मुख्य सामग्री पर जाएं
हिन्दी

SCEP और PKCS के माध्यम से Microsoft Intune WiFi सर्टिफिकेट डिप्लॉयमेंट

यह गाइड SCEP और PKCS का उपयोग करके Microsoft Intune के माध्यम से WiFi ऑथेंटिकेशन सर्टिफिकेट डिप्लॉय करने के लिए चरण-दर-चरण तकनीकी संदर्भ प्रदान करती है। इसे एंटरप्राइज वातावरण में निर्बाध, सुरक्षित कनेक्टिविटी सुनिश्चित करने के लिए पासवर्डलेस 802.1X WiFi लागू करने वाले IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन किया गया है।

📖 6 मिनट का पाठ📝 1,299 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

header_image.png

कार्यकारी सारांश

एंटरप्राइज परिसरों के लिए—चाहे वह हलचल भरा हॉस्पिटैलिटी माहौल हो, मल्टी-साइट रिटेल संचालन हो, या एक आधुनिक कॉर्पोरेट कैंपस हो—कर्मचारियों के WiFi के लिए प्री-शेयर्ड कीज़ या बुनियादी कैप्टिव पोर्टल पर निर्भर रहना एक सुरक्षा भेद्यता (security vulnerability) और परिचालन संबंधी बाधा है। आधुनिक नेटवर्क आर्किटेक्चर EAP-TLS का उपयोग करके 802.1X ऑथेंटिकेशन की मांग करता है, जिससे यह सुनिश्चित होता है कि नेटवर्क तक पहुंचने से पहले प्रत्येक डिवाइस को क्रिप्टोग्राफिक रूप से सत्यापित किया जाए।

हालांकि, चुनौती वितरण में है: आप अपने हेल्पडेस्क को सपोर्ट टिकटों में डुबोए बिना हजारों Windows, iOS और Android डिवाइसों पर अद्वितीय क्लाइंट सर्टिफिकेट कैसे डिप्लॉय करते हैं? Microsoft Intune स्वचालित सर्टिफिकेट लाइफसाइकिल मैनेजमेंट के माध्यम से इसे हल करता है। SCEP (Simple Certificate Enrollment Protocol) या PKCS (Public Key Cryptography Standards) सर्टिफिकेट प्रोफाइल का लाभ उठाकर, IT टीमें प्रबंधित एंडपॉइंट्स पर चुपचाप विश्वसनीय रूट और क्लाइंट सर्टिफिकेट भेज सकती हैं।

यह गाइड Intune WiFi सर्टिफिकेट डिप्लॉयमेंट के लिए एक निश्चित आर्किटेक्चरल ब्लूप्रिंट और चरण-दर-चरण कार्यान्वयन रणनीति प्रदान करती है। हम SCEP और PKCS के बीच महत्वपूर्ण अंतरों का पता लगाएंगे, सफलता के लिए आवश्यक सटीक डिप्लॉयमेंट अनुक्रम का विवरण देंगे, और यह सुनिश्चित करने के लिए वास्तविक दुनिया की जोखिम शमन रणनीतियों को रेखांकित करेंगे कि आपका Guest WiFi और कॉर्पोरेट नेटवर्क सुरक्षित और कुशल बने रहें।

साथी पॉडकास्ट ब्रीफिंग सुनें: microsoft_intune_wifi_certificate_deployment_via_scep_and_pkcs_podcast.wav

तकनीकी गहन विश्लेषण: SCEP बनाम PKCS

अपनी Intune WiFi सर्टिफिकेट डिप्लॉयमेंट रणनीति को डिजाइन करते समय, पहला आर्किटेक्चरल निर्णय सर्टिफिकेट डिलीवरी मैकेनिज्म का चयन करना होता है। Intune SCEP और PKCS दोनों का समर्थन करता है, लेकिन वे मौलिक रूप से अलग तरह से काम करते।

SCEP (Simple Certificate Enrollment Protocol)

SCEP एंटरप्राइज डिवाइस एनरोलमेंट के लिए उद्योग मानक है। SCEP वर्कफ़्लो में, Intune सेवा एंडपॉइंट को अपनी खुद की प्राइवेट/पब्लिक की (key) जोड़ी बनाने का निर्देश देती है। इसके बाद डिवाइस एक सर्टिफिकेट साइनिंग रिक्वेस्ट (CSR) बनाता है और इसे नेटवर्क डिवाइस एनरोलमेंट सर्विस (NDES) सर्वर के माध्यम से आपके सर्टिफिकेट अथॉरिटी (CA) को भेजता है। CA अनुरोध पर हस्ताक्षर करता है और डिवाइस को पब्लिक सर्टिफिकेट वापस कर देता है।

SCEP का महत्वपूर्ण सुरक्षा लाभ यह है कि प्राइवेट की कभी भी डिवाइस से बाहर नहीं जाती है। यह स्थानीय रूप से उत्पन्न होती है, डिवाइस के सुरक्षित एन्क्लेव (जैसे Windows पर TPM या iOS पर Secure Enclave) में संग्रहीत होती है, और इसे कभी भी नेटवर्क पर प्रसारित नहीं किया जाता है। यह SCEP को 802.1X ऑथेंटिकेशन के लिए अत्यधिक अनुशंसित दृष्टिकोण बनाता है।

PKCS (Public Key Cryptography Standards)

इसके विपरीत, PKCS के साथ, सर्टिफिकेट अथॉरिटी केंद्रीय रूप से पब्लिक और प्राइवेट दोनों की (keys) उत्पन्न करती है। Microsoft Intune सर्टिफिकेट कनेक्टर फिर इस की (key) जोड़ी को सुरक्षित रूप से निर्यात करता है और इसे लक्षित डिवाइस पर भेज देता है।

हालांकि PKCS एक NDES सर्वर को डिप्लॉय करने और बनाए रखने की आवश्यकता को समाप्त करता है—जिससे इंफ्रास्ट्रक्चर का आकार सरल हो जाता है—यह एक सैद्धांतिक सुरक्षा जोखिम पैदा करता है क्योंकि प्राइवेट की को नेटवर्क पर प्रसारित किया जाता है। PKCS आम तौर पर उन उपयोग के मामलों के लिए बेहतर अनुकूल है जहां की एस्क्रो (key escrow) की आवश्यकता होती है, जैसे कि S/MIME ईमेल एन्क्रिप्शन, न कि नेटवर्क ऑथेंटिकेशन के लिए।

scep_vs_pkcs_comparison.png

कार्यान्वयन गाइड: डिप्लॉयमेंट अनुक्रम

802.1X के लिए Intune WiFi प्रोफाइल को सफलतापूर्वक कॉन्फ़िगर करने के लिए एक विशिष्ट डिप्लॉयमेंट अनुक्रम का कड़ाई से पालन करना आवश्यक है। Intune प्रोफाइल निर्भरताएं यह तय करती हैं कि ऑथेंटिकेशन कॉन्फ़िगर करने से पहले विश्वास (trust) स्थापित किया जाना चाहिए।

चरण 1: ट्रस्टेड रूट सर्टिफिकेट प्रोफाइल डिप्लॉय करें

इससे पहले कि कोई भी डिवाइस क्लाइंट सर्टिफिकेट का अनुरोध कर सके या आपके RADIUS सर्वर पर भरोसा कर सके, उसे जारी करने वाले सर्टिफिकेट अथॉरिटी पर भरोसा करना होगा।

  1. अपने रूट CA सर्टिफिकेट (और किसी भी इंटरमीडिएट CA सर्टिफिकेट) को .cer फाइलों के रूप में निर्यात करें।
  2. Microsoft Endpoint Manager एडमिन सेंटर में, Devices > Configuration profiles > Create profile पर जाएं।
  3. लक्षित प्लेटफॉर्म (जैसे, Windows 10 और बाद के संस्करण) का चयन करें और Trusted certificate प्रोफाइल प्रकार चुनें।
  4. .cer फ़ाइल अपलोड करें और इस प्रोफाइल को अपने लक्षित डिवाइस समूहों में डिप्लॉय करें।

अंगूठे का नियम: डिप्लॉयमेंट बेमेल को रोकने के लिए हमेशा सभी संबंधित प्रोफाइलों में एक ही समूह (या तो उपयोगकर्ता या डिवाइस) को लक्षित करें।

चरण 2: SCEP सर्टिफिकेट प्रोफाइल कॉन्फ़िगर करें

एक बार विश्वास स्थापित हो जाने के बाद, डिवाइसों को उनके क्लाइंट सर्टिफिकेट प्राप्त करने के निर्देश देने के लिए SCEP प्रोफाइल को कॉन्फ़िगर करें।

  1. एक नया कॉन्फ़िगरेशन प्रोफाइल बनाएं और SCEP certificate चुनें।
  2. Subject name format कॉन्फ़िगर करें। उपयोगकर्ता-संचालित ऑथेंटिकेशन के लिए, CN={{UserPrincipalName}} मानक है। डिवाइस ऑथेंटिकेशन के लिए, CN={{AAD_Device_ID}} का उपयोग करें।
  3. Key usage को Digital signature और Key encipherment पर सेट करें।
  4. Extended key usage के तहत, Client Authentication (OID: 1.3.6.1.5.5.7.3.2) निर्दिष्ट करें।
  5. इस प्रोफाइल को चरण 1 में बनाए गए ट्रस्टेड रूट सर्टिफिकेट प्रोफाइल से लिंक करें।
  6. अपने NDES सर्वर का बाहरी URL प्रदान करें।

चरण 3: 802.1X WiFi प्रोफाइल डिप्लॉय करें

अंतिम चरण WiFi कॉन्फ़िगरेशन को पुश करना है जो सर्टिफिकेट को नेटवर्क SSID से जोड़ता है।

  1. एक WiFi कॉन्फ़िगरेशन प्रोफाइल बनाएं।
  2. Network name (SSID) ठीक वैसे ही दर्ज करें जैसे यह आपके Wireless Access Points द्वारा प्रसारित किया जाता है।
  3. सुरक्षा प्रकार के रूप में WPA2-Enterprise या WPA3-Enterprise चुनें।
  4. EAP type को EAP-TLS पर सेट करें।
  5. ऑथेंटिकेशन सेटिंग्स में, चरण 2 में बनाए गए SCEP सर्टिफिकेट प्रोफाइल को क्लाइंट ऑथेंटिकेशन सर्टिफिकेट के रूप में चुनें।
  6. सर्वर सत्यापन के लिए ट्रस्टेड रूट सर्टिफिकेट निर्दिष्ट करें ताकि यह सुनिश्चित हो सके कि डिवाइस केवल आपके वैध RADIUS सर्वर से कनेक्ट हो।

architecture_overview.png

सर्वोत्तम प्रथाएं और उद्योग मानक

जब Intune WiFi सर्टिफिकेट डिप्लॉयमेंट लागू कर रहे हों, तो अनुपालन और विश्वसनीयता सुनिश्चित करने के लिए निम्नलिखित विक्रेता-तटस्थ सर्वोत्तम प्रथाओं का पालन करें।

NDES सर्वर प्लेसमेंट और सुरक्षा

रिमोट डिवाइसों को ऑन-साइट पहुंचने से पहले सर्टिफिकेट प्रोविजन करने की अनुमति देने के लिए NDES सर्वर इंटरनेट से सुलभ होना चाहिए। हालांकि, किसी आंतरिक सर्वर को सीधे इंटरनेट पर उजागर करना एक महत्वपूर्ण सुरक्षा जोखिम है।

अनुशंसा: Azure AD Application Proxy का उपयोग करके NDES URL प्रकाशित करें। यह इनबाउंड फ़ायरवॉल पोर्ट खोले बिना सुरक्षित रिमोट एक्सेस प्रदान करता है और आपको एनरोलमेंट फ्लो पर कंडीशनल एक्सेस नीतियां लागू करने की अनुमति देता है।

RADIUS और CRL चेकिंग

सर्टिफिकेट डिप्लॉयमेंट सुरक्षा समीकरण का केवल आधा हिस्सा है; निरसन (revocation) भी उतना ही महत्वपूर्ण है। यदि किसी कर्मचारी को सेवा से हटा दिया जाता है, तो उनके Active Directory खाते को निष्क्रिय करने से उनकी WiFi पहुंच तुरंत समाप्त नहीं हो सकती है यदि उनका क्लाइंट सर्टिफिकेट वैध रहता है और RADIUS सर्वर सर्टिफिकेट निरसन सूची (CRL) की कड़ाई से जांच नहीं कर रहा है।

अनुशंसा: सख्त CRL चेकिंग लागू करने के लिए अपने नेटवर्क पॉलिसी सर्वर (NPS) या RADIUS सर्वर को कॉन्फ़िगर करें। सुनिश्चित करें कि आपके CRL डिस्ट्रीब्यूशन पॉइंट्स (CDPs) अत्यधिक उपलब्ध हैं; यदि RADIUS सर्वर CRL तक नहीं पहुंच पाता है, तो ऑथेंटिकेशन विफल हो जाएगा, जिससे व्यापक आउटेज हो सकता है।

सुरक्षित नेटवर्क डिज़ाइन पर अधिक जानकारी के लिए, The Core SD WAN Benefits for Modern Businesses की समीक्षा करने पर विचार करें।

समस्या निवारण और जोखिम शमन

सावधानीपूर्वक योजना बनाने के बाद भी, सर्टिफिकेट डिप्लॉयमेंट में समस्याएं आ सकती हैं। यहाँ सामान्य विफलता मोड और शमन रणनीतियाँ दी गई हैं।

समस्या: WiFi प्रोफाइल लागू होने में विफल

लक्षण: डिवाइस को ट्रस्टेड रूट और SCEP सर्टिफिकेट प्राप्त होते हैं, लेकिन WiFi प्रोफाइल Intune में 'Error' या 'Not Applicable' के रूप में दिखाई देती है।

मूल कारण: यह लगभग हमेशा समूह लक्ष्यीकरण (group targeting) में बेमेल होने के कारण होता है। यदि SCEP प्रोफाइल किसी उपयोगकर्ता समूह (User Group) को सौंपी गई है, लेकिन WiFi प्रोफाइल किसी डिवाइस समूह (Device Group) को सौंपी गई है, तो Intune निर्भरता को हल नहीं कर सकता है।

शमन: अपने असाइनमेंट का ऑडिट करें। सुनिश्चित करें कि ट्रस्टेड रूट, SCEP और WiFi प्रोफाइल सभी बिल्कुल एक ही Azure AD समूह में डिप्लॉय किए गए हैं।

समस्या: NDES 403 Forbidden त्रुटियां

लक्षण: डिवाइस SCEP सर्टिफिकेट प्राप्त करने में विफल रहते हैं, और NDES IIS लॉग HTTP 403 त्रुटियां दिखाते हैं।

मूल कारण: Intune सर्टिफिकेट कनेक्टर सेवा खाते में सर्टिफिकेट टेम्पलेट पर आवश्यक अनुमतियों की कमी है, या आपके फ़ायरवॉल पर URL फ़िल्टरिंग SCEP द्वारा उपयोग किए जाने वाले विशिष्ट क्वेरी स्ट्रिंग मापदंडों को अवरुद्ध कर रही है।

शमन: सत्यापित करें कि कनेक्टर खाते के पास CA टेम्पलेट पर 'Read' और 'Enroll' अनुमतियां हैं। यह सुनिश्चित करने के लिए फ़ायरवॉल लॉग की जांच करें कि ?operation=GetCACaps वाले URL अवरुद्ध नहीं किए जा रहे हैं।

ROI और व्यावसायिक प्रभाव

Microsoft Intune 802.1X सर्टिफिकेट डिप्लॉयमेंट पर संक्रमण सुरक्षा और संचालन में मापने योग्य रिटर्न प्रदान करता है।

  1. हेल्पडेस्क टिकटों में कमी: पासवर्ड-आधारित WiFi बड़ी मात्रा में सपोर्ट टिकट (पासवर्ड की समाप्ति, लॉकआउट, टाइपो) उत्पन्न करता है। सर्टिफिकेट-आधारित ऑथेंटिकेशन उपयोगकर्ता के लिए अदृश्य है, जो आमतौर पर WiFi से संबंधित हेल्पडेस्क वॉल्यूम को 70-80% तक कम कर देता है।
  2. उन्नत सुरक्षा स्थिति: EAP-TLS क्रेडेंशियल हार्वेस्टिंग और मैन-इन-द-मिडल (MitM) हमलों के जोखिम को समाप्त करता है। यह PCI DSS और GDPR जैसे अनुपालन ढांचों के लिए महत्वपूर्ण है, विशेष रूप से Healthcare और रिटेल वातावरण में।
  3. निर्बाध ऑनबोर्डिंग: Windows के साथ-साथ Apple उपकरणों के बड़े बेड़े का प्रबंधन करने वाले संगठनों के लिए, मौजूदा MDM वर्कफ़्लो के साथ Intune को एकीकृत करना (देखें हमारी गाइड Jamf and RADIUS: Certificate-Based WiFi Authentication for Apple Device Fleets ) पहले दिन से ही एक एकीकृत, ज़ीरो-टच प्रोविज़निंग अनुभव सुनिश्चित करता है।

मुख्य परिभाषाएं

SCEP (Simple Certificate Enrollment Protocol)

एक प्रोटोकॉल जो उपकरणों को सर्टिफिकेट अथॉरिटी से डिजिटल सर्टिफिकेट का अनुरोध करने की अनुमति देता है, जहां प्राइवेट की डिवाइस पर ही सुरक्षित रूप से उत्पन्न और संग्रहीत की जाती है।

अपनी उच्च सुरक्षा और स्केलेबिलिटी के कारण WiFi ऑथेंटिकेशन सर्टिफिकेट डिप्लॉय करने के लिए अनुशंसित विधि।

PKCS (Public Key Cryptography Standards)

मानकों का एक सेट जहां पब्लिक और प्राइवेट दोनों की (keys) सर्टिफिकेट अथॉरिटी द्वारा उत्पन्न की जाती हैं और फिर सुरक्षित रूप से एंडपॉइंट पर वितरित की जाती हैं।

अक्सर S/MIME ईमेल एन्क्रिप्शन के लिए उपयोग किया जाता है, लेकिन प्राइवेट की के नेटवर्क ट्रांसमिशन के कारण WiFi के लिए कम आदर्श है।

NDES (Network Device Enrollment Service)

एक Microsoft Windows Server भूमिका जो एक ब्रिज के रूप में कार्य करती है, जिससे डोमेन क्रेडेंशियल के बिना डिवाइस SCEP के माध्यम से सर्टिफिकेट प्राप्त कर सकते हैं।

Microsoft Intune के साथ SCEP सर्टिफिकेट डिप्लॉयमेंट लागू करते समय एक आवश्यक इंफ्रास्ट्रक्चर घटक।

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

सबसे सुरक्षित 802.1X ऑथेंटिकेशन विधि, जिसमें सर्वर और क्लाइंट दोनों को वैध डिजिटल सर्टिफिकेट प्रस्तुत करने की आवश्यकता होती है।

लक्षित ऑथेंटिकेशन प्रोटोकॉल जिसे सक्षम करने के लिए Intune WiFi और सर्टिफिकेट प्रोफाइल डिज़ाइन किए गए हैं।

CRL (Certificate Revocation List)

सर्टिफिकेट अथॉरिटी द्वारा प्रकाशित एक सूची जिसमें उन सर्टिफिकेट के सीरियल नंबर होते हैं जिन्हें उनकी समाप्ति तिथि से पहले रद्द कर दिया गया है।

सुरक्षा के लिए महत्वपूर्ण; RADIUS सर्वरों को यह सुनिश्चित करने के लिए CRL की जांच करनी चाहिए कि सेवामुक्त कर्मचारी अन्यथा वैध सर्टिफिकेट का उपयोग करके WiFi का उपयोग न कर सकें।

Intune Certificate Connector

ऑन-प्रिमाइसेस Windows Server पर स्थापित एक सॉफ़्टवेयर एजेंट जो Microsoft Intune और आंतरिक सर्टिफिकेट अथॉरिटी के बीच अनुरोधों की मध्यस्थता करता है।

SCEP (अनुरोधों को मान्य करने के लिए) और PKCS (कीज़ निर्यात करने के लिए) दोनों डिप्लॉयमेंट के लिए आवश्यक।

Subject Alternative Name (SAN)

एक डिजिटल सर्टिफिकेट का विस्तार जो सर्टिफिकेट के साथ कई मानों (जैसे UPN, ईमेल, या MAC पता) को जोड़ने की अनुमति देता है।

यह सुनिश्चित करने के लिए Intune SCEP प्रोफाइल में कॉन्फ़िगर किया गया कि RADIUS सर्वर उपयोगकर्ता या डिवाइस की सटीक पहचान कर सके।

Azure AD Application Proxy

एक विशेषता जो VPN की आवश्यकता या इनबाउंड फ़ायरवॉल पोर्ट खोले बिना ऑन-प्रिमाइसेस वेब अनुप्रयोगों तक सुरक्षित रिमोट एक्सेस प्रदान करती है।

रिमोट डिवाइस एनरोलमेंट के लिए इंटरनेट पर आंतरिक NDES सर्वर URL को सुरक्षित रूप से प्रकाशित करने की सर्वोत्तम अभ्यास विधि।

हल किए गए उदाहरण

500 स्थानों वाली एक राष्ट्रीय रिटेल श्रृंखला अपने स्टोर सहयोगी टैबलेट (Android Enterprise समर्पित डिवाइस) के लिए WPA2-Personal (प्री-शेयर्ड की) से WPA3-Enterprise पर माइग्रेट कर रही है। वे MDM के लिए Intune का उपयोग करते हैं। उन्हें सर्टिफिकेट डिप्लॉयमेंट को कैसे आर्किटेक्ट करना चाहिए?

  1. Azure AD App Proxy के माध्यम से प्रकाशित एक NDES सर्वर डिप्लॉय करें।
  2. Intune में एक डिवाइस-आधारित SCEP सर्टिफिकेट प्रोफाइल बनाएं, क्योंकि ये समर्पित (कियोस्क) डिवाइस हैं जो किसी विशिष्ट उपयोगकर्ता से बंधे नहीं हैं। विषय नाम (Subject Name) के लिए CN={{AAD_Device_ID}} का उपयोग करें।
  3. रूट CA प्रोफाइल को 'All Store Tablets' Azure AD डिवाइस समूह में डिप्लॉय करें।
  4. SCEP प्रोफाइल को उसी 'All Store Tablets' समूह में डिप्लॉय करें।
  5. SCEP प्रोफाइल का संदर्भ देते हुए WPA3-Enterprise, EAP-TLS के लिए कॉन्फ़िगर किया गया एक WiFi प्रोफाइल बनाएं, और इसे उसी समूह में डिप्लॉय करें।
  6. Active Directory कंप्यूटर ऑब्जेक्ट्स के विरुद्ध डिवाइस सर्टिफिकेट को प्रमाणित करने के लिए केंद्रीय RADIUS सर्वरों को कॉन्फ़िगर करें।
परीक्षक की टिप्पणी: यह दृष्टिकोण सही ढंग से पहचानता है कि समर्पित उपकरणों के लिए डिवाइस-आधारित (उपयोगकर्ता-आधारित नहीं) सर्टिफिकेट की आवश्यकता होती है। तीनों प्रोफाइलों में लगातार डिवाइस समूहों को लक्षित करके, आर्किटेक्ट सबसे आम Intune डिप्लॉयमेंट विफलता से बचता है। NDES के लिए Azure AD App Proxy का उपयोग यह सुनिश्चित करता है कि टैबलेट बिना VPN के सुरक्षित रूप से सर्टिफिकेट का नवीनीकरण कर सकें।

एक बड़ा सम्मेलन केंद्र अपने [WiFi Analytics](/products/wifi-analytics) और Guest WiFi के लिए Purple का उपयोग करता है, लेकिन उन्हें अपने आंतरिक कर्मचारी नेटवर्क को सुरक्षित करने की आवश्यकता है। कर्मचारी कॉर्पोरेट-स्वामित्व वाले Windows लैपटॉप और BYOD iOS उपकरणों के मिश्रण का उपयोग करते हैं। वे BYOD उपकरणों के लिए Intune डिप्लॉयमेंट को कैसे संभालते हैं?

  1. BYOD उपयोगकर्ताओं को Intune उपयोगकर्ता एनरोलमेंट (एक सुरक्षित कार्य विभाजन बनाना) के माध्यम से अपने iOS उपकरणों को नामांकित करने की आवश्यकता होगी।
  2. CN={{UserPrincipalName}} का उपयोग करके एक उपयोगकर्ता-आधारित SCEP सर्टिफिकेट प्रोफाइल बनाएं।
  3. रूट CA, SCEP और WiFi प्रोफाइलों को एक Azure AD उपयोगकर्ता समूह (जैसे, 'All Staff') में डिप्लॉय करें।
  4. जब उपयोगकर्ता अपने व्यक्तिगत डिवाइस को नामांकित करता है, तो Intune विशेष रूप से प्रबंधित कार्य विभाजन (work partition) में प्रोफाइल पुश करता है।
  5. डिवाइस उपयोगकर्ता की पहचान का उपयोग करके स्टाफ SSID से कनेक्ट होता है, जिससे RADIUS सर्वर को उनकी AD समूह सदस्यता के आधार पर भूमिका-आधारित एक्सेस कंट्रोल (VLAN असाइनमेंट) लागू करने की अनुमति मिलती है।
परीक्षक की टिप्पणी: यह समाधान गोपनीयता-संरक्षण BYOD प्रबंधन के लिए उपयोगकर्ता एनरोलमेंट को सही ढंग से लागू करता है। उपयोगकर्ता समूहों को लक्षित करके, सर्टिफिकेट कर्मचारी के साथ चलते हैं, चाहे वे किसी भी डिवाइस को नामांकित करें। RADIUS के माध्यम से भूमिका-आधारित एक्सेस कंट्रोल का एकीकरण उन्नत नेटवर्क डिज़ाइन को प्रदर्शित करता है।

अभ्यास प्रश्न

Q1. आपने अपने Windows 10 उपकरणों पर रूट CA, SCEP और WiFi प्रोफाइल डिप्लॉय किए हैं। सर्टिफिकेट सफलतापूर्वक इंस्टॉल हो जाते हैं, लेकिन WiFi प्रोफाइल लागू होने में विफल रहती है, जिससे Intune कंसोल में 'Error' दिखाई देता है। इसका सबसे संभावित कारण क्या है?

संकेत: जांचें कि प्रोफाइल Azure AD समूहों को कैसे सौंपी गई हैं।

मॉडल उत्तर देखें

सबसे संभावित कारण समूह लक्ष्यीकरण (group targeting) में बेमेल होना है। यदि SCEP प्रोफाइल किसी उपयोगकर्ता समूह (User Group) को सौंपी गई थी, लेकिन WiFi प्रोफाइल किसी डिवाइस समूह (Device Group) को सौंपी गई थी, तो Intune उनके बीच की निर्भरता को हल नहीं कर सकता है। तीनों प्रोफाइलों (रूट, SCEP, WiFi) को बिल्कुल एक ही समूह प्रकार पर लक्षित किया जाना चाहिए।

Q2. आपकी सुरक्षा टीम का आदेश है कि प्राइवेट की को कभी भी नेटवर्क पर प्रसारित नहीं किया जाना चाहिए, भले ही वह एन्क्रिप्टेड हो। आपको Intune में किस सर्टिफिकेट डिप्लॉयमेंट विधि का उपयोग करना चाहिए, और किस अतिरिक्त इंफ्रास्ट्रक्चर सर्वर की आवश्यकता है?

संकेत: सोचें कि की (key) जोड़ी कहाँ उत्पन्न होती है।

मॉडल उत्तर देखें

आपको SCEP (Simple Certificate Enrollment Protocol) का उपयोग करना चाहिए। चूंकि SCEP एंडपॉइंट डिवाइस को स्थानीय रूप से प्राइवेट की उत्पन्न करने का निर्देश देता है, इसलिए यह कभी भी नेटवर्क से नहीं गुजरती है। इस डिप्लॉयमेंट के लिए सर्टिफिकेट अथॉरिटी के लिए ब्रिज के रूप में कार्य करने के लिए एक नेटवर्क डिवाइस एनरोलमेंट सर्विस (NDES) सर्वर की आवश्यकता होती है।

Q3. एक रिमोट कर्मचारी Windows Autopilot के माध्यम से घर पर एक नया लैपटॉप प्रोविज़न करता है। Intune प्रोफाइल सफलतापूर्वक डिप्लॉय हो जाते हैं, लेकिन डिवाइस SCEP सर्टिफिकेट प्राप्त करने में विफल रहता है। कौन सा इंफ्रास्ट्रक्चर कॉन्फ़िगरेशन संभवतः गायब है?

संकेत: डिवाइस इंटरनेट से आंतरिक CA तक कैसे पहुंचता है?

मॉडल उत्तर देखें

NDES सर्वर संभवतः इंटरनेट पर प्रकाशित नहीं किया गया है। कॉर्पोरेट कार्यालय पहुंचने से पहले रिमोट उपकरणों द्वारा सर्टिफिकेट का अनुरोध करने के लिए, NDES URL बाहरी रूप से सुलभ होना चाहिए, आदर्श रूप से Azure AD Application Proxy के माध्यम से सुरक्षित रूप से प्रकाशित होना चाहिए।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN एक्सेस पॉइंट्स का एकीकरण

यह आधिकारिक तकनीकी संदर्भ मार्गदर्शिका विस्तार से बताती है कि Grandstream GWN एक्सेस पॉइंट्स को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। इसमें Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, वॉल्ड गार्डन सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल हैं - जो बड़े पैमाने पर गेस्ट और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →

Cisco WLC और Catalyst एकीकरण: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Cisco WLC और Catalyst 9800 वायरलेस के Purple के साथ चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक स्थानों में Cisco इन्फ्रास्ट्रक्चर को लागू करने वाले एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखा गया है।

गाइड पढ़ें →

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर इंटीग्रेशन

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण इंटीग्रेशन प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क (Identity-Based Network) बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।

गाइड पढ़ें →