাকে।

সাধারণ ফেইলিওর মোড

  1. সাইলেন্ট WiFi প্রোফাইল ফেইলিওর: যদি ক্লায়েন্ট সার্টিফিকেট সফলভাবে প্রভিশন হওয়ার আগে ডিভাইসে Intune WiFi প্রোফাইল প্রয়োগ করা হয়, তবে WiFi প্রোফাইলটি প্রায়শই ইনস্টল হতে ব্যর্থ হবে বা নীরবে ব্যর্থ হবে। WiFi কনফিগারেশন ট্রাবলশুট করার আগে সর্বদা ডিভাইসের পার্সোনাল স্টোরে (Windows-এ certmgr.msc) সার্টিফিকেটের উপস্থিতি যাচাই করুন।
  2. সার্ভার ট্রাস্ট ভ্যালিডেশন এরর: যদি ডিভাইসটি RADIUS সার্ভারকে প্রত্যাখ্যান করে, তবে যাচাই করুন যে Intune WiFi প্রোফাইলে নির্দিষ্ট করা সার্ভারের নামটি RADIUS সার্ভারের সার্টিফিকেটের সাবজেক্ট নেম বা SAN-এর সাথে হুবহু মেলে কিনা। উপরন্তু, নিশ্চিত করুন যে সম্পূর্ণ সার্টিফিকেট চেইন (রুট এবং ইন্টারমিডিয়েট) ডিভাইসের Trusted Root Certification Authorities স্টোরে উপস্থিত রয়েছে।
  3. সার্টিফিকেট রিভোকেশন লিস্ট (CRL) আনঅ্যাভেইলেবিলিটি: যদি RADIUS সার্ভার ক্লায়েন্ট সার্টিফিকেটের স্ট্যাটাস যাচাই করতে CA-এর CRL ডিস্ট্রিবিউশন পয়েন্টে পৌঁছাতে না পারে, তবে প্রমাণীকরণ প্রত্যাখ্যান করা হবে। নিশ্চিত করুন যে CRL URL-টি অত্যন্ত সহজলভ্য এবং RADIUS সার্ভার থেকে অ্যাক্সেসযোগ্য।

ROI এবং বিজনেস ইমপ্যাক্ট

Intune-এর মাধ্যমে সার্টিফিকেট-ভিত্তিক WiFi প্রমাণীকরণে ট্রানজিশন উল্লেখযোগ্য অপারেশনাল এবং সিকিউরিটি রিটার্ন প্রদান করে।

  • রিস্ক মিটিগেশন: শেয়ার করা PSK-এর মাধ্যমে ক্রেডেনশিয়াল হার্ভেস্টিং, পাস-দ্য-হ্যাশ আক্রমণ এবং অননুমোদিত নেটওয়ার্ক অ্যাক্সেসের ঝুঁকি দূর করে।
  • অপারেশনাল এফিশিয়েন্সি: পাসওয়ার্ডের মেয়াদ শেষ হওয়া এবং WiFi কানেক্টিভিটি সমস্যা সম্পর্কিত আইটি হেল্পডেস্ক টিকিট কমায়। স্বয়ংক্রিয় লাইফসাইকেল ম্যানেজমেন্টের অর্থ হলো ব্যবহারকারীর হস্তক্ষেপ ছাড়াই সার্টিফিকেটগুলো স্বচ্ছভাবে রিনিউ করা হয়。
  • কমপ্লায়েন্স এনাবলমেন্ট: কঠোর নিয়ন্ত্রক প্রয়োজনীয়তা পূরণ করে। রিটেইল এনভায়রনমেন্টের জন্য, এটি শক্তিশালী ওয়্যারলেস এনক্রিপশন এবং প্রমাণীকরণের জন্য সরাসরি PCI DSS প্রয়োজনীয়তাগুলো পূরণ করে। পাবলিক সেক্টর এবং হেলথকেয়ারের জন্য, এটি জিরো-ট্রাস্ট নেটওয়ার্ক অ্যাক্সেস (ZTNA) নীতিগুলোর সাথে সামঞ্জস্যপূর্ণ।

সার্টিফিকেট ডিপ্লয়মেন্টের জন্য Microsoft Intune ব্যবহার করে, আইটি টিমগুলো একটি বাধাহীন, অত্যন্ত সুরক্ষিত ওয়্যারলেস অভিজ্ঞতা অর্জন করতে পারে যা ব্যাকগ্রাউন্ডে নীরবে কাজ করে, ব্যবসাকে মূল ক্রিয়াকলাপগুলোতে ফোকাস করার অনুমতি দেয়।

মূল সংজ্ঞাসমূহ

802.1X

পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের জন্য একটি IEEE স্ট্যান্ডার্ড যা অননুমোদিত ডিভাইসগুলোকে সফলভাবে প্রমাণীকরণ না করা পর্যন্ত LAN বা WLAN অ্যাক্সেস করতে বাধা দেয়।

মৌলিক নিরাপত্তা প্রোটোকল যা কর্পোরেট এনভায়রনমেন্টে শেয়ার করা WiFi পাসওয়ার্ডগুলোকে এন্টারপ্রাইজ-গ্রেড প্রমাণীকরণ দিয়ে প্রতিস্থাপন করে।

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security। একটি প্রমাণীকরণ ফ্রেমওয়ার্ক যার জন্য ক্লায়েন্ট এবং সার্ভার উভয়কেই ডিজিটাল সার্টিফিকেট ব্যবহার করে তাদের পরিচয় প্রমাণ করতে হয়।

Intune WiFi প্রোফাইলে কনফিগার করা নির্দিষ্ট প্রোটোকল যা মিউচুয়াল সার্টিফিকেট প্রমাণীকরণ প্রয়োগ করে, ক্রেডেনশিয়াল চুরির ঝুঁকি দূর করে।

SCEP

Simple Certificate Enrollment Protocol। একটি মেকানিজম যেখানে ক্লায়েন্ট ডিভাইস তার নিজস্ব প্রাইভেট কী তৈরি করে এবং একটি মধ্যস্থতাকারী সার্ভারের মাধ্যমে CA থেকে একটি সার্টিফিকেটের অনুরোধ করে।

BYOD এনভায়রনমেন্টের জন্য পছন্দের ডিপ্লয়মেন্ট পদ্ধতি কারণ প্রাইভেট কী কখনোই নেটওয়ার্কের মাধ্যমে ট্রান্সমিট করা হয় না।

PKCS

Public Key Cryptography Standards। Intune-এর প্রেক্ষাপটে, এটি একটি ডিপ্লয়মেন্ট পদ্ধতি যেখানে CA প্রাইভেট কী তৈরি করে এবং Intune Connector এটি ডিভাইসে নিরাপদে সরবরাহ করে।

একটি সহজ ডিপ্লয়মেন্ট আর্কিটেকচার যা প্রায়শই কর্পোরেট-মালিকানাধীন ডিভাইস ফ্লিটগুলোর জন্য ব্যবহৃত হয়, কারণ এটি NDES সার্ভারের প্রয়োজনীয়তা দূর করে।

NDES

Network Device Enrollment Service। একটি Microsoft সার্ভার রোল যা প্রক্সি হিসেবে কাজ করে, ডোমেইন ক্রেডেনশিয়াল ছাড়া চলা ডিভাইসগুলোকে Active Directory Certificate Authority থেকে সার্টিফিকেট পাওয়ার অনুমতি দেয়।

অন-প্রিমিসেস ADCS এনভায়রনমেন্টে SCEP-এর মাধ্যমে সার্টিফিকেট ডিপ্লয় করার সময় একটি বাধ্যতামূলক ইনফ্রাস্ট্রাকচার উপাদান।

RADIUS

Remote Authentication Dial-In User Service। একটি নেটওয়ার্কিং প্রোটোকল যা কেন্দ্রীভূত Authentication, Authorization এবং Accounting (AAA) ম্যানেজমেন্ট প্রদান করে।

সার্ভার (যেমন Microsoft NPS বা Cisco ISE) যা WiFi অ্যাক্সেস পয়েন্ট থেকে প্রমাণীকরণের অনুরোধ গ্রহণ করে এবং ডিভাইসের সার্টিফিকেট যাচাই করে।

Supplicant

এন্ড-ইউজার ডিভাইসে (ল্যাপটপ, স্মার্টফোন) থাকা সফটওয়্যার ক্লায়েন্ট যা 802.1X প্রমাণীকরণ প্রক্রিয়া শুরু করে।

Intune WiFi প্রোফাইল সঠিক সার্টিফিকেট এবং EAP পদ্ধতি ব্যবহার করার জন্য নেটিভ OS সাপ্লিক্যান্ট (যেমন, Windows WLAN AutoConfig) কনফিগার করে।

Certificate Revocation List (CRL)

সার্টিফিকেট অথরিটি দ্বারা প্রকাশিত একটি ডিজিটালভাবে স্বাক্ষরিত তালিকা যাতে বাতিল করা এবং আর বিশ্বাস করা উচিত নয় এমন সার্টিফিকেটগুলোর সিরিয়াল নম্বর থাকে।

নিরাপত্তা কমপ্লায়েন্সের জন্য অত্যন্ত গুরুত্বপূর্ণ; কানেক্ট করা কোনো ডিভাইস হারিয়ে গেছে বা চুরি হয়েছে বলে রিপোর্ট করা হয়নি তা নিশ্চিত করতে RADIUS সার্ভারকে অবশ্যই CRL চেক করতে হবে।

সমাধানকৃত উদাহরণসমূহ

একটি ৪০০-লোকেশন বিশিষ্ট রিটেইল চেইন ইনভেন্টরি ম্যানেজমেন্টের জন্য কর্পোরেট-মালিকানাধীন ট্যাবলেট ডিপ্লয় করছে। ডিভাইসগুলো Intune-এর মাধ্যমে সম্পূর্ণ পরিচালিত এবং Azure AD-তে জয়েন করা। কোনো নির্দিষ্ট ব্যবহারকারী লগ ইন করার আগে, ইনভেন্টরি ডেটাবেস সিঙ্ক করার জন্য বুট করার সাথে সাথেই তাদের নেটওয়ার্ক অ্যাক্সেস প্রয়োজন। নেটওয়ার্ক ইনফ্রাস্ট্রাকচার RADIUS সার্ভার হিসেবে Cisco ISE ব্যবহার করে। সর্বোত্তম সার্টিফিকেট ডিপ্লয়মেন্ট কৌশল কী?

আইটি টিমের উচিত PKCS ডিভাইস সার্টিফিকেট বাস্তবায়ন করা।

১. CA-তে একটি ডিভাইস সার্টিফিকেট টেমপ্লেট কনফিগার করুন। ২. Intune-এর মাধ্যমে ট্যাবলেটগুলোতে Root CA সার্টিফিকেট ডিপ্লয় করুন। ৩. Intune-এ একটি PKCS সার্টিফিকেট প্রোফাইল তৈরি করুন, সাবজেক্ট নেম ফরম্যাটটি Azure AD Device ID ({{AAD_Device_ID}})-তে সেট করুন। ৪. EAP-TLS নির্দিষ্ট করে একটি Enterprise WiFi প্রোফাইল তৈরি করুন, ISE সার্ভারের সার্টিফিকেটের নাম এবং ডিপ্লয় করা PKCS প্রোফাইল রেফারেন্স করুন। ৫. ট্যাবলেটগুলো থাকা ডিভাইস গ্রুপে সমস্ত প্রোফাইল অ্যাসাইন করুন।

পরীক্ষকের মন্তব্য: এখানে PKCS উপযুক্ত কারণ ডিভাইসগুলো কর্পোরেট-মালিকানাধীন এবং সম্পূর্ণ পরিচালিত, যা প্রাইভেট কী ট্রানজিটের সাথে যুক্ত ঝুঁকি কমায়। ডিভাইস সার্টিফিকেট বাধ্যতামূলক কারণ ব্যবহারকারী লগইন করার আগে ট্যাবলেটগুলোর নেটওয়ার্ক অ্যাক্সেস প্রয়োজন। Azure AD Device ID টার্গেট করার মাধ্যমে, Cisco ISE নির্দিষ্ট হার্ডওয়্যার অ্যাসেট প্রমাণীকরণ করতে পারে এবং এটিকে সঠিক সীমাবদ্ধ ইনভেন্টরি VLAN-এ অ্যাসাইন করতে পারে।

একটি বড় টিচিং হাসপাতাল মেডিকেল কর্মীদের ক্লিনিক্যাল শিডিউলিং অ্যাপ্লিকেশন অ্যাক্সেস করতে তাদের ব্যক্তিগত স্মার্টফোন (BYOD) ব্যবহার করার অনুমতি দেয়। ডিভাইসগুলো একটি ওয়ার্ক প্রোফাইলের মাধ্যমে Intune-এ এনরোল করা। নিরাপত্তা নীতি বাধ্যতামূলক করে যে ব্যক্তিগত ডিভাইসে কোনো কর্পোরেট ক্রেডেনশিয়াল সংরক্ষণ করা যাবে না এবং কোনো ডিভাইস আপস করা হলে নেটওয়ার্ক অ্যাক্সেস অবিলম্বে বাতিল করতে হবে। WiFi প্রমাণীকরণ কীভাবে ডিজাইন করা উচিত?

হাসপাতালটিকে অবশ্যই Intune Compliance Policy-র সাথে যুক্ত করে SCEP ইউজার সার্টিফিকেট বাস্তবায়ন করতে হবে।

১. CA-তে অনুরোধ প্রক্সি করতে একটি NDES সার্ভার ডিপ্লয় করুন। ২. Intune-এ একটি SCEP ইউজার সার্টিফিকেট প্রোফাইল তৈরি করুন, যেখানে SAN-টি User Principal Name ({{UserPrincipalName}})-এ কনফিগার করা থাকবে। ৩. একটি ন্যূনতম OS সংস্করণ, একটি সক্রিয় স্ক্রিন লক এবং কোনো জেলব্রেক/রুট অ্যাক্সেস না থাকার শর্ত দিয়ে একটি Intune Compliance Policy তৈরি করুন। ৪. একটি অত্যন্ত সহজলভ্য Certificate Revocation List (CRL) প্রকাশ করতে CA কনফিগার করুন। ৫. প্রতিটি প্রমাণীকরণ প্রচেষ্টায় কঠোরভাবে CRL চেকিং প্রয়োগ করতে RADIUS সার্ভার কনফিগার করুন।

পরীক্ষকের মন্তব্য: BYOD-এর জন্য SCEP হলো একমাত্র গ্রহণযোগ্য পছন্দ কারণ প্রাইভেট কী ব্যক্তিগত ডিভাইসে তৈরি হয় এবং ইন্টারসেপ্ট করা যায় না। HIPAA/GDPR অডিটিংয়ের জন্য নেটওয়ার্ক অ্যাক্টিভিটিকে নির্দিষ্ট ক্লিনিশিয়ানের সাথে যুক্ত করতে ইউজার সার্টিফিকেট প্রয়োজন। গুরুত্বপূর্ণ উপাদানটি হলো Intune Compliance Policy-র সাথে ইন্টিগ্রেশন; যদি কোনো ডিভাইস নন-কমপ্লায়েন্ট হয়ে যায়, Intune সার্টিফিকেট রিভোকেশন ট্রিগার করতে পারে এবং RADIUS সার্ভারের CRL চেক অবিলম্বে নেটওয়ার্ক অ্যাক্সেস ব্লক করবে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনার সংস্থা কর্পোরেট WiFi-এর জন্য PEAP-MSCHAPv2 (ইউজারনেম/পাসওয়ার্ড) থেকে EAP-TLS-এ মাইগ্রেট করছে। পাইলট পর্যায়ে, বেশ কয়েকটি Windows 11 ল্যাপটপ সফলভাবে Intune কনফিগারেশন প্রোফাইল গ্রহণ করে কিন্তু নেটওয়ার্কের সাথে কানেক্ট হতে ব্যর্থ হয়। Windows Event Log পর্যালোচনা করে Event ID 20271 দেখা যায় যা নির্দেশ করে যে RADIUS সার্ভার সার্টিফিকেট প্রত্যাখ্যান করা হয়েছে। এর সবচেয়ে সম্ভাব্য কারণ কী?

ইঙ্গিত: মিউচুয়াল প্রমাণীকরণের জন্য প্রয়োজনীয় চেইন অফ ট্রাস্ট বিবেচনা করুন।

মডেল উত্তর দেখুন

ডিভাইসগুলোতে সেই Trusted Root CA সার্টিফিকেট নেই যা RADIUS সার্ভারের সার্টিফিকেট ইস্যু করেছে। EAP-TLS-এ, ডিভাইসটিকে অবশ্যই RADIUS সার্ভারের পরিচয় যাচাই করতে হবে। আইটি টিমকে অবশ্যই নিশ্চিত করতে হবে যে Root CA (এবং যেকোনো Intermediate CA) ধারণকারী 'Trusted certificate' প্রোফাইলটি Intune-এর মাধ্যমে ডিভাইসগুলোতে ডিপ্লয় করা হয়েছে এবং WiFi প্রোফাইল কানেক্ট করার চেষ্টা করার আগেই সফলভাবে ইনস্টল করা হয়েছে।

Q2. একটি পাবলিক সেক্টর ভেন্যু Intune এবং PKCS সার্টিফিকেট ব্যবহার করে স্টাফ ডিভাইসগুলোর জন্য 802.1X ডিপ্লয় করছে। তারা একটি Guest WiFi প্ল্যাটফর্ম দ্বারা পরিচালিত একটি পৃথক ভিজিটর নেটওয়ার্কও পরিচালনা করে। একজন অডিটর উল্লেখ করেছেন যে যদি কোনো স্টাফের ল্যাপটপ চুরি হয়ে যায়, তবে সার্টিফিকেটটি ১২ মাসের জন্য বৈধ থাকে। নেটওয়ার্ক আর্কিটেক্টের কীভাবে এই ঝুঁকি মোকাবেলা করা উচিত?

ইঙ্গিত: মেয়াদ শেষ হওয়ার আগে একটি সার্টিফিকেট যে আর বৈধ নয় তা প্রমাণীকরণ সার্ভার কীভাবে জানবে?

মডেল উত্তর দেখুন

আর্কিটেক্টকে অবশ্যই একটি শক্তিশালী Certificate Revocation ওয়ার্কফ্লো বাস্তবায়ন করতে হবে। প্রথমত, নিশ্চিত করুন যে CA একটি অত্যন্ত সহজলভ্য ডিস্ট্রিবিউশন পয়েন্টে Certificate Revocation List (CRL) প্রকাশ করে। দ্বিতীয়ত, প্রতিটি প্রমাণীকরণ প্রচেষ্টার সময় CRL চেকিং বাধ্যতামূলক করতে RADIUS সার্ভার (যেমন, NPS) কনফিগার করুন। পরিশেষে, হারিয়ে যাওয়া বা চুরি হওয়া হিসেবে চিহ্নিত যেকোনো ডিভাইসের সার্টিফিকেট স্পষ্টভাবে বাতিল করার জন্য একটি Intune অপারেশনাল পদ্ধতি স্থাপন করুন, যা CRL আপডেট করে এবং নেটওয়ার্ক অ্যাক্সেস ব্লক করে।

Q3. আপনি একটি রিটেইল এনভায়রনমেন্টে শেয়ার করা কিয়স্ক ডিভাইসের ফ্লিটের জন্য Intune ডিপ্লয়মেন্ট ডিজাইন করছেন। এই ডিভাইসগুলো প্রতিদিন রিবুট হয় এবং কোনো ব্যবহারকারী তাদের সাথে ইন্টারঅ্যাক্ট করার আগে আপডেট ডাউনলোড করতে অবিলম্বে কর্পোরেট নেটওয়ার্কের সাথে কানেক্ট হতে হবে। আপনার কি ইউজার সার্টিফিকেট নাকি ডিভাইস সার্টিফিকেট ডিপ্লয় করা উচিত এবং কোন Subject Alternative Name (SAN) ফরম্যাট ব্যবহার করা উচিত?

ইঙ্গিত: রিবুট করার ঠিক পরে ডিভাইসের অবস্থা বিবেচনা করুন।

মডেল উত্তর দেখুন

আপনাকে অবশ্যই ডিভাইস সার্টিফিকেট ডিপ্লয় করতে হবে। যেহেতু ব্যবহারকারী লগ ইন করার আগে কিয়স্কগুলোর নেটওয়ার্ক অ্যাক্সেস প্রয়োজন, তাই বুট করার সময় একটি ইউজার সার্টিফিকেট অনুপলব্ধ থাকবে। Intune সার্টিফিকেট প্রোফাইলে Subject Alternative Name (SAN) Azure AD Device ID ({{AAD_Device_ID}}) বা ডিভাইসের ফুলি কোয়ালিফাইড ডোমেইন নেম ব্যবহার করার জন্য কনফিগার করা উচিত, যা RADIUS সার্ভারকে নির্দিষ্ট হার্ডওয়্যার অ্যাসেট প্রমাণীকরণ করার অনুমতি দেয়।

এই সিরিজে পড়া চালিয়ে যান

ভেন্ডর অনুযায়ী প্রতি-ডিভাইস PSK: iPSK, DPSK, MPSK এবং PPSK-এর তুলনা (এবং WPA3 সাপোর্ট)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet এবং Ubiquiti UniFi-এর প্রতি-ডিভাইস PSK ইমপ্লিমেন্টেশনের একটি বিস্তারিত তুলনা। জানুন কীভাবে WPA3-SAE প্রতি-ডিভাইস কী (key) কৌশলগুলোকে প্রভাবিত করে এবং কখন ট্রানজিশন মোড স্থাপন করতে হবে বনাম 802.1X-এ স্থানান্তরিত হতে হবে।

গাইডটি পড়ুন →

MAC Address Authentication কী? কখন এটি ব্যবহার করবেন এবং কখন এড়িয়ে চলবেন

এই অথরিটেটিভ টেকনিক্যাল রেফারেন্স গাইডটি এন্টারপ্রাইজ WiFi এনভায়রনমেন্টে MAC অ্যাড্রেস অথেনটিকেশন কভার করে — কীভাবে RADIUS-ভিত্তিক MAC অথেনটিকেশন Layer 2-তে কাজ করে, এর অন্তর্নিহিত সিকিউরিটি দুর্বলতাগুলো (যার মধ্যে MAC স্পুফিং এবং OS-লেভেল MAC র‍্যান্ডমাইজেশনের প্রভাব অন্তর্ভুক্ত) এবং সুনির্দিষ্ট অপারেশনাল কনটেক্সট যেখানে এটি IoT এবং হেডলেস ডিভাইসগুলো ম্যানেজ করার জন্য একটি বৈধ টুল হিসেবে রয়ে গেছে। এটি হসপিটালিটি, রিটেইল, হেলথকেয়ার এবং পাবলিক-সেক্টর ভেন্যুগুলোর আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য রিয়েল-ওয়ার্ল্ড ওয়ার্কড এক্সাম্পল, ডিসিশন ফ্রেমওয়ার্ক এবং Purple-এর গেস্ট WiFi ও অ্যানালিটিক্স প্ল্যাটফর্মের ইন্টিগ্রেশন কনটেক্সটসহ অ্যাকশনেবল ডিপ্লয়মেন্ট গাইডেন্স প্রদান করে।

গাইডটি পড়ুন →

কীভাবে 802.1X এর মাধ্যমে iOS এবং macOS-এ এন্টারপ্রাইজ WiFi সেট আপ করবেন

এই প্রামাণিক গাইডটি সিনিয়র IT লিডারদের iOS এবং macOS ডিভাইসে 802.1X এন্টারপ্রাইজ WiFi ডিপ্লয় করার জন্য কার্যকর পদক্ষেপ প্রদান করে। এটি BYOD উদ্যোগগুলোকে সমর্থন করার পাশাপাশি কর্পোরেট নেটওয়ার্ক সুরক্ষিত করতে সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন (EAP-TLS), MDM কনফিগারেশন প্রোফাইল এবং আর্কিটেকচার ইন্টিগ্রেশন কভার করে।

গাইডটি পড়ুন →