Come configurare SCEP per il WiFi aziendale sicuro e il provisioning BYOD
Questa guida tecnica spiega come configurare il Simple Certificate Enrolment Protocol (SCEP) per automatizzare l'autenticazione WiFi aziendale sicura 802.1X e il provisioning BYOD. Fornisce ad architetti di rete e responsabili IT una sequenza di implementazione definitiva, scenari di implementazione reali nei settori dell'ospitalità e del retail, e strategie di mitigazione del rischio per eliminare le chiavi pre-condivise vulnerabili e il MAC Authentication Bypass dalle reti aziendali.
Ascolta questa guida
Visualizza trascrizione del podcast
- Sintesi Esecutiva
- Approfondimento Tecnico: Architettura SCEP
- SCEP vs PKCS: Scegliere il Meccanismo Adeguato
- Il Flusso di Onboarding Fai-da-Te per i Dispositivi BYOD
- Guida all'Implementazione: La Sequenza di Distribuzione
- Best Practice
- Risoluzione dei problemi e mitigazione dei rischi
- ROI e Impatto Aziendale

Sintesi Esecutiva
Per le strutture aziendali che operano nel settore dell'ospitalità, del retail e nel settore pubblico, affidarsi a chiavi precondivise (PSK) o al MAC Authentication Bypass (MAB) per fornire l'accesso WiFi al personale e ai dispositivi personali (BYOD) rappresenta un rischio per la sicurezza. Le moderne architetture di rete richiedono l'autenticazione 802.1X tramite EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), garantendo che ogni dispositivo sia verificato crittograficamente prima di accedere alla rete. La sfida operativa risiede nel distribuire certificati client univoci a migliaia di dispositivi non gestiti senza sovraccaricare l'helpdesk IT con ticket di supporto.
Il Simple Certificate Enrolment Protocol (SCEP), definito nella RFC 8894, risolve questo problema di distribuzione attraverso la gestione automatizzata del ciclo di vita dei certificati. Sfruttando SCEP, i team IT possono distribuire certificati root attendibili e certificati client agli endpoint, garantendo che la chiave privata non lasci mai il dispositivo. Questa guida fornisce il progetto architetturale definitivo e la strategia di implementazione passo dopo passo per la distribuzione dei certificati WiFi tramite SCEP. Tratteremo la sequenza di implementazione critica richiesta per il successo, scenari reali del settore ospitalità e retail, e strategie di mitigazione del rischio per mantenere protetti e performanti il vostro Guest WiFi e le reti aziendali.
Approfondimento Tecnico: Architettura SCEP
SCEP è lo standard di settore per la registrazione dei dispositivi aziendali, creato da VeriSign e pubblicato come bozza internet IETF nel 1999. Automatizza il rilascio di certificati X.509 all'interno di un ambiente di Public Key Infrastructure (PKI), eliminando la necessità di gestire manualmente i certificati su larga scala.

In un flusso di lavoro SCEP, il dispositivo genera localmente la propria coppia di chiavi privata e pubblica. Crea una Certificate Signing Request (CSR) e la invia tramite un server NDES (Network Device Enrolment Service) alla Certificate Authority (CA). La CA convalida la richiesta utilizzando un segreto condiviso e restituisce il certificato pubblico firmato al dispositivo. Il vantaggio fondamentale in termini di sicurezza è che la chiave privata non lascia mai il dispositivo. Viene generata localmente e memorizzata nell'enclave sicura dell'hardware del dispositivo - il Trusted Platform Module (TPM) su Windows, o il Secure Enclave su iOS. Questo rende SCEP il metodo fortemente raccomandato per l'autenticazione 802.1X, a differenza di PKCS (Public Key Cryptography Standards), in cui la CA genera la coppia di chiavi centralmente e la trasmette attraverso la rete.
I quattro passaggi della registrazione del certificato SCEP sono i seguenti. Primo, il dispositivo si connette all'URL dell'endpoint SCEP ospitato dal server NDES. Secondo, il dispositivo presenta il segreto condiviso SCEP (una password statica o una verifica dinamica generata dalla piattaforma MDM) per convalidare la richiesta di registrazione. Terzo, il dispositivo genera una CSR contenente la sua chiave pubblica e le informazioni identificative. Quarto, la CA convalida la CSR ed emette un certificato X.509 firmato, che viene restituito al dispositivo.
SCEP vs PKCS: Scegliere il Meccanismo Adeguato
Durante la progettazione della strategia di implementazione dei certificati, la scelta tra SCEP e PKCS influisce direttamente sulla sicurezza. La tabella seguente riassume le differenze chiave.
| Attributo | SCEP | PKCS |
|---|---|---|
| Generazione della chiave privata | Sul dispositivo (enclave sicura) | Sul server della CA |
| Trasmissione della chiave privata | Mai trasmessa | Trasmessa attraverso la rete |
| Requisiti infrastrutturali | Richiede un server NDES | Nessun NDES richiesto |
| Più adatto per | Autenticazione WiFi e VPN | Crittografia e-mail S/MIME |
| Livello di sicurezza per 802.1X | Consigliato | Non consigliato |
Per il WiFi aziendale con SCEP, scegli sempre SCEP. Il mantenimento della chiave privata sul dispositivo è la proprietà di sicurezza fondamentale che rende l'autenticazione 802.1X basata su certificati superiore a qualsiasi metodo di autenticazione basato su credenziali.
Il Flusso di Onboarding Fai-da-Te per i Dispositivi BYOD
La base per un onboarding BYOD sicuro è la transizione dall'autenticazione legacy a EAP-TLS senza richiedere la registrazione completa a un Mobile Device Management (MDM). Costringere il personale a registrare gli smartphone personali nell'MDM aziendale solleva legittimi dubbi sulla privacy e incontra una forte resistenza. Un portale di onboarding self-service risolve questo problema.
Gli utenti connettono il proprio dispositivo personale a un SSID di provisioning dedicato, che funge da walled garden limitando l'accesso solo al portale di onboarding e all'identity provider. Gli utenti si autenticano tramite l'integrazione SAML o OAuth con Microsoft Entra ID, Okta o Google Workspace. Una volta completata l'autenticazione con successo, il sistema genera un certificato client unico e specifico per il dispositivo tramite SCEP. Un profilo di configurazione (un file .mobileconfig per Apple o un profilo Passpoint Android) viene inviato al dispositivo. Il dispositivo si connette quindi automaticamente all'SSID aziendale sicuro utilizzando EAP-TLS. L'utente non deve comprendere in alcun modo il funzionamento dei certificati o del protocollo 802.1X.
Guida all'Implementazione: La Sequenza di Distribuzione
La corretta configurazione di SCEP per 802.1X richiede il rigoroso rispetto di una sequenza di distribuzione specifica. La relazione di attendibilità deve essere stabilita prima di poter configurare l'autenticazione. La deviazione da questa sequenza rappresenta la causa più comune di fallimento delle distribuzioni.
Passo 1: Distribuire il Certificato Root Attendibile. Prima che un dispositivo possa richiedere un certificato client o considerare attendibile il server RADIUS, deve prima considerare attendibile l'autorità di certificazione (CA) emittente. Esporta il certificato della CA root (e gli eventuali certificati CA intermedi) come file .cer. Distribuisci questo profilo ai gruppi di dispositivi di destinazione tramite la tua piattaforma MDM. Questo passaggio non è negoziabile.
Passo 2: Configurare il Profilo del Certificato SCEP. Questo passaggio indica ai dispositivi come ottenere il proprio certificato client. Configura il formato del nome del soggetto - per l'autenticazione basata sull'utente lo standard è CN={{UserPrincipalName}}; per l'autenticazione del dispositivo utilizza CN={{AAD_Device_ID}}. Imposta l'utilizzo della chiave su Digital signature e Key encipherment. Sotto l'utilizzo esteso della chiave, specifica Client Authentication (OID: 1.3.6.1.5.5.7.3.2). Collega questo profilo al profilo del certificato root attendibile del Passo 1. Fornisci l'URL esterno del tuo server NDES.
Passo 3: Distribuire il Profilo WiFi 802.1X. Invia la configurazione WiFi che associa il certificato all'SSID di rete. Inserisci il nome della rete esattamente come trasmesso dai tuoi access point (AP). Imposta il tipo di sicurezza su WPA2-Enterprise o WPA3-Enterprise. Imposta il tipo di EAP su EAP-TLS. Seleziona il profilo del certificato SCEP come certificato di autenticazione client. Specifica il certificato root attendibile per la convalida del server, garantendo che i dispositivi si connettano solo al tuo server RADIUS legittimo.
Questa sequenza si applica a tutte le piattaforme hardware supportate: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. L'overlay cloud agnostico rispetto all'hardware di Purple si integra con tutte queste piattaforme, il che significa che la tua infrastruttura di certificati non è vincolata a un singolo fornitore di hardware.
Best Practice
Pubblica NDES tramite Azure AD Application Proxy. Il server NDES deve essere raggiungibile da internet in modo che i dispositivi remoti possano effettuare il provisioning dei certificati prima di arrivare in sede. Esporre direttamente un server interno a internet presenta un rischio di sicurezza significativo. La pubblicazione tramite Azure AD Application Proxy fornisce un accesso remoto sicuro senza aprire porte in ingresso nel firewall, e consente di applicare i criteri di Conditional Access al flusso di registrazione.
Emetti certificati a breve durata per il BYOD. Poiché i dispositivi BYOD non sono gestiti, il rischio che un dispositivo compromesso rimanga sulla rete è maggiore. Emetti certificati validi per 90 giorni anziché per anni. Alla scadenza del certificato, l'utente dovrà autenticarsi nuovamente tramite il portale di onboarding. Questo elimina naturalmente i dispositivi obsoleti dalla rete senza alcun intervento manuale da parte dell'IT.
Applica un controllo rigoroso della CRL sul server RADIUS. L'implementazione del certificato è solo metà dell'equazione della sicurezza. Se un dipendente lascia l'azienda, la disattivazione del suo account Active Directory potrebbe non revocare immediatamente il suo accesso al WiFi se il certificato client rimane valido. Configura il tuo server RADIUS per imporre un controllo rigoroso della Certificate Revocation List (CRL). Assicurati che il tuo CRL Distribution Point (CDP) sia altamente disponibile. Se il server RADIUS non riesce a raggiungere la CRL, l'autenticazione fallirà per tutti gli utenti, causando un'interruzione del servizio su larga scala.
Segmenta il BYOD su una VLAN dedicata. I dispositivi BYOD non sono gestiti. Non hai alcun controllo sugli aggiornamenti del loro sistema operativo, sullo stato dell'antivirus o sulle applicazioni installate. Posiziona i dispositivi BYOD su una VLAN dedicata che fornisca esclusivamente l'accesso a internet, limitato alle specifiche applicazioni interne necessarie per il ruolo del dipendente. Non posizionare mai i dispositivi BYOD sulla stessa VLAN dei server aziendali o dei dispositivi gestiti.

Risoluzione dei problemi e mitigazione dei rischi
Impossibile applicare il profilo WiFi. Il dispositivo ha ricevuto il certificato root attendibile e il certificato SCEP, ma il profilo WiFi risulta in stato "Errore" nella console MDM. Questo è quasi sempre causato da una mancata corrispondenza del target di gruppo. Se il profilo SCEP è assegnato a un "gruppo di utenti" mentre il profilo WiFi è assegnato a un "gruppo di dispositivi", l'MDM non può risolvere la dipendenza. Verifica le tue assegnazioni e assicurati che i profili del root attendibile, SCEP e WiFi abbiano tutti come target lo stesso identico gruppo di Azure AD.
Errori NDES 403 Forbidden. I dispositivi non riescono a recuperare i certificati SCEP e i log IIS di NDES mostrano errori HTTP 403. Questo accade molto probabilmente perché l'account di servizio del connettore non ha le autorizzazioni necessarie sul modello di certificato, o perché il firewall sta bloccando i parametri della query string specifici utilizzati da SCEP. Verificare che l'account del connettore disponga delle autorizzazioni di "Lettura" e "Registrazione" sul modello CA. Controllare i log del firewall per assicurarsi che gli URL contenenti ?operation=GetCACaps non vengano bloccati.
Frammentazione Android. I dispositivi Apple iOS gestiscono i profili .mobileconfig in modo molto coerente. Android, tuttavia, è altamente frammentato - diversi produttori e versioni del sistema operativo gestiscono i profili WiFi e l'installazione dei certificati in modi diversi. Fornire istruzioni chiare e specifiche per ciascun sistema operativo sul portale di onboarding. L'uso di Passpoint (Hotspot 2.0) offre un flusso di connessione coerente tra i vari produttori, migliorando significativamente l'esperienza su Android.
Ritardi nella revoca dei certificati. Quando un dipendente lascia l'azienda, il suo accesso deve essere revocato immediatamente. Disabilitare il suo account IdP è il primo passo, ma il server RADIUS deve anche convalidare lo stato del certificato. Configurare il server RADIUS per utilizzare l'Online Certificate Status Protocol (OCSP) in aggiunta al controllo CRL. L'OCSP fornisce lo stato di revoca in tempo reale anziché affidarsi a un elenco aggiornato periodicamente.
ROI e Impatto Aziendale
Il passaggio alla distribuzione dei certificati SCEP 802.1X offre ritorni misurabili sia in termini di sicurezza che di operazioni. Il WiFi basato su password genera un volume elevato di ticket di assistenza a causa di password scadute, blocchi e errori di digitazione. L'autenticazione basata su certificati è invisibile per l'utente - i dispositivi si connettono automaticamente. Questo riduce tipicamente il carico di lavoro del servizio di assistenza relativo al WiFi del 70%, liberando il personale IT per concentrarsi su attività strategiche.
EAP-TLS elimina il rischio di furto delle credenziali e di attacchi man-in-the-middle (MitM). Questo è fondamentale per la conformità PCI-DSS negli ambienti retail e per la conformità GDPR in tutti i settori. Nel settore dell' hospitality , dove il personale gestisce dati di pagamento e informazioni personali degli ospiti, il costo di una violazione dei dati supera di gran lunga il costo della distribuzione di un'infrastruttura PKI ben progettata. Gli stessi fattori di conformità si applicano agli operatori del settore trasporti e alle strutture sanitarie .
Per i locali che già utilizzano le piattaforme Guest WiFi e WiFi Analytics di Purple, l'estensione dell'onboarding sicuro ai dispositivi BYOD del personale offre una strategia di gestione della rete unificata e robusta. Purple opera in oltre 80.000 sedi fisiche in tutto il mondo, ha elaborato 440 milioni di accessi nel 2024 (dati interni Purple) e possiede le certificazioni ISO 27001, GDPR, CCPA e Cyber Essentials. I nostri componenti aggiuntivi di sicurezza SecurePass e Shield si integrano direttamente con l'architettura di autenticazione basata su certificati descritta in questa guida.
Per una prospettiva più ampia sulla sicurezza delle reti aziendali, consulta la nostra guida Sicurezza WiFi aziendale: la guida completa 2026 . Per considerazioni sulla conformità GDPR specifiche per gli amministratori di rete, consulta La guida dell'amministratore di rete alla conformità GDPR e alla privacy dei dati degli ospiti .
Definizioni chiave
SCEP (Simple Certificate Enrolment Protocol)
Un protocollo definito nella RFC 8894 che automatizza il rilascio di certificati digitali X.509 ai dispositivi all'interno di un ambiente PKI. Il dispositivo genera la propria chiave privata localmente, la quale non lascia mai il dispositivo.
Utilizzato per distribuire certificati di autenticazione WiFi a dispositivi aziendali e BYOD su larga scala senza l'intervento manuale dell'IT. Lo standard di settore per il provisioning dei certificati 802.1X.
802.1X
Uno standard IEEE (IEEE Std 802.1X-2020) per il controllo dell'accesso alla rete basato su porte. Fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN prima che venga concesso loro l'accesso alle risorse di rete.
Le fondamenta di un WiFi aziendale sicuro, che sostituisce le vulnerabili chiavi pre-condivise. Richiede un server RADIUS, un supplicant sul dispositivo client e un autenticatore sull'access point.
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)
Un framework di autenticazione che richiede sia al server sia al client di presentare certificati digitali validi. Fornisce un'autenticazione reciproca, garantendo che il dispositivo si fidi della rete e che la rete si fidi del dispositivo.
Il metodo più sicuro per l'autenticazione 802.1X. Elimina il furto di credenziali e gli attacchi Man-in-the-Middle. Il protocollo di autenticazione di destinazione che l'implementazione del certificato SCEP è progettata per abilitare.
NDES (Network Device Enrolment Service)
Un ruolo di Microsoft Windows Server che funge da ponte, consentendo ai dispositivi senza credenziali di dominio di ottenere certificati da una CA di Active Directory Certificate Services tramite SCEP.
Un componente infrastrutturale richiesto quando si implementa SCEP con Microsoft Intune. Dovrebbe essere pubblicato tramite Azure AD Application Proxy per consentire il provisioning remoto e sicuro dei certificati.
BYOD (Bring Your Own Device)
La pratica di consentire ai dipendenti di utilizzare i propri smartphone, tablet o laptop personali per accedere alle reti e alle applicazioni aziendali.
Richiede un'attenta segmentazione della rete e un onboarding sicuro per evitare che i dispositivi non gestiti compromettano la rete aziendale. La registrazione MDM completa è spesso impraticabile per i dispositivi personali a causa di problemi di privacy.
CRL (Certificate Revocation List)
Un elenco pubblicato dall'Autorità di Certificazione contenente i numeri di serie dei certificati che sono stati revocati prima della loro data di scadenza.
Deve essere verificata dal server RADIUS durante ogni tentativo di autenticazione per garantire che i dipendenti licenziati o i dispositivi compromessi non possano accedere alla rete. I punti di distribuzione CRL devono essere altamente disponibili.
CSR (Certificate Signing Request)
Un messaggio generato da un dispositivo e inviato a un'Autorità di Certificazione per richiedere un certificato di identità digitale. Contiene la chiave pubblica del dispositivo e le informazioni di identità.
Generato dal dispositivo durante il processo SCEP. La chiave privata utilizzata per firmare la CSR rimane sul dispositivo e non viene mai trasmessa.
RADIUS (Remote Authentication Dial-In User Service)
Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA) per gli utenti e i dispositivi che si connettono a una rete.
Il server che convalida il certificato del client durante l'autenticazione 802.1X e concede o nega l'accesso alla rete. Deve essere configurato per applicare una rigida verifica CRL o OCSP.
PKCS (Public Key Cryptography Standards)
Un insieme di standard in cui sia la chiave pubblica che quella privata vengono generate dall'Autorità di Certificazione e poi consegnate in modo sicuro all'endpoint.
Meno adatto rispetto a SCEP per l'autenticazione WiFi perché la chiave privata viene trasmessa sulla rete. Più adatto per la crittografia delle e-mail S/MIME in cui è richiesto il deposito della chiave.
OCSP (Online Certificate Status Protocol)
Un protocollo che fornisce lo stato di revoca del certificato in tempo reale, in alternativa alla CRL aggiornata periodicamente.
Preferito alla CRL per gli ambienti ad alta sicurezza perché fornisce lo stato di revoca istantaneo anziché fare affidamento su un elenco che potrebbe essere aggiornato a distanza di ore.
Esempi pratici
Un hotel di 200 camere deve fornire un accesso WiFi sicuro a 50 addetti alle pulizie che utilizzano i propri smartphone personali (BYOD) per accedere all'app di pianificazione dei turni. Il responsabile IT desidera evitare la registrazione completa all'MDM per rispettare la privacy del personale, ma deve garantire che l'accesso venga revocato immediatamente in caso di dimissioni di un dipendente.
L'hotel implementa un portale di onboarding self-service integrato con Microsoft Entra ID. Il personale si connette a un SSID di provisioning aperto, si autentica con le proprie credenziali di Entra ID e scarica un profilo SCEP. Il server SCEP emette un certificato client di 30 giorni direttamente sul dispositivo, con la chiave privata generata e memorizzata localmente nell'enclave sicura dello smartphone. Il dispositivo si connette automaticamente all'SSID "Staff_WiFi" utilizzando EAP-TLS. Il server RADIUS assegna questi dispositivi a una VLAN limitata che consente l'accesso solo all'app di pianificazione e a Internet. Quando un dipendente si dimette, il suo account Entra ID viene disattivato. Il server RADIUS, configurato per un controllo rigoroso della CRL, nega l'accesso alla rete al successivo tentativo di autenticazione. La validità di 30 giorni del certificato garantisce che, anche in caso di ritardo nel controllo della CRL, l'accesso scada entro un mese.
Una catena di vendita al dettaglio nazionale con 500 negozi deve implementare un WiFi sicuro per i tablet POS (Point of Sale) di proprietà aziendale con sistema operativo Windows. L'architetto di rete deve garantire che, anche in caso di furto di un tablet, le credenziali di rete non possano essere estratte e utilizzate per accedere alla rete aziendale da un altro dispositivo. La conformità a PCI-DSS è obbligatoria.
L'architetto di rete configura Microsoft Intune per distribuire i certificati tramite SCEP. Intune invia il certificato Trusted Root al gruppo "Dispositivi POS", seguito da un profilo SCEP che indica a ciascun tablet di generare la propria chiave privata nel TPM di Windows. Il tablet invia una CSR al server NDES, riceve il certificato client e si connette all'SSID "Retail_POS" utilizzando WPA3-Enterprise e EAP-TLS. Il server RADIUS autentica il certificato e inserisce il dispositivo nella VLAN isolata del POS, che consente il traffico solo verso il processore di pagamento e il sistema di gestione dell'inventario. Tutti e tre i profili Intune - Trusted Root, SCEP e WiFi - sono assegnati allo stesso gruppo di dispositivi "Dispositivi POS" per evitare errori di dipendenza. NDES è pubblicato tramite Azure AD Application Proxy per consentire il rinnovo del certificato senza richiedere che il tablet sia in loco.
Domande di esercitazione
Q1. Stai distribuendo un profilo SCEP tramite Intune su una flotta di laptop Windows. I dispositivi ricevono correttamente il certificato Trusted Root, ma l'applicazione del profilo WiFi non riesce e mostra lo stato 'Errore' nella console di Intune. Il profilo SCEP è assegnato al gruppo Azure AD 'All Users', mentre il profilo WiFi è assegnato al gruppo di dispositivi 'Corporate Laptops'. Qual è la causa del problema e come lo risolvi?
Suggerimento: Considera le dipendenze tra i profili e il modo in cui Intune risolve il targeting dei gruppi quando un profilo dipende da un altro.
Visualizza risposta modello
L'errore è causato da una mancata corrispondenza nel target dei gruppi. Intune non può risolvere la dipendenza tra il profilo SCEP e il profilo WiFi perché si rivolgono a tipi di gruppi diversi: uno si rivolge agli utenti e l'altro ai dispositivi. Per risolvere questo problema, verifica le assegnazioni di tutti e tre i profili e assicura che i profili Trusted Root, SCEP e WiFi siano tutti distribuiti esattamente allo stesso gruppo Azure AD. Scegli in modo coerente il target utente o il target dispositivo per tutti i profili.
Q2. Un punto vendita retail desidera proteggere i propri tablet POS. Il direttore IT suggerisce di utilizzare PKCS invece di SCEP perché semplifica l'infrastruttura eliminando la necessità di un server NDES. In qualità di network architect, perché dovresti raccomandare SCEP per l'autenticazione WiFi 802.1X, e in quali circostanze PKCS sarebbe la scelta corretta?
Suggerimento: Pensa a dove viene generata e memorizzata la chiave privata in entrambi i protocolli e considera le implicazioni di sicurezza per l'autenticazione di rete rispetto alla crittografia delle email.
Visualizza risposta modello
Raccomanda SCEP per l'autenticazione WiFi 802.1X poiché la chiave privata viene generata localmente sul dispositivo e memorizzata nel suo secure enclave hardware. La chiave privata non lascia mai il dispositivo e non viene mai trasmessa sulla rete. Se un tablet viene rubato, le credenziali non possono essere estratte e utilizzate da un altro dispositivo. Con PKCS, la CA genera la coppia di chiavi centralmente e la trasmette al dispositivo, introducendo un rischio di trasmissione inaccettabile per l'autenticazione di rete. PKCS è la scelta corretta solo per la crittografia delle email S/MIME, dove è richiesto il key escrow per consentire la decrittografia delle email crittografate in caso di smarrimento del dispositivo originale.
Q3. Stai progettando un portale di onboarding BYOD per un ospedale da 500 posti letto. Il personale clinico utilizzerà i propri smartphone personali per accedere ad app interne non critiche, come i turni del personale e la messaggistica interna. È necessario ridurre al minimo il rischio che i dispositivi obsoleti rimangano sulla rete dopo la partenza del personale, senza richiedere l'intervento manuale dell'IT per ogni uscita. Quale specifica configurazione del certificato dovresti implementare?
Suggerimento: Considera il ciclo di vita del certificato e come puoi forzare i dispositivi a riautenticarsi periodicamente senza richiedere all'IT di revocare manualmente ciascun certificato.
Visualizza risposta modello
Implementa certificati a breve scadenza con un periodo di validità da 30 a 90 giorni. Alla scadenza del certificato, il dispositivo BYOD è costretto a riautenticarsi attraverso il Captive Portal utilizzando le credenziali IdP aziendali del membro del personale. Se il dipendente ha lasciato l'azienda e il suo account IdP è stato disattivato, non potrà completare la riautenticazione e non riceverà un nuovo certificato. Questo elimina naturalmente i dispositivi obsoleti dalla rete senza richiedere all'IT di revocare manualmente i singoli certificati. Combina questa soluzione con il controllo OCSP sul server RADIUS per garantire la revoca immediata quando un account viene disattivato, fornendo una difesa in profondità tra i cicli di scadenza dei certificati.
Q4. Il tuo server NDES restituisce errori HTTP 403 Forbidden per tutte le richieste di certificati SCEP. Il server NDES è accessibile da Internet tramite Azure AD Application Proxy. Quali sono le due cause più probabili di questo errore e come si diagnostica ciascuna di esse?
Suggerimento: Considera sia i permessi sul modello di certificato sia il percorso di rete tra il dispositivo e il server NDES.
Visualizza risposta modello
Le due cause più probabili sono: in primo luogo, l'account di servizio Intune Certificate Connector non dispone dei permessi necessari sul modello di certificato della CA. Verificare che l'account di servizio abbia i permessi di 'Lettura' e 'Iscrizione' sul modello nella console della CA. In secondo luogo, il firewall o l'Application Proxy sta bloccando i parametri specifici della stringa di query utilizzati da SCEP. Controllare i log del firewall e dell'Application Proxy per richieste contenenti parametri come "?operation=GetCACaps" o "?operation=PKIOperation". Queste sono operazioni SCEP standard che devono essere consentite. Se l'Application Proxy sta rimuovendo le stringhe di query, regolare le impostazioni di pre-autenticazione per consentire il pass-through per il percorso URL di NDES.
Continua a leggere questa serie
Come segregare in sicurezza le reti WiFi del personale e degli ospiti
Questa guida tecnica autorevole fornisce ai leader IT strategie pratiche per segregare in sicurezza le reti WiFi del personale, degli ospiti e dei dispositivi IoT utilizzando VLAN e 802.1X. Descrive dettagliatamente come proteggere l'infrastruttura aziendale, mantenere la conformità PCI DSS e sfruttare i captive portal per raccogliere dati di prima parte.
Il miglior filtro DNS: una guida completa per le aziende
Questa guida tecnica di riferimento spiega in che modo il filtraggio DNS aziendale protegge le reti pubbliche bloccando i domini dannosi a livello di risoluzione - prima ancora che venga stabilita una connessione. Fornisce ai direttori IT, agli architetti di rete e ai team operativi delle sedi l'architettura di implementazione, la configurazione del firewall e il contesto di conformità necessari per proteggere il WiFi per gli ospiti in ambienti alberghieri, retail e del settore pubblico. Purple Shield blocca malware, botnet e contenuti inappropriati a livello DNS in oltre 80.000 sedi attive.
Comprensione di Cisco SUDI: Identità ancorata all'hardware nel controllo degli accessi di rete sicuro
Questa guida spiega come Cisco SUDI fornisca un'identità crittograficamente sicura e ancorata all'hardware per l'infrastruttura di rete aziendale. Scopri come sostituire gli indirizzi MAC facilmente falsificabili con certificati 802.1AR immutabili per proteggere il controllo degli accessi alla rete della tua struttura.