Passer au contenu principal
Français

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

📖 5 min de lecture📝 1,022 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Parlez en anglais britannique avec un ton clair, confiant et autoritaire. Vous êtes un consultant senior en sécurité réseau qui présente un exposé devant une salle de directeurs informatiques et de directeurs techniques au sein d'une université. Votre débit est mesuré, direct et parfois sobre. Vous marquez des pauses naturelles entre les sections. Le rythme est régulier et professionnel, sans précipitation : Bienvenue à ce briefing technique de Purple. Je vais vous présenter tout ce que vous devez savoir sur la mise en œuvre de SCEP - le Simple Certificate Enrolment Protocol - pour un BYOD sécurisé et l'inscription au réseau dans l'enseignement supérieur. Si vous êtes directeur informatique ou architecte réseau dans une université, et que vous vous appuyez encore sur des mots de passe partagés ou des portails captifs pour authentifier les appareils des étudiants sur le WiFi de votre campus, ce briefing s'adresse à vous. [medium pause] Commençons par le problème. La plupart des universités fonctionnent aujourd'hui avec ce que j'appellerais un modèle de confiance à la première utilisation. Un étudiant arrive, se connecte au SSID du campus, saisit ses identifiants universitaires, et il est sur le réseau. Simple. Familier. Et, franchement, une faille de sécurité importante. Les mots de passe sont partagés. Les identifiants sont hameçonnés. Un seul compte compromis peut introduire sur votre réseau des milliers d'appareils qui n'ont rien à y faire. Et lorsque vous devez faire face aux obligations du GDPR, aux données de recherche et aux systèmes de paiement sur la même infrastructure, c'est un risque que vous ne pouvez pas vous permettre. [medium pause] SCEP résout ce problème au niveau de la couche d'identité de l'appareil. Plutôt que de demander "qui êtes-vous ?" via un mot de passe, il demande "qu'êtes-vous ?" via un certificat cryptographique. SCEP - formellement défini dans la RFC 8894 par l'IETF - est un protocole qui automatise la délivrance, la distribution et le renouvellement des certificats numériques X.509 pour les appareils gérés et non gérés. C'est l'épine dorsale des PKI d'entreprise depuis plus de deux décennies, et il est pris en charge nativement par toutes les grandes plateformes MDM : Microsoft Intune, JAMF Pro et VMware Workspace ONE. Voici comment fonctionne le flux d'inscription en pratique. Lorsqu'un appareil d'étudiant se connecte à votre SSID d'intégration, l'agent MDM de cet appareil génère une paire de clés et crée une demande de signature de certificat - un CSR. Cette demande est envoyée à votre passerelle SCEP, qui valide un mot de passe de défi à usage unique. La passerelle transmet le CSR à votre autorité de certification, qui le signe et renvoie un certificat X.509 unique à l'appareil. À partir de ce moment, l'appareil utilise ce certificat pour s'authentifier via 802.1X EAP-TLS - la méthode d'authentification sans fil la plus sécurisée définie dans la norme IEEE 802.1X. Pas de mots de passe. Pas de secrets partagés. Juste une preuve cryptographique de l'identité de l'appareil. [medium pause] À présent, EAP-TLS - Extensible Authentication Protocol avec Transport Layer Security - mérite que vous y accordiez un instant. Il requiert une authentification mutuelle : l'appareil prouve son identité au serveur RADIUS, et le serveur RADIUS prouve son identité à l'appareil. Cela élimine les attaques de l'homme du milieu au niveau de la couche d'authentification. Comparez cela à PEAP-MSCHAPv2, qui est encore largement déployé et présente des vulnérabilités connues en matière de collecte d'identifiants. Si vous utilisez PEAP aujourd'hui, migrer vers EAP-TLS via SCEP représente une amélioration de sécurité significative, et non incrémentielle. [medium pause] Laissez-moi vous présenter une architecture concrète. Vous exploitez trois SSIDs. Le premier est votre SSID étudiant sécurisé - appelons-le UniSecure - sur le VLAN 10. Celui-ci est authentifié par certificat via 802.1X EAP-TLS. Seuls les appareils dotés d'un certificat valide émis par votre autorité de certification (CA) peuvent s'y connecter. Le deuxième est votre SSID personnel sur le VLAN 20, où les appareils gérés reçoivent des certificats automatiquement via Intune ou JAMF lors de l'enregistrement de l'appareil. Le troisième est votre WiFi invité sur le VLAN 30 - un Captive Portal pour les visiteurs, complètement isolé de votre réseau universitaire. Votre serveur RADIUS - qu'il s'agisse de Microsoft NPS, Cisco ISE ou HPE Aruba ClearPass - se situe entre les points d'accès et votre autorité de certification, appliquant la politique de sécurité à chaque tentative d'authentification. [medium pause] Côté matériel, cette architecture fonctionne parfaitement sur Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et Ubiquiti UniFi. La passerelle SCEP peut être votre serveur Microsoft NDES existant, un service SCEP cloud ou une plateforme PKI dédiée. Si vous utilisez déjà Microsoft Entra ID - anciennement Azure Active Directory - l'intégration avec le connecteur de certificat d'Intune est simple et bien documentée. [medium pause] Examinons maintenant deux scénarios réels. Le premier est une grande université comptant 30 000 étudiants répartis sur un campus principal et quatre sites satellites. Leur défi : les étudiants arrivent en septembre avec un mélange d'ordinateurs portables Windows, de MacBooks, d'iPhones et d'appareils Android. Auparavant, ils utilisaient PEAP avec les identifiants de l'université. Le partage d'identifiants était généralisé. Ils ont migré vers SCEP avec Intune pour les appareils gérés du personnel et ont mis en place un portail d'intégration en libre-service pour les appareils personnels (BYOD) des étudiants. Les étudiants se rendent sur une page web, s'authentifient avec leur identifiant unique universitaire, et le portail pousse un profil SCEP sur leur appareil. L'appareil s'enregistre, reçoit un certificat et se connecte automatiquement au SSID sécurisé. Les appels au support informatique liés à l'authentification WiFi ont chuté de 60 % dès le premier trimestre. L'authentification basée sur les certificats leur a également fourni une piste d'audit claire pour la conformité GDPR - ils pouvaient démontrer précisément quel appareil accédait à quel segment de réseau à tout moment donné. [medium pause] Le deuxième scénario est celui d'un collège d'enseignement supérieur utilisant un mélange de Chromebooks appartenant aux étudiants et d'appareils Windows partagés dans des laboratoires informatiques. Ils ont utilisé JAMF pour les appareils macOS et la gestion des certificats de Google Workspace pour les Chromebooks. Les profils SCEP ont été déployés via chaque MDM lors de l'enrôlement des appareils. Les appareils de laboratoire partagés ont reçu des certificats de machine plutôt que des certificats d'utilisateur, de sorte que l'authentification était basée sur l'appareil plutôt que liée à une connexion individuelle. Cela signifiait que les étudiants pouvaient s'asseoir à n'importe quelle machine de laboratoire et se connecter sans étapes d'authentification supplémentaires. Le collège a également segmenté les appareils IoT - projecteurs, imprimantes, tableaux blancs interactifs - sur un VLAN distinct sans routage Internet, réduisant ainsi considérablement leur surface d'attaque. [medium pause] Parlons des pièges de mise en œuvre, car il y en a quelques-uns qui piègent les équipes. Le premier est la gestion des mots de passe de défi. Dans le SCEP brut, le mot de passe de défi est un secret partagé. S'il est statique et à longue durée de vie, c'est une vulnérabilité. Utilisez votre MDM pour générer des mots de passe de défi à usage unique par enrôlement d'appareil. Intune fait cela automatiquement via son Certificate Connector. Si vous utilisez un serveur SCEP autonome, configurez des fenêtres d'expiration courtes - 15 minutes est un délai par défaut raisonnable. Le deuxième piège est la gestion du cycle de vie des certificats. Les certificats expirent. Si vous n'avez pas mis en place de renouvellement automatique, vous aurez des étudiants incapables de se connecter au WiFi le matin d'un examen. Configurez le renouvellement pour qu'il se déclenche à 80 % de la période de validité du certificat. La plupart des MDM gèrent cela automatiquement, mais vérifiez votre configuration avant de lancer la production. Le troisième piège est la dérive de la portée du BYOD. Tous les appareils personnels qu'un étudiant possède ne doivent pas se trouver sur votre VLAN académique. Définissez clairement votre politique d'enrôlement : quels types d'appareils sont éligibles, quelles vérifications de conformité sont requises - version du système d'exploitation, verrouillage de l'écran, chiffrement - et ce qui se passe lorsqu'un appareil n'est pas conforme. Les politiques d'accès conditionnel de votre MDM appliquent cela automatiquement une fois configurées. [medium pause] Une section rapide de questions-réponses pour les interrogations que je reçois le plus souvent. Le SCEP peut-il fonctionner avec des appareils personnels non gérés ? Oui, via un portail d'intégration en libre-service qui pousse un profil SCEP léger. L'appareil n'a pas besoin d'être entièrement enrôlé dans le MDM. Le SCEP remplace-t-il eduroam ? Non - eduroam utilise le 802.1X avec la fédération RADIUS, et le SCEP est le mécanisme qui délivre les certificats que ces appareils utilisent pour s'authentifier auprès d'eduroam. Ils sont complémentaires. Le SCEP est-il conforme au GDPR ? L'authentification par certificat génère un journal d'audit propre et attribuable - identité de l'appareil, horodatage, attribution de VLAN - ce qui soutient vos obligations au titre de l'article 32 du GDPR concernant les mesures de sécurité techniques appropriées. Le WPA3 change-t-il quelque chose ? Le WPA3-Enterprise avec le mode 192 bits impose l'EAP-TLS, qui nécessite des certificats. Le SCEP est le mécanisme de distribution naturel. Adopter ensemble le WPA3 et le SCEP est la bonne orientation architecturale. [medium pause] En résumé. SCEP automatise la distribution de certificats aux appareils des étudiants et du personnel, permettant l'authentification 802.1X EAP-TLS sur le WiFi de votre campus. Il élimine les mots de passe partagés, réduit les risques de phishing d'identifiants et vous offre une piste d'audit cryptographiquement attribuable. L'architecture est indépendante du matériel - elle fonctionne sur Cisco Meraki, HPE Aruba, Ruckus et Juniper Mist. Elle s'intègre à Microsoft Entra ID, Okta et Google Workspace. Et elle s'adapte aussi bien à un établissement d'enseignement supérieur sur un seul campus qu'à une université multi-sites du Russell Group. Si vous évaluez la posture de sécurité du WiFi de votre campus cette année, SCEP avec EAP-TLS est la norme vers laquelle vous devriez tendre. La plateforme de Purple s'intègre à cette architecture au niveau du WiFi invité et de la couche d'analyse, vous fournissant des données de première main sur le comportement des visiteurs sans compromettre la sécurité de votre réseau académique. Merci pour votre écoute. Si vous souhaitez approfondir l'un de ces sujets, le guide technique complet est disponible sur purple.ai.

header_image.png

Résumé opérationnel

Les réseaux de l'enseignement supérieur sont confrontés à un ensemble unique de défis : des pics massifs d'activation saisonnière, une rotation élevée des appareils, un partage omniprésent des identifiants et des exigences de conformité strictes. Les modèles traditionnels d'authentification basés sur un mot de passe (comme PEAP-MSCHAPv2) ne répondent plus aux normes de sécurité modernes et génèrent une charge de support informatique considérable.

Ce guide détaille comment implémenter le protocole SCEP (Simple Certificate Enrollment Protocol) afin d'automatiser la distribution de certificats numériques X.509 aux appareils gérés du personnel ainsi qu'aux terminaux non gérés des étudiants (BYOD - Bring Your Own Device). En passant à une authentification 802.1X EAP-TLS basée sur les certificats, les universités peuvent éliminer les mots de passe partagés, neutraliser le hameçonnage d'identifiants et établir une piste d'audit vérifiable par cryptographie. Nous couvrons les mécanismes du protocole sous-jacent, les architectures de référence pour la segmentation multi-VLAN, l'intégration avec les plateformes de gestion des appareils mobiles (MDM) et la transition opérationnelle requise pour sécuriser le WiFi des campus à grande échelle.

Analyse technique approfondie

Les limites de l'authentification existante

De nombreux réseaux universitaires s'appuient encore sur PEAP (Protected Extensible Authentication Protocol) avec les identifiants universitaires. Ce modèle de confiance à la première utilisation présente des risques graves :

  1. Collecte d'identifiants : Les attaquants peuvent diffuser des SSID usurpés pour capturer les identifiants des étudiants.
  2. Partage de mots de passe : Les étudiants partagent fréquemment leurs identifiants, ce qui nuit au contrôle d'accès au réseau et à l'allocation de la bande passante.
  3. Charge de support : Les réinitialisations de mots de passe et les erreurs de configuration manuelle génèrent un volume de requêtes d'assistance record lors de la rentrée universitaire.

Architecture SCEP et EAP-TLS

Le protocole SCEP, défini dans la RFC 8894, automatise le cycle de vie des certificats numériques. Au lieu d'authentifier l'utilisateur via un mot de passe, le réseau authentifie l'appareil via un certificat X.509 unique. Cela permet d'activer EAP-TLS (Extensible Authentication Protocol with Transport Layer Security), qui requiert une authentification mutuelle entre l'appareil client et le serveur RADIUS.

scep_enrollment_flow.png

Le flux d'enrôlement SCEP fonctionne de la manière suivante :

  1. Connexion initiale : L'appareil se connecte à un portail d'enrôlement ou reçoit un profil MDM.
  2. Génération de CSR : L'appareil génère une paire de clés et crée une demande de signature de certificat (CSR).
  3. Validation du challenge : La passerelle SCEP valide un mot de passe de challenge dynamique à usage unique fourni par le MDM ou le portail d'enrôlement.
  4. Émission du certificat : L'Autorité de Certification (CA) signe la CSR et renvoie le certificat X.509.5. Authentication : l'appareil présente le certificat au serveur RADIUS via 802.1X EAP-TLS pour accéder au VLAN sécurisé.

Composants d'infrastructure

Le déploiement de SCEP nécessite plusieurs composants intégrés :

  • Autorité de certification (CA) : la racine de confiance émettant les certificats (par exemple, Microsoft AD CS, une PKI cloud).
  • Passerelle SCEP : l'intermédiaire qui valide les demandes avant de les transmettre à la CA (par exemple, Microsoft NDES, SecureW2, IronWiFi).
  • Plateforme de gestion MDM / d'intégration : gère le déploiement des profils SCEP (par exemple, Microsoft Intune, JAMF Pro, Google Workspace).
  • Serveur RADIUS : applique la politique d'accès au réseau en fonction de la validité du certificat (par exemple, Cisco ISE, HPE Aruba ClearPass, Microsoft NPS).
  • Infrastructure sans fil : les points d'accès et contrôleurs appliquant le 802.1X (par exemple, Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist).

Guide d'implémentation

Étape 1 : Établir la PKI et la passerelle SCEP

Si votre université utilise Microsoft Entra ID, l'intégration d'Intune avec une PKI cloud ou un serveur NDES sur site est l'approche standard. La passerelle SCEP doit être accessible de l'extérieur si vous prévoyez de provisionner les appareils avant leur arrivée sur le campus.

Étape 2 : Configurer les profils MDM

Pour les appareils gérés (ordinateurs portables du personnel, machines de laboratoire), configurez les profils SCEP dans votre MDM. Assurez-vous que le profil spécifie :

  • Format du nom de sujet : CN={{AAD_Device_ID}} ou similaire, pour identifier l'appareil de manière unique.
  • Utilisation de la clé : signature numérique et chiffrement de clé.
  • Utilisation étendue de la clé : authentification client.
  • Type de défi : dynamique (mot de passe à usage unique), jamais statique.

Étape 3 : Déployer le portail d'intégration BYOD

Pour les appareils non gérés des étudiants, déployez un portail d'intégration en libre-service. Les étudiants s'authentifient via le fournisseur d'authentification unique (SSO) de l'université (par exemple, Microsoft Entra ID, Okta). Le portail vérifie leur statut d'inscription actif et pousse un profil SCEP léger sur leur appareil, automatisant la demande de certificat sans nécessiter une gestion MDM complète.

Étape 4 : Implémenter la segmentation VLAN

Configurez votre serveur RADIUS pour attribuer des VLAN de manière dynamique en fonction des attributs du certificat ou du groupe d'utilisateurs dans votre annuaire.

byod_network_segmentation.png

  • VLAN 10 (BYOD Étudiant) : authentifié par EAP-TLS. Accès aux ressources académiques et à internet.
  • VLAN 20 (Géré par le Personnel) : authentifié par EAP-TLS. Accès aux systèmes administratifs et aux serveurs internes.
  • VLAN 30 (WiFi Invité) : authentifié par Captive Portal. Accès internet uniquement, isolé du réseau central.

Bonnes pratiques

  • Mots de passe de défi dynamiques : n'utilisez jamais de secret partagé statique pour votre passerelle SCEP. Assurez-vous que votre MDM ou votre plateforme d'intégration génère des mots de passe de défi à usage unique pour chaque demande d'inscription.
  • Renouvellement automatique : Configurez les certificats pour qu'ils se renouvellent automatiquement à 80 % de leur période de validité. Cela évite les expirations massives pendant les périodes académiques critiques.
  • Conformité des appareils : Utilisez les politiques d'accès conditionnel MDM pour vous assurer que les appareils respectent les exigences de sécurité de base (par exemple, version du système d'exploitation, chiffrement) avant que le profil SCEP ne soit délivré.
  • Vérification de la révocation : Assurez-vous que votre serveur RADIUS est configuré pour vérifier la liste de révocation des certificats (CRL) ou utilisez le protocole OCSP (Online Certificate Status Protocol) pour bloquer immédiatement l'accès si un appareil est signalé comme perdu ou volé.

Dépannage et atténuation des risques

Modes de défaillance courants

  1. Passerelle NDES/SCEP inaccessible : Si la passerelle SCEP n'est pas accessible de l'extérieur, les appareils ne peuvent pas s'enregistrer en dehors du campus. Assurez-vous que la passerelle est publiée de manière sécurisée via un proxy d'application.
  2. Erreurs de confiance dans la chaîne de certificats : L'appareil client doit faire confiance à l'autorité de certification racine (Root CA) qui a émis le certificat du serveur RADIUS. Assurez-vous que le certificat Root CA est déployé en même temps que le profil SCEP.
  3. Délai d'attente RADIUS dépassé : EAP-TLS nécessite plusieurs aller-retours. Assurez-vous que vos contrôleurs sans fil et vos serveurs RADIUS sont configurés avec des valeurs de délai d'attente adéquates pour gérer la latence, en particulier lors des pics d'intégration.

ROI et impact commercial

La migration vers SCEP et EAP-TLS offre des résultats commerciaux mesurables pour les services informatiques des universités :

  • Réduction des coûts de support : En automatisant l'enregistrement, les universités constatent généralement une réduction de 50 à 70 % des tickets de support liés au WiFi au début de l'année universitaire.
  • Posture de sécurité renforcée : L'élimination des mots de passe partagés et la migration vers l'identité cryptographique des appareils neutralisent les attaques de collecte d'identifiants.
  • Conformité réglementaire : L'authentification basée sur des certificats fournit un journal d'audit robuste et attribuable, soutenant les exigences de l'article 32 du GDPR concernant les mesures de sécurité techniques.

La plateforme de Purple s'intègre à cette architecture au niveau de la couche WiFi invité. Tandis que vos réseaux académiques et administratifs restent sécurisés via SCEP et EAP-TLS, Purple offre une intégration fluide via un Captive Portal pour les visiteurs, collectant des données de première main et fournissant des analyses sans compromettre la sécurité du réseau principal.

Définitions clés

SCEP (Simple Certificate Enrollment Protocol)

Un protocole IETF qui automatise le processus de demande, d'émission et d'installation de certificats numériques sur les appareils réseau sans intervention manuelle.

Utilisé par les équipes informatiques pour déployer des certificats à grande échelle sur des milliers d'appareils d'étudiants et de membres du personnel simultanément.

EAP-TLS (Extensible Authentication Protocol with Transport Layer Security)

La méthode d'authentification 802.1X la plus sécurisée, exigeant que l'appareil client et le serveur RADIUS prouvent tous deux leur identité à l'aide de certificats numériques.

La norme d'authentification cible pour les universités souhaitant éliminer l'accès WiFi basé sur mot de passe.

CSR (Certificate Signing Request)

Un bloc de texte chiffré généré par l'appareil client contenant sa clé publique et ses informations d'identification, envoyé à l'AC pour demander un certificat.

La première étape technique du processus d'enregistrement SCEP après la connexion de l'appareil à la passerelle.

MDM (Mobile Device Management)

Plateformes logicielles comme Microsoft Intune ou JAMF Pro utilisées pour gérer les configurations des appareils, appliquer la conformité et déployer des profils SCEP.

Le plan de contrôle administratif pour les appareils du personnel et le point d'intégration pour les challenges dynamiques SCEP.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs qui se connectent et utilisent un service réseau.

Le serveur (comme Cisco ISE ou ClearPass) qui valide le certificat de l'appareil et l'attribue au bon VLAN.

NDES (Network Device Enrollment Service)

Un rôle Windows Server de Microsoft qui fait office de passerelle SCEP, permettant aux appareils sans identifiants Active Directory d'obtenir des certificats auprès d'une CA d'entreprise.

La passerelle SCEP sur site traditionnelle utilisée dans les environnements Microsoft, souvent intégrée à Intune.

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe un ensemble d'appareils provenant de différents réseaux locaux physiques, isolant le trafic de diffusion et imposant des limites de sécurité.

Utilisé pour séparer le trafic BYOD des étudiants de celui des appareils du personnel, de l'accès invité et de l'infrastructure IoT.

BYOD (Bring Your Own Device)

La pratique consistant à permettre aux étudiants et au personnel d'utiliser leurs ordinateurs portables, smartphones et tablettes personnels pour accéder au réseau de l'université.

Le principal moteur de la mise en œuvre de portails d'intégration automatisés et de SCEP dans l'enseignement supérieur.

Exemples concrets

Une université de 30 000 étudiants migre de PEAP vers EAP-TLS. Elle utilise Microsoft Entra ID et Intune pour le personnel, mais a besoin d'une solution pour les ordinateurs portables et smartphones BYOD non gérés des étudiants. Comment doivent-ils concevoir l'architecture d'enregistrement ?

Déployer un portail d'intégration en libre-service intégré à Microsoft Entra ID pour le SSO. Les appareils du personnel reçoivent automatiquement des profils SCEP via Intune lors de leur provisionnement. Les étudiants se connectent à un SSID d'intégration ouvert, s'authentifient via le portail à l'aide de leurs identifiants universitaires, et le portail pousse un profil SCEP temporaire sur l'appareil. L'appareil génère un CSR, la passerelle SCEP valide le challenge dynamique, et l'AC émet le certificat. L'appareil se reconnecte ensuite automatiquement au SSID sécurisé 'eduroam' ou 'Student' en utilisant EAP-TLS.

Commentaire de l'examinateur : Cette approche sépare correctement les appareils gérés des appareils BYOD non gérés. En utilisant un portail d'intégration dynamique pour les étudiants, l'université obtient une sécurité basée sur les certificats sans la charge administrative d'imposer un enregistrement MDM complet sur les appareils personnels.

Un collège d'enseignement général doit sécuriser les ordinateurs partagés des salles informatiques Windows et les appareils IoT (projecteurs, tableaux blancs interactifs) en parallèle de leur réseau BYOD. Comment doivent-ils gérer l'authentification pour les appareils sans utilisateur spécifique ?

Pour les ordinateurs partagés des salles informatiques, déployez des certificats machine via SCEP à l'aide de SCCM ou Intune. Les appareils s'authentifient sur le réseau via EAP-TLS au niveau de la machine, ce qui permet à n'importe quel étudiant de se connecter sans déclencher d'événement d'authentification réseau distinct. Pour les appareils IoT qui ne prennent pas en charge le 802.1X ou SCEP, implémentez Identity PSK (iPSK) ou le MAC Authentication Bypass (MAB), et segmentez-les sur un VLAN IoT dédié et isolé, sans accès au réseau académique.

Commentaire de l'examinateur : La solution identifie correctement que SCEP peut émettre des certificats machine pour le matériel partagé. Elle reconnaît également la limite pratique selon laquelle de nombreux appareils IoT n'ont pas de demandeur 802.1X, recommandant ainsi à juste titre l'iPSK et une segmentation VLAN stricte comme contrôle compensatoire.

Questions d'entraînement

Q1. Votre université déploie SCEP via Microsoft NDES et Intune. Pendant les tests, les ordinateurs portables Windows s'enregistrent avec succès, mais les appareils iOS ne parviennent pas à recevoir de certificat. Les journaux du serveur NDES ne montrent aucune requête entrante de la part des appareils Apple. Quel est le problème d'architecture le plus probable ?

Conseil : Prenez en compte l'emplacement réseau des appareils lors de la phase d'enregistrement initiale.

Voir la réponse type

Le serveur NDES (passerelle SCEP) n'est probablement pas publié en externe. Les appareils Windows s'enregistrent peut-être lorsqu'ils se trouvent sur le réseau interne ou le VPN, tandis que les appareils iOS tentent de s'enregistrer via des données cellulaires ou un réseau externe. La passerelle SCEP doit être publiée de manière sécurisée sur Internet (par exemple, via Azure AD Application Proxy) pour permettre l'enregistrement hors campus.

Q2. Un étudiant signale qu'il ne peut pas se connecter au WiFi du campus. Son appareil dispose d'un certificat émis via SCEP il y a deux ans. La CA fonctionne et le serveur RADIUS est en ligne. Quelle bonne pratique de configuration a probablement été oubliée ?

Conseil : Les certificats numériques ont une durée de vie définie.

Voir la réponse type

Le renouvellement automatique des certificats n'a probablement pas été configuré ou a échoué. Le certificat de l'étudiant a expiré. Les bonnes pratiques exigent de configurer le profil MDM ou SCEP pour demander automatiquement un renouvellement lorsque le certificat atteint 80 % de sa période de validité.

Q3. Vous concevez la segmentation réseau d'un nouveau bâtiment de campus. Vous avez mis en œuvre EAP-TLS pour le personnel et les étudiants. L'équipe des installations doit connecter 50 nouveaux capteurs CVC sans fil qui ne prennent pas en charge 802.1X ni les certificats. Comment sécurisez-vous ces appareils ?

Conseil : Ces appareils ne peuvent pas utiliser SCEP. Envisagez des méthodes d'authentification alternatives et l'isolation du réseau.

Voir la réponse type

Mettez en œuvre Identity PSK (iPSK) ou le contournement d'authentification MAC (MAB) pour les capteurs CVC. Surtout, segmentez ces appareils sur un VLAN IoT dédié. Configurez des règles de pare-feu pour bloquer l'accès de ce VLAN à Internet ou aux sous-réseaux académiques/personnel, en limitant le trafic uniquement au serveur de gestion CVC interne spécifique.

Continuer la lecture de cette série

Serveur RADIUS : un guide complet pour les entreprises

Ce guide fournit aux responsables informatiques, architectes réseau et directeurs techniques une référence technique définitive sur l'authentification serveur RADIUS pour le WiFi d'entreprise. Il couvre le framework AAA, l'architecture 802.1X, la sélection de la méthode EAP, les arbitrages de déploiement entre cloud et sur site, ainsi que l'attribution dynamique de VLAN. Les exploitants de sites dans l'hôtellerie, le commerce, l'événementiel et le secteur public y trouveront des conseils de mise en œuvre pratiques, des études de cas réelles et les cadres décisionnels nécessaires pour migrer de clés prépartagées non sécurisées vers une architecture de contrôle d'accès réseau sécurisée et basée sur l'identité.

Lire le guide →

Aruba ClearPass vs. Purple WiFi : comparaison des fonctionnalités et co-déploiement

Un guide technique complet détaillant l'architecture de co-déploiement d'Aruba ClearPass et de Purple WiFi. Il traite de la configuration du proxy RADIUS, de l'attribution dynamique de VLAN et des meilleures pratiques pour fournir des réseaux d'invités sécurisés et axés sur l'analyse de données aux côtés du contrôle d'accès réseau (NAC) d'entreprise.

Lire le guide →

Cisco ISE vs. Purple WiFi : comparaison et complémentarité

Ce guide explique comment Cisco ISE et Purple WiFi remplissent des rôles distincts mais complémentaires au sein des réseaux d'entreprise. Il détaille comment utiliser Cisco ISE pour un accès d'entreprise sécurisé 802.1X tout en tirant parti de Purple pour un WiFi invité conforme au GDPR, des analyses marketing et l'intégration CRM.

Lire le guide →