Passer au contenu principal

Comment configurer le WiFi d'entreprise sur iOS et macOS avec le protocole 802.1X

Ce guide de référence fournit aux responsables informatiques des étapes concrètes pour déployer un WiFi d'entreprise 802.1X sur les appareils iOS et macOS. Il traite de l'authentification par certificat (EAP-TLS), des profils de configuration MDM et de l'intégration de l'architecture pour sécuriser les réseaux d'entreprise tout en soutenant les initiatives BYOD.

📖 4 min de lecture📝 920 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

header_image.png

Résumé exécutif

Pour les CTO et les architectes réseau gérant de grands espaces - du secteur de l' hôtellerie et du commerce de détail aux centres de transport - la sécurisation de la périphérie du réseau sans fil de l'entreprise est primordiale. S'appuyer sur des clés pré-partagées (PSK) ou des Captive Portals hérités pour l'accès du personnel et des appareils de l'entreprise expose le réseau au vol d'identifiants et aux échecs de conformité.

Cette référence technique détaille la mise en œuvre de 802.1X à l'aide d' EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) pour les appareils Apple (iOS et macOS). En imposant une authentification basée sur des certificats, les entreprises peuvent éliminer les vulnérabilités de sécurité liées aux mots de passe, simplifier l'intégration des appareils via des plateformes de gestion des appareils mobiles (MDM) telles que Jamf et Intune, et garantir une ségrégation réseau robuste. Alors que les solutions de Guest WiFi gèrent l'accès public et la capture de données, un déploiement 802.1X bien architecturé protège les ressources internes, garantissant la conformité avec les exigences PCI-DSS et GDPR.

Écoutez le podcast d'information technique de 10 minutes ci-dessous pour un aperçu rapide de l'architecture et des pièges courants.

how_to_set_up_enterprise_wifi_on_ios_and_macos_with_802_1x_podcast.wav

Analyse technique approfondie

L'architecture 802.1X

La norme IEEE 802.1X définit le contrôle d'accès réseau basé sur les ports (PNAC). Dans un contexte sans fil, elle empêche le client (supplicant) de faire passer du trafic via le point d'accès sans fil (authentificateur) jusqu'à ce qu'un serveur RADIUS (serveur d'authentification) ait vérifié son identité.

architecture_overview.png

Pour les déploiements au sein de l'écosystème Apple, EAP-TLS est la norme de l'industrie. Contrairement à PEAP ou TTLS, qui s'appuient sur des identifiants d'utilisateur vulnérables aux menaces de sécurité, EAP-TLS exige que le serveur RADIUS et l'appareil client présentent tous deux des certificats numériques. Ce processus d'authentification mutuelle garantit que l'appareil est autorisé et que le réseau auquel il se connecte est légitime, protégeant ainsi contre les attaques de points d'accès malveillants.

Profils de configuration Apple

Les appareils Apple ne prennent pas nativement en charge l'enrôlement automatisé de certificats sans gestion externe. Pour déployer EAP-TLS à grande échelle, les équipes informatiques doivent utiliser des profils de configuration (fichiers .mobileconfig). Ces fichiers XML contiennent des charges utiles spécifiques :

  1. Charge utile WiFi : Définit le SSID, le type de sécurité (WPA3-Enterprise) et les types EAP pris en charge.
  2. Charge utile du certificat : Fournit l'autorité de certification racine (CA) et toutes les CA intermédiaires requises pour faire confiance au serveur RADIUS.
  3. Charge utile SCEP/ACME : Configure le protocole utilisé pour demander un certificat client unique auprès de l'autorité de certification (CA).

Pour en savoir plus sur la sécurisation de votre infrastructure de points d'accès, consultez notre guide : Access Point Security: Your 2026 Enterprise Guide .

Guide d'implémentation

Étape 1 : Préparation PKI et RADIUS

Avant de commencer la configuration MDM, votre infrastructure à clés publiques (PKI) et votre serveur RADIUS (tel que Cisco ISE, Aruba ClearPass ou FreeRADIUS) doivent être configurés pour émettre et valider des certificats. Assurez-vous que le certificat de votre serveur RADIUS est signé par une CA interne ou publique de confiance, et que le nom alternatif du sujet (SAN) correspond au FQDN du serveur.

Étape 2 : Configuration de la charge utile MDM (Jamf / Intune)

Pour les déploiements d'entreprise à grande échelle, le déploiement basé sur un MDM est obligatoire.

mdm_deployment_comparison.png

Création du profil :

  • Paramètres de confiance : Cette étape est essentielle. Dans la charge utile WiFi, vous devez explicitement sélectionner le certificat de la CA racine (déployé en tant que charge utile distincte au sein du même profil) comme ancre de confiance pour le serveur RADIUS. De plus, spécifiez le nom commun (CN) ou le SAN exact du serveur RADIUS dans le champ "Noms de certificats de serveurs de confiance". Si vous ne le faites pas, iOS/macOS invitera l'utilisateur à faire confiance au certificat manuellement, ce qui rompt le modèle de déploiement sans contact.
  • Certificat d'identité : Liez la charge utile WiFi à la charge utile SCEP ou ACME afin que l'appareil sache quel certificat présenter lors de la phase de négociation EAP-TLS.

Étape 3 : Ségrégation du réseau

Les appareils de l'entreprise authentifiés via 802.1X doivent être placés sur des VLAN dédiés, entièrement isolés des réseaux d'accès publics. Pour les sites utilisant la solution WiFi Analytics de Purple, le SSID invité fonctionne en parallèle, garantissant que le trafic de l'entreprise et les données d'analyse des invités ne se croisent jamais.

Pour les environnements dotés de flottes d'appareils mixtes, vous pouvez également consulter le guide How to Set Up Enterprise WiFi on Android Devices with EAP-TLS .

Bonnes pratiques

  • Imposer le WPA3-Enterprise : Exigez le WPA3 pour tous les nouveaux déploiements afin de tirer parti d'une puissance cryptographique de 192 bits. Assurez la compatibilité avec les anciens appareils uniquement lorsque cela est absolument nécessaire pour les opérations commerciales.
  • Automatiser le renouvellement des certificats : Configurez la charge utile SCEP pour renouveler automatiquement les certificats clients au moins 14 jours avant leur expiration.
  • Désactiver la randomisation MAC : Pour les SSID d'entreprise déployés via MDM, désactivez l'option "Adresse privée" (iOS) pour garantir un suivi cohérent et l'application des politiques dans les outils de gestion de réseau.
  • Tirez parti de la sécurité DNS : associez l'802.1X à un filtrage DNS robuste pour empêcher les appareils d'entreprise compromis de se connecter à des serveurs de commande et de contrôle. Pour plus de détails sur la mise en œuvre, consultez Protégez votre réseau grâce à un DNS et une sécurité robustes .

Dépannage et atténuation des risques

Le scénario de la « défaillance silencieuse »

Le problème le plus courant dans les déploiements 802.1X sur iOS/macOS est la défaillance silencieuse, où l'appareil refuse de se connecter sans en avertir l'utilisateur. Cela indique presque toujours un problème de chaîne de confiance. Si le certificat du serveur RADIUS a été renouvelé et que la nouvelle autorité de certification (CA) racine/intermédiaire n'a pas été déployée sur les appareils avant la transition, les appareils Apple interrompront la liaison EAP afin de se prémunir contre les attaques de type « homme du milieu ».

Atténuation : mettez en œuvre un processus de gestion du changement rigoureux pour les certificats RADIUS. Déployez toujours la nouvelle chaîne de CA via MDM au moins une semaine avant de mettre à jour le serveur RADIUS.

Délais d'expiration d'inscription SCEP

Si les appareils ne parviennent pas à recevoir leurs certificats clients, vérifiez le mot de passe de défi SCEP et assurez-vous que le serveur MDM peut communiquer avec le serveur NDES/CA sur les ports requis.

ROI et impact commercial

Le déploiement de l'802.1X avec EAP-TLS nécessite un investissement initial dans l'architecture PKI et MDM, mais le ROI se réalise par l'atténuation des risques et l'efficacité opérationnelle. En éliminant les réinitialisations de mots de passe et en automatisant l'intégration des appareils, les tickets d'assistance informatique liés à l'accès WiFi diminuent généralement de 60 à 80 %. De plus, l'obtention d'une segmentation réseau stricte est fréquemment une exigence obligatoire pour les polices d'assurance cybersécurité et la conformité PCI-DSS, protégeant ainsi l'organisation contre des pénalités financières catastrophiques résultant de failles de sécurité.

Définitions clés

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Un protocole d'authentification nécessitant des certificats numériques tant sur le client que sur le serveur d'authentification.

Considérée comme la méthode 802.1X la plus sécurisée, éliminant le besoin de mots de passe et protégeant contre le vol d'identifiants.

Supplicant

L'appareil de l'utilisateur final (par exemple, iPhone, MacBook) qui demande l'accès au réseau.

Le supplicant doit être configuré via le MDM pour présenter le bon certificat et faire confiance au bon serveur lors de la négociation 802.1X.

Authentificateur

L'équipement réseau, généralement un point d'accès WiFi ou un commutateur, qui bloque le trafic jusqu'à ce que le supplicant soit authentifié.

Le point d'accès fait office d'intermédiaire, transmettant les messages EAP entre le supplicant et le serveur RADIUS.

Serveur RADIUS

Remote Authentication Dial-In User Service. Le serveur qui vérifie les identifiants (certificats) du supplicant et autorise l'accès.

Le moteur de décision central pour l'accès au réseau d'entreprise, souvent intégré à l'Active Directory et à l'infrastructure PKI.

Profil de configuration MDM

Un fichier XML (.mobileconfig) envoyé aux appareils Apple afin d'appliquer des paramètres, de déployer des certificats et de configurer l'accès réseau.

Le mécanisme de distribution indispensable pour réaliser des déploiements 802.1X automatisés (zero-touch) sur iOS et macOS.

SCEP

Simple Certificate Enrolment Protocol. Un protocole utilisé par les systèmes MDM pour demander et installer automatiquement des certificats sur les appareils.

Crucial pour automatiser le cycle de vie des certificats clients requis pour EAP-TLS.

SAN (Subject Alternative Name)

Une extension d'un certificat X.509 qui permet d'associer plusieurs valeurs (comme des FQDN ou des adresses IP) au certificat.

Les appareils Apple vérifient strictement le SAN du certificat du serveur RADIUS par rapport aux noms de confiance définis dans leur profil de configuration.

WPA3-Enterprise

La dernière certification de sécurité WiFi nécessitant une force cryptographique de 192 bits et des cadres de gestion protégés (PMF) obligatoires.

Le standard de sécurité recommandé pour les nouveaux déploiements en entreprise, offrant une protection significative contre l'écoute clandestine.

Exemples concrets

Une chaîne de distribution mondiale déploie des iPad d'entreprise auprès de 500 directeurs de magasin. Elle utilise actuellement un SSID masqué avec une clé PSK, qui a été divulguée. Elle doit sécuriser le réseau à l'aide de Microsoft Intune sans exiger des directeurs qu'ils saisissent manuellement des identifiants.

  1. Déployer une autorité de certification (CA) d'entreprise et configurer l'intégration de NDES/SCEP avec Intune.
  2. Créer un profil de certificat approuvé dans Intune contenant la CA racine (Root CA) pour le serveur RADIUS.
  3. Créer un profil de certificat SCEP ciblant les iPad afin de délivrer des certificats clients uniques.
  4. Créer un profil Wi-Fi dans Intune. Définir le type de sécurité sur WPA2/WPA3-Enterprise, et le type d'EAP sur EAP-TLS. Associer le profil SCEP en tant que certificat client et le profil de certificat approuvé pour la validation du serveur. Spécifier les noms des serveurs RADIUS.
  5. Déployer les profils sur un groupe de test, vérifier la connectivité, puis généraliser le déploiement aux 500 appareils.
Commentaire de l'examinateur : Cette approche élimine totalement la vulnérabilité liée à la clé PSK. En utilisant Intune pour distribuer la chaîne de certification complète et la configuration WiFi, les iPad s'authentifient de manière transparente et silencieuse. La spécification des noms des serveurs RADIUS empêche les points d'accès malveillants de tromper les iPad pour s'y connecter.

Une université met à jour son infrastructure réseau et doit s'assurer que les MacBook des enseignants, gérés par Jamf Pro, migrent sans interruption vers un nouveau cluster de serveurs RADIUS.

  1. Exporter les certificats racine et intermédiaire du nouveau cluster de serveurs RADIUS.
  2. Dans Jamf Pro, mettre à jour le profil de configuration existant (ou créer un profil de transition) pour y inclure les nouveaux certificats de CA aux côtés des anciens.
  3. Mettre à jour les "Noms de certificats de serveurs approuvés" dans la configuration WiFi pour inclure les FQDN des nouveaux serveurs RADIUS.
  4. Déployer le profil mis à jour sur tous les MacBook.
  5. Une fois l'installation du profil confirmée sur l'ensemble du parc, basculer l'infrastructure réseau vers les nouveaux serveurs RADIUS.
Commentaire de l'examinateur : Il s'agit d'un exemple type de migration sans interruption d'activité. En installant préalablement les ancres de confiance sur les MacBook avant le changement d'infrastructure, les appareils feront naturellement confiance aux nouveaux serveurs RADIUS lors de la phase de négociation EAP-TLS, évitant ainsi des coupures de connexion massives et de nombreux appels au support technique.

Questions d'entraînement

Q1. Votre organisation déploie WPA3-Enterprise sur tous les MacBooks de l'entreprise. Pendant les tests, les utilisateurs signalent que leurs appareils leur demandent à plusieurs reprises de « Vérifier le certificat » pour le serveur RADIUS, même si le profil a été poussé via Jamf. Quelle est l'erreur de configuration la plus probable ?

Conseil : Réfléchissez aux informations spécifiques dont l'appareil Apple a besoin pour faire confiance au serveur de manière transparente.

Voir la réponse type

Le profil de configuration ne contient pas le mappage de confiance explicite. Bien que la CA racine puisse être installée sur l'appareil, la charge utile WiFi doit lister explicitement le FQDN du serveur RADIUS dans le champ « Noms de certificats de serveurs approuvés », et la CA racine doit être sélectionnée comme l'ancre de confiance pour ce réseau WiFi spécifique. Sans cela, macOS invitera l'utilisateur à vérifier et à approuver manuellement le certificat.

Q2. Une chaîne hôtelière souhaite sécuriser ses opérations internes (iPads du personnel) en utilisant le 802.1X, tout en continuant à proposer un accès public via un portail captif. Comment l'architecture réseau doit-elle être conçue pour prendre en charge ces deux exigences de manière sécurisée ?

Conseil : Pensez à la séparation logique au niveau du point d'accès et du commutateur.

Voir la réponse type

L'architecture doit utiliser deux SSID distincts diffusés depuis les mêmes points d'accès. Le SSID interne sera configuré pour le WPA3-Enterprise (802.1X), authentifiant les iPads du personnel via EAP-TLS et les plaçant sur un VLAN interne sécurisé. Le SSID public sera ouvert, redirigeant les utilisateurs vers le portail captif Purple Guest WiFi, et plaçant les clients authentifiés sur un VLAN fortement restreint, limité uniquement à Internet. Cela garantit une ségrégation complète du trafic de l'entreprise et de celui des invités.

Q3. Vous migrez votre infrastructure RADIUS d'un déploiement Cisco ISE sur site vers un fournisseur RADIUS basé sur le cloud. Le nouveau fournisseur utilise une autorité de certification publique différente. Quelle est la première étape essentielle avant de modifier la configuration RADIUS sur les points d'accès ?

Conseil : Considérez l'ordre des opérations pour éviter une perte totale de connectivité pour les appareils clients.

Voir la réponse type

La première étape essentielle consiste à pousser un profil de configuration MDM mis à jour sur tous les appareils Apple, incluant les certificats racine et intermédiaire de la nouvelle CA publique utilisée par le fournisseur RADIUS cloud. Cette chaîne de confiance doit être établie sur les demandeurs avant que les points d'accès ne basculent vers les nouveaux serveurs RADIUS ; sinon, les appareils rejetteront les nouveaux certificats de serveur et ne parviendront pas à se connecter.

Continuer la lecture de cette série

Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs

Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.

Lire le guide →

Passpoint et OpenRoaming : Le Guide Complet

Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.

Lire le guide →

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →