Comment configurer SCEP pour un WiFi d'entreprise sécurisé et le provisionnement BYOD
Ce guide technique explique comment configurer le protocole SCEP (Simple Certificate Enrolment Protocol) pour automatiser l'authentification WiFi d'entreprise 802.1X sécurisée et le provisionnement BYOD. Il fournit aux architectes réseau et aux responsables informatiques une séquence de déploiement définitive, des scénarios de mise en œuvre réels issus de l'hôtellerie et du commerce de détail, ainsi que des stratégies d'atténuation des risques pour éliminer les clés pré-partagées vulnérables et le MAC Authentication Bypass des réseaux d'entreprise.
Écouter ce guide
Voir la transcription du podcast

Résumé exécutif
Pour les établissements d'entreprise opérant dans les secteurs de l'hôtellerie, de la vente au détail et du secteur public, s'appuyer sur des clés pré-partagées (PSK) ou sur le contournement d'authentification MAC (MAB) pour fournir un accès WiFi au personnel et aux BYOD est un risque de sécurité. L'architecture réseau moderne exige une authentification 802.1X utilisant EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), garantissant que chaque appareil est vérifié par cryptographie avant d'accéder au réseau. Le défi opérationnel réside dans la distribution de certificats clients uniques à des milliers d'appareils non gérés sans submerger votre service d'assistance informatique de tickets de support.
Le protocole SCEP (Simple Certificate Enrolment Protocol), défini dans la norme RFC 8894, résout ce problème de distribution grâce à une gestion automatisée du cycle de vie des certificats. En tirant parti de SCEP, les équipes informatiques peuvent déployer des certificats racines de confiance et des certificats clients sur les terminaux, garantissant que la clé privée ne quitte jamais l'appareil. Ce guide fournit le modèle architectural de référence et la stratégie de mise en œuvre étape par étape pour le déploiement de certificats WiFi SCEP. Nous couvrons la séquence de déploiement essentielle requise pour réussir, des scénarios réels issus de l'hôtellerie et du commerce de détail, ainsi que des stratégies d'atténuation des risques pour maintenir la sécurité et la performance de votre WiFi invité et de vos réseaux d'entreprise.
Plongée technique : l'architecture SCEP
SCEP est la norme de l'industrie pour l'enrôlement des appareils d'entreprise, créée par VeriSign et publiée en tant que projet Internet de l'IETF en 1999. Il automatise la délivrance de certificats X.509 au sein d'un environnement d'infrastructure à clés publiques (PKI), éliminant ainsi le besoin de gérer manuellement les certificats à grande échelle.

Dans un flux de travail SCEP, l'appareil génère sa propre paire de clés privée et publique localement. Il crée une demande de signature de certificat (CSR) et l'envoie via un serveur de service d'enrôlement de périphériques réseau (NDES) à votre autorité de certification (CA). La CA valide la demande à l'aide d'un secret partagé et renvoie le certificat public signé à l'appareil. L'avantage de sécurité critique est que la clé privée ne quitte jamais l'appareil. Elle est générée localement et stockée dans l'enclave sécurisée matérielle de l'appareil - le Trusted Platform Module (TPM) sur Windows, ou le Secure Enclave sur iOS. Cela fait de SCEP la méthode fortement recommandée pour l'authentification 802.1X, contrairement au PKCS (Public Key Cryptography Standards), où la CA génère la paire de clés de manière centralisée et la transmet sur le réseau.
Les quatre étapes de l'enrôlement de certificat SCEP sont les suivantes. Premièrement, l'appareil se connecte à l'URL du point de terminaison SCEP hébergé par le serveur NDES. Deuxièmement, l'appareil présente le secret partagé SCEP (un mot de passe statique ou un défi dynamique généré par la plateforme MDM) pour valider la demande d'enrôlement. Troisièmement, l'appareil génère une CSR contenant sa clé publique et des informations d'identification. Quatrièmement, la CA valide la CSR et émet un certificat X.509 signé, qui est renvoyé à l'appareil.
SCEP vs PKCS : Choisir le bon mécanisme
Lors de la conception de votre stratégie de déploiement de certificats, le choix entre SCEP et PKCS a un impact direct sur la sécurité. Le tableau ci-dessous résume les principales différences.
| Attribut | SCEP | PKCS |
|---|---|---|
| Génération de la clé privée | Sur l'appareil (enclave sécurisée) | Sur le serveur de la CA |
| Transmission de la clé privée | Jamais transmise | Transmise sur le réseau |
| Exigences d'infrastructure | Nécessite un serveur NDES | Pas de NDES requis |
| Idéal pour | Authentification WiFi et VPN | Chiffrement d'e-mails S/MIME |
| Posture de sécurité pour 802.1X | Recommandé | Non recommandé |
Pour le WiFi d'entreprise avec SCEP, choisissez toujours SCEP. Conserver la clé privée sur l'appareil est la propriété de sécurité fondamentale qui rend l'authentification 802.1X basée sur des certificats supérieure à toute méthode d'authentification basée sur des identifiants.
Le flux d'intégration en libre-service BYOD
La base d'une intégration BYOD sécurisée est la transition d'une authentification héritée vers EAP-TLS sans nécessiter un enrôlement complet dans un outil de gestion des appareils mobiles (MDM). Obliger le personnel à enrôler des smartphones personnels dans le MDM de l'entreprise soulève des préoccupations légitimes en matière de confidentialité et suscite une forte résistance. Un portail d'intégration en libre-service résout ce problème.
Les utilisateurs connectent leur appareil personnel à un SSID de provisionnement dédié, qui agit comme un jardin fermé limitant l'accès uniquement au portail d'intégration et au fournisseur d'identité. Les utilisateurs s'authentifient via une intégration SAML ou OAuth avec Microsoft Entra ID, Okta ou Google Workspace. Une fois l'authentification réussie, le système génère un certificat client unique et spécifique à l'appareil via SCEP. Un profil de configuration (un fichier .mobileconfig pour Apple, ou un profil Android Passpoint) est envoyé à l'appareil. L'appareil se connecte ensuite automatiquement au SSID d'entreprise sécurisé en utilisant EAP-TLS. L'utilisateur n'a jamais besoin de comprendre le fonctionnement des certificats ou du 802.1X.
Guide de mise en œuvre : La séquence de déploiement
La configuration réussie de SCEP pour le 802.1X nécessite le respect strict d'une séquence de déploiement spécifique. La confiance doit être établie avant que l'authentification puisse être configurée. Le non-respect de cette séquence est la cause la plus fréquente d'échec des déploiements.
Étape 1 : Déployer le certificat racine de confiance. Avant qu'un appareil ne puisse demander un certificat client ou faire confiance à votre serveur RADIUS, il doit d'abord faire confiance à l'autorité de certification (CA) émettrice. Exportez votre certificat CA racine (et tous les certificats CA intermédiaires) sous forme de fichier .cer. Déployez ce profil sur vos groupes d'appareils cibles via votre plateforme MDM. Cette étape n'est pas négociable.
Étape 2 : Configurer le profil de certificat SCEP. Cela indique aux appareils comment obtenir leur certificat client. Configurez le format du nom de l'objet - pour l'authentification basée sur l'utilisateur, la norme est CN={{UserPrincipalName}} ; pour l'authentification de l'appareil, utilisez CN={{AAD_Device_ID}}. Définissez l'utilisation de la clé sur Digital signature et Key encipherment. Sous l'utilisation étendue de la clé, spécifiez Client Authentication (OID : 1.3.6.1.5.5.7.3.2). Liez ce profil au profil de certificat racine de confiance de l'étape 1. Fournissez l'URL externe de votre serveur NDES.
Étape 3 : Déployer le profil WiFi 802.1X. Envoyez la configuration WiFi qui associe le certificat au SSID du réseau. Saisissez le nom du réseau exactement tel qu'il est diffusé par vos points d'accès (AP). Définissez le type de sécurité sur WPA2-Enterprise ou WPA3-Enterprise. Définissez le type EAP sur EAP-TLS. Sélectionnez le profil de certificat SCEP comme certificat d'authentification client. Spécifiez le certificat racine de confiance pour la validation du serveur, garantissant que les appareils se connectent uniquement à votre serveur RADIUS légitime.
Cette séquence s'applique à toutes les plateformes matérielles prises en charge : Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme et Fortinet. La solution cloud de Purple s'intègre à toutes ces plateformes, ce qui signifie que votre infrastructure de certificats n'est pas liée à un seul fournisseur de matériel.
Bonnes pratiques
Publiez NDES via le proxy d'application Azure AD Application Proxy. Le serveur NDES doit être accessible depuis Internet pour que les appareils distants puissent obtenir des certificats avant d'arriver sur site. Exposer un serveur interne directement à Internet présente un risque de sécurité important. La publication via Azure AD Application Proxy offre un accès à distance sécurisé sans ouvrir de ports de pare-feu entrants, et vous permet d'appliquer des politiques d'accès conditionnel au flux d'enrôlement.
Délivrez des certificats à courte durée de vie pour le BYOD. Les appareils BYOD n'étant pas gérés, le risque qu'un appareil compromis reste sur le réseau est plus élevé. Délivrez des certificats valides pour 90 jours plutôt que pour des années. Lorsqu'un certificat expire, l'utilisateur doit se ré-authentifier via le portail d'intégration. Cela permet d'éliminer naturellement les appareils obsolètes du réseau sans intervention informatique manuelle.
Imponez une vérification stricte de la CRL sur le serveur RADIUS. Le déploiement de certificats ne représente que la moitié de l'équation de sécurité. Si un employé s'en va, la désactivation de son compte Active Directory peut ne pas révoquer immédiatement son accès WiFi tant que son certificat client reste valide. Configurez votre serveur RADIUS pour imposer une vérification stricte de la liste de révocation de certificats (CRL). Assurez-vous que votre point de distribution CRL (CDP) est hautement disponible. Si le serveur RADIUS ne peut pas atteindre la CRL, l'authentification échouera pour tous les utilisateurs, provoquant une panne à grande échelle.
Segmentez le BYOD sur un VLAN dédié. Les appareils BYOD ne sont pas gérés. Vous n'avez aucun contrôle sur les mises à jour de leur système d'exploitation, l'état de leur antivirus ou les applications installées. Placez les appareils BYOD sur un VLAN dédié qui fournit uniquement un accès Internet, limité aux applications internes spécifiques requises pour le rôle de l'employé. Ne placez jamais d'appareils BYOD sur le même VLAN que les serveurs d'entreprise ou les appareils gérés.

Dépannage et atténuation des risques
Le profil WiFi ne s'applique pas. L'appareil a bien reçu le certificat racine de confiance et le certificat SCEP, mais le profil WiFi s'affiche comme "Erreur" dans la console MDM. Cela est presque toujours causé par une mauvaise correspondance dans le ciblage des groupes. Si le profil SCEP est attribué à un "groupe d'utilisateurs" alors que le profil WiFi est attribué à un "groupe d'appareils", le MDM ne peut pas résoudre la dépendance. Inspectez vos attributions et assurez-vous que le certificat racine de confiance, les profils SCEP et WiFi ciblent tous exactement le même groupe Azure AD.
Erreurs NDES 403 Forbidden. Les appareils ne peuvent pas récupérer les certificats SCEP, et les journaux IIS de NDES affichent des erreurs HTTP 403. Cela est très probablement dû au fait que le compte de service du connecteur ne dispose pas des autorisations nécessaires sur le modèle de certificat, ou que votre pare-feu bloque les paramètres de chaîne de requête spécifiques utilisés par SCEP. Vérifiez que le compte du connecteur dispose des autorisations "Lecture" et "Inscription" sur le modèle de l'autorité de certification. Vérifiez les journaux du pare-feu pour vous assurer que les URL contenant ?operation=GetCACaps ne sont pas bloquées.
Fragmentation Android. Les appareils Apple iOS gèrent les profils .mobileconfig de manière très cohérente. Android, en revanche, est très fragmenté - les différents fabricants et versions de système d'exploitation gèrent les profils WiFi et l'installation des certificats différemment. Fournissez des instructions claires et spécifiques à chaque système d'exploitation sur le portail d'intégration. L'utilisation de Passpoint (Hotspot 2.0) offre un flux de connexion cohérent entre les fabricants, améliorant considérablement l'expérience Android.
Délais de révocation de certificats. Lorsqu'un employé s'en va, son accès doit être révoqué immédiatement. La désactivation de leur compte IdP est la première étape, mais le serveur RADIUS doit également valider le statut du certificat. Configurez votre serveur RADIUS pour utiliser le protocole OCSP (Online Certificate Status Protocol) en plus de la vérification de la liste de révocation de certificats (CRL). L'OCSP fournit un statut de révocation en temps réel plutôt que de s'appuyer sur une liste mise à jour périodiquement.
ROI et impact commercial
La transition vers le déploiement de certificats SCEP 802.1X offre des rendements mesurables tant sur le plan de la sécurité que des opérations. Le WiFi basé sur mot de passe génère un volume important de tickets d'assistance liés à l'expiration des mots de passe, aux verrouillages et aux erreurs de saisie. L'authentification par certificat est invisible pour l'utilisateur - les appareils se connectent automatiquement. Cela réduit généralement la charge de travail du support informatique liée au WiFi de 70 %, libérant ainsi le personnel informatique pour qu'il se concentre sur des tâches stratégiques.
EAP-TLS élimine le risque de vol d'identifiants et d'attaques de l'homme du milieu (MitM). C'est un élément essentiel pour la conformité PCI-DSS dans les environnements de commerce de détail et la conformité GDPR dans tous les secteurs. Dans l' hôtellerie , où le personnel gère des données de paiement et des informations personnelles de clients, le coût d'une violation de données dépasse de loin le coût du déploiement d'une infrastructure PKI bien conçue. Les mêmes facteurs de conformité s'appliquent aux opérateurs de transport et aux établissements de santé .
Pour les sites qui utilisent déjà les plateformes de WiFi invité et de WiFi Analytics de Purple, étendre l'intégration sécurisée aux appareils BYOD du personnel permet d'obtenir une stratégie de gestion de réseau unifiée et robuste. Purple est présent dans plus de 80 000 sites physiques à travers le monde, a traité 440 millions de connexions en 2024 (données internes de Purple) et détient les certifications ISO 27001, GDPR, CCPA et Cyber Essentials. Nos modules de sécurité SecurePass et Shield s'intègrent directement à l'architecture d'authentification par certificat décrite dans ce guide.
Pour une perspective plus large sur la sécurité des réseaux d'entreprise, consultez notre Sécurité WiFi d'entreprise : Le guide complet 2026 . Pour les considérations de conformité GDPR spécifiques aux administrateurs de réseau, consultez Le guide de l'administrateur réseau pour la conformité GDPR et la confidentialité des données des invités .
Définitions clés
SCEP (Simple Certificate Enrolment Protocol)
Un protocole défini dans la norme RFC 8894 qui automatise la délivrance de certificats numériques X.509 aux appareils au sein d'un environnement PKI. L'appareil génère sa propre clé privée localement, qui ne quitte jamais l'appareil.
Utilisé pour déployer des certificats d'authentification WiFi sur les appareils d'entreprise et BYOD à grande échelle sans intervention informatique manuelle. Le standard de l'industrie pour le provisionnement de certificats 802.1X.
802.1X
Une norme IEEE (IEEE Std 802.1X-2020) pour le contrôle d'accès réseau basé sur les ports. Elle fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un LAN ou un WLAN avant qu'ils ne se voient accorder l'accès aux ressources du réseau.
La base d'un réseau WiFi d'entreprise sécurisé, remplaçant les clés prépartagées vulnérables. Nécessite un serveur RADIUS, un suppliant sur l'appareil client et un authentificateur sur le point d'accès.
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)
Un cadre d'authentification qui exige que le serveur et le client présentent des certificats numériques valides. Fournit une authentification mutuelle, garantissant que l'appareil fait confiance au réseau et que le réseau fait confiance à l'appareil.
La méthode la plus sécurisée pour l'authentification 802.1X. Élimine le vol d'identifiants et les attaques de l'homme du milieu. Le protocole d'authentification cible que le déploiement de certificats SCEP est conçu pour activer.
NDES (Network Device Enrolment Service)
Un rôle Windows Server de Microsoft qui agit comme un pont, permettant aux appareils sans identifiants de domaine d'obtenir des certificats auprès d'une autorité de certification Active Directory Certificate Services via SCEP.
Un composant d'infrastructure requis lors de l'implémentation de SCEP avec Microsoft Intune. Doit être publié via Azure AD Application Proxy pour permettre un provisionnement de certificats à distance sécurisé.
BYOD (Bring Your Own Device)
La pratique consistant à autoriser les employés à utiliser leurs smartphones, tablettes ou ordinateurs portables personnels pour accéder aux réseaux et applications de l'entreprise.
Nécessite une segmentation minutieuse du réseau et une intégration sécurisée pour empêcher les appareils non gérés de compromettre le réseau de l'entreprise. L'enrôlement MDM complet est souvent peu pratique pour les appareils personnels en raison de préoccupations liées à la vie privée.
CRL (Certificate Revocation List)
Une liste publiée par l'autorité de certification contenant les numéros de série des certificats qui ont été révoqués avant leur date d'expiration.
Doit être vérifiée par le serveur RADIUS lors de chaque tentative d'authentification pour s'assurer que les employés licenciés ou les appareils compromis ne peuvent pas accéder au réseau. Les points de distribution CRL doivent être hautement disponibles.
CSR (Certificate Signing Request)
Un message généré par un appareil et envoyé à une autorité de certification pour demander un certificat d'identité numérique. Contient la clé publique de l'appareil et ses informations d'identité.
Générée par l'appareil pendant le processus SCEP. La clé privée utilisée pour signer la CSR reste sur l'appareil et n'est jamais transmise.
RADIUS (Remote Authentication Dial-In User Service)
Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs et les appareils se connectant à un réseau.
Le serveur qui valide le certificat client lors de l'authentification 802.1X et accorde ou refuse l'accès au réseau. Doit être configuré pour imposer une vérification stricte des CRL ou OCSP.
PKCS (Public Key Cryptography Standards)
Un ensemble de normes où les clés publique et privée sont toutes deux générées par l'autorité de certification, puis fournies de manière sécurisée au point de terminaison.
Moins adapté que SCEP pour l'authentification WiFi car la clé privée est transmise sur le réseau. Mieux adapté au chiffrement des e-mails S/MIME où le dépôt de clés est requis.
OCSP (Online Certificate Status Protocol)
Un protocole qui fournit le statut de révocation des certificats en temps réel, comme alternative à la CRL mise à jour périodiquement.
Préféré à la CRL pour les environnements hautement sécurisés car il fournit un statut de révocation instantané plutôt que de s'appuyer sur une liste pouvant dater de plusieurs heures.
Exemples concrets
Un hôtel de 200 chambres doit fournir un accès WiFi sécurisé à 50 employés de ménage utilisant leurs smartphones personnels (BYOD) pour accéder à l'application de planification du ménage. Le responsable informatique souhaite éviter l'enrôlement complet dans un MDM afin de respecter la vie privée du personnel, tout en garantissant que l'accès soit révoqué immédiatement en cas de démission d'un employé.
L'hôtel déploie un portail d'intégration en libre-service intégré à Microsoft Entra ID. Le personnel se connecte à un SSID de provisionnement ouvert, s'authentifie avec ses identifiants Entra ID et télécharge un profil SCEP. Le serveur SCEP délivre un certificat client de 30 jours directement sur l'appareil, avec la clé privée générée et stockée localement dans l'enclave sécurisée du smartphone. L'appareil se connecte automatiquement au SSID 'Staff_WiFi' en utilisant EAP-TLS. Le serveur RADIUS attribue ces appareils à un VLAN restreint qui autorise l'accès uniquement à l'application de planification et à Internet. Lorsqu'un membre du personnel démissionne, son compte Entra ID est désactivé. Le serveur RADIUS, configuré pour une vérification stricte de la CRL, refuse l'accès au réseau lors de la tentative d'authentification suivante. La validité du certificat de 30 jours garantit que même si la vérification de la CRL était retardée, l'accès expirerait dans un délai d'un mois.
Une chaîne nationale de vente au détail comptant 500 magasins doit déployer un WiFi sécurisé pour les tablettes de point de vente (POS) appartenant à l'entreprise et fonctionnant sous Windows. L'architecte réseau doit s'assurer que même si une tablette est volée, les identifiants réseau ne peuvent pas être extraits et utilisés pour accéder au réseau de l'entreprise depuis un autre appareil. La conformité PCI-DSS est obligatoire.
L'architecte réseau configure Microsoft Intune pour déployer des certificats via SCEP. Intune pousse le certificat racine de confiance vers le groupe 'POS Devices', suivi d'un profil SCEP qui demande à chaque tablette de générer sa propre clé privée dans le TPM Windows. La tablette soumet un CSR au serveur NDES, reçoit le certificat client et se connecte au SSID 'Retail_POS' en utilisant WPA3 et EAP-TLS. Le serveur RADIUS authentifie le certificat et place l'appareil sur le VLAN POS isolé, qui n'autorise le trafic que vers le processeur de paiement et le système de gestion des stocks. Les trois profils Intune - racine de confiance, SCEP et WiFi - sont attribués au même groupe d'appareils 'POS Devices' afin d'éviter les échecs de dépendance. NDES est publié via le proxy d'application Azure AD pour permettre le renouvellement du certificat sans exiger que la tablette soit sur site.
Questions d'entraînement
Q1. Vous déployez un profil SCEP via Intune sur un parc d'ordinateurs portables Windows. Les appareils reçoivent avec succès le certificat racine approuvé, mais le profil WiFi ne s'applique pas et s'affiche en tant qu'« Erreur » dans la console Intune. Le profil SCEP est attribué au groupe Azure AD « All Users », tandis que le profil WiFi est attribué au groupe d'appareils « Corporate Laptops ». Quelle est la cause de cet échec et comment le résoudre ?
Conseil : Considérez les dépendances entre les profils et la manière dont Intune résout le ciblage de groupe lorsqu'un profil dépend d'un autre profil.
Voir la réponse type
L'échec est causé par une discordance dans le ciblage des groupes. Intune ne peut pas résoudre la dépendance entre le profil SCEP et le profil WiFi car ils ciblent des types de groupes différents : l'un cible les utilisateurs et l'autre cible les appareils. Pour résoudre ce problème, auditez les attributions des trois profils et assurez-vous que les profils de certificat racine approuvé, SCEP et WiFi sont tous déployés sur le même groupe Azure AD exact. Choisissez de manière cohérente soit le ciblage par utilisateur, soit le ciblage par appareil pour tous les profils.
Q2. Un point de vente souhaite sécuriser ses tablettes de caisse. Le directeur informatique suggère d'utiliser PKCS au lieu de SCEP car cela simplifie l'infrastructure en éliminant le besoin d'un serveur NDES. En tant qu'architecte réseau, pourquoi devriez-vous recommander SCEP pour l'authentification WiFi 802.1X, et dans quelles circonstances PKCS serait-il le bon choix ?
Conseil : Réfléchissez à l'endroit où la clé privée est générée et stockée dans les deux protocoles, et considérez les implications de sécurité pour l'authentification réseau par rapport au chiffrement des e-mails.
Voir la réponse type
Recommandez SCEP pour l'authentification WiFi 802.1X car la clé privée est générée localement sur l'appareil et stockée dans son enclave sécurisée matérielle. La clé privée ne quitte jamais l'appareil et n'est jamais transmise sur le réseau. Si une tablette est volée, les identifiants ne peuvent pas être extraits et utilisés depuis un autre appareil. Avec PKCS, l'autorité de certification génère la paire de clés de manière centralisée et la transmet à l'appareil, ce qui introduit un risque de transmission inacceptable pour l'authentification réseau. PKCS est le bon choix uniquement pour le chiffrement des e-mails S/MIME, où le séquestre de clés est requis pour permettre de déchiffrer les e-mails cryptés si l'appareil d'origine est perdu.
Q3. Vous concevez un portail d'intégration BYOD pour un hôpital de 500 lits. Le personnel clinique utilisera ses smartphones personnels pour accéder à des applications internes non critiques telles que le planning du personnel et la messagerie interne. Vous devez minimiser le risque que des appareils obsolètes restent sur le réseau après le départ du personnel, sans nécessiter d'intervention informatique manuelle pour chaque départ. Quelle configuration de certificat spécifique devez-vous mettre en œuvre ?
Conseil : Prenez en compte le cycle de vie du certificat et la manière dont vous pouvez forcer les appareils à se réauthentifier périodiquement sans obliger le service informatique à révoquer manuellement chaque certificat.
Voir la réponse type
Mettez en œuvre des certificats à courte durée de vie avec une période de validité de 30 à 90 jours. À l'expiration du certificat, l'appareil BYOD est obligé de se réauthentifier via le Captive Portal en utilisant les identifiants IdP d'entreprise du membre du personnel. Si le membre du personnel est parti et que son compte IdP a été désactivé, il ne pourra pas finaliser la réauthentification et ne recevra pas de nouveau certificat. Cela élimine naturellement les appareils obsolètes du réseau sans obliger le service informatique à révoquer manuellement chaque certificat. Associez cela à une vérification OCSP sur le serveur RADIUS pour garantir une révocation immédiate lorsqu'un compte est désactivé, offrant ainsi une défense en profondeur entre les cycles d'expiration des certificats.
Q4. Votre serveur NDES renvoie des erreurs HTTP 403 Forbidden pour toutes les demandes de certificat SCEP. Le serveur NDES est accessible depuis Internet via Azure AD Application Proxy. Quelles sont les deux causes les plus probables de cette erreur et comment diagnostiquez-vous chacune d'elles ?
Conseil : Prenez en compte à la fois les autorisations sur le modèle de certificat et le chemin réseau entre l'appareil et le serveur NDES.
Voir la réponse type
Les deux causes les plus probables sont : premièrement, le compte de service Intune Certificate Connector ne dispose pas des autorisations nécessaires sur le modèle de certificat de l'autorité de certification. Vérifiez que le compte de service possède les autorisations "Lecture" et "Inscrire" sur le modèle dans la console de l'autorité de certification. Deuxièmement, le pare-feu ou l'Application Proxy bloque les paramètres de chaîne de requête spécifiques utilisés par SCEP. Vérifiez les journaux du pare-feu et de l'Application Proxy pour les requêtes contenant des paramètres tels que "?operation=GetCACaps" ou "?operation=PKIOperation". Ce sont des opérations SCEP standards qui doivent être autorisées. Si l'Application Proxy supprime les chaînes de requête, ajustez les paramètres de pré-authentification pour autoriser le pass-through pour le chemin d'accès URL NDES.
Continuer la lecture de cette série
Comment segmenter en toute sécurité les réseaux WiFi des employés et des invités
Ce guide technique de référence fournit aux responsables informatiques des stratégies exploitables pour segmenter en toute sécurité les réseaux WiFi des employés, des invités et de l'IoT à l'aide de VLAN et du protocole 802.1X. Il détaille comment sécuriser l'infrastructure d'entreprise, maintenir la conformité PCI-DSS et exploiter les portails captifs pour capturer des données de première main.
Le meilleur filtrage DNS : un guide complet pour les entreprises
Ce guide de référence technique explique comment le filtrage DNS d'entreprise sécurise les réseaux publics en bloquant les domaines malveillants au niveau de la couche de résolution - avant même qu'une connexion ne soit établie. Il fournit aux directeurs informatiques, architectes réseau et équipes d'exploitation des sites l'architecture de déploiement, la configuration du pare-feu et le contexte de conformité nécessaires pour protéger le WiFi invité dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public. Purple Shield bloque les logiciels malveillants, les botnets et les contenus inappropriés au niveau DNS sur plus de 80 000 sites actifs.
Comprendre Cisco SUDI : L'identité ancrée dans le matériel pour le contrôle d'accès réseau sécurisé
Ce guide explique comment Cisco SUDI fournit une identité sécurisée par cryptographie et ancrée dans le matériel pour l'infrastructure réseau d'entreprise. Découvrez comment remplacer les adresses MAC falsifiables par des certificats 802.1AR immuables afin de sécuriser le contrôle d'accès réseau de votre site.