Vai al contenuto principale
Italiano

Come utilizzare Microsoft Intune per distribuire certificati WiFi sui dispositivi

Un riferimento tecnico completo per i responsabili IT sulla distribuzione di certificati WiFi 802.1X tramite Microsoft Intune. Copre l'architettura SCEP vs PKCS, le fasi di implementazione, la mappatura della conformità e gli scenari di distribuzione reali per ambienti aziendali.

📖 7 minuti di lettura📝 1,541 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
COME UTILIZZARE MICROSOFT INTUNE PER DISTRIBUIRE CERTIFICATI WIFI SUI DISPOSITIVI Un briefing informativo di Purple Enterprise WiFi Intelligence [INTRODUZIONE E CONTESTO — circa 1 minuto] Benvenuti. Oggi parlo a nome di Purple, la piattaforma di enterprise WiFi intelligence, e questo episodio è un briefing mirato su una delle funzionalità più pratiche — e onestamente più sottovalutate — del toolkit di Microsoft Intune: la distribuzione automatizzata dei certificati per l'autenticazione WiFi 802.1X. Se gestite il WiFi in un patrimonio alberghiero, una catena di negozi, uno stadio o un patrimonio del settore pubblico, conoscerete bene il problema che sto per descrivere. Avete centinaia o migliaia di dispositivi gestiti. Volete che si connettano al vostro WiFi aziendale in modo automatico e sicuro, senza che gli utenti debbano digitare password e senza che l'IT debba intervenire su ogni singolo dispositivo. E volete che la connessione sia crittograficamente forte — non una semplice password condivisa che qualcuno ha già inviato via email a mezza organizzazione. Questo è esattamente ciò che risolve la distribuzione dei certificati di Intune. E nei prossimi nove minuti vi guiderò attraverso il suo funzionamento, come distribuirlo e le insidie che mettono in difficoltà la maggior parte dei team al primo tentativo. [APPROFONDIMENTO TECNICO — circa 5 minuti] Iniziamo con l'architettura. La base qui è lo standard IEEE 802.1X — lo standard di controllo dell'accesso alla rete basato su porta che rappresenta la spina dorsale della sicurezza WiFi aziendale da oltre due decenni. Quando un dispositivo si connette al vostro WiFi, lo standard 802.1X richiede che si autentichi prima di ottenere qualsiasi accesso alla rete. La conversazione di autenticazione avviene tra tre parti: il dispositivo — chiamato supplicant —, il vostro punto di accesso WiFi, che funge da autenticatore, e il vostro server RADIUS, che è il server di autenticazione che prende la decisione finale. Ora, lo standard 802.1X supporta diversi metodi di autenticazione. Il più sicuro è EAP-TLS — Extensible Authentication Protocol con Transport Layer Security. L'EAP-TLS utilizza l'autenticazione reciproca tramite certificati: il dispositivo presenta un certificato per dimostrare la propria identità e il server RADIUS presenta un certificato per dimostrare la propria. Nessuna password richiesta. Nessuna credenziale che possa essere oggetto di phishing. Questo è il nostro obiettivo. La sfida è sempre stata quella di installare questi certificati sui dispositivi su larga scala. È qui che entra in gioco Microsoft Intune. Intune supporta due meccanismi di distribuzione dei certificati: SCEP — Simple Certificate Enrollment Protocol — e PKCS, che sta per Public Key Cryptography Standards. Capire la differenza è fondamentale. Con SCEP, la chiave privata viene generata sul dispositivo stesso. Il dispositivo crea una richiesta di firma del certificato (Certificate Signing Request), la invia alla vostra Autorità di Certificazione (CA) tramite un server intermediario chiamato NDES — Network Device Enrollment Service — e la CA rilascia il certificato. La chiave privata non lascia mai il dispositivo. Questo è l'approccio più sicuro ed è consigliato per gli ambienti BYOD e le distribuzioni ad alta sicurezza. Con PKCS, l'Autorità di Certificazione genera la coppia di chiavi e l'Intune Certificate Connector distribuisce la chiave privata e il certificato al dispositivo. È più semplice da configurare — non richiede alcun server NDES — ma la chiave privata transita attraverso il connettore, il che rappresenta un fattore da considerare per la vostra postura di sicurezza. Per la maggior parte delle distribuzioni aziendali raccomando SCEP per gli ambienti BYOD e con dispositivi misti, e PKCS laddove si disponga di una flotta omogenea di dispositivi Windows di proprietà aziendale e si desideri ridurre al minimo la complessità dell'infrastruttura. Ora parliamo della sequenza di distribuzione — perché l'ordine è importante e sbagliarlo è la causa più comune di fallimento dei rollout. Fase uno: configurare l'Autorità di Certificazione. È necessario un modello di certificato sull'istanza di Active Directory Certificate Services — o, se siete completamente cloud-native, la Cloud PKI di Microsoft Intune è ora generalmente disponibile ed elimina del tutto il requisito della CA on-premises. Il modello deve avere le estensioni di utilizzo della chiave corrette: l'autenticazione client è obbligatoria. Impostate la dimensione minima della chiave a 2048 bit, o 4096 se la politica di sicurezza della vostra organizzazione lo richiede. Fase due: distribuire il certificato root attendibile. Prima che un dispositivo possa convalidare il certificato del server RADIUS, deve considerare attendibile la CA che lo ha emesso. Create un profilo di configurazione Certificato Attendibile in Intune, caricate il certificato della CA root e assegnatelo ai vostri gruppi di dispositivi. Questo deve arrivare sui dispositivi prima di qualsiasi profilo WiFi o profilo di certificato client. Se sbagliate la sequenza, i dispositivi rifiuteranno il server RADIUS e passerete il pomeriggio a fissare l'Event ID 20271 nel registro eventi di Windows. Fase tre: distribuire il profilo del certificato client. Si tratta del profilo SCEP — che punta all'URL del server NDES — o del profilo PKCS, che punta all'Autorità di Certificazione. Il Subject Alternative Name deve includere lo User Principal Name per i certificati utente, o l'AAD Device ID per i certificati dispositivo. Questa distinzione è importante: i certificati utente autenticano l'utente connesso, i certificati dispositivo autenticano la macchina stessa, il che significa che il dispositivo può connettersi al WiFi prima che un utente acceda — utile per scenari di domain join e distribuzioni di chioschi. Fase quattro: creare il profilo di configurazione WiFi. In Intune, questo si trova in Dispositivi, Profili di configurazione, Modelli, Wi-Fi. Impostate il tipo di WiFi su Enterprise, inserite il vostro SSID, impostate il tipo di EAP su EAP-TLS, configurate le impostazioni di attendibilità del server — qui è dove fate riferimento al nome del certificato del server RADIUS — e per l'autenticazione client, fate riferimento al profilo del certificato creato nella fase tre. Fase cinque: assegnare tutto ai gruppi corretti e convalidare. Assegnate il certificato root, il certificato client e i profili WiFi agli stessi gruppi di dispositivi o utenti. Utilizzate la reportistica integrata di Intune per monitorare lo stato di distribuzione dei profili. Una distribuzione riuscita mostra tutti e tre i profili come Riuscito nell'elenco dei profili di configurazione del dispositivo. Un punto critico sulla configurazione di NPS per gli ambienti Windows Server: dall'inizio del 2024, Microsoft ha reso più rigidi i requisiti di mappatura dei certificati. Se utilizzi certificati di dispositivo con dispositivi aggiunti ad Azure AD che si autenticano su un NPS locale, devi assicurarti che l'attributo altSecurityIdentities sull'oggetto computer in Active Directory sia popolato con l'impronta digitale (thumbprint) del certificato. Questo non avviene automaticamente: è necessario uno script o un flusso di lavoro per gestirlo, solitamente attivato quando la CA emette un nuovo certificato. [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI — circa 2 minuti] Permettetemi di illustrare le tre trappole che riscontro più frequentemente nelle distribuzioni aziendali. Prima trappola: lacune nella catena dei certificati. Il dispositivo deve considerare attendibile ogni certificato della catena, dalla CA radice fino al certificato del server RADIUS. Se il certificato del server RADIUS è stato emesso da una CA intermedia, è necessario distribuire ai dispositivi sia il certificato radice che quello intermedio. Ho visto distribuzioni fallire per settimane perché qualcuno aveva distribuito il certificato radice ma non quello intermedio. Seconda trappola: tempistica di assegnazione dei profili. I profili Intune non arrivano sui dispositivi istantaneamente. In un parco macchine di grandi dimensioni, possono essere necessari da 15 a 30 minuti per la propagazione dei profili dopo l'assegnazione. Non effettuare test subito dopo aver creato i profili. Utilizza il pulsante Sincronizza nel portale Intune per forzare un controllo, quindi attendi. Inoltre, i profili dei certificati client devono essere distribuiti e confermati prima dell'applicazione del profilo WiFi: se il profilo WiFi fa riferimento a un certificato non ancora esistente, su alcune piattaforme il profilo fallirà in modo invisibile. Terza trappola: revoca dei certificati BYOD. Quando un dispositivo viene rimosso da Intune (perché un dipendente si dimette o un dispositivo viene smarrito), è necessario un processo per revocare il certificato. Se utilizzi SCEP con ADCS, configura correttamente il punto di distribuzione della Certificate Revocation List (CRL) e assicurati che il server RADIUS verifichi la CRL o l'OCSP a ogni autenticazione. Questo è un requisito di conformità previsto da framework come il GDPR e il PCI DSS, che impone la revoca tempestiva dei meccanismi di controllo degli accessi quando non sono più necessari. In tema di conformità: se operi in un ambito PCI DSS (ad esempio, ambienti di pagamento al dettaglio), l'autenticazione 802.1X basata su certificato è il controllo più solido per l'accesso alla rete wireless. Soddisfa il requisito PCI DSS 1.3 relativo ai controlli di accesso alla rete e il requisito 8.6 relativo ai fattori di autenticazione. Documenta il processo di gestione del ciclo di vita dei certificati come parte delle prove di conformità. Per gli ambienti regolamentati dal GDPR, in particolare nel settore dell'ospitalità e del settore pubblico, la separazione tra la rete aziendale 802.1X e la rete WiFi ospiti è fondamentale. La rete aziendale gestita da Intune deve trovarsi su una VLAN e un SSID completamente separati da qualsiasi rete per ospiti o visitatori. La piattaforma WiFi per ospiti di Purple gestisce il lato rivolto ai visitatori — captive portal, acquisizione del consenso, analisi — mentre la rete aziendale gestita da Intune gestisce il personale e i dispositivi operativi. Queste due reti non devono mai condividere l'infrastruttura di autenticazione. [DOMANDE E RISPOSTE RAPIDE — circa 1 minuto] Esaminiamo alcune domande che sorgono regolarmente. Posso usare Intune Cloud PKI invece di ADCS on-premises? Sì. Intune Cloud PKI di Microsoft, rilasciato nel 2024, fornisce una CA completamente gestita in Azure. Elimina il requisito del server NDES per SCEP e semplifica notevolmente la configurazione del connettore. Per le nuove distribuzioni o per le organizzazioni senza un'infrastruttura ADCS esistente, è il percorso consigliato. Funziona per i dispositivi macOS e iOS? Sì. Intune supporta i profili certificato per Windows, iOS, iPadOS, Android e macOS. I tipi di profilo e le opzioni di configurazione variano leggermente a seconda della piattaforma, ma l'architettura di base — root attendibile, certificato client, profilo WiFi — è coerente. E per i dispositivi personali in un programma BYOD? SCEP è la soluzione ideale in questo caso. Con le policy di conformità dei dispositivi di Intune, è possibile richiedere che un dispositivo soddisfi gli standard minimi di sicurezza prima che venga rilasciato un certificato. Se il dispositivo non è più conforme — nessun blocco schermo, sistema operativo non aggiornato — il certificato può essere revocato e l'accesso alla rete rimosso automaticamente. Purple può integrarsi con questa architettura? Assolutamente sì. La piattaforma di Purple si colloca sul lato della rete ospiti, gestendo l'autenticazione tramite captive portal, la gestione del consenso e l'analisi dei dati. La rete aziendale 802.1X e il WiFi ospiti di Purple operano in parallelo — stessa infrastruttura fisica, diversi SSID e VLAN — offrendo una separazione completa tra la connettività del personale e il coinvolgimento dei visitatori. [RIASSUNTO E PROSSIMI PASSI — circa 1 minuto] Per riassumere: la distribuzione dei certificati WiFi tramite Intune è un processo in cinque fasi — configurazione della CA, distribuzione della root attendibile, profilo del certificato client, profilo WiFi e assegnazione dei gruppi. Scegli SCEP per il BYOD e gli ambienti ad alta sicurezza; PKCS per flotte aziendali più semplici. Definisci correttamente la sequenza, gestisci il requisito di mappatura dei certificati NPS e crea un flusso di lavoro per la revoca dei certificati fin dal primo giorno. Il caso aziendale è semplice: elimini le password WiFi condivise, ottieni log di autenticazione per singolo dispositivo e utente, soddisfi i requisiti di sicurezza wireless PCI DSS e ISO 27001 e riduci i costi operativi IT per la gestione delle credenziali WiFi su un vasto parco macchine. Se stai pianificando un'implementazione e desideri comprendere come la piattaforma di guest WiFi e analytics di Purple si integri con l'architettura della tua rete aziendale, visita purple.ai. Abbiamo guide dettagliate sull'integrazione con Azure Entra ID, sull'architettura 802.1X e sulla progettazione di reti guest per i settori hospitality, retail e pubblico. Grazie per l'ascolto. Alla prossima.

header_image.png

Executive Summary

Per i leader IT aziendali che gestiscono ambienti su larga scala nei settori Hospitality , Retail o spazi pubblici, l'accesso wireless sicuro è un requisito operativo fondamentale. Affidarsi a PSK (Pre-Shared Keys) condivise o all'autenticazione tramite nome utente/password (PEAP-MSCHAPv2) espone la rete al furto di credenziali, al phishing e a violazioni di conformità. Lo standard di settore per una solida sicurezza WiFi aziendale è l'802.1X con EAP-TLS (Extensible Authentication Protocol con Transport Layer Security), che impone un'autenticazione reciproca basata su certificati tra il dispositivo e la rete.

Tuttavia, la barriera principale all'adozione di EAP-TLS è sempre stata l'onere operativo legato alla gestione del ciclo di vita dei certificati. Microsoft Intune risolve questo problema automatizzando la distribuzione, il rinnovo e la revoca dei certificati digitali sui dispositivi gestiti su scala globale.

Questo riferimento tecnico descrive dettagliatamente l'architettura, le metodologie di distribuzione (SCEP vs PKCS) e i passaggi di implementazione necessari per distribuire i certificati WiFi tramite Microsoft Intune. Fornisce indicazioni pratiche per architetti di rete e ingegneri di sistema incaricati di proteggere le comunicazioni aziendali, mantenendo al contempo una netta separazione dalle reti per i visitatori, come quelle gestite da una piattaforma di Guest WiFi .

Approfondimento Tecnico: Architettura e Protocolli

Per implementare efficacemente l'autenticazione basata su certificati, i team IT devono comprendere l'interazione tra la piattaforma di Mobile Device Management (MDM), la Public Key Infrastructure (PKI) e il livello di controllo dell'accesso alla rete.

Il Framework di Autenticazione 802.1X

Lo standard IEEE 802.1X definisce il controllo dell'accesso alla rete basato su porta. In un contesto wireless, impedisce a un dispositivo di trasmettere qualsiasi traffico (diverso dai pacchetti di autenticazione EAP) fino a quando la sua identità non viene verificata. L'architettura è composta da tre elementi:

  1. Supplicant: Il dispositivo client (laptop, smartphone, tablet) che richiede l'accesso alla rete.
  2. Authenticator: L'access point wireless o il controller LAN wireless che blocca il traffico fino al completamento dell'autenticazione.
  3. Authentication Server: Il server RADIUS (Remote Authentication Dial-In User Service), come Microsoft Network Policy Server (NPS) o Cisco ISE, che convalida le credenziali e autorizza l'accesso.

EAP-TLS e Autenticazione Reciproca

EAP-TLS è il metodo EAP più sicuro perché richiede l'autenticazione reciproca. Il server RADIUS presenta il proprio certificato al supplicant per dimostrare di essere la rete aziendale legittima (prevenendo gli attacchi evil-twin), e il supplicant presenta il proprio certificato client al server RADIUS per dimostrare di essere un dispositivo o un utente autorizzato.

architecture_overview.png

Meccanismi di distribuzione dei certificati Intune: SCEP vs PKCS

Microsoft Intune supporta due protocolli principali per la distribuzione dei certificati client ai dispositivi. La selezione del meccanismo appropriato è una decisione architetturale critica.

Simple Certificate Enrollment Protocol (SCEP)

Con SCEP, la chiave privata viene generata direttamente sul dispositivo client. Il dispositivo crea una Certificate Signing Request (CSR) e la invia tramite Intune al server Network Device Enrollment Service (NDES), che funge da proxy per l'infrastruttura Active Directory Certificate Services (ADCS). La CA emette il certificato, che viene restituito al dispositivo.

Poiché la chiave privata non lascia mai il dispositivo, SCEP è considerato altamente sicuro ed è l'approccio consigliato per le distribuzioni BYOD (Bring Your Own Device) e le architetture zero-trust.

Public Key Cryptography Standards (PKCS)

Con PKCS, l'Intune Certificate Connector richiede il certificato alla CA per conto del dispositivo. La CA genera sia il certificato pubblico che la chiave privata, che il connettore invia in modo sicuro al dispositivo tramite Intune.

Sebbene PKCS semplifichi i requisiti infrastrutturali (non è necessario alcun server NDES), la chiave privata viene trasmessa attraverso la rete. Questo modello è generalmente accettabile per flotte di dispositivi di proprietà aziendale e completamente gestiti, dove la piattaforma MDM è già un componente altamente affidabile.

certificate_deployment_comparison.png

Guida all'implementazione: Distribuzione passo dopo passo

La distribuzione dei certificati WiFi tramite Intune richiede una sequenza precisa. La distribuzione dei profili fuori ordine è la causa più comune di fallimento dell'implementazione.

Passaggio 1: Preparare la Public Key Infrastructure (PKI)

Sia che si utilizzi ADCS on-premises o una soluzione cloud-native come Microsoft Cloud PKI, l'Autorità di Certificazione deve essere configurata con i modelli appropriati.

  • Key Usage: Il modello deve includere l'OID Client Authentication (1.3.6.1.5.5.7.3.2).
  • Key Size: Configurare una dimensione minima della chiave di 2048 bit (RSA) per allinearsi ai moderni standard crittografici.
  • Subject Name: Per i certificati utente, il Subject Alternative Name (SAN) deve essere configurato per utilizzare lo User Principal Name (UPN). Per i certificati del dispositivo, utilizzare l'ID dispositivo Azure AD.

Step 2: Deploy the Trusted Root Certificate

Prima che un dispositivo possa autenticarsi, deve considerare attendibile la CA che ha emesso il certificato del server RADIUS.

  1. Esporta il certificato Root CA (e gli eventuali certificati CA intermedi) in formato .cer.
  2. Nel centro amministrativo di Intune, vai su Devices > Configuration profiles > Create profile.
  3. Seleziona la piattaforma e scegli il tipo di profilo Trusted certificate.
  4. Carica il file .cer e assegna il profilo ai gruppi di dispositivi o utenti di destinazione.

Nota: questo profilo deve essere applicato correttamente ai dispositivi prima di procedere con i passaggi successivi.

Step 3: Deploy the Client Certificate Profile

Crea un profilo di certificato SCEP o PKCS per distribuire il certificato di identità al supplicant.

  1. Vai su Devices > Configuration profiles > Create profile.
  2. Seleziona la piattaforma e scegli SCEP certificate o PKCS certificate.
  3. Configura il formato del Subject Name e del SAN in base ai tuoi requisiti di identità (User vs. Device).
  4. Specifica il Key Storage Provider (KSP) — in genere il Trusted Platform Module (TPM) per la sicurezza basata su hardware.
  5. Assegna il profilo agli stessi gruppi selezionati come target nello Step 2.

Step 4: Configure the WiFi Profile

L'ultimo componente associa i certificati alle impostazioni della rete wireless.

  1. Vai su Devices > Configuration profiles > Create profile.
  2. Seleziona la piattaforma e scegli il tipo di profilo Wi-Fi.
  3. Imposta il tipo di Wi-Fi su Enterprise e inserisci l'esatto SSID.
  4. Imposta il tipo di EAP su EAP-TLS.
  5. Sotto Server Trust, specifica il nome esatto del certificato del server RADIUS e seleziona il profilo del certificato Trusted Root distribuito nello Step 2.
  6. Sotto Client Authentication, seleziona il profilo del certificato SCEP o PKCS distribuito nello Step 3.
  7. Assegna il profilo ai gruppi di destinazione.

Best Practices & Strategic Recommendations

Device vs. User Certificates

Gli architetti di rete devono decidere se emettere certificati per il dispositivo (autenticazione macchina) o per l'utente (autenticazione utente).

  • Device Certificates: Consentono alla macchina di connettersi alla rete WiFi prima che l'utente effettui l'accesso. Questo è fondamentale per il provisioning iniziale dei dispositivi, l'elaborazione dei criteri di gruppo e la reimpostazione delle password nella schermata di accesso. Consigliato per i dispositivi aziendali.
  • User Certificates: Associano l'accesso alla rete all'identità del singolo individuo. Ciò fornisce un controllo granulare e un controllo degli accessi basato sui ruoli. Consigliato per scenari BYOD.

Network Segmentation and Guest Access

Un principio fondamentale di sicurezza è la rigorosa separazione logica della rete aziendale 802.1X dalle reti di accesso pubblico o per gli ospiti. L'infrastruttura gestita da Intune deve essere dedicata esclusivamente ai dispositivi aziendali e al personale autenticato. Per l'accesso dei visitatori, le organizzazioni dovrebbero implementare un SSID Guest WiFi dedicato, supportato da un Captive Portal. Ciò garantisce che i dispositivi non gestiti siano isolati, consentendo comunque all'azienda di raccogliere dati analitici sui visitatori tramite una piattaforma di WiFi Analytics . Per saperne di più sulla messa in sicurezza dell'infrastruttura DNS in entrambi i segmenti, consulta la nostra guida su come Proteggere la tua rete con un DNS forte e la sicurezza .

Gestione del requisito di mappatura dei certificati NPS

Per le organizzazioni che utilizzano Microsoft Network Policy Server (NPS) con dispositivi associati ad Azure AD, Microsoft ha introdotto una modifica di configurazione fondamentale. NPS richiede ora una mappatura forte dei certificati.

Quando si utilizzano i certificati dei dispositivi, l'oggetto computer nell'Active Directory on-premises deve avere il proprio attributo altSecurityIdentities popolato con i dettagli del certificato (in genere l'X509IssuerSerialNumber). I team IT devono implementare uno script pianificato o un flusso di lavoro basato su eventi per aggiornare questo attributo quando Intune emette un nuovo certificato, altrimenti l'autenticazione fallirà.

Risoluzione dei problemi e mitigazione dei rischi

Quando un'implementazione 802.1X fallisce, il problema risiede quasi sempre nella catena dei certificati o nella sequenza dei profili Intune.

Modalità di guasto comuni

  1. Errore silenzioso del profilo WiFi: se il profilo WiFi di Intune viene applicato a un dispositivo prima che il certificato client sia stato fornito con successo, il profilo WiFi spesso non si installa o fallisce silenziosamente. Verificare sempre la presenza del certificato nell'archivio Personale del dispositivo (certmgr.msc su Windows) prima di risolvere i problemi di configurazione del WiFi.
  2. Errori di convalida del trust del server: se il dispositivo rifiuta il server RADIUS, verificare che il nome del server specificato nel profilo WiFi di Intune corrisponda esattamente al Subject Name o al SAN sul certificato del server RADIUS. Inoltre, assicurarsi che l'intera catena di certificati (Root e Intermediate) sia presente nell'archivio delle Autorità di certificazione radice attendibili del dispositivo.
  3. Non disponibilità della Certificate Revocation List (CRL): se il server RADIUS non riesce a raggiungere il punto di distribuzione CRL della CA per verificare lo stato del certificato client, l'autenticazione verrà negata. Assicurarsi che l'URL della CRL sia altamente disponibile e accessibile dal server RADIUS.

ROI e impatto aziendale

La transizione all'autenticazione WiFi basata su certificati tramite Intune offre significativi ritorni operativi e di sicurezza.

  • Mitigazione del rischio: elimina il rischio di raccolta delle credenziali, attacchi pass-the-hash e accessi non autorizzati alla rete tramite PSK condivise.
  • Efficienza operativa: riduce i ticket dell'helpdesk IT relativi alla scadenza delle password e ai problemi di connettività WiFi. La gestione automatizzata del ciclo di vita consente di rinnovare i certificati in modo trasparente senza l'intervento dell'utente.
  • Abilitazione alla conformità: Soddisfa i requisiti normativi più stringenti. Per gli ambienti retail, risponde direttamente ai requisiti PCI DSS per una crittografia e un'autenticazione wireless robuste. Per il settore pubblico e la sanità, si allinea ai principi di zero-trust network access (ZTNA).

Sfruttando Microsoft Intune per la distribuzione dei certificati, i team IT possono ottenere un'esperienza wireless fluida e altamente sicura che opera silenziosamente in background, consentendo all'azienda di concentrarsi sulle attività principali.

Definizioni chiave

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte che impedisce ai dispositivi non autorizzati di accedere a una LAN o WLAN fino a quando non si autenticano correttamente.

Il protocollo di sicurezza fondamentale che sostituisce le password WiFi condivise con l'autenticazione di livello enterprise negli ambienti aziendali.

EAP-TLS

Extensible Authentication Protocol con Transport Layer Security. Un framework di autenticazione che richiede sia al client che al server di dimostrare la propria identità utilizzando certificati digitali.

Il protocollo specifico configurato nel profilo WiFi di Intune per imporre l'autenticazione reciproca dei certificati, eliminando il rischio di furto di credenziali.

SCEP

Simple Certificate Enrollment Protocol. Un meccanismo in cui il dispositivo client genera la propria chiave privata e richiede un certificato alla CA tramite un server intermediario.

Il metodo di implementazione preferito per gli ambienti BYOD perché la chiave privata non viene mai trasmessa attraverso la rete.

PKCS

Public Key Cryptography Standards. Nel contesto di Intune, un metodo di implementazione in cui la CA genera la chiave privata e l'Intune Connector la consegna in modo sicuro al dispositivo.

Un'architettura di implementazione più semplice, spesso utilizzata per le flotte di dispositivi di proprietà aziendale, in quanto elimina la necessità di un server NDES.

NDES

Network Device Enrollment Service. Un ruolo server Microsoft che funge da proxy, consentendo ai dispositivi che funzionano senza credenziali di dominio di ottenere certificati da un'Active Directory Certificate Authority.

Un componente infrastrutturale obbligatorio quando si distribuiscono certificati tramite SCEP in un ambiente ADCS on-premises.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA).

Il server (come Microsoft NPS o Cisco ISE) che riceve la richiesta di autenticazione dall'access point WiFi e convalida il certificato del dispositivo.

Supplicant

Il client software sul dispositivo dell'utente finale (laptop, smartphone) che avvia il processo di autenticazione 802.1X.

Il profilo WiFi di Intune configura il supplicant nativo del sistema operativo (ad es. Windows WLAN AutoConfig) per utilizzare i certificati e i metodi EAP corretti.

Certificate Revocation List (CRL)

Un elenco firmato digitalmente e pubblicato dall'Autorità di Certificazione contenente i numeri di serie dei certificati che sono stati revocati e non devono più essere considerati attendibili.

Fondamentale per la conformità della sicurezza; il server RADIUS deve controllare la CRL per garantire che un dispositivo che si connette non sia stato segnalato come smarrito o rubato.

Esempi pratici

Una catena di vendita al dettaglio con 400 punti vendita sta distribuendo tablet aziendali per la gestione dell'inventario. I dispositivi sono completamente gestiti tramite Intune e associati ad Azure AD. Hanno bisogno di un accesso immediato alla rete all'avvio per sincronizzare i database dell'inventario, prima che un utente specifico effettui l'accesso. L'infrastruttura di rete utilizza Cisco ISE come server RADIUS. Qual è la strategia di distribuzione dei certificati ottimale?

Il team IT dovrebbe implementare i certificati di dispositivo PKCS.

  1. Configurare un modello di certificato di dispositivo sulla CA.
  2. Distribuire il certificato della Root CA sui tablet tramite Intune.
  3. Creare un profilo di certificato PKCS in Intune, impostando il formato del Nome Soggetto sull'ID dispositivo di Azure AD ({{AAD_Device_ID}}).
  4. Creare un profilo WiFi aziendale specificando EAP-TLS, facendo riferimento al nome del certificato del server ISE e al profilo PKCS distribuito.
  5. Assegnare tutti i profili al gruppo di dispositivi che contiene i tablet.
Commento dell'esaminatore: Il protocollo PKCS è appropriato in questo caso perché i dispositivi sono di proprietà aziendale e completamente gestiti, riducendo il rischio associato al transito della chiave privata. I certificati di dispositivo sono obbligatori perché i tablet richiedono l'accesso alla rete prima del login dell'utente. Puntando all'ID dispositivo di Azure AD, Cisco ISE può autenticare lo specifico asset hardware e assegnarlo alla corretta VLAN di inventario limitata.

Un grande ospedale universitario consente al personale medico di utilizzare i propri smartphone personali (BYOD) per accedere alle applicazioni di pianificazione clinica. I dispositivi sono registrati in Intune tramite un Profilo di Lavoro. La politica di sicurezza impone che non vengano memorizzate credenziali aziendali sui dispositivi personali e che l'accesso alla rete venga revocato immediatamente se un dispositivo viene compromesso. Come dovrebbe essere progettata l'autenticazione WiFi?

L'ospedale deve implementare certificati utente SCEP combinati con i Criteri di Conformità di Intune.

  1. Distribuire un server NDES per fungere da proxy per le richieste alla CA.
  2. Creare un profilo di certificato utente SCEP in Intune, con il SAN configurato sul Nome Principale Utente ({{UserPrincipalName}}).
  3. Creare un Criterio di Conformità Intune che richieda una versione minima del sistema operativo, un blocco schermo attivo e l'assenza di jailbreak/root.
  4. Configurare la CA per pubblicare un elenco di revoca dei certificati (CRL) ad alta disponibilità.
  5. Configurare il server RADIUS per applicare rigorosamente il controllo della CRL a ogni tentativo di autenticazione.
Commento dell'esaminatore: Lo SCEP è l'unica scelta accettabile per il BYOD perché la chiave privata viene generata sul dispositivo personale e non può essere intercettata. I certificati utente sono necessari per collegare l'attività di rete allo specifico medico per scopi di auditing HIPAA/GDPR. Il componente critico è l'integrazione con i Criteri di Conformità di Intune; se un dispositivo diventa non conforme, Intune può attivare la revoca del certificato e il controllo della CRL del server RADIUS bloccherà immediatamente l'accesso alla rete.

Domande di esercitazione

Q1. La tua organizzazione sta migrando da PEAP-MSCHAPv2 (nome utente/password) a EAP-TLS per il WiFi aziendale. Durante la fase pilota, diversi laptop Windows 11 ricevono correttamente i profili di configurazione di Intune ma non riescono a connettersi alla rete. L'analisi dei registri eventi di Windows mostra l'ID evento 20271, che indica che il certificato del server RADIUS è stato rifiutato. Qual è la causa più probabile?

Suggerimento: Considera la catena di attendibilità richiesta per l'autenticazione reciproca.

Visualizza risposta modello

Sui dispositivi manca il certificato della CA radice attendibile che ha emesso il certificato del server RADIUS. In EAP-TLS, il dispositivo deve convalidare l'identità del server RADIUS. Il team IT deve garantire che il profilo "Certificato attendibile" contenente la CA radice (e le eventuali CA intermedie) sia distribuito ai dispositivi tramite Intune e installato correttamente prima che il profilo WiFi tenti di connettersi.

Q2. Una sede del settore pubblico sta distribuendo 802.1X per i dispositivi del personale utilizzando Intune e certificati PKCS. Gestisce inoltre una rete visitatori separata gestita da una piattaforma Guest WiFi. Un revisore rileva che in caso di furto di un laptop del personale, il certificato rimane valido per 12 mesi. In che modo l'architetto di rete dovrebbe affrontare questo rischio?

Suggerimento: In che modo il server di autenticazione sa che un certificato non è più valido prima della sua scadenza?

Visualizza risposta modello

L'architetto deve implementare un flusso di lavoro affidabile per la revoca dei certificati. In primo luogo, assicurarsi che la CA pubblichi un elenco di revoca dei certificati (CRL) su un punto di distribuzione ad alta disponibilità. In secondo luogo, configurare il server RADIUS (ad esempio, NPS) per richiedere il controllo della CRL durante ogni tentativo di autenticazione. Infine, stabilire una procedura operativa in Intune per revocare esplicitamente il certificato di qualsiasi dispositivo contrassegnato come smarrito o rubato, aggiornando la CRL e bloccando l'accesso alla rete.

Q3. Stai progettando la distribuzione di Intune per una flotta di dispositivi kiosk condivisi in un ambiente retail. Questi dispositivi si riavviano quotidianamente e devono connettersi immediatamente alla rete aziendale per scaricare gli aggiornamenti prima che qualsiasi utente interagisca con essi. Dovresti distribuire certificati utente o certificati dispositivo e quale formato del nome alternativo del soggetto (SAN) dovrebbe essere utilizzato?

Suggerimento: Considera lo stato del dispositivo immediatamente dopo un riavvio.

Visualizza risposta modello

È necessario distribuire certificati dispositivo. Poiché i kiosk richiedono l'accesso alla rete prima che un utente acceda, un certificato utente non sarebbe disponibile al momento dell'avvio. Il nome alternativo del soggetto (SAN) nel profilo del certificato di Intune deve essere configurato per utilizzare l'ID dispositivo di Azure AD ({{AAD_Device_ID}}) o il nome di dominio completo del dispositivo, consentendo al server RADIUS di autenticare la risorsa hardware specifica.

Continua a leggere questa serie

PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK (e supporto WPA3)

Un confronto completo delle implementazioni PSK per dispositivo tra Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Scopri come WPA3-SAE influisce sulle strategie delle chiavi per dispositivo e quando distribuire le modalità di transizione rispetto al passaggio a 802.1X.

Leggi la guida →

Metodi di autenticazione del Captive Portal a confronto

Questa guida di riferimento tecnico autorevole valuta i compromessi architetturali, operativi e di conformità di cinque metodi di autenticazione principali per captive portal. Fornisce ad architetti di rete, direttori IT e marketing manager i dati quantitativi e i framework decisionali necessari per bilanciare l'attrito nell'onboarding degli ospiti con i requisiti di raccolta dati all'interno delle sedi aziendali.

Leggi la guida →

Cos'è l'autenticazione tramite indirizzo MAC? Quando usarla e quando evitarla

Questa guida tecnica di riferimento autorevole copre l'autenticazione tramite indirizzo MAC negli ambienti WiFi aziendali: come funziona l'autenticazione MAC basata su RADIUS a livello Layer 2, le sue vulnerabilità di sicurezza intrinseche (incluso il MAC spoofing e l'impatto della randomizzazione MAC a livello di sistema operativo) e i precisi contesti operativi in cui rimane uno strumento valido per la gestione di dispositivi IoT e headless. Fornisce linee guida di implementazione pratiche per responsabili IT e architetti di rete nei settori dell'ospitalità, del retail, della sanità e dei luoghi pubblici, con esempi pratici reali, framework decisionali e contesti di integrazione per la piattaforma di guest WiFi e analytics di Purple.

Leggi la guida →