मुख्य मजकुराकडे जा
मराठी

डिव्हाइसेसवर WiFi सर्टिफिकेट्स पुश करण्यासाठी Microsoft Intune चा वापर कसा करावा

Microsoft Intune द्वारे 802.1X WiFi सर्टिफिकेट्स डिप्लॉय करण्यावर IT लीडर्ससाठी एक सर्वसमावेशक तांत्रिक संदर्भ. यामध्ये SCEP वि PKCS आर्किटेक्चर, अंमलबजावणीचे टप्पे, कंप्लायन्स मॅपिंग आणि एंटरप्राइझ वातावरणासाठी वास्तविक-जगातील डिप्लॉयमेंट परिस्थिती समाविष्ट आहे.

📖 7 मिनिट वाचन📝 1,541 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
डिव्हाइसेसवर WiFi सर्टिफिकेट्स पुश करण्यासाठी Microsoft Intune चा वापर कसा करावा एक Purple एंटरप्राइझ WiFi इंटेलिजन्स ब्रीफिंग [परिचय आणि संदर्भ — अंदाजे 1 मिनिट] पुन्हा स्वागत आहे. मी आज Purple, एंटरप्राइझ WiFi इंटेलिजन्स प्लॅटफॉर्मच्या वतीने बोलत आहे, आणि हा एपिसोड Microsoft Intune टूलकिटमधील सर्वात व्यावहारिक — आणि प्रामाणिकपणे, सर्वात अंडररेटेड — क्षमतेवर एक केंद्रित ब्रीफिंग आहे: 802.1X WiFi ऑथेंटिकेशनसाठी ऑटोमेटेड सर्टिफिकेट डिप्लॉयमेंट. जर तुम्ही हॉटेल इस्टेट, रिटेल चेन, स्टेडियम किंवा सार्वजनिक क्षेत्रातील इस्टेटमध्ये WiFi चे व्यवस्थापन करत असाल, तर मी वर्णन करणार असलेला पेन पॉईंट तुम्हाला माहीत असेल. तुमच्याकडे शेकडो किंवा हजारो मॅनेज्ड डिव्हाइसेस आहेत. तुम्हाला ती तुमच्या कॉर्पोरेट WiFi शी आपोआप, सुरक्षितपणे, युझर्सनी पासवर्ड टाईप न करता, IT ने प्रत्येक डिव्हाइसला स्पर्श न करता कनेक्ट व्हावीत असे वाटते. आणि ते कनेक्शन क्रिप्टोग्राफिकदृष्ट्या मजबूत असावे असे तुम्हाला वाटते — केवळ एक शेअर केलेला पासवर्ड नाही जो आधीच अर्ध्या संस्थेला ईमेल केला गेला आहे. Intune सर्टिफिकेट डिप्लॉयमेंट नेमके हेच सोडवते. आणि पुढच्या नऊ मिनिटांत, मी तुम्हाला ते कसे कार्य करते, ते कसे डिप्लॉय करायचे आणि पहिल्या प्रयत्नात बहुतेक टीम्सना अडकवणारे धोके याबद्दल मार्गदर्शन करणार आहे. [तांत्रिक सखोल माहिती — अंदाजे 5 मिनिटे] आपण आर्किटेक्चरपासून सुरुवात करूया. याचा पाया IEEE 802.1X आहे — पोर्ट-आधारित नेटवर्क अ‍ॅक्सेस कंट्रोल स्टँडर्ड जे दोन दशकांहून अधिक काळ एंटरप्राइझ WiFi सुरक्षेचा कणा आहे. जेव्हा एखादे डिव्हाइस तुमच्या WiFi शी कनेक्ट होते, तेव्हा 802.1X ला कोणताही नेटवर्क अ‍ॅक्सेस मिळण्यापूर्वी त्याने ऑथेंटिकेट करणे आवश्यक असते. ऑथेंटिकेशन संभाषण तीन पक्षांमध्ये होते: डिव्हाइस — ज्याला सप्लिकंट म्हणतात — तुमचा WiFi अ‍ॅक्सेस पॉईंट, जो ऑथेंटिकेटर म्हणून काम करतो, आणि तुमचा RADIUS सर्व्हर, जो ऑथेंटिकेशन सर्व्हर आहे जो अंतिम निर्णय घेतो. आता, 802.1X एकाधिक ऑथेंटिकेशन पद्धतींना सपोर्ट करते. सर्वात सुरक्षित EAP-TLS आहे — Extensible Authentication Protocol with Transport Layer Security. EAP-TLS म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन वापरते: डिव्हाइस आपली ओळख सिद्ध करण्यासाठी सर्टिफिकेट सादर करते आणि RADIUS सर्व्हर आपली ओळख सिद्ध करण्यासाठी सर्टिफिकेट सादर करतो. यात कोणतेही पासवर्ड्स समाविष्ट नाहीत. फिश केले जाऊ शकतील असे कोणतेही क्रेडेंशियल्स नाहीत. हेच आपले ध्येय आहे. मोठ्या प्रमाणावर डिव्हाइसेसवर ती सर्टिफिकेट्स मिळवणे हे नेहमीच आव्हान राहिले आहे. तिथेच Microsoft Intune येते. Intune दोन सर्टिफिकेट डिप्लॉयमेंट यंत्रणांना सपोर्ट करते: SCEP — Simple Certificate Enrollment Protocol — आणि PKCS, ज्याचा अर्थ Public Key Cryptography Standards असा होतो. यातील फरक समजून घेणे महत्त्वाचे आहे. SCEP सह, प्रायव्हेट की डिव्हाइसवरच जनरेट केली जाते. डिव्हाइस Certificate Signing Request तयार करते, ती NDES — Network Device Enrollment Service — नावाच्या मध्यस्थ सर्व्हरद्वारे तुमच्या Certificate Authority ला पाठवते आणि CA सर्टिफिकेट परत जारी करते. प्रायव्हेट की कधीही डिव्हाइस सोडत नाही. हा अधिक सुरक्षित दृष्टिकोन आहे आणि BYOD वातावरणासाठी आणि उच्च-सुरक्षा डिप्लॉयमेंट्ससाठी याची शिफारस केली जाते. PKCS सह, Certificate Authority की पेअर जनरेट करते आणि Intune Certificate Connector प्रायव्हेट की आणि सर्टिफिकेट डिव्हाइसला वितरित करतो. हे सेट अप करणे सोपे आहे — कोणत्याही NDES सर्व्हरची आवश्यकता नाही — परंतु प्रायव्हेट की कनेक्टरमधून ट्रान्झिट होते, जो तुमच्या सुरक्षा पोश्चरसाठी एक विचार करण्याजोगा मुद्दा आहे. बहुतेक एंटरप्राइझ डिप्लॉयमेंट्ससाठी मी BYOD आणि मिश्र-डिव्हाइस वातावरणासाठी SCEP ची शिफारस करेन, आणि जिथे तुमच्याकडे कॉर्पोरेट-मालकीच्या Windows डिव्हाइसेसचा एकसंध फ्लीट आहे आणि तुम्हाला इन्फ्रास्ट्रक्चरची गुंतागुंत कमी करायची आहे तिथे PKCS ची शिफारस करेन. आता, आपण डिप्लॉयमेंट सिक्वेन्सबद्दल बोलूया — कारण क्रम महत्त्वाचा आहे आणि तो चुकीचा असणे हे अयशस्वी रोलआउट्सचे सर्वात सामान्य कारण आहे. पायरी एक: तुमची Certificate Authority कॉन्फिगर करा. तुम्हाला तुमच्या Active Directory Certificate Services इन्स्टन्सवर सर्टिफिकेट टेम्प्लेटची आवश्यकता आहे — किंवा जर तुम्ही पूर्णपणे क्लाउड-नेटिव्ह असाल, तर Microsoft चे Intune Cloud PKI आता सर्वसाधारणपणे उपलब्ध आहे आणि ते ऑन-प्रिमाइसेस CA ची आवश्यकता पूर्णपणे दूर करते. टेम्प्लेटला योग्य की युसेज एक्स्टेंशन्सची आवश्यकता आहे: Client Authentication अनिवार्य आहे. किमान की साईझ 2048 बिट्सवर सेट करा, किंवा तुमच्या संस्थेच्या सुरक्षा धोरणानुसार आवश्यक असल्यास 4096 वर सेट करा. पायरी दोन: Trusted Root Certificate डिप्लॉय करा. कोणत्याही डिव्हाइसने RADIUS सर्व्हरचे सर्टिफिकेट प्रमाणित करण्यापूर्वी, त्याने ते जारी केलेल्या CA वर विश्वास ठेवला पाहिजे. तुम्ही Intune मध्ये Trusted Certificate कॉन्फिगरेशन प्रोफाइल तयार करता, Root CA सर्टिफिकेट अपलोड करता आणि ते तुमच्या डिव्हाइस ग्रुप्सना असाइन करता. हे कोणत्याही WiFi प्रोफाइल किंवा क्लायंट सर्टिफिकेट प्रोफाइलच्या आधी डिव्हाइसेसवर पोहोचले पाहिजे. जर तुम्ही सिक्वेन्सिंग चुकीचे केले, तर डिव्हाइसेस RADIUS सर्व्हर नाकारतील आणि तुम्ही Windows इव्हेंट लॉगमध्ये Event ID 20271 कडे पाहत दुपार घालवाल. पायरी तीन: Client Certificate Profile डिप्लॉय करा. हे एकतर तुमचे SCEP प्रोफाइल आहे — जे तुमच्या NDES सर्व्हर URL कडे निर्देशित करते — किंवा तुमचे PKCS प्रोफाइल, जे तुमच्या Certificate Authority कडे निर्देशित करते. Subject Alternative Name मध्ये युझर सर्टिफिकेट्ससाठी User Principal Name किंवा डिव्हाइस सर्टिफिकेट्ससाठी AAD Device ID समाविष्ट असावा. हा फरक महत्त्वाचा आहे: युझर सर्टिफिकेट्स लॉग-इन केलेल्या युझरला ऑथेंटिकेट करतात, डिव्हाइस सर्टिफिकेट्स मशीनलाच ऑथेंटिकेट करतात, ज्याचा अर्थ युझरने लॉग इन करण्यापूर्वी डिव्हाइस WiFi शी कनेक्ट होऊ शकते — डोमेन जॉईन परिस्थिती आणि किओस्क डिप्लॉयमेंट्ससाठी उपयुक्त. पायरी चार: WiFi Configuration Profile तयार करा. Intune मध्ये, हे Devices, Configuration Profiles, Templates, Wi-Fi अंतर्गत आहे. WiFi प्रकार Enterprise वर सेट करा, तुमचा SSID एंटर करा, EAP प्रकार EAP-TLS वर सेट करा, सर्व्हर ट्रस्ट सेटिंग्ज कॉन्फिगर करा — येथे तुम्ही RADIUS सर्व्हर सर्टिफिकेटचे नाव संदर्भित करता — आणि क्लायंट ऑथेंटिकेशनसाठी, तुम्ही पायरी तीन मध्ये तयार केलेले सर्टिफिकेट प्रोफाइल संदर्भित करा. पायरी पाच: सर्वकाही योग्य ग्रुप्सना असाइन करा आणि प्रमाणित करा. तुमचे Root Certificate, Client Certificate आणि WiFi प्रोफाइल्स समान डिव्हाइस किंवा युझर ग्रुप्सना असाइन करा. प्रोफाइल डिप्लॉयमेंट स्थितीचे निरीक्षण करण्यासाठी Intune च्या अंगभूत रिपोर्टिंगचा वापर करा. यशस्वी डिप्लॉयमेंट डिव्हाइसच्या कॉन्फिगरेशन प्रोफाइल सूचीमध्ये तिन्ही प्रोफाइल्स Succeeded म्हणून दर्शवते. Windows Server वातावरणासाठी NPS कॉन्फिगरेशनवरील एक महत्त्वाचा मुद्दा: 2024 च्या सुरुवातीपासून, Microsoft ने सर्टिफिकेट मॅपिंग आवश्यकता कठोर केल्या आहेत. जर तुम्ही ऑन-प्रिमाइसेस NPS विरुद्ध ऑथेंटिकेट करणाऱ्या Azure AD-जॉईन्ड डिव्हाइसेससह डिव्हाइस सर्टिफिकेट्स वापरत असाल, तर तुम्हाला Active Directory मधील कॉम्प्युटर ऑब्जेक्टवरील altSecurityIdentities अ‍ॅट्रिब्युट सर्टिफिकेटच्या थंबप्रिंटसह पॉप्युलेट केलेले असल्याची खात्री करणे आवश्यक आहे. हे आपोआप होत नाही — हे हाताळण्यासाठी तुम्हाला स्क्रिप्ट किंवा वर्कफ्लोची आवश्यकता आहे, जे सामान्यतः CA नवीन सर्टिफिकेट जारी करते तेव्हा ट्रिगर होते. [अंमलबजावणी शिफारसी आणि धोके — अंदाजे 2 मिनिटे] मी तुम्हाला एंटरप्राइझ डिप्लॉयमेंट्समध्ये वारंवार दिसणारे तीन धोके सांगतो. धोका एक: सर्टिफिकेट चेन गॅप्स. डिव्हाइसने Root CA पासून RADIUS सर्व्हरच्या सर्टिफिकेटपर्यंतच्या चेनमधील प्रत्येक सर्टिफिकेटवर विश्वास ठेवला पाहिजे. जर तुमचे RADIUS सर्व्हर सर्टिफिकेट Intermediate CA द्वारे जारी केले गेले असेल, तर तुम्हाला Root आणि Intermediate दोन्ही डिव्हाइसेसवर डिप्लॉय करणे आवश्यक आहे. मी डिप्लॉयमेंट्स आठवडे अयशस्वी होताना पाहिले आहेत कारण कोणीतरी Root डिप्लॉय केले पण Intermediate नाही. धोका दोन: प्रोफाइल असाइनमेंट टायमिंग. Intune प्रोफाइल्स डिव्हाइसेसवर त्वरित पोहोचत नाहीत. मोठ्या इस्टेटमध्ये, असाइनमेंटनंतर प्रोफाइल्स प्रोपोगेट होण्यासाठी 15 ते 30 मिनिटे लागू शकतात. प्रोफाइल्स तयार केल्यानंतर लगेच चाचणी करू नका. चेक-इन फोर्स करण्यासाठी Intune पोर्टल मधील Sync बटण वापरा, नंतर प्रतीक्षा करा. तसेच, WiFi प्रोफाइल लागू होण्यापूर्वी क्लायंट सर्टिफिकेट प्रोफाइल्स डिप्लॉय आणि कन्फर्म केले जाणे आवश्यक आहे — जर WiFi प्रोफाइल अद्याप अस्तित्वात नसलेल्या सर्टिफिकेटचा संदर्भ देत असेल, तर प्रोफाइल काही प्लॅटफॉर्म्सवर सायलेंटली अयशस्वी होईल. धोका तीन: BYOD सर्टिफिकेट रिव्होकेशन. जेव्हा एखादे डिव्हाइस Intune मधून अनएनरोल केले जाते — कारण कर्मचारी सोडून जातो, किंवा डिव्हाइस हरवते — तेव्हा तुम्हाला सर्टिफिकेट रद्द करण्यासाठी प्रक्रियेची आवश्यकता असते. जर तुम्ही ADCS सह SCEP वापरत असाल, तर Certificate Revocation List डिस्ट्रिब्युशन पॉईंट योग्यरित्या कॉन्फिगर करा आणि तुमचा RADIUS सर्व्हर प्रत्येक ऑथेंटिकेशनवर CRL किंवा OCSP तपासत असल्याची खात्री करा. PCI DSS सारख्या फ्रेमवर्क्स अंतर्गत ही एक कंप्लायन्स आवश्यकता आहे, जी अनिवार्य करते की अ‍ॅक्सेस कंट्रोल यंत्रणांची आवश्यकता नसताना ती त्वरित रद्द केली जावी. कंप्लायन्सच्या विषयावर: जर तुम्ही PCI DSS स्कोपमध्ये काम करत असाल — उदाहरणार्थ रिटेल पेमेंट वातावरण — तर सर्टिफिकेट-आधारित 802.1X ऑथेंटिकेशन हे वायरलेस नेटवर्क अ‍ॅक्सेससाठी तुमचे सर्वात मजबूत कंट्रोल आहे. हे नेटवर्क अ‍ॅक्सेस कंट्रोल्सच्या आसपासची PCI DSS Requirement 1.3 आणि ऑथेंटिकेशन फॅक्टर्सच्या आसपासची Requirement 8.6 पूर्ण करते. तुमच्या कंप्लायन्स पुराव्याचा भाग म्हणून तुमच्या सर्टिफिकेट लाइफसायकल मॅनेजमेंट प्रक्रियेचे डॉक्युमेंटेशन करा. GDPR-रेग्युलेटेड वातावरणासाठी, विशेषतः हॉस्पिटॅलिटी आणि सार्वजनिक-क्षेत्रात, तुमचे कॉर्पोरेट 802.1X नेटवर्क आणि तुमचे गेस्ट WiFi नेटवर्क यांच्यातील वेगळेपण महत्त्वपूर्ण आहे. तुमचे कॉर्पोरेट Intune-मॅनेज्ड नेटवर्क कोणत्याही गेस्ट किंवा अभ्यागत नेटवर्कपासून पूर्णपणे वेगळ्या VLAN आणि SSID वर असावे. Purple चे गेस्ट WiFi प्लॅटफॉर्म अभ्यागतांच्या बाजूची हाताळणी करते — Captive Portal, संमती कॅप्चर, अ‍ॅनालिटिक्स — तर तुमचे Intune-मॅनेज्ड कॉर्पोरेट नेटवर्क कर्मचारी आणि ऑपरेशनल डिव्हाइसेस हाताळते. या दोन नेटवर्क्सनी कधीही ऑथेंटिकेशन इन्फ्रास्ट्रक्चर शेअर करू नये. [रॅपिड-फायर प्रश्नोत्तरे — अंदाजे 1 मिनिट] मी नियमितपणे येणाऱ्या काही प्रश्नांची उत्तरे देतो. मी ऑन-प्रिमाइसेस ADCS ऐवजी Intune Cloud PKI वापरू शकतो का? होय. 2024 मध्ये रिलीज झालेले Microsoft चे Intune Cloud PKI, Azure मध्ये पूर्णपणे मॅनेज्ड CA प्रदान करते. हे SCEP साठी NDES सर्व्हरची आवश्यकता दूर करते आणि कनेक्टर सेटअप लक्षणीयरीत्या सुलभ करते. ग्रीनफिल्ड डिप्लॉयमेंट्ससाठी किंवा विद्यमान ADCS इन्फ्रास्ट्रक्चर नसलेल्या संस्थांसाठी, हा शिफारस केलेला मार्ग आहे. हे macOS आणि iOS डिव्हाइसेससाठी काम करते का? होय. Intune Windows, iOS, iPadOS, Android आणि macOS साठी सर्टिफिकेट प्रोफाइल्सना सपोर्ट करते. प्रोफाइल प्रकार आणि कॉन्फिगरेशन पर्याय प्लॅटफॉर्मनुसार थोडे बदलतात, परंतु मूळ आर्किटेक्चर — Trusted Root, Client Certificate, WiFi Profile — सुसंगत आहे. BYOD प्रोग्राममधील वैयक्तिक डिव्हाइसेसचे काय? SCEP येथे तुमचा मित्र आहे. Intune च्या डिव्हाइस कंप्लायन्स पॉलिसीजसह, तुम्ही सर्टिफिकेट जारी करण्यापूर्वी डिव्हाइसने किमान सुरक्षा मानके पूर्ण करणे आवश्यक करू शकता. जर डिव्हाइस कंप्लायन्सच्या बाहेर गेले — स्क्रीन लॉक नाही, जुनी OS — तर सर्टिफिकेट रद्द केले जाऊ शकते आणि नेटवर्क अ‍ॅक्सेस आपोआप काढून घेतला जाऊ शकतो. Purple या आर्किटेक्चरशी इंटिग्रेट होऊ शकते का? नक्कीच. Purple चे प्लॅटफॉर्म गेस्ट नेटवर्कच्या बाजूला बसते, Captive Portal ऑथेंटिकेशन, संमती व्यवस्थापन आणि अ‍ॅनालिटिक्स हाताळते. कॉर्पोरेट 802.1X नेटवर्क आणि Purple चे गेस्ट WiFi समांतर चालतात — समान फिजिकल इन्फ्रास्ट्रक्चर, भिन्न SSIDs आणि VLANs — तुम्हाला कर्मचारी कनेक्टिव्हिटी आणि अभ्यागत एंगेजमेंट यांच्यात पूर्ण वेगळेपण देते. [सारांश आणि पुढील टप्पे — अंदाजे 1 मिनिट] थोडक्यात सांगायचे तर: Intune द्वारे WiFi सर्टिफिकेट्स डिप्लॉय करणे ही पाच-टप्प्यांची प्रक्रिया आहे — CA कॉन्फिगरेशन, Trusted Root डिप्लॉयमेंट, Client Certificate प्रोफाइल, WiFi प्रोफाइल आणि ग्रुप असाइनमेंट. BYOD आणि उच्च-सुरक्षा वातावरणासाठी SCEP निवडा; सोप्या कॉर्पोरेट-मालकीच्या फ्लीट्ससाठी PKCS. सिक्वेन्सिंग योग्य करा, NPS सर्टिफिकेट मॅपिंग आवश्यकता हाताळा आणि पहिल्या दिवसापासून सर्टिफिकेट रिव्होकेशन वर्कफ्लो तयार करा. बिझनेस केस सरळ आहे: तुम्ही शेअर केलेले WiFi पासवर्ड्स दूर करता, तुम्हाला प्रति-डिव्हाइस आणि प्रति-युझर ऑथेंटिकेशन लॉग्स मिळतात, तुम्ही PCI DSS आणि ISO 27001 वायरलेस सुरक्षा आवश्यकता पूर्ण करता आणि मोठ्या इस्टेटमध्ये WiFi क्रेडेंशियल्स व्यवस्थापित करण्याचा IT ओव्हरहेड कमी करता. जर तुम्ही डिप्लॉयमेंटची योजना आखत असाल आणि Purple चे गेस्ट WiFi आणि अ‍ॅनालिटिक्स प्लॅटफॉर्म तुमच्या कॉर्पोरेट नेटवर्क आर्किटेक्चरसोबत कसे बसते हे समजून घ्यायचे असेल, तर purple.ai ला भेट द्या. आमच्याकडे Azure Entra ID इंटिग्रेशन, 802.1X आर्किटेक्चर आणि हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक-क्षेत्रातील वातावरणासाठी गेस्ट नेटवर्क डिझाइनवर तपशीलवार मार्गदर्शक आहेत. ऐकल्याबद्दल धन्यवाद. पुढच्या वेळेपर्यंत.

header_image.png

कार्यकारी सारांश

Hospitality , Retail किंवा सार्वजनिक क्षेत्रातील मोठ्या प्रमाणावरील वातावरणाचे व्यवस्थापन करणाऱ्या एंटरप्राइझ IT लीडर्ससाठी, सुरक्षित वायरलेस अ‍ॅक्सेस ही एक मूलभूत ऑपरेशनल आवश्यकता आहे. शेअर केलेल्या PSKs (Pre-Shared Keys) किंवा युझरनेम/पासवर्ड ऑथेंटिकेशन (PEAP-MSCHAPv2) वर अवलंबून राहिल्याने नेटवर्कला क्रेडेंशियल चोरी, फिशिंग आणि कंप्लायन्स फेल्युअरचा धोका निर्माण होतो. मजबूत एंटरप्राइझ WiFi सुरक्षेसाठी इंडस्ट्री स्टँडर्ड 802.1X सह EAP-TLS (Extensible Authentication Protocol with Transport Layer Security) आहे, जे डिव्हाइस आणि नेटवर्क दरम्यान म्युच्युअल सर्टिफिकेट-आधारित ऑथेंटिकेशन अनिवार्य करते.

तथापि, EAP-TLS स्वीकारण्यात मुख्य अडथळा ऐतिहासिकदृष्ट्या सर्टिफिकेट लाइफसायकल मॅनेजमेंटचा ऑपरेशनल ओव्हरहेड हा राहिला आहे. Microsoft Intune मोठ्या प्रमाणावर मॅनेज्ड डिव्हाइसेसना डिजिटल सर्टिफिकेट्सची डिलिव्हरी, नूतनीकरण आणि रिव्होकेशन स्वयंचलित करून याचे निराकरण करते.

हा तांत्रिक संदर्भ Microsoft Intune द्वारे WiFi सर्टिफिकेट्स पुश करण्यासाठी आवश्यक आर्किटेक्चर, डिप्लॉयमेंट पद्धती (SCEP वि PKCS) आणि अंमलबजावणीच्या टप्प्यांचा तपशील देतो. हे नेटवर्क आर्किटेक्ट्स आणि सिस्टीम इंजिनिअर्सना कॉर्पोरेट कम्युनिकेशन्स सुरक्षित करण्यासाठी कृतीयोग्य मार्गदर्शन प्रदान करते, तसेच Guest WiFi प्लॅटफॉर्मद्वारे व्यवस्थापित केलेल्या अभ्यागत नेटवर्कपासून कठोर वेगळेपण राखते.

तांत्रिक सखोल माहिती: आर्किटेक्चर आणि प्रोटोकॉल्स

सर्टिफिकेट-आधारित ऑथेंटिकेशन प्रभावीपणे लागू करण्यासाठी, IT टीम्सना Mobile Device Management (MDM) प्लॅटफॉर्म, Public Key Infrastructure (PKI) आणि नेटवर्क अ‍ॅक्सेस कंट्रोल लेयर यांच्यातील परस्परसंवाद समजून घेणे आवश्यक आहे.

802.1X ऑथेंटिकेशन फ्रेमवर्क

IEEE 802.1X स्टँडर्ड पोर्ट-आधारित नेटवर्क अ‍ॅक्सेस कंट्रोल परिभाषित करते. वायरलेस संदर्भात, ते डिव्हाइसची ओळख पडताळली जाईपर्यंत (EAP ऑथेंटिकेशन फ्रेम्स व्यतिरिक्त) कोणताही ट्रॅफिक पास करण्यापासून प्रतिबंधित करते. या आर्किटेक्चरमध्ये तीन घटक असतात:

  1. सप्लिकंट (Supplicant): नेटवर्क अ‍ॅक्सेसची विनंती करणारे क्लायंट डिव्हाइस (लॅपटॉप, स्मार्टफोन, टॅबलेट).
  2. ऑथेंटिकेटर (Authenticator): वायरलेस अ‍ॅक्सेस पॉईंट किंवा वायरलेस LAN कंट्रोलर जो ऑथेंटिकेशन यशस्वी होईपर्यंत ट्रॅफिक ब्लॉक करतो.
  3. ऑथेंटिकेशन सर्व्हर (Authentication Server): RADIUS (Remote Authentication Dial-In User Service) सर्व्हर, जसे की Microsoft Network Policy Server (NPS) किंवा Cisco ISE, जे क्रेडेंशियल्स प्रमाणित करते आणि अ‍ॅक्सेस अधिकृत करते.

EAP-TLS आणि म्युच्युअल ऑथेंटिकेशन

EAP-TLS ही सर्वात सुरक्षित EAP पद्धत आहे कारण त्यासाठी म्युच्युअल ऑथेंटिकेशन आवश्यक असते. RADIUS सर्व्हर हे कायदेशीर कॉर्पोरेट नेटवर्क आहे हे सिद्ध करण्यासाठी सप्लिकंटला त्याचे सर्टिफिकेट सादर करतो (इव्हिल-ट्विन हल्ले रोखण्यासाठी), आणि सप्लिकंट हे अधिकृत डिव्हाइस किंवा युझर आहे हे सिद्ध करण्यासाठी RADIUS सर्व्हरला त्याचे क्लायंट सर्टिफिकेट सादर करतो.

architecture_overview.png

Intune सर्टिफिकेट डिप्लॉयमेंट यंत्रणा: SCEP वि PKCS

Microsoft Intune डिव्हाइसेसवर क्लायंट सर्टिफिकेट्स डिप्लॉय करण्यासाठी दोन प्राथमिक प्रोटोकॉल्सना सपोर्ट करते. योग्य यंत्रणा निवडणे हा एक महत्त्वपूर्ण आर्किटेक्चरल निर्णय आहे.

Simple Certificate Enrollment Protocol (SCEP)

SCEP सह, प्रायव्हेट की थेट क्लायंट डिव्हाइसवर जनरेट केली जाते. डिव्हाइस Certificate Signing Request (CSR) तयार करते आणि Intune द्वारे Network Device Enrollment Service (NDES) सर्व्हरला सबमिट करते, जे Active Directory Certificate Services (ADCS) इन्फ्रास्ट्रक्चरसाठी प्रॉक्सी म्हणून काम करते. CA सर्टिफिकेट जारी करते, जे डिव्हाइसला परत केले जाते.

प्रायव्हेट की कधीही डिव्हाइस सोडत नसल्यामुळे, SCEP अत्यंत सुरक्षित मानले जाते आणि BYOD (Bring Your Own Device) डिप्लॉयमेंट्स आणि झिरो-ट्रस्ट आर्किटेक्चर्ससाठी हा शिफारस केलेला दृष्टिकोन आहे.

Public Key Cryptography Standards (PKCS)

PKCS सह, Intune Certificate Connector डिव्हाइसच्या वतीने CA कडून सर्टिफिकेटची विनंती करतो. CA पब्लिक सर्टिफिकेट आणि प्रायव्हेट की दोन्ही जनरेट करते, जे कनेक्टर नंतर Intune द्वारे डिव्हाइसला सुरक्षितपणे वितरित करतो.

PKCS इन्फ्रास्ट्रक्चर आवश्यकता सुलभ करत असले तरी (कोणत्याही NDES सर्व्हरची आवश्यकता नाही), प्रायव्हेट की नेटवर्कवर ट्रान्समिट केली जाते. हे मॉडेल सामान्यतः कॉर्पोरेट-मालकीच्या, पूर्णपणे मॅनेज्ड डिव्हाइस फ्लीट्ससाठी स्वीकार्य आहे जिथे MDM प्लॅटफॉर्म आधीपासूनच अत्यंत विश्वासार्ह घटक आहे.

certificate_deployment_comparison.png

अंमलबजावणी मार्गदर्शक: टप्प्याटप्प्याने डिप्लॉयमेंट

Intune द्वारे WiFi सर्टिफिकेट्स डिप्लॉय करण्यासाठी अचूक सिक्वेन्सिंग आवश्यक आहे. चुकीच्या क्रमाने प्रोफाइल्स डिप्लॉय करणे हे अंमलबजावणी अयशस्वी होण्याचे सर्वात सामान्य कारण आहे.

पायरी 1: Public Key Infrastructure (PKI) तयार करा

ऑन-प्रिमाइसेस ADCS वापरत असो किंवा Microsoft Cloud PKI सारखे क्लाउड-नेटिव्ह सोल्यूशन, Certificate Authority योग्य टेम्प्लेट्ससह कॉन्फिगर केलेले असणे आवश्यक आहे.

  • Key Usage: टेम्प्लेटमध्ये Client Authentication OID (1.3.6.1.5.5.7.3.2) समाविष्ट असणे आवश्यक आहे.
  • Key Size: आधुनिक क्रिप्टोग्राफिक स्टँडर्ड्सशी संरेखित करण्यासाठी किमान 2048 बिट्स (RSA) ची की साईझ कॉन्फिगर करा.
  • Subject Name: युझर सर्टिफिकेट्ससाठी, Subject Alternative Name (SAN) User Principal Name (UPN) वापरण्यासाठी कॉन्फिगर केले जावे. डिव्हाइस सर्टिफिकेट्ससाठी, Azure AD Device ID वापरा.

पायरी 2: Trusted Root Certificate डिप्लॉय करा

डिव्हाइस ऑथेंटिकेट करण्यापूर्वी, त्याने RADIUS सर्व्हरचे सर्टिफिकेट जारी केलेल्या CA वर विश्वास ठेवला पाहिजे.

  1. Root CA सर्टिफिकेट (आणि कोणतीही इंटरमीडिएट CA सर्टिफिकेट्स) .cer फॉरमॅटमध्ये एक्सपोर्ट करा.
  2. Intune अ‍ॅडमिन सेंटरमध्ये, Devices > Configuration profiles > Create profile वर नेव्हिगेट करा.
  3. प्लॅटफॉर्म निवडा आणि Trusted certificate प्रोफाइल प्रकार निवडा.
  4. .cer फाईल अपलोड करा आणि टार्गेट डिव्हाइस किंवा युझर ग्रुप्सना प्रोफाइल असाइन करा.

टीप: पुढील पायऱ्यांकडे जाण्यापूर्वी हे प्रोफाइल डिव्हाइसेसवर यशस्वीरित्या लागू होणे आवश्यक आहे.

पायरी 3: Client Certificate Profile डिप्लॉय करा

सप्लिकंटला आयडेंटिटी सर्टिफिकेट वितरित करण्यासाठी SCEP किंवा PKCS सर्टिफिकेट प्रोफाइल तयार करा.

  1. Devices > Configuration profiles > Create profile वर नेव्हिगेट करा.
  2. प्लॅटफॉर्म निवडा आणि SCEP certificate किंवा PKCS certificate निवडा.
  3. तुमच्या आयडेंटिटी आवश्यकतांनुसार (युझर वि. डिव्हाइस) Subject Name फॉरमॅट आणि SAN कॉन्फिगर करा.
  4. Key Storage Provider (KSP) निर्दिष्ट करा — सामान्यतः हार्डवेअर-बॅक्ड सुरक्षेसाठी Trusted Platform Module (TPM).
  5. पायरी 2 मध्ये टार्गेट केलेल्या त्याच ग्रुप्सना प्रोफाइल असाइन करा.

पायरी 4: WiFi Profile कॉन्फिगर करा

अंतिम घटक सर्टिफिकेट्सना वायरलेस नेटवर्क सेटिंग्जशी बाइंड करतो.

  1. Devices > Configuration profiles > Create profile वर नेव्हिगेट करा.
  2. प्लॅटफॉर्म निवडा आणि Wi-Fi प्रोफाइल प्रकार निवडा.
  3. Wi-Fi प्रकार Enterprise वर सेट करा आणि अचूक SSID एंटर करा.
  4. EAP प्रकार EAP-TLS वर सेट करा.
  5. Server Trust अंतर्गत, RADIUS सर्व्हर सर्टिफिकेटचे अचूक नाव निर्दिष्ट करा आणि पायरी 2 मध्ये डिप्लॉय केलेले Trusted Root सर्टिफिकेट प्रोफाइल निवडा.
  6. Client Authentication अंतर्गत, पायरी 3 मध्ये डिप्लॉय केलेले SCEP किंवा PKCS सर्टिफिकेट प्रोफाइल निवडा.
  7. टार्गेट ग्रुप्सना प्रोफाइल असाइन करा.

सर्वोत्तम पद्धती आणि धोरणात्मक शिफारसी

डिव्हाइस वि. युझर सर्टिफिकेट्स

नेटवर्क आर्किटेक्ट्सनी सर्टिफिकेट्स डिव्हाइसला (मशीन ऑथेंटिकेशन) जारी करायची की युझरला (युझर ऑथेंटिकेशन) हे ठरवणे आवश्यक आहे.

  • Device Certificates: युझरने लॉग इन करण्यापूर्वी मशीनला WiFi नेटवर्कशी कनेक्ट करण्याची अनुमती देतात. प्रारंभिक डिव्हाइस प्रोव्हिजनिंग, ग्रुप पॉलिसी प्रोसेसिंग आणि लॉगिन स्क्रीनवर पासवर्ड रिसेट करण्यासाठी हे महत्त्वपूर्ण आहे. कॉर्पोरेट-मालकीच्या डिव्हाइसेससाठी शिफारस केली जाते.
  • User Certificates: नेटवर्क अ‍ॅक्सेसला व्यक्तीच्या ओळखीशी जोडतात. हे ग्रॅन्युलर ऑडिटिंग आणि रोल-बेस्ड अ‍ॅक्सेस कंट्रोल प्रदान करते. BYOD परिस्थितींसाठी शिफारस केली जाते.

नेटवर्क सेगमेंटेशन आणि गेस्ट अ‍ॅक्सेस

कॉर्पोरेट 802.1X नेटवर्कला अभ्यागत किंवा सार्वजनिक अ‍ॅक्सेस नेटवर्क्सपासून कठोर लॉजिकल वेगळे करणे हे एक मूलभूत सुरक्षा तत्त्व आहे. Intune-मॅनेज्ड इन्फ्रास्ट्रक्चर केवळ कॉर्पोरेट डिव्हाइसेस आणि ऑथेंटिकेटेड कर्मचाऱ्यांसाठी समर्पित असावे.

अभ्यागतांच्या अ‍ॅक्सेससाठी, संस्थांनी Captive Portal द्वारे समर्थित समर्पित Guest WiFi SSID डिप्लॉय केले पाहिजे. हे सुनिश्चित करते की अनमॅनेज्ड डिव्हाइसेस आयसोलेटेड आहेत, तरीही व्यवसायाला WiFi Analytics प्लॅटफॉर्मद्वारे अभ्यागत अ‍ॅनालिटिक्स कॅप्चर करण्याची अनुमती देते. दोन्ही सेगमेंट्समध्ये DNS इन्फ्रास्ट्रक्चर सुरक्षित करण्याबद्दल अधिक जाणून घेण्यासाठी, Protect Your Network with Strong DNS and Security वरील आमचे मार्गदर्शक पहा.

NPS सर्टिफिकेट मॅपिंग आवश्यकता पूर्ण करणे

Azure AD-जॉईन्ड डिव्हाइसेससह Microsoft Network Policy Server (NPS) वापरणाऱ्या संस्थांसाठी, Microsoft द्वारे एक महत्त्वपूर्ण कॉन्फिगरेशन बदल सादर केला गेला. NPS ला आता स्ट्रॉंग सर्टिफिकेट मॅपिंग आवश्यक आहे.

डिव्हाइस सर्टिफिकेट्स वापरताना, ऑन-प्रिमाइसेस Active Directory मधील कॉम्प्युटर ऑब्जेक्टचे altSecurityIdentities अ‍ॅट्रिब्युट सर्टिफिकेटच्या तपशीलांसह (सामान्यतः X509IssuerSerialNumber) पॉप्युलेट केलेले असणे आवश्यक आहे. जेव्हा Intune नवीन सर्टिफिकेट जारी करते तेव्हा हे अ‍ॅट्रिब्युट अपडेट करण्यासाठी IT टीम्सनी शेड्यूल्ड स्क्रिप्ट किंवा इव्हेंट-ड्रिव्हन वर्कफ्लो लागू करणे आवश्यक आहे, अन्यथा ऑथेंटिकेशन अयशस्वी होईल.

ट्रबलशूटिंग आणि रिस्क मिटिगेशन

जेव्हा 802.1X डिप्लॉयमेंट अयशस्वी होते, तेव्हा समस्या जवळजवळ नेहमीच सर्टिफिकेट चेन किंवा Intune प्रोफाइल सिक्वेन्सिंगमध्ये असते.

सामान्य फेल्युअर मोड्स

  1. सायलेंट WiFi प्रोफाइल फेल्युअर: जर क्लायंट सर्टिफिकेट यशस्वीरित्या प्रोव्हिजन होण्यापूर्वी Intune WiFi प्रोफाइल डिव्हाइसवर लागू केले गेले, तर WiFi प्रोफाइल अनेकदा इन्स्टॉल होण्यात अयशस्वी होईल किंवा सायलेंटली अयशस्वी होईल. WiFi कॉन्फिगरेशन ट्रबलशूट करण्यापूर्वी नेहमी डिव्हाइसच्या पर्सनल स्टोअरमध्ये (certmgr.msc Windows वर) सर्टिफिकेटच्या उपस्थितीची पडताळणी करा.
  2. सर्व्हर ट्रस्ट व्हॅलिडेशन एरर्स: जर डिव्हाइसने RADIUS सर्व्हर नाकारला, तर Intune WiFi प्रोफाइलमध्ये निर्दिष्ट केलेले सर्व्हरचे नाव RADIUS सर्व्हरच्या सर्टिफिकेटवरील Subject Name किंवा SAN शी तंतोतंत जुळत असल्याची पडताळणी करा. याव्यतिरिक्त, संपूर्ण सर्टिफिकेट चेन (Root आणि Intermediate) डिव्हाइसच्या Trusted Root Certification Authorities स्टोअरमध्ये उपस्थित असल्याची खात्री करा.
  3. Certificate Revocation List (CRL) अनुपलब्धता: जर RADIUS सर्व्हर क्लायंट सर्टिफिकेटची स्थिती सत्यापित करण्यासाठी CA च्या CRL डिस्ट्रिब्युशन पॉईंटपर्यंत पोहोचू शकत नसेल, तर ऑथेंटिकेशन नाकारले जाईल. CRL URL अत्यंत उपलब्ध आहे आणि RADIUS सर्व्हरवरून अ‍ॅक्सेसिबल आहे याची खात्री करा.

ROI आणि बिझनेस इम्पॅक्ट

Intune द्वारे सर्टिफिकेट-आधारित WiFi ऑथेंटिकेशनमध्ये संक्रमण केल्याने महत्त्वपूर्ण ऑपरेशनल आणि सुरक्षा परतावा मिळतो.

  • रिस्क मिटिगेशन: क्रेडेंशियल हार्वेस्टिंग, पास-द-हॅश हल्ले आणि शेअर केलेल्या PSKs द्वारे अनधिकृत नेटवर्क अ‍ॅक्सेसचा धोका दूर करते.
  • ऑपरेशनल एफिशियन्सी: पासवर्ड एक्सपायरेशन आणि WiFi कनेक्टिव्हिटी समस्यांशी संबंधित IT हेल्पडेस्क तिकिटे कमी करते. ऑटोमेटेड लाइफसायकल मॅनेजमेंटचा अर्थ असा आहे की युझरच्या हस्तक्षेपाशिवाय सर्टिफिकेट्सचे पारदर्शकपणे नूतनीकरण केले जाते.
  • कंप्लायन्स इनेबलमेंट: कठोर नियामक आवश्यकता पूर्ण करते. रिटेल वातावरणासाठी, हे मजबूत वायरलेस एन्क्रिप्शन आणि ऑथेंटिकेशनसाठी PCI DSS आवश्यकता थेट संबोधित करते. सार्वजनिक क्षेत्र आणि आरोग्यसेवेसाठी, हे झिरो-ट्रस्ट नेटवर्क अ‍ॅक्सेस (ZTNA) तत्त्वांशी संरेखित होते.

सर्टिफिकेट डिप्लॉयमेंटसाठी Microsoft Intune चा फायदा घेऊन, IT टीम्स एक घर्षणरहित, अत्यंत सुरक्षित वायरलेस अनुभव प्राप्त करू शकतात जो बॅकग्राउंडमध्ये शांतपणे चालतो, ज्यामुळे व्यवसायाला मुख्य ऑपरेशन्सवर लक्ष केंद्रित करता येते.

महत्वाच्या व्याख्या

802.1X

पोर्ट-आधारित नेटवर्क अ‍ॅक्सेस कंट्रोलसाठी एक IEEE स्टँडर्ड जे अनधिकृत डिव्हाइसेसना यशस्वीरित्या ऑथेंटिकेट होईपर्यंत LAN किंवा WLAN अ‍ॅक्सेस करण्यापासून प्रतिबंधित करते.

कॉर्पोरेट वातावरणात शेअर केलेल्या WiFi पासवर्ड्सच्या जागी एंटरप्राइझ-ग्रेड ऑथेंटिकेशन आणणारा मूलभूत सुरक्षा प्रोटोकॉल.

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. एक ऑथेंटिकेशन फ्रेमवर्क ज्यामध्ये क्लायंट आणि सर्व्हर दोघांनाही डिजिटल सर्टिफिकेट्स वापरून त्यांची ओळख सिद्ध करणे आवश्यक असते.

म्युच्युअल सर्टिफिकेट ऑथेंटिकेशन लागू करण्यासाठी Intune WiFi प्रोफाइलमध्ये कॉन्फिगर केलेला विशिष्ट प्रोटोकॉल, जो क्रेडेंशियल चोरीचा धोका दूर करतो.

SCEP

Simple Certificate Enrollment Protocol. एक यंत्रणा जिथे क्लायंट डिव्हाइस स्वतःची प्रायव्हेट की जनरेट करते आणि मध्यस्थ सर्व्हरद्वारे CA कडून सर्टिफिकेटची विनंती करते.

BYOD वातावरणासाठी पसंतीची डिप्लॉयमेंट पद्धत कारण प्रायव्हेट की कधीही नेटवर्कवर ट्रान्समिट केली जात नाही.

PKCS

Public Key Cryptography Standards. Intune च्या संदर्भात, एक डिप्लॉयमेंट पद्धत जिथे CA प्रायव्हेट की जनरेट करते आणि Intune Connector ती डिव्हाइसला सुरक्षितपणे वितरित करतो.

कॉर्पोरेट-मालकीच्या डिव्हाइस फ्लीट्ससाठी अनेकदा वापरले जाणारे एक सोपे डिप्लॉयमेंट आर्किटेक्चर, कारण ते NDES सर्व्हरची आवश्यकता दूर करते.

NDES

Network Device Enrollment Service. एक Microsoft सर्व्हर रोल जो प्रॉक्सी म्हणून काम करतो, डोमेन क्रेडेंशियल्सशिवाय चालणाऱ्या डिव्हाइसेसना Active Directory Certificate Authority कडून सर्टिफिकेट्स मिळवण्याची अनुमती देतो.

ऑन-प्रिमाइसेस ADCS वातावरणात SCEP द्वारे सर्टिफिकेट्स डिप्लॉय करताना एक अनिवार्य इन्फ्रास्ट्रक्चर घटक.

RADIUS

Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत Authentication, Authorization, आणि Accounting (AAA) मॅनेजमेंट प्रदान करतो.

सर्व्हर (जसे की Microsoft NPS किंवा Cisco ISE) जो WiFi अ‍ॅक्सेस पॉईंटकडून ऑथेंटिकेशन विनंती प्राप्त करतो आणि डिव्हाइसचे सर्टिफिकेट प्रमाणित करतो.

Supplicant

एंड-युझर डिव्हाइसवरील (लॅपटॉप, स्मार्टफोन) सॉफ्टवेअर क्लायंट जो 802.1X ऑथेंटिकेशन प्रक्रिया सुरू करतो.

Intune WiFi प्रोफाइल योग्य सर्टिफिकेट्स आणि EAP पद्धती वापरण्यासाठी नेटिव्ह OS सप्लिकंट (उदा. Windows WLAN AutoConfig) कॉन्फिगर करते.

Certificate Revocation List (CRL)

Certificate Authority द्वारे पब्लिश केलेली डिजिटली साईन केलेली यादी ज्यामध्ये रद्द केलेल्या आणि यापुढे विश्वास ठेवू नये अशा सर्टिफिकेट्सचे सिरीयल नंबर्स असतात.

सुरक्षा कंप्लायन्ससाठी महत्त्वपूर्ण; कनेक्ट होणारे डिव्हाइस हरवलेले किंवा चोरीला गेलेले म्हणून नोंदवले गेले नाही याची खात्री करण्यासाठी RADIUS सर्व्हरने CRL तपासणे आवश्यक आहे.

सोडवलेली उदाहरणे

एक 400-लोकेशन रिटेल चेन इन्व्हेंटरी मॅनेजमेंटसाठी कॉर्पोरेट-मालकीचे टॅब्लेट्स डिप्लॉय करत आहे. डिव्हाइसेस पूर्णपणे Intune द्वारे व्यवस्थापित केली जातात आणि Azure AD शी जोडलेली आहेत. कोणत्याही विशिष्ट युझरने लॉग इन करण्यापूर्वी, इन्व्हेंटरी डेटाबेसेस सिंक करण्यासाठी त्यांना बूट झाल्यावर त्वरित नेटवर्क अ‍ॅक्सेसची आवश्यकता असते. नेटवर्क इन्फ्रास्ट्रक्चर RADIUS सर्व्हर म्हणून Cisco ISE वापरते. इष्टतम सर्टिफिकेट डिप्लॉयमेंट धोरण काय आहे?

IT टीमने PKCS डिव्हाइस सर्टिफिकेट्स लागू केले पाहिजेत.

  1. CA वर डिव्हाइस सर्टिफिकेट टेम्प्लेट कॉन्फिगर करा.
  2. Intune द्वारे टॅब्लेट्सवर Root CA सर्टिफिकेट डिप्लॉय करा.
  3. Intune मध्ये PKCS सर्टिफिकेट प्रोफाइल तयार करा, Subject Name फॉरमॅट Azure AD Device ID ({{AAD_Device_ID}}) वर सेट करा.
  4. ISE सर्व्हरच्या सर्टिफिकेटचे नाव आणि डिप्लॉय केलेले PKCS प्रोफाइल संदर्भित करून, EAP-TLS निर्दिष्ट करणारे Enterprise WiFi प्रोफाइल तयार करा.
  5. टॅब्लेट्स असलेल्या डिव्हाइस ग्रुपला सर्व प्रोफाइल्स असाइन करा.
परीक्षकाचे भाष्य: येथे PKCS योग्य आहे कारण डिव्हाइसेस कॉर्पोरेट-मालकीची आणि पूर्णपणे व्यवस्थापित आहेत, ज्यामुळे प्रायव्हेट की ट्रान्झिटशी संबंधित धोका कमी होतो. डिव्हाइस सर्टिफिकेट्स अनिवार्य आहेत कारण टॅब्लेट्सना युझर लॉगिनपूर्वी नेटवर्क अ‍ॅक्सेस आवश्यक आहे. Azure AD Device ID ला टार्गेट करून, Cisco ISE विशिष्ट हार्डवेअर अ‍ॅसेट ऑथेंटिकेट करू शकते आणि त्याला योग्य प्रतिबंधित इन्व्हेंटरी VLAN वर असाइन करू शकते.

एक मोठे टीचिंग हॉस्पिटल वैद्यकीय कर्मचाऱ्यांना क्लिनिकल शेड्यूलिंग अ‍ॅप्लिकेशन्स अ‍ॅक्सेस करण्यासाठी त्यांचे वैयक्तिक स्मार्टफोन्स (BYOD) वापरण्याची अनुमती देते. डिव्हाइसेस Work Profile द्वारे Intune मध्ये एनरोल केलेली आहेत. सुरक्षा धोरण अनिवार्य करते की वैयक्तिक डिव्हाइसेसवर कोणतेही कॉर्पोरेट क्रेडेंशियल्स स्टोअर केले जाऊ नयेत आणि डिव्हाइस कॉम्प्रमाईज झाल्यास नेटवर्क अ‍ॅक्सेस त्वरित रद्द केला जावा. WiFi ऑथेंटिकेशन कसे डिझाइन केले जावे?

हॉस्पिटलने Intune कंप्लायन्स पॉलिसीजसह एकत्रित SCEP युझर सर्टिफिकेट्स लागू करणे आवश्यक आहे.

  1. CA ला विनंत्या प्रॉक्सी करण्यासाठी NDES सर्व्हर डिप्लॉय करा.
  2. Intune मध्ये SCEP युझर सर्टिफिकेट प्रोफाइल तयार करा, ज्यामध्ये SAN User Principal Name ({{UserPrincipalName}}) वर कॉन्फिगर केलेले असेल.
  3. किमान OS आवृत्ती, अ‍ॅक्टिव्ह स्क्रीन लॉक आणि जेलब्रेक/रूट अ‍ॅक्सेस नसणे आवश्यक असलेली Intune कंप्लायन्स पॉलिसी तयार करा.
  4. अत्यंत उपलब्ध Certificate Revocation List (CRL) पब्लिश करण्यासाठी CA कॉन्फिगर करा.
  5. प्रत्येक ऑथेंटिकेशन प्रयत्नावर CRL चेकिंग कठोरपणे लागू करण्यासाठी RADIUS सर्व्हर कॉन्फिगर करा.
परीक्षकाचे भाष्य: BYOD साठी SCEP हा एकमेव स्वीकार्य पर्याय आहे कारण प्रायव्हेट की वैयक्तिक डिव्हाइसवर जनरेट केली जाते आणि ती इंटरसेप्ट केली जाऊ शकत नाही. HIPAA/GDPR ऑडिटिंगसाठी नेटवर्क अ‍ॅक्टिव्हिटी विशिष्ट क्लिनिशियनशी जोडण्यासाठी युझर सर्टिफिकेट्स आवश्यक आहेत. Intune कंप्लायन्स पॉलिसीजसह एकत्रीकरण हा महत्त्वपूर्ण घटक आहे; जर डिव्हाइस नॉन-कंप्लायंट झाले, तर Intune सर्टिफिकेट रिव्होकेशन ट्रिगर करू शकते आणि RADIUS सर्व्हरची CRL तपासणी त्वरित नेटवर्क अ‍ॅक्सेस ब्लॉक करेल.

सराव प्रश्न

Q1. तुमची संस्था कॉर्पोरेट WiFi साठी PEAP-MSCHAPv2 (युझरनेम/पासवर्ड) वरून EAP-TLS वर मायग्रेट करत आहे. पायलट टप्प्यादरम्यान, अनेक Windows 11 लॅपटॉप्सना Intune कॉन्फिगरेशन प्रोफाइल्स यशस्वीरित्या प्राप्त होतात परंतु ते नेटवर्कशी कनेक्ट होण्यात अयशस्वी होतात. Windows Event Logs चे पुनरावलोकन केल्यावर Event ID 20271 दिसतो जो RADIUS सर्व्हर सर्टिफिकेट नाकारले गेल्याचे दर्शवतो. याचे सर्वात संभाव्य कारण काय आहे?

टीप: म्युच्युअल ऑथेंटिकेशनसाठी आवश्यक असलेल्या चेन ऑफ ट्रस्टचा विचार करा.

नमुना उत्तर पहा

डिव्हाइसेसमध्ये RADIUS सर्व्हरचे सर्टिफिकेट जारी करणारे Trusted Root CA सर्टिफिकेट नाही. EAP-TLS मध्ये, डिव्हाइसने RADIUS सर्व्हरची ओळख प्रमाणित करणे आवश्यक आहे. IT टीमने हे सुनिश्चित केले पाहिजे की Root CA (आणि कोणतेही Intermediate CAs) असलेले 'Trusted certificate' प्रोफाइल Intune द्वारे डिव्हाइसेसवर डिप्लॉय केले गेले आहे आणि WiFi प्रोफाइल कनेक्ट करण्याचा प्रयत्न करण्यापूर्वी यशस्वीरित्या इन्स्टॉल केले गेले आहे.

Q2. एक सार्वजनिक क्षेत्रातील ठिकाण Intune आणि PKCS सर्टिफिकेट्स वापरून कर्मचारी डिव्हाइसेससाठी 802.1X डिप्लॉय करत आहे. ते Guest WiFi प्लॅटफॉर्मद्वारे व्यवस्थापित केलेले एक वेगळे अभ्यागत नेटवर्क देखील चालवतात. एका ऑडिटरने नमूद केले आहे की जर कर्मचाऱ्याचा लॅपटॉप चोरीला गेला, तर सर्टिफिकेट 12 महिन्यांसाठी वैध राहते. नेटवर्क आर्किटेक्टने या धोक्याचे निराकरण कसे करावे?

टीप: एखादे सर्टिफिकेट एक्सपायर होण्यापूर्वी ते यापुढे वैध नाही हे ऑथेंटिकेशन सर्व्हरला कसे समजते?

नमुना उत्तर पहा

आर्किटेक्टने एक मजबूत Certificate Revocation वर्कफ्लो लागू करणे आवश्यक आहे. प्रथम, CA अत्यंत उपलब्ध डिस्ट्रिब्युशन पॉईंटवर Certificate Revocation List (CRL) पब्लिश करत असल्याची खात्री करा. दुसरे, प्रत्येक ऑथेंटिकेशन प्रयत्नादरम्यान CRL चेकिंग अनिवार्य करण्यासाठी RADIUS सर्व्हर (उदा. NPS) कॉन्फिगर करा. शेवटी, हरवलेले किंवा चोरीला गेलेले म्हणून चिन्हांकित केलेल्या कोणत्याही डिव्हाइसचे सर्टिफिकेट स्पष्टपणे रद्द करण्यासाठी Intune ऑपरेशनल प्रक्रिया स्थापित करा, जे CRL अपडेट करते आणि नेटवर्क अ‍ॅक्सेस ब्लॉक करते.

Q3. तुम्ही रिटेल वातावरणातील शेअर्ड किओस्क डिव्हाइसेसच्या फ्लीटसाठी Intune डिप्लॉयमेंट डिझाइन करत आहात. ही डिव्हाइसेस दररोज रिबूट होतात आणि कोणत्याही युझरने त्यांच्याशी संवाद साधण्यापूर्वी अपडेट्स डाउनलोड करण्यासाठी त्यांनी त्वरित कॉर्पोरेट नेटवर्कशी कनेक्ट होणे आवश्यक आहे. तुम्ही युझर सर्टिफिकेट्स डिप्लॉय करावेत की डिव्हाइस सर्टिफिकेट्स, आणि कोणता Subject Alternative Name (SAN) फॉरमॅट वापरला जावा?

टीप: रिबूट झाल्यानंतर लगेचच डिव्हाइसच्या स्थितीचा विचार करा.

नमुना उत्तर पहा

तुम्ही डिव्हाइस सर्टिफिकेट्स डिप्लॉय करणे आवश्यक आहे. किओस्कना युझरने लॉग इन करण्यापूर्वी नेटवर्क अ‍ॅक्सेस आवश्यक असल्यामुळे, बूट वेळी युझर सर्टिफिकेट अनुपलब्ध असेल. Intune सर्टिफिकेट प्रोफाइलमधील Subject Alternative Name (SAN) Azure AD Device ID ({{AAD_Device_ID}}) किंवा डिव्हाइसचे फुल्ली क्वालिफाईड डोमेन नेम वापरण्यासाठी कॉन्फिगर केले जावे, ज्यामुळे RADIUS सर्व्हरला विशिष्ट हार्डवेअर अ‍ॅसेट ऑथेंटिकेट करण्याची अनुमती मिळते.

या मालिकेमध्ये पुढे वाचा

विक्रेत्यानुसार प्रति-डिव्हाइस PSK: iPSK, DPSK, MPSK आणि PPSK ची तुलना (आणि WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet आणि Ubiquiti UniFi मधील प्रति-डिव्हाइस PSK अंमलबजावणीची सर्वसमावेशक तुलना. WPA3-SAE चा प्रति-डिव्हाइस की (key) धोरणांवर कसा परिणाम होतो आणि ट्रान्झिशन मोड कधी लागू करायचे विरुद्ध 802.1X कडे कधी वळायचे ते जाणून घ्या.

मार्गदर्शिका वाचा →

MAC Address Authentication म्हणजे काय? ते कधी वापरावे आणि कधी टाळावे

हे अधिकृत तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi वातावरणातील MAC ऍड्रेस ऑथेंटिकेशन कव्हर करते — RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 वर कसे काम करते, त्याच्या अंगभूत सुरक्षा भेद्यता (MAC स्पूफिंग आणि OS-स्तरीय MAC रँडमायझेशनच्या प्रभावासह), आणि अचूक ऑपरेशनल संदर्भ जिथे ते IoT आणि हेडलेस उपकरणांचे व्यवस्थापन करण्यासाठी एक वैध साधन राहते. हे हॉस्पिटॅलिटी, रिटेल, हेल्थकेअर आणि सार्वजनिक क्षेत्रातील व्हेन्यूजमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी रिअल-वर्ल्ड उदाहरणे, निर्णय फ्रेमवर्क्स आणि Purple च्या अतिथी WiFi आणि ॲनालिटिक्स प्लॅटफॉर्मसाठी इंटिग्रेशन संदर्भासह कृतीयोग्य डिप्लॉयमेंट मार्गदर्शन प्रदान करते.

मार्गदर्शिका वाचा →

iOS आणि macOS वर 802.1X सह एंटरप्राइझ WiFi कसे सेट करावे

हे अधिकृत मार्गदर्शक वरिष्ठ IT लीडर्सना iOS आणि macOS डिव्हाइसेसवर 802.1X एंटरप्राइझ WiFi डिप्लॉय करण्यासाठी कृती करण्यायोग्य पायऱ्या प्रदान करते. हे BYOD उपक्रमांना सपोर्ट करताना कॉर्पोरेट नेटवर्क्स सुरक्षित करण्यासाठी सर्टिफिकेट-आधारित ऑथेंटिकेशन (EAP-TLS), MDM कॉन्फिगरेशन प्रोफाइल्स आणि आर्किटेक्चर इंटिग्रेशन कव्हर करते.

मार्गदर्शिका वाचा →