Passer au contenu principal
Français

Le guide de l'entreprise pour SCEP : Déployer le protocole SCEP (Simple Certificate Enrollment Protocol) pour la sécurité automatisée du WiFi sur les campus

Ce guide de référence technique fournit un schéma d'architecture définitif et une stratégie d'implémentation étape par étape pour le déploiement de certificats WiFi d'entreprise à l'aide de SCEP. Il présente les différences cruciales entre SCEP et PKCS, la séquence de déploiement exacte requise pour réussir, ainsi que des stratégies concrètes de mitigation des risques pour les responsables informatiques.

📖 6 min de lecture📝 1,270 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bonjour. Si vous gerez une infrastructure WiFi au sein d'un groupe hôtelier, d'un réseau de points de vente, d'un stade ou d'un campus universitaire, ce briefing s'adresse à vous. Nous allons aborder SCEP (Simple Certificate Enrollment Protocol) et, plus particulièrement, la manière dont il résout l'un des problèmes les plus persistants du WiFi d'entreprise : le déploiement automatique de certificats sur des milliers d'appareils, sans que votre support technique ne soit submergé de tickets. [short pause] Permettez-moi de planter le décor. Vous avez décidé – à juste titre – que les clés pré-partagées ne sont plus acceptables pour le WiFi du personnel. Un seul mot de passe compromis expose l'ensemble de votre segment réseau. Vous êtes passé, ou vous êtes en train de passer, à l'authentification 802.1X. Il s'agit de la norme IEEE qui exige que chaque appareil prouve son identité avant d'obtenir un accès au réseau. La version la plus sécurisée de la norme 802.1X est EAP-TLS (Extensible Authentication Protocol with Transport Layer Security), qui utilise des certificats numériques plutôt que des mots de passe. Les certificats sont cryptographiquement uniques par appareil, ils ne peuvent pas être partagés et ils peuvent être révoqués instantanément si un appareil est perdu ou si un employé s'en va. [short pause] Jusqu'ici, tout va bien. Le problème réside dans la distribution. Comment installer un certificat unique sur chaque ordinateur portable, chaque téléphone, chaque tablette de votre parc – sous Windows, iOS, Android, macOS – sans qu'un technicien n'ait à manipuler chaque appareil ? C'est précisément ce que résout SCEP. [medium pause] Le protocole SCEP a été formalisé par l'Internet Engineering Task Force dans la RFC 8894 en 2020, bien qu'il soit utilisé dans les environnements d'entreprise depuis le début des années 2000. C'est un protocole qui permet à un appareil géré de demander son propre certificat directement à votre autorité de certification, en utilisant une URL préconfigurée et un mot de passe de défi (challenge password). Le point de sécurité crucial ici : la clé privée est générée sur l'appareil lui-même, stockée dans l'enclave sécurisée de l'appareil – à savoir la puce TPM sur les appareils Windows, ou la Secure Enclave sur le matériel Apple – et elle ne transite jamais sur le réseau. L'appareil génère une demande de signature de certificat (CSR), l'envoie à la passerelle SCEP, la passerelle valide le défi, transmet la demande à votre autorité de certification, la CA la signe, et le certificat signé est renvoyé à l'appareil. L'ensemble du processus est invisible pour l'utilisateur final. [short pause] Dans un environnement Microsoft, la passerelle SCEP est généralement NDES (Network Device Enrollment Service), un rôle Windows Server qui sert d'intermédiaire entre votre plateforme MDM et votre CA. Microsoft Intune pousse le profil SCEP vers les appareils gérés, ce qui leur indique l'URL NDES et le mot de passe de défi. Les appareils s'occupent du reste automatiquement. [medium pause] Laissez-moi vous présenter un exemple concret de déploiement. Prenons un groupe hôtelier de 150 établissements. Ils disposent d'un parc mixte d'ordinateurs portables Windows pour le personnel de réception, d'appareils iOS pour les gouvernantes et de tablettes Android pour les points de vente des restaurants. Avant SCEP, ils utilisaient le protocole WPA2-Personal avec un mot de passe partagé renouvelé chaque trimestre. Chaque rotation générait une vague d'appels au support technique. Avec SCEP et Intune, ils déploient trois profils successifs. Premièrement, le profil de certificat racine de confiance – qui indique à chaque appareil de faire confiance à l'autorité de certification de l'entreprise. Deuxièmement, le profil de certificat SCEP – qui ordonne aux appareils d'aller récupérer leur certificat client unique. Troisièmement, le profil WiFi – qui configure l'SSID, définit le type de sécurité sur WPA2-Enterprise ou WPA3-Enterprise, et pointe vers le certificat SCEP pour l'authentification. Déployez ces trois profils sur le même groupe d'appareils dans Intune, et chaque appareil géré se connecte automatiquement à l'SSID de l'entreprise, avec un certificat unique, sans aucune interaction de l'utilisateur. [short pause] Le serveur RADIUS – généralement Microsoft NPS ou un service RADIUS cloud – reçoit la demande d'authentification EAP-TLS, valide le certificat auprès de la CA, vérifie la liste de révocation de certificats (CRL) et accorde ou refuse l'accès. Si un employé est licencié, vous révoquez son certificat dans la CA. Son appareil perd l'accès WiFi lors du cycle d'authentification suivant. Aucun renouvellement de mot de passe n'est requis. Plus besoin d'attendre la rotation trimestrielle. [medium pause] On nous interroge souvent sur la différence entre SCEP et PKCS (Public Key Cryptography Standards). Les deux fonctionnent avec Intune. La différence fondamentale réside dans l'endroit où la clé privée est générée. Avec SCEP, elle est générée sur l'appareil. Avec PKCS, la CA génère les deux clés de manière centralisée et pousse la clé privée vers l'appareil. Cela signifie que la clé privée transite sur le réseau, ce qui introduit un risque théorique d'interception. PKCS a sa place – il est mieux adapté au chiffrement des e-mails S/MIME où le séquestre de clés est important. Pour l'authentification WiFi, SCEP est le bon choix. À chaque fois. [short pause] Laissez-moi vous donner un second scénario : un réseau de points de vente. Imaginez une enseigne de prêt-à-porter comptant 200 magasins, chacun équipé de points d'accès Cisco Meraki. Leurs systèmes de point de vente fonctionnent sous Windows et sont gérés via Intune. Ils doivent se conformer à la norme PCI DSS, ce qui implique une segmentation du réseau et une authentification forte pour tout appareil traitant des données de titulaires de cartes. EAP-TLS basé sur SCEP leur offre une authentification au niveau de l'appareil sur l'SSID du personnel, avec une attribution de VLAN pilotée par la politique RADIUS. Les terminaux de point de vente se retrouvent automatiquement sur le VLAN dédié au périmètre PCI. Le WiFi invité – géré séparément via une plateforme comme Purple – fonctionne sur un SSID complètement isolé avec son propre flux d'authentification. Les deux réseaux ne se touchent jamais. Les auditeurs sont satisfaits. L'équipe de sécurité dort sur ses deux oreilles. [medium pause] Très bien, parlons maintenant des pièges, car il y en a quelques-uns qui piègent régulièrement les équipes. [short pause] Le mode de défaillance le plus courant est l'incohérence de ciblage des groupes dans Intune. Votre profil de racine de confiance, votre profil SCEP et votre profil WiFi doivent tous cibler le même groupe Azure AD. Si le profil SCEP cible un groupe d'utilisateurs et que le profil WiFi cible un groupe d'appareils, Intune ne peut pas résoudre la dépendance et le profil WiFi s'affiche en erreur. Vérifiez d'abord vos affectations – c'est presque toujours la cause du problème. [short pause] Deuxième piège : la disponibilité du serveur NDES. Votre serveur NDES doit être accessible depuis Internet pour que les appareils distants puissent s'enregistrer avant d'arriver sur site. La méthode sécurisée pour y parvenir consiste à utiliser Azure AD Application Proxy, qui vous offre un accès à distance sans ouvrir de ports de pare-feu entrants. N'exposez pas NDES directement sur Internet. [short pause] Troisièmement : la disponibilité de la CRL. Votre serveur RADIUS vérifie la liste de révocation de certificats à chaque fois qu'un appareil s'authentifie. Si le point de distribution de la CRL est inaccessible – par exemple si un serveur est en panne ou si une règle de pare-feu a changé –, l'authentification échoue pour tout le monde. Rendez vos points de terminaison CRL hautement disponibles et testez-les régulièrement. [short pause] Quatrièmement : les autorisations des modèles de certificats. Si le compte de service de votre connecteur NDES ne dispose pas des autorisations de lecture et d'inscription (Read and Enroll) sur le modèle de certificat, les appareils reçoivent des erreurs HTTP 403 lorsqu'ils tentent de récupérer leur certificat. C'est une simple correction d'autorisations, mais elle est facile à oublier lors de la configuration initiale. [medium pause] Passons maintenant à une série de questions-réponses rapides. [short pause] SCEP peut-il fonctionner avec des MDM non-Microsoft ? Oui – Jamf pour les parcs d'appareils Apple, VMware Workspace ONE et la plupart des plateformes MDM d'entreprise prennent en charge les profils SCEP. Le protocole est indépendant des fournisseurs. [short pause] SCEP fonctionne-t-il avec une PKI cloud ? Oui. La propre PKI cloud de Microsoft dans Intune Suite élimine complètement le besoin d'un serveur NDES sur site. Des fournisseurs de PKI cloud tiers comme SecureW2 et Keyfactor proposent également des points de terminaison SCEP dans le cloud. [short pause] Qu'en est-il de WPA3-Enterprise ? WPA3-Enterprise utilise la même pile d'authentification 802.1X et EAP-TLS. Les certificats émis par SCEP fonctionnent de manière identique. La mise à niveau se situe au niveau du protocole sans fil, et non au niveau du certificat. [short pause] Quelle est la durée de validité des certificats ? Généralement un an, bien que vous puissiez configurer des périodes de validité plus courtes. Intune gère le renouvellement automatique avant l'expiration, de sorte que les utilisateurs ne subissent jamais d'interruption. [medium pause] En résumé. SCEP automatise la distribution des certificats à grande échelle, éliminant ainsi la charge de travail manuelle liée au déploiement d'une PKI sur de grands parcs d'appareils. La clé privée reste sur l'appareil – c'est le fondement de la sécurité d'EAP-TLS. Déployez dans l'ordre : d'abord la racine de confiance, puis le profil SCEP, puis le profil WiFi, tous ciblant le même groupe. Publiez votre point de terminaison NDES de manière sécurisée via Application Proxy. Maintenez vos points de terminaison CRL hautement disponibles. Et si vous partez de zéro, évaluez une PKI cloud pour supprimer complètement la dépendance à un serveur NDES sur site. [short pause] Pour le WiFi invité – le réseau distinct destiné aux visiteurs –, l'authentification par certificat n'est pas le modèle adapté. Les invités ne disposent pas d'appareils gérés. C'est là qu'une plateforme comme Purple gère le flux d'authentification : Captive Portal, connexion via les réseaux sociaux, collecte d'e-mails ou vérification par SMS, le tout alimentant une base de données de première partie que votre équipe marketing peut réellement exploiter. Les deux approches sont complémentaires : SCEP pour votre parc d'appareils gérés du personnel, Purple pour votre réseau invité. Les deux fonctionnent sur le même matériel, proprement segmentés par VLAN. [short pause] Voilà pour ce briefing sur l'intégration du WiFi d'entreprise avec SCEP. Le guide écrit complet, avec les schémas d'architecture, la configuration étape par étape d'Intune et des exemples concrets, est disponible sur le site Web de Purple. Merci pour votre écoute.

header_image.png

Résumé exécutif

Pour les sites d'entreprise, qu'il s'agisse d'un environnement hôtelier dynamique, d'un réseau de points de vente multi-sites ou d'un campus d'entreprise moderne, s'appuyer sur des clés pré-partagées ou des portails captifs basiques pour le WiFi du personnel constitue une vulnérabilité de sécurité et un goulot d'étranglement opérationnel. L'architecture réseau moderne exige une authentification 802.1X utilisant EAP-TLS, garantissant que chaque appareil est vérifié par cryptographie avant d'accéder au réseau.

Le défi réside dans la distribution : comment déployer des certificats clients uniques sur des milliers d'appareils Windows, iOS et Android sans submerger votre support technique de tickets d'assistance ? Microsoft Intune et d'autres plateformes MDM résolvent ce problème grâce à une gestion automatisée du cycle de vie des certificats. En déployant des profils SCEP (Simple Certificate Enrollment Protocol), les équipes informatiques poussent silencieusement les certificats racines de confiance et les certificats clients vers les terminaux gérés.

Ce guide fournit un schéma d'architecture définitif et une stratégie d'implémentation étape par étape pour le déploiement de certificats WiFi d'entreprise. Nous explorons les différences cruciales entre SCEP et PKCS, détaillons la séquence de déploiement exacte requise pour réussir, et présentons des stratégies concrètes de mitigation des risques pour garantir que votre WiFi invité et vos réseaux d'entreprise restent sécurisés et performants.

Écouter le briefing

Analyse technique approfondie : l'architecture SCEP

Lors de la conception de votre stratégie de déploiement de certificats WiFi d'entreprise, la première décision architecturale consiste à sélectionner le mécanisme de distribution des certificats. Les plateformes de gestion des appareils mobiles prennent en charge à la fois SCEP et PKCS, mais leur fonctionnement est fondamentalement différent.

Simple Certificate Enrollment Protocol (SCEP)

Le protocole SCEP est la norme de l'industrie pour l'enregistrement des appareils d'entreprise. Dans un flux SCEP, le service de gestion demande au terminal de générer sa propre paire de clés privée et publique. L'appareil crée une demande de signature de certificat (CSR) et l'envoie via un serveur NDES (Network Device Enrollment Service) à votre autorité de certification (CA). La CA signe la demande et renvoie le certificat public à l'appareil.

L'avantage crucial de SCEP en matière de sécurité est que la clé privée ne quitte jamais l'appareil. Elle est générée localement, stockée dans l'enclave sécurisée de l'appareil (comme le TPM sous Windows ou la Secure Enclave sous iOS), et n'est jamais transmise sur le réseau. Cela fait de SCEP l'approche fortement recommandée pour l'authentification 802.1X.

scep_architecture_overview.png

Public Key Cryptography Standards (PKCS)

À l'inverse, avec PKCS, l'autorité de certification génère les clés publique et privée de manière centralisée. Le connecteur de certificat exporte cette paire de clés de façon sécurisée et la pousse vers l'appareil cible.

Bien que PKCS élimine le besoin de déployer et de maintenir un serveur NDES, simplifiant ainsi l'empreinte de l'infrastructure, il introduit un risque de sécurité théorique car la clé privée est transmise sur le réseau. PKCS est généralement plus adapté aux cas d'usage nécessitant un séquestre de clés, comme le chiffrement des e-mails S/MIME, plutôt qu'à l'authentification réseau.

scep_vs_pkcs_comparison.png

Guide d'implémentation : la séquence de déploiement

La configuration réussie d'un profil WiFi géré pour le 802.1X nécessite le respect strict d'une séquence de déploiement spécifique. Les dépendances de profil imposent que la confiance soit établie avant que l'authentification puisse être configurée.

Étape 1 : Déployer le profil de certificat racine de confiance

Avant qu'un appareil ne puisse demander un certificat client ou faire confiance à votre serveur RADIUS, il doit faire confiance à l'autorité de certification émettrice.

  1. Exportez votre certificat de CA racine et tous les certificats de CA intermédiaires sous forme de fichiers .cer.
  2. Dans votre console MDM, créez un nouveau profil de configuration.
  3. Sélectionnez la plateforme cible et choisissez le type de profil de certificat de confiance.
  4. Téléchargez le fichier .cer et déployez ce profil sur vos groupes d'appareils cibles.

Étape 2 : Configurer le profil de certificat SCEP

Une fois la confiance établie, configurez le profil SCEP pour indiquer aux appareils comment obtenir leur certificat client.

  1. Créez un nouveau profil de configuration et sélectionnez le certificat SCEP.
  2. Configurez le format du nom de l'objet (subject name). Pour l'authentification basée sur l'utilisateur, CN={{UserPrincipalName}} est la norme. Pour l'authentification de l'appareil, utilisez CN={{AAD_Device_ID}}.
  3. Définissez l'utilisation de la clé sur la signature numérique et le chiffrement de clé (key encipherment).
  4. Sous l'utilisation étendue de la clé (extended key usage), spécifiez l'authentification client (OID : 1.3.6.1.5.5.7.3.2).
  5. Liez ce profil au profil de certificat racine de confiance créé à l'Étape 1.
  6. Indiquez l'URL externe de votre passerelle SCEP ou de votre serveur NDES.

Étape 3 : Déployer le profil WiFi 802.1X

La dernière étape consiste à pousser la configuration WiFi qui lie les certificats à l'SSID du réseau.

  1. Créez un profil de configuration WiFi.
  2. Saisissez le nom du réseau exactement tel qu'il est diffusé par vos points d'accès sans fil.
  3. Sélectionnez WPA2-Enterprise ou WPA3-Enterprise comme type de sécurité.
  4. Définissez le type d'EAP sur EAP-TLS.
  5. Dans les paramètres d'authentificatiogs, sélectionnez le profil de certificat SCEP créé à l'étape 2 comme certificat d'authentification client.
  6. Spécifiez le certificat racine de confiance pour la validation du serveur afin de vous assurer que l'appareil se connecte uniquement à votre serveur RADIUS légitime.

Bonnes pratiques et normes de l'industrie

Lors de la mise en œuvre du déploiement de certificats SCEP, respectez les bonnes pratiques neutres vis-à-vis des fournisseurs suivantes pour garantir la conformité et la fiabilité.

Emplacement et sécurité de la passerelle SCEP

La passerelle SCEP doit être accessible depuis Internet pour permettre aux appareils distants de provisionner des certificats avant d'arriver sur site. Exposer un serveur interne directement à Internet représente un risque de sécurité important. Publiez l'URL SCEP à l'aide d'un proxy d'application ou d'un reverse proxy. Cela fournit un accès distant sécurisé sans ouvrir de ports de pare-feu entrants et vous permet d'appliquer des politiques d'accès conditionnel au flux d'enrôlement.

RADIUS et vérification CRL

Le déploiement de certificats n'est que la moitié de l'équation de sécurité ; la révocation est tout aussi essentielle. Si un employé est licencié, la désactivation de son compte d'annuaire peut ne pas révoquer immédiatement son accès WiFi si son certificat client reste valide et que le serveur RADIUS ne vérifie pas strictement la liste de révocation de certificats (CRL).

Configurez votre serveur RADIUS pour imposer une vérification stricte de la CRL. Assurez-vous que vos points de distribution CRL sont hautement disponibles ; si le serveur RADIUS ne peut pas atteindre la CRL, l'authentification échouera, provoquant une panne généralisée.

Pour des considérations plus larges sur la connectivité moderne, consultez notre guide sur la Gestion de la bande passante : un guide pratique pour 2026 .

Dépannage et atténuation des risques

Même avec une planification méticuleuse, le déploiement de certificats peut rencontrer des problèmes. Voici les modes de défaillance courants et les stratégies d'atténuation.

Échec de l'application du profil WiFi

L'appareil reçoit les certificats racine de confiance et SCEP, mais le profil WiFi s'affiche comme étant en erreur ou non applicable dans la console MDM. Cela est presque toujours dû à une incompatibilité dans le ciblage des groupes. Si le profil SCEP est attribué à un groupe d'utilisateurs, mais que le profil WiFi est attribué à un groupe d'appareils, le MDM ne peut pas résoudre la dépendance. Auditez vos attributions. Assurez-vous que les profils de racine de confiance, SCEP et WiFi sont tous déployés sur le même groupe exact.

Erreurs Gateway 403 Forbidden

Les appareils ne parviennent pas à récupérer le certificat SCEP et les journaux de la passerelle affichent des erreurs HTTP 403. Le compte de service du connecteur ne dispose pas des autorisations nécessaires sur le modèle de certificat, ou le filtrage d'URL sur votre pare-feu bloque les paramètres de chaîne de requête spécifiques utilisés par SCEP. Vérifiez que le compte du connecteur dispose des autorisations de lecture et d'inscription sur le modèle de l'autorité de certification (CA). Vérifiez les journaux du pare-feu pour vous assurer que les URL contenant ?operation=GetCACaps ne sont pas bloquées.

ROI et impact commercial

La transition vers un déploiement de certificats 802.1X basé sur SCEP offre des rendements mesurables en matière de sécurité et d'opérations.

  1. Réduction des tickets de support : Le WiFi basé sur mot de passe génère un volume important de tickets d'assistance concernant les expirations de mots de passe, les verrouillages et les fautes de frappe. L'authentification par certificat est invisible pour l'utilisateur, réduisant généralement de 70 % le volume de tickets d'assistance liés au WiFi.
  2. Posture de sécurité renforcée : EAP-TLS élimine le risque de vol d'identifiants et d'attaques de l'homme du milieu (Man-in-the-Middle). C'est essentiel pour la conformité avec des cadres tels que PCI DSS et GDPR, en particulier dans les environnements du Commerce de détail et de la Santé .
  3. Intégration fluide : L'intégration du déploiement de certificats aux flux de travail MDM existants garantit une expérience de provisionnement unifiée et sans contact (zero-touch) dès le premier jour.

Alors que SCEP sécurise vos appareils d'entreprise gérés, les réseaux d'invités et de visiteurs nécessitent une approche différente. Pour les appareils non gérés, un Captive Portal avec connexion via les réseaux sociaux ou vérification par SMS alimente une couche de données de première partie, vous offrant des informations exploitables. Explorez notre plateforme WiFi Analytics pour voir comment ces données génèrent des revenus.

Définitions clés

SCEP (Simple Certificate Enrollment Protocol)

Un protocole qui permet aux appareils de demander des certificats numériques à une autorité de certification, la clé privée étant générée et stockée de manière sécurisée sur l'appareil lui-même.

La méthode recommandée pour déployer des certificats d'authentification WiFi en raison de sa sécurité élevée et de sa scalabilité sur l'ensemble des parcs d'appareils d'entreprise.

PKCS (Public Key Cryptography Standards)

Un ensemble de normes selon lesquelles les clés publique et privée sont générées par l'autorité de certification, puis transmises de manière sécurisée au terminal.

Souvent utilisé pour le chiffrement des e-mails S/MIME, mais moins adapté à l'authentification WiFi en raison de la transmission de la clé privée sur le réseau.

NDES (Network Device Enrollment Service)

Un rôle Microsoft Windows Server qui fait office de passerelle, permettant aux appareils sans identifiants de domaine d'obtenir des certificats via SCEP.

Un composant d'infrastructure requis lors de l'implémentation du déploiement de certificats SCEP avec une infrastructure PKI Microsoft sur site.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

La méthode d'authentification 802.1X la plus sécurisée, exigeant que le serveur et le client présentent tous deux des certificats numériques valides.

Le protocole d'authentification cible que les profils de certificat et WiFi MDM sont conçus pour activer, éliminant ainsi l'accès par mot de passe.

CRL (Certificate Revocation List)

Une liste publiée par l'autorité de certification contenant les numéros de série des certificats qui ont été révoqués avant leur date d'expiration prévue.

Les serveurs RADIUS doivent vérifier la CRL lors de l'authentification pour s'assurer que les employés ayant quitté l'entreprise ne peuvent pas accéder au réseau à l'aide d'un certificat auparavant valide.

CSR (Certificate Signing Request)

Un bloc de texte encodé transmis à une autorité de certification lors de la demande d'un certificat SSL/TLS, contenant la clé publique et les informations d'identité.

Générée localement par l'appareil géré lors du flux SCEP pour demander son identifiant d'identité unique.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.

Le cadre fondamental qui impose la validation du certificat EAP-TLS avant d'accorder l'accès au réseau.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA) pour les utilisateurs qui se connectent et utilisent un service réseau.

Le serveur qui évalue le certificat client par rapport à la CA et à la CRL pour prendre la décision finale d'autoriser ou de refuser l'accès WiFi.

Exemples concrets

Un groupe hôtelier de 150 établissements doit sécuriser le réseau de son personnel sur un parc mixte composé d'ordinateurs portables Windows pour la réception, d'appareils iOS pour le service d'étage et de tablettes Android pour les points de vente des restaurants. Ils utilisent actuellement le protocole WPA2-Personal avec un mot de passe partagé renouvelé chaque trimestre, ce qui génère un volume massif de tickets d'assistance.

Le groupe hôtelier déploie successivement trois profils Intune sur un groupe d'appareils unifié. Premièrement, un profil de certificat racine de confiance établit la liaison avec l'autorité de certification (CA) de l'entreprise. Deuxièmement, un profil de certificat SCEP demande aux appareils de requérir un certificat client unique. Troisièmement, un profil WiFi configure l'SSID de l'entreprise avec WPA3-Enterprise et EAP-TLS, en ciblant le certificat SCEP pour l'authentification. Le serveur RADIUS applique une vérification stricte de la liste de révocation de certificats (CRL) afin de révoquer instantanément l'accès en cas de départ d'un employé.

Commentaire de l'examinateur : Cette approche élimine la charge de travail liée à la rotation trimestrielle des mots de passe et sécurise le réseau contre le partage d'identifiants. SCEP est privilégié par rapport à PKCS pour garantir que la clé privée ne quitte jamais les appareils individuels, maintenant ainsi une posture Zero Trust sur l'ensemble du parc de matériel hétérogène.

Une enseigne de prêt-à-porter comptant 200 magasins doit se conformer à la norme PCI DSS pour ses systèmes de point de vente sous Windows gérés via Intune. Elle doit garantir une authentification forte et une segmentation réseau stricte pour tout appareil traitant des données de titulaires de cartes.

Le détaillant implémente EAP-TLS basé sur SCEP pour l'authentification au niveau de l'appareil sur l'SSID du personnel. La politique RADIUS pilote l'attribution des VLAN, plaçant automatiquement les terminaux de point de vente authentifiés sur un VLAN strictement isolé et dédié au périmètre PCI. Le WiFi invité est géré sur un SSID totalement distinct avec son propre flux d'authentification par Captive Portal, garantissant que les deux réseaux ne se croisent jamais.

Commentaire de l'examinateur : En liant directement la segmentation du réseau à l'authentification par certificat, le détaillant répond aux exigences de la norme PCI DSS sans configuration réseau manuelle par magasin. La séparation physique du réseau invité à l'aide d'une plateforme comme Purple évite l'extension du périmètre d'audit PCI.

Questions d'entraînement

Q1. Votre déploiement Intune indique que les profils de certificat racine de confiance et SCEP ont été appliqués avec succès sur l'ordinateur portable d'un utilisateur, mais le profil WiFi affiche un état d'erreur. L'utilisateur ne peut pas se connecter à l'SSID de l'entreprise. Quelle est la cause architecturale la plus probable ?

Conseil : Réfléchissez à la manière dont les plateformes MDM résolvent les dépendances entre des profils de configuration liés.

Voir la réponse type

Une incohérence dans le ciblage des groupes. Le profil SCEP est probablement attribué à un groupe d'utilisateurs, tandis que le profil WiFi est attribué à un groupe d'appareils (ou vice versa). Intune ne peut pas résoudre la dépendance entre différents types de groupes, ce qui entraîne l'échec du déploiement du profil WiFi. Auditez les affectations et assurez-vous que les trois profils ciblent exactement le même groupe Azure AD.

Q2. Une filiale nouvellement acquise exige une authentification 802.1X pour les appareils de son personnel. Son équipe de sécurité exige que les clés privées ne transitent jamais sur le réseau et soient générées au sein du module matériel TPM du terminal. Quelle méthode de déploiement de certificats devez-vous utiliser ?

Conseil : Comparez l'endroit où la clé privée est générée dans le flux de travail SCEP par rapport au flux de travail PKCS.

Voir la réponse type

Vous devez utiliser SCEP (Simple Certificate Enrollment Protocol). Dans un flux SCEP, l'appareil génère localement sa propre paire de clés privée et publique au sein de son enclave sécurisée (TPM) et envoie uniquement une demande de signature de certificat (CSR) sur le réseau. PKCS génère la clé privée de manière centralisée sur la CA et la transmet sur le réseau, ce qui enfreint la directive de l'équipe de sécurité.

Q3. Un employé est licencié et son compte Active Directory est désactivé. Cependant, son ordinateur portable reste connecté au réseau WiFi de l'entreprise pendant plusieurs heures avant de perdre l'accès. Comment résolvez-vous cette faille de sécurité ?

Conseil : La désactivation d'un compte n'invalide pas un certificat existant. Quel mécanisme le serveur RADIUS utilise-t-il pour vérifier la validité du certificat ?

Voir la réponse type

Vous devez configurer le serveur RADIUS pour imposer une vérification stricte de la liste de révocation de certificats (CRL). Lorsqu'un employé quitte l'entreprise, son certificat doit être explicitement révoqué dans l'autorité de certification. Le serveur RADIUS vérifiera ensuite la CRL lors du cycle d'authentification suivant et refusera immédiatement l'accès, quel que soit le statut du compte Active Directory.

Continuer la lecture de cette série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Ce guide explique en détail comment contourner le matériel Starlink natif et intégrer un Captive Portal géré dans le cloud à l'aide d'équipements de routage d'entreprise. Vous apprendrez à surmonter la limitation du CGNAT, à appliquer la segmentation VLAN, à gérer les contraintes de bande passante satellite et à garantir la conformité réglementaire.

Lire le guide →

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Lire le guide →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Ce guide technique offre aux responsables informatiques, architectes réseau et directeurs de l'exploitation des sites un modèle complet pour déployer des Captive Portals qui concilient sécurité réseau et taux de conversion élevé. Il couvre l'intégralité de l'architecture, de la segmentation VLAN et l'authentification RADIUS à la conception de consentements conformes au GDPR et à la sélection des méthodes d'authentification. Issu de l'expérience opérationnelle de Purple sur plus de 80 000 sites et 440 millions de connexions en 2024, chaque recommandation s'appuie sur des données de déploiement réelles.

Lire le guide →