Passer au contenu principal
Français

Guide de configuration SCEP d'entreprise : Authentification Wi-Fi par certificat pour l'enseignement supérieur et les grands réseaux

Ce guide fournit un plan technique complet pour le déploiement de l'authentification WiFi par certificat à l'aide de SCEP. Il couvre la transition architecturale des clés pré-partagées vers EAP-TLS, les séquences de déploiement sur les plateformes MDM et les stratégies d'atténuation des risques critiques pour les réseaux à grande échelle.

📖 5 min de lecture📝 1,151 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Guide de configuration SCEP d'entreprise : Authentification WiFi par certificat pour l'enseignement supérieur et les grands réseaux Un briefing technique Purple - Script de podcast (environ 10 minutes) --- INTRODUCTION ET CONTEXTE - environ 1 minute Bienvenue dans la série de briefings techniques Purple. Je vais vous parler aujourd'hui d'un sujet qui arrive dans de nombreuses boîtes de réception informatiques mais qui obtient rarement une réponse claire : comment déployer concrètement l'authentification WiFi par certificat à grande échelle, à l'aide de SCEP, sur un grand réseau — qu'il s'agisse d'un campus universitaire, d'un groupe hôtelier multisite ou d'un grand parc du secteur public ? Nous allons couvrir l'ensemble du sujet. Ce que fait réellement SCEP, comment il s'intègre dans une architecture 802.1X, la séquence de déploiement que la plupart des équipes ratent, deux scénarios de mise en œuvre réels et les pièges qui vous coûteront un week-end de votre vie si vous ne les planifiez pas. Il s'agit d'un briefing de consultant, pas d'un tutoriel. Je suppose que vous savez ce qu'est un serveur RADIUS et que vous avez probablement déjà décidé de vous affranchir des clés pré-partagées. Ce dont vous avez besoin maintenant, c'est de la feuille de route de mise en œuvre. Entrons dans le vif du sujet. --- ANALYSE TECHNIQUE APPROFONDIE - environ 5 minutes Tout d'abord, les principes de base. SCEP signifie Simple Certificate Enrollment Protocol. Il a été formalisé par l'IETF en tant que RFC 8894 en 2020, bien qu'il ait été largement utilisé en entreprise depuis plus d'une décennie auparavant. Son rôle est simple : automatiser le processus d'obtention d'un certificat numérique sur un appareil géré sans nécessiter d'intervention humaine sur chaque machine. Dans le cadre de l'authentification WiFi, SCEP est le mécanisme de distribution. Le protocole d'authentification réel que vous ciblez est EAP-TLS — Extensible Authentication Protocol with Transport Layer Security — qui s'inscrit dans le cadre 802.1X. EAP-TLS est largement considéré comme la méthode d'authentification la plus sécurisée pour les réseaux sans fil d'entreprise, car elle exige que l'appareil client et le serveur RADIUS présentent tous deux des certificats valides. Aucune des deux parties ne fait confiance à l'autre sans preuve cryptographique. Cette authentification mutuelle est ce qui vous protège contre les attaques de type « evil twin » (jumeau maléfique), où un attaquant déploie un point d'accès pirate pour intercepter des identifiants. Voici comment fonctionne l'ensemble de la chaîne. Un appareil géré — l'ordinateur portable d'un étudiant, le téléphone d'un employé, un terminal de point de vente d'un hôtel — doit se connecter au réseau sans fil de l'entreprise. Votre plateforme MDM, qui peut être Microsoft Intune ou Jamf, pousse une charge utile (payload) SCEP vers cet appareil. Cette charge utile contient deux éléments : l'URL SCEP, qui pointe vers votre serveur NDES ou votre passerelle SCEP cloud, et un mot de passe de défi (challenge) ou secret partagé. L'appareil génère localement sa propre paire de clés publique et privée. C'est un point critique. La clé privée ne quitte jamais l'appareil. Elle est générée sur l'appareil, stockée dans l'enclave sécurisée ou le TPM, et n'est jamais transmise sur le réseau. L'appareil crée ensuite une demande de signature de certificat — une CSR — et l'envoie à la passerelle SCEP. La passerelle valide le défi, transmet la CSR à votre autorité de certification (CA), et la CA la signe puis renvoie le certificat public à l'appareil. À partir de ce moment, lorsque l'appareil se connecte à votre SSID WiFi, il présente ce certificat au serveur RADIUS. Le serveur RADIUS valide le certificat par rapport à la chaîne de confiance de votre CA, vérifie la liste de révocation de certificats (CRL) pour confirmer que le certificat n'a pas été révoqué, et si tout est correct, envoie un message d'acceptation au point d'accès. L'appareil est sur le réseau. Tout le processus est invisible pour l'utilisateur. Parlons maintenant de la place de SCEP par rapport à l'alternative, qui est PKCS. PKCS — Public Key Cryptography Standards — est l'autre méthode de distribution de certificats prise en charge par des plateformes comme Intune. Avec PKCS, la CA génère à la fois la clé publique et la clé privée de manière centralisée, et le connecteur de certificat pousse la paire de clés vers l'appareil. Cela signifie que la clé privée transite sur le réseau, ce qui introduit une surface d'attaque théorique. PKCS convient parfaitement pour des cas d'usage comme le chiffrement d'e-mails S/MIME où le séquestre de clés est souhaitable. Pour l'authentification WiFi, SCEP est le bon choix. La clé privée reste sur l'appareil, un point c'est tout. Passons maintenant à la couche matérielle. SCEP et EAP-TLS sont des normes indépendantes des fournisseurs, ce qui signifie qu'elles fonctionnent sur les points d'accès Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Votre configuration RADIUS — qu'il s'agisse de Windows NPS, FreeRADIUS ou d'un service RADIUS cloud — est l'endroit où vous définissez la politique de validation des certificats et, surtout, où vous configurez l'attribution dynamique de VLAN. Les VLAN dynamiques vous permettent de segmenter le réseau par identité. Un appareil d'étudiant obtient le VLAN 20 — accès Internet uniquement. Un appareil d'enseignant obtient le VLAN 10 — accès aux systèmes de recherche internes. Un appareil de gestion des installations obtient le VLAN 30 — accès aux systèmes de gestion technique du bâtiment. Tout cela est piloté par les attributs du certificat et la politique RADIUS, sans aucune intervention manuelle par appareil. Pour l'intégration des fournisseurs d'identité, les attributs de certificat SCEP — en particulier le Subject Alternative Name — peuvent transporter le nom principal de l'utilisateur (UPN) depuis Microsoft Entra ID, Okta ou Google Workspace. Cela lie le certificat à une identité spécifique, ce qui signifie que lorsque vous désactivez un compte dans Entra ID et que le MDM désinscrit l'appareil, le certificat est révoqué et l'accès WiFi est coupé automatiquement. C'est un scénario de révocation que les clés pré-partagées ne permettent tout simplement pas de réaliser. --- RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES - environ 2 minutes Très bien, parlons de la séquence de déploiement, car c'est là que la plupart des équipes trébuchent. La séquence est non négociable : le certificat Trusted Root d'abord, le profil de certificat SCEP ensuite, et le profil WiFi en troisième. Intune et Jamf imposent tous deux des dépendances de profil. Si votre profil WiFi fait référence à un certificat SCEP qui n'a pas encore été déployé sur l'appareil, le profil WiFi échouera avec une erreur obscure qui ressemble à une mauvaise configuration mais qui n'est en réalité qu'un problème de timing. Le deuxième piège est le ciblage de groupe. Les trois profils — Trusted Root, SCEP et WiFi — doivent être déployés sur le même groupe Azure AD ou Jamf. Si le profil SCEP cible un groupe d'utilisateurs et le profil WiFi cible un groupe d'appareils, Intune ne pourra pas résoudre la dépendance et le profil WiFi s'affichera comme « Non applicable ». Cela piège constamment les équipes. Troisièmement : l'accessibilité du serveur NDES. Votre serveur NDES doit être accessible depuis Internet afin que les appareils puissent s'enregistrer avant d'arriver sur site. La bonne façon de procéder consiste à utiliser Azure AD Application Proxy, et non à ouvrir un port dans votre pare-feu. App Proxy vous offre un accès à distance sécurisé sans ports entrants et vous permet d'appliquer des politiques d'accès conditionnel au flux d'enregistrement. Quatrièmement : la disponibilité de la CRL. Votre serveur RADIUS vérifie la liste de révocation de certificats (CRL) à chaque fois qu'un appareil s'authentifie. Si votre point de distribution CRL est indisponible — parce qu'un serveur est en panne ou que l'URL a changé — l'authentification échoue simultanément pour tous les appareils du réseau. C'est une panne à l'échelle du campus. Rendez vos points de terminaison CRL hautement disponibles et testez la révocation avant la mise en production. Pour les grands réseaux — au-delà de 500 appareils —, envisagez une passerelle SCEP cloud plutôt qu'un serveur NDES sur site. Les passerelles cloud éliminent le point de défaillance unique du NDES, évoluent horizontalement et s'intègrent généralement directement aux services RADIUS cloud, supprimant ainsi une autre dépendance d'infrastructure. --- QUESTIONS-RÉPONSES RAPIDES - environ 1 minute SCEP peut-il gérer les appareils BYOD qui ne sont pas enregistrés dans un MDM ? Pas directement. SCEP nécessite un enregistrement MDM pour pousser la charge utile du certificat. Pour le BYOD non géré, vous devez adopter une approche différente — soit un portail d'intégration en libre-service, soit un SSID distinct utilisant un Captive Portal avec vérification d'identité. La plateforme de Purple gère proprement cette couche d'invités et de BYOD, en parallèle de votre réseau du personnel authentifié par certificat. Qu'en est-il d'iOS et d'Android ? Les deux plateformes prennent en charge SCEP nativement. iOS prend en charge SCEP depuis iOS 4. Android Enterprise prend en charge SCEP via Intune et d'autres MDM. La configuration est légèrement différente selon la plateforme, mais le protocole sous-jacent est identique. EAP-TLS fonctionne-t-il avec le WPA3 ? Oui. Le WPA3-Enterprise impose un mode de sécurité 192 bits pour les environnements sensibles, et EAP-TLS est entièrement compatible. En fait, le WPA3-Enterprise avec EAP-TLS est la combinaison recommandée par la Wi-Fi Alliance pour les réseaux gouvernementaux et financiers. --- RÉSUMÉ ET PROCHAINES ÉTAPES - environ 1 minute En résumé. L'authentification WiFi par certificat SCEP est la bonne architecture pour tout réseau comptant plus de 50 appareils gérés. Elle élimine les identifiants partagés, vous donne une identité par appareil, permet une segmentation dynamique des VLAN et s'intègre directement à votre fournisseur d'identité pour une révocation automatisée. La séquence de déploiement — Trusted Root, puis profil SCEP, puis profil WiFi — est fixe. Le ciblage de groupe doit être cohérent. La disponibilité de la CRL n'est pas facultative. Pour l'enseignement supérieur en particulier, la combinaison de SCEP pour les appareils du personnel et des enseignants, associée à une couche WiFi invité distincte pour les étudiants sur leurs appareils personnels, vous offre à la fois la sécurité et une excellente expérience utilisateur, sans compromis. Si vous souhaitez aller plus loin, le guide de Purple sur l'authentification WiFi d'entreprise sans Active Directory ni serveur sur site couvre la voie cloud-native. Et si vous vous demandez ce qui se passe lorsqu'un employé s'en va, notre guide sur la révocation de l'accès WiFi détaille l'ensemble du flux de révocation. Merci pour votre écoute. Je fais partie de l'équipe technique de Purple, et nous nous retrouverons lors du prochain briefing. --- FIN DU SCRIPT

header_image.png

Résumé opérationnel

Pour les entreprises — qu'il s'agisse d'un campus moderne de l'enseignement supérieur, d'un réseau de vente au détail multisite ou d'un grand groupe hôtelier —, s'appuyer sur des clés pré-partagées pour le WiFi du personnel et des opérations introduit des vulnérabilités de sécurité et des coûts opérationnels inacceptables. L'architecture réseau moderne exige une authentification 802.1X à l'aide d'EAP-TLS, garantissant que chaque appareil est vérifié par cryptographie avant d'accéder au réseau.

Le défi réside dans la distribution : déployer des certificats clients uniques sur des milliers d'appareils Windows, iOS et Android sans submerger votre centre d'assistance de tickets de support. Microsoft Intune, Jamf et d'autres plateformes MDM résolvent ce problème grâce à une gestion automatisée du cycle de vie des certificats. En s'appuyant sur SCEP (Simple Certificate Enrollment Protocol), les équipes informatiques peuvent pousser silencieusement des certificats racines de confiance et des certificats clients vers les terminaux gérés.

Ce guide fournit un plan architectural définitif et une stratégie de mise en œuvre étape par étape pour le déploiement de certificats SCEP en entreprise. Nous explorerons la séquence de déploiement requise pour réussir, décrirons des stratégies concrètes d'atténuation des risques et détaillerons comment l'approche réseau basée sur l'identité de Purple s'aligne sur ces exigences.

Analyse technique approfondie : Architecture SCEP et 802.1X

Lors de la conception d'une stratégie de déploiement WiFi basée sur des certificats, il est essentiel de comprendre l'interaction des protocoles sous-jacents. SCEP est le mécanisme de distribution ; EAP-TLS est le protocole d'authentification.

SCEP (Simple Certificate Enrollment Protocol)

SCEP est la norme de l'industrie pour l'enregistrement des appareils d'entreprise. Dans un flux de travail SCEP, le service MDM demande au terminal de générer sa propre paire de clés privée et publique. L'appareil crée une demande de signature de certificat (CSR) et l'envoie via un serveur NDES (Network Device Enrollment Service) ou une passerelle cloud à votre autorité de certification (CA). La CA signe la demande et renvoie le certificat public à l'appareil.

L'avantage de sécurité critique de SCEP est que la clé privée ne quitte jamais l'appareil. Elle est générée localement, stockée dans l'enclave matérielle sécurisée de l'appareil et n'est jamais transmise sur le réseau. Cela fait de SCEP l'approche fortement recommandée pour l'authentification 802.1X.

scep_architecture_overview.png

EAP-TLS et authentification mutuelle

EAP-TLS (Extensible Authentication Protocol with Transport Layer Security) s'inscrit dans le cadre 802.1X. EAP-TLS est largement considéré comme la méthode d'authentification la plus sécurisée pour les réseaux sans fil d'entreprise car elle nécessite une authentification mutuelle. L'appareil client et le serveur RADIUS doivent tous deux présenter des certificats valides. Aucune des deux parties ne fait confiance à l'autre sans preuve cryptographique. Cette authentification mutuelle protège le réseau contre les points d'accès pirates et l'interception d'identifiants.

Lorsqu'un appareil se connecte à votre SSID WiFi, il présente son certificat au serveur RADIUS. Le serveur RADIUS valide le certificat par rapport à la chaîne de confiance de votre CA, vérifie la liste de révocation de certificats (CRL) pour confirmer que le certificat n'a pas été révoqué, et en cas de succès, envoie un message d'acceptation au point d'accès.

Guide de mise en œuvre : La séquence de déploiement

La configuration réussie d'un profil WiFi MDM pour le 802.1X nécessite le respect strict d'une séquence de déploiement spécifique. Les dépendances de profil imposent que la confiance soit établie avant que l'authentification puisse être configurée.

Étape 1 : Déployer le profil de certificat de racine de confiance (Trusted Root)

Avant qu'un appareil puisse demander un certificat client ou faire confiance à votre serveur RADIUS, il doit faire confiance à l'autorité de certification émettrice.

  1. Exportez votre certificat Root CA sous forme de fichier .cer.
  2. Dans votre MDM (par exemple, Intune ou Jamf), créez un profil de certificat de confiance (Trusted Certificate).
  3. Téléchargez le fichier .cer et déployez ce profil sur vos groupes d'appareils cibles.

Étape 2 : Configurer le profil de certificat SCEP

Une fois la confiance établie, configurez le profil SCEP pour indiquer aux appareils comment obtenir leur certificat client.

  1. Créez un nouveau profil de configuration et sélectionnez le certificat SCEP.
  2. Configurez le format du nom de sujet (Subject name). Pour une authentification basée sur l'utilisateur, utilisez le User Principal Name.
  3. Définissez l'utilisation de la clé (Key usage) sur Signature numérique (Digital signature) et Chiffrement de clé (Key encipherment).
  4. Sous Utilisation étendue de la clé (Extended key usage), spécifiez Authentification client (Client Authentication).
  5. Liez ce profil au profil de certificat Trusted Root créé à l'étape 1.
  6. Fournissez l'URL externe de votre serveur NDES ou de votre passerelle SCEP.

Étape 3 : Déployer le profil WiFi 802.1X

La dernière étape consiste à pousser la configuration WiFi qui lie les certificats au SSID du réseau.

  1. Créez un profil de configuration Wi-Fi.
  2. Saisissez le nom du réseau (SSID) exactement tel qu'il est diffusé par vos points d'accès.
  3. Sélectionnez WPA2-Enterprise ou WPA3-Enterprise comme type de sécurité.
  4. Définissez le type EAP sur EAP-TLS.
  5. Sélectionnez le profil de certificat SCEP créé à l'étape 2 comme certificat d'authentification client.
  6. Spécifiez le certificat Trusted Root pour la validation du serveur.

Bonnes pratiques et normes de l'industrie

Lors de la mise en œuvre du déploiement de certificats SCEP, respectez ces bonnes pratiques indépendantes des fournisseurs pour garantir la conformité et la fiabilité.

Emplacement et sécurité du serveur NDES

Le serveur NDES doit être accessible depuis Internet pour permettre aux appareils distants depour provisionner les certificats avant l'arrivée sur site. Cependant, exposer directement un serveur interne à Internet présente un risque de sécurité majeur. Publiez l'URL NDES à l'aide d'Azure AD Application Proxy ou utilisez une passerelle SCEP hébergée dans le cloud. Cela permet un accès à distance sécurisé sans ouvrir de ports de pare-feu entrants.

Contrôle RADIUS et CRL

Le déploiement de certificats ne représente que la moitié de l'équation de sécurité ; la révocation est tout aussi essentielle. Si un employé s'en va, la désactivation de son compte Active Directory peut ne pas révoquer immédiatement son accès WiFi si son certificat client reste valide et que le serveur RADIUS ne vérifie pas strictement la liste de révocation de certificats (CRL). Configurez votre serveur RADIUS pour imposer une vérification stricte de la CRL et assurez-vous que vos points de distribution CRL sont hautement disponibles.

Déploiement agnostique vis-à-vis du matériel

SCEP et EAP-TLS sont des normes neutres vis-à-vis des fournisseurs. Votre déploiement doit être agnostique vis-à-vis du matériel et fonctionner de manière transparente sur les infrastructures Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet.

Résolution des problèmes et atténuation des risques

Même avec une planification méticuleuse, le déploiement de certificats peut rencontrer des problèmes.

Problème : Échec de l'application du profil WiFi

Cela est presque toujours dû à une mauvaise correspondance dans le ciblage des groupes. Si le profil SCEP est attribué à un groupe d'utilisateurs, mais que le profil WiFi est attribué à un groupe d'appareils, le MDM ne peut pas résoudre la dépendance. Assurez-vous que les profils de racine de confiance (Trusted Root), SCEP et WiFi sont tous déployés sur le même groupe exact.

Problème : Erreurs NDES 403 Interdit (Forbidden)

Les appareils ne parviennent pas à récupérer le certificat SCEP. Le compte de service Intune Certificate Connector manque probablement des autorisations nécessaires sur le modèle de certificat, ou le filtrage d'URL sur votre pare-feu bloque les paramètres de chaîne de requête spécifiques utilisés par SCEP.

ROI et impact commercial

La transition vers le déploiement de certificats SCEP 802.1X offre des rendements mesurables en matière de sécurité et d'opérations.

scep_vs_psk_comparison.png

  1. Réduction des tickets de support : Le WiFi basé sur mot de passe génère un volume important de tickets d'assistance. L'authentification par certificat est invisible pour l'utilisateur, réduisant généralement le volume de tickets liés au WiFi de 70 %.
  2. Posture de sécurité renforcée : EAP-TLS élimine le risque de vol d'identifiants et d'attaques de l'homme du milieu (Man-in-the-Middle). C'est un élément essentiel pour la conformité avec des cadres tels que PCI DSS et GDPR.
  3. Intégration fluide : Pour les organisations gérant de grands parcs d'appareils Apple aux côtés de Windows, l'intégration avec les flux de travail MDM existants garantit une expérience de provisionnement unifiée et sans intervention (zero-touch).
  4. Segmentation dynamique : Prend en charge l'attribution dynamique de VLAN basée sur l'identité, isolant les appareils IoT des données de l'entreprise sans nécessiter de SSIDs distincts.

Pour aller plus loin, découvrez nos guides associés sur la Sécurité WiFi en entreprise : un guide complet pour 2026 et Comment révoquer l'accès WiFi lorsqu'un employé s'en va .

Définitions clés

SCEP (Simple Certificate Enrollment Protocol)

Un protocole qui automatise la demande et la délivrance de certificats numériques aux appareils gérés sans intervention humaine.

Utilisé par les plateformes MDM pour provisionner de manière sécurisée des identités uniques aux appareils pour l'authentification réseau.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

La méthode d'authentification 802.1X la plus sécurisée, exigeant que le client et le serveur RADIUS présentent tous deux des certificats numériques valides.

Le protocole d'authentification cible que les certificats SCEP sont configurés pour prendre en charge.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.

Le cadre global qui sécurise les réseaux d'entreprise contre les accès non autorisés.

RADIUS

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour les utilisateurs qui se connectent et utilisent un service réseau.

Le composant serveur qui valide le certificat client et détermine le VLAN auquel l'appareil doit se connecter.

CSR (Certificate Signing Request)

Un bloc de texte encodé fourni à une autorité de certification lors de la demande d'un certificat SSL/TLS, contenant la clé publique et les informations d'identité.

Généré localement sur l'appareil lors du processus d'enregistrement SCEP.

NDES (Network Device Enrollment Service)

Un rôle Microsoft Windows Server qui fait office de pont, permettant aux appareils d'obtenir des certificats via SCEP.

La passerelle qui reçoit la CSR de l'appareil et la transmet à l'autorité de certification interne.

CRL (Certificate Revocation List)

Une liste publiée par l'autorité de certification contenant les numéros de série des certificats qui ont été révoqués et ne doivent plus être considérés comme fiables.

Vérifié par le serveur RADIUS lors de l'authentification pour s'assurer que l'appareil d'un employé licencié ne peut pas se connecter.

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe un ensemble d'appareils provenant de différents réseaux LAN physiques.

Utilisé conjointement avec RADIUS pour segmenter dynamiquement le trafic réseau en fonction de l'identité présentée dans le certificat SCEP.

Exemples concrets

Un hôtel de 400 chambres doit déployer un réseau WiFi opérationnel sécurisé pour 150 appareils du personnel (tablettes et ordinateurs portables) tout en garantissant une séparation stricte avec le réseau WiFi invité.

L'équipe informatique configure une passerelle SCEP cloud intégrée à leur MDM. Elle déploie un profil de racine de confiance (Trusted Root), suivi d'un profil SCEP ciblant le groupe d'appareils « Hotel Operations ». Un profil WiFi pour l'SSID « Staff-Secure » est ensuite déployé, configuré pour WPA3-Enterprise et EAP-TLS. Le serveur RADIUS est configuré pour attribuer ces appareils authentifiés au VLAN 40, les isolant complètement du WiFi invité (VLAN 50).

Commentaire de l'examinateur : Cette approche élimine le risque que le personnel partage une clé PSK avec les clients. En utilisant SCEP, les clés privées restent sécurisées sur les appareils opérationnels, et l'attribution dynamique de VLAN garantit une segmentation réseau appropriée sans diffuser plusieurs SSID.

Un grand campus universitaire de 25 000 étudiants et 3 000 employés doit sécuriser son réseau « Edu-Secure ». Ils utilisent actuellement PEAP avec des noms d'utilisateur et des mots de passe, ce qui génère plus de 500 tickets d'assistance par mois en raison de l'expiration des mots de passe.

L'université migre les appareils du personnel et des enseignants vers EAP-TLS à l'aide d'Intune et de SCEP. Elle déploie les profils de certificat dans l'ordre strict (Root -> SCEP -> WiFi) vers les groupes d'utilisateurs du personnel. Pour les appareils BYOD non gérés des étudiants, elle déploie un portail d'intégration distinct qui fournit des certificats temporaires, ou utilise la plateforme Guest WiFi de Purple avec une authentification basée sur des profils pour un accès fluide et sécurisé.

Commentaire de l'examinateur : La migration des appareils gérés vers SCEP/EAP-TLS réduit immédiatement le volume de tickets liés aux mots de passe. L'approche hybride reconnaît que SCEP nécessite un enregistrement MDM, acheminant correctement le trafic BYOD non géré vers un flux d'intégration dédié.

Questions d'entraînement

Q1. Votre équipe déploie un nouveau profil de certificat SCEP sur un parc de 500 ordinateurs portables Windows. Le profil Trusted Root a été déployé sur le groupe « All Corporate Devices ». Le profil SCEP a été déployé sur le groupe « All Corporate Users ». Le profil WiFi s'affiche comme « Non applicable » sur les ordinateurs portables. Quelle en est la cause principale ?

Conseil : Prenez en compte les règles de dépendance des profils Intune et les exigences de ciblage de groupe.

Voir la réponse type

La cause principale est une incohérence dans le ciblage des groupes. Intune exige que les profils dépendants (Root, SCEP, WiFi) soient déployés sur le même type de groupe. Étant donné que le profil Root cible des appareils et que le profil SCEP cible des utilisateurs, la chaîne de dépendance est rompue. Les trois profils doivent cibler soit le même groupe d'appareils, soit le même groupe d'utilisateurs.

Q2. Un directeur des opérations hôtelières souhaite sécuriser le réseau WiFi du personnel à l'aide d'EAP-TLS. Il suggère d'utiliser PKCS au lieu de SCEP car cela ne nécessite pas de serveur NDES. En tant qu'architecte réseau, pourquoi devriez-vous déconseiller cette approche pour l'authentification WiFi ?

Conseil : Pensez à l'endroit où la clé privée est générée et à la manière dont elle transite.

Voir la réponse type

Vous devriez déconseiller PKCS pour l'authentification WiFi car cela nécessite que la clé privée soit générée de manière centralisée par l'autorité de certification et transmise sur le réseau à l'appareil. SCEP est nettement plus sécurisé car l'appareil génère la clé privée localement et la stocke dans une enclave matérielle sécurisée ; la clé privée ne quitte jamais l'appareil.

Q3. Lors d'un audit réseau, vous découvrez que le serveur RADIUS est configuré pour ignorer les erreurs de vérification de la CRL (Certificate Revocation List). Quel risque de sécurité spécifique cela présente-t-il lorsqu'un employé est licencié ?

Conseil : Considérez ce qui arrive à la validité du certificat si le MDM désinscrit l'appareil mais que le serveur RADIUS ne peut pas vérifier le statut de révocation.

Voir la réponse type

Si la vérification de la CRL est ignorée ou configurée pour autoriser l'accès par défaut en cas d'échec, un employé licencié dont l'appareil a été désinscrit (et dont le certificat a été révoqué par l'autorité de certification) pourrait toujours se connecter au réseau WiFi. Le serveur RADIUS verra un certificat cryptographiquement valide et, sans vérifier la CRL, accordera l'accès, créant ainsi une grave faille de sécurité.

Continuer la lecture de cette série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Ce guide explique en détail comment contourner le matériel Starlink natif et intégrer un Captive Portal géré dans le cloud à l'aide d'équipements de routage d'entreprise. Vous apprendrez à surmonter la limitation du CGNAT, à appliquer la segmentation VLAN, à gérer les contraintes de bande passante satellite et à garantir la conformité réglementaire.

Lire le guide →

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Lire le guide →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Ce guide technique offre aux responsables informatiques, architectes réseau et directeurs de l'exploitation des sites un modèle complet pour déployer des Captive Portals qui concilient sécurité réseau et taux de conversion élevé. Il couvre l'intégralité de l'architecture, de la segmentation VLAN et l'authentification RADIUS à la conception de consentements conformes au GDPR et à la sélection des méthodes d'authentification. Issu de l'expérience opérationnelle de Purple sur plus de 80 000 sites et 440 millions de connexions en 2024, chaque recommandation s'appuie sur des données de déploiement réelles.

Lire le guide →