SCEP এবং PKCS-এর মাধ্যমে Microsoft Intune WiFi সার্টিফিকেট ডিপ্লয়মেন্ট

এই গাইডটি SCEP এবং PKCS ব্যবহার করে Microsoft Intune-এর মাধ্যমে WiFi অথেন্টিকেশন সার্টিফিকেট ডিপ্লয় করার জন্য একটি ধাপে ধাপে টেকনিক্যাল রেফারেন্স প্রদান করে। এটি এন্টারপ্রাইজ পরিবেশ জুড়ে সিমলেস, সুরক্ষিত কানেক্টিভিটি নিশ্চিত করতে পাসওয়ার্ডলেস 802.1X WiFi বাস্তবায়নকারী আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য ডিজাইন করা হয়েছে।

📖 6 মিনিট পাঠ📝 1,299 শব্দ🔧 2 সমাধানকৃত উদাহরণ❓ 3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

মূল বিষয়বস্তু

✓802.1X EAP-TLS হলো সুরক্ষিত এন্টারপ্রাইজ WiFi-এর জন্য স্ট্যান্ডার্ড, যার জন্য সমস্ত ডিভাইসে ক্লায়েন্ট সার্টিফিকেট প্রয়োজন।
✓Microsoft Intune SCEP বা PKCS প্রোফাইল ব্যবহার করে স্কেলে সার্টিফিকেট ডিপ্লয়মেন্ট স্বয়ংক্রিয় করে।
✓WiFi-এর জন্য SCEP অত্যন্ত সুপারিশ করা হয় কারণ প্রাইভেট কী লোকালি জেনারেট হয় এবং কখনোই ডিভাইস ছেড়ে যায় না।
✓ডিপ্লয়মেন্টের জন্য একটি কঠোর সিকোয়েন্স প্রয়োজন: ১) ট্রাস্টেড রুট, ২) SCEP প্রোফাইল, ৩) Wi-Fi প্রোফাইল।
✓ডিপেন্ডেন্সি ফেইলিওর রোধ করতে তিনটি প্রোফাইল জুড়েই গ্রুপ টার্গেটিং (ইউজার বনাম ডিভাইস) অভিন্ন হতে হবে।
✓সুরক্ষিত, রিমোট সার্টিফিকেট প্রভিশনিংয়ের অনুমতি দেওয়ার জন্য NDES সার্ভারগুলিকে Azure AD App Proxy-এর মাধ্যমে পাবলিশ করা উচিত।
✓বাতিল করা সার্টিফিকেটগুলি যাতে নেটওয়ার্ক অ্যাক্সেস করতে না পারে তা নিশ্চিত করতে RADIUS সার্ভারে কঠোর CRL চেকিং বাধ্যতামূলক।

📚 Part of our core series: Enterprise WiFi security and authentication: the complete guide →

এক্সিকিউটিভ সামারি

এন্টারপ্রাইজ ভেন্যুগুলির জন্য—তা সে একটি ব্যস্ত হসপিটালিটি পরিবেশ হোক, একটি মাল্টি-সাইট রিটেইল অপারেশন হোক, বা একটি আধুনিক কর্পোরেট ক্যাম্পাস হোক—স্টাফ WiFi-এর জন্য প্রি-শেয়ারড কী বা সাধারণ Captive Portal-এর উপর নির্ভর করা একটি সিকিউরিটি দুর্বলতা এবং অপারেশনাল বাধা। আধুনিক নেটওয়ার্ক আর্কিটেকচারে EAP-TLS ব্যবহার করে 802.1X অথেন্টিকেশন প্রয়োজন, যা নেটওয়ার্ক অ্যাক্সেস করার আগে প্রতিটি ডিভাইস ক্রিপ্টোগ্রাফিকভাবে ভেরিফাইড হওয়া নিশ্চিত করে।

তবে, চ্যালেঞ্জটি হলো ডিস্ট্রিবিউশনে: কীভাবে আপনি আপনার হেল্পডেস্ককে সাপোর্ট টিকিটের বন্যায় না ভাসিয়ে হাজার হাজার Windows, iOS এবং Android ডিভাইসে ইউনিক ক্লায়েন্ট সার্টিফিকেট ডিপ্লয় করবেন? Microsoft Intune স্বয়ংক্রিয় সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্টের মাধ্যমে এর সমাধান করে। SCEP (Simple Certificate Enrollment Protocol) বা PKCS (Public Key Cryptography Standards) সার্টিফিকেট প্রোফাইলগুলি কাজে লাগিয়ে, আইটি টিমগুলি ম্যানেজড এন্ডপয়েন্টগুলিতে সাইলেন্টলি ট্রাস্টেড রুট এবং ক্লায়েন্ট সার্টিফিকেট পুশ করতে পারে।

এই গাইডটি Intune WiFi সার্টিফিকেট ডিপ্লয়মেন্টের জন্য একটি সুনির্দিষ্ট আর্কিটেকচারাল ব্লুপ্রিন্ট এবং ধাপে ধাপে বাস্তবায়ন কৌশল প্রদান করে। আমরা SCEP এবং PKCS-এর মধ্যে গুরুত্বপূর্ণ পার্থক্যগুলি অন্বেষণ করব, সাফল্যের জন্য প্রয়োজনীয় সঠিক ডিপ্লয়মেন্ট সিকোয়েন্সের বিস্তারিত বিবরণ দেব এবং আপনার গেস্ট WiFi ও কর্পোরেট নেটওয়ার্কগুলি সুরক্ষিত এবং পারফরম্যান্ট থাকা নিশ্চিত করতে বাস্তব-বিশ্বের ঝুঁকি প্রশমন কৌশলগুলির রূপরেখা দেব।

সঙ্গী পডকাস্ট ব্রিফিংটি শুনুন: microsoft_intune_wifi_certificate_deployment_via_scep_and_pkcs_podcast.wav

টেকনিক্যাল ডিপ-ডাইভ: SCEP বনাম PKCS

আপনার Intune WiFi সার্টিফিকেট ডিপ্লয়মেন্ট কৌশল ডিজাইন করার সময়, প্রথম আর্কিটেকচারাল সিদ্ধান্ত হলো সার্টিফিকেট ডেলিভারি মেকানিজম নির্বাচন করা। Intune SCEP এবং PKCS উভয়কেই সাপোর্ট করে, তবে তারা মৌলিকভাবে ভিন্ন উপায়ে কাজ করে。

SCEP (সিম্পল সার্টিফিকেট এনরোলমেন্ট প্রোটোকল)

SCEP হলো এন্টারপ্রাইজ ডিভাইস এনরোলমেন্টের জন্য ইন্ডাস্ট্রি স্ট্যান্ডার্ড। একটি SCEP ওয়ার্কফ্লোতে, Intune সার্ভিস এন্ডপয়েন্টকে তার নিজস্ব প্রাইভেট/পাবলিক কী পেয়ার তৈরি করার নির্দেশ দেয়। ডিভাইসটি তখন একটি সার্টিফিকেট সাইনিং রিকোয়েস্ট (CSR) তৈরি করে এবং এটি একটি নেটওয়ার্ক ডিভাইস এনরোলমেন্ট সার্ভিস (NDES) সার্ভারের মাধ্যমে আপনার সার্টিফিকেট অথরিটির (CA) কাছে পাঠায়। CA রিকোয়েস্টটিতে সাইন করে এবং পাবলিক সার্টিফিকেটটি ডিভাইসে ফেরত পাঠায়।

SCEP-এর সবচেয়ে গুরুত্বপূর্ণ সিকিউরিটি সুবিধা হলো প্রাইভেট কী কখনোই ডিভাইস ছেড়ে যায় না। এটি লোকালি জেনারেট হয়, ডিভাইসের সিকিউর এনক্লেভে (যেমন Windows-এ TPM বা iOS-এ সিকিউর এনক্লেভ) স্টোর করা থাকে এবং কখনোই নেটওয়ার্কের মাধ্যমে ট্রান্সমিট করা হয় না। এটি SCEP-কে 802.1X অথেন্টিকেশনের জন্য দৃঢ়ভাবে প্রস্তাবিত পদ্ধতি করে তোলে।

PKCS (পাবলিক কী ক্রিপ্টোগ্রাফি স্ট্যান্ডার্ডস)

বিপরীতভাবে, PKCS-এর ক্ষেত্রে, সার্টিফিকেট অথরিটি সেন্ট্রালি পাবলিক এবং প্রাইভেট উভয় কী জেনারেট করে। Microsoft Intune সার্টিফিকেট কানেক্টর তারপর নিরাপদে এই কী পেয়ারটি এক্সপোর্ট করে এবং টার্গেট ডিভাইসে পুশ করে।

যদিও PKCS একটি NDES সার্ভার ডিপ্লয় এবং মেইনটেইন করার প্রয়োজনীয়তা দূর করে—যা ইনফ্রাস্ট্রাকচার ফুটপ্রিন্টকে সহজ করে—এটি একটি তাত্ত্বিক সিকিউরিটি ঝুঁকির সৃষ্টি করে কারণ প্রাইভেট কী নেটওয়ার্কের মাধ্যমে ট্রান্সমিট করা হয়। PKCS সাধারণত নেটওয়ার্ক অথেন্টিকেশনের পরিবর্তে এমন ইউজ কেসগুলির জন্য বেশি উপযুক্ত যেখানে কী এসক্রো (key escrow) প্রয়োজন, যেমন S/MIME ইমেল এনক্রিপশন।

ইমপ্লিমেন্টেশন গাইড: ডিপ্লয়মেন্ট সিকোয়েন্স

802.1X-এর জন্য সফলভাবে একটি Intune WiFi প্রোফাইল কনফিগার করার জন্য একটি নির্দিষ্ট ডিপ্লয়মেন্ট সিকোয়েন্স কঠোরভাবে মেনে চলা প্রয়োজন। Intune প্রোফাইলের ডিপেন্ডেন্সিগুলি নির্দেশ করে যে অথেন্টিকেশন কনফিগার করার আগে অবশ্যই ট্রাস্ট স্থাপন করতে হবে।

ধাপ ১: ট্রাস্টেড রুট সার্টিফিকেট প্রোফাইল ডিপ্লয় করুন

যেকোনো ডিভাইস একটি ক্লায়েন্ট সার্টিফিকেটের জন্য রিকোয়েস্ট করার বা আপনার RADIUS সার্ভারকে ট্রাস্ট করার আগে, এটিকে অবশ্যই ইস্যুকারী সার্টিফিকেট অথরিটিকে ট্রাস্ট করতে হবে।

১. আপনার রুট CA সার্টিফিকেট (এবং যেকোনো ইন্টারমিডিয়েট CA সার্টিফিকেট) .cer ফাইল হিসেবে এক্সপোর্ট করুন। ২. Microsoft Endpoint Manager অ্যাডমিন সেন্টারে, Devices > Configuration profiles > Create profile-এ নেভিগেট করুন। ৩. টার্গেট প্ল্যাটফর্ম নির্বাচন করুন (যেমন, Windows 10 এবং পরবর্তী) এবং Trusted certificate প্রোফাইল টাইপ বেছে নিন। ৪. .cer ফাইলটি আপলোড করুন এবং আপনার টার্গেট ডিভাইস গ্রুপগুলিতে এই প্রোফাইলটি ডিপ্লয় করুন।

সাধারণ নিয়ম: ডিপ্লয়মেন্ট মিসম্যাচ রোধ করতে সমস্ত সম্পর্কিত প্রোফাইল জুড়ে সর্বদা একই গ্রুপগুলিকে (Users বা Devices) টার্গেট করুন।

ধাপ ২: SCEP সার্টিফিকেট প্রোফাইল কনফিগার করুন

একবার ট্রাস্ট স্থাপিত হয়ে গেলে, ডিভাইসগুলিকে কীভাবে তাদের ক্লায়েন্ট সার্টিফিকেট পেতে হবে তার নির্দেশ দিতে SCEP প্রোফাইল কনফিগার করুন।

১. একটি নতুন কনফিগারেশন প্রোফাইল তৈরি করুন এবং SCEP certificate নির্বাচন করুন। ২. Subject name format কনফিগার করুন। ইউজার-ড্রিভেন অথেন্টিকেশনের জন্য, CN={{UserPrincipalName}} হলো স্ট্যান্ডার্ড। ডিভাইস অথেন্টিকেশনের জন্য, CN={{AAD_Device_ID}} ব্যবহার করুন। ৩. Key usage-কে Digital signature এবং Key encipherment-এ সেট করুন। ৪. Extended key usage-এর অধীনে, Client Authentication (OID: 1.3.6.1.5.5.7.3.2) নির্দিষ্ট করুন। ৫. ধাপ ১-এ তৈরি করা ট্রাস্টেড রুট সার্টিফিকেট প্রোফাইলের সাথে এই প্রোফাইলটি লিঙ্ক করুন। ৬. আপনার NDES সার্ভারের এক্সটার্নাল URL প্রদান করুন।

ধাপ ৩: 802.1X WiFi প্রোফাইল ডিপ্লয় করুন

চূড়ান্ত ধাপ হলো WiFi কনফিগারেশন পুশ করা যা সার্টিফিকেটগুলিকে নেটওয়ার্ক SSID-এর সাথে যুক্ত করে।

১. একটি Wi-Fi কনফিগারেশন প্রোফাইল তৈরি করুন। ২. আপনার ওয়্যারলেস অ্যাক্সেস পয়েন্ট দ্বারা ঠিক যেভাবে ব্রডকাস্ট করা হয় সেভাবে Network name (SSID) লিখুন। ৩. সিকিউরিটি টাইপ হিসেবে WPA2-Enterprise বা WPA3-Enterprise নির্বাচন করুন। ৪. EAP type-কে EAP-TLS-এ সেট করুন। ৫. অথেন্টিকেশন সেটিংসে, ক্লায়েন্ট অথেন্টিকেশন সার্টিফিকেট হিসেবে ধাপ ২-এ তৈরি করা SCEP সার্টিফিকেট প্রোফাইলটি নির্বাচন করুন। ৬. ডিভাইসটি শুধুমাত্র আপনার বৈধ RADIUS সার্ভারের সাথে কানেক্ট হওয়া নিশ্চিত করতে সার্ভার ভ্যালিডেশনের জন্য ট্রাস্টেড রুট সার্টিফিকেট নির্দিষ্ট করুন।

বেস্ট প্র্যাকটিস এবং ইন্ডাস্ট্রি স্ট্যান্ডার্ডস

Intune WiFi সার্টিফিকেট ডিপ্লয়মেন্ট বাস্তবায়ন করার সময়, কমপ্লায়েন্স এবং নির্ভরযোগ্যতা নিশ্চিত করতে নিম্নলিখিত ভেন্ডর-নিউট্রাল বেস্ট প্র্যাকটিসগুলি মেনে চলুন।

NDES সার্ভার প্লেসমেন্ট এবং সিকিউরিটি

অন-সাইটে পৌঁছানোর আগে রিমোট ডিভাইসগুলিকে সার্টিফিকেট প্রভিশন করার অনুমতি দেওয়ার জন্য NDES সার্ভারটি অবশ্যই ইন্টারনেট থেকে অ্যাক্সেসযোগ্য হতে হবে। তবে, একটি ইন্টারনাল সার্ভারকে সরাসরি ইন্টারনেটে উন্মুক্ত করা একটি উল্লেখযোগ্য সিকিউরিটি ঝুঁকি।

সুপারিশ: Azure AD Application Proxy ব্যবহার করে NDES URL পাবলিশ করুন। এটি ইনবাউন্ড ফায়ারওয়াল পোর্ট না খুলেই সুরক্ষিত রিমোট অ্যাক্সেস প্রদান করে এবং আপনাকে এনরোলমেন্ট ফ্লোতে কন্ডিশনাল অ্যাক্সেস পলিসি প্রয়োগ করার অনুমতি দেয়。

RADIUS এবং CRL চেকিং

সার্টিফিকেট ডিপ্লয়মেন্ট হলো সিকিউরিটি সমীকরণের মাত্র অর্ধেক; রিভোকেশনও সমানভাবে গুরুত্বপূর্ণ। যদি কোনো কর্মীকে বরখাস্ত করা হয়, তবে তাদের Active Directory অ্যাকাউন্ট নিষ্ক্রিয় করলে তাদের WiFi অ্যাক্সেস তাৎক্ষণিকভাবে বাতিল নাও হতে পারে যদি তাদের ক্লায়েন্ট সার্টিফিকেট বৈধ থাকে এবং RADIUS সার্ভার কঠোরভাবে সার্টিফিকেট রিভোকেশন লিস্ট (CRL) চেক না করে।

সুপারিশ: কঠোর CRL চেকিং এনফোর্স করতে আপনার নেটওয়ার্ক পলিসি সার্ভার (NPS) বা RADIUS সার্ভার কনফিগার করুন। নিশ্চিত করুন যে আপনার CRL ডিস্ট্রিবিউশন পয়েন্টগুলি (CDPs) হাইলি অ্যাভেইলেবল; যদি RADIUS সার্ভার CRL-এ পৌঁছাতে না পারে, তবে অথেন্টিকেশন ব্যর্থ হবে, যার ফলে ব্যাপক আউটেজ দেখা দেবে।

সুরক্ষিত নেটওয়ার্ক ডিজাইন সম্পর্কে আরও অন্তর্দৃষ্টির জন্য, আধুনিক ব্যবসার জন্য মূল SD WAN সুবিধাগুলি পর্যালোচনা করার কথা বিবেচনা করুন।

ট্রাবলশুটিং এবং ঝুঁকি প্রশমন

এমনকি সূক্ষ্ম পরিকল্পনার সাথেও, সার্টিফিকেট ডিপ্লয়মেন্টে সমস্যা দেখা দিতে পারে। এখানে সাধারণ ফেইলিওর মোড এবং প্রশমন কৌশলগুলি দেওয়া হলো।

সমস্যা: WiFi প্রোফাইল অ্যাপ্লাই হতে ব্যর্থ হয়

লক্ষণ: ডিভাইসটি ট্রাস্টেড রুট এবং SCEP সার্টিফিকেট গ্রহণ করে, কিন্তু Intune-এ WiFi প্রোফাইলটি 'Error' বা 'Not Applicable' হিসেবে দেখায়।

মূল কারণ: এটি প্রায় সবসময়ই গ্রুপ টার্গেটিংয়ে মিসম্যাচের কারণে ঘটে। যদি SCEP প্রোফাইলটি একটি ইউজার গ্রুপে অ্যাসাইন করা থাকে, কিন্তু WiFi প্রোফাইলটি একটি ডিভাইস গ্রুপে অ্যাসাইন করা থাকে, তবে Intune ডিপেন্ডেন্সি সমাধান করতে পারে না।

প্রশমন: আপনার অ্যাসাইনমেন্টগুলি অডিট করুন। নিশ্চিত করুন যে ট্রাস্টেড রুট, SCEP এবং WiFi প্রোফাইলগুলি ঠিক একই Azure AD গ্রুপে ডিপ্লয় করা হয়েছে。

সমস্যা: NDES 403 ফরবিডেন এরর

লক্ষণ: ডিভাইসগুলি SCEP সার্টিফিকেট পুনরুদ্ধার করতে ব্যর্থ হয় এবং NDES IIS লগগুলি HTTP 403 এরর দেখায়。

মূল কারণ: Intune সার্টিফিকেট কানেক্টর সার্ভিস অ্যাকাউন্টের সার্টিফিকেট টেমপ্লেটে প্রয়োজনীয় পারমিশনের অভাব রয়েছে, অথবা আপনার ফায়ারওয়ালের URL ফিল্টারিং SCEP দ্বারা ব্যবহৃত নির্দিষ্ট কোয়েরি স্ট্রিং প্যারামিটারগুলিকে ব্লক করছে。

প্রশমন: যাচাই করুন যে কানেক্টর অ্যাকাউন্টের CA টেমপ্লেটে 'Read' এবং 'Enroll' পারমিশন রয়েছে। ?operation=GetCACaps ধারণকারী URLগুলি ব্লক করা হচ্ছে না তা নিশ্চিত করতে ফায়ারওয়াল লগগুলি চেক করুন。

ROI এবং ব্যবসায়িক প্রভাব

Microsoft Intune 802.1X সার্টিফিকেট ডিপ্লয়মেন্টে ট্রানজিশন করা সিকিউরিটি এবং অপারেশন জুড়ে পরিমাপযোগ্য রিটার্ন প্রদান করে।

১. হেল্পডেস্ক টিকিট হ্রাস: পাসওয়ার্ড-ভিত্তিক WiFi উল্লেখযোগ্য পরিমাণে সাপোর্ট টিকিট তৈরি করে (পাসওয়ার্ডের মেয়াদ শেষ হওয়া, লকআউট, টাইপো)। সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন ইউজারের কাছে অদৃশ্য থাকে, যা সাধারণত WiFi-সম্পর্কিত হেল্পডেস্ক ভলিউম ৭০-৮০% কমিয়ে দেয়। ২. উন্নত সিকিউরিটি পসচার: EAP-TLS ক্রেডেনশিয়াল হারভেস্টিং এবং ম্যান-ইন-দ্য-মিডল (MitM) অ্যাটাকের ঝুঁকি দূর করে। এটি PCI DSS এবং GDPR-এর মতো ফ্রেমওয়ার্কগুলির সাথে কমপ্লায়েন্সের জন্য অত্যন্ত গুরুত্বপূর্ণ, বিশেষ করে হেলথকেয়ার এবং রিটেইল পরিবেশে。 ৩. সিমলেস অনবোর্ডিং: Windows-এর পাশাপাশি Apple ডিভাইসের বড় ফ্লিট পরিচালনা করা সংস্থাগুলির জন্য, বিদ্যমান MDM ওয়ার্কফ্লোর সাথে Intune-কে ইন্টিগ্রেট করা (আমাদের গাইড দেখুন Jamf এবং RADIUS: Apple ডিভাইস ফ্লিটগুলির জন্য সার্টিফিকেট-ভিত্তিক WiFi অথেন্টিকেশন ) প্রথম দিন থেকেই একটি ইউনিফাইড, জিরো-টাচ প্রভিশনিং অভিজ্ঞতা নিশ্চিত করে।

মূল সংজ্ঞাসমূহ

SCEP (সিম্পল সার্টিফিকেট এনরোলমেন্ট প্রোটোকল)

একটি প্রোটোকল যা ডিভাইসগুলিকে একটি সার্টিফিকেট অথরিটির কাছে ডিজিটাল সার্টিফিকেটের জন্য রিকোয়েস্ট করার অনুমতি দেয়, যেখানে প্রাইভেট কী ডিভাইসেই জেনারেট হয় এবং নিরাপদে স্টোর করা থাকে।

উচ্চ সিকিউরিটি এবং স্কেলেবিলিটির কারণে WiFi অথেন্টিকেশন সার্টিফিকেট ডিপ্লয় করার জন্য প্রস্তাবিত পদ্ধতি।

PKCS (পাবলিক কী ক্রিপ্টোগ্রাফি স্ট্যান্ডার্ডস)

স্ট্যান্ডার্ডের একটি সেট যেখানে পাবলিক এবং প্রাইভেট উভয় কী সার্টিফিকেট অথরিটি দ্বারা জেনারেট করা হয় এবং তারপর নিরাপদে এন্ডপয়েন্টে ডেলিভার করা হয়।

প্রায়শই S/MIME ইমেল এনক্রিপশনের জন্য ব্যবহৃত হয়, তবে প্রাইভেট কীর নেটওয়ার্ক ট্রান্সমিশনের কারণে WiFi-এর জন্য কম আদর্শ।

NDES (নেটওয়ার্ক ডিভাইস এনরোলমেন্ট সার্ভিস)

একটি Microsoft Windows সার্ভার রোল যা একটি ব্রিজ হিসেবে কাজ করে, ডোমেইন ক্রেডেনশিয়াল ছাড়া ডিভাইসগুলিকে SCEP-এর মাধ্যমে সার্টিফিকেট পাওয়ার অনুমতি দেয়।

Microsoft Intune-এর সাথে SCEP সার্টিফিকেট ডিপ্লয়মেন্ট বাস্তবায়ন করার সময় একটি প্রয়োজনীয় ইনফ্রাস্ট্রাকচার কম্পোনেন্ট।

EAP-TLS (এক্সটেনসিবল অথেন্টিকেশন প্রোটোকল - ট্রান্সপোর্ট লেয়ার সিকিউরিটি)

সবচেয়ে সুরক্ষিত 802.1X অথেন্টিকেশন পদ্ধতি, যার জন্য সার্ভার এবং ক্লায়েন্ট উভয়কেই বৈধ ডিজিটাল সার্টিফিকেট উপস্থাপন করতে হয়।

টার্গেট অথেন্টিকেশন প্রোটোকল যা Intune WiFi এবং সার্টিফিকেট প্রোফাইলগুলি এনাবল করার জন্য ডিজাইন করা হয়েছে।

CRL (সার্টিফিকেট রিভোকেশন লিস্ট)

সার্টিফিকেট অথরিটি দ্বারা প্রকাশিত একটি তালিকা যাতে মেয়াদ শেষ হওয়ার তারিখের আগে বাতিল করা সার্টিফিকেটগুলির সিরিয়াল নম্বর থাকে।

সিকিউরিটির জন্য অত্যন্ত গুরুত্বপূর্ণ; বরখাস্ত হওয়া কর্মীরা অন্যথায় বৈধ সার্টিফিকেট ব্যবহার করে WiFi অ্যাক্সেস করতে না পারে তা নিশ্চিত করতে RADIUS সার্ভারগুলিকে অবশ্যই CRL চেক করতে হবে।

Intune সার্টিফিকেট কানেক্টর

একটি অন-প্রিমিসেস Windows সার্ভারে ইনস্টল করা একটি সফটওয়্যার এজেন্ট যা Microsoft Intune এবং ইন্টারনাল সার্টিফিকেট অথরিটির মধ্যে রিকোয়েস্ট ব্রোকার করে।

SCEP (রিকোয়েস্ট ভ্যালিডেট করতে) এবং PKCS (কী এক্সপোর্ট করতে) উভয় ডিপ্লয়মেন্টের জন্যই প্রয়োজনীয়।

সাবজেক্ট অল্টারনেটিভ নেম (SAN)

একটি ডিজিটাল সার্টিফিকেটের একটি এক্সটেনশন যা একাধিক ভ্যালুকে (যেমন UPN, ইমেল বা MAC অ্যাড্রেস) সার্টিফিকেটের সাথে যুক্ত করার অনুমতি দেয়।

RADIUS সার্ভার যাতে ইউজার বা ডিভাইসটিকে সঠিকভাবে শনাক্ত করতে পারে তা নিশ্চিত করতে Intune SCEP প্রোফাইলে কনফিগার করা হয়।

Azure AD Application Proxy

একটি ফিচার যা VPN বা ইনবাউন্ড ফায়ারওয়াল পোর্ট খোলার প্রয়োজন ছাড়াই অন-প্রিমিসেস ওয়েব অ্যাপ্লিকেশনগুলিতে সুরক্ষিত রিমোট অ্যাক্সেস প্রদান করে।

রিমোট ডিভাইস এনরোলমেন্টের জন্য ইন্টারনাল NDES সার্ভার URL-কে ইন্টারনেটে নিরাপদে পাবলিশ করার বেস্ট প্র্যাকটিস পদ্ধতি।

সমাধানকৃত উদাহরণসমূহ

৫০০টি লোকেশন বিশিষ্ট একটি জাতীয় রিটেইল চেইন তাদের স্টোর অ্যাসোসিয়েট ট্যাবলেটগুলির (Android এন্টারপ্রাইজ ডেডিকেটেড ডিভাইস) জন্য WPA2-Personal (প্রি-শেয়ারড কী) থেকে WPA3-Enterprise-এ মাইগ্রেট করছে। তারা MDM-এর জন্য Intune ব্যবহার করে। তাদের কীভাবে সার্টিফিকেট ডিপ্লয়মেন্ট আর্কিটেক্ট করা উচিত?

১. Azure AD App Proxy-এর মাধ্যমে পাবলিশ করা একটি NDES সার্ভার ডিপ্লয় করুন। ২. Intune-এ একটি ডিভাইস-ভিত্তিক SCEP সার্টিফিকেট প্রোফাইল তৈরি করুন, কারণ এগুলি ডেডিকেটেড (কিওস্ক) ডিভাইস যা কোনো নির্দিষ্ট ইউজারের সাথে যুক্ত নয়। সাবজেক্ট নেমের জন্য CN={{AAD_Device_ID}} ব্যবহার করুন। ৩. 'All Store Tablets' Azure AD ডিভাইস গ্রুপে রুট CA প্রোফাইল ডিপ্লয় করুন। ৪. একই 'All Store Tablets' গ্রুপে SCEP প্রোফাইল ডিপ্লয় করুন। ৫. WPA3-Enterprise, EAP-TLS-এর জন্য কনফিগার করা একটি Wi-Fi প্রোফাইল তৈরি করুন, যা SCEP প্রোফাইলকে রেফারেন্স করে এবং এটিকে একই গ্রুপে ডিপ্লয় করুন। ৬. Active Directory কম্পিউটার অবজেক্টগুলির বিপরীতে ডিভাইস সার্টিফিকেটগুলিকে অথেন্টিকেট করতে সেন্ট্রাল RADIUS সার্ভারগুলি কনফিগার করুন।

পরীক্ষকের মন্তব্য: এই পদ্ধতিটি সঠিকভাবে চিহ্নিত করে যে ডেডিকেটেড ডিভাইসগুলির জন্য ডিভাইস-ভিত্তিক (ইউজার-ভিত্তিক নয়) সার্টিফিকেট প্রয়োজন। তিনটি প্রোফাইল জুড়েই ধারাবাহিকভাবে ডিভাইস গ্রুপগুলিকে টার্গেট করার মাধ্যমে, আর্কিটেক্ট সবচেয়ে সাধারণ Intune ডিপ্লয়মেন্ট ফেইলিওর এড়াতে পারেন। NDES-এর জন্য Azure AD App Proxy ব্যবহার করা নিশ্চিত করে যে ট্যাবলেটগুলি VPN ছাড়াই নিরাপদে সার্টিফিকেট রিনিউ করতে পারে।

একটি বড় কনফারেন্স সেন্টার তাদের [WiFi অ্যানালিটিক্স](/products/wifi-analytics) এবং গেস্ট WiFi-এর জন্য Purple ব্যবহার করে, কিন্তু তাদের ইন্টারনাল স্টাফ নেটওয়ার্ক সুরক্ষিত করতে হবে। স্টাফরা কর্পোরেট-মালিকানাধীন Windows ল্যাপটপ এবং BYOD iOS ডিভাইসের মিশ্রণ ব্যবহার করে। তারা BYOD ডিভাইসগুলির জন্য Intune ডিপ্লয়মেন্ট কীভাবে পরিচালনা করবে?

১. BYOD ইউজারদের Intune ইউজার এনরোলমেন্টের মাধ্যমে তাদের iOS ডিভাইসগুলি এনরোল করতে বলুন (একটি সুরক্ষিত ওয়ার্ক পার্টিশন তৈরি করে)। ২. CN={{UserPrincipalName}} ব্যবহার করে একটি ইউজার-ভিত্তিক SCEP সার্টিফিকেট প্রোফাইল তৈরি করুন। ৩. একটি Azure AD ইউজার গ্রুপে (যেমন, 'All Staff') রুট CA, SCEP এবং Wi-Fi প্রোফাইলগুলি ডিপ্লয় করুন। ৪. যখন ইউজার তাদের ব্যক্তিগত ডিভাইস এনরোল করে, Intune প্রোফাইলগুলিকে বিশেষভাবে ম্যানেজড ওয়ার্ক পার্টিশনে পুশ করে। ৫. ডিভাইসটি ইউজারের আইডেন্টিটি ব্যবহার করে স্টাফ SSID-এর সাথে কানেক্ট হয়, যা RADIUS সার্ভারকে তাদের AD গ্রুপ মেম্বারশিপের উপর ভিত্তি করে রোল-বেসড অ্যাক্সেস কন্ট্রোল (VLAN অ্যাসাইনমেন্ট) প্রয়োগ করার অনুমতি দেয়।

পরীক্ষকের মন্তব্য: এই সমাধানটি প্রাইভেসি-প্রিজার্ভিং BYOD ম্যানেজমেন্টের জন্য ইউজার এনরোলমেন্ট সঠিকভাবে প্রয়োগ করে। ইউজার গ্রুপগুলিকে টার্গেট করার মাধ্যমে, কর্মীরা যে ডিভাইসই এনরোল করুক না কেন সার্টিফিকেটগুলি তাদের অনুসরণ করে। RADIUS-এর মাধ্যমে রোল-বেসড অ্যাক্সেস কন্ট্রোলের ইন্টিগ্রেশন উন্নত নেটওয়ার্ক ডিজাইন প্রদর্শন করে।

অনুশীলনী প্রশ্নসমূহ

Q1. আপনি আপনার Windows 10 ডিভাইসগুলিতে রুট CA, SCEP এবং Wi-Fi প্রোফাইলগুলি ডিপ্লয় করেছেন। সার্টিফিকেটগুলি সফলভাবে ইনস্টল হয়, কিন্তু Wi-Fi প্রোফাইলটি অ্যাপ্লাই হতে ব্যর্থ হয়, Intune কনসোলে 'Error' দেখায়। এর সবচেয়ে সম্ভাব্য কারণ কী?

ইঙ্গিত: প্রোফাইলগুলি কীভাবে Azure AD গ্রুপগুলিতে অ্যাসাইন করা হয়েছে তা চেক করুন।

মডেল উত্তর দেখুন

সবচেয়ে সম্ভাব্য কারণ হলো গ্রুপ টার্গেটিংয়ে একটি মিসম্যাচ। যদি SCEP প্রোফাইলটি একটি ইউজার গ্রুপে অ্যাসাইন করা থাকে, কিন্তু Wi-Fi প্রোফাইলটি একটি ডিভাইস গ্রুপে অ্যাসাইন করা থাকে, তবে Intune তাদের মধ্যে ডিপেন্ডেন্সি সমাধান করতে পারে না। তিনটি প্রোফাইলকেই (রুট, SCEP, Wi-Fi) ঠিক একই গ্রুপ টাইপে টার্গেট করতে হবে।

Q2. আপনার সিকিউরিটি টিম ম্যান্ডেট দিয়েছে যে প্রাইভেট কীগুলি কখনোই নেটওয়ার্কের মাধ্যমে ট্রান্সমিট করা যাবে না, এমনকি এনক্রিপ্ট করা থাকলেও। Intune-এ আপনাকে কোন সার্টিফিকেট ডিপ্লয়মেন্ট পদ্ধতি ব্যবহার করতে হবে এবং এর জন্য কোন অতিরিক্ত ইনফ্রাস্ট্রাকচার সার্ভার প্রয়োজন?

ইঙ্গিত: কী পেয়ার কোথায় জেনারেট হয় সে সম্পর্কে চিন্তা করুন।

মডেল উত্তর দেখুন

আপনাকে অবশ্যই SCEP (সিম্পল সার্টিফিকেট এনরোলমেন্ট প্রোটোকল) ব্যবহার করতে হবে। যেহেতু SCEP এন্ডপয়েন্ট ডিভাইসটিকে লোকালি প্রাইভেট কী জেনারেট করার নির্দেশ দেয়, তাই এটি কখনোই নেটওয়ার্ক অতিক্রম করে না। এই ডিপ্লয়মেন্টের জন্য সার্টিফিকেট অথরিটির সাথে একটি ব্রিজ হিসেবে কাজ করার জন্য একটি নেটওয়ার্ক ডিভাইস এনরোলমেন্ট সার্ভিস (NDES) সার্ভার প্রয়োজন।

Q3. একজন রিমোট কর্মী Windows Autopilot-এর মাধ্যমে বাড়িতে একটি নতুন ল্যাপটপ প্রভিশন করেন। Intune প্রোফাইলগুলি সফলভাবে ডিপ্লয় হয়, কিন্তু ডিভাইসটি SCEP সার্টিফিকেট পেতে ব্যর্থ হয়। কোন ইনফ্রাস্ট্রাকচার কনফিগারেশনটি সম্ভবত মিসিং আছে?

ইঙ্গিত: ডিভাইসটি কীভাবে ইন্টারনেট থেকে ইন্টারনাল CA-তে পৌঁছায়?

মডেল উত্তর দেখুন

NDES সার্ভারটি সম্ভবত ইন্টারনেটে পাবলিশ করা হয়নি। কর্পোরেট অফিসে পৌঁছানোর আগে রিমোট ডিভাইসগুলির সার্টিফিকেটের জন্য রিকোয়েস্ট করার জন্য, NDES URL-টি অবশ্যই বাহ্যিকভাবে অ্যাক্সেসযোগ্য হতে হবে, আদর্শভাবে Azure AD Application Proxy-এর মাধ্যমে নিরাপদে পাবলিশ করা উচিত।

এই সিরিজে পড়া চালিয়ে যান

Purple WiFi-এর সাথে Grandstream GWN Access Points ইন্টিগ্রেশন

এই নির্ভরযোগ্য প্রযুক্তিগত নির্দেশিকাটিতে বিস্তারিত আলোচনা করা হয়েছে কীভাবে Grandstream GWN access points-কে Purple-এর Guest WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্মের সাথে ইন্টিগ্রেট করা যায়। এতে Grandstream captive portal কনফিগারেশন, RADIUS AAA সেটিংস, walled garden সেটআপ, ডাইনামিক VLAN স্টিয়ারিং সহ নিরাপদ স্টাফ 802.1X অথেনটিকেশন এবং মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে - যা বৃহৎ পরিসরে গেস্ট এবং স্টাফ WiFi স্থাপনকারী MSP এবং IT টিমগুলোর জন্য কার্যকর, ধাপে ধাপে নির্দেশনা প্রদান করে।

Purple WiFi-এর সাথে OpenWrt কাস্টম ফার্মওয়্যার ইন্টিগ্রেশন

এই গাইডটি Purple WiFi-এর সাথে OpenWrt কাস্টম ফার্মওয়্যার স্থাপনের জন্য সম্পূর্ণ ইন্টিগ্রেশন প্লেবুক প্রদান করে। এতে CoovaChilli captive portal কনফিগারেশন, iptables walled garden ম্যানেজমেন্ট, hostapd-এর মাধ্যমে 802.1X সুরক্ষিত স্টাফ WiFi এবং ডাইনামিক VLAN অ্যাসাইনমেন্ট সহ মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন কভার করা হয়েছে - যা IT টিমগুলোকে যেকোনো OpenWrt-সক্ষম হার্ডওয়্যারে একটি আইডেন্টিটি-ভিত্তিক নেটওয়ার্ক তৈরি করার জন্য প্রয়োজনীয় সঠিক কনফিগারেশন ধাপগুলো প্রদান করে।

Purple WiFi-এর সাথে Cambium Networks cnPilot এবং cnMaestro ইন্টিগ্রেশন

এই নির্ভরযোগ্য নির্দেশিকাটি Purple WiFi ইন্টেলিজেন্স প্ল্যাটফর্মের সাথে Cambium Networks cnPilot অ্যাক্সেস পয়েন্ট এবং cnMaestro ক্লাউড কন্ট্রোলারের ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেয়। এতে আর্কিটেকচার, Captive Portal কনফিগারেশন, ওয়াল্ড গার্ডেন প্রয়োজনীয়তা, 802.1X স্টাফ WiFi এবং মাল্টি-টেন্যান্ট পরিবেশের জন্য Cambium ePSK ব্যবহার করে ডাইনামিক VLAN সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে।