Vai al contenuto principale
Italiano

Microsoft Intune WiFi Certificate Deployment via SCEP and PKCS

Questa guida fornisce un riferimento tecnico dettagliato per la distribuzione di certificati di autenticazione WiFi tramite Microsoft Intune utilizzando SCEP e PKCS. È progettata per IT manager e architetti di rete che implementano il WiFi 802.1X senza password per garantire una connettività fluida e sicura negli ambienti aziendali.

📖 6 minuti di lettura📝 1,299 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

header_image.png

Executive Summary

Per le sedi aziendali — che si tratti di un dinamico ambiente Hospitality , di un'operazione Retail multi-sito o di un moderno campus aziendale — affidarsi a chiavi precondivise o a Captive Portal di base per il WiFi del personale rappresenta una vulnerabilità di sicurezza e un collo di bottiglia operativo. La moderna architettura di rete richiede l'autenticazione 802.1X tramite EAP-TLS, garantendo che ogni dispositivo sia verificato crittograficamente prima di accedere alla rete.

Tuttavia, la sfida risiede nella distribuzione: come distribuire certificati client univoci a migliaia di dispositivi Windows, iOS e Android senza sommergere l'helpdesk di ticket di supporto? Microsoft Intune risolve questo problema attraverso la gestione automatizzata del ciclo di vita dei certificati. Sfruttando i profili di certificato SCEP (Simple Certificate Enrollment Protocol) o PKCS (Public Key Cryptography Standards), i team IT possono distribuire silenziosamente certificati root e client attendibili agli endpoint gestiti.

Questa guida fornisce un modello architetturale definitivo e una strategia di implementazione dettagliata per la distribuzione dei certificati WiFi di Intune. Esploreremo le differenze cruciali tra SCEP e PKCS, analizzeremo l'esatta sequenza di distribuzione richiesta per il successo e delineeremo strategie di mitigazione del rischio reali per garantire che il Guest WiFi e le reti aziendali rimangano sicuri e performanti.

Ascolta il podcast di approfondimento associato: microsoft_intune_wifi_certificate_deployment_via_scep_and_pkcs_podcast.wav

Approfondimento Tecnico: SCEP vs. PKCS

Durante la progettazione della strategia di distribuzione dei certificati WiFi di Intune, la prima decisione architetturale riguarda la selezione del meccanismo di distribuzione dei certificati. Intune supporta sia SCEP che PKCS, ma operano in modo fondamentalmente diverso.

SCEP (Simple Certificate Enrollment Protocol)

SCEP è lo standard di settore per la registrazione dei dispositivi aziendali. In un flusso di lavoro SCEP, il servizio Intune indica all'endpoint di generare la propria coppia di chiavi privata/pubblica. Il dispositivo crea quindi una richiesta di firma del certificato (CSR) e la invia tramite un server NDES (Network Device Enrollment Service) alla Certificate Authority (CA). La CA firma la richiesta e restituisce il certificato pubblico al dispositivo.

Il vantaggio cruciale in termini di sicurezza di SCEP è che la chiave privata non lascia mai il dispositivo. Viene generata localmente, memorizzata nell'enclave sicura del dispositivo (come il TPM su Windows o il Secure Enclave su iOS) e non viene mai trasmessa sulla rete. Questo rende SCEP l'approccio fortemente raccomandato per l'autenticazione 802.1X.

PKCS (Public Key Cryptography Standards)

Al contrario, con PKCS, l'Autorità di Certificazione genera sia la chiave pubblica che quella privata a livello centrale. Il Microsoft Intune Certificate Connector esporta quindi in modo sicuro questa coppia di chiavi e la distribuisce al dispositivo di destinazione.

Sebbene PKCS elimini la necessità di distribuire e gestire un server NDES — semplificando l'impatto sull'infrastruttura — introduce un rischio di sicurezza teorico poiché la chiave privata viene trasmessa sulla rete. PKCS è generalmente più adatto per i casi d'uso in cui è richiesto il deposito della chiave (key escrow), come la crittografia e-mail S/MIME, piuttosto che per l'autenticazione di rete.

scep_vs_pkcs_comparison.png

Guida all'implementazione: La sequenza di distribuzione

La corretta configurazione di un profilo WiFi Intune per 802.1X richiede il rispetto rigoroso di una specifica sequenza di distribuzione. Le dipendenze del profilo Intune impongono che la relazione di attendibilità venga stabilita prima che sia possibile configurare l'autenticazione.

Passaggio 1: Distribuire il profilo del certificato radice attendibile

Prima che un dispositivo possa richiedere un certificato client o considerare attendibile il server RADIUS, deve considerare attendibile l'Autorità di Certificazione emittente.

  1. Esporta il certificato della CA radice (e gli eventuali certificati della CA intermedia) come file .cer.
  2. Nel centro amministrativo di Microsoft Endpoint Manager, vai su Dispositivi > Profili di configurazione > Crea profilo.
  3. Seleziona la piattaforma di destinazione (ad es. Windows 10 e versioni successive) e scegli il tipo di profilo Certificato attendibile.
  4. Carica il file .cer e distribuisci questo profilo ai gruppi di dispositivi di destinazione.

Regola empirica: Indirizza sempre gli stessi gruppi (Utenti o Dispositivi) in tutti i profili correlati per evitare discrepanze nella distribuzione.

Passaggio 2: Configurare il profilo del certificato SCEP

Una volta stabilita la relazione di attendibilità, configura il profilo SCEP per istruire i dispositivi su come ottenere il proprio certificato client.

  1. Crea un nuovo profilo di configurazione e seleziona Certificato SCEP.
  2. Configura il Formato del nome del soggetto. Per l'autenticazione gestita dall'utente, lo standard è CN={{UserPrincipalName}}. Per l'autenticazione del dispositivo, utilizza CN={{AAD_Device_ID}}.
  3. Imposta l'Utilizzo della chiave su Firma digitale e Crittografia della chiave.
  4. In Utilizzo chiavi avanzato, specifica Autenticazione client (OID: 1.3.6.1.5.5.7.3.2).
  5. Collega questo profilo al profilo del certificato radice attendibile creato al Passaggio 1.
  6. Fornisci l'URL esterno del tuo server NDES.

Passaggio 3: Distribuire il profilo WiFi 802.1X

Il passaggio finale consiste nell'inviare la configurazione WiFi che associa i certificati al SSID di rete.

  1. Crea un profilo di configurazione Wi-Fi.
  2. Inserisci il Nome della rete (SSID) esattamente come viene trasmesso dai tuoi Wireless Access Points .
  3. Seleziona WPA2-Enterprise o WPA3-Enterprise come tipo di sicurezza.
  4. Imposta il Tipo EAP su EAP-TLS.
  5. Nelle impostazioni di autenticazione, seleziona il profilo del certificato SCEP creato nel Passaggio 2 come certificato di autenticazione client.
  6. Specifica il certificato Trusted Root per la convalida del server per garantire che il dispositivo si connetta esclusivamente al tuo server RADIUS legittimo.

architecture_overview.png

Best Practice e Standard di Settore

Durante l'implementazione della distribuzione dei certificati Wi-Fi con Intune, attieniti alle seguenti best practice indipendenti dal fornitore per garantire conformità e affidabilità.

Posizionamento e Sicurezza del Server NDES

Il server NDES deve essere accessibile da Internet per consentire ai dispositivi remoti di eseguire il provisioning dei certificati prima di arrivare in sede. Tuttavia, esporre direttamente un server interno a Internet rappresenta un rischio di sicurezza significativo.

Raccomandazione: Pubblica l'URL NDES utilizzando Azure AD Application Proxy. Questo fornisce un accesso remoto sicuro senza aprire porte in entrata nel firewall e consente di applicare criteri di Accesso Condizionale al flusso di registrazione.

RADIUS e Controllo CRL

La distribuzione dei certificati è solo metà dell'equazione di sicurezza; la revoca è altrettanto fondamentale. Se un dipendente viene licenziato, la disattivazione del suo account Active Directory potrebbe non revocare immediatamente il suo accesso Wi-Fi se il suo certificato client rimane valido e il server RADIUS non controlla rigorosamente la Certificate Revocation List (CRL).

Raccomandazione: Configura il tuo Network Policy Server (NPS) o server RADIUS per imporre un controllo CRL rigoroso. Assicurati che i tuoi CRL Distribution Points (CDP) siano altamente disponibili; se il server RADIUS non riesce a raggiungere la CRL, l'autenticazione fallirà, causando un'interruzione diffusa del servizio.

Per ulteriori approfondimenti sulla progettazione di reti sicure, ti consigliamo di consultare The Core SD WAN Benefits for Modern Businesses .

Risoluzione dei Problemi e Mitigazione dei Rischi

Anche con una pianificazione meticolosa, la distribuzione dei certificati può riscontrare problemi. Di seguito sono riportati i casi di errore più comuni e le relative strategie di mitigazione.

Problema: Impossibile Applicare il Profilo Wi-Fi

Sintomo: Il dispositivo riceve i certificati Trusted Root e SCEP, ma il profilo Wi-Fi viene visualizzato come 'Errore' o 'Non applicabile' in Intune.

Causa principale: Questo problema è quasi sempre causato da una mancata corrispondenza nel targeting dei gruppi. Se il profilo SCEP è assegnato a un Gruppo Utenti, ma il profilo Wi-Fi è assegnato a un Gruppo Dispositivi, Intune non può risolvere la dipendenza.

Mitigazione: Verifica le tue assegnazioni. Assicurati che i profili Trusted Root, SCEP e Wi-Fi siano tutti distribuiti esattamente allo stesso gruppo Azure AD.

Problema: Errori NDES 403 Forbidden

Sintomo: I dispositivi non riescono a recuperare il certificato SCEP e i log IIS di NDES mostrano errori HTTP 403.

Causa principale: L'account di servizio Intune Certificate Connector non dispone delle autorizzazioni necessarie sul modello di certificato, oppure il filtraggio degli URL sul firewall sta bloccando i parametri specifici della stringa di query utilizzati da SCEP. Mitigation: Verificare che l'account del connettore disponga delle autorizzazioni 'Read' e 'Enroll' sul modello di CA. Controllare i log del firewall per assicurarsi che gli URL contenenti ?operation=GetCACaps non vengano bloccati.

ROI & Business Impact

Il passaggio alla distribuzione dei certificati Microsoft Intune 802.1X offre ritorni misurabili in termini di sicurezza e operatività.

  1. Riduzione dei ticket di assistenza: Il WiFi basato su password genera un volume significativo di ticket di supporto (scadenze delle password, blocchi, errori di digitazione). L'autenticazione basata su certificati è invisibile all'utente, riducendo in genere il volume dell'helpdesk relativo al WiFi del 70-80%.
  2. Miglioramento della sicurezza: EAP-TLS elimina il rischio di raccolta delle credenziali e di attacchi Man-in-the-Middle (MitM). Questo è fondamentale per la conformità a framework come PCI DSS e GDPR, in particolare negli ambienti Healthcare e retail.
  3. Onboarding fluido: Per le organizzazioni che gestiscono grandi flotte di dispositivi Apple insieme a Windows, l'integrazione di Intune con i flussi di lavoro MDM esistenti (vedere la nostra guida su Jamf and RADIUS: Certificate-Based WiFi Authentication for Apple Device Fleets ) garantisce un'esperienza di provisioning unificata e zero-touch fin dal primo giorno.

Definizioni chiave

SCEP (Simple Certificate Enrollment Protocol)

Un protocollo che consente ai dispositivi di richiedere certificati digitali a una Certificate Authority, in cui la chiave privata viene generata e memorizzata in modo sicuro sul dispositivo stesso.

Il metodo consigliato per distribuire i certificati di autenticazione WiFi grazie alla sua elevata sicurezza e scalabilità.

PKCS (Public Key Cryptography Standards)

Un insieme di standard in cui sia la chiave pubblica che quella privata vengono generate dalla Certificate Authority e poi consegnate in modo sicuro all'endpoint.

Spesso utilizzato per la crittografia delle e-mail S/MIME, ma meno ideale per il WiFi a causa della trasmissione in rete della chiave privata.

NDES (Network Device Enrollment Service)

Un ruolo di Microsoft Windows Server che funge da ponte, consentendo ai dispositivi privi di credenziali di dominio di ottenere certificati tramite SCEP.

Un componente infrastrutturale richiesto quando si implementa la distribuzione dei certificati SCEP con Microsoft Intune.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Il metodo di autenticazione 802.1X più sicuro, che richiede sia al server che al client di presentare certificati digitali validi.

Il protocollo di autenticazione di destinazione che i profili WiFi e dei certificati di Intune sono progettati per abilitare.

CRL (Certificate Revocation List)

Un elenco pubblicato dalla Certificate Authority contenente i numeri di serie dei certificati che sono stati revocati prima della loro data di scadenza.

Critico per la sicurezza; i server RADIUS devono controllare la CRL per garantire che i dipendenti licenziati non possano accedere al WiFi utilizzando un certificato altrimenti valido.

Intune Certificate Connector

Un agente software installato su un Windows Server locale che gestisce le richieste tra Microsoft Intune e la Certificate Authority interna.

Richiesto sia per le distribuzioni SCEP (per convalidare le richieste) che PKCS (per esportare le chiavi).

Subject Alternative Name (SAN)

Un'estensione di un certificato digitale che consente di associare al certificato più valori (come UPN, e-mail o indirizzo MAC).

Configurato nel profilo SCEP di Intune per garantire che il server RADIUS possa identificare accuratamente l'utente o il dispositivo.

Azure AD Application Proxy

Una funzionalità che fornisce un accesso remoto sicuro alle applicazioni web locali senza richiedere una VPN o l'apertura di porte in entrata nel firewall.

Il metodo basato sulle migliori pratiche per pubblicare in modo sicuro l'URL del server NDES interno su Internet per la registrazione dei dispositivi remoti.

Esempi pratici

Una catena di vendita al dettaglio nazionale con 500 punti vendita sta migrando da WPA2-Personal (Pre-Shared Key) a WPA3-Enterprise per i tablet dei dipendenti del negozio (Android Enterprise Dedicated Devices). Utilizzano Intune come MDM. Come dovrebbero progettare la distribuzione dei certificati?

  1. Distribuire un server NDES pubblicato tramite Azure AD App Proxy.
  2. Creare un profilo di certificato SCEP basato su dispositivo in Intune, poiché si tratta di dispositivi dedicati (kiosk) non associati a un utente specifico. Utilizzare CN={{AAD_Device_ID}} per il Subject Name.
  3. Distribuire il profilo Root CA al gruppo di dispositivi Azure AD 'All Store Tablets'.
  4. Distribuire il profilo SCEP allo stesso gruppo 'All Store Tablets'.
  5. Creare un profilo Wi-Fi configurato per WPA3-Enterprise, EAP-TLS, facendo riferimento al profilo SCEP, e distribuirlo allo stesso gruppo.
  6. Configurare i server RADIUS centrali per autenticare i certificati dei dispositivi rispetto agli oggetti computer di Active Directory.
Commento dell'esaminatore: Questo approccio identifica correttamente che i dispositivi dedicati richiedono certificati basati su dispositivo (e non su utente). Indirizzando i gruppi di dispositivi in modo coerente in tutti e tre i profili, l'architetto evita il fallimento di distribuzione più comune in Intune. L'uso di Azure AD App Proxy per NDES garantisce che i tablet possano rinnovare i certificati in modo sicuro senza VPN.

Un grande centro congressi utilizza Purple per i propri [WiFi Analytics](/products/wifi-analytics) e Guest WiFi, ma deve proteggere la rete interna del personale. Il personale utilizza un mix di laptop Windows aziendali e dispositivi iOS BYOD. Come gestiscono la distribuzione di Intune per i dispositivi BYOD?

  1. Richiedere agli utenti BYOD di registrare i propri dispositivi iOS tramite Intune User Enrollment (creando una partizione di lavoro sicura).
  2. Creare un profilo di certificato SCEP basato su utente utilizzando CN={{UserPrincipalName}}.
  3. Distribuire i profili Root CA, SCEP e Wi-Fi a un gruppo di utenti Azure AD (ad esempio, 'All Staff').
  4. Quando l'utente registra il proprio dispositivo personale, Intune invia i profili specificamente alla partizione di lavoro gestita.
  5. Il dispositivo si connette all'SSID del personale utilizzando l'identità dell'utente, consentendo al server RADIUS di applicare il controllo degli accessi basato sui ruoli (assegnazione VLAN) in base alla loro appartenenza al gruppo AD.
Commento dell'esaminatore: Questa soluzione applica correttamente la registrazione dell'utente (User Enrollment) per una gestione BYOD che tutela la privacy. Indirizzando i gruppi di utenti, i certificati seguono il dipendente indipendentemente dal dispositivo registrato. L'integrazione del controllo degli accessi basato sui ruoli tramite RADIUS dimostra una progettazione di rete avanzata.

Domande di esercitazione

Q1. Hai distribuito i profili Root CA, SCEP e Wi-Fi sui tuoi dispositivi Windows 10. I certificati vengono installati correttamente, ma l'applicazione del profilo Wi-Fi non va a buon fine, mostrando "Errore" nella console Intune. Qual è la causa più probabile?

Suggerimento: Verifica come i profili sono assegnati ai gruppi Azure AD.

Visualizza risposta modello

La causa più probabile è una discrepanza nel targeting dei gruppi. Se il profilo SCEP è stato assegnato a un Gruppo Utenti, ma il profilo Wi-Fi è stato assegnato a un Gruppo Dispositivi, Intune non può risolvere la dipendenza tra di essi. Tutti e tre i profili (Root, SCEP, Wi-Fi) devono essere indirizzati esattamente allo stesso tipo di gruppo.

Q2. Il tuo team di sicurezza impone che le chiavi private non vengano mai trasmesse sulla rete, anche se crittografate. Quale metodo di distribuzione dei certificati devi utilizzare in Intune e quale server di infrastruttura aggiuntivo è richiesto?

Suggerimento: Pensa a dove viene generata la coppia di chiavi.

Visualizza risposta modello

È necessario utilizzare SCEP (Simple Certificate Enrollment Protocol). Poiché SCEP indica al dispositivo endpoint di generare la chiave privata localmente, questa non attraversa mai la rete. Questa distribuzione richiede un server NDES (Network Device Enrollment Service) che funga da ponte verso la Certificate Authority.

Q3. Un dipendente da remoto configura un nuovo laptop da casa tramite Windows Autopilot. I profili Intune vengono distribuiti correttamente, ma il dispositivo non riesce a ottenere il certificato SCEP. Quale configurazione dell'infrastruttura è probabilmente mancante?

Suggerimento: In che modo il dispositivo raggiunge la CA interna da Internet?

Visualizza risposta modello

Il server NDES probabilmente non è stato pubblicato su Internet. Affinché i dispositivi remoti possano richiedere i certificati prima di arrivare in ufficio, l'URL NDES deve essere accessibile dall'esterno, idealmente pubblicato in modo sicuro tramite Azure AD Application Proxy.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →