Como configurar SCEP para WiFi corporativo seguro e provisionamento de BYOD
Este guia técnico explica como configurar o Simple Certificate Enrolment Protocol (SCEP) para automatizar a autenticação segura de WiFi corporativo 802.1X e o provisionamento de BYOD. Ele fornece a arquitetos de rede e gerentes de TI uma sequência definitiva de implantação, cenários de implementação do mundo real nos setores de hotelaria e varejo, e estratégias de mitigação de riscos para eliminar chaves pré-compartilhadas vulneráveis e MAC Authentication Bypass de redes corporativas.
Ouça este guia
Ver transcrição do podcast

Resumo Executivo
Para estabelecimentos corporativos que operam nos setores de hospitalidade, varejo e setor público, depender de chaves pré-compartilhadas (PSK) ou MAC Authentication Bypass (MAB) para fornecer acesso WiFi a funcionários e BYOD é um risco de segurança. A arquitetura de rede moderna exige autenticação 802.1X usando EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), garantindo que cada dispositivo seja verificado criptograficamente antes de acessar a rede. O desafio operacional reside em distribuir certificados de cliente exclusivos para milhares de dispositivos não gerenciados sem sobrecarregar a equipe de suporte de TI com chamados.
O Simple Certificate Enrolment Protocol (SCEP), definido na RFC 8894, resolve esse problema de distribuição por meio do gerenciamento automatizado do ciclo de vida dos certificados. Ao aproveitar o SCEP, as equipes de TI podem enviar certificados raiz confiáveis e certificados de cliente para os endpoints, garantindo que a chave privada nunca saia do dispositivo. Este guia fornece o modelo arquitetônico definitivo e a estratégia de implementação passo a passo para a implantação de certificados WiFi via SCEP. Cobrimos a sequência de implantação crítica necessária para o sucesso, cenários do mundo real em hospitalidade e varejo, e estratégias de mitigação de riscos para manter seu Guest WiFi e redes corporativas seguros e com alto desempenho.
Imersão Técnica: Arquitetura SCEP
O SCEP é o padrão da indústria para registro de dispositivos corporativos, criado pela VeriSign e publicado como um rascunho de internet da IETF em 1999. Ele automatiza a emissão de certificados X.509 em um ambiente de infraestrutura de chaves públicas (PKI), eliminando a necessidade de gerenciar certificados manualmente em escala.

Em um fluxo de trabalho SCEP, o dispositivo gera seu próprio par de chaves pública e privada localmente. Ele cria uma Solicitação de Assinatura de Certificado (CSR) e a envia por meio de um servidor de Serviço de Registro de Dispositivo de Rede (NDES) para a sua Autoridade Certificadora (CA). A CA valida a solicitação usando um segredo compartilhado e retorna o certificado público assinado para o dispositivo. A vantagem crítica de segurança é que a chave privada nunca sai do dispositivo. Ela é gerada localmente e armazenada no enclave seguro de hardware do dispositivo - o Trusted Platform Module (TPM) no Windows, ou o Secure Enclave no iOS. Isso torna o SCEP o método altamente recomendado para autenticação 802.1X, em contraste com o PKCS (Public Key Cryptography Standards), onde a CA gera o par de chaves centralmente e o transmite pela rede.
As quatro etapas do registro de certificado SCEP são as seguintes. Primeiro, o dispositivo se conecta à URL do endpoint SCEP hospedada pelo servidor NDES. Segundo, o dispositivo apresenta o segredo compartilhado SCEP (uma senha estática ou um desafio dinâmico gerado pela plataforma MDM) para validar a solicitação de registro. Terceiro, o dispositivo gera uma CSR contendo sua chave pública e informações de identificação. Quarto, a CA valida a CSR e emite um certificado X.509 assinado, que é retornado ao dispositivo.
SCEP vs PKCS: Escolhendo o Mecanismo Certo
Ao projetar sua estratégia de implantação de certificados, a escolha entre SCEP e PKCS impacta diretamente a segurança. A tabela abaixo resume as principais diferenças.
| Atributo | SCEP | PKCS |
|---|---|---|
| Geração de chave privada | No dispositivo (enclave seguro) | No servidor CA |
| Transmissão de chave privada | Nunca transmitida | Transmitida pela rede |
| Requisitos de infraestrutura | Requer um servidor NDES | Sem necessidade de NDES |
| Mais adequado para | Autenticação de WiFi e VPN | Criptografia de e-mail S/MIME |
| Postura de segurança para 802.1X | Recomendado | Não recomendado |
Para WiFi empresarial com SCEP, escolha sempre o SCEP. Manter a chave privada no dispositivo é a propriedade fundamental de segurança que torna a autenticação 802.1X baseada em certificado superior a qualquer método de autenticação baseado em credenciais.
O Fluxo de Integração de Autoatendimento para BYOD
A base de uma integração BYOD segura é a transição da autenticação legada para o EAP-TLS sem exigir o registro completo no Gerenciamento de Dispositivos Móveis (MDM). Forçar os funcionários a registrar smartphones pessoais no MDM corporativo levanta preocupações legítimas de privacidade e gera forte resistência. Um portal de integração de autoatendimento resolve esse problema.
Os usuários conectam seus dispositivos pessoais a um SSID de provisionamento dedicado, que funciona como um "walled garden" (jardim murado), restringindo o acesso apenas ao portal de integração e ao provedor de identidade. Os usuários se autenticam por meio de integração SAML ou OAuth com Microsoft Entra ID, Okta ou Google Workspace. Após a autenticação bem-sucedida, o sistema gera um certificado de cliente exclusivo e específico do dispositivo via SCEP. Um perfil de configuração (um arquivo .mobileconfig para Apple ou um perfil Android Passpoint) é enviado ao dispositivo. Em seguida, o dispositivo se conecta automaticamente ao SSID corporativo seguro usando EAP-TLS. O usuário nunca precisa entender nada sobre certificados ou 802.1X.
Guia de Implementação: A Sequência de Implantação
A configuração bem-sucedida do SCEP para 802.1X exige a adesão estrita a uma sequência de implantação específica. A confiança deve ser estabelecida antes que a autenticação possa ser configurada. Desviar-se dessa sequência é a causa mais comum de falhas nas implantações.
Etapa 1: Implantar o Certificado Raiz Confiável. Antes que qualquer dispositivo possa solicitar um certificado de cliente ou confiar no seu servidor RADIUS, ele deve primeiro confiar na Autoridade Certificadora (CA) emissora. Exporte o certificado da sua CA raiz (e quaisquer certificados de CA intermediários) como um arquivo .cer. Implante esse perfil nos seus grupos de dispositivos de destino por meio da sua plataforma de MDM. Esta etapa é inegociável.
Etapa 2: Configurar o Perfil de Certificado SCEP. Isso instrui os dispositivos sobre como obter o certificado de cliente. Configure o formato do nome do assunto - para autenticação baseada no usuário, o padrão é CN={{UserPrincipalName}}; para autenticação de dispositivo, use CN={{AAD_Device_ID}}. Defina o uso da chave como Digital signature e Key encipherment. Em "extended key usage", especifique Client Authentication (OID: 1.3.6.1.5.5.7.3.2). Vincule este perfil ao perfil de certificado raiz confiável da Etapa 1. Insira a URL externa do seu servidor NDES.
Etapa 3: Implantar o Perfil de WiFi 802.1X. Envie a configuração de WiFi que vincula o certificado ao SSID da rede. Insira o nome da rede exatamente como ele é transmitido pelos seus pontos de acesso (APs). Defina o tipo de segurança como WPA2-Enterprise ou WPA3-Enterprise. Defina o tipo de EAP como EAP-TLS. Selecione o perfil de certificado SCEP como o certificado de autenticação do cliente. Especifique o certificado raiz confiável para validação do servidor, garantindo que os dispositivos se conectem apenas ao seu servidor RADIUS legítimo.
Essa sequência se aplica a todas as plataformas de hardware compatíveis: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A sobreposição de nuvem agnóstica de hardware da Purple se integra a todas essas plataformas, o que significa que sua infraestrutura de certificados não fica presa a um único fornecedor de hardware.
Melhores Práticas
Publique o NDES via Azure AD Application Proxy. O servidor NDES deve ser acessível a partir da internet para que os dispositivos remotos possam provisionar certificados antes de chegarem ao local. Expor um servidor interno diretamente à internet apresenta um risco de segurança significativo. A publicação via Azure AD Application Proxy fornece acesso remoto seguro sem abrir portas de entrada no firewall, e permite que você aplique políticas de Acesso Condicional ao fluxo de inscrição.
Emita certificados de curta duração para BYOD. Como os dispositivos BYOD não são gerenciados, o risco de um dispositivo comprometido permanecer na rede é maior. Emita certificados válidos por 90 dias em vez de anos. Quando um certificado expira, o usuário deve se autenticar novamente através do portal de onboarding. Isso elimina naturalmente os dispositivos inativos da rede sem a intervenção manual de TI.
Imponha verificação estrita de CRL no servidor RADIUS. A implantação de certificados é apenas metade da equação de segurança. Se um funcionário sair, desativar sua conta do Active Directory pode não revogar imediatamente seu acesso ao WiFi enquanto seu certificado de cliente permanecer válido. Configure seu servidor RADIUS para impor uma verificação estrita de Lista de Revogação de Certificados (CRL). Certifique-se de que seu Ponto de Distribuição de CRL (CDP) esteja altamente disponível. Se o servidor RADIUS não conseguir acessar a CRL, a autenticação falhará para todos os usuários, causando uma interrupção em grande escala.
Segmente o BYOD em uma VLAN dedicada. Os dispositivos BYOD não são gerenciados. Você não tem controle sobre as atualizações do sistema operacional, status do antivírus ou aplicativos instalados. Aloque os dispositivos BYOD em uma VLAN dedicada que forneça apenas acesso à internet, restrita aos aplicativos internos específicos exigidos para a função do funcionário. Nunca coloque dispositivos BYOD na mesma VLAN que os servidores corporativos ou dispositivos gerenciados.

Solução de problemas e mitigação de riscos
Falha ao aplicar o perfil de WiFi. O dispositivo recebeu o certificado raiz confiável e o certificado SCEP, mas o perfil de WiFi aparece como "Erro" no console de MDM. Isso quase sempre é causado por uma incompatibilidade de direcionamento de grupo. Se o perfil SCEP for atribuído a um "grupo de usuários" enquanto o perfil de WiFi for atribuído a um "grupo de dispositivos", o MDM não conseguirá resolver a dependência. Audite suas atribuições e garanta que a raiz confiável, o SCEP e os perfis de WiFi tenham como alvo exatamente o mesmo grupo do Azure AD.
Erros NDES 403 Forbidden. Os dispositivos não conseguem recuperar certificados SCEP, e os logs do NDES IIS mostram erros HTTP 403. Isso provavelmente ocorre porque a conta de serviço do conector não possui as permissões necessárias no modelo de certificado, ou seu firewall está bloqueando os parâmetros de string de consulta específicos usados pelo SCEP. Verifique se a conta do conector possui permissões de "Leitura" e "Inscrição" no modelo de CA. Verifique os logs do firewall para garantir que as URLs que contêm ?operation=GetCACaps não estejam sendo bloqueadas.
Fragmentação do Android. Dispositivos Apple iOS lidam com perfis .mobileconfig de forma muito consistente. O Android, no entanto, é altamente fragmentado - diferentes fabricantes e versões de sistema operacional lidam com perfis WiFi e instalação de certificados de maneiras distintas. Forneça instruções claras e específicas por sistema operacional no portal de integração. O uso de Passpoint (Hotspot 2.0) oferece um fluxo de conexão consistente entre os fabricantes, melhorando significativamente a experiência no Android.
Atrasos na revogação de certificados. Quando um funcionário sai, seu acesso deve ser revogado imediatamente. Desativar sua conta de IdP é o primeiro passo, mas o servidor RADIUS também deve validar o status do certificado. Configure seu servidor RADIUS para usar o protocolo OCSP (Online Certificate Status Protocol) além da verificação de CRL. O OCSP fornece o status de revogação em tempo real, em vez de depender de uma lista atualizada periodicamente.
ROI e Impacto nos Negócios
A transição para a implantação de certificados SCEP 802.1X proporciona retornos mensuráveis tanto em segurança quanto em operações. O WiFi baseado em senha gera um grande volume de chamados de suporte técnico devido à expiração de senhas, bloqueios e erros de digitação. A autenticação baseada em certificado é invisível para o usuário - os dispositivos se conectam automaticamente. Isso normalmente reduz a carga de trabalho de suporte técnico relacionada ao WiFi em 70%, liberando a equipe de TI para focar em tarefas estratégicas.
O EAP-TLS elimina o risco de roubo de credenciais e ataques man-in-the-middle (MitM). Isso é crítico para a conformidade com o PCI-DSS em ambientes de varejo e conformidade com o GDPR em todos os setores. No setor de hospitalidade , onde a equipe lida com dados de pagamento e informações pessoais de hóspedes, o custo de uma violação de dados supera em muito o custo de implantar uma infraestrutura PKI bem estruturada. Os mesmos fatores de conformidade se aplicam a operadores de transporte e estabelecimentos de saúde .
Para estabelecimentos que já utilizam as plataformas Guest WiFi e WiFi Analytics da Purple, estender a integração segura para dispositivos BYOD de funcionários oferece uma estratégia unificada e robusta de gerenciamento de rede. A Purple opera em mais de 80.000 locais físicos em todo o mundo, processou 440 milhões de logins em 2024 (dados internos da Purple) e possui certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Nossos complementos de segurança SecurePass e Shield se integram diretamente à arquitetura de autenticação baseada em certificado descrita neste guia.
Para uma perspectiva mais ampla sobre segurança de rede corporativa, consulte nosso Segurança de WiFi Corporativa: O Guia Completo de 2026 . Para considerações de conformidade com o GDPR específicas para administradores de rede, consulte O Guia do Administrador de Rede para Conformidade com GDPR e Privacidade de Dados de Visitantes .
Definições principais
SCEP (Simple Certificate Enrolment Protocol)
Um protocolo definido no RFC 8894 que automatiza a emissão de certificados digitais X.509 para dispositivos dentro de um ambiente de PKI. O dispositivo gera sua própria chave privada localmente, a qual nunca sai do dispositivo.
Usado para implantar certificados de autenticação de WiFi em dispositivos corporativos e BYOD em escala, sem intervenção manual de TI. O padrão da indústria para provisionamento de certificados 802.1X.
802.1X
Um padrão IEEE (IEEE Std 802.1X-2020) para controle de acesso à rede baseado em porta. Ele fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN antes que recebam acesso aos recursos de rede.
A base do WiFi corporativo seguro, substituindo chaves pré-compartilhadas vulneráveis. Requer um servidor RADIUS, um suplicante no dispositivo cliente e um autenticador no ponto de acesso.
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)
Uma estrutura de autenticação que exige que tanto o servidor quanto o cliente apresentem certificados digitais válidos. Fornece autenticação mútua, garantindo que o dispositivo confie na rede e que a rede confie no dispositivo.
O método mais seguro para autenticação 802.1X. Elimina o roubo de credenciais e ataques de Man-in-the-Middle. O protocolo de autenticação de destino que a implantação de certificado SCEP foi projetada para habilitar.
NDES (Serviço de Registro de Dispositivo de Rede)
Uma função do Microsoft Windows Server que atua como uma ponte, permitindo que dispositivos sem credenciais de domínio obtenham certificados de uma CA de Serviços de Certificado do Active Directory via SCEP.
Um componente de infraestrutura obrigatório ao implementar SCEP com o Microsoft Intune. Deve ser publicado via Proxy de Aplicativo do Microsoft Entra ID para permitir o provisionamento seguro de certificados remotos.
BYOD (Traga seu Próprio Dispositivo)
A prática de permitir que os funcionários usem seus smartphones, tablets ou laptops pessoais para acessar redes e aplicativos corporativos.
Exige segmentação de rede cuidadosa e integração segura para evitar que dispositivos não gerenciados comprometam a rede corporativa. O registro completo em MDM geralmente é inviável para dispositivos pessoais devido a preocupações com a privacidade.
CRL (Lista de Revogação de Certificados)
Uma lista publicada pela Autoridade Certificadora contendo os números de série de certificados que foram revogados antes da sua data de expiração.
Deve ser verificada pelo servidor RADIUS durante cada tentativa de autenticação para garantir que funcionários desligados ou dispositivos comprometidos não consigam acessar a rede. Os Pontos de Distribuição de CRL devem ser altamente disponíveis.
CSR (Requisição de Assinatura de Certificado)
Uma mensagem gerada por um dispositivo e enviada a uma Autoridade Certificadora para solicitar um certificado de identidade digital. Contém a chave pública do dispositivo e as informações de identidade.
Gerada pelo dispositivo durante o processo SCEP. A chave privada usada para assinar a CSR permanece no dispositivo e nunca é transmitida.
RADIUS (Remote Authentication Dial-In User Service)
Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários e dispositivos que se conectam a uma rede.
O servidor que valida o certificado do cliente durante a autenticação 802.1X e concede ou nega o acesso à rede. Deve ser configurado para impor uma verificação rigorosa de CRL ou OCSP.
PKCS (Padrões de Criptografia de Chave Pública)
Um conjunto de padrões onde tanto a chave pública quanto a privada são geradas pela Autoridade Certificadora e, em seguida, entregues com segurança ao endpoint.
Menos adequado que o SCEP para autenticação WiFi porque a chave privada é transmitida pela rede. Mais adequado para criptografia de e-mail S/MIME, onde a custódia de chave é necessária.
OCSP (Protocolo de Status de Certificado Online)
Um protocolo que fornece o status de revogação de certificado em tempo real, como uma alternativa à CRL atualizada periodicamente.
Preferível em relação à CRL para ambientes de alta segurança porque fornece o status de revogação instantâneo em vez de depender de uma lista que pode ter horas de atraso.
Exemplos práticos
Um hotel de 200 quartos precisa fornecer acesso seguro de WiFi para 50 funcionários de governança usando seus smartphones pessoais (BYOD) para acessar o aplicativo de escala de trabalho. O gerente de TI deseja evitar o registro completo em MDM para respeitar a privacidade da equipe, mas precisa garantir que o acesso seja revogado imediatamente quando um funcionário se desligar.
O hotel implanta um portal de autoatendimento para integração integrado ao Microsoft Entra ID. A equipe se conecta a um SSID de provisionamento aberto, autentica-se com suas credenciais do Entra ID e baixa um perfil SCEP. O servidor SCEP emite um certificado de cliente de 30 dias diretamente para o dispositivo, com a chave privada gerada e armazenada localmente no enclave seguro do smartphone. O dispositivo se conecta automaticamente ao SSID 'Staff_WiFi' usando EAP-TLS. O servidor RADIUS atribui esses dispositivos a uma VLAN restrita que permite acesso apenas ao aplicativo de escala e à internet. Quando um funcionário se desliga, sua conta do Entra ID é desativada. O servidor RADIUS, configurado para verificação rigorosa de CRL, nega o acesso à rede na próxima tentativa de autenticação. A validade de 30 dias do certificado garante que, mesmo que a verificação de CRL fosse atrasada, o acesso expiraria dentro de um mês.
Uma rede nacional de varejo com 500 lojas precisa implantar WiFi seguro para tablets de ponto de venda (POS) de propriedade corporativa executando Windows. O arquiteto de rede deve garantir que, mesmo se um tablet for roubado, as credenciais de rede não possam ser extraídas e usadas para acessar a rede corporativa a partir de outro dispositivo. A conformidade com PCI-DSS é obrigatória.
O arquiteto de rede configura o Microsoft Intune para implantar certificados via SCEP. O Intune envia o certificado Trusted Root para o grupo 'POS Devices', seguido por um perfil SCEP que instrui cada tablet a gerar sua própria chave privada no TPM do Windows. O tablet envia um CSR para o servidor NDES, recebe o certificado de cliente e se conecta ao SSID 'Retail_POS' usando WPA3 e EAP-TLS. O servidor RADIUS autentica o certificado e coloca o dispositivo na VLAN de POS isolada, que só permite tráfego para o processador de pagamentos e para o sistema de gerenciamento de estoque. Todos os três perfis do Intune - Trusted Root, SCEP e WiFi - são atribuídos ao mesmo grupo de dispositivos 'POS Devices' para evitar falhas de dependência. O NDES é publicado via Azure AD Application Proxy para permitir a renovação do certificado sem exigir que o tablet esteja no local.
Questões práticas
Q1. Você está implantando um perfil SCEP via Intune para uma frota de laptops Windows. Os dispositivos recebem com sucesso o certificado Trusted Root, mas o perfil de WiFi falha ao ser aplicado e aparece como 'Erro' no console do Intune. O perfil SCEP está atribuído ao grupo do Azure AD 'Todos os Usuários', enquanto o perfil de WiFi está atribuído ao grupo de dispositivos 'Laptops Corporativos'. Qual é a causa da falha e como você a resolve?
Dica: Considere as dependências entre os perfis e como o Intune resolve o direcionamento de grupo quando um perfil depende de outro perfil.
Ver resposta modelo
A falha é causada por uma incompatibilidade de direcionamento de grupo. O Intune não consegue resolver a dependência entre o perfil SCEP e o perfil de WiFi porque eles direcionam para tipos de grupos diferentes - um direciona para usuários e o outro para dispositivos. Para resolver isso, audite as atribuições de todos os três perfis e garanta que os perfis Trusted Root, SCEP e WiFi estejam todos implantados exatamente no mesmo grupo do Azure AD. Escolha de forma consistente o direcionamento por usuário ou por dispositivo em todos os perfis.
Q2. Um estabelecimento de varejo deseja proteger seus tablets de PDV. O diretor de TI sugere o uso de PKCS em vez de SCEP porque simplifica a infraestrutura ao eliminar a necessidade de um servidor NDES. Como arquiteto de rede, por que você deve recomendar SCEP para autenticação WiFi 802.1X, e em que circunstâncias o PKCS seria a escolha correta?
Dica: Pense em onde a chave privada é gerada e armazenada em ambos os protocolos, e considere as implicações de segurança para autenticação de rede em oposição à criptografia de e-mail.
Ver resposta modelo
Recomende SCEP para autenticação WiFi 802.1X porque a chave privada é gerada localmente no dispositivo e armazenada em seu enclave seguro de hardware. A chave privada nunca sai do dispositivo e nunca é transmitida pela rede. Se um tablet for roubado, as credenciais não podem ser extraídas e usadas a partir de outro dispositivo. Com o PKCS, a CA gera o par de chaves centralmente e o transmite para o dispositivo, introduzindo um risco de transmissão que é inaceitável para autenticação de rede. O PKCS é a escolha correta apenas para criptografia de e-mail S/MIME, onde a custódia de chave é necessária para permitir que e-mails criptografados sejam descriptografados caso o dispositivo original seja perdido.
Q3. Você está projetando um portal de integração BYOD para um hospital de 500 leitos. A equipe clínica usará seus smartphones pessoais para acessar aplicativos internos não críticos, como a escala de funcionários e mensagens internas. Você precisa minimizar o risco de dispositivos inativos permanecerem na rede após a saída de funcionários, sem exigir intervenção manual da TI para cada desligamento. Qual configuração específica de certificado você deve implementar?
Dica: Considere o ciclo de vida do certificado e como você pode forçar os dispositivos a se reautenticarem periodicamente sem exigir que a TI revogue manualmente cada certificado.
Ver resposta modelo
Implemente certificados de curta duração com um período de validade de 30 a 90 dias. Quando o certificado expira, o dispositivo BYOD é forçado a se reautenticar através do Captive Portal usando as credenciais do IdP corporativo do funcionário. Se o funcionário tiver saído e sua conta no IdP tiver sido desativada, ele não conseguirá concluir a reautenticação e não receberá um novo certificado. Isso elimina naturalmente os dispositivos inativos da rede sem exigir que a TI revogue manualmente certificados individuais. Combine isso com a verificação OCSP no servidor RADIUS para garantir a revogação imediata quando uma conta for desativada, proporcionando defesa em profundidade entre os ciclos de expiração dos certificados.
Q4. Seu servidor NDES está retornando erros HTTP 403 Forbidden para todas as solicitações de certificado SCEP. O servidor NDES está acessível a partir da internet via Azure AD Application Proxy. Quais são as duas causas mais prováveis para esse erro e como você diagnostica cada uma delas?
Dica: Considere tanto as permissões no modelo de certificado quanto o caminho de rede entre o dispositivo e o servidor NDES.
Ver resposta modelo
As duas causas mais prováveis são: primeiro, a conta de serviço do Intune Certificate Connector não possui as permissões necessárias no modelo de certificado da CA. Verifique se a conta de serviço possui permissões de 'Leitura' e 'Inscrição' no modelo no console da CA. Segundo, o firewall ou o Application Proxy está bloqueando os parâmetros de string de consulta específicos usados pelo SCEP. Verifique os logs do firewall e do Application Proxy para solicitações contendo parâmetros como '?operation=GetCACaps' ou '?operation=PKIOperation'. Essas são operações padrão do SCEP que devem ser permitidas. Se o Application Proxy estiver removendo as strings de consulta, ajuste as configurações de pré-autenticação para permitir a passagem para o caminho da URL do NDES.
Continue a ler esta série
Como Segregar com Segurança Redes WiFi de Funcionários e Convidados
Este guia técnico de autoridade fornece aos líderes de TI estratégias acionáveis para segregar com segurança redes WiFi de funcionários, convidados e IoT usando VLANs e 802.1X. Detalha como proteger a infraestrutura corporativa, manter a conformidade com o PCI-DSS e aproveitar captive portals para capturar dados primários.
Best DNS filtering: a comprehensive guide for businesses
Este guia de referência técnica explica como o DNS filtering empresarial protege redes públicas bloqueando domínios maliciosos na camada de resolução - antes mesmo que uma conexão seja estabelecida. Ele fornece a diretores de TI, arquitetos de rede e equipes de operações de locais a arquitetura de implantação, configuração de firewall e contexto de conformidade que precisam para proteger o Guest WiFi em ambientes de hospitalidade, varejo e setor público. O Purple Shield bloqueia malware, botnets e conteúdo inadequado no nível de DNS em mais de 80.000 locais ativos.
Entendendo o Cisco SUDI: Identidade Ancorada em Hardware no Controle de Acesso a Redes Seguras
Este guia explica como o Cisco SUDI fornece uma identidade criptograficamente segura e ancorada em hardware para a infraestrutura de rede corporativa. Saiba como substituir endereços MAC clonáveis por certificados 802.1AR imutáveis para proteger o controle de acesso à rede do seu local.