Passer au contenu principal
Français

Captive Portal WiFi pour le personnel : intégration et authentification des employés

Une référence technique complète pour les responsables informatiques sur la conception et le déploiement de Captive Portals WiFi pour le personnel. Ce guide couvre l'authentification EAP-TLS, l'intégration BYOD, la segmentation VLAN et la gestion de la bande passante pour améliorer l'efficacité opérationnelle et atténuer les risques de sécurité.

📖 6 min de lecture📝 1,263 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Staff WiFi Captive Portal: Onboarding and Authenticating Employees A Purple Enterprise WiFi Intelligence Briefing [INTRODUCTION - approximately 1 minute] Welcome to the Purple Enterprise WiFi Intelligence series. Today we're covering a topic that sits at the intersection of security, HR operations, and network architecture: the staff WiFi captive portal. Now, I know what some of you might be thinking. A captive portal for staff? Isn't that what you use for guests? And that's exactly the misconception we need to address upfront. A staff WiFi captive portal is not a guest splash page with a different logo. It is a structured onboarding gateway that authenticates individual employees, enforces policy acceptance, and registers devices before granting access to your operational network. Get it right, and you eliminate the single biggest vulnerability in most enterprise WiFi deployments: the shared pre-shared key. Get it wrong, and you have former employees, contractors, and personal devices sitting on your staff network indefinitely. Let's get into the architecture. [TECHNICAL DEEP-DIVE - approximately 5 minutes] The foundational problem with most staff WiFi deployments is the shared password. A single WPA2 pre-shared key, written on a sticky note in the back office, shared in a WhatsApp group, and never changed when someone leaves. In a 200-room hotel with 80 staff members, that password has been shared with roughly 80 people, their partners who borrowed their phone, and at least three former employees. That is not a network. That is an open door. The staff WiFi captive portal solves this by replacing the shared credential with an identity-verified onboarding flow. Here is how it works in practice. When a new employee connects their device to the staff network for the first time, they hit a provisioning SSID. This is an open network, but it is a walled garden - it routes only to the onboarding portal and your identity provider. Nothing else. The employee is redirected to the captive portal, where they authenticate using their corporate identity. In most enterprise environments today, that means Single Sign-On via Microsoft Entra ID, Okta, or Google Workspace. Once the identity provider confirms the employee is active and in the correct group, the portal does one of two things depending on your authentication architecture. In a credential-based deployment using PEAP and MSCHAPv2, the portal validates the credentials and issues a network access token. In a certificate-based deployment using EAP-TLS, the portal triggers certificate generation. A device-specific X.509 certificate is issued by your Certificate Authority, packaged into a configuration profile - a dot-mobileconfig file on iOS, or a Passpoint profile on Android - and pushed to the device. The device installs the profile, disconnects from the provisioning SSID, and connects automatically to the secure staff SSID using the certificate for EAP-TLS authentication. From that point forward, every time the device connects to the staff network, the RADIUS server validates the certificate. No password prompt. No manual login. The device just connects, silently and securely. Now let us talk about why EAP-TLS is the target state for most enterprise deployments. The IEEE 802.1X standard defines the framework, but EAP-TLS is the method that eliminates credential theft from the authentication path entirely. There is no password to phish. There is no hash to brute-force. The certificate is bound to the device. If the device is lost or stolen, you revoke the certificate in your Certificate Authority and the RADIUS server denies access on the next connection attempt. If the employee leaves the company, you disable their account in the identity provider, and because the certificate was issued against that identity, the SCIM integration propagates the deprovisioning automatically. Access ends when the person does. This is the architecture that organisations like Premier Inn and Whitbread need when managing hundreds of properties with thousands of staff devices across a distributed estate. You cannot manage that at scale with shared passwords and manual revocation. Let us also address the BYOD dimension, because this is where the captive portal becomes particularly valuable. In most hospitality, retail, and events environments, a significant proportion of staff use personal devices for operational tasks. Housekeeping staff check room assignments on their own smartphones. Retail associates use personal tablets for inventory lookups. Stadium operations teams use personal phones for communications. These are unmanaged devices. You do not control their OS version, their antivirus status, or what other applications are installed. They must be treated as semi-trusted at best. The staff WiFi captive portal handles BYOD by placing these devices on a dedicated VLAN after authentication. The VLAN gives them access to the specific internal applications they need - the property management system, the point-of-sale interface, the scheduling app - and nothing else. They cannot reach your corporate servers, your financial systems, or your managed device network. This is VLAN segmentation enforced at the RADIUS level, and it is the practical implementation of the zero-trust principle: verify identity, then grant the minimum access required. One more architectural element worth covering: the Acceptable Use Policy, or AUP. The captive portal is the natural enforcement point for AUP acceptance. Before an employee gains access to the staff network, the portal presents the policy - covering acceptable use, monitoring, data handling, and consequences of misuse - and requires an explicit acknowledgement. This creates a timestamped, auditable record of policy acceptance. Under GDPR, this matters. Under PCI DSS, for any network that touches cardholder data, this matters. And in the event of a disciplinary investigation involving network misuse, this matters considerably. Now, bandwidth. This is where Purple Shield becomes directly relevant. In high-density staff environments - a hotel during a full-house weekend, a retail estate on Black Friday, a stadium on match day - bandwidth contention on the staff network is a real operational problem. Purple Shield operates at the DNS level, blocking ad payloads, tracking scripts, and malware domains before they reach the device. The practical effect is up to a 40% reduction in total downloaded data across the network, according to Purple's own data. For staff devices, that means faster page loads, lower device battery consumption, and more available bandwidth for operational traffic. Pages load up to 3.5 times faster when the 120-plus DNS queries typical of an ad-heavy page are stripped out before they hit the network. You get that improvement without touching the hardware, without reconfiguring the access points, and without any per-device setup. [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS - approximately 2 minutes] Let me give you the implementation sequence and the failure modes to watch for. Start with your VLAN architecture before you configure a single access point. Define three VLANs minimum: staff, guest, and IoT. Map your firewall policies. Get sign-off from your security team. The most expensive mistakes in WiFi deployments happen when the network is built first and the security architecture is added afterwards. Second, deploy your RADIUS infrastructure with redundancy. A single RADIUS server failure locks every staff member off the network simultaneously. In a hotel, that means front desk cannot process check-ins. In a retail store, that means point-of-sale systems cannot authenticate. Deploy at least two RADIUS servers in an active-passive configuration, and test the failover before you go live. Third, integrate your RADIUS server with your identity provider via LDAP or SAML. This is what enables automatic deprovisioning. When an employee is disabled in Microsoft Entra ID or Okta, the RADIUS server stops accepting their credentials or their certificate on the next connection attempt. No manual step, no ticket queue, no gap between departure and access removal. Fourth, design your captive portal onboarding flow for the least technical user on your team. Not the IT manager. The seasonal warehouse operative who has never installed a configuration profile. Clear instructions, branded interface, and a helpdesk contact number visible on every screen. Now the pitfalls. The most common failure mode is the walled garden being too permissive. If your provisioning SSID allows general internet access, staff will simply stay on it rather than completing the onboarding flow. Lock it down to the portal, the identity provider endpoints, and the certificate download server. Nothing else. The second pitfall is Android fragmentation. iOS handles dot-mobileconfig profiles consistently. Android does not. Different manufacturers and OS versions handle certificate installation differently. Test your onboarding flow on the specific Android devices your staff actually use before you roll out. Passpoint, also known as Hotspot 2.0, significantly improves the Android experience by enabling automatic network discovery and authentication after the initial setup. The third pitfall is certificate expiry. Issue short-lived certificates - 90 days is a reasonable default for BYOD devices. When the certificate expires, the device must re-onboard through the portal. This naturally removes stale devices from the network and forces re-authentication against the current identity provider state. A device belonging to a former employee whose account was disabled six months ago will fail re-onboarding automatically. [RAPID-FIRE Q&A - approximately 1 minute] A few questions we hear frequently. "Can we use iPSK instead of full 802.1X?" Yes, for environments where certificate deployment is not feasible. iPSK, or Identity Pre-Shared Key, assigns a unique WiFi password to each user or device. It is more secure than a shared PSK because each credential is individual and revocable. It is less secure than EAP-TLS because it is still password-based. Use it as a stepping stone, not a destination. "Do we need WPA3 if we are already on WPA2-Enterprise?" If your hardware supports it, yes. WPA3-Enterprise introduces Simultaneous Authentication of Equals, which eliminates offline dictionary attacks against the handshake. The migration cost on supported hardware is a configuration change. The security uplift is material. "How do we handle contractors who do not have a corporate identity?" Use iPSK or a time-limited guest credential issued through the portal. Set an expiry date matching the contract end date. Purple's platform supports time-bounded access credentials natively. [SUMMARY AND NEXT STEPS - approximately 1 minute] Let me bring this together. A staff WiFi captive portal is not a convenience feature. It is the enforcement point for identity verification, policy acceptance, device registration, and access control on your operational network. The shared pre-shared key is a compliance liability and a security vulnerability. Replace it with an identity-verified onboarding flow, VLAN segmentation, and RADIUS-based authentication. Your immediate next steps: audit your current staff network authentication method. If you are running a shared PSK, that is your highest priority remediation. If you are on credential-based 802.1X, evaluate the path to certificate-based EAP-TLS. And if you do not have Purple Shield deployed on your staff network, the bandwidth reduction alone justifies the conversation. For implementation guidance, architecture templates, and case studies from Purple's deployments across 80,000 live venues, visit purple.ai. Thank you for listening.

header_image.png

Résumé exécutif

Pour les responsables informatiques et les architectes réseau dans l'hôtellerie, le commerce de détail et les grands espaces publics, la gestion de l'accès au réseau pour les appareils des employés représente un défi de sécurité et opérationnel majeur. S'appuyer sur des clés pré-partagées (PSK) partagées est fondamentalement non sécurisé et lourd sur le plan opérationnel, créant un scénario dans lequel les anciens employés et les appareils non gérés conservent un accès indéfini au réseau. Ce guide présente une approche pratique et sécurisée de l'intégration du WiFi pour le personnel à l'aide d'un flux de Captive Portal intégré à votre fournisseur d'identité. En tirant parti de cette architecture, vous pouvez intégrer en toute sécurité des appareils BYOD non gérés sur un réseau 802.1X, appliquer des politiques d'utilisation acceptable et maintenir la conformité sans la friction d'un enregistrement complet dans une gestion des appareils mobiles (MDM). Pour les établissements qui utilisent déjà le Guest WiFi et le WiFi Analytics , étendre l'intégration sécurisée aux appareils du personnel offre une stratégie de gestion de réseau unifiée et robuste.

Écouter ce guide

Analyse technique approfondie

La base d'une intégration sécurisée du personnel est la transition des méthodes d'authentification héritées vers EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). EAP-TLS est la norme de l'industrie pour l'authentification WiFi sécurisée, s'appuyant sur des certificats numériques plutôt que sur des mots de passe. Le défi avec les réseaux du personnel, en particulier dans les environnements BYOD, est de distribuer ces certificats aux appareils non gérés.

Le flux d'intégration en libre-service

Pour y parvenir, les établissements mettent en œuvre un portail d'intégration en libre-service. Le processus suit un parcours structuré pour garantir la livraison sécurisée des certificats :

  1. Connexion initiale : L'utilisateur connecte son appareil personnel à un SSID de provisionnement dédié et ouvert. Ce réseau agit comme un environnement fermé (walled garden), limitant l'accès à tout sauf au portail d'intégration et au fournisseur d'identité (IdP).
  2. Authentification : L'utilisateur est redirigé vers un Captive Portal où il s'authentifie à l'aide de ses identifiants d'entreprise. Cela implique une intégration SAML ou SCIM avec un IdP comme Microsoft Entra ID, Okta ou Google Workspace.
  3. Génération de certificat : Une fois l'authentification réussie, le système génère un certificat client unique et spécifique à l'appareil.
  4. Installation du profil : Un profil de configuration est envoyé à l'appareil. Ce profil contient le certificat client, le certificat de l'autorité de certification (CA) racine et les paramètres de configuration réseau pour le SSID 802.1X sécurisé.
  5. Connexion sécurisée : L'appareil se déconnecte automatiquement du SSID de provisionnement et se connecte au SSID d'entreprise sécurisé en utilisant le certificat nouvellement installé pour l'authentification EAP-TLS.

byod_onboarding_flow.png

Pourquoi les clés PSK partagées échouent pour les réseaux du personnel

Historiquement, les établissements s'appuyaient sur des clés pré-partagées (PSK) pour l'accès du personnel. Cette méthode est fondamentalement défaillante dans les environnements d'entreprise modernes. Les PSK, une fois partagées, sont compromises. Elles n'offrent aucune responsabilité individuelle et nécessitent un changement de mot de passe à l'échelle du réseau si un appareil est perdu ou si un employé s'en va. Dans un hôtel de 200 chambres comptant 80 membres du personnel, un mot de passe partagé a probablement été partagé avec environ 80 personnes, leurs partenaires et au moins trois anciens employés. Ce n'est pas un réseau sécurisé ; c'est une porte ouverte.

authentication_methods_comparison.png

Guide de mise en œuvre

Le déploiement d'un Captive Portal WiFi sécurisé pour le personnel nécessite une planification et une exécution minutieuses. Suivez ces étapes pour un déploiement réussi dans un hôtel, un commerce de détail ou un stade.

Étape 1 : Définir les politiques d'accès et la segmentation

Avant de configurer l'infrastructure technique, définissez clairement ce à quoi les appareils du personnel doivent être autorisés à accéder. Les appareils BYOD ne sont pas gérés ; vous ne contrôlez pas leurs mises à jour de système d'exploitation, leur statut antivirus ou leurs applications installées. Par conséquent, ils doivent être traités comme des appareils non approuvés.

Placez les appareils du personnel sur un VLAN dédié. Ce VLAN doit fournir un accès Internet et un accès restreint uniquement aux applications internes spécifiques requises pour le rôle de l'employé, telles que l'interface web du point de vente pour le commerce de détail ou l'application de service d'étage pour l'hôtellerie. Ne placez jamais d'appareils BYOD sur le même VLAN que les serveurs d'entreprise ou les appareils gérés. Pour en savoir plus sur la sécurisation des réseaux d'arrière-boutique, consultez notre guide sur les Politiques WiFi pour le personnel du commerce de détail : Sécuriser les réseaux Back-of-House ou la version portugaise Políticas de WiFi para Colaboradores no Retalho: Proteger as Redes Back-of-House .

Étape 2 : Configurer le serveur RADIUS et l'intégration IdP

Votre serveur RADIUS est le cœur du processus d'authentification 802.1X. Il doit être configuré pour prendre en charge EAP-TLS et être intégré à votre fournisseur d'identité.

Connectez votre serveur RADIUS à votre IdP via SAML ou LDAP. Cela garantit que seuls les employés actifs peuvent s'authentifier et recevoir un certificat. Lorsqu'un employé est désactivé dans Microsoft Entra ID ou Okta, le serveur RADIUS cesse d'accepter ses identifiants ou son certificat lors de la tentative de connexion suivante. Établissez une autorité de certification (CA) interne ou utilisez une PKI gérée dans le cloud pour émettre les certificats clients. Le serveur RADIUS doit faire confiance à cette CA.

Étape 3 : Concevoir le portail d'intégration et appliquer l'AUP

Le portail d'intégration est la première interaction de l'utilisateur avec le système. Il doit être intuitif et clairement personnalisé aux couleurs de la marque. Fournissez des instructions étape par étape sur l'écran du portail. Les utilisateurs doivent savoir exactement sur quoi cliquer et à quoi s'attendre.

Le Captive Portal est le point d'application naturel pour l'acceptation de la politique d'utilisation acceptable (AUP). Avant qu'un employé n'accède au réseau du personnel, le portail présente la politique et exige une acceptation explicite. Cela crée un enregistrement horodaté et vérifiable de l'acceptation de la politique, ce qui est essentiel pour la conformité GDPR et PCI DSS.

Bonnes pratiques

Pour garantir un déploiement sécurisé et facile à gérer, respectez ces meilleures pratiques du secteur.

Implémenter des certificats à courte durée de vie

Les appareils BYOD n'étant pas gérés, le risque qu'un appareil compromis reste sur le réseau est plus élevé. Atténuez ce risque en émettant des certificats à courte durée de vie. Au lieu d'un certificat valide pendant trois ans, émettez des certificats valides pendant 90 jours. À l'expiration du certificat, l'utilisateur doit se réauthentifier via le portail d'intégration. Cela permet d'éliminer naturellement les appareils inactifs du réseau et de garantir que seuls les employés actifs conservent leur accès.

Utiliser Passpoint (Hotspot 2.0)

Pour une expérience d'intégration fluide, en particulier sur les appareils Android, exploitez Passpoint. Passpoint permet aux appareils de détecter automatiquement le réseau sécurisé et de s'y authentifier sans que l'utilisateur n'ait à sélectionner manuellement le SSID ou à interagir avec un Captive Portal après la configuration initiale. Cela réduit considérablement les frictions et améliore l'expérience utilisateur.

Gestion de la bande passante avec Purple Shield

Dans les environnements de personnel à haute densité, la saturation de la bande passante sur le réseau du personnel est un véritable problème opérationnel. Purple Shield fonctionne au niveau DNS, bloquant les charges utiles publicitaires, les scripts de suivi et les domaines malveillants avant qu'ils n'atteignent l'appareil. L'effet pratique est une réduction allant jusqu'à 40 % du volume total de données téléchargées sur le réseau. Pour les appareils du personnel, cela se traduit par des chargements de pages plus rapides, une consommation de batterie réduite et plus de bande passante disponible pour le trafic opérationnel.

Résolution des problèmes et atténuation des risques

Même avec un système bien conçu, des problèmes peuvent survenir. Comprendre les modes de défaillance courants est essentiel pour une résolution rapide.

La configuration du Walled Garden

Le SSID de provisionnement doit être strictement contrôlé. Si le walled garden est trop ouvert, les utilisateurs risquent de simplement rester connectés au réseau de provisionnement pour accéder à Internet, contournant ainsi complètement le processus d'intégration sécurisé. Assurez-vous que le SSID de provisionnement autorise uniquement l'accès au portail d'intégration, aux points de terminaison d'authentification IdP et aux serveurs de téléchargement de certificats nécessaires. Tout autre trafic doit être bloqué.

Fragmentation Android

Les appareils Apple iOS gèrent les profils de configuration de manière cohérente. Android, en revanche, est très fragmenté. Les différents fabricants et versions de système d'exploitation gèrent les profils WiFi et l'installation des certificats de manière différente. Pour atténuer ce problème, assurez-vous que votre solution d'intégration fournit des instructions claires et spécifiques à chaque système d'exploitation et exploitez Passpoint dans la mesure du possible.

ROI et impact commercial

La mise en œuvre d'un Captive Portal WiFi sécurisé pour le personnel offre un retour sur investissement significatif grâce à une sécurité renforcée, une réduction des coûts informatiques et une productivité accrue des employés.

En permettant aux utilisateurs de s'intégrer eux-mêmes, les centres de support informatique constatent une réduction spectaculaire des tickets liés aux mots de passe WiFi et aux problèmes de connexion. Passer des clés PSK à l'EAP-TLS réduit considérablement le risque d'accès non autorisé au réseau et de violation de données. Cela est essentiel pour maintenir la conformité avec des normes telles que PCI DSS et le GDPR. Les employés peuvent connecter rapidement et en toute sécurité leurs appareils personnels pour accéder aux outils dont ils ont besoin, améliorant ainsi l'efficacité globale et la satisfaction dans les secteurs du Commerce de détail , de la Santé , de l' Hôtellerie et des Transports .

Définitions clés

Captive Portal

A web page that a user of a public-access or corporate network is obliged to view and interact with before access is granted.

Used in staff networks as the gateway for identity verification, AUP acceptance, and certificate provisioning.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. An 802.1X authentication method that uses digital certificates on both the client and server.

The most secure WiFi authentication method, eliminating the need for passwords and preventing credential theft.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol that provides centralised authentication, authorisation, and accounting management.

The core server that validates device certificates against the identity provider before granting network access.

VLAN Segmentation

The practice of dividing a physical network into multiple logical networks to isolate traffic.

Essential for keeping untrusted BYOD staff devices separated from sensitive corporate servers and POS systems.

Passpoint (Hotspot 2.0)

An industry standard that enables seamless and secure WiFi onboarding and roaming without requiring manual SSID selection or captive portal interaction after initial setup.

Improves the user experience for staff onboarding, particularly on Android devices.

Walled Garden

A restricted network environment that controls user access to specific web content and services.

Used on the provisioning SSID to ensure staff can only access the onboarding portal and IdP, preventing them from bypassing the security setup.

SCIM

System for Cross-domain Identity Management. An open standard for automating the exchange of user identity information between identity domains.

Enables automatic deprovisioning of network access when an employee leaves the company and is disabled in the IdP.

iPSK

Identity Pre-Shared Key. A security feature that assigns a unique WiFi password to every individual user or device.

Used as an alternative to 802.1X for headless devices or contractors who cannot install a certificate.

Exemples concrets

A 200-room hotel needs to provide WiFi access to 80 housekeeping and maintenance staff who use their personal smartphones to access the cloud-based property management system (PMS). The hotel currently uses a single WPA2 password that hasn't been changed in three years. How should the IT manager secure this network without purchasing MDM software for personal devices?

  1. Create a new open provisioning SSID (e.g., 'Hotel-Staff-Onboard') with a strict walled garden allowing access only to the captive portal and Microsoft Entra ID.
  2. Configure a captive portal to require SSO login via Entra ID and display the staff Acceptable Use Policy.
  3. Upon successful login and AUP acceptance, generate a 90-day device-specific EAP-TLS certificate.
  4. Push the configuration profile to the staff member's phone to automatically connect to the secure 802.1X SSID (e.g., 'Hotel-Staff-Secure').
  5. Configure the RADIUS server to assign connected devices to a dedicated BYOD VLAN that only routes to the internet and the cloud PMS, blocking access to the corporate server VLAN.
Commentaire de l'examinateur : This approach eliminates the shared password vulnerability while avoiding the privacy concerns of full MDM enrolment. The 90-day certificate ensures stale devices are automatically pruned, and the VLAN segmentation protects the corporate network from potentially compromised personal devices.

A large retail chain experiences severe point-of-sale (POS) connectivity issues during Black Friday sales because staff members are streaming video on their personal phones connected to the staff network during breaks. How can the network architect resolve this without banning personal devices?

  1. Implement Purple Shield on the staff network to block ad payloads and tracking scripts at the DNS level, instantly reclaiming up to 40% of wasted bandwidth.
  2. Implement Quality of Service (QoS) policies on the wireless controller to prioritise POS and inventory application traffic over general web browsing and video streaming.
  3. Apply rate limiting to the BYOD VLAN to cap the maximum bandwidth available to any single personal device.
Commentaire de l'examinateur : This solution addresses the bandwidth contention technically rather than through unenforceable HR policies. Purple Shield reduces the baseline data load, while QoS and rate limiting ensure critical operational traffic always has priority during peak periods.

Questions d'entraînement

Q1. A stadium operations director wants to issue a single WiFi password to all 500 match-day event staff to make it 'easier for them to get online quickly'. What is the primary security risk of this approach, and what is the recommended alternative?

Conseil : Consider what happens when a match-day staff member does not return for the next event.

Voir la réponse type

The primary risk is the inability to revoke access for individuals. When a staff member leaves, they retain the password, granting them indefinite access to the operational network. The recommended alternative is a captive portal onboarding flow that issues device-specific EAP-TLS certificates tied to their identity, allowing IT to revoke access per device or automatically upon termination.

Q2. Your RADIUS server logs show that several Android devices are failing to complete the certificate installation process after authenticating on the captive portal. What is the most likely cause, and how can it be mitigated?

Conseil : Consider the differences in how mobile operating systems handle configuration profiles.

Voir la réponse type

The most likely cause is Android OS fragmentation, as different manufacturers handle certificate installation differently. This can be mitigated by providing clear, OS-specific instructions on the captive portal, utilising a dedicated onboarding app, or leveraging Passpoint (Hotspot 2.0) for a more seamless and standardised onboarding experience.

Q3. A hospital IT team is designing a staff BYOD network. They plan to place the BYOD devices on the same VLAN as the hospital's electronic health record (EHR) servers to ensure staff can access patient data quickly. Is this a secure design? Why or why not?

Conseil : Consider the trust level of unmanaged BYOD devices.

Voir la réponse type

No, this is not a secure design. BYOD devices are unmanaged, meaning the IT team does not control their security posture, OS updates, or installed applications. They must be treated as untrusted. Placing them on the same VLAN as sensitive EHR servers creates a significant lateral movement risk. The BYOD devices should be placed on a dedicated, segmented VLAN with strict firewall rules limiting access only to the necessary web interfaces, never direct server access.

Continuer la lecture de cette série

Captive Portal vs Splash Page

Ce guide de référence détaille la distinction cruciale entre les captive portals et les splash pages au sein des réseaux WiFi invités. Il explique comment le mécanisme d'interception réseau sous-jacent fonctionne en synergie avec l'interface visuelle destinée aux invités, aidant ainsi les responsables informatiques et les exploitants de sites à prendre des décisions d'architecture et d'achat éclairées.

Lire le guide →

Comment configurer un hotspot WiFi pour votre entreprise

Ce guide faisant autorité fournit aux responsables informatiques, aux architectes réseau et aux directeurs des opérations de sites un plan pratique et neutre vis-à-vis des fournisseurs pour le déploiement de hotspots WiFi invités sécurisés, conformes et améliorant l'activité. Il couvre les décisions architecturales critiques – de la segmentation VLAN et la configuration du Captive Portal à la conformité GDPR et la gestion du trafic – et démontre comment transformer l'infrastructure réseau d'un centre de coûts en une plateforme d'analyse génératrice de revenus en utilisant les capacités de Guest WiFi et d'analyse de Purple.

Lire le guide →

Purple vs Cisco Spaces (DNA Spaces) : Quand choisir l'un ou l'autre

Ce guide de référence technique offre une comparaison complète de Purple et Cisco Spaces (anciennement DNA Spaces) pour les déploiements de portails captifs d'entreprise et de WiFi invité. Il évalue les différences architecturales, la profondeur de l'automatisation marketing et la question cruciale du verrouillage par le fournisseur de matériel afin d'aider les responsables informatiques à prendre des décisions éclairées en matière d'infrastructure.

Lire le guide →