मुख्य सामग्री पर जाएं
हिन्दी

डिवाइस पर WiFi सर्टिफ़िकेट पुश करने के लिए Microsoft Intune का उपयोग कैसे करें

Microsoft Intune के माध्यम से 802.1X WiFi सर्टिफ़िकेट परिनियोजित करने पर IT लीडर्स के लिए एक व्यापक तकनीकी संदर्भ। इसमें SCEP बनाम PKCS आर्किटेक्चर, कार्यान्वयन चरण, अनुपालन मैपिंग और एंटरप्राइज़ वातावरण के लिए वास्तविक दुनिया के परिनियोजन परिदृश्य शामिल हैं।

📖 7 मिनट का पाठ📝 1,541 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
डिवाइस पर WiFi सर्टिफ़िकेट पुश करने के लिए MICROSOFT INTUNE का उपयोग कैसे करें एक Purple एंटरप्राइज़ WiFi इंटेलिजेंस ब्रीफ़िंग [परिचय और संदर्भ — लगभग 1 मिनट] वापसी पर स्वागत है। मैं आज एंटरप्राइज़ WiFi इंटेलिजेंस प्लेटफ़ॉर्म, Purple की ओर से बोल रहा हूँ, और यह एपिसोड Microsoft Intune टूलकिट में सबसे व्यावहारिक — और ईमानदारी से, सबसे कम आंके गए — क्षमताओं में से एक पर एक केंद्रित ब्रीफ़िंग है: 802.1X WiFi प्रमाणीकरण के लिए स्वचालित सर्टिफ़िकेट परिनियोजन। यदि आप किसी होटल एस्टेट, रिटेल चेन, स्टेडियम या सार्वजनिक क्षेत्र के एस्टेट में WiFi का प्रबंधन कर रहे हैं, तो आप उस दर्द बिंदु (pain point) को जानेंगे जिसका मैं वर्णन करने जा रहा हूँ। आपके पास सैकड़ों या हज़ारों प्रबंधित डिवाइस हैं। आप चाहते हैं कि वे आपके कॉर्पोरेट WiFi से स्वचालित रूप से, सुरक्षित रूप से कनेक्ट हों, बिना उपयोगकर्ताओं के पासवर्ड टाइप किए, बिना IT के हर एक डिवाइस को छुए। और आप चाहते हैं कि वह कनेक्शन क्रिप्टोग्राफ़िक रूप से मज़बूत हो — न कि केवल एक साझा पासवर्ड जिसे किसी ने पहले ही आधे संगठन को ईमेल कर दिया हो। Intune सर्टिफ़िकेट परिनियोजन बिल्कुल यही हल करता है। और अगले नौ मिनटों में, मैं आपको बताने जा रहा हूँ कि यह कैसे काम करता है, इसे कैसे परिनियोजित किया जाए, और वे कमियाँ जो पहले प्रयास में अधिकांश टीमों को पकड़ लेती हैं। [तकनीकी डीप-डाइव — लगभग 5 मिनट] आइए आर्किटेक्चर से शुरू करते हैं। यहाँ आधार IEEE 802.1X है — पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल मानक जो दो दशकों से अधिक समय से एंटरप्राइज़ WiFi सुरक्षा की रीढ़ रहा है। जब कोई डिवाइस आपके WiFi से कनेक्ट होता है, तो 802.1X को किसी भी नेटवर्क एक्सेस प्राप्त करने से पहले उसे प्रमाणित करने की आवश्यकता होती है। प्रमाणीकरण वार्तालाप तीन पक्षों के बीच होता है: डिवाइस — जिसे सप्लिकेंट कहा जाता है — आपका WiFi एक्सेस पॉइंट, जो ऑथेंटिकेटर के रूप में कार्य करता है, और आपका RADIUS सर्वर, जो ऑथेंटिकेशन सर्वर है जो अंतिम निर्णय लेता है。 अब, 802.1X कई प्रमाणीकरण विधियों का समर्थन करता है। सबसे सुरक्षित EAP-TLS है — Extensible Authentication Protocol with Transport Layer Security। EAP-TLS पारस्परिक सर्टिफ़िकेट प्रमाणीकरण का उपयोग करता है: डिवाइस अपनी पहचान साबित करने के लिए एक सर्टिफ़िकेट प्रस्तुत करता है, और RADIUS सर्वर अपनी पहचान साबित करने के लिए एक सर्टिफ़िकेट प्रस्तुत करता है। कोई पासवर्ड शामिल नहीं है। कोई क्रेडेंशियल नहीं जिसे फ़िश किया जा सके। यही हमारा लक्ष्य है। चुनौती हमेशा उन सर्टिफ़िकेट्स को बड़े पैमाने पर डिवाइसों पर प्राप्त करने की रही है। यहीं पर Microsoft Intune आता है। Intune दो सर्टिफ़िकेट परिनियोजन तंत्रों का समर्थन करता है: SCEP — सिंपल सर्टिफ़िकेट एनरोलमेंट प्रोटोकॉल — और PKCS, जिसका अर्थ है पब्लिक की क्रिप्टोग्राफ़ी स्टैंडर्ड्स। अंतर को समझना मायने रखता है। SCEP के साथ, प्राइवेट की डिवाइस पर ही जनरेट होती है। डिवाइस एक सर्टिफ़िकेट साइनिंग रिक्वेस्ट बनाता है, इसे NDES — नेटवर्क डिवाइस एनरोलमेंट सर्विस — नामक मध्यस्थ सर्वर के माध्यम से आपके सर्टिफ़िकेट अथॉरिटी को भेजता है, और CA सर्टिफ़िकेट वापस जारी करता है। प्राइवेट की कभी भी डिवाइस से बाहर नहीं जाती है। यह अधिक सुरक्षित दृष्टिकोण है और BYOD वातावरण और उच्च-सुरक्षा परिनियोजन के लिए अनुशंसित है। PKCS के साथ, सर्टिफ़िकेट अथॉरिटी की पेयर (key pair) जनरेट करती है, और Intune सर्टिफ़िकेट कनेक्टर प्राइवेट की और सर्टिफ़िकेट को डिवाइस तक पहुँचाता है। इसे सेट अप करना आसान है — किसी NDES सर्वर की आवश्यकता नहीं है — लेकिन प्राइवेट की कनेक्टर के माध्यम से ट्रांज़िट करती है, जो आपकी सुरक्षा स्थिति के लिए एक विचारणीय बिंदु है। अधिकांश एंटरप्राइज़ परिनियोजन के लिए मैं BYOD और मिश्रित-डिवाइस वातावरण के लिए SCEP की अनुशंसा करूँगा, और PKCS वहाँ जहाँ आपके पास कॉर्पोरेट-स्वामित्व वाले Windows डिवाइसों का एक सजातीय बेड़ा है और आप इन्फ्रास्ट्रक्चर की जटिलता को कम करना चाहते हैं। अब, परिनियोजन अनुक्रम के बारे में बात करते हैं — क्योंकि क्रम मायने रखता है और इसे गलत करना विफल रोलआउट का सबसे आम कारण है। चरण एक: अपना सर्टिफ़िकेट अथॉरिटी कॉन्फ़िगर करें। आपको अपने एक्टिव डायरेक्ट्री सर्टिफ़िकेट सर्विसेज़ इंस्टेंस पर एक सर्टिफ़िकेट टेम्प्लेट की आवश्यकता है — या यदि आप पूरी तरह से क्लाउड-नेटिव हैं, तो Microsoft का Intune Cloud PKI अब आम तौर पर उपलब्ध है और ऑन-प्रिमाइसेस CA आवश्यकता को पूरी तरह से हटा देता है। टेम्प्लेट को सही की उपयोग एक्सटेंशन की आवश्यकता है: क्लाइंट प्रमाणीकरण अनिवार्य है। न्यूनतम की आकार 2048 बिट्स, या 4096 सेट करें यदि आपके संगठन की सुरक्षा नीति को इसकी आवश्यकता है। चरण दो: ट्रस्टेड रूट सर्टिफ़िकेट परिनियोजित करें। इससे पहले कि कोई डिवाइस RADIUS सर्वर के सर्टिफ़िकेट को मान्य कर सके, उसे उस CA पर भरोसा करना होगा जिसने इसे जारी किया है। आप Intune में एक Trusted Certificate कॉन्फ़िगरेशन प्रोफ़ाइल बनाते हैं, रूट CA सर्टिफ़िकेट अपलोड करते हैं, और इसे अपने डिवाइस समूहों को असाइन करते हैं। यह किसी भी WiFi प्रोफ़ाइल या क्लाइंट सर्टिफ़िकेट प्रोफ़ाइल से पहले डिवाइसों पर आना चाहिए। यदि आप अनुक्रमण गलत करते हैं, तो डिवाइस RADIUS सर्वर को अस्वीकार कर देंगे और आप Windows इवेंट लॉग में इवेंट ID 20271 को घूरते हुए एक दोपहर बिताएंगे। चरण तीन: क्लाइंट सर्टिफ़िकेट प्रोफ़ाइल परिनियोजित करें। यह या तो आपकी SCEP प्रोफ़ाइल है — जो आपके NDES सर्वर URL को इंगित करती है — या आपकी PKCS प्रोफ़ाइल, जो आपके सर्टिफ़िकेट अथॉरिटी को इंगित करती है। सब्जेक्ट अल्टरनेटिव नेम में उपयोगकर्ता सर्टिफ़िकेट के लिए यूज़र प्रिंसिपल नेम, या डिवाइस सर्टिफ़िकेट के लिए AAD Device ID शामिल होना चाहिए। यह अंतर मायने रखता है: उपयोगकर्ता सर्टिफ़िकेट लॉग-इन उपयोगकर्ता को प्रमाणित करते हैं, डिवाइस सर्टिफ़िकेट मशीन को ही प्रमाणित करते हैं, जिसका अर्थ है कि डिवाइस उपयोगकर्ता के लॉग इन करने से पहले WiFi से कनेक्ट हो सकता है — डोमेन जॉइन परिदृश्यों और कियोस्क परिनियोजन के लिए उपयोगी। चरण चार: WiFi कॉन्फ़िगरेशन प्रोफ़ाइल बनाएँ। Intune में, यह Devices, Configuration Profiles, Templates, Wi-Fi के अंतर्गत है। WiFi प्रकार को Enterprise पर सेट करें, अपना SSID दर्ज करें, EAP प्रकार को EAP-TLS पर सेट करें, सर्वर ट्रस्ट सेटिंग्स कॉन्फ़िगर करें — यह वह जगह है जहाँ आप RADIUS सर्वर सर्टिफ़िकेट नाम का संदर्भ देते हैं — और क्लाइंट प्रमाणीकरण के लिए, चरण तीन में आपके द्वारा बनाई गई सर्टिफ़िकेट प्रोफ़ाइल का संदर्भ दें। चरण पाँच: सब कुछ सही समूहों को असाइन करें और मान्य करें। अपने रूट सर्टिफ़िकेट, क्लाइंट सर्टिफ़िकेट और WiFi प्रोफ़ाइल को समान डिवाइस या उपयोगकर्ता समूहों को असाइन करें। प्रोफ़ाइल परिनियोजन स्थिति की निगरानी के लिए Intune की अंतर्निहित रिपोर्टिंग का उपयोग करें। एक सफल परिनियोजन डिवाइस की कॉन्फ़िगरेशन प्रोफ़ाइल सूची में सभी तीन प्रोफ़ाइलों को Succeeded के रूप में दिखाता है। Windows Server वातावरण के लिए NPS कॉन्फ़िगरेशन पर एक महत्वपूर्ण बिंदु: 2024 की शुरुआत से, Microsoft ने सर्टिफ़िकेट मैपिंग आवश्यकताओं को कड़ा कर दिया है। यदि आप ऑन-प्रिमाइसेस NPS के विरुद्ध प्रमाणित करने वाले Azure AD-जॉइन्ड डिवाइसों के साथ डिवाइस सर्टिफ़िकेट का उपयोग कर रहे हैं, तो आपको यह सुनिश्चित करने की आवश्यकता है कि एक्टिव डायरेक्ट्री में कंप्यूटर ऑब्जेक्ट पर altSecurityIdentities एट्रिब्यूट सर्टिफ़िकेट के थंबप्रिंट के साथ पॉप्युलेट किया गया है। यह स्वचालित रूप से नहीं होता है — इसे संभालने के लिए आपको एक स्क्रिप्ट या वर्कफ़्लो की आवश्यकता होती है, जो आमतौर पर तब ट्रिगर होता है जब CA एक नया सर्टिफ़िकेट जारी करता है। [कार्यान्वयन अनुशंसाएँ और कमियाँ — लगभग 2 मिनट] मैं आपको वे तीन कमियाँ बताता हूँ जो मैं अक्सर एंटरप्राइज़ परिनियोजन में देखता हूँ। कमी एक: सर्टिफ़िकेट चेन गैप। डिवाइस को रूट CA से लेकर RADIUS सर्वर के सर्टिफ़िकेट तक चेन के हर सर्टिफ़िकेट पर भरोसा करने की आवश्यकता होती है। यदि आपका RADIUS सर्वर सर्टिफ़िकेट किसी इंटरमीडिएट CA द्वारा जारी किया गया था, तो आपको डिवाइसों पर रूट और इंटरमीडिएट दोनों को परिनियोजित करने की आवश्यकता है। मैंने हफ्तों तक परिनियोजन विफल होते देखे हैं क्योंकि किसी ने रूट को परिनियोजित किया लेकिन इंटरमीडिएट को नहीं। कमी दो: प्रोफ़ाइल असाइनमेंट टाइमिंग। Intune प्रोफ़ाइल डिवाइसों पर तुरंत नहीं आती हैं। एक बड़े एस्टेट में, असाइनमेंट के बाद प्रोफ़ाइल को प्रसारित होने में 15 से 30 मिनट लग सकते हैं। प्रोफ़ाइल बनाने के तुरंत बाद परीक्षण न करें। चेक-इन को बाध्य करने के लिए Intune पोर्टल में Sync बटन का उपयोग करें, फिर प्रतीक्षा करें। इसके अलावा, WiFi प्रोफ़ाइल लागू होने से पहले क्लाइंट सर्टिफ़िकेट प्रोफ़ाइल को परिनियोजित और पुष्ट किया जाना चाहिए — यदि WiFi प्रोफ़ाइल किसी ऐसे सर्टिफ़िकेट का संदर्भ देती है जो अभी तक मौजूद नहीं है, तो प्रोफ़ाइल कुछ प्लेटफ़ॉर्म पर चुपचाप विफल हो जाएगी। कमी तीन: BYOD सर्टिफ़िकेट निरस्तीकरण। जब किसी डिवाइस को Intune से अनएनरोल किया जाता है — क्योंकि कोई कर्मचारी चला जाता है, या कोई डिवाइस खो जाता है — तो आपको सर्टिफ़िकेट रद्द करने की प्रक्रिया की आवश्यकता होती है। यदि आप ADCS के साथ SCEP का उपयोग कर रहे हैं, तो सर्टिफ़िकेट रिवोकेशन लिस्ट वितरण बिंदु को सही ढंग से कॉन्फ़िगर करें और सुनिश्चित करें कि आपका RADIUS सर्वर हर प्रमाणीकरण पर CRL या OCSP की जाँच कर रहा है। यह PCI DSS जैसे फ़्रेमवर्क के तहत एक अनुपालन आवश्यकता है, जो यह अनिवार्य करता है कि जब एक्सेस कंट्रोल तंत्र की आवश्यकता न हो तो उन्हें तुरंत रद्द कर दिया जाए। अनुपालन के विषय पर: यदि आप PCI DSS स्कोप में काम कर रहे हैं — उदाहरण के लिए, रिटेल भुगतान वातावरण — तो सर्टिफ़िकेट-आधारित 802.1X प्रमाणीकरण वायरलेस नेटवर्क एक्सेस के लिए आपका सबसे मज़बूत नियंत्रण है। यह नेटवर्क एक्सेस कंट्रोल के आसपास PCI DSS आवश्यकता 1.3 और प्रमाणीकरण कारकों के आसपास आवश्यकता 8.6 को पूरा करता है। अपने अनुपालन साक्ष्य के हिस्से के रूप में अपनी सर्टिफ़िकेट लाइफ़साइकल प्रबंधन प्रक्रिया का दस्तावेजीकरण करें। GDPR-विनियमित वातावरण के लिए, विशेष रूप से हॉस्पिटैलिटी और सार्वजनिक क्षेत्र में, आपके कॉर्पोरेट 802.1X नेटवर्क और आपके गेस्ट WiFi नेटवर्क के बीच अलगाव महत्वपूर्ण है। आपका कॉर्पोरेट Intune-प्रबंधित नेटवर्क किसी भी गेस्ट या विज़िटर नेटवर्क से पूरी तरह से अलग VLAN और SSID पर होना चाहिए। Purple का गेस्ट WiFi प्लेटफ़ॉर्म विज़िटर-फ़ेसिंग पक्ष को संभालता है — Captive Portal, सहमति कैप्चर, एनालिटिक्स — जबकि आपका Intune-प्रबंधित कॉर्पोरेट नेटवर्क कर्मचारियों और परिचालन डिवाइसों को संभालता है। इन दोनों नेटवर्कों को कभी भी प्रमाणीकरण इन्फ्रास्ट्रक्चर साझा नहीं करना चाहिए। [रैपिड-फ़ायर Q&A — लगभग 1 मिनट] मैं कुछ ऐसे प्रश्नों पर नज़र डालता हूँ जो नियमित रूप से आते हैं। क्या मैं ऑन-प्रिमाइसेस ADCS के बजाय Intune Cloud PKI का उपयोग कर सकता हूँ? हाँ। 2024 में रिलीज़ हुआ Microsoft का Intune Cloud PKI, Azure में पूरी तरह से प्रबंधित CA प्रदान करता है। यह SCEP के लिए NDES सर्वर की आवश्यकता को हटा देता है और कनेक्टर सेटअप को काफी सरल बनाता है। ग्रीनफ़ील्ड परिनियोजन या मौजूदा ADCS इन्फ्रास्ट्रक्चर के बिना संगठनों के लिए, यह अनुशंसित मार्ग है। क्या यह macOS और iOS डिवाइसों के लिए काम करता है? हाँ। Intune Windows, iOS, iPadOS, Android और macOS के लिए सर्टिफ़िकेट प्रोफ़ाइल का समर्थन करता है। प्रोफ़ाइल प्रकार और कॉन्फ़िगरेशन विकल्प प्लेटफ़ॉर्म के अनुसार थोड़े भिन्न होते हैं, लेकिन मुख्य आर्किटेक्चर — ट्रस्टेड रूट, क्लाइंट सर्टिफ़िकेट, WiFi प्रोफ़ाइल — सुसंगत है। BYOD प्रोग्राम में व्यक्तिगत डिवाइसों के बारे में क्या? SCEP यहाँ आपका मित्र है। Intune की डिवाइस अनुपालन नीतियों के साथ, आप यह आवश्यकता कर सकते हैं कि सर्टिफ़िकेट जारी होने से पहले कोई डिवाइस न्यूनतम सुरक्षा मानकों को पूरा करे। यदि डिवाइस अनुपालन से बाहर हो जाता है — कोई स्क्रीन लॉक नहीं, पुराना OS — तो सर्टिफ़िकेट रद्द किया जा सकता है और नेटवर्क एक्सेस स्वचालित रूप से हटा दिया जा सकता है। क्या Purple इस आर्किटेक्चर के साथ एकीकृत हो सकता है? बिल्कुल। Purple का प्लेटफ़ॉर्म गेस्ट नेटवर्क साइड पर बैठता है, जो Captive Portal प्रमाणीकरण, सहमति प्रबंधन और एनालिटिक्स को संभालता है। कॉर्पोरेट 802.1X नेटवर्क और Purple का गेस्ट WiFi समानांतर में काम करते हैं — समान भौतिक इन्फ्रास्ट्रक्चर, अलग-अलग SSID और VLAN — जो आपको कर्मचारियों की कनेक्टिविटी और विज़िटर एंगेजमेंट के बीच पूर्ण अलगाव प्रदान करते हैं। [सारांश और अगले चरण — लगभग 1 मिनट] समाप्त करने के लिए: Intune के माध्यम से WiFi सर्टिफ़िकेट परिनियोजित करना एक पाँच-चरणीय प्रक्रिया है — CA कॉन्फ़िगरेशन, ट्रस्टेड रूट परिनियोजन, क्लाइंट सर्टिफ़िकेट प्रोफ़ाइल, WiFi प्रोफ़ाइल और समूह असाइनमेंट। BYOD और उच्च-सुरक्षा वातावरण के लिए SCEP चुनें; सरल कॉर्पोरेट-स्वामित्व वाले बेड़े के लिए PKCS। अनुक्रमण सही करें, NPS सर्टिफ़िकेट मैपिंग आवश्यकता को संभालें, और पहले दिन से सर्टिफ़िकेट रिवोकेशन वर्कफ़्लो बनाएँ। व्यावसायिक मामला सीधा है: आप साझा WiFi पासवर्ड समाप्त करते हैं, आपको प्रति-डिवाइस और प्रति-उपयोगकर्ता प्रमाणीकरण लॉग मिलते हैं, आप PCI DSS और ISO 27001 वायरलेस सुरक्षा आवश्यकताओं को पूरा करते हैं, और आप एक बड़े एस्टेट में WiFi क्रेडेंशियल्स के प्रबंधन के IT ओवरहेड को कम करते हैं। यदि आप परिनियोजन की योजना बना रहे हैं और यह समझना चाहते हैं कि Purple का गेस्ट WiFi और एनालिटिक्स प्लेटफ़ॉर्म आपके कॉर्पोरेट नेटवर्क आर्किटेक्चर के साथ कैसे फिट बैठता है, तो purple.ai पर जाएँ। हमारे पास Azure Entra ID एकीकरण, 802.1X आर्किटेक्चर, और हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र के वातावरण के लिए गेस्ट नेटवर्क डिज़ाइन पर विस्तृत मार्गदर्शिकाएँ हैं। सुनने के लिए धन्यवाद। अगली बार तक के लिए।

header_image.png

कार्यकारी सारांश

Hospitality , Retail , या सार्वजनिक क्षेत्र के स्थानों में बड़े पैमाने के वातावरण का प्रबंधन करने वाले एंटरप्राइज़ IT लीडर्स के लिए, सुरक्षित वायरलेस एक्सेस एक बुनियादी परिचालन आवश्यकता है। साझा PSK (Pre-Shared Keys) या यूज़रनेम/पासवर्ड प्रमाणीकरण (PEAP-MSCHAPv2) पर निर्भर रहने से नेटवर्क को क्रेडेंशियल चोरी, फ़िशिंग और अनुपालन विफलताओं का खतरा होता है। मज़बूत एंटरप्राइज़ WiFi सुरक्षा के लिए उद्योग मानक EAP-TLS (Extensible Authentication Protocol with Transport Layer Security) के साथ 802.1X है, जो डिवाइस और नेटवर्क के बीच पारस्परिक सर्टिफ़िकेट-आधारित प्रमाणीकरण को अनिवार्य करता है。

हालाँकि, ऐतिहासिक रूप से EAP-TLS को अपनाने में प्राथमिक बाधा सर्टिफ़िकेट लाइफ़साइकल प्रबंधन का परिचालन ओवरहेड रही है। Microsoft Intune बड़े पैमाने पर प्रबंधित डिवाइसों में डिजिटल सर्टिफ़िकेट की डिलीवरी, नवीनीकरण और निरस्तीकरण (revocation) को स्वचालित करके इसका समाधान करता है।

यह तकनीकी संदर्भ Microsoft Intune के माध्यम से WiFi सर्टिफ़िकेट पुश करने के लिए आवश्यक आर्किटेक्चर, परिनियोजन कार्यप्रणाली (SCEP बनाम PKCS), और कार्यान्वयन चरणों का विवरण देता है। यह नेटवर्क आर्किटेक्ट्स और सिस्टम इंजीनियरों के लिए कार्रवाई योग्य मार्गदर्शन प्रदान करता है, जिन्हें विज़िटर नेटवर्क से सख्त अलगाव बनाए रखते हुए कॉर्पोरेट संचार को सुरक्षित करने का काम सौंपा गया है, जैसे कि Guest WiFi प्लेटफ़ॉर्म द्वारा प्रबंधित नेटवर्क।

तकनीकी डीप-डाइव: आर्किटेक्चर और प्रोटोकॉल

सर्टिफ़िकेट-आधारित प्रमाणीकरण को प्रभावी ढंग से लागू करने के लिए, IT टीमों को मोबाइल डिवाइस मैनेजमेंट (MDM) प्लेटफ़ॉर्म, पब्लिक की इन्फ्रास्ट्रक्चर (PKI) और नेटवर्क एक्सेस कंट्रोल लेयर के बीच के इंटरैक्शन को समझना चाहिए।

802.1X प्रमाणीकरण फ़्रेमवर्क

IEEE 802.1X मानक पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल को परिभाषित करता है। वायरलेस संदर्भ में, यह किसी डिवाइस को तब तक कोई भी ट्रैफ़िक (EAP प्रमाणीकरण फ़्रेम के अलावा) पास करने से रोकता है जब तक कि उसकी पहचान सत्यापित न हो जाए। आर्किटेक्चर में तीन घटक होते हैं:

  1. सप्लिकेंट (Supplicant): नेटवर्क एक्सेस का अनुरोध करने वाला क्लाइंट डिवाइस (लैपटॉप, स्मार्टफ़ोन, टैबलेट)।
  2. ऑथेंटिकेटर (Authenticator): वायरलेस एक्सेस पॉइंट या वायरलेस LAN कंट्रोलर जो प्रमाणीकरण सफल होने तक ट्रैफ़िक को ब्लॉक करता है।
  3. ऑथेंटिकेशन सर्वर (Authentication Server): RADIUS (Remote Authentication Dial-In User Service) सर्वर, जैसे Microsoft Network Policy Server (NPS) या Cisco ISE, जो क्रेडेंशियल्स को मान्य करता है और एक्सेस को अधिकृत करता है।

EAP-TLS और पारस्परिक प्रमाणीकरण

EAP-TLS सबसे सुरक्षित EAP विधि है क्योंकि इसके लिए पारस्परिक प्रमाणीकरण की आवश्यकता होती है। RADIUS सर्वर यह साबित करने के लिए सप्लिकेंट को अपना सर्टिफ़िकेट प्रस्तुत करता है कि यह वैध कॉर्पोरेट नेटवर्क है (ईविल-ट्विन हमलों को रोकता है), और सप्लिकेंट यह साबित करने के लिए RADIUS सर्वर को अपना क्लाइंट सर्टिफ़िकेट प्रस्तुत करता है कि यह एक अधिकृत डिवाइस या उपयोगकर्ता है।

architecture_overview.png

Intune सर्टिफ़िकेट परिनियोजन तंत्र: SCEP बनाम PKCS

Microsoft Intune डिवाइसों पर क्लाइंट सर्टिफ़िकेट परिनियोजित करने के लिए दो प्राथमिक प्रोटोकॉल का समर्थन करता है। उपयुक्त तंत्र का चयन करना एक महत्वपूर्ण आर्किटेक्चरल निर्णय है。

सिंपल सर्टिफ़िकेट एनरोलमेंट प्रोटोकॉल (SCEP)

SCEP के साथ, प्राइवेट की सीधे क्लाइंट डिवाइस पर जनरेट होती है। डिवाइस एक सर्टिफ़िकेट साइनिंग रिक्वेस्ट (CSR) बनाता है और इसे Intune के माध्यम से नेटवर्क डिवाइस एनरोलमेंट सर्विस (NDES) सर्वर पर सबमिट करता है, जो एक्टिव डायरेक्ट्री सर्टिफ़िकेट सर्विसेज़ (ADCS) इन्फ्रास्ट्रक्चर के लिए प्रॉक्सी के रूप में कार्य करता है। CA सर्टिफ़िकेट जारी करता है, जो डिवाइस को वापस कर दिया जाता है।

चूंकि प्राइवेट की कभी भी डिवाइस से बाहर नहीं जाती है, इसलिए SCEP को अत्यधिक सुरक्षित माना जाता है और यह BYOD (Bring Your Own Device) परिनियोजन और ज़ीरो-ट्रस्ट आर्किटेक्चर के लिए अनुशंसित दृष्टिकोण है।

पब्लिक की क्रिप्टोग्राफ़ी स्टैंडर्ड्स (PKCS)

PKCS के साथ, Intune सर्टिफ़िकेट कनेक्टर डिवाइस की ओर से CA से सर्टिफ़िकेट का अनुरोध करता है। CA पब्लिक सर्टिफ़िकेट और प्राइवेट की दोनों जनरेट करता है, जिसे कनेक्टर फिर Intune के माध्यम से डिवाइस को सुरक्षित रूप से डिलीवर करता है।

हालाँकि PKCS इन्फ्रास्ट्रक्चर आवश्यकताओं को सरल बनाता है (किसी NDES सर्वर की आवश्यकता नहीं है), प्राइवेट की नेटवर्क पर ट्रांसमिट की जाती है। यह मॉडल आम तौर पर कॉर्पोरेट-स्वामित्व वाले, पूरी तरह से प्रबंधित डिवाइस फ़्लीट्स के लिए स्वीकार्य है जहाँ MDM प्लेटफ़ॉर्म पहले से ही एक अत्यधिक विश्वसनीय घटक है।

certificate_deployment_comparison.png

कार्यान्वयन मार्गदर्शिका: चरण-दर-चरण परिनियोजन

Intune के माध्यम से WiFi सर्टिफ़िकेट परिनियोजित करने के लिए सटीक अनुक्रमण की आवश्यकता होती है। प्रोफ़ाइल को गलत क्रम में परिनियोजित करना कार्यान्वयन विफलता का सबसे आम कारण है।

चरण 1: पब्लिक की इन्फ्रास्ट्रक्चर (PKI) तैयार करें

चाहे ऑन-प्रिमाइसेस ADCS का उपयोग किया जा रहा हो या Microsoft Cloud PKI जैसे क्लाउड-नेटिव समाधान का, सर्टिफ़िकेट अथॉरिटी को उपयुक्त टेम्प्लेट के साथ कॉन्फ़िगर किया जाना चाहिए।

  • की उपयोग (Key Usage): टेम्प्लेट में Client Authentication OID (1.3.6.1.5.5.7.3.2) शामिल होना चाहिए।
  • की आकार (Key Size): आधुनिक क्रिप्टोग्राफ़िक मानकों के अनुरूप होने के लिए न्यूनतम 2048 बिट्स (RSA) का की आकार कॉन्फ़िगर करें।
  • विषय का नाम (Subject Name): उपयोगकर्ता सर्टिफ़िकेट के लिए, सब्जेक्ट अल्टरनेटिव नेम (SAN) को यूज़र प्रिंसिपल नेम (UPN) का उपयोग करने के लिए कॉन्फ़िगर किया जाना चाहिए। डिवाइस सर्टिफ़िकेट के लिए, Azure AD Device ID का उपयोग करें।

चरण 2: ट्रस्टेड रूट सर्टिफ़िकेट परिनियोजित करें

किसी डिवाइस के प्रमाणीकरण से पहले, उसे उस CA पर भरोसा करना चाहिए जिसने RADIUS सर्वर का सर्टिफ़िकेट जारी किया है।

  1. रूट CA सर्टिफ़िकेट (और किसी भी मध्यवर्ती CA सर्टिफ़िकेट) को .cer फ़ॉर्मेट में एक्सपोर्ट करें।
  2. Intune एडमिन सेंटर में, Devices > Configuration profiles > Create profile पर नेविगेट करें।
  3. प्लेटफ़ॉर्म चुनें और Trusted certificate प्रोफ़ाइल प्रकार चुनें।
  4. .cer फ़ाइल अपलोड करें और प्रोफ़ाइल को लक्षित डिवाइस या उपयोगकर्ता समूहों को असाइन करें।

नोट: अगले चरणों पर आगे बढ़ने से पहले यह प्रोफ़ाइल डिवाइसों पर सफलतापूर्वक लागू होनी चाहिए।

चरण 3: क्लाइंट सर्टिफ़िकेट प्रोफ़ाइल परिनियोजित करें

सप्लिकेंट को पहचान सर्टिफ़िकेट डिलीवर करने के लिए SCEP या PKCS सर्टिफ़िकेट प्रोफ़ाइल बनाएँ।

  1. Devices > Configuration profiles > Create profile पर नेविगेट करें。
  2. प्लेटफ़ॉर्म चुनें और SCEP certificate या PKCS certificate चुनें।
  3. अपनी पहचान आवश्यकताओं (उपयोगकर्ता बनाम डिवाइस) के अनुसार सब्जेक्ट नेम फ़ॉर्मेट और SAN कॉन्फ़िगर करें।
  4. की स्टोरेज प्रोवाइडर (KSP) निर्दिष्ट करें — आमतौर पर हार्डवेयर-समर्थित सुरक्षा के लिए ट्रस्टेड प्लेटफ़ॉर्म मॉड्यूल (TPM)।
  5. प्रोफ़ाइल को उन्हीं समूहों को असाइन करें जिन्हें चरण 2 में लक्षित किया गया था।

चरण 4: WiFi प्रोफ़ाइल कॉन्फ़िगर करें

अंतिम घटक सर्टिफ़िकेट्स को वायरलेस नेटवर्क सेटिंग्स से बाइंड करता है।

  1. Devices > Configuration profiles > Create profile पर नेविगेट करें।
  2. प्लेटफ़ॉर्म चुनें और Wi-Fi प्रोफ़ाइल प्रकार चुनें।
  3. Wi-Fi प्रकार को Enterprise पर सेट करें और सटीक SSID दर्ज करें।
  4. EAP प्रकार को EAP-TLS पर सेट करें।
  5. Server Trust के अंतर्गत, RADIUS सर्वर सर्टिफ़िकेट का सटीक नाम निर्दिष्ट करें और चरण 2 में परिनियोजित ट्रस्टेड रूट सर्टिफ़िकेट प्रोफ़ाइल चुनें।
  6. Client Authentication के अंतर्गत, चरण 3 में परिनियोजित SCEP या PKCS सर्टिफ़िकेट प्रोफ़ाइल चुनें।
  7. प्रोफ़ाइल को लक्षित समूहों को असाइन करें।

सर्वोत्तम प्रथाएँ और रणनीतिक अनुशंसाएँ

डिवाइस बनाम उपयोगकर्ता सर्टिफ़िकेट

नेटवर्क आर्किटेक्ट्स को यह तय करना होगा कि सर्टिफ़िकेट डिवाइस (मशीन प्रमाणीकरण) को जारी करना है या उपयोगकर्ता (उपयोगकर्ता प्रमाणीकरण) को।

  • डिवाइस सर्टिफ़िकेट: उपयोगकर्ता के लॉग इन करने से पहले मशीन को WiFi नेटवर्क से कनेक्ट करने की अनुमति दें। यह प्रारंभिक डिवाइस प्रोविज़निंग, ग्रुप पॉलिसी प्रोसेसिंग और लॉगिन स्क्रीन पर पासवर्ड रीसेट के लिए महत्वपूर्ण है। कॉर्पोरेट-स्वामित्व वाले डिवाइसों के लिए अनुशंसित।
  • उपयोगकर्ता सर्टिफ़िकेट: नेटवर्क एक्सेस को व्यक्ति की पहचान से जोड़ें। यह ग्रैन्युलर ऑडिटिंग और भूमिका-आधारित एक्सेस कंट्रोल प्रदान करता है। BYOD परिदृश्यों के लिए अनुशंसित।

नेटवर्क सेगमेंटेशन और गेस्ट एक्सेस

एक मौलिक सुरक्षा सिद्धांत कॉर्पोरेट 802.1X नेटवर्क को विज़िटर या सार्वजनिक एक्सेस नेटवर्क से सख्त तार्किक रूप से अलग करना है। Intune-प्रबंधित इन्फ्रास्ट्रक्चर विशेष रूप से कॉर्पोरेट डिवाइसों और प्रमाणित कर्मचारियों के लिए समर्पित होना चाहिए।

विज़िटर एक्सेस के लिए, संगठनों को Captive Portal द्वारा समर्थित एक समर्पित Guest WiFi SSID परिनियोजित करना चाहिए। यह सुनिश्चित करता है कि अप्रबंधित डिवाइस अलग-थलग रहें, जबकि व्यवसाय को WiFi Analytics प्लेटफ़ॉर्म के माध्यम से विज़िटर एनालिटिक्स कैप्चर करने की अनुमति मिलती है। दोनों सेगमेंट में DNS इन्फ्रास्ट्रक्चर को सुरक्षित करने के बारे में अधिक जानने के लिए, मज़बूत DNS और सुरक्षा के साथ अपने नेटवर्क को सुरक्षित करें पर हमारी मार्गदर्शिका की समीक्षा करें।

NPS सर्टिफ़िकेट मैपिंग आवश्यकता को संबोधित करना

Azure AD-जॉइन्ड डिवाइसों के साथ Microsoft Network Policy Server (NPS) का उपयोग करने वाले संगठनों के लिए, Microsoft द्वारा एक महत्वपूर्ण कॉन्फ़िगरेशन परिवर्तन पेश किया गया था। NPS को अब मज़बूत सर्टिफ़िकेट मैपिंग की आवश्यकता है।

डिवाइस सर्टिफ़िकेट का उपयोग करते समय, ऑन-प्रिमाइसेस एक्टिव डायरेक्ट्री में कंप्यूटर ऑब्जेक्ट के altSecurityIdentities एट्रिब्यूट को सर्टिफ़िकेट के विवरण (आमतौर पर X509IssuerSerialNumber) के साथ पॉप्युलेट किया जाना चाहिए। IT टीमों को इस एट्रिब्यूट को अपडेट करने के लिए एक शेड्यूल्ड स्क्रिप्ट या इवेंट-ड्रिवन वर्कफ़्लो लागू करना चाहिए जब Intune एक नया सर्टिफ़िकेट जारी करता है, अन्यथा प्रमाणीकरण विफल हो जाएगा।

समस्या निवारण और जोखिम न्यूनीकरण

जब 802.1X परिनियोजन विफल हो जाता है, तो समस्या लगभग हमेशा सर्टिफ़िकेट चेन या Intune प्रोफ़ाइल अनुक्रमण में होती है।

सामान्य विफलता मोड

  1. साइलेंट WiFi प्रोफ़ाइल विफलता: यदि क्लाइंट सर्टिफ़िकेट सफलतापूर्वक प्रोविज़न होने से पहले Intune WiFi प्रोफ़ाइल किसी डिवाइस पर लागू की जाती है, तो WiFi प्रोफ़ाइल अक्सर इंस्टॉल होने में विफल हो जाएगी या चुपचाप विफल हो जाएगी। WiFi कॉन्फ़िगरेशन का समस्या निवारण करने से पहले हमेशा डिवाइस के पर्सनल स्टोर (Windows पर certmgr.msc) में सर्टिफ़िकेट की उपस्थिति सत्यापित करें।
  2. सर्वर ट्रस्ट वैलिडेशन त्रुटियाँ: यदि डिवाइस RADIUS सर्वर को अस्वीकार करता है, तो सत्यापित करें कि Intune WiFi प्रोफ़ाइल में निर्दिष्ट सर्वर नाम RADIUS सर्वर के सर्टिफ़िकेट पर सब्जेक्ट नेम या SAN से बिल्कुल मेल खाता है। इसके अतिरिक्त, सुनिश्चित करें कि संपूर्ण सर्टिफ़िकेट चेन (रूट और इंटरमीडिएट) डिवाइस के ट्रस्टेड रूट सर्टिफ़िकेशन अथॉरिटीज़ स्टोर में मौजूद है।
  3. सर्टिफ़िकेट रिवोकेशन लिस्ट (CRL) अनुपलब्धता: यदि RADIUS सर्वर क्लाइंट सर्टिफ़िकेट की स्थिति को सत्यापित करने के लिए CA के CRL वितरण बिंदु तक नहीं पहुँच सकता है, तो प्रमाणीकरण अस्वीकार कर दिया जाएगा। सुनिश्चित करें कि CRL URL अत्यधिक उपलब्ध है और RADIUS सर्वर से एक्सेस किया जा सकता है।

ROI और व्यावसायिक प्रभाव

Intune के माध्यम से सर्टिफ़िकेट-आधारित WiFi प्रमाणीकरण में परिवर्तन महत्वपूर्ण परिचालन और सुरक्षा रिटर्न प्रदान करता है।

  • जोखिम न्यूनीकरण: क्रेडेंशियल हार्वेस्टिंग, पास-द-हैश हमलों और साझा PSK के माध्यम से अनधिकृत नेटवर्क एक्सेस के जोखिम को समाप्त करता है।
  • परिचालन दक्षता: पासवर्ड समाप्ति और WiFi कनेक्टिविटी समस्याओं से संबंधित IT हेल्पडेस्क टिकटों को कम करता है। स्वचालित लाइफ़साइकल प्रबंधन का अर्थ है कि उपयोगकर्ता के हस्तक्षेप के बिना सर्टिफ़िकेट पारदर्शी रूप से नवीनीकृत किए जाते हैं।
  • अनुपालन सक्षमता: सख्त नियामक आवश्यकताओं को पूरा करता है। खुदरा वातावरण के लिए, यह मज़बूत वायरलेस एन्क्रिप्शन और प्रमाणीकरण के लिए सीधे PCI DSS आवश्यकताओं को संबोधित करता है। सार्वजनिक क्षेत्र और स्वास्थ्य सेवा के लिए, यह ज़ीरो-ट्रस्ट नेटवर्क एक्सेस (ZTNA) सिद्धांतों के साथ संरेखित होता है।

सर्टिफ़िकेट परिनियोजन के लिए Microsoft Intune का लाभ उठाकर, IT टीमें एक घर्षण रहित, अत्यधिक सुरक्षित वायरलेस अनुभव प्राप्त कर सकती हैं जो पृष्ठभूमि में चुपचाप काम करता है, जिससे व्यवसाय को मुख्य कार्यों पर ध्यान केंद्रित करने की अनुमति मिलती है।

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक जो अनधिकृत डिवाइसों को LAN या WLAN तक पहुँचने से रोकता है जब तक कि वे सफलतापूर्वक प्रमाणित न हो जाएँ।

मूलभूत सुरक्षा प्रोटोकॉल जो कॉर्पोरेट वातावरण में साझा WiFi पासवर्ड को एंटरप्राइज़-ग्रेड प्रमाणीकरण से बदल देता है।

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. एक प्रमाणीकरण फ़्रेमवर्क जिसके लिए क्लाइंट और सर्वर दोनों को डिजिटल सर्टिफ़िकेट का उपयोग करके अपनी पहचान साबित करने की आवश्यकता होती है।

क्रेडेंशियल चोरी के जोखिम को समाप्त करते हुए, पारस्परिक सर्टिफ़िकेट प्रमाणीकरण लागू करने के लिए Intune WiFi प्रोफ़ाइल में कॉन्फ़िगर किया गया विशिष्ट प्रोटोकॉल।

SCEP

Simple Certificate Enrollment Protocol. एक तंत्र जहाँ क्लाइंट डिवाइस अपनी स्वयं की प्राइवेट की जनरेट करता है और एक मध्यस्थ सर्वर के माध्यम से CA से सर्टिफ़िकेट का अनुरोध करता है।

BYOD वातावरण के लिए पसंदीदा परिनियोजन विधि क्योंकि प्राइवेट की कभी भी नेटवर्क पर ट्रांसमिट नहीं होती है।

PKCS

Public Key Cryptography Standards. Intune के संदर्भ में, एक परिनियोजन विधि जहाँ CA प्राइवेट की जनरेट करता है और Intune कनेक्टर इसे सुरक्षित रूप से डिवाइस तक पहुँचाता है।

एक सरल परिनियोजन आर्किटेक्चर जिसका उपयोग अक्सर कॉर्पोरेट-स्वामित्व वाले डिवाइस फ़्लीट्स के लिए किया जाता है, क्योंकि यह NDES सर्वर की आवश्यकता को दूर करता है।

NDES

Network Device Enrollment Service. एक Microsoft सर्वर भूमिका जो प्रॉक्सी के रूप में कार्य करती है, जिससे डोमेन क्रेडेंशियल्स के बिना चलने वाले डिवाइसों को एक्टिव डायरेक्ट्री सर्टिफ़िकेट अथॉरिटी से सर्टिफ़िकेट प्राप्त करने की अनुमति मिलती है।

ऑन-प्रिमाइसेस ADCS वातावरण में SCEP के माध्यम से सर्टिफ़िकेट परिनियोजित करते समय एक अनिवार्य इन्फ्रास्ट्रक्चर घटक।

RADIUS

Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण, प्राधिकरण और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है।

सर्वर (जैसे Microsoft NPS या Cisco ISE) जो WiFi एक्सेस पॉइंट से प्रमाणीकरण अनुरोध प्राप्त करता है और डिवाइस के सर्टिफ़िकेट को मान्य करता है।

Supplicant

एंड-यूज़र डिवाइस (लैपटॉप, स्मार्टफ़ोन) पर सॉफ़्टवेयर क्लाइंट जो 802.1X प्रमाणीकरण प्रक्रिया शुरू करता है।

Intune WiFi प्रोफ़ाइल सही सर्टिफ़िकेट और EAP विधियों का उपयोग करने के लिए नेटिव OS सप्लिकेंट (उदा., Windows WLAN AutoConfig) को कॉन्फ़िगर करती है।

Certificate Revocation List (CRL)

सर्टिफ़िकेट अथॉरिटी द्वारा प्रकाशित एक डिजिटल रूप से हस्ताक्षरित सूची जिसमें उन सर्टिफ़िकेट्स के सीरियल नंबर होते हैं जिन्हें रद्द कर दिया गया है और जिन पर अब भरोसा नहीं किया जाना चाहिए।

सुरक्षा अनुपालन के लिए महत्वपूर्ण; RADIUS सर्वर को यह सुनिश्चित करने के लिए CRL की जाँच करनी चाहिए कि कनेक्ट होने वाले डिवाइस के खो जाने या चोरी होने की सूचना नहीं दी गई है।

हल किए गए उदाहरण

एक 400-स्थानों वाली रिटेल चेन इन्वेंट्री प्रबंधन के लिए कॉर्पोरेट-स्वामित्व वाले टैबलेट परिनियोजित कर रही है। डिवाइस पूरी तरह से Intune के माध्यम से प्रबंधित हैं और Azure AD से जुड़े हैं। किसी भी विशिष्ट उपयोगकर्ता के लॉग इन करने से पहले, इन्वेंट्री डेटाबेस को सिंक करने के लिए उन्हें बूट होने पर तत्काल नेटवर्क एक्सेस की आवश्यकता होती है। नेटवर्क इन्फ्रास्ट्रक्चर RADIUS सर्वर के रूप में Cisco ISE का उपयोग करता है। इष्टतम सर्टिफ़िकेट परिनियोजन रणनीति क्या है?

IT टीम को PKCS डिवाइस सर्टिफ़िकेट लागू करने चाहिए।

  1. CA पर एक डिवाइस सर्टिफ़िकेट टेम्प्लेट कॉन्फ़िगर करें।
  2. Intune के माध्यम से टैबलेट पर रूट CA सर्टिफ़िकेट परिनियोजित करें।
  3. Intune में एक PKCS सर्टिफ़िकेट प्रोफ़ाइल बनाएँ, सब्जेक्ट नेम फ़ॉर्मेट को Azure AD Device ID ({{AAD_Device_ID}}) पर सेट करें।
  4. EAP-TLS निर्दिष्ट करते हुए एक एंटरप्राइज़ WiFi प्रोफ़ाइल बनाएँ, जिसमें ISE सर्वर के सर्टिफ़िकेट नाम और परिनियोजित PKCS प्रोफ़ाइल का संदर्भ हो।
  5. सभी प्रोफ़ाइल को टैबलेट वाले डिवाइस समूह को असाइन करें।
परीक्षक की टिप्पणी: PKCS यहाँ उपयुक्त है क्योंकि डिवाइस कॉर्पोरेट-स्वामित्व वाले और पूरी तरह से प्रबंधित हैं, जो प्राइवेट की ट्रांज़िट से जुड़े जोखिम को कम करता है। डिवाइस सर्टिफ़िकेट अनिवार्य हैं क्योंकि टैबलेट को उपयोगकर्ता लॉगिन से पहले नेटवर्क एक्सेस की आवश्यकता होती है। Azure AD Device ID को लक्षित करके, Cisco ISE विशिष्ट हार्डवेयर एसेट को प्रमाणित कर सकता है और इसे सही प्रतिबंधित इन्वेंट्री VLAN को असाइन कर सकता है।

एक बड़ा शिक्षण अस्पताल चिकित्सा कर्मचारियों को क्लिनिकल शेड्यूलिंग एप्लिकेशन तक पहुँचने के लिए अपने व्यक्तिगत स्मार्टफ़ोन (BYOD) का उपयोग करने की अनुमति देता है। डिवाइस वर्क प्रोफ़ाइल के माध्यम से Intune में नामांकित हैं। सुरक्षा नीति यह अनिवार्य करती है कि व्यक्तिगत डिवाइसों पर कोई कॉर्पोरेट क्रेडेंशियल संग्रहीत न किया जाए, और यदि कोई डिवाइस समझौता (compromised) किया जाता है तो नेटवर्क एक्सेस तुरंत रद्द कर दिया जाना चाहिए। WiFi प्रमाणीकरण को कैसे डिज़ाइन किया जाना चाहिए?

अस्पताल को Intune अनुपालन नीतियों के साथ SCEP उपयोगकर्ता सर्टिफ़िकेट लागू करने चाहिए।

  1. CA को अनुरोधों को प्रॉक्सी करने के लिए एक NDES सर्वर परिनियोजित करें।
  2. Intune में एक SCEP उपयोगकर्ता सर्टिफ़िकेट प्रोफ़ाइल बनाएँ, जिसमें SAN को यूज़र प्रिंसिपल नेम ({{UserPrincipalName}}) पर कॉन्फ़िगर किया गया हो।
  3. एक Intune अनुपालन नीति बनाएँ जिसमें न्यूनतम OS संस्करण, एक सक्रिय स्क्रीन लॉक और कोई जेलब्रेक/रूट एक्सेस न होने की आवश्यकता हो।
  4. अत्यधिक उपलब्ध सर्टिफ़िकेट रिवोकेशन लिस्ट (CRL) प्रकाशित करने के लिए CA को कॉन्फ़िगर करें।
  5. प्रत्येक प्रमाणीकरण प्रयास पर CRL जाँच को सख्ती से लागू करने के लिए RADIUS सर्वर को कॉन्फ़िगर करें।
परीक्षक की टिप्पणी: BYOD के लिए SCEP एकमात्र स्वीकार्य विकल्प है क्योंकि प्राइवेट की व्यक्तिगत डिवाइस पर जनरेट होती है और इसे इंटरसेप्ट नहीं किया जा सकता है। HIPAA/GDPR ऑडिटिंग के लिए नेटवर्क गतिविधि को विशिष्ट चिकित्सक से जोड़ने के लिए उपयोगकर्ता सर्टिफ़िकेट की आवश्यकता होती है। महत्वपूर्ण घटक Intune अनुपालन नीतियों के साथ एकीकरण है; यदि कोई डिवाइस गैर-अनुपालन (non-compliant) हो जाता है, तो Intune सर्टिफ़िकेट निरस्तीकरण को ट्रिगर कर सकता है, और RADIUS सर्वर की CRL जाँच तुरंत नेटवर्क एक्सेस को ब्लॉक कर देगी।

अभ्यास प्रश्न

Q1. आपका संगठन कॉर्पोरेट WiFi के लिए PEAP-MSCHAPv2 (यूज़रनेम/पासवर्ड) से EAP-TLS पर माइग्रेट कर रहा है। पायलट चरण के दौरान, कई Windows 11 लैपटॉप Intune कॉन्फ़िगरेशन प्रोफ़ाइल सफलतापूर्वक प्राप्त करते हैं लेकिन नेटवर्क से कनेक्ट होने में विफल रहते हैं। Windows इवेंट लॉग की समीक्षा करने पर इवेंट ID 20271 दिखाई देता है जो दर्शाता है कि RADIUS सर्वर सर्टिफ़िकेट अस्वीकार कर दिया गया था। इसका सबसे संभावित कारण क्या है?

संकेत: पारस्परिक प्रमाणीकरण के लिए आवश्यक विश्वास की श्रृंखला (chain of trust) पर विचार करें।

मॉडल उत्तर देखें

डिवाइसों में उस ट्रस्टेड रूट CA सर्टिफ़िकेट का अभाव है जिसने RADIUS सर्वर का सर्टिफ़िकेट जारी किया था। EAP-TLS में, डिवाइस को RADIUS सर्वर की पहचान को मान्य करना चाहिए। IT टीम को यह सुनिश्चित करना चाहिए कि रूट CA (और किसी भी इंटरमीडिएट CA) वाली 'Trusted certificate' प्रोफ़ाइल Intune के माध्यम से डिवाइसों पर परिनियोजित की गई है और WiFi प्रोफ़ाइल के कनेक्ट होने के प्रयास से पहले सफलतापूर्वक इंस्टॉल की गई है।

Q2. एक सार्वजनिक क्षेत्र का स्थान Intune और PKCS सर्टिफ़िकेट का उपयोग करके कर्मचारी डिवाइसों के लिए 802.1X परिनियोजित कर रहा है। वे Guest WiFi प्लेटफ़ॉर्म द्वारा प्रबंधित एक अलग विज़िटर नेटवर्क भी संचालित करते हैं। एक ऑडिटर नोट करता है कि यदि किसी कर्मचारी का लैपटॉप चोरी हो जाता है, तो सर्टिफ़िकेट 12 महीने तक मान्य रहता है। नेटवर्क आर्किटेक्ट को इस जोखिम को कैसे संबोधित करना चाहिए?

संकेत: प्रमाणीकरण सर्वर को कैसे पता चलता है कि कोई सर्टिफ़िकेट समाप्त होने से पहले अब मान्य नहीं है?

मॉडल उत्तर देखें

आर्किटेक्ट को एक मज़बूत सर्टिफ़िकेट रिवोकेशन वर्कफ़्लो लागू करना चाहिए। सबसे पहले, सुनिश्चित करें कि CA अत्यधिक उपलब्ध वितरण बिंदु पर सर्टिफ़िकेट रिवोकेशन लिस्ट (CRL) प्रकाशित करता है। दूसरा, प्रत्येक प्रमाणीकरण प्रयास के दौरान CRL जाँच को अनिवार्य करने के लिए RADIUS सर्वर (उदा., NPS) को कॉन्फ़िगर करें। अंत में, खोए या चोरी हुए के रूप में चिह्नित किसी भी डिवाइस के सर्टिफ़िकेट को स्पष्ट रूप से रद्द करने के लिए एक Intune परिचालन प्रक्रिया स्थापित करें, जो CRL को अपडेट करती है और नेटवर्क एक्सेस को ब्लॉक करती है।

Q3. आप खुदरा वातावरण में साझा कियोस्क डिवाइसों के बेड़े के लिए Intune परिनियोजन डिज़ाइन कर रहे हैं। ये डिवाइस प्रतिदिन रीबूट होते हैं और किसी भी उपयोगकर्ता के उनके साथ इंटरैक्ट करने से पहले अपडेट डाउनलोड करने के लिए उन्हें तुरंत कॉर्पोरेट नेटवर्क से कनेक्ट होना चाहिए। क्या आपको उपयोगकर्ता सर्टिफ़िकेट या डिवाइस सर्टिफ़िकेट परिनियोजित करने चाहिए, और किस सब्जेक्ट अल्टरनेटिव नेम (SAN) फ़ॉर्मेट का उपयोग किया जाना चाहिए?

संकेत: रीबूट के तुरंत बाद डिवाइस की स्थिति पर विचार करें।

मॉडल उत्तर देखें

आपको डिवाइस सर्टिफ़िकेट परिनियोजित करने होंगे। चूँकि कियोस्क को उपयोगकर्ता के लॉग इन करने से पहले नेटवर्क एक्सेस की आवश्यकता होती है, इसलिए बूट समय पर उपयोगकर्ता सर्टिफ़िकेट अनुपलब्ध होगा। Intune सर्टिफ़िकेट प्रोफ़ाइल में सब्जेक्ट अल्टरनेटिव नेम (SAN) को Azure AD Device ID ({{AAD_Device_ID}}) या डिवाइस के पूरी तरह से योग्य डोमेन नाम (FQDN) का उपयोग करने के लिए कॉन्फ़िगर किया जाना चाहिए, जिससे RADIUS सर्वर विशिष्ट हार्डवेयर एसेट को प्रमाणित कर सके।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK इम्प्लीमेंटेशन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस की (key) रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को तैनात करना चाहिए बनाम 802.1X पर जाना चाहिए।

गाइड पढ़ें →

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन से जुड़े समझौतों (trade-offs) का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

गाइड पढ़ें →

MAC एड्रेस ऑथेंटिकेशन क्या है? इसका उपयोग कब करें और इससे कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — कैसे RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 पर काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइजेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के परिसरों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए व्यावहारिक परिनियोजन मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के व्यावहारिक उदाहरण, निर्णय ढांचे और Purple के गेस्ट WiFi और एनालिटिक्स प्लेटफॉर्म के लिए एकीकरण संदर्भ शामिल हैं।

गाइड पढ़ें →