मुख्य सामग्री पर जाएं
हिन्दी

SCEP और PKCS के माध्यम से Microsoft Intune WiFi सर्टिफिकेट डिप्लॉयमेंट

यह गाइड SCEP और PKCS का उपयोग करके Microsoft Intune के माध्यम से WiFi प्रमाणीकरण सर्टिफिकेट डिप्लॉय करने के लिए चरण-दर-चरण तकनीकी संदर्भ प्रदान करता है। इसे एंटरप्राइज़ वातावरण में निर्बाध, सुरक्षित कनेक्टिविटी सुनिश्चित करने के लिए पासवर्डलेस 802.1X WiFi लागू करने वाले IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन किया गया है।

📖 6 मिनट का पाठ📝 1,299 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

header_image.png

कार्यकारी सारांश

एंटरप्राइज़ स्थानों के लिए—चाहे वह एक हलचल भरा हॉस्पिटैलिटी वातावरण हो, एक मल्टी-साइट रिटेल संचालन हो, या एक आधुनिक कॉर्पोरेट कैंपस हो—कर्मचारियों के WiFi के लिए प्री-शेयर्ड कीज़ (pre-shared keys) या बुनियादी कैप्टिव पोर्टल पर निर्भर रहना एक सुरक्षा भेद्यता (security vulnerability) और परिचालन संबंधी बाधा है। आधुनिक नेटवर्क आर्किटेक्चर EAP-TLS का उपयोग करके 802.1X प्रमाणीकरण की मांग करता है, जिससे यह सुनिश्चित होता है कि नेटवर्क तक पहुँचने से पहले प्रत्येक डिवाइस को क्रिप्टोग्राफ़िक रूप से सत्यापित किया जाए।

हालांकि, चुनौती इसके वितरण में है: आप अपने हेल्पडेस्क को सपोर्ट टिकटों के बोझ तले दबाए बिना हजारों Windows, iOS और Android डिवाइसों पर अद्वितीय क्लाइंट सर्टिफिकेट कैसे डिप्लॉय करते हैं? Microsoft Intune स्वचालित सर्टिफिकेट लाइफसाइकिल मैनेजमेंट के माध्यम से इसे हल करता है। SCEP (Simple Certificate Enrollment Protocol) या PKCS (Public Key Cryptography Standards) सर्टिफिकेट प्रोफाइल का लाभ उठाकर, IT टीमें प्रबंधित एंडपॉइंट्स पर चुपचाप विश्वसनीय रूट और क्लाइंट सर्टिफिकेट भेज सकती हैं।

यह गाइड Intune WiFi सर्टिफिकेट डिप्लॉयमेंट के लिए एक निश्चित आर्किटेक्चरल ब्लूप्रिंट और चरण-दर-चरण कार्यान्वयन रणनीति प्रदान करता है। हम SCEP और PKCS के बीच महत्वपूर्ण अंतरों का पता लगाएंगे, सफलता के लिए आवश्यक सटीक डिप्लॉयमेंट अनुक्रम का विवरण देंगे, और यह सुनिश्चित करने के लिए वास्तविक दुनिया की जोखिम शमन रणनीतियों को रेखांकित करेंगे कि आपका गेस्ट WiFi और कॉर्पोरेट नेटवर्क सुरक्षित और प्रदर्शन-उन्मुख बने रहें।

साथी पॉडकास्ट ब्रीफिंग सुनें: microsoft_intune_wifi_certificate_deployment_via_scep_and_pkcs_podcast.wav

तकनीकी गहन विश्लेषण: SCEP बनाम PKCS

अपनी Intune WiFi सर्टिफिकेट डिप्लॉयमेंट रणनीति तैयार करते समय, पहला आर्किटेक्चरल निर्णय सर्टिफिकेट डिलीवरी मैकेनिज्म का चयन करना होता है। Intune SCEP और PKCS दोनों का समर्थन करता है, लेकिन वे मौलिक रूप से अलग तरह से काम करते हैं।

SCEP (Simple Certificate Enrollment Protocol)

SCEP एंटरप्राइज़ डिवाइस नामांकन के लिए उद्योग मानक है। SCEP वर्कफ़्लो में, Intune सेवा एंडपॉइंट को अपनी खुद की प्राइवेट/पब्लिक की (key) जोड़ी बनाने का निर्देश देती है। इसके बाद डिवाइस एक सर्टिफिकेट साइनिंग रिक्वेस्ट (CSR) बनाता है और इसे नेटवर्क डिवाइस एनरोलमेंट सर्विस (NDES) सर्वर के माध्यम से आपके सर्टिफिकेट अथॉरिटी (CA) को भेजता है। CA अनुरोध पर हस्ताक्षर करता है और डिवाइस को पब्लिक सर्टिफिकेट वापस कर देता है।

SCEP का महत्वपूर्ण सुरक्षा लाभ यह है कि प्राइवेट की (private key) कभी भी डिवाइस से बाहर नहीं जाती है। यह स्थानीय रूप से उत्पन्न होती है, डिवाइस के सुरक्षित एन्क्लेव (जैसे Windows पर TPM या iOS पर Secure Enclave) में संग्रहीत होती है, और इसे कभी भी नेटवर्क पर प्रसारित नहीं किया जाता है। यह SCEP को 802.1X प्रमाणीकरण के लिए अत्यधिक अनुशंसित दृष्टिकोण बनाता है।

PKCS (Public Key Cryptography Standards)

इसके विपरीत, PKCS के साथ, सर्टिफिकेट अथॉरिटी केंद्रीय रूप से पब्लिक और प्राइवेट दोनों की (keys) उत्पन्न करता है। Microsoft Intune सर्टिफिकेट कनेक्टर फिर इस की (key) जोड़ी को सुरक्षित रूप से निर्यात करता है और इसे लक्षित डिवाइस पर भेजता है।

हालांकि PKCS एक NDES सर्वर को डिप्लॉय करने और बनाए रखने की आवश्यकता को समाप्त करता है—जिससे बुनियादी ढांचे का आकार सरल हो जाता है—यह एक सैद्धांतिक सुरक्षा जोखिम पैदा करता है क्योंकि प्राइवेट की को नेटवर्क पर प्रसारित किया जाता है। PKCS आम तौर पर उन उपयोग के मामलों के लिए बेहतर अनुकूल है जहां की एस्क्रो (key escrow) की आवश्यकता होती है, जैसे कि S/MIME ईमेल एन्क्रिप्शन, न कि नेटवर्क प्रमाणीकरण के लिए।

scep_vs_pkcs_comparison.png

कार्यान्वयन गाइड: डिप्लॉयमेंट अनुक्रम

802.1X के लिए Intune WiFi प्रोफाइल को सफलतापूर्वक कॉन्फ़िगर करने के लिए एक विशिष्ट डिप्लॉयमेंट अनुक्रम का कड़ाई से पालन करना आवश्यक है। Intune प्रोफाइल निर्भरताएं यह निर्देश देती हैं कि प्रमाणीकरण कॉन्फ़िगर करने से पहले विश्वास (trust) स्थापित किया जाना चाहिए।

चरण 1: ट्रस्टेड रूट सर्टिफिकेट प्रोफाइल डिप्लॉय करें

कोई भी डिवाइस क्लाइंट सर्टिफिकेट का अनुरोध करने या आपके RADIUS सर्वर पर भरोसा करने से पहले, उसे जारी करने वाले सर्टिफिकेट अथॉरिटी पर भरोसा करना चाहिए।

  1. अपने रूट CA सर्टिफिकेट (और किसी भी इंटरमीडिएट CA सर्टिफिकेट) को .cer फाइलों के रूप में निर्यात करें।
  2. Microsoft Endpoint Manager एडमिन सेंटर में, Devices > Configuration profiles > Create profile पर जाएं।
  3. लक्षित प्लेटफ़ॉर्म (जैसे, Windows 10 और बाद के संस्करण) का चयन करें और Trusted certificate प्रोफाइल प्रकार चुनें।
  4. .cer फ़ाइल अपलोड करें और इस प्रोफाइल को अपने लक्षित डिवाइस समूहों में डिप्लॉय करें।

अंगूठे का नियम: डिप्लॉयमेंट बेमेल को रोकने के लिए हमेशा सभी संबंधित प्रोफाइल में एक ही समूह (या तो उपयोगकर्ता या डिवाइस) को लक्षित करें।

चरण 2: SCEP सर्टिफिकेट प्रोफाइल कॉन्फ़िगर करें

एक बार विश्वास स्थापित हो जाने पर, डिवाइस को अपना क्लाइंट सर्टिफिकेट प्राप्त करने का निर्देश देने के लिए SCEP प्रोफाइल को कॉन्फ़िगर करें।

  1. एक नया कॉन्फ़िगरेशन प्रोफाइल बनाएं और SCEP certificate चुनें।
  2. Subject name format कॉन्फ़िगर करें। उपयोगकर्ता-संचालित प्रमाणीकरण के लिए, CN={{UserPrincipalName}} मानक है। डिवाइस प्रमाणीकरण के लिए, CN={{AAD_Device_ID}} का उपयोग करें।
  3. Key usage को Digital signature और Key encipherment पर सेट करें।
  4. Extended key usage के तहत, Client Authentication (OID: 1.3.6.1.5.5.7.3.2) निर्दिष्ट करें।
  5. इस प्रोफाइल को चरण 1 में बनाए गए ट्रस्टेड रूट सर्टिफिकेट प्रोफाइल से लिंक करें।
  6. अपने NDES सर्वर का बाहरी URL प्रदान करें।

चरण 3: 802.1X WiFi प्रोफाइल डिप्लॉय करें

अंतिम चरण WiFi कॉन्फ़िगरेशन को पुश करना है जो सर्टिफिकेट को नेटवर्क SSID से जोड़ता है।

  1. एक WiFi कॉन्फ़िगरेशन प्रोफाइल बनाएं।
  2. Network name (SSID) ठीक वैसे ही दर्ज करें जैसे यह आपके वायरलेस एक्सेस पॉइंट्स द्वारा प्रसारित किया जाता है।
  3. सुरक्षा प्रकार के रूप में WPA2-Enterprise या WPA3-Enterprise चुनें।
  4. EAP type को EAP-TLS पर सेट करें।
  5. प्रमाणीकरण सेटिंग्स में, चरण 2 में बनाए गए SCEP सर्टिफिकेट प्रोफाइल को क्लाइंट प्रमाणीकरण सर्टिफिकेट के रूप में चुनें।
  6. सर्वर सत्यापन के लिए ट्रस्टेड रूट सर्टिफिकेट निर्दिष्ट करें ताकि यह सुनिश्चित हो सके कि डिवाइस केवल आपके वैध RADIUS सर्वर से कनेक्ट हो।

architecture_overview.png

सर्वोत्तम प्रथाएं और उद्योग मानक

Intune WiFi सर्टिफिकेट डिप्लॉयमेंट को लागू करते समय, अनुपालन और विश्वसनीयता सुनिश्चित करने के लिए निम्नलिखित विक्रेता-तटस्थ सर्वोत्तम प्रथाओं का पालन करें।

NDES सर्वर प्लेसमेंट और सुरक्षा

रिमोट डिवाइसों को ऑन-साइट आने से पहले सर्टिफिकेट प्रोविज़निंग की अनुमति देने के लिए NDES सर्वर इंटरनेट से सुलभ होना चाहिए। हालांकि, किसी आंतरिक सर्वर को सीधे इंटरनेट पर उजागर करना एक महत्वपूर्ण सुरक्षा जोखिम है।

अनुशंसा: Azure AD Application Proxy का उपयोग करके NDES URL प्रकाशित करें। यह इनबाउंड फ़ायरवॉल पोर्ट खोले बिना सुरक्षित रिमोट एक्सेस प्रदान करता है और आपको नामांकन प्रवाह (enrollment flow) पर कंडीशनल एक्सेस नीतियां लागू करने की अनुमति देता है।

RADIUS और CRL चेकिंग

सर्टिफिकेट डिप्लॉयमेंट सुरक्षा समीकरण का केवल आधा हिस्सा है; निरसन (revocation) भी उतना ही महत्वपूर्ण है। यदि किसी कर्मचारी को निकाल दिया जाता है, तो उनके Active Directory खाते को अक्षम करने से उनकी WiFi पहुँच तुरंत निरस्त नहीं हो सकती है यदि उनका क्लाइंट सर्टिफिकेट वैध रहता है और RADIUS सर्वर सर्टिफिकेट रिवोकेशन लिस्ट (CRL) की कड़ाई से जांच नहीं कर रहा है।

अनुशंसा: सख्त CRL चेकिंग लागू करने के लिए अपने नेटवर्क पॉलिसी सर्वर (NPS) या RADIUS सर्वर को कॉन्फ़िगर करें। सुनिश्चित करें कि आपके CRL डिस्ट्रीब्यूशन पॉइंट्स (CDPs) अत्यधिक उपलब्ध हैं; यदि RADIUS सर्वर CRL तक नहीं पहुँच पाता है, तो प्रमाणीकरण विफल हो जाएगा, जिससे व्यापक आउटेज हो सकता है।

सुरक्षित नेटवर्क डिज़ाइन पर अधिक जानकारी के लिए, आधुनिक व्यवसायों के लिए मुख्य SD WAN लाभ की समीक्षा करने पर विचार करें।

समस्या निवारण और जोखिम शमन

सावधानीपूर्वक योजना बनाने के बाद भी, सर्टिफिकेट डिप्लॉयमेंट में समस्याएं आ सकती हैं। यहाँ सामान्य विफलता मोड और शमन रणनीतियाँ दी गई हैं।

समस्या: WiFi प्रोफाइल लागू होने में विफल

लक्षण: डिवाइस को ट्रस्टेड रूट और SCEP सर्टिफिकेट प्राप्त होते हैं, लेकिन WiFi प्रोफाइल Intune में 'Error' या 'Not Applicable' के रूप में दिखाई देता है।

मूल कारण: यह लगभग हमेशा समूह लक्ष्यीकरण (group targeting) में बेमेल होने के कारण होता है। यदि SCEP प्रोफाइल किसी उपयोगकर्ता समूह (User Group) को सौंपा गया है, लेकिन WiFi प्रोफाइल किसी डिवाइस समूह (Device Group) को सौंपा गया है, तो Intune निर्भरता को हल नहीं कर सकता है।

शमन: अपने असाइनमेंट का ऑडिट करें। सुनिश्चित करें कि ट्रस्टेड रूट, SCEP और WiFi प्रोफाइल सभी बिल्कुल एक ही Azure AD समूह में डिप्लॉय किए गए हैं।

समस्या: NDES 403 Forbidden त्रुटियाँ

लक्षण: डिवाइस SCEP सर्टिफिकेट प्राप्त करने में विफल रहते हैं, और NDES IIS लॉग HTTP 403 त्रुटियां दिखाते हैं।

मूल कारण: Intune सर्टिफिकेट कनेक्टर सेवा खाते के पास सर्टिफिकेट टेम्पलेट पर आवश्यक अनुमतियों की कमी है, या आपके फ़ायरवॉल पर URL फ़िल्टरिंग SCEP द्वारा उपयोग किए जाने वाले विशिष्ट क्वेरी स्ट्रिंग मापदंडों को अवरुद्ध कर रही है।

शमन: सत्यापित करें कि कनेक्टर खाते के पास CA टेम्पलेट पर 'Read' और 'Enroll' अनुमतियां हैं। यह सुनिश्चित करने के लिए फ़ायरवॉल लॉग की जांच करें कि ?operation=GetCACaps वाले URL अवरुद्ध नहीं किए जा रहे हैं।

ROI और व्यावसायिक प्रभाव

Microsoft Intune 802.1X सर्टिफिकेट डिप्लॉयमेंट पर संक्रमण सुरक्षा और संचालन में मापने योग्य रिटर्न प्रदान करता है।

  1. हेल्पडेस्क टिकटों में कमी: पासवर्ड-आधारित WiFi बड़ी मात्रा में सपोर्ट टिकट (पासवर्ड की समाप्ति, लॉकआउट, टाइपो) उत्पन्न करता है। सर्टिफिकेट-आधारित प्रमाणीकरण उपयोगकर्ता के लिए अदृश्य है, जो आमतौर पर WiFi से संबंधित हेल्पडेस्क वॉल्यूम को 70-80% तक कम कर देता है।
  2. उन्नत सुरक्षा स्थिति: EAP-TLS क्रेडेंशियल हार्वेस्टिंग और मैन-इन-द-मिडल (MitM) हमलों के जोखिम को समाप्त करता है। यह PCI DSS और GDPR जैसे अनुपालन ढांचों के लिए महत्वपूर्ण है, विशेष रूप से हेल्थकेयर और रिटेल वातावरण में।
  3. निर्बाध ऑनबोर्डिंग: Windows के साथ Apple उपकरणों के बड़े बेड़े का प्रबंधन करने वाले संगठनों के लिए, मौजूदा MDM वर्कफ़्लो के साथ Intune को एकीकृत करना (हमारा गाइड देखें Jamf और RADIUS: Apple डिवाइस बेड़े के लिए सर्टिफिकेट-आधारित WiFi प्रमाणीकरण ) पहले दिन से ही एक एकीकृत, ज़ीरो-टच प्रोविज़निंग अनुभव सुनिश्चित करता है।

मुख्य परिभाषाएं

SCEP (Simple Certificate Enrollment Protocol)

एक प्रोटोकॉल जो उपकरणों को सर्टिफिकेट अथॉरिटी से डिजिटल सर्टिफिकेट का अनुरोध करने की अनुमति देता है, जहां प्राइवेट की (private key) डिवाइस पर ही सुरक्षित रूप से उत्पन्न और संग्रहीत होती है।

इसकी उच्च सुरक्षा और स्केलेबिलिटी के कारण WiFi प्रमाणीकरण सर्टिफिकेट डिप्लॉय करने की अनुशंसित विधि।

PKCS (Public Key Cryptography Standards)

मानकों का एक सेट जहां पब्लिक और प्राइवेट दोनों की (keys) सर्टिफिकेट अथॉरिटी द्वारा उत्पन्न की जाती हैं और फिर सुरक्षित रूप से एंडपॉइंट पर वितरित की जाती हैं।

अक्सर S/MIME ईमेल एन्क्रिप्शन के लिए उपयोग किया जाता है, लेकिन प्राइवेट की के नेटवर्क ट्रांसमिशन के कारण WiFi के लिए कम आदर्श है।

NDES (Network Device Enrollment Service)

एक Microsoft Windows Server भूमिका जो एक ब्रिज के रूप में कार्य करती है, जिससे डोमेन क्रेडेंशियल के बिना डिवाइस SCEP के माध्यम से सर्टिफिकेट प्राप्त कर सकते हैं।

Microsoft Intune के साथ SCEP सर्टिफिकेट डिप्लॉयमेंट लागू करते समय एक आवश्यक बुनियादी ढांचा घटक।

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

सबसे सुरक्षित 802.1X प्रमाणीकरण विधि, जिसमें सर्वर और क्लाइंट दोनों को वैध डिजिटल सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है।

लक्षित प्रमाणीकरण प्रोटोकॉल जिसे सक्षम करने के लिए Intune WiFi और सर्टिफिकेट प्रोफाइल डिज़ाइन किए गए हैं।

CRL (Certificate Revocation List)

सर्टिफिकेट अथॉरिटी द्वारा प्रकाशित एक सूची जिसमें उन सर्टिफिकेट के सीरियल नंबर होते हैं जिन्हें उनकी समाप्ति तिथि से पहले निरस्त कर दिया गया है।

सुरक्षा के लिए महत्वपूर्ण; RADIUS सर्वर को यह सुनिश्चित करने के लिए CRL की जांच करनी चाहिए कि नौकरी से निकाले गए कर्मचारी अन्यथा वैध सर्टिफिकेट का उपयोग करके WiFi तक नहीं पहुँच सकें।

Intune Certificate Connector

ऑन-प्रिमाइसेस Windows Server पर स्थापित एक सॉफ़्टवेयर एजेंट जो Microsoft Intune और आंतरिक सर्टिफिकेट अथॉरिटी के बीच अनुरोधों की मध्यस्थता करता है।

SCEP (अनुरोधों को मान्य करने के लिए) और PKCS (कीज़ निर्यात करने के लिए) दोनों डिप्लॉयमेंट के लिए आवश्यक।

Subject Alternative Name (SAN)

एक डिजिटल सर्टिफिकेट का विस्तार जो सर्टिफिकेट के साथ कई मानों (जैसे UPN, ईमेल, या MAC पता) को जोड़ने की अनुमति देता है।

यह सुनिश्चित करने के लिए Intune SCEP प्रोफाइल में कॉन्फ़िगर किया गया है कि RADIUS सर्वर उपयोगकर्ता या डिवाइस की सटीक पहचान कर सके।

Azure AD Application Proxy

एक विशेषता जो VPN की आवश्यकता या इनबाउंड फ़ायरवॉल पोर्ट खोले बिना ऑन-प्रिमाइसेस वेब अनुप्रयोगों तक सुरक्षित रिमोट एक्सेस प्रदान करती है।

रिमोट डिवाइस नामांकन के लिए इंटरनेट पर आंतरिक NDES सर्वर URL को सुरक्षित रूप से प्रकाशित करने की सर्वोत्तम अभ्यास विधि।

हल किए गए उदाहरण

500 स्थानों वाली एक राष्ट्रीय रिटेल श्रृंखला अपने स्टोर सहयोगी टैबलेट (Android Enterprise समर्पित डिवाइस) के लिए WPA2-Personal (प्री-शेयर्ड की) से WPA3-Enterprise पर माइग्रेट कर रही है। वे MDM के लिए Intune का उपयोग करते हैं। उन्हें सर्टिफिकेट डिप्लॉयमेंट को कैसे आर्किटेक्ट करना चाहिए?

  1. Azure AD App Proxy के माध्यम से प्रकाशित एक NDES सर्वर डिप्लॉय करें।
  2. Intune में एक डिवाइस-आधारित SCEP सर्टिफिकेट प्रोफाइल बनाएं, क्योंकि ये समर्पित (कियोस्क) डिवाइस हैं जो किसी विशिष्ट उपयोगकर्ता से बंधे नहीं हैं। सब्जेक्ट नेम के लिए CN={{AAD_Device_ID}} का उपयोग करें।
  3. 'All Store Tablets' Azure AD डिवाइस समूह में रूट CA प्रोफाइल डिप्लॉय करें।
  4. उसी 'All Store Tablets' समूह में SCEP प्रोफाइल डिप्लॉय करें।
  5. SCEP प्रोफाइल का संदर्भ देते हुए WPA3-Enterprise, EAP-TLS के लिए कॉन्फ़िगर किया गया एक WiFi प्रोफाइल बनाएं और इसे उसी समूह में डिप्लॉय करें।
  6. Active Directory कंप्यूटर ऑब्जेक्ट्स के खिलाफ डिवाइस सर्टिफिकेट को प्रमाणित करने के लिए केंद्रीय RADIUS सर्वर को कॉन्फ़िगर करें।
परीक्षक की टिप्पणी: यह दृष्टिकोण सही ढंग से पहचानता है कि समर्पित उपकरणों के लिए डिवाइस-आधारित (उपयोगकर्ता-आधारित नहीं) सर्टिफिकेट की आवश्यकता होती है। तीनों प्रोफाइल में लगातार डिवाइस समूहों को लक्षित करके, आर्किटेक्ट सबसे आम Intune डिप्लॉयमेंट विफलता से बचता है। NDES के लिए Azure AD App Proxy का उपयोग यह सुनिश्चित करता है कि टैबलेट बिना VPN के सुरक्षित रूप से सर्टिफिकेट का नवीनीकरण कर सकें।

एक बड़ा सम्मेलन केंद्र अपने [WiFi एनालिटिक्स](/products/wifi-analytics) और गेस्ट WiFi के लिए Purple का उपयोग करता है, लेकिन उन्हें अपने आंतरिक कर्मचारी नेटवर्क को सुरक्षित करने की आवश्यकता है। कर्मचारी कॉर्पोरेट-स्वामित्व वाले Windows लैपटॉप और BYOD iOS उपकरणों के मिश्रण का उपयोग करते हैं। वे BYOD उपकरणों के लिए Intune डिप्लॉयमेंट को कैसे संभालते हैं?

  1. BYOD उपयोगकर्ताओं को Intune उपयोगकर्ता नामांकन (एक सुरक्षित कार्य विभाजन बनाना) के माध्यम से अपने iOS उपकरणों को नामांकित करने की आवश्यकता होगी।
  2. CN={{UserPrincipalName}} का उपयोग करके एक उपयोगकर्ता-आधारित SCEP सर्टिफिकेट प्रोफाइल बनाएं।
  3. रूट CA, SCEP और WiFi प्रोफाइल को Azure AD उपयोगकर्ता समूह (जैसे, 'All Staff') में डिप्लॉय करें।
  4. जब उपयोगकर्ता अपने व्यक्तिगत डिवाइस को नामांकित करता है, तो Intune विशेष रूप से प्रबंधित कार्य विभाजन (work partition) में प्रोफाइल को पुश करता है।
  5. डिवाइस उपयोगकर्ता की पहचान का उपयोग करके स्टाफ SSID से कनेक्ट होता है, जिससे RADIUS सर्वर को उनकी AD समूह सदस्यता के आधार पर भूमिका-आधारित एक्सेस कंट्रोल (VLAN असाइनमेंट) लागू करने की अनुमति मिलती है।
परीक्षक की टिप्पणी: यह समाधान गोपनीयता-संरक्षण BYOD प्रबंधन के लिए उपयोगकर्ता नामांकन को सही ढंग से लागू करता है। उपयोगकर्ता समूहों को लक्षित करके, सर्टिफिकेट कर्मचारी का अनुसरण करते हैं, चाहे वे किसी भी डिवाइस को नामांकित करें। RADIUS के माध्यम से भूमिका-आधारित एक्सेस कंट्रोल का एकीकरण उन्नत नेटवर्क डिज़ाइन को प्रदर्शित करता है।

अभ्यास प्रश्न

Q1. आपने अपने Windows 10 उपकरणों पर रूट CA, SCEP और WiFi प्रोफाइल डिप्लॉय किए हैं। सर्टिफिकेट सफलतापूर्वक स्थापित हो जाते हैं, लेकिन WiFi प्रोफाइल लागू होने में विफल रहता है, जिससे Intune कंसोल में 'Error' दिखाई देता है। इसका सबसे संभावित कारण क्या है?

संकेत: जांचें कि प्रोफाइल Azure AD समूहों को कैसे सौंपे गए हैं।

मॉडल उत्तर देखें

सबसे संभावित कारण समूह लक्ष्यीकरण (group targeting) में बेमेल होना है। यदि SCEP प्रोफाइल किसी उपयोगकर्ता समूह (User Group) को सौंपा गया था, लेकिन WiFi प्रोफाइल किसी डिवाइस समूह (Device Group) को सौंपा गया था, तो Intune उनके बीच की निर्भरता को हल नहीं कर सकता है। तीनों प्रोफाइल (रूट, SCEP, WiFi) को बिल्कुल एक ही समूह प्रकार पर लक्षित किया जाना चाहिए।

Q2. आपकी सुरक्षा टीम का आदेश है कि प्राइवेट की (private keys) को कभी भी नेटवर्क पर प्रसारित नहीं किया जाना चाहिए, भले ही वे एन्क्रिप्टेड हों। आपको Intune में किस सर्टिफिकेट डिप्लॉयमेंट विधि का उपयोग करना चाहिए, और किस अतिरिक्त बुनियादी ढांचा सर्वर की आवश्यकता है?

संकेत: सोचें कि की (key) जोड़ी कहाँ उत्पन्न होती है।

मॉडल उत्तर देखें

आपको SCEP (Simple Certificate Enrollment Protocol) का उपयोग करना चाहिए। चूंकि SCEP एंडपॉइंट डिवाइस को स्थानीय रूप से प्राइवेट की उत्पन्न करने का निर्देश देता है, इसलिए यह कभी भी नेटवर्क से नहीं गुजरती है। इस डिप्लॉयमेंट के लिए सर्टिफिकेट अथॉरिटी के ब्रिज के रूप में कार्य करने के लिए एक नेटवर्क डिवाइस एनरोलमेंट सर्विस (NDES) सर्वर की आवश्यकता होती है।

Q3. एक रिमोट कर्मचारी Windows Autopilot के माध्यम से घर पर एक नया लैपटॉप प्रोविज़न करता है। Intune प्रोफाइल सफलतापूर्वक डिप्लॉय हो जाते हैं, लेकिन डिवाइस SCEP सर्टिफिकेट प्राप्त करने में विफल रहता है। कौन सा बुनियादी ढांचा कॉन्फ़िगरेशन संभवतः गायब है?

संकेत: डिवाइस इंटरनेट से आंतरिक CA तक कैसे पहुँचता है?

मॉडल उत्तर देखें

NDES सर्वर संभवतः इंटरनेट पर प्रकाशित नहीं हुआ है। रिमोट डिवाइसों को कॉर्पोरेट कार्यालय पहुंचने से पहले सर्टिफिकेट का अनुरोध करने के लिए, NDES URL बाहरी रूप से सुलभ होना चाहिए, आदर्श रूप से Azure AD Application Proxy के माध्यम से सुरक्षित रूप से प्रकाशित होना चाहिए।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN Access Points का एकीकरण

यह आधिकारिक तकनीकी संदर्भ गाइड विस्तार से बताती है कि Grandstream GWN access points को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK विभाजन को कवर करता है - जो बड़े पैमाने पर अतिथि और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →

Cisco WLC और Catalyst एकीकरण Purple WiFi के साथ: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Purple के साथ Cisco WLC और Catalyst 9800 Wireless के चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित Staff WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह उन एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखी गई है जो हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में Cisco इन्फ्रास्ट्रक्चर को डिप्लॉय कर रहे हैं।

गाइड पढ़ें →

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण एकीकरण प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।

गाइड पढ़ें →