Vai al contenuto principale
Italiano

La guida enterprise a SCEP: implementare il Simple Certificate Enrollment Protocol per la sicurezza automatizzata del WiFi nei campus

Questa guida di riferimento tecnico fornisce un modello architetturale definitivo e una strategia di implementazione passo-passo per la distribuzione dei certificati WiFi aziendali tramite SCEP. Copre le differenze cruciali tra SCEP e PKCS, l'esatta sequenza di implementazione necessaria per il successo e le strategie reali di mitigazione del rischio per i leader IT.

📖 6 minuti di lettura📝 1,270 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Buongiorno. Se gestite un'infrastruttura WiFi in un gruppo alberghiero, una rete di vendita al dettaglio, uno stadio o un campus universitario, questo briefing fa al caso vostro. Parleremo di SCEP - Simple Certificate Enrollment Protocol - e in particolare di come risolve uno dei grattacapi più persistenti nel WiFi aziendale: installare automaticamente i certificati su migliaia di dispositivi, senza che il vostro helpdesk venga sommerso di ticket. [short pause] Lasciate che vi descriva lo scenario. Avete deciso - giustamente - che le chiavi precondivise non sono più accettabili per il WiFi del personale. Una singola password compromessa espone l'intero segmento di rete. Siete passati, o state passando, all'autenticazione 802.1X. Si tratta dello standard IEEE che richiede a ogni dispositivo di dimostrare la propria identità prima di ottenere l'accesso alla rete. La versione più sicura di 802.1X è EAP-TLS - Extensible Authentication Protocol con Transport Layer Security - che utilizza certificati digitali anziché password. I certificati sono crittograficamente univoci per dispositivo, non possono essere condivisi e possono essere revocati istantaneamente se un dispositivo viene smarrito o un dipendente lascia l'azienda. [short pause] Fin qui tutto bene. Il problema è la distribuzione. Come si fa a installare un certificato univoco su ogni laptop, telefono o tablet della vostra azienda - su Windows, iOS, Android, macOS - senza che un tecnico debba toccare ogni singolo dispositivo? Questo è esattamente ciò che risolve SCEP. [medium pause] SCEP è stato formalizzato dall'Internet Engineering Task Force nella RFC 8894 nel 2020, sebbene sia in uso negli ambienti aziendali fin dai primi anni 2000. È un protocollo che consente a un dispositivo gestito di richiedere il proprio certificato direttamente alla vostra Certificate Authority, utilizzando un URL preconfigurato e una password di verifica. Il punto critico per la sicurezza: la chiave privata viene generata sul dispositivo stesso, memorizzata nell'enclave sicuro del dispositivo - ovvero il chip TPM sui dispositivi Windows o il Secure Enclave sull'hardware Apple - e non viaggia mai attraverso la rete. Il dispositivo genera una Certificate Signing Request, la invia al gateway SCEP, il gateway convalida la richiesta, la inoltra alla vostra Certificate Authority, la CA la firma e il certificato firmato torna al dispositivo. L'intero processo è invisibile all'utente finale. [short pause] Ora, in un ambiente Microsoft, il gateway SCEP è tipicamente NDES - Network Device Enrollment Service - un ruolo di Windows Server che funge da intermediario tra la vostra piattaforma MDM e la vostra CA. Microsoft Intune invia il profilo SCEP ai dispositivi gestiti, comunicando loro l'URL NDES e la password di verifica. I dispositivi fanno il resto automaticamente. [medium pause] Lasciate che vi illustri come si presenta una distribuzione reale. Prendiamo un gruppo alberghiero con 150 strutture - pensate alla scala di Premier Inn. Hanno un mix di laptop Windows per il personale della reception, dispositivi iOS per i supervisori delle pulizie e tablet Android nei punti vendita del ristorante. Prima di SCEP, utilizzavano WPA2-Personal con una password condivisa ruotata trimestralmente. Ogni rotazione generava un'ondata di chiamate all'helpdesk. Con SCEP e Intune, distribuiscono tre profili in sequenza. Primo, il profilo Trusted Root Certificate - questo dice a ogni dispositivo di considerare attendibile la Certificate Authority dell'azienda. Secondo, il profilo SCEP Certificate - questo indica ai dispositivi di andare a ritirare il loro certificato client univoco. Terzo, il profilo WiFi - questo configura l'SSID, imposta il tipo di sicurezza su WPA2-Enterprise o WPA3-Enterprise e punta al certificato SCEP per l'autenticazione. Distribuite questi tre profili allo stesso gruppo di dispositivi in Intune e ogni dispositivo gestito si connetterà automaticamente all'SSID aziendale, con un certificato univoco, senza richiedere alcuna interazione da parte dell'utente. [short pause] Il server RADIUS - tipicamente Microsoft NPS o un servizio RADIUS cloud - riceve la richiesta di autenticazione EAP-TLS, convalida il certificato rispetto alla CA, controlla la Certificate Revocation List e concede o nega l'accesso. Se un dipendente viene licenziato, revocate il suo certificato nella CA. Il suo dispositivo perderà l'accesso al WiFi al ciclo di autenticazione successivo. Nessun ripristino della password richiesto. Nessuna attesa per una rotazione trimestrale. [medium pause] Ora, spesso ci si chiede quale sia la differenza tra SCEP e PKCS - Public Key Cryptography Standards. Entrambi funzionano con Intune. La differenza fondamentale risiede nel punto in cui viene generata la chiave privata. Con SCEP, viene generata sul dispositivo. Con PKCS, la CA genera entrambe le chiavi centralmente e invia la chiave privata al dispositivo. Ciò significa che la chiave privata viaggia attraverso la rete, il che introduce un rischio teorico di intercettazione. PKCS ha una sua utilità: è più adatto per la crittografia delle e-mail S/MIME in cui il deposito delle chiavi è importante. Per l'autenticazione WiFi, SCEP è la scelta giusta. Sempre. [short pause] Lasciate che vi presenti un secondo scenario: una rete di vendita al dettaglio. Immaginate un rivenditore di moda con 200 negozi in tutto il Regno Unito, ciascuno dei quali utilizza access points Cisco Meraki. I loro sistemi di punto vendita sono basati su Windows, gestiti tramite Intune. Hanno bisogno della conformità PCI DSS, il che significa segmentazione della rete e autenticazione forte per qualsiasi dispositivo che gestisca i dati dei titolari di carta. L'EAP-TLS basato su SCEP offre loro l'autenticazione a livello di dispositivo sull'SSID del personale, con l'assegnazione della VLAN guidata dalla policy RADIUS. I terminali POS finiscono automaticamente sulla VLAN inclusa nell'ambito PCI. Il Guest WiFi - gestito separatamente tramite una piattaforma come Purple - funziona su un SSID completamente isolato con il proprio flusso di autenticazione. Le due reti non si toccano mai. Gli auditor sono soddisfatti. Il team di sicurezza dorme sonni più tranquilli. [medium pause] Bene, parliamo delle insidie, perché ce ne sono alcune che colgono di sorpresa i team. [short pause] La modalità di errore più comune è il disallineamento del targeting dei gruppi in Intune. Il profilo Trusted Root, il profilo SCEP e il profilo WiFi devono avere tutti come target lo stesso gruppo Azure AD. Se il profilo SCEP ha come target un gruppo Utenti e il profilo WiFi ha come target un gruppo Dispositivi, Intune non può risolvere la dipendenza e il profilo WiFi viene visualizzato come errore. Controllate prima le vostre assegnazioni: quasi sempre il colpevole è lì. [short pause] Seconda insidia: disponibilità del server NDES. Il server NDES deve essere raggiungibile da Internet affinché i dispositivi remoti possano registrarsi prima di arrivare in sede. Il modo sicuro per farlo è tramite Azure AD Application Proxy, che offre l'accesso remoto senza aprire porte in entrata nel firewall. Non esponete NDES direttamente a Internet. [short pause] Terzo: disponibilità della CRL. Il server RADIUS controlla la Certificate Revocation List ogni volta che un dispositivo si autentica. Se il CRL Distribution Point non è raggiungibile - forse un server è offline o una regola del firewall è cambiata - l'autenticazione fallisce per tutti. Rendete i vostri endpoint CRL altamente disponibili e testateli regolarmente. [short pause] Quarto: autorizzazioni del modello di certificato. Se l'account di servizio del connettore NDES non dispone delle autorizzazioni di Lettura e Registrazione sul modello di certificato, i dispositivi riceveranno errori HTTP 403 quando tenteranno di ritirare il proprio certificato. Si tratta di una semplice correzione delle autorizzazioni, ma è facile dimenticarsene durante la configurazione iniziale. [medium pause] Ora passiamo a una serie di domande rapide. [short pause] SCEP può funzionare con MDM non Microsoft? Sì - Jamf per le flotte di dispositivi Apple, VMware Workspace ONE e la maggior parte delle piattaforme MDM aziendali supportano i profili SCEP. Il protocollo è indipendente dal fornitore. [short pause] SCEP funziona con la PKI cloud? Sì. La PKI cloud di Microsoft in Intune Suite elimina completamente la necessità di un server NDES on-premises. Anche i provider di PKI cloud di terze parti come SecureW2 e Keyfactor offrono endpoint SCEP cloud. [short pause] E per quanto riguarda WPA3-Enterprise? WPA3-Enterprise utilizza lo stesso stack di autenticazione 802.1X ed EAP-TLS. I certificati emessi tramite SCEP funzionano in modo identico. L'aggiornamento avviene a livello di protocollo wireless, non a livello di certificato. [short pause] Quanto durano i certificati? In genere un anno, anche se è possibile configurare periodi di validità più brevi. Intune gestisce il rinnovo automatico prima della scadenza, in modo che gli utenti non subiscano mai interruzioni. [medium pause] Per riassumere. SCEP automatizza la distribuzione dei certificati su scala, eliminando il sovraccarico manuale della distribuzione della PKI su grandi flotte di dispositivi. La chiave privata rimane sul dispositivo: questa è la base di sicurezza di EAP-TLS. Eseguite la distribuzione in sequenza: prima Trusted Root, poi il profilo SCEP, infine il profilo WiFi, tutti con lo stesso gruppo come target. Pubblicate il vostro endpoint NDES in modo sicuro tramite Application Proxy. Mantenete i vostri endpoint CRL altamente disponibili. E se state partendo da zero, valutate la PKI cloud per rimuovere completamente la dipendenza da NDES on-premises. [short pause] Per il Guest WiFi - la rete separata rivolta ai visitatori - l'autenticazione basata su certificati non è il modello corretto. Gli ospiti non hanno dispositivi gestiti. È qui che una piattaforma come Purple gestisce il flusso di autenticazione: Captive Portal, login social, acquisizione e-mail o verifica tramite SMS, il tutto confluendo in un livello di dati proprietari che il vostro team di marketing può effettivamente utilizzare. I due approcci si completano a vicenda: SCEP per il parco dispositivi gestito del personale, Purple per la rete ospiti. Entrambi in esecuzione sullo stesso hardware, nettamente segmentati tramite VLAN. [short pause] Questo è il vostro briefing sull'onboarding WiFi aziendale tramite SCEP. La guida scritta completa, con diagrammi architetturali, configurazione passo-passo di Intune ed esempi pratici, è disponibile sul sito web di Purple. Grazie per l'ascolto.

header_image.png

Executive Summary

Per le sedi aziendali, che si tratti di un vivace ambiente alberghiero, di un'operazione di vendita al dettaglio multi-sito o di un moderno campus aziendale, affidarsi a chiavi precondivise o a Captive Portal di base per il WiFi del personale rappresenta una vulnerabilità di sicurezza e un collo di bottiglia operativo. La moderna architettura di rete richiede l'autenticazione 802.1X tramite EAP-TLS, garantendo che ogni dispositivo sia verificato crittograficamente prima di accedere alla rete.

La sfida risiede nella distribuzione: come distribuire certificati client univoci a migliaia di dispositivi Windows, iOS e Android senza sommergere l'helpdesk di ticket di supporto? Microsoft Intune e altre piattaforme MDM risolvono questo problema attraverso la gestione automatizzata del ciclo di vita dei certificati. Distribuendo profili Simple Certificate Enrollment Protocol (SCEP), i team IT inviano silenziosamente certificati root e client attendibili agli endpoint gestiti.

Questa guida fornisce un modello architetturale definitivo e una strategia di implementazione passo-passo per la distribuzione dei certificati WiFi aziendali. Esploriamo le differenze fondamentali tra SCEP e PKCS, dettagliamo l'esatta sequenza di implementazione richiesta per il successo e delineiamo strategie reali di mitigazione del rischio per garantire che il vostro Guest WiFi e le reti aziendali rimangano sicuri e performanti.

Listen to the Briefing

Technical Deep-Dive: SCEP Architecture

Quando si progetta la strategia di distribuzione dei certificati WiFi aziendali, la prima decisione architetturale consiste nel selezionare il meccanismo di consegna dei certificati. Le piattaforme di gestione dei dispositivi mobili supportano sia SCEP e PKCS, ma funzionano in modo fondamentalmente diverso.

Simple Certificate Enrollment Protocol (SCEP)

SCEP è lo standard del settore per la registrazione dei dispositivi aziendali. In un flusso di lavoro SCEP, il servizio di gestione indica all'endpoint di generare la propria coppia di chiavi privata e pubblica. Il dispositivo crea una Certificate Signing Request (CSR) e la invia tramite un server Network Device Enrollment Service (NDES) alla vostra Certificate Authority (CA). La CA firma la richiesta e restituisce il certificato pubblico al dispositivo.

Il vantaggio critico in termini di sicurezza di SCEP è che la chiave privata non lascia mai il dispositivo. Viene generata localmente, memorizzata nell'enclave sicuro del dispositivo (come il TPM su Windows o il Secure Enclave su iOS) e non viene mai trasmessa sulla rete. Ciò rende SCEP l'approccio fortemente raccomandato per l'autenticazione 802.1X.

scep_architecture_overview.png

Public Key Cryptography Standards (PKCS)

Al contrario, con PKCS, la Certificate Authority genera sia la chiave pubblica che quella privata centralmente. Il connettore del certificato esporta in modo sicuro questa coppia di chiavi e la invia al dispositivo di destinazione.

Sebbene PKCS elimini la necessità di distribuire e mantenere un server NDES, semplificando l'impronta infrastrutturale, introduce un rischio teorico di sicurezza poiché la chiave privata viene trasmessa sulla rete. PKCS è generalmente più adatto per casi d'uso in cui è richiesto il deposito delle chiavi (key escrow), come la crittografia delle e-mail S/MIME, piuttosto che per l'autenticazione di rete.

scep_vs_pkcs_comparison.png

Implementation Guide: The Deployment Sequence

La corretta configurazione di un profilo WiFi gestito per 802.1X richiede il rigoroso rispetto di una specifica sequenza di distribuzione. Le dipendenze del profilo impongono che l'attendibilità debba essere stabilita prima che l'autenticazione possa essere configurata.

Step 1: Deploy the Trusted Root Certificate Profile

Prima che qualsiasi dispositivo possa richiedere un certificato client o considerare attendibile il server RADIUS, deve considerare attendibile la Certificate Authority emittente.

  1. Esportare il certificato della CA radice (Root CA) e gli eventuali certificati della CA intermedia come file .cer.
  2. Nella console MDM, creare un nuovo profilo di configurazione.
  3. Selezionare la piattaforma di destinazione e scegliere il tipo di profilo del certificato attendibile.
  4. Caricare il file .cer e distribuire questo profilo ai gruppi di dispositivi di destinazione.

Step 2: Configure the SCEP Certificate Profile

Una volta stabilita l'attendibilità, configurare il profilo SCEP per istruire i dispositivi su come ottenere il loro certificato client.

  1. Creare un nuovo profilo di configurazione e selezionare il certificato SCEP.
  2. Configurare il formato del nome del soggetto (subject name). Per l'autenticazione guidata dall'utente, CN={{UserPrincipalName}} è lo standard. Per l'autenticazione del dispositivo, utilizzare CN={{AAD_Device_ID}}.
  3. Impostare l'utilizzo della chiave su firma digitale (digital signature) e crittografia della chiave (key encipherment).
  4. In utilizzo avanzato della chiave (extended key usage), specificare l'autenticazione client (OID: 1.3.6.1.5.5.7.3.2).
  5. Collegare questo profilo al profilo del certificato root attendibile creato nello Step 1.
  6. Fornire l'URL esterno del gateway SCEP o del server NDES.

Step 3: Deploy the 802.1X WiFi Profile

Il passaggio finale consiste nell'inviare la configurazione WiFi che collega i certificati all'SSID di rete.

  1. Creare un profilo di configurazione WiFi.
  2. Inserire il nome della rete esattamente come viene trasmesso dai punti di accesso wireless.
  3. Selezionare WPA2-Enterprise o WPA3-Enterprise come tipo di sicurezza.
  4. Impostare il tipo di EAP su EAP-TLS.
  5. Nelle impostazioni di autenticazionegs, selezionare il profilo del certificato SCEP creato nel Passaggio 2 come certificato di autenticazione client.
  6. Specificare il certificato root attendibile per la convalida del server per garantire che il dispositivo si connetta solo al server RADIUS legittimo.

Best practice e standard di settore

Quando si implementa la distribuzione dei certificati SCEP, attenersi alle seguenti best practice indipendenti dal fornitore per garantire conformità e affidabilità.

Posizionamento e sicurezza del gateway SCEP

Il gateway SCEP deve essere accessibile da Internet per consentire ai dispositivi remoti di eseguire il provisioning dei certificati prima di arrivare in sede. Esporre un server interno direttamente a Internet rappresenta un rischio significativo per la sicurezza. Pubblicare l'URL SCEP utilizzando un proxy applicativo o un reverse proxy. Questo fornisce un accesso remoto sicuro senza aprire porte in entrata nel firewall e consente di applicare criteri di accesso condizionale al flusso di registrazione.

Controllo RADIUS e CRL

La distribuzione dei certificati è solo metà dell'equazione di sicurezza; la revoca è altrettanto fondamentale. Se un dipendente viene licenziato, la disattivazione del suo account di directory potrebbe non revocare immediatamente il suo accesso WiFi se il suo certificato client rimane valido e il server RADIUS non controlla rigorosamente la Certificate Revocation List (CRL).

Configurare il server RADIUS per applicare un controllo CRL rigoroso. Assicurarsi che i punti di distribuzione CRL siano altamente disponibili; se il server RADIUS non riesce a raggiungere la CRL, l'autenticazione fallirà, causando un'interruzione diffusa del servizio.

Per considerazioni più ampie sulla connettività moderna, consultare la nostra guida su Gestione della larghezza di banda: una guida pratica per il 2026 .

Risoluzione dei problemi e mitigazione dei rischi

Anche con una pianificazione meticolosa, la distribuzione dei certificati può riscontrare problemi. Di seguito sono riportati i casi di errore più comuni e le relative strategie di mitigazione.

Impossibile applicare il profilo WiFi

Il dispositivo riceve i certificati root attendibile e SCEP, ma il profilo WiFi viene visualizzato come errore o non applicabile nella console MDM. Questo è quasi sempre causato da una mancata corrispondenza nel targeting dei gruppi. Se il profilo SCEP è assegnato a un gruppo di utenti, ma il profilo WiFi è assegnato a un gruppo di dispositivi, l'MDM non può risolvere la dipendenza. Verificare le assegnazioni. Assicurarsi che i profili root attendibile, SCEP e WiFi siano tutti distribuiti esattamente allo stesso gruppo.

Errori Gateway 403 Forbidden

I dispositivi non riescono a recuperare il certificato SCEP e i log del gateway mostrano errori HTTP 403. L'account di servizio del connettore non dispone delle autorizzazioni necessarie sul modello di certificato, oppure il filtraggio URL sul firewall sta bloccando i parametri specifici della stringa di query utilizzati da SCEP. Verificare che l'account del connettore disponga delle autorizzazioni di lettura e registrazione sul modello CA. Controllare i log del firewall per assicurarsi che gli URL contenenti ?operation=GetCACaps non vengano bloccati.

ROI e impatto aziendale

La transizione alla distribuzione dei certificati 802.1X basata su SCEP offre ritorni misurabili in termini di sicurezza e operazioni.

  1. Riduzione dei ticket di helpdesk: Il WiFi basato su password genera un volume significativo di ticket di supporto relativi a scadenze delle password, blocchi e refusi. L'autenticazione basata su certificato è invisibile all'utente, riducendo in genere il volume di helpdesk relativo al WiFi del 70%.
  2. Miglioramento della postura di sicurezza: EAP-TLS elimina il rischio di raccolta delle credenziali e di attacchi Man-in-the-Middle. Questo è fondamentale per la conformità a framework come PCI DSS e GDPR, in particolare negli ambienti Retail e Sanità .
  3. Onboarding fluido: L'integrazione della distribuzione dei certificati con i flussi di lavoro MDM esistenti garantisce un'esperienza di provisioning unificata e zero-touch fin dal primo giorno.

Mentre SCEP protegge i dispositivi aziendali gestiti, le reti per ospiti e visitatori richiedono un approccio diverso. Per i dispositivi non gestiti, un captive portal con login social o verifica tramite SMS alimenta un livello di dati proprietari (first-party data), offrendo insight utili. Esplora la nostra piattaforma di WiFi Analytics per scoprire come questi dati generano entrate.

Definizioni chiave

SCEP (Simple Certificate Enrollment Protocol)

Un protocollo che consente ai dispositivi di richiedere certificati digitali a una Certificate Authority, in cui la chiave privata viene generata e memorizzata in modo sicuro sul dispositivo stesso.

Il metodo consigliato per la distribuzione dei certificati di autenticazione WiFi grazie alla sua elevata sicurezza e scalabilità tra le flotte aziendali.

PKCS (Public Key Cryptography Standards)

Un insieme di standard in cui sia la chiave pubblica che quella privata vengono generate dalla Certificate Authority e quindi consegnate in modo sicuro all'endpoint.

Spesso utilizzato per la crittografia delle e-mail S/MIME, ma meno ideale per l'autenticazione WiFi a causa della trasmissione in rete della chiave privata.

NDES (Network Device Enrollment Service)

Un ruolo di Microsoft Windows Server che funge da ponte, consentendo ai dispositivi senza credenziali di dominio di ottenere certificati tramite SCEP.

Un componente infrastrutturale richiesto quando si implementa la distribuzione dei certificati SCEP con PKI Microsoft on-premises.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Il metodo di autenticazione 802.1X più sicuro, che richiede sia al server che al client di presentare certificati digitali validi.

Il protocollo di autenticazione di destinazione che i profili WiFi e certificati MDM sono progettati per abilitare, eliminando l'accesso basato su password.

CRL (Certificate Revocation List)

Un elenco pubblicato dalla Certificate Authority contenente i numeri di serie dei certificati che sono stati revocati prima della data di scadenza prevista.

I server RADIUS devono controllare la CRL durante l'autenticazione per garantire che i dipendenti licenziati non possano accedere alla rete utilizzando un certificato precedentemente valido.

CSR (Certificate Signing Request)

Un blocco di testo codificato fornito a una Certificate Authority quando si richiede un certificato SSL/TLS, contenente la chiave pubblica e le informazioni sull'identità.

Generato localmente dal dispositivo gestito durante il flusso SCEP per richiedere la sua credenziale di identità univoca.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il framework fondamentale che impone il requisito di convalida del certificato EAP-TLS prima di concedere l'accesso alla rete.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce gestione centralizzata di autenticazione, autorizzazione e contabilità per gli utenti che si connettono e utilizzano un servizio di rete.

Il server che valuta il certificato client rispetto alla CA e alla CRL per prendere la decisione finale di consentire o negare l'accesso WiFi.

Esempi pratici

Un gruppo alberghiero con 150 strutture deve proteggere la rete del personale su un mix di laptop Windows per la reception, dispositivi iOS per il servizio di pulizia e tablet Android per i punti vendita del ristorante. Attualmente utilizzano WPA2-Personal con una password condivisa ruotata trimestralmente, generando un enorme volume di richieste all'helpdesk.

Il gruppo alberghiero distribuisce tre profili Intune in sequenza a un gruppo di dispositivi unificato. In primo luogo, un profilo Trusted Root Certificate stabilisce l'attendibilità con la Certificate Authority aziendale. In secondo luogo, un profilo SCEP Certificate indica ai dispositivi di richiedere un certificato client univoco. In terzo luogo, un profilo WiFi configura l'SSID aziendale con WPA3-Enterprise ed EAP-TLS, puntando al certificato SCEP per l'autenticazione. Il server RADIUS impone un controllo CRL rigoroso per revocare istantaneamente l'accesso in caso di cessazione del rapporto di lavoro di un dipendente.

Commento dell'esaminatore: Questo approccio elimina il sovraccarico della rotazione trimestrale delle password e protegge la rete dalla condivisione delle credenziali. SCEP viene scelto rispetto a PKCS per garantire che la chiave privata non lasci mai i singoli dispositivi, mantenendo una postura zero-trust su hardware diversi.

Un rivenditore di moda con 200 negozi richiede la conformità PCI DSS for i propri sistemi di punto vendita basati su Windows gestiti tramite Intune. Deve garantire un'autenticazione forte e una rigorosa segmentazione della rete per qualsiasi dispositivo che gestisca i dati dei titolari di carta.

Il rivenditore implementa EAP-TLS basato su SCEP per l'autenticazione a livello di dispositivo sull'SSID del personale. La policy RADIUS guida l'assegnazione della VLAN, inserendo automaticamente i terminali POS autenticati in una VLAN strettamente isolata e inclusa nell'ambito PCI. Il Guest WiFi è gestito su un SSID completamente separato con il proprio flusso di autenticazione tramite Captive Portal, garantendo che le due reti non si incrocino mai.

Commento dell'esaminatore: Collegando la segmentazione della rete direttamente all'autenticazione basata su certificati, il rivenditore soddisfa i requisiti PCI DSS senza configurazione manuale della rete per negozio. La separazione fisica della rete ospiti utilizzando una piattaforma come Purple previene l'estensione dell'ambito (scope creep) per l'audit PCI.

Domande di esercitazione

Q1. La tua distribuzione Intune mostra i profili Trusted Root e SCEP applicati correttamente al laptop di un utente, ma il profilo WiFi mostra uno stato di 'Errore'. L'utente non può connettersi all'SSID aziendale. Qual è la causa architetturale più probabile?

Suggerimento: Considera come le piattaforme MDM risolvono le dipendenze tra profili di configurazione correlati.

Visualizza risposta modello

Un disallineamento nel targeting dei gruppi. Il profilo SCEP è probabilmente assegnato a un gruppo Utenti, mentre il profilo WiFi è assegnato a un gruppo Dispositivi (o viceversa). Intune non può risolvere la dipendenza tra diversi tipi di gruppo, causando il fallimento della distribuzione del profilo WiFi. Controlla le assegnazioni e assicurati che tutti e tre i profili abbiano come target lo stesso identico gruppo Azure AD.

Q2. Una filiale appena acquisita richiede l'autenticazione 802.1X per i dispositivi del personale. Il loro team di sicurezza impone che le chiavi private non debbano mai attraversare la rete e debbano essere generate all'interno del TPM hardware dell'endpoint. Quale metodo di distribuzione dei certificati devi utilizzare?

Suggerimento: Confronta dove viene generata la chiave privata nel flusso di lavoro SCEP rispetto al flusso di lavoro PKCS.

Visualizza risposta modello

Devi utilizzare SCEP (Simple Certificate Enrollment Protocol). In un flusso di lavoro SCEP, il dispositivo genera la propria coppia di chiavi privata e pubblica localmente all'interno del suo enclave sicuro (TPM) e invia solo una Certificate Signing Request (CSR) attraverso la rete. PKCS genera la chiave privata centralmente sulla CA e la trasmette sulla rete, il che viola il mandato del team di sicurezza.

Q3. Un dipendente viene licenziato e il suo account Active Directory viene disabilitato. Tuttavia, il suo laptop rimane connesso alla rete WiFi aziendale per diverse ore prima di perdere l'accesso. Come si risolve questa lacuna di sicurezza?

Suggerimento: La disattivazione di un account non invalida un certificato esistente. Quale meccanismo utilizza il server RADIUS per verificare la validità del certificato?

Visualizza risposta modello

È necessario configurare il server RADIUS per imporre un controllo rigoroso della Certificate Revocation List (CRL). Quando un dipendente viene licenziato, il suo certificato deve essere esplicitamente revocato nella Certificate Authority. Il server RADIUS verificherà quindi la CRL durante il ciclo di autenticazione successivo e negherà immediatamente l'accesso, indipendentemente dallo stato dell'account Active Directory.

Continua a leggere questa serie

Come configurare un Captive Portal su Starlink: una guida per sedi remote e marittime

Questa guida spiega in dettaglio come escludere l'hardware nativo di Starlink e integrare un Captive Portal gestito in cloud utilizzando apparecchiature di routing aziendali. Imparerai come superare il limite del CGNAT, applicare la segmentazione VLAN, gestire i vincoli di larghezza di banda satellitare e garantire la conformità normativa.

Leggi la guida →

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Questa guida tecnica descrive in dettaglio come progettare reti WiFi per hotel di livello enterprise, concentrandosi sulla segmentazione VLAN, sull'integrazione PMS per la gestione automatizzata delle sessioni e sull'ottimizzazione del Captive Portal per l'acquisizione di dati conforme al GDPR.

Leggi la guida →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Questa guida tecnica offre a IT manager, architetti di rete e direttori operativi delle sedi un modello completo per l'implementazione di captive portal in grado di bilanciare la sicurezza di rete con un'elevata conversione degli utenti. Copre l'intera architettura, dalla segmentazione VLAN e l'autenticazione RADIUS fino alla progettazione del consenso conforme al GDPR e alla selezione del metodo di autenticazione. Tratta dall'esperienza operativa di Purple in oltre 80.000 sedi e 440 milioni di accessi nel 2024, ogni raccomandazione si basa su dati di implementazione reali.

Leggi la guida →