मुख्य सामग्री पर जाएं
हिन्दी

SCEP और PKCS के माध्यम से Microsoft Intune WiFi प्रमाणपत्र परिनियोजन

यह मार्गदर्शिका SCEP और PKCS का उपयोग करके Microsoft Intune के माध्यम से WiFi प्रमाणीकरण प्रमाणपत्रों को तैनात करने के लिए चरण-दर-चरण तकनीकी संदर्भ प्रदान करती है। इसे एंटरप्राइज़ वातावरण में निर्बाध, सुरक्षित कनेक्टिविटी सुनिश्चित करने के लिए पासवर्ड रहित 802.1X WiFi लागू करने वाले IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए डिज़ाइन किया गया है।

📖 6 मिनट का पाठ📝 1,299 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

header_image.png

कार्यकारी सारांश

एंटरप्राइज़ स्थानों के लिए—चाहे वह हलचल भरा Hospitality वातावरण हो, मल्टी-साइट Retail संचालन हो, या एक आधुनिक कॉर्पोरेट कैंपस हो—कर्मचारियों के WiFi के लिए प्री-शेयर्ड कीज़ या बुनियादी कैप्टिव पोर्टलों पर निर्भर रहना एक सुरक्षा जोखिम और परिचालन संबंधी बाधा है। आधुनिक नेटवर्क आर्किटेक्चर EAP-TLS का उपयोग करके 802.1X प्रमाणीकरण की मांग करता है, जिससे यह सुनिश्चित होता है कि नेटवर्क तक पहुँचने से पहले प्रत्येक डिवाइस को क्रिप्टोग्राफ़िक रूप से सत्यापित किया जाए।

हालांकि, चुनौती वितरण में है: आप अपने हेल्पडेस्क को सपोर्ट टिकटों में डुबोए बिना हजारों Windows, iOS और Android डिवाइसों पर अद्वितीय क्लाइंट प्रमाणपत्र कैसे तैनात करते हैं? Microsoft Intune स्वचालित प्रमाणपत्र जीवनचक्र प्रबंधन के माध्यम से इसे हल करता है। SCEP (Simple Certificate Enrollment Protocol) या PKCS (Public Key Cryptography Standards) प्रमाणपत्र प्रोफाइल का लाभ उठाकर, IT टीमें प्रबंधित एंडपॉइंट्स पर चुपचाप विश्वसनीय रूट और क्लाइंट प्रमाणपत्र भेज सकती हैं।

यह मार्गदर्शिका Intune WiFi प्रमाणपत्र परिनियोजन के लिए एक निश्चित आर्किटेक्चरल ब्लूप्रिंट और चरण-दर-चरण कार्यान्वयन रणनीति प्रदान करती है। हम SCEP और PKCS के बीच महत्वपूर्ण अंतरों का पता लगाएंगे, सफलता के लिए आवश्यक सटीक परिनियोजन अनुक्रम का विवरण देंगे, और यह सुनिश्चित करने के लिए वास्तविक दुनिया की जोखिम शमन रणनीतियों को रेखांकित करेंगे कि आपका Guest WiFi और कॉर्पोरेट नेटवर्क सुरक्षित और प्रदर्शन-उन्मुख बने रहें।

साथी पॉडकास्ट ब्रीफिंग सुनें: microsoft_intune_wifi_certificate_deployment_via_scep_and_pkcs_podcast.wav

तकनीकी गहन विश्लेषण: SCEP बनाम PKCS

अपनी Intune WiFi प्रमाणपत्र परिनियोजन रणनीति को डिज़ाइन करते समय, पहला आर्किटेक्चरल निर्णय प्रमाणपत्र वितरण तंत्र का चयन करना होता है। Intune, SCEP और PKCS दोनों का समर्थन करता है, लेकिन वे मौलिक रूप से भिन्न तरीके से काम करते हैं।

SCEP (Simple Certificate Enrollment Protocol)

SCEP एंटरप्राइज़ डिवाइस नामांकन के लिए उद्योग मानक है। एक SCEP वर्कफ़्लो में, Intune सेवा एंडपॉइंट को अपनी खुद की प्राइवेट/पब्लिक की जोड़ी बनाने का निर्देश देती है। इसके बाद डिवाइस एक प्रमाणपत्र हस्ताक्षर अनुरोध (CSR) बनाता है और इसे नेटवर्क डिवाइस नामांकन सेवा (NDES) सर्वर के माध्यम से आपके प्रमाणपत्र प्राधिकरण (CA) को भेजता है। CA अनुरोध पर हस्ताक्षर करता है और डिवाइस को सार्वजनिक प्रमाणपत्र वापस कर देता है।

SCEP का महत्वपूर्ण सुरक्षा लाभ यह है कि प्राइवेट की कभी भी डिवाइस से बाहर नहीं जाती है। यह स्थानीय रूप से उत्पन्न होती है, डिवाइस के सुरक्षित एन्क्लेव (जैसे Windows पर TPM या iOS पर Secure Enclave) में संग्रहीत होती है, और इसे कभी भी नेटवर्क पर प्रसारित नहीं किया जाता है। यह SCEP को 802.1X प्रमाणीकरण के लिए अत्यधिक अनुशंसित दृष्टिकोण बनाता है।

PKCS (Public Key Cryptography Standards)

इसके विपरीत, PKCS के साथ, प्रमाणपत्र प्राधिकरण केंद्रीय रूप से सार्वजनिक और निजी दोनों कीज़ उत्पन्न करता है। इसके बाद Microsoft Intune Certificate Connector इस की जोड़ी को सुरक्षित रूप से निर्यात करता है और इसे लक्षित डिवाइस पर भेजता है।

जबकि PKCS एक NDES सर्वर को तैनात करने और बनाए रखने की आवश्यकता को समाप्त करता है—जिससे बुनियादी ढांचे का पदचिह्न सरल हो जाता है—यह एक सैद्धांतिक सुरक्षा जोखिम पैदा करता है क्योंकि प्राइवेट की को नेटवर्क पर प्रसारित किया जाता है। PKCS आम तौर पर उन उपयोग के मामलों के लिए बेहतर अनुकूल है जहां की एस्क्रो की आवश्यकता होती है, जैसे कि S/MIME ईमेल एन्क्रिप्शन, न कि नेटवर्क प्रमाणीकरण के लिए।

scep_vs_pkcs_comparison.png

कार्यान्वयन मार्गदर्शिका: परिनियोजन अनुक्रम

802.1X के लिए Intune WiFi प्रोफ़ाइल को सफलतापूर्वक कॉन्फ़िगर करने के लिए एक विशिष्ट परिनियोजन अनुक्रम का कड़ाई से पालन करना आवश्यक है। Intune प्रोफ़ाइल निर्भरताएँ यह निर्देश देती हैं कि प्रमाणीकरण कॉन्फ़िगर करने से पहले विश्वास स्थापित किया जाना चाहिए।

चरण 1: विश्वसनीय रूट प्रमाणपत्र प्रोफ़ाइल तैनात करें

इससे पहले कि कोई भी डिवाइस क्लाइंट प्रमाणपत्र का अनुरोध कर सके या आपके RADIUS सर्वर पर भरोसा कर सके, उसे जारी करने वाले प्रमाणपत्र प्राधिकरण (CA) पर भरोसा करना चाहिए।

  1. अपने रूट CA प्रमाणपत्र (और किसी भी मध्यवर्ती CA प्रमाणपत्र) को .cer फ़ाइलों के रूप में निर्यात करें।
  2. Microsoft Endpoint Manager व्यवस्थापक केंद्र में, Devices > Configuration profiles > Create profile पर जाएं।
  3. लक्षित प्लेटफ़ॉर्म (जैसे, Windows 10 और बाद के संस्करण) का चयन करें और Trusted certificate प्रोफ़ाइल प्रकार चुनें।
  4. .cer फ़ाइल अपलोड करें और इस प्रोफ़ाइल को अपने लक्षित डिवाइस समूहों में तैनात करें।

अंगूठे का नियम: परिनियोजन बेमेल को रोकने के लिए हमेशा सभी संबंधित प्रोफाइल में समान समूहों (या तो उपयोगकर्ताओं या उपकरणों) को लक्षित करें।

चरण 2: SCEP प्रमाणपत्र प्रोफ़ाइल कॉन्फ़िगर करें

एक बार विश्वास स्थापित हो जाने पर, उपकरणों को उनके क्लाइंट प्रमाणपत्र प्राप्त करने के निर्देश देने के लिए SCEP प्रोफ़ाइल को कॉन्फ़िगर करें।

  1. एक नई कॉन्फ़िगरेशन प्रोफ़ाइल बनाएं और SCEP certificate चुनें।
  2. Subject name format कॉन्फ़िगर करें। उपयोगकर्ता-संचालित प्रमाणीकरण के लिए, CN={{UserPrincipalName}} मानक है। डिवाइस प्रमाणीकरण के लिए, CN={{AAD_Device_ID}} का उपयोग करें।
  3. Key usage को Digital signature और Key encipherment पर सेट करें।
  4. Extended key usage के अंतर्गत, Client Authentication (OID: 1.3.6.1.5.5.7.3.2) निर्दिष्ट करें।
  5. इस प्रोफ़ाइल को चरण 1 में बनाई गई विश्वसनीय रूट प्रमाणपत्र प्रोफ़ाइल से लिंक करें।
  6. अपने NDES सर्वर का बाहरी URL प्रदान करें।

चरण 3: 802.1X WiFi प्रोफ़ाइल तैनात करें

अंतिम चरण WiFi कॉन्फ़िगरेशन को पुश करना है जो प्रमाणपत्रों को नेटवर्क SSID से जोड़ता है।

  1. एक WiFi कॉन्फ़िगरेशन प्रोफ़ाइल बनाएं।
  2. Network name (SSID) ठीक वैसे ही दर्ज करें जैसे यह आपके Wireless Access Points द्वारा प्रसारित किया जाता है।
  3. सुरक्षा प्रकार के रूप में WPA2-Enterprise या WPA3-Enterprise चुनें।
  4. EAP type को EAP-TLS पर सेट करें।
  5. प्रमाणीकरण सेटिंग्स में, क्लाइंट प्रमाणीकरण प्रमाणपत्र के रूप में चरण 2 में बनाई गई SCEP प्रमाणपत्र प्रोफ़ाइल का चयन करें।
  6. सर्वर सत्यापन के लिए विश्वसनीय रूट प्रमाणपत्र निर्दिष्ट करें ताकि यह सुनिश्चित हो सके कि डिवाइस केवल आपके वैध RADIUS सर्वर से कनेक्ट हो।

architecture_overview.png

सर्वोत्तम प्रथाएं और उद्योग मानक

Intune WiFi प्रमाणपत्र परिनियोजन को लागू करते समय, अनुपालन और विश्वसनीयता सुनिश्चित करने के लिए निम्नलिखित विक्रेता-तटस्थ सर्वोत्तम प्रथाओं का पालन करें।

NDES सर्वर प्लेसमेंट और सुरक्षा

NDES सर्वर इंटरनेट से सुलभ होना चाहिए ताकि दूरस्थ उपकरणों को साइट पर आने से पहले प्रमाणपत्रों का प्रावधान करने की अनुमति मिल सके। हालांकि, किसी आंतरिक सर्वर को सीधे इंटरनेट पर उजागर करना एक महत्वपूर्ण सुरक्षा जोखिम है।

अनुशंसा: Azure AD Application Proxy का उपयोग करके NDES URL प्रकाशित करें। यह इनबाउंड फ़ायरवॉल पोर्ट खोले बिना सुरक्षित दूरस्थ पहुँच प्रदान करता है और आपको नामांकन प्रवाह पर Conditional Access नीतियां लागू करने की अनुमति देता है।

RADIUS और CRL जाँच

प्रमाणपत्र परिनियोजन सुरक्षा समीकरण का केवल आधा हिस्सा है; निरसन भी उतना ही महत्वपूर्ण है। यदि किसी कर्मचारी को बर्खास्त कर दिया जाता है, तो उनके Active Directory खाते को अक्षम करने से उनकी WiFi पहुँच तुरंत रद्द नहीं हो सकती है यदि उनका क्लाइंट प्रमाणपत्र वैध रहता है और RADIUS सर्वर प्रमाणपत्र निरसन सूची (CRL) की कड़ाई से जाँच नहीं कर रहा है।

अनुशंसा: सख्त CRL जाँच लागू करने के लिए अपने नेटवर्क नीति सर्वर (NPS) या RADIUS सर्वर को कॉन्फ़िगर करें। सुनिश्चित करें कि आपके CRL वितरण बिंदु (CDPs) अत्यधिक उपलब्ध हैं; यदि RADIUS सर्वर CRL तक नहीं पहुँच पाता है, तो प्रमाणीकरण विफल हो जाएगा, जिससे व्यापक आउटेज हो सकता है।

सुरक्षित नेटवर्क डिज़ाइन पर अधिक जानकारी के लिए, The Core SD WAN Benefits for Modern Businesses की समीक्षा करने पर विचार करें।

समस्या निवारण और जोखिम शमन

सावधानीपूर्वक योजना बनाने के बावजूद, प्रमाणपत्र परिनियोजन में समस्याओं का सामना करना पड़ सकता है। यहाँ सामान्य विफलता मोड और शमन रणनीतियाँ दी गई हैं।

समस्या: WiFi प्रोफ़ाइल लागू होने में विफल

लक्षण: डिवाइस को विश्वसनीय रूट और SCEP प्रमाणपत्र प्राप्त होते हैं, लेकिन WiFi प्रोफ़ाइल Intune में 'Error' या 'Not Applicable' के रूप में दिखाई देती है।

मूल कारण: यह लगभग हमेशा समूह लक्ष्यीकरण में बेमेल होने के कारण होता है। यदि SCEP प्रोफ़ाइल किसी उपयोगकर्ता समूह को सौंपी गई है, लेकिन WiFi प्रोफ़ाइल किसी डिवाइस समूह को सौंपी गई है, तो Intune निर्भरता को हल नहीं कर सकता है।

शमन: अपने असाइनमेंट का ऑडिट करें। सुनिश्चित करें कि विश्वसनीय रूट, SCEP और WiFi प्रोफाइल सभी बिल्कुल एक ही Azure AD समूह में तैनात किए गए हैं।

समस्या: NDES 403 Forbidden त्रुटियाँ

लक्षण: डिवाइस SCEP प्रमाणपत्र प्राप्त करने में विफल रहते हैं, और NDES IIS लॉग HTTP 403 त्रुटियां दिखाते हैं।

मूल कारण: Intune Certificate Connector सेवा खाते में प्रमाणपत्र टेम्पलेट पर आवश्यक अनुमतियों की कमी है, या आपके फ़ायरवॉल पर URL फ़िल्टरिंग SCEP द्वारा उपयोग किए जाने वाले विशिष्ट क्वेरी स्ट्रिंग मापदंडों को अवरुद्ध कर रही है।

शमन: सत्यापित करें कि कनेक्टर खाते के पास CA टेम्पलेट पर 'Read' और 'Enroll' अनुमतियां हैं। यह सुनिश्चित करने के लिए फ़ायरवॉल लॉग की जाँच करें कि ?operation=GetCACaps वाले URL अवरुद्ध नहीं किए जा रहे हैं।

ROI और व्यावसायिक प्रभाव

Microsoft Intune 802.1X प्रमाणपत्र परिनियोजन पर संक्रमण सुरक्षा और संचालन में मापने योग्य रिटर्न प्रदान करता है।

  1. हेल्पडेस्क टिकटों में कमी: पासवर्ड-आधारित WiFi बड़ी मात्रा में सपोर्ट टिकट (पासवर्ड की समाप्ति, लॉकआउट, टाइपो) उत्पन्न करता है। प्रमाणपत्र-आधारित प्रमाणीकरण उपयोगकर्ता के लिए अदृश्य है, जो आमतौर पर WiFi से संबंधित हेल्पडेस्क वॉल्यूम को 70-80% तक कम कर देता है।
  2. उन्नत सुरक्षा स्थिति: EAP-TLS क्रेडेंशियल हार्वेस्टिंग और मैन-इन-द-मिडल (MitM) हमलों के जोखिम को समाप्त करता है। यह PCI DSS और GDPR जैसे ढांचों के अनुपालन के लिए महत्वपूर्ण है, विशेष रूप से Healthcare और खुदरा वातावरण में।
  3. निर्बाध ऑनबोर्डिंग: Windows के साथ Apple उपकरणों के बड़े बेड़े का प्रबंधन करने वाले संगठनों के लिए, मौजूदा MDM वर्कफ़्लो के साथ Intune को एकीकृत करना (हमारी मार्गदर्शिका Jamf and RADIUS: Certificate-Based WiFi Authentication for Apple Device Fleets देखें) पहले दिन से ही एक एकीकृत, ज़ीरो-टच प्रोविज़निंग अनुभव सुनिश्चित करता है।

मुख्य परिभाषाएं

SCEP (Simple Certificate Enrollment Protocol)

एक प्रोटोकॉल जो उपकरणों को प्रमाणपत्र प्राधिकरण (CA) से डिजिटल प्रमाणपत्रों का अनुरोध करने की अनुमति देता है, जहां निजी की डिवाइस पर ही सुरक्षित रूप से उत्पन्न और संग्रहीत होती है।

इसकी उच्च सुरक्षा और मापनीयता के कारण WiFi प्रमाणीकरण प्रमाणपत्रों को तैनात करने के लिए अनुशंसित विधि।

PKCS (Public Key Cryptography Standards)

मानकों का एक सेट जहां सार्वजनिक और निजी दोनों कीज़ प्रमाणपत्र प्राधिकरण द्वारा उत्पन्न की जाती हैं और फिर सुरक्षित रूप से एंडपॉइंट पर वितरित की जाती हैं।

अक्सर S/MIME ईमेल एन्क्रिप्शन के लिए उपयोग किया जाता है, लेकिन निजी की के नेटवर्क ट्रांसमिशन के कारण WiFi के लिए कम आदर्श है।

NDES (Network Device Enrollment Service)

एक Microsoft Windows Server भूमिका जो एक ब्रिज के रूप में कार्य करती है, जिससे डोमेन क्रेडेंशियल के बिना उपकरणों को SCEP के माध्यम से प्रमाणपत्र प्राप्त करने की अनुमति मिलती है।

Microsoft Intune के साथ SCEP प्रमाणपत्र परिनियोजन को लागू करते समय एक आवश्यक बुनियादी ढांचा घटक।

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

सबसे सुरक्षित 802.1X प्रमाणीकरण विधि, जिसमें सर्वर और क्लाइंट दोनों को वैध डिजिटल प्रमाणपत्र प्रस्तुत करने की आवश्यकता होती है।

लक्षित प्रमाणीकरण प्रोटोकॉल जिसे सक्षम करने के लिए Intune WiFi और प्रमाणपत्र प्रोफाइल डिज़ाइन किए गए हैं।

CRL (Certificate Revocation List)

प्रमाणपत्र प्राधिकरण द्वारा प्रकाशित एक सूची जिसमें उन प्रमाणपत्रों के सीरियल नंबर होते हैं जिन्हें उनकी समाप्ति तिथि से पहले रद्द कर दिया गया है।

सुरक्षा के लिए महत्वपूर्ण; RADIUS सर्वर को यह सुनिश्चित करने के लिए CRL की जाँच करनी चाहिए कि बर्खास्त कर्मचारी अन्यथा वैध प्रमाणपत्र का उपयोग करके WiFi तक पहुँच न सकें।

Intune Certificate Connector

ऑन-प्रिमाइसेस Windows Server पर स्थापित एक सॉफ़्टवेयर एजेंट जो Microsoft Intune और आंतरिक प्रमाणपत्र प्राधिकरण के बीच अनुरोधों की मध्यस्थता करता है।

SCEP (अनुरोधों को मान्य करने के लिए) और PKCS (कीज़ निर्यात करने के लिए) दोनों परिनियोजनों के लिए आवश्यक।

Subject Alternative Name (SAN)

एक डिजिटल प्रमाणपत्र का विस्तार जो प्रमाणपत्र के साथ कई मानों (जैसे UPN, ईमेल, या MAC पता) को संबद्ध करने की अनुमति देता है।

यह सुनिश्चित करने के लिए Intune SCEP प्रोफ़ाइल में कॉन्फ़िगर किया गया है कि RADIUS सर्वर उपयोगकर्ता या डिवाइस की सटीक पहचान कर सके।

Azure AD Application Proxy

एक विशेषता जो VPN की आवश्यकता या इनबाउंड फ़ायरवॉल पोर्ट खोले बिना ऑन-प्रिमाइसेस वेब अनुप्रयोगों तक सुरक्षित दूरस्थ पहुँच प्रदान करती है।

दूरस्थ डिवाइस नामांकन के लिए इंटरनेट पर आंतरिक NDES सर्वर URL को सुरक्षित रूप से प्रकाशित करने की सर्वोत्तम अभ्यास विधि।

हल किए गए उदाहरण

500 स्थानों वाली एक राष्ट्रीय खुदरा श्रृंखला अपने स्टोर सहयोगी टैबलेट (Android Enterprise समर्पित डिवाइस) के लिए WPA2-Personal (प्री-शेयर्ड की) से WPA3-Enterprise पर माइग्रेट कर रही है। वे MDM के लिए Intune का उपयोग करते हैं। उन्हें प्रमाणपत्र परिनियोजन को कैसे आर्किटेक्ट करना चाहिए?

  1. Azure AD App Proxy के माध्यम से प्रकाशित एक NDES सर्वर तैनात करें।
  2. Intune में एक डिवाइस-आधारित SCEP प्रमाणपत्र प्रोफ़ाइल बनाएं, क्योंकि ये समर्पित (कियोस्क) डिवाइस हैं जो किसी विशिष्ट उपयोगकर्ता से जुड़े नहीं हैं। विषय नाम के लिए CN={{AAD_Device_ID}} का उपयोग करें।
  3. रूट CA प्रोफ़ाइल को 'All Store Tablets' Azure AD डिवाइस समूह में तैनात करें।
  4. SCEP प्रोफ़ाइल को उसी 'All Store Tablets' समूह में तैनात करें।
  5. SCEP प्रोफ़ाइल का संदर्भ देते हुए WPA3-Enterprise, EAP-TLS के लिए कॉन्फ़िगर की गई एक WiFi प्रोफ़ाइल बनाएं और इसे उसी समूह में तैनात करें।
  6. Active Directory कंप्यूटर ऑब्जेक्ट्स के विरुद्ध डिवाइस प्रमाणपत्रों को प्रमाणित करने के लिए केंद्रीय RADIUS सर्वरों को कॉन्फ़िगर करें।
परीक्षक की टिप्पणी: यह दृष्टिकोण सही ढंग से पहचानता है कि समर्पित उपकरणों के लिए डिवाइस-आधारित (उपयोगकर्ता-आधारित नहीं) प्रमाणपत्रों की आवश्यकता होती है। तीनों प्रोफाइलों में लगातार डिवाइस समूहों को लक्षित करके, आर्किटेक्ट सबसे आम Intune परिनियोजन विफलता से बचता है। NDES के लिए Azure AD App Proxy का उपयोग करना यह सुनिश्चित करता है कि टैबलेट बिना VPN के सुरक्षित रूप से प्रमाणपत्रों को नवीनीकृत कर सकें।

एक बड़ा सम्मेलन केंद्र अपने [WiFi Analytics](/products/wifi-analytics) और Guest WiFi के लिए Purple का उपयोग करता है, लेकिन उन्हें अपने आंतरिक कर्मचारी नेटवर्क को सुरक्षित करने की आवश्यकता है। कर्मचारी कॉर्पोरेट-स्वामित्व वाले Windows लैपटॉप और BYOD iOS उपकरणों के मिश्रण का उपयोग करते हैं। वे BYOD उपकरणों के लिए Intune परिनियोजन को कैसे संभालते हैं?

  1. BYOD उपयोगकर्ताओं को Intune उपयोगकर्ता नामांकन (एक सुरक्षित कार्य विभाजन बनाकर) के माध्यम से अपने iOS उपकरणों को नामांकित करने की आवश्यकता है।
  2. CN={{UserPrincipalName}} का उपयोग करके एक उपयोगकर्ता-आधारित SCEP प्रमाणपत्र प्रोफ़ाइल बनाएं।
  3. रूट CA, SCEP और WiFi प्रोफाइल को Azure AD उपयोगकर्ता समूह (जैसे, 'All Staff') में तैनात करें।
  4. जब उपयोगकर्ता अपने व्यक्तिगत डिवाइस को नामांकित करता है, तो Intune विशेष रूप से प्रबंधित कार्य विभाजन में प्रोफाइल को पुश करता है।
  5. डिवाइस उपयोगकर्ता की पहचान का उपयोग करके स्टाफ SSID से कनेक्ट होता है, जिससे RADIUS सर्वर को उनकी AD समूह सदस्यता के आधार पर भूमिका-आधारित पहुँच नियंत्रण (VLAN असाइनमेंट) लागू करने की अनुमति मिलती है।
परीक्षक की टिप्पणी: यह समाधान गोपनीयता-संरक्षण BYOD प्रबंधन के लिए उपयोगकर्ता नामांकन को सही ढंग से लागू करता है। उपयोगकर्ता समूहों को लक्षित करके, प्रमाणपत्र कर्मचारी का अनुसरण करते हैं, चाहे वे किसी भी डिवाइस को नामांकित करें। RADIUS के माध्यम से भूमिका-आधारित पहुँच नियंत्रण का एकीकरण उन्नत नेटवर्क डिज़ाइन को प्रदर्शित करता है।

अभ्यास प्रश्न

Q1. आपने अपने Windows 10 उपकरणों पर रूट CA, SCEP और WiFi प्रोफाइल तैनात किए हैं। प्रमाणपत्र सफलतापूर्वक स्थापित हो जाते हैं, लेकिन WiFi प्रोफ़ाइल लागू होने में विफल रहती है, जो Intune कंसोल में 'Error' दिखाती है। सबसे संभावित कारण क्या है?

संकेत: जांचें कि प्रोफाइल Azure AD समूहों को कैसे सौंपे गए हैं।

मॉडल उत्तर देखें

सबसे संभावित कारण समूह लक्ष्यीकरण में बेमेल होना है। यदि SCEP प्रोफ़ाइल किसी उपयोगकर्ता समूह को सौंपी गई थी, लेकिन WiFi प्रोफ़ाइल किसी डिवाइस समूह को सौंपी गई थी, तो Intune उनके बीच की निर्भरता को हल नहीं कर सकता है। तीनों प्रोफाइल (रूट, SCEP, WiFi) को बिल्कुल एक ही समूह प्रकार पर लक्षित किया जाना चाहिए।

Q2. आपकी सुरक्षा टीम का आदेश है कि निजी कीज़ को कभी भी नेटवर्क पर प्रसारित नहीं किया जाना चाहिए, भले ही वे एन्क्रिप्टेड हों। आपको Intune में किस प्रमाणपत्र परिनियोजन विधि का उपयोग करना चाहिए, और किस अतिरिक्त बुनियादी ढांचा सर्वर की आवश्यकता है?

संकेत: सोचें कि की जोड़ी कहाँ उत्पन्न होती है।

मॉडल उत्तर देखें

आपको SCEP (Simple Certificate Enrollment Protocol) का उपयोग करना चाहिए। चूंकि SCEP एंडपॉइंट डिवाइस को स्थानीय रूप से निजी की उत्पन्न करने का निर्देश देता है, इसलिए यह कभी भी नेटवर्क को पार नहीं करता है। इस परिनियोजन के लिए प्रमाणपत्र प्राधिकरण के लिए एक ब्रिज के रूप में कार्य करने के लिए एक नेटवर्क डिवाइस नामांकन सेवा (NDES) सर्वर की आवश्यकता होती है।

Q3. एक दूरस्थ कर्मचारी Windows Autopilot के माध्यम से घर पर एक नया लैपटॉप प्रोविज़न करता है। Intune प्रोफाइल सफलतापूर्वक तैनात हो जाते हैं, लेकिन डिवाइस SCEP प्रमाणपत्र प्राप्त करने में विफल रहता है। कौन सा बुनियादी ढांचा कॉन्फ़िगरेशन संभवतः गायब है?

संकेत: डिवाइस इंटरनेट से आंतरिक CA तक कैसे पहुँचता है?

मॉडल उत्तर देखें

NDES सर्वर संभवतः इंटरनेट पर प्रकाशित नहीं हुआ है। कॉर्पोरेट कार्यालय पहुंचने से पहले दूरस्थ उपकरणों द्वारा प्रमाणपत्रों का अनुरोध करने के लिए, NDES URL बाहरी रूप से सुलभ होना चाहिए, आदर्श रूप से Azure AD Application Proxy के माध्यम से सुरक्षित रूप से प्रकाशित होना चाहिए।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Huawei AirEngine और CloudCampus एकीकरण

यह गाइड Huawei AirEngine एक्सेस पॉइंट्स और iMaster NCE-Campus को Purple WiFi के साथ एकीकृत करने के लिए चरण-दर-चरण निर्देश प्रदान करती है। इसमें एंटरप्राइज नेटवर्क के लिए कैप्टिव पोर्टल कॉन्फ़िगरेशन, 802.1X स्टाफ प्रमाणीकरण और PPSK डायनेमिक VLAN स्टीयरिंग शामिल है।

गाइड पढ़ें →

Purple WiFi के साथ EnGenius Cloud Access Points का एकीकरण

यह तकनीकी संदर्भ EnGenius Cloud Access Points और ECS स्विचों के Purple के गेस्ट WiFi प्लेटफॉर्म के साथ चरण-दर-चरण एकीकरण का विवरण देता है। इसमें बाहरी स्प्लैश पेज के माध्यम से गेस्ट कैप्टिव पोर्टल रीडायरेक्शन, Walled Garden कॉन्फ़िगरेशन, IEEE 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi, और गतिशील VLAN असाइनमेंट के साथ EnGenius MyPSK का उपयोग करके मल्टी-टेनेंट नेटवर्क अलगाव शामिल है। IT इंस्टॉलरों और नेटवर्क आर्किटेक्ट्स को EnGenius हार्डवेयर संपत्तियों में Purple को तैनात करने के लिए व्यावहारिक कॉन्फ़िगरेशन अनुक्रम, वास्तविक दुनिया के केस स्टडीज और एक समस्या निवारण ढांचा मिलेगा।

गाइड पढ़ें →

Purple WiFi के साथ DrayTek Vigor राउटर्स और एक्सेस पॉइंट्स का एकीकरण

यह गाइड DrayTek Vigor राउटर्स और VigorAP एक्सेस पॉइंट्स को Purple के क्लाउड प्लेटफॉर्म के साथ एकीकृत करने के लिए चरण-दर-चरण तकनीकी निर्देश प्रदान करती है। इसमें Guest WiFi के लिए DrayTek कैप्टिव पोर्टल कॉन्फ़िगरेशन, सुरक्षित Staff WiFi के लिए 802.1X प्रमाणीकरण, Walled Garden सेटअप, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट नेटवर्क सेगमेंटेशन के लिए DrayTek Multiple PSK (PPSK) कॉन्फ़िगरेशन शामिल है। इसे हॉस्पिटैलिटी, रिटेल और मल्टी-टेनेंट स्थानों पर Purple को तैनात करने वाले IT इंस्टॉलरों और SMB नेटवर्क प्रशासकों के लिए डिज़ाइन किया गया है।

गाइड पढ़ें →