Skip to main content
Español (México)
Regístrate para obtener Guest WiFi gratuito

Jamf y RADIUS: Autenticación WiFi basada en certificados para flotas de dispositivos Apple

Esta guía de referencia técnica proporciona a gerentes de TI, arquitectos de red y CTO pasos prácticos para implementar la autenticación WiFi 802.1X basada en certificados para flotas de dispositivos Apple utilizando Jamf Pro y RADIUS. Cubre el flujo de trabajo completo de aprovisionamiento de certificados SCEP, la estructura del perfil de configuración WiFi, los requisitos de integración de RADIUS y escenarios de implementación reales en entornos de salud y empresariales. La guía es esencial para cualquier organización que busque eliminar las vulnerabilidades de WiFi basadas en contraseñas, reducir la carga de trabajo del helpdesk y cumplir con los estándares de acceso a la red PCI DSS y GDPR.

📖 9 min de lectura📝 2,102 palabras🔧 2 ejemplos3 preguntas📚 9 términos clave

🎧 Escucha esta guía

Ver transcripción
Welcome to the Purple Technical Briefing. I'm your host, and today we're diving into a critical infrastructure topic for enterprise Apple environments: deploying certificate-based WiFi authentication using Jamf Pro and RADIUS. If you're an IT manager, network architect, or venue operations director, you know the pain of password-based WiFi. Users change their Active Directory passwords, and suddenly their iPhones, iPads, and MacBooks drop off the network. Helpdesk tickets spike. Security is compromised because passwords can be shared, phished, or intercepted. The enterprise-grade solution is 802.1X EAP-TLS. That's certificate-based authentication. No passwords. The device authenticates itself using a cryptographic certificate. And when you're managing a fleet of Apple devices, the industry standard way to deploy those certificates and the corresponding WiFi configurations is through Mobile Device Management — specifically Jamf Pro. Let's break down the architecture. At the edge, you have your enterprise Access Points. Behind them, your RADIUS server — maybe FreeRADIUS, Cisco ISE, or Microsoft NPS. And managing the devices, you have Jamf Pro. The magic happens through a protocol called SCEP — Simple Certificate Enrollment Protocol. SCEP allows Jamf to tell an Apple device: go and talk to this Certificate Authority and get yourself a unique certificate. Here's the step-by-step flow. First, you configure a Configuration Profile in Jamf Pro. This profile contains two crucial payloads. The first is the SCEP payload. This tells the macOS or iOS device the URL of your SCEP server and provides a dynamic challenge password. The device generates a Certificate Signing Request — or CSR — and sends it to the SCEP server. The SCEP server validates the challenge, signs the certificate, and issues it back to the device. Now the device has a unique, identity-bound certificate. But it needs to know what to do with it. That's where the second payload comes in: the WiFi payload. In Jamf, you configure the WiFi payload for WPA2 or WPA3 Enterprise. You select EAP-TLS as the accepted EAP type. And crucially, you link this WiFi payload to the SCEP payload you just created. You're telling the device: when you connect to the corporate SSID, use the certificate you got from this SCEP process to authenticate. When the user walks into the office, the MacBook sees the SSID. It initiates an 802.1X connection. The Access Point passes the request to the RADIUS server. The RADIUS server and the MacBook exchange certificates to establish mutual trust. The RADIUS server validates the MacBook's certificate against the Certificate Authority. If it's valid, not revoked, and matches the required policies, the RADIUS server sends an Access-Accept message to the Access Point, and the device is on the network. Seamlessly. Zero user interaction. Let's talk about implementation pitfalls. The number one issue we see is certificate trust chain failures. For EAP-TLS to work, the Apple device must trust the RADIUS server's certificate, and the RADIUS server must trust the device's certificate. In your Jamf WiFi profile, you must explicitly define the trusted server certificate names and include the Root CA certificate in the profile. If you miss this, iOS and macOS will silently fail the connection, or prompt the user to manually trust the certificate — which defeats the entire purpose of MDM deployment. Another common pitfall is the initial SCEP enrollment challenge. If the device is trying to get its SCEP certificate over the very WiFi network it needs the certificate to access, you have a chicken-and-egg problem. You need an onboarding network, or the devices need to receive their profiles via Ethernet or cellular data before hitting the corporate WiFi. Now, let's look at a real-world scenario. A major hospital network was deploying five thousand iPads for clinical staff. They were using PEAP with usernames and passwords. Every ninety days, Active Directory passwords expired. The morning after expiration, hundreds of nurses couldn't access patient records because their iPads dropped off the WiFi. By moving to Jamf-managed SCEP and EAP-TLS, they eliminated password rotations for network access entirely. The certificates were valid for a year, and Jamf automatically renewed them at thirty days out via SCEP. Helpdesk tickets for WiFi dropped by eighty-five percent. Let me give you the rapid-fire Q and A. Question: Can I use PEAP with Jamf instead of EAP-TLS? Technically yes, but you lose the key benefit of passwordless authentication. EAP-TLS is the recommended standard. Question: Do I need an internal CA, or can I use a public CA? For RADIUS authentication, an internal CA is strongly recommended because you control the issuance and revocation of device certificates. Question: What happens when a device is unenrolled from Jamf? The certificate should be revoked at the CA level, and the RADIUS server should check the Certificate Revocation List to deny access. So, what are the key takeaways? First: move away from PEAP and passwords. EAP-TLS is the gold standard for Apple fleets. Second: leverage Jamf Pro's dynamic SCEP payloads to issue unique, device-bound certificates without manual intervention. Third: ensure your certificate trust chains are explicitly defined in your configuration profiles to prevent silent failures. Fourth: plan your onboarding network carefully — devices need a path to the SCEP server before they can join the secure WiFi. And fifth: use device-based certificates for shared hardware, and user-based certificates for one-to-one deployments. That's our technical deep-dive on Jamf and RADIUS for today. For more detailed configuration steps and architecture diagrams, refer to the full written guide on the Purple platform. Thanks for listening.

header_image.png

Resumen ejecutivo

Gestionar el acceso WiFi seguro para una flota de dispositivos Apple en un entorno empresarial presenta un desafío operativo y de seguridad significativo cuando se depende de la autenticación tradicional basada en contraseñas. Los usuarios cambian sus credenciales de Active Directory e inmediatamente sus iPhones, iPads y MacBooks pierden la conexión a la red, lo que genera tickets de soporte, interrumpe los flujos de trabajo y expone a la organización a ataques basados en credenciales.

Para gerentes de TI, arquitectos de red y CTO en hoteles, cadenas de retail, estadios y organizaciones del sector público, la solución es la autenticación 802.1X basada en certificados utilizando EAP-TLS. Al aprovechar Jamf Pro para distribuir certificados criptográficos únicos a través de SCEP (Simple Certificate Enrollment Protocol) e integrarse con un servidor RADIUS, las organizaciones pueden lograr un acceso WiFi fluido y sin contraseñas para cada dispositivo Apple gestionado. Esta guía ofrece un enfoque práctico y neutral respecto al proveedor para implementar la autenticación de certificados WiFi de Jamf RADIUS, garantizando una seguridad robusta, el cumplimiento de estándares como PCI DSS y GDPR, y una reducción medible en los costos operativos de soporte.

Análisis técnico profundo

La arquitectura 802.1X EAP-TLS

La base de la autenticación WiFi basada en certificados es el estándar IEEE 802.1X combinado con el protocolo EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). Para obtener una introducción detallada sobre el estándar 802.1X, consulte nuestra guía sobre Autenticación 802.1X: Asegurando el acceso a la red en dispositivos modernos .

A diferencia de PEAP (Protected EAP), que depende de un nombre de usuario y contraseña, EAP-TLS requiere que tanto el dispositivo cliente como el servidor de autenticación demuestren sus identidades mediante certificados digitales. Esta autenticación mutua es lo que convierte a EAP-TLS en el estándar de oro para implementaciones empresariales. El modelo de tres partes consta de los siguientes componentes.

Componente Rol Ejemplos
Suplicante El dispositivo Apple que solicita acceso a la red MacBook, iPhone, iPad
Autenticador El dispositivo de borde de red que aplica el control de acceso WiFi Access Point, WLC
Servidor de autenticación Valida certificados y autoriza el acceso FreeRADIUS, Cisco ISE, Microsoft NPS

El punto de acceso actúa como un guardián, bloqueando todo el tráfico hasta que el servidor RADIUS envía un mensaje Access-Accept. Este es el núcleo del modelo de Control de Acceso a la Red basado en puertos (PNAC) de IEEE 802.1X.

radius_architecture_overview.png

SCEP y Jamf Pro: Distribución escalable de certificados

El desafío con EAP-TLS a escala es la distribución de certificados. Instalar manualmente un certificado único en 500 iPads no es una operación viable. Aquí es donde la integración de Jamf Pro y SCEP Jamf se convierte en el habilitador crítico.

SCEP (Simple Certificate Enrollment Protocol) es un protocolo ligero que permite que un dispositivo solicite y reciba automáticamente un certificado firmado de una Autoridad de Certificación (CA). Jamf Pro actúa como el orquestador, enviando un Perfil de Configuración a cada dispositivo Apple. Este perfil contiene una carga útil de SCEP que indica al dispositivo que contacte al servidor SCEP, proporciona una contraseña de desafío dinámica y especifica los atributos de certificado requeridos, como el Subject Alternative Name (SAN), que generalmente se asigna a la dirección MAC o al número de serie del dispositivo.

scep_flow_diagram.png

El mecanismo de contraseña de desafío dinámica es particularmente importante. En una implementación de SCEP integrada con Jamf, Jamf genera una contraseña de desafío única y de un solo uso para cada dispositivo. Esto garantiza que solo los dispositivos inscritos en Jamf Pro —y, por lo tanto, gestionados corporativamente— puedan obtener con éxito un certificado de la CA. Este es un control de seguridad crítico que evita que dispositivos no autorizados se inscriban.

Atributos RADIUS para la autenticación de dispositivos Apple

Cuando el servidor RADIUS recibe un Access-Request del punto de acceso, evalúa varios atributos para tomar su decisión de autorización. Para las implementaciones de Apple 802.1X, los atributos RADIUS más relevantes son los siguientes.

Atributo RADIUS Descripción Relevancia para Apple
User-Name (Attr 1) La identidad presentada por el suplicante Generalmente el Subject CN o SAN del certificado
NAS-IP-Address (Attr 4) La IP del punto de acceso Se utiliza para políticas específicas de AP
Called-Station-Id (Attr 30) El BSSID y SSID del AP Permite la aplicación de políticas basadas en SSID
EAP-Message (Attr 79) El paquete EAP encapsulado Contiene los datos del handshake TLS
Tunnel-Type (Attr 64) Especifica el tipo de asignación de VLAN Se utiliza para la asignación dinámica de VLAN post-autenticación
Tunnel-Medium-Type (Attr 65) Especifica el medio para el túnel Requerido para el etiquetado de VLAN 802.1Q
Tunnel-Private-Group-Id (Attr 81) El ID de VLAN a asignar Permite la segmentación de red basada en roles

El atributo Tunnel-Private-Group-Id es particularmente potente en implementaciones empresariales. Al devolver diferentes IDs de VLAN basados en los atributos del certificado (por ejemplo, departamento, tipo de dispositivo), el servidor RADIUS puede segmentar dinámicamente la red sin necesidad de SSIDs separados.

Guía de implementación

La implementación de la autenticación WiFi de Apple mediante certificados a través de Jamf Pro sigue una secuencia estructurada. Desviarse de este orden es la causa principal de las implementaciones fallidas.

Paso 1: Establezca su infraestructura de Autoridad de Certificación

Antes de tocar Jamf, su infraestructura de CA debe een su lugar. Para entornos de Microsoft, esto suele ser Active Directory Certificate Services (AD CS) con el rol Network Device Enrollment Service (NDES), que actúa como el servidor SCEP. Para entornos que no son de Microsoft, las opciones incluyen EJBCA, HashiCorp Vault PKI o CA basadas en la nube como AWS Private CA.

Asegúrese de que su jerarquía de CA sea clara: una Root CA que se mantenga fuera de línea y una o más Issuing CA que firmen los certificados de los dispositivos. El servidor RADIUS necesitará su propio certificado firmado por esta misma jerarquía de CA.

Paso 2: Configure el payload de SCEP en Jamf Pro

Navegue a Computers (o Mobile Devices) > Configuration Profiles > New. Agregue un payload de Certificate y seleccione SCEP como fuente del certificado. Los campos críticos son los siguientes.

  • URL: El endpoint de SCEP (por ejemplo, http://ndes.yourdomain.com/certsrv/mscep/mscep.dll).
  • Name: Un nombre descriptivo que aparecerá en el Keychain del dispositivo.
  • Subject: El Distinguished Name del certificado. Use variables de Jamf como CN=$COMPUTERNAME para computadoras o CN=$JSSID para dispositivos móviles.
  • Subject Alternative Name (SAN): Establezca el SAN Type como RFC 822 Name con el valor $MACADDRESS@yourdomain.com, o DNS Name con $COMPUTERNAME.yourdomain.com. Esto es lo que el servidor RADIUS leerá para identificar el dispositivo.
  • Challenge Type: Seleccione Dynamic para usar el proxy SCEP integrado de Jamf, que genera contraseñas de desafío por dispositivo.
  • Key Size: RSA de 2048 bits como mínimo. Se recomiendan 4096 bits para nuevas implementaciones.
  • Key Usage: Habilite tanto Signing como Encryption.

Paso 3: Configure el payload de WiFi

En el mismo Configuration Profile, agregue un payload de Wi-Fi. Los ajustes clave para Apple 802.1X son los siguientes.

  • SSID: El nombre exacto de su SSID corporativo seguro.
  • Security Type: WPA2 Enterprise o WPA3 Enterprise (recomendado donde el hardware lo soporte).
  • Protocols — Accepted EAP Types: Seleccione solo TLS. Deseleccione PEAP, TTLS y todos los demás tipos para forzar exclusivamente EAP-TLS.
  • Authentication — Identity Certificate: Seleccione el payload SCEP que creó en el Paso 2. Este es el vínculo crítico entre el certificado y la conexión WiFi.
  • Trust — Trusted Server Certificate Names: Ingrese el Common Name (CN) exacto del certificado de su servidor RADIUS (por ejemplo, radius.yourdomain.com). Este es el elemento de configuración que más se omite.
  • Trust — Trusted Certificates: Cargue la Root CA y cualquier certificado de CA intermedia que haya firmado el certificado del servidor RADIUS.

Paso 4: Configure el servidor RADIUS

En su servidor RADIUS, cree una política de red que coincida con los atributos del certificado que definió en Jamf. Para Microsoft NPS, esto significa crear una Connection Request Policy que coincida con el SSID a través del atributo Called-Station-Id, y una Network Policy que valide el certificado contra su CA y, opcionalmente, asigne una VLAN a través de los atributos de Tunnel.

Para FreeRADIUS, configure el módulo eap para usar tls y apunte a su certificado de CA, certificado de servidor y clave privada. El archivo users o el backend SQL deben configurarse para que el SAN del certificado coincida con su inventario de dispositivos.

Paso 5: Alcance e implementación del perfil

En Jamf Pro, asigne el alcance del Configuration Profile a los grupos de dispositivos adecuados; por ejemplo, todos los dispositivos en el Smart Group "Corporate Fleet". El perfil se enviará automáticamente a través de MDM. Los dispositivos que estén en línea lo recibirán en minutos; los que estén fuera de línea lo recibirán la próxima vez que se conecten.

Mejores prácticas

Implemente WPA3 Enterprise donde sea posible. WPA3 Enterprise con modo de 192 bits proporciona una fuerza criptográfica mejorada mediante GCMP-256 y HMAC-SHA-384, ofreciendo una protección significativamente más sólida que WPA2 Enterprise. Para entornos de Hospitalidad y organizaciones de Sector salud que manejan datos sensibles, esta actualización es cada vez más un requisito de cumplimiento en lugar de solo una mejor práctica.

Aproveche los certificados basados en dispositivos para hardware compartido. Para dispositivos compartidos —como iPads de punto de venta en retail, tablets de conserjería de hoteles o dispositivos clínicos— use certificados vinculados al dispositivo en lugar de certificados vinculados al usuario. Esto garantiza que el dispositivo se conecte a la red al arrancar, antes de que cualquier usuario inicie sesión, permitiendo que las verificaciones de MDM, las actualizaciones de aplicaciones y las notificaciones push funcionen correctamente. Esta es una consideración crítica para implementaciones de Retail donde los dispositivos pueden compartirse entre turnos.

Integre el acceso a la red con su postura de seguridad general. Mientras el personal utiliza 802.1X para un acceso interno seguro, asegúrese de que sus redes públicas se gestionen a través de una solución robusta de Guest WiFi para mantener una separación clara del tráfico. Combinar la autenticación del personal basada en certificados con WiFi Analytics proporciona visibilidad completa tanto del comportamiento de los dispositivos autenticados como de la actividad de la red de invitados.

Automatice la renovación de certificados. Configure el payload SCEP en Jamf para activar la renovación automática cuando un certificado esté a punto de expirar (entre 14 y 30 días). Esto evita el escenario en el que un dispositivo pierde silenciosamente el acceso a la red porque su certificado expiró de la noche a la mañana. En Jamf Pro, esto se controla a través del ajuste Renewal Threshold en el payload SCEP.

Mantenga una Certificate Revocation List (CRL) o un respondedor OCSP. Cuando un dispositivo se retira, es robado o se desvincula de Jamf, su certificado debe revocarse a nivel de CA. Configure su servidor RADIUS para verificar el endpoint de CRL u OCSP en cada intento de autenticación. Sin esto, un dispositivo robado con un certificado válido aún puede autenticarse en la red.

Para obtener más contexto sobre las decisiones de infraestructura de red moderna, la guía Los beneficios principales de SD-WAN para las empresas modernas proporciona un contexto útil sobre cómo la autenticación basada en certificados se integra con las arquitecturas superpuestas de SD-WAN.

TResolución de problemas y mitigación de riesgos

El problema de aprovisionamiento del huevo y la gallina. Los dispositivos necesitan una conexión de red para llegar al servidor SCEP y descargar su certificado, pero necesitan el certificado para unirse a la WiFi segura. Este es el bloqueador de implementación más común. Las estrategias de mitigación recomendadas son: aprovisionamiento a través de Ethernet usando adaptadores de USB-C o Lightning a Ethernet; uso de datos celulares en iPhones e iPads con capacidad celular; o la creación de un SSID de incorporación temporal y restringido con reglas de firewall que permitan únicamente el tráfico SCEP y MDM.

Fallos silenciosos de EAP-TLS en macOS. Si la cadena de confianza está incompleta, macOS puede fallar silenciosamente al conectarse sin mostrar un error significativo en la interfaz de usuario. La única indicación se encuentra en el registro del sistema. Use log stream --predicate 'subsystem == "com.apple.network"' para capturar eventos de autenticación en tiempo real. Verifique siempre que el arreglo Trusted Server Certificate Names en el perfil de Jamf coincida exactamente con el CN en el certificado del servidor RADIUS.

Tiempo de espera de RADIUS durante eventos de alta carga. En entornos como estadios o centros de convenciones, las solicitudes de autenticación simultáneas de cientos de dispositivos pueden saturar el servidor RADIUS. Mitigue esto implementando RADIUS en un par de alta disponibilidad, ajustando el parámetro max_requests en FreeRADIUS y asegurándose de que el servidor RADIUS tenga suficiente CPU y memoria para la carga de autenticación concurrente esperada. Para implementaciones en recintos de gran escala, revise nuestra guía sobre Definición de puntos de acceso inalámbricos: Su guía definitiva para 2026 para consideraciones de planificación de capacidad.

Discrepancia de atributos del certificado. Si el SAN en el certificado del dispositivo no coincide con lo que espera la Política de Red de RADIUS, la autenticación fallará. Esto es particularmente común al migrar de una CA a otra, o cuando las variables de Jamf se resuelven de manera diferente a lo esperado. Pruebe siempre con un solo dispositivo e inspeccione los registros del servidor RADIUS para confirmar la cadena de identidad exacta que se presenta antes de implementarlo en toda la flota.

ROI e impacto empresarial

La transición a la autenticación por certificado WiFi de Jamf RADIUS ofrece un valor empresarial medible en varias dimensiones.

Métrica Resultado típico
Reducción de tickets de soporte Reducción del 60–85% en las solicitudes de soporte relacionadas con WiFi
Tiempo de incorporación por dispositivo Reducido de 15–30 minutos a menos de 2 minutos (zero-touch)
Riesgo de incidentes de seguridad Casi eliminación de los ataques a WiFi basados en credenciales
Postura de cumplimiento Cumple con el requisito 1.3 de PCI DSS y los controles de red del Artículo 32 del GDPR
Ciclo de vida del certificado La renovación automatizada elimina la gestión manual de certificados

El impulsor de ROI más significativo es la eliminación de las interrupciones por rotación de contraseñas. En una flota de 500 dispositivos donde el 10% de los dispositivos se desconectan de la red cada trimestre debido a cambios de contraseña, y cada incidente requiere 20 minutos de tiempo de TI para resolverse, los ahorros en costos de soporte anual por sí solos pueden justificar la inversión de implementación en el primer año.

Para los operadores de Transporte y entornos de grandes recintos, el caso de negocio se fortalece aún más por la capacidad de aplicar la asignación dinámica de VLAN, lo que garantiza que los dispositivos operativos, los dispositivos del personal y los sistemas de gestión se segmenten automáticamente sin una reconfiguración manual de la red.

Términos clave y definiciones

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

The most secure 802.1X authentication method, requiring both the client device and the RADIUS server to authenticate each other using digital certificates. No password is exchanged or transmitted.

When IT teams need to eliminate password-based WiFi and enforce strict device compliance, EAP-TLS is the mandatory standard. It is the only EAP type that provides mutual authentication.

SCEP (Simple Certificate Enrollment Protocol)

A protocol that allows devices to securely and automatically request digital certificates from a Certificate Authority using a challenge-response mechanism.

Essential for scaling certificate deployments via Jamf Pro without requiring IT staff to manually install certificates on thousands of devices. Jamf's dynamic SCEP proxy generates per-device challenge passwords.

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol providing centralised Authentication, Authorisation, and Accounting (AAA) management for devices connecting to a network service.

The central decision engine that tells the WiFi Access Point whether a Jamf-managed device is allowed on the network, and optionally which VLAN to assign.

Configuration Profile

An XML file (.mobileconfig) deployed by Jamf Pro that contains one or more payloads to manage settings on Apple devices, including certificates, WiFi, VPN, and restrictions.

This is the vehicle used to push the SCEP settings, WiFi SSID configuration, and certificate trust chain to the iPhone, iPad, or Mac.

CSR (Certificate Signing Request)

A block of encoded text generated by the Apple device containing the public key and identity information, sent to the Certificate Authority to apply for a signed digital certificate.

The first step in the SCEP process. The device generates the CSR locally, ensuring the private key never leaves the device — a fundamental principle of PKI security.

Subject Alternative Name (SAN)

An extension to an X.509 certificate that allows multiple identity values to be associated with the certificate, such as email addresses, DNS names, IP addresses, or MAC addresses.

Crucial for RADIUS authentication. The RADIUS server reads the SAN to identify the device or user. In Jamf deployments, the SAN is typically set to the device's MAC address or the user's UPN.

Root CA (Certificate Authority)

The top-most certificate in a PKI hierarchy, the private key of which is used to sign subordinate CA certificates. The Root CA certificate must be trusted by all parties in the authentication chain.

Must be deployed to Apple devices via Jamf so they trust the certificates presented by the RADIUS server during the EAP-TLS handshake. Without it, the handshake fails.

IEEE 802.1X

An IEEE standard for port-based Network Access Control (PNAC), providing an authentication mechanism to devices wishing to attach to a LAN or WLAN before network access is granted.

The overarching framework that blocks network traffic at the Access Point until the RADIUS server validates the Jamf-provisioned certificate. All enterprise WiFi security is built on this standard.

Dynamic VLAN Assignment

A RADIUS feature that assigns a connecting device to a specific VLAN based on policy attributes returned in the Access-Accept message, using RADIUS Tunnel attributes 64, 65, and 81.

Enables network segmentation without multiple SSIDs. A single corporate SSID can automatically place clinical iPads on VLAN 20, executive MacBooks on VLAN 30, and guest devices on VLAN 100.

Casos de éxito

A 500-bed hospital needs to deploy 1,200 shared iPads for clinical staff. They currently use PEAP with Active Directory credentials, resulting in hundreds of disconnected devices every 90 days when passwords expire. How should they redesign their authentication architecture?

The hospital should migrate to EAP-TLS using device-based certificates managed through Jamf Pro. The implementation involves four key steps. First, deploy AD CS with the NDES role to act as the SCEP server, issuing certificates from a dedicated 'Clinical Device' certificate template. Second, configure a Jamf Configuration Profile with a SCEP payload using $MACADDRESS as the SAN, and a WiFi payload targeting the clinical SSID with EAP-TLS only, explicitly trusting the RADIUS server certificate. Third, configure Microsoft NPS with a Network Policy that matches the 'Clinical Device' certificate template and assigns devices to the Clinical VLAN (Tunnel-Private-Group-Id = 20). Fourth, set the SCEP renewal threshold to 30 days to ensure automatic certificate renewal without IT intervention. Devices should be provisioned via Ethernet during the initial rollout to resolve the onboarding network challenge.

Notas de implementación: This approach eliminates the 90-day password rotation issue entirely. By using device-based certificates rather than user-based, the iPads remain connected to the network even when sitting on a charging cart, ensuring they receive critical MDM updates and push notifications before a clinician picks them up. The dynamic VLAN assignment via RADIUS ensures clinical devices are automatically placed on the correct network segment, meeting HIPAA network segmentation requirements without manual configuration.

A creative agency with 300 MacBooks is moving to a new office. They want zero-touch WiFi provisioning — new MacBooks should automatically connect to the secure corporate SSID when unboxed by end-users at their desks, with no IT intervention. How do they achieve this?

The agency must combine Apple Automated Device Enrollment (ADE) with Jamf Pro and a carefully sequenced Configuration Profile. During the macOS Setup Assistant, the MacBook connects to the internet via a temporary open onboarding SSID (restricted by firewall to permit only Apple activation, Jamf MDM, and SCEP traffic). It contacts Apple, recognises it belongs to the agency via ADE, and automatically enrolls in Jamf Pro. Jamf Pro immediately pushes a pre-staged Configuration Profile containing the SCEP payload and the corporate WiFi payload. The SCEP enrollment completes over the onboarding SSID, the certificate is installed in the Keychain, and the WiFi payload activates. The MacBook then automatically transitions to the secure 802.1X corporate SSID. From the user's perspective, they simply complete the Setup Assistant and the laptop is on the corporate network.

Notas de implementación: This scenario highlights the critical importance of the onboarding network in zero-touch deployments. The SCEP payload and WiFi payload must be in the same Configuration Profile and scoped to the Prestage Enrollment group so they are pushed immediately upon MDM enrollment — before the user reaches the desktop. If the profile is scoped to a Smart Group that requires the device to be fully enrolled first, there may be a delay during which the device has no network access, breaking the zero-touch experience.

Análisis de escenarios

Q1. You have deployed a Jamf Configuration Profile with a SCEP payload and a WiFi payload to 50 MacBooks. The SCEP certificates are successfully installed in the Keychain, but the MacBooks are prompting users with a 'Verify Certificate' dialogue when attempting to connect to the corporate SSID. What configuration element is missing or incorrect?

💡 Sugerencia:Think about what information the Apple device needs to automatically trust the RADIUS server's identity without user interaction.

Mostrar enfoque recomendado

The WiFi payload in the Jamf Configuration Profile is missing either the 'Trusted Server Certificate Names' entry (which must exactly match the CN in the RADIUS server's certificate), or the Root CA and Intermediate CA certificates that signed the RADIUS server's certificate are not included in the profile's Trust payload. Without explicit trust defined by the MDM, macOS and iOS require the user to manually verify and accept the RADIUS server's certificate during the EAP-TLS handshake. Both fields must be populated: the Trusted Certificates array (containing the CA chain) and the Trusted Server Certificate Names array (containing the RADIUS server's CN).

Q2. A retail chain wants their point-of-sale iPads to connect to the secure corporate WiFi immediately upon boot, before any staff member logs into the POS application. The current deployment uses user certificates tied to individual employee UPNs. Devices frequently fail to connect at the start of a shift. What is the root cause and what is the correct architectural change?

💡 Sugerencia:Consider when different types of certificates become available to the iOS network stack relative to the user authentication lifecycle.

Mostrar enfoque recomendado

The root cause is that user certificates (tied to a UPN) are stored in the user's keychain and are only accessible after the user has authenticated to the device. At boot or at the iOS lock screen, the user keychain is locked, so the WiFi stack cannot access the certificate to perform EAP-TLS. The correct architectural change is to switch to device certificates, where the SAN is set to the device's MAC address or serial number. Device certificates are stored in the system keychain, which is accessible at boot time before any user logs in. The RADIUS Network Policy must be updated to match device certificates rather than user certificates, and the Jamf SCEP payload must be updated to use device-level variables such as $MACADDRESS or $SERIALNUMBER as the SAN.

Q3. Your organisation uses Microsoft NPS as the RADIUS server. You are configuring a new Jamf SCEP payload for 200 MacBooks. The NPS Network Policy is configured to require that the certificate's Subject Alternative Name matches a computer account in Active Directory. What SAN value should you configure in the Jamf SCEP payload, and what format does NPS expect?

💡 Sugerencia:NPS computer certificate authentication requires the SAN to match the computer's identity in Active Directory in a specific format.

Mostrar enfoque recomendado

For NPS computer certificate authentication, the SAN must be set to the DNS Name type with the value $COMPUTERNAME.yourdomain.com (using the Jamf variable for the computer's hostname). NPS expects the SAN DNS Name to match the computer's fully qualified domain name (FQDN) as it appears in Active Directory. Alternatively, if using the User Principal Name SAN type, the format should be host/$ COMPUTERNAME@YOURDOMAIN.COM . The NPS Network Policy's condition should be set to match the 'Client Certificate SAN' attribute. Ensure the MacBooks are bound to Active Directory, or that the computer names in Jamf match the computer objects in AD, otherwise the NPS lookup will fail even if the certificate is valid.

Conclusiones clave

  • EAP-TLS is the gold standard for enterprise WiFi authentication — it eliminates passwords entirely and requires both the device and the RADIUS server to prove their identity using digital certificates.
  • Jamf Pro automates certificate distribution to Apple fleets at scale using the SCEP protocol, with dynamic per-device challenge passwords ensuring only managed devices can enrol.
  • A successful Jamf WiFi deployment requires two linked payloads in a single Configuration Profile: a SCEP payload to obtain the certificate, and a WiFi payload that references that certificate as the identity.
  • The most common deployment failure is an incomplete certificate trust chain — the Jamf WiFi profile must explicitly include the Root CA and specify the RADIUS server's CN in the Trusted Server Certificate Names field.
  • Device-based certificates (SAN = MAC address) are essential for shared hardware, ensuring network connectivity at boot before any user logs in.
  • Plan the onboarding network carefully — devices need a network path to the SCEP server before they can receive their certificate and join the secure 802.1X SSID.
  • Automated certificate renewal (configured at 30 days before expiration) and immediate revocation upon device decommissioning are non-negotiable operational requirements for a secure, resilient deployment.
Sobre nosotros
Carreras
Reporte B Corp
Planes
Funciones de WiFi para invitados
Precios de WiFi para invitados
Servicios profesionales
Agendar una demo
Políticas
Legal
Política de privacidad
Términos de uso
Mis datos
Política de cookies
SLA estándar
Soporte y asesoría
Calculadora de ROI
Calculadora de precios
Soporte de Purple
WhatsApp
© 2026 Purple. Todos los derechos reservados.
Gestionar preferencias de cookies