Jamf e RADIUS: Autenticação de WiFi Baseada em Certificado para Frotas de Dispositivos Apple

Este guia de referência técnica fornece a gerentes de TI, arquitetos de rede e CTOs etapas práticas para implantar a autenticação de WiFi 802.1X baseada em certificado para frotas de dispositivos Apple usando o Jamf Pro e RADIUS. Ele aborda o fluxo de trabalho completo de provisionamento de certificados SCEP, a estrutura do perfil de configuração de WiFi, os requisitos de integração do RADIUS e cenários de implementação do mundo real em ambientes corporativos e de saúde. O guia é essencial para qualquer organização que busca eliminar vulnerabilidades de WiFi baseadas em senha, reduzir a sobrecarga do helpdesk e alcançar a conformidade com os padrões de acesso à rede PCI DSS e GDPR.

📖 9 min de leitura📝 2,102 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos mergulhar em um tópico de infraestrutura crítica para ambientes corporativos Apple: a implantação de autenticação WiFi baseada em certificados usando o Jamf Pro e o RADIUS.

Se você é um gerente de TI, arquiteto de rede ou diretor de operações de locais físicos, você conhece a dor do WiFi baseado em senhas. Os usuários alteram suas senhas do Active Directory e, de repente, seus iPhones, iPads e MacBooks perdem a conexão com a rede. Os chamados no helpdesk disparam. A segurança é comprometida porque as senhas podem ser compartilhadas, sofrer phishing ou ser interceptadas.

A solução de nível corporativo é o 802.1X EAP-TLS. Trata-se de autenticação baseada em certificados. Sem senhas. O dispositivo se autentica usando um certificado criptográfico. E quando você gerencia uma frota de dispositivos Apple, a maneira padrão do setor para implantar esses certificados e as configurações de WiFi correspondentes é por meio do Gerenciamento de Dispositivos Móveis — especificamente o Jamf Pro.

Vamos detalhar a arquitetura. Na borda, você tem seus Access Points corporativos. Atrás deles, seu servidor RADIUS — talvez FreeRADIUS, Cisco ISE ou Microsoft NPS. E gerenciando os dispositivos, você tem o Jamf Pro.

A mágica acontece por meio de um protocolo chamado SCEP — Simple Certificate Enrollment Protocol. O SCEP permite que o Jamf diga a um dispositivo Apple: vá e fale com esta Autoridade Certificadora e obtenha um certificado exclusivo para você.

Aqui está o fluxo passo a passo. Primeiro, você configura um Perfil de Configuração no Jamf Pro. Este perfil contém duas cargas de dados (payloads) cruciais. A primeira é o payload SCEP. Ele informa ao dispositivo macOS ou iOS a URL do seu servidor SCEP e fornece uma senha de desafio dinâmica. O dispositivo gera uma Solicitação de Assinatura de Certificado — ou CSR — e a envia para o servidor SCEP. O servidor SCEP valida o desafio, assina o certificado e o emite de volta para o dispositivo.

Agora o dispositivo possui um certificado exclusivo e vinculado à sua identidade. Mas ele precisa saber o que fazer com ele. É aí que entra o segundo payload: o payload de WiFi. No Jamf, você configura o payload de WiFi para WPA2 ou WPA3 Enterprise. Você seleciona EAP-TLS como o tipo de EAP aceito. E, crucialmente, você vincula este payload de WiFi ao payload SCEP que acabou de criar. Você está dizendo ao dispositivo: quando você se conectar ao SSID corporativo, use o certificado que obteve deste processo SCEP para se autenticar.

Quando o usuário entra no escritório, o MacBook detecta o SSID. Ele inicia uma conexão 802.1X. O Access Point repassa a solicitação para o servidor RADIUS. O servidor RADIUS e o MacBook trocam certificados para estabelecer confiança mútua. O servidor RADIUS valida o certificado do MacBook em relação à Autoridade Certificadora. Se for válido, não revogado e estiver em conformidade com as políticas exigidas, o servidor RADIUS envia uma mensagem de Access-Accept para o Access Point, e o dispositivo entra na rede. De forma transparente. Zero interação do usuário.

Vamos falar sobre as armadilhas de implementação. O problema número um que vemos são as falhas na cadeia de confiança do certificado. Para que o EAP-TLS funcione, o dispositivo Apple deve confiar no certificado do servidor RADIUS, e o servidor RADIUS deve confiar no certificado do dispositivo. Em seu perfil de WiFi do Jamf, você deve definir explicitamente os nomes dos certificados de servidor confiáveis e incluir o certificado da CA Raiz no perfil. Se você esquecer disso, o iOS e o macOS falharão silenciosamente na conexão ou solicitarão que o usuário confie manualmente no certificado — o que anula todo o propósito da implantação via MDM.

Outra armadilha comum é o desafio inicial de registro do SCEP. Se o dispositivo estiver tentando obter seu certificado SCEP através da própria rede WiFi que ele precisa do certificado para acessar, você terá um problema clássico do ovo e da galinha. Você precisa de uma rede de integração (onboarding) ou os dispositivos precisam receber seus perfis via Ethernet ou dados móveis antes de acessarem o WiFi corporativo.

Agora, vamos analisar um cenário do mundo real. Uma grande rede de hospitais estava implantando cinco mil iPads para a equipe clínica. Eles estavam usando PEAP com nomes de usuário e senhas. A cada noventa dias, as senhas do Active Directory expiravam. Na manhã seguinte à expiração, centenas de enfermeiros não conseguiam acessar os prontuários dos pacientes porque seus iPads desconectavam do WiFi. Ao migrar para o SCEP e EAP-TLS gerenciados pelo Jamf, eles eliminaram completamente as rotações de senha para acesso à rede. Os certificados eram válidos por um ano, e o Jamf os renovava automaticamente trinta dias antes do vencimento via SCEP. Os chamados de suporte para WiFi caíram em oitenta e cinco por cento.

Deixe-me fazer um perguntas e respostas rápido. Pergunta: Posso usar PEAP com o Jamf em vez de EAP-TLS? Tecnicamente sim, mas você perde o principal benefício da autenticação sem senha. O EAP-TLS é o padrão recomendado. Pergunta: Preciso de uma CA interna ou posso usar uma CA pública? Para autenticação RADIUS, uma CA interna é fortemente recomendada porque você controla a emissão e a revogação dos certificados dos dispositivos. Pergunta: O que acontece quando um dispositivo é desregistrado do Jamf? O certificado deve ser revogado no nível da CA, e o servidor RADIUS deve verificar a Lista de Revogação de Certificados para negar o acesso.

Então, quais são as principais conclusões? Primeiro: afaste-se do PEAP e das senhas. O EAP-TLS é o padrão ouro para frotas Apple. Segundo: aproveite as cargas dinâmicas de SCEP do Jamf Pro para emitir certificados exclusivos vinculados ao dispositivo sem intervenção manual. Terceiro: garanta que suas cadeias de confiança de certificados estejam explicitamente definidas em seus perfis de configuração para evitar falhas silenciosas. Quarto: planeje sua rede de integração com cuidado — os dispositivos precisam de um caminho para o servidor SCEP antes de poderem se conectar ao WiFi seguro. E quinto: use certificados baseados em dispositivos para hardware compartilhado e certificados baseados em usuários para implantações individuais.

Esta é a nossa análise técnica detalhada sobre Jamf e RADIUS por hoje. Para etapas de configuração mais detalhadas e diagramas de arquitetura, consulte o guia escrito completo na plataforma Purple. Obrigado por ouvir.

Principais conclusões

✓O EAP-TLS é o padrão ouro para autenticação WiFi corporativa — ele elimina totalmente as senhas e exige que tanto o dispositivo quanto o servidor RADIUS provem sua identidade usando certificados digitais.
✓O Jamf Pro automatiza a distribuição de certificados para frotas Apple em escala usando o protocolo SCEP, com senhas de desafio dinâmicas por dispositivo que garantem que apenas dispositivos gerenciados possam se registrar.
✓Uma implantação bem-sucedida do Jamf WiFi requer dois payloads vinculados em um único Perfil de Configuração: um payload SCEP para obter o certificado e um payload WiFi que faz referência a esse certificado como a identidade.
✓A falha de implantação mais comum é uma cadeia de confiança de certificado incompleta — o perfil Jamf WiFi deve incluir explicitamente a CA Raiz e especificar o CN do servidor RADIUS no campo Trusted Server Certificate Names.
✓Certificados baseados em dispositivos (SAN = endereço MAC) são essenciais para hardware compartilhado, garantindo a conectividade de rede na inicialização antes que qualquer usuário faça login.
✓Planeje a rede de integração com cuidado — os dispositivos precisam de um caminho de rede para o servidor SCEP antes de poderem receber seu certificado e ingressar no SSID 802.1X seguro.
✓A renovação automática de certificados (configurada para 30 dias antes da expiração) e a revogação imediata após a desativação do dispositivo são requisitos operacionais inegociáveis para uma implantação segura e resiliente.

Resumo Executivo

Gerenciar o acesso seguro ao WiFi para uma frota de dispositivos Apple em um ambiente corporativo apresenta um desafio operacional e de segurança significativo quando se depende da autenticação tradicional baseada em senha. Os usuários alteram suas credenciais do Active Directory e, imediatamente, seus iPhones, iPads e MacBooks perdem a conexão com a rede — gerando chamados de suporte, interrompendo fluxos de trabalho e expondo a organização a ataques baseados em credenciais.

Para gerentes de TI, arquitetos de rede e CTOs em hotéis, redes de varejo, estádios e organizações do setor público, a solução é a autenticação 802.1X baseada em certificado usando EAP-TLS. Ao aproveitar o Jamf Pro para distribuir certificados criptográficos exclusivos via SCEP (Simple Certificate Enrollment Protocol) e integrar com um servidor RADIUS, as organizações podem obter um acesso WiFi contínuo e sem senha para cada dispositivo Apple gerenciado. Este guia fornece uma abordagem prática e neutra de fornecedor para implantar a autenticação de certificado WiFi Jamf RADIUS, garantindo segurança robusta, conformidade com padrões como PCI DSS e GDPR, e uma redução mensurável nos custos de suporte.

Detalhamento Técnico

A Arquitetura 802.1X EAP-TLS

A base da autenticação WiFi baseada em certificado é o padrão IEEE 802.1X combinado com o protocolo EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). Para uma introdução detalhada sobre o próprio padrão 802.1X, consulte nosso guia sobre Autenticação 802.1X: Protegendo o Acesso à Rede em Dispositivos Modernos .

Ao contrário do PEAP (Protected EAP), que depende de um nome de usuário e senha, o EAP-TLS exige que tanto o dispositivo cliente quanto o servidor de autenticação comprovem suas identidades usando certificados digitais. Essa autenticação mútua é o que torna o EAP-TLS o padrão ouro para implantações corporativas. O modelo de três partes consiste nos seguintes componentes.

Componente	Função	Exemplos
Suplicante (Supplicant)	O dispositivo Apple que solicita acesso à rede	MacBook, iPhone, iPad
Autenticador (Authenticator)	O dispositivo de borda de rede que impõe o controle de acesso	Ponto de Acesso WiFi, WLC
Servidor de Autenticação	Valida certificados e autoriza o acesso	FreeRADIUS, Cisco ISE, Microsoft NPS

O Ponto de Acesso atua como um guardião, bloqueando todo o tráfego até que o servidor RADIUS envie uma mensagem Access-Accept. Este é o núcleo do modelo de Controle de Acesso à Rede Baseado em Porta (PNAC) do IEEE 802.1X.

SCEP e Jamf Pro: Distribuição de Certificados em Escala

O desafio com EAP-TLS em escala é a distribuição de certificados. Instalar manualmente um certificado exclusivo em 500 iPads não é uma operação viável. É aqui que a integração Jamf Pro e SCEP Jamf se torna o facilitador crítico.

O SCEP (Simple Certificate Enrollment Protocol) é um protocolo leve que permite que um dispositivo solicite e receba automaticamente um certificado assinado de uma Autoridade Certificadora (CA). O Jamf Pro atua como o orquestrador, enviando um Perfil de Configuração para cada dispositivo Apple. Este perfil contém um payload SCEP que instrui o dispositivo a entrar em contato com o servidor SCEP, fornece uma senha de desafio dinâmica e especifica os atributos de certificado necessários — como o Subject Alternative Name (SAN), que normalmente é mapeado para o endereço MAC ou número de série do dispositivo.

O mecanismo de senha de desafio dinâmica é particularmente importante. Em uma implantação SCEP integrada ao Jamf, o Jamf gera uma senha de desafio exclusiva e de uso único para cada dispositivo. Isso garante que apenas dispositivos registrados no Jamf Pro — e, portanto, gerenciados corporativamente — possam obter com sucesso um certificado da CA. Este é um controle de segurança crítico que impede o registro de dispositivos não autorizados.

Atributos RADIUS para Autenticação de Dispositivos Apple

Quando o servidor RADIUS recebe um Access-Request do Access Point, ele avalia vários atributos para tomar sua decisão de autorização. Para implantações Apple 802.1X, os atributos RADIUS mais relevantes são os seguintes.

Atributo RADIUS	Descrição	Relevância Apple
`User-Name` (Attr 1)	A identidade apresentada pelo solicitante	Normalmente o Subject CN ou SAN do certificado
`NAS-IP-Address` (Attr 4)	O IP do Access Point	Usado para políticas específicas de AP
`Called-Station-Id` (Attr 30)	O BSSID e SSID do AP	Permite a aplicação de políticas baseadas em SSID
`EAP-Message` (Attr 79)	O pacote EAP encapsulado	Contém os dados do handshake TLS
`Tunnel-Type` (Attr 64)	Especifica o tipo de atribuição de VLAN	Usado para atribuição dinâmica de VLAN pós-autenticação
`Tunnel-Medium-Type` (Attr 65)	Especifica o meio para o túnel	Necessário para marcação de VLAN 802.1Q
`Tunnel-Private-Group-Id` (Attr 81)	O ID da VLAN a ser atribuído	Permite a segmentação de rede baseada em funções

O atributo Tunnel-Private-Group-Id é particularmente poderoso em implantações corporativas. Ao retornar IDs de VLAN diferentes com base nos atributos do certificado (por exemplo, departamento, tipo de dispositivo), o servidor RADIUS pode segmentar dinamicamente a rede sem a necessidade de SSIDs separados.

Guia de Implementação

A implantação da autenticação WiFi por certificado em dispositivos Apple via Jamf Pro segue uma sequência estruturada. Desviar-se desta ordem é a principal causa de falhas nas implantações.

Passo 1: Estabelecer sua Infraestrutura de Autoridade Certificadora

Antes de configurar o Jamf, sua infraestrutura de CA deve estar pronta. Para ambientes Microsoft, isso geralmente é o Active Directory Certificate Services (AD CS) com a função Network Device Enrollment Service (NDES), que atua como o servidor SCEP. Para ambientes não Microsoft, as opções incluem EJBCA, HashiCorp Vault PKI ou CAs baseadas em nuvem, como o AWS Private CA.

Certifique-se de que a hierarquia da sua CA esteja clara: uma Root CA que é mantida offline e uma ou mais Issuing CAs que assinam os certificados dos dispositivos. O servidor RADIUS precisará de seu próprio certificado assinado por esta mesma hierarquia de CA.

Passo 2: Configurar o Payload SCEP no Jamf Pro

Navegue até Computadores (ou Dispositivos Móveis) > Perfis de Configuração > Novo. Adicione um payload de Certificado e selecione SCEP como a origem do certificado. Os campos críticos são os seguintes.

URL: O endpoint SCEP (ex: http://ndes.seudominio.com/certsrv/mscep/mscep.dll).
Nome: Um nome descritivo que aparecerá no Keychain do dispositivo.
Subject: O Distinguished Name do certificado. Use variáveis do Jamf como CN=$COMPUTERNAME para computadores ou CN=$JSSID para dispositivos móveis.
Subject Alternative Name (SAN): Defina o Tipo de SAN como RFC 822 Name com o valor $MACADDRESS@seudominio.com, ou DNS Name com $COMPUTERNAME.seudominio.com. Isso é o que o servidor RADIUS lerá para identificar o dispositivo.
Tipo de Desafio: Selecione Dinâmico para usar o proxy SCEP integrado do Jamf, que gera senhas de desafio por dispositivo.
Tamanho da Chave: Mínimo de RSA de 2048 bits. Recomenda-se 4096 bits para novas implantações.
Uso da Chave: Ative tanto Assinatura quanto Criptografia.

Passo 3: Configurar o Payload de WiFi

No mesmo Perfil de Configuração, adicione um payload de Wi-Fi. As principais configurações para o Apple 802.1X são as seguintes.

SSID: O nome exato do seu SSID corporativo seguro.
Tipo de Segurança: WPA2 Enterprise ou WPA3 Enterprise (recomendado onde o hardware suportar).
Protocolos — Tipos de EAP Aceitos: Selecione apenas TLS. Desmarque PEAP, TTLS e todos os outros tipos para impor exclusivamente o EAP-TLS.
Autenticação — Certificado de Identidade: Selecione o payload SCEP que você criou no Passo 2. Este é o vínculo crítico entre o certificado e a conexão WiFi.
Confiança — Nomes de Certificados de Servidor Confiáveis: Insira o Common Name (CN) exato do certificado do seu servidor RADIUS (ex: radius.seudominio.com). Este é o item de configuração mais frequentemente esquecido.
Confiança — Certificados Confiáveis: Faça o upload da Root CA e de quaisquer certificados de CA Intermediária que assinaram o certificado do servidor RADIUS.

Passo 4: Configurar o Servidor RADIUS

No seu servidor RADIUS, crie uma política de rede que corresponda aos atributos de certificado que você definiu no Jamf. Para o Microsoft NPS, isso significa criar uma Política de Solicitação de Conexão que corresponda ao SSID por meio do atributo Called-Station-Id, e uma Política de Rede que valide o certificado em relação à sua CA e, opcionalmente, atribua uma VLAN por meio dos atributos de Tunnel.

Para o FreeRADIUS, configure o módulo eap para usar tls e aponte para o seu certificado CA, certificado do servidor e chave privada. O arquivo users ou o backend SQL deve ser configurado para corresponder o SAN do certificado com o seu inventário de dispositivos.

Passo 5: Definir o Escopo e Implantar o Perfil

No Jamf Pro, defina o escopo do Perfil de Configuração para os grupos de dispositivos apropriados — por exemplo, todos os dispositivos no Smart Group "Frota Corporativa". O perfil será enviado automaticamente via MDM. Os dispositivos que estiverem online o receberão em minutos; os dispositivos que estiverem offline o receberão na próxima vez que se conectarem.

Melhores Práticas

Implemente o WPA3 Enterprise sempre que possível. O WPA3 Enterprise com modo de 192 bits oferece maior força criptográfica usando GCMP-256 e HMAC-SHA-384, oferecendo uma proteção significativamente mais forte do que o WPA2 Enterprise. Para ambientes de Hospitalidade e organizações de Saúde que lidam com dados confidenciais, essa atualização é cada vez mais um requisito de conformidade, e não apenas uma melhor prática.

Aproveite os certificados baseados em dispositivos para hardware compartilhado. Para dispositivos compartilhados — como iPads de ponto de venda no varejo, tablets de concierge de hotéis ou dispositivos clínicos — use certificados vinculados ao dispositivo em vez de certificados vinculados ao usuário. Isso garante que o dispositivo se conecte à rede na inicialização, antes de qualquer usuário fazer login, permitindo que as verificações de MDM, atualizações de aplicativos e notificações push funcionem corretamente. Essa é uma consideração crítica para implantações de Varejo onde os dispositivos podem ser compartilhados entre turnos.

Integre o acesso à rede com sua postura de segurança mais ampla. Enquanto a equipe usa o 802.1X para acesso interno seguro, garanta que suas redes voltadas para o público sejam gerenciadas por meio de uma solução robusta de Guest WiFi para manter uma separação clara de tráfego. Combinar a autenticação de funcionários baseada em certificado com o WiFi Analytics oferece visibilidade total sobre o comportamento do dispositivo autenticado e a atividade da rede de convidados.

Automatize a renovação de certificados. Configure o payload SCEP no Jamf para acionar a renovação automática quando um certificado estiver entre 14 e 30 dias antes da expiração. Isso evita o cenário em que um dispositivo perde silenciosamente o acesso à rede porque seu certificado expirou da noite para o dia. No Jamf Pro, isso é controlado por meio da configuração Renewal Threshold no payload SCEP.

Mantenha uma Lista de Revogação de Certificados (CRL) ou um respondedor OCSP. Quando um dispositivo é desativado, roubado ou desvinculado do Jamf, seu certificado deve ser revogado no nível da CA. Configure seu servidor RADIUS para verificar o endpoint CRL ou OCSP a cada tentativa de autenticação. Sem isso, um dispositivo roubado com um certificado válido ainda poderá se autenticar na rede. For further context on modern network infrastructure decisions, the The Core SD WAN Benefits for Modern Businesses guide provides useful context on how certificate-based authentication integrates with SD-WAN overlay architectures.

Troubleshooting & Risk Mitigation

The Chicken-and-Egg Provisioning Problem. Devices need a network connection to reach the SCEP server and download their certificate, but they need the certificate to join the secure WiFi. This is the most common deployment blocker. The recommended mitigation strategies are: provisioning via Ethernet using USB-C or Lightning to Ethernet adapters; using cellular data on iPhones and cellular-capable iPads; or creating a temporary, restricted onboarding SSID with firewall rules that permit only SCEP and MDM traffic.

Silent EAP-TLS Failures on macOS. If the trust chain is incomplete, macOS may silently fail to connect without displaying a meaningful error in the UI. The only indication is in the system log. Use log stream --predicate 'subsystem == "com.apple.network"' to capture real-time authentication events. Always verify that the Trusted Server Certificate Names array in the Jamf profile exactly matches the CN in the RADIUS server's certificate.

RADIUS Timeout During High-Load Events. In environments such as stadiums or conference centres, simultaneous authentication requests from hundreds of devices can overwhelm the RADIUS server. Mitigate this by deploying RADIUS in a high-availability pair, tuning the max_requests parameter in FreeRADIUS, and ensuring the RADIUS server has sufficient CPU and memory for the expected concurrent authentication load. For large-scale venue deployments, review our guidance on Wireless Access Points Definition Your Ultimate 2026 Guide for capacity planning considerations.

Certificate Attribute Mismatch. If the SAN in the device certificate does not match what the RADIUS Network Policy expects, authentication will fail. This is particularly common when migrating from one CA to another, or when Jamf variables resolve differently than expected. Always test with a single device and inspect the RADIUS server logs to confirm the exact identity string being presented before rolling out to the full fleet.

ROI and Business Impact

Transitioning to Jamf RADIUS WiFi certificate authentication delivers measurable business value across several dimensions.

Metric	Typical Outcome
Helpdesk ticket reduction	60–85% reduction in WiFi-related support requests
Onboarding time per device	Reduced from 15–30 minutes to under 2 minutes (zero-touch)
Security incident risk	Near-elimination of credential-based WiFi attacks
Compliance posture	Meets PCI DSS Requirement 1.3 and GDPR Article 32 network controls
Certificate lifecycle	Automated renewal eliminates manual certificate management

O principal impulsionador de ROI é a eliminação de interrupções por rotação de senhas. Em uma frota de 500 dispositivos onde 10% dos aparelhos desconectam da rede a cada trimestre devido a alterações de senha, e cada incidente exige 20 minutos do tempo de TI para ser resolvido, a economia anual de custos de suporte por si só pode justificar o investimento de implementação logo no primeiro ano.

Para operadores de Transporte e ambientes de grandes locais de eventos, o caso de negócios é ainda mais fortalecido pela capacidade de aplicar a atribuição dinâmica de VLAN — garantindo que dispositivos operacionais, dispositivos de funcionários e sistemas de gerenciamento sejam segmentados automaticamente, sem a necessidade de reconfiguração manual de rede.

Definições principais

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

O método de autenticação 802.1X mais seguro, que exige que tanto o dispositivo cliente quanto o servidor RADIUS se autentiquem mutuamente usando certificados digitais. Nenhuma senha é trocada ou transmitida.

Quando as equipes de TI precisam eliminar o WiFi baseado em senha e impor uma conformidade rigorosa de dispositivos, o EAP-TLS é o padrão obrigatório. É o único tipo de EAP que fornece autenticação mútua.

SCEP (Simple Certificate Enrollment Protocol)

Um protocolo que permite que os dispositivos solicitem certificados digitais de forma segura e automática a uma Autoridade Certificadora usando um mecanismo de desafio-resposta.

Essencial para dimensionar implantações de certificados via Jamf Pro sem exigir que a equipe de TI instale manualmente certificados em milhares de dispositivos. O proxy SCEP dinâmico do Jamf gera senhas de desafio por dispositivo.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para dispositivos que se conectam a um serviço de rede.

O mecanismo de decisão central que informa ao ponto de acesso WiFi se um dispositivo gerenciado pelo Jamf tem permissão na rede e, opcionalmente, qual VLAN atribuir.

Configuration Profile

Um arquivo XML (.mobileconfig) implantado pelo Jamf Pro que contém um ou mais payloads para gerenciar configurações em dispositivos Apple, incluindo certificados, WiFi, VPN e restrições.

Este é o veículo usado para enviar as configurações de SCEP, a configuração de SSID do WiFi e a cadeia de confiança do certificado para o iPhone, iPad ou Mac.

CSR (Certificate Signing Request)

Um bloco de texto codificado gerado pelo dispositivo Apple contendo a chave pública e informações de identidade, enviado à Autoridade Certificadora para solicitar um certificado digital assinado.

A primeira etapa no processo SCEP. O dispositivo gera a CSR localmente, garantindo que a chave privada nunca saia do dispositivo — um princípio fundamental da segurança de PKI.

Subject Alternative Name (SAN)

Uma extensão para um certificado X.509 que permite que múltiplos valores de identidade sejam associados ao certificado, como endereços de e-mail, nomes de DNS, endereços IP ou endereços MAC.

Crucial para a autenticação RADIUS. O servidor RADIUS lê o SAN para identificar o dispositivo ou usuário. Nas implantações do Jamf, o SAN geralmente é definido como o endereço MAC do dispositivo ou o UPN do usuário.

Root CA (Certificate Authority)

O certificado de nível mais alto em uma hierarquia de PKI, cuja chave privada é usada para assinar certificados de CA subordinadas. O certificado da Root CA deve ser confiável para todas as partes na cadeia de autenticação.

Deve ser implantado em dispositivos Apple via Jamf para que eles confiem nos certificados apresentados pelo servidor RADIUS durante o handshake EAP-TLS. Sem isso, o handshake falha.

IEEE 802.1X

Um padrão IEEE para Controle de Acesso à Rede baseado em porta (PNAC), que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN antes que o acesso à rede seja concedido.

A estrutura abrangente que bloqueia o tráfego de rede no ponto de acesso até que o servidor RADIUS valide o certificado provisionado pelo Jamf. Toda a segurança de WiFi corporativo é baseada neste padrão.

Dynamic VLAN Assignment

Um recurso do RADIUS que atribui um dispositivo de conexão a uma VLAN específica com base em atributos de política retornados na mensagem Access-Accept, usando os atributos de túnel RADIUS 64, 65 e 81.

Permite a segmentação de rede sem a necessidade de múltiplos SSIDs. Um único SSID corporativo pode direcionar automaticamente iPads clínicos para a VLAN 20, MacBooks executivos para a VLAN 30 e dispositivos de convidados para a VLAN 100.

Exemplos práticos

Um hospital de 500 leitos precisa implantar 1.200 iPads compartilhados para a equipe clínica. Atualmente, eles usam PEAP com credenciais do Active Directory, o que resulta em centenas de dispositivos desconectados a cada 90 dias quando as senhas expiram. Como eles devem redesenhar sua arquitetura de autenticação?

O hospital deve migrar para EAP-TLS usando certificados baseados em dispositivos gerenciados por meio do Jamf Pro. A implementação envolve quatro etapas principais. Primeiro, implantar o AD CS com a função NDES para atuar como o servidor SCEP, emitindo certificados a partir de um modelo de certificado dedicado 'Clinical Device'. Segundo, configurar um Perfil de Configuração do Jamf com um payload SCEP usando $MACADDRESS como o SAN, e um payload de WiFi direcionado ao SSID clínico apenas com EAP-TLS, confiando explicitamente no certificado do servidor RADIUS. Terceiro, configurar o Microsoft NPS com uma Política de Rede que corresponda ao modelo de certificado 'Clinical Device' e atribua os dispositivos à VLAN Clínica (Tunnel-Private-Group-Id = 20). Quarto, definir o limite de renovação do SCEP para 30 dias para garantir a renovação automática do certificado sem a intervenção da TI. Os dispositivos devem ser provisionados via Ethernet durante a implantação inicial para resolver o desafio da rede de integração.

Comentário do examinador: Esta abordagem elimina completamente o problema de rotação de senhas de 90 dias. Ao usar certificados baseados em dispositivos em vez de baseados em usuários, os iPads permanecem conectados à rede mesmo quando estão em um carrinho de recarga, garantindo que recebam atualizações críticas de MDM e notificações push antes que um médico os retire. A atribuição dinâmica de VLAN via RADIUS garante que os dispositivos clínicos sejam colocados automaticamente no segmento de rede correto, atendendo aos requisitos de segmentação de rede HIPAA sem configuração manual.

Uma agência criativa com 300 MacBooks está se mudando para um novo escritório. Eles querem provisionamento de WiFi zero-touch — os novos MacBooks devem se conectar automaticamente ao SSID corporativo seguro quando forem desencaixados pelos usuários finais em suas mesas, sem intervenção da TI. Como eles conseguem isso?

A agência deve combinar o Apple Automated Device Enrollment (ADE) com o Jamf Pro e um Perfil de Configuração cuidadosamente sequenciado. Durante o Assistente de Configuração do macOS, o MacBook se conecta à internet por meio de um SSID de integração aberto temporário (restrito por firewall para permitir apenas o tráfego de ativação da Apple, Jamf MDM e SCEP). Ele entra em contato com a Apple, reconhece que pertence à agência via ADE e se inscreve automaticamente no Jamf Pro. O Jamf Pro envia imediatamente um Perfil de Configuração pré-configurado contendo o payload SCEP e o payload de WiFi corporativo. A inscrição do SCEP é concluída na rede de integração SSID, o certificado é instalado nas Chaves (Keychain) e o payload de WiFi é ativado. O MacBook então faz a transição automática para o SSID corporativo seguro 802.1X. Do ponto de vista do usuário, ele simplesmente conclui o Assistente de Configuração e o laptop já está na rede corporativa.

Comentário do examinador: Este cenário destaca a importância crítica da rede de integração em implantações zero-touch. O payload SCEP e o payload de WiFi devem estar no mesmo Perfil de Configuração e ter como escopo o grupo Prestage Enrollment para que sejam enviados imediatamente após a inscrição no MDM — antes que o usuário chegue à área de trabalho. Se o perfil tiver como escopo um Smart Group que exige que o dispositivo esteja totalmente inscrito primeiro, pode haver um atraso durante o qual o dispositivo fica sem acesso à rede, quebrando a experiência zero-touch.

Questões práticas

Q1. Você implantou um Jamf Configuration Profile com um payload SCEP e um payload WiFi em 50 MacBooks. Os certificados SCEP foram instalados com sucesso no Keychain, mas os MacBooks estão exibindo para os usuários uma caixa de diálogo 'Verify Certificate' ao tentar se conectar ao SSID corporativo. Qual elemento de configuração está ausente ou incorreto?

Dica: Pense em quais informações o dispositivo Apple precisa para confiar automaticamente na identidade do servidor RADIUS sem a interação do usuário.

Ver resposta modelo

O payload WiFi no Jamf Configuration Profile está sem a entrada 'Trusted Server Certificate Names' (que deve corresponder exatamente ao CN no certificado do servidor RADIUS) ou os certificados Root CA e Intermediate CA que assinaram o certificado do servidor RADIUS não estão incluídos no payload de Confiança do perfil. Sem a confiança explícita definida pelo MDM, o macOS e o iOS exigem que o usuário verifique e aceite manualmente o certificado do servidor RADIUS durante o handshake EAP-TLS. Ambos os campos devem ser preenchidos: a matriz Trusted Certificates (contendo a cadeia de CA) e a matriz Trusted Server Certificate Names (contendo o CN do servidor RADIUS).

Q2. Uma rede de varejo deseja que os iPads de ponto de venda se conectem ao WiFi corporativo seguro imediatamente após a inicialização, antes que qualquer funcionário faça login no aplicativo de PDV. A implantação atual usa certificados de usuário vinculados a UPNs de funcionários individuais. Os dispositivos frequentemente falham ao se conectar no início de um turno. Qual é a causa raiz e qual é a alteração de arquitetura correta?

Dica: Considere quando diferentes tipos de certificados ficam disponíveis para a pilha de rede do iOS em relação ao ciclo de vida de autenticação do usuário.

Ver resposta modelo

A causa raiz é que os certificados de usuário (vinculados a um UPN) são armazenados no keychain do usuário e só ficam acessíveis após o usuário se autenticar no dispositivo. Na inicialização ou na tela de bloqueio do iOS, o keychain do usuário está bloqueado, de modo que a pilha de WiFi não consegue acessar o certificado para realizar o EAP-TLS. A alteração de arquitetura correta é mudar para certificados de dispositivo, onde o SAN é definido como o endereço MAC ou número de série do dispositivo. Os certificados de dispositivo são armazenados no keychain do sistema, que fica acessível no momento da inicialização antes de qualquer usuário fazer login. A Política de Rede RADIUS deve ser atualizada para corresponder aos certificados de dispositivo em vez dos certificados de usuário, e o payload Jamf SCEP deve ser atualizado para usar variáveis de nível de dispositivo, como $MACADDRESS ou $SERIALNUMBER como o SAN.

Q3. Sua organização usa o Microsoft NPS como servidor RADIUS. Você está configurando um novo payload Jamf SCEP para 200 MacBooks. A Política de Rede do NPS está configurada para exigir que o Subject Alternative Name do certificado corresponda a uma conta de computador no Active Directory. Qual valor de SAN você deve configurar no payload Jamf SCEP e qual formato o NPS espera?

Dica: A autenticação de certificado de computador do NPS exige que o SAN corresponda à identidade do computador no Active Directory em um formato específico.

Ver resposta modelo

Para a autenticação de certificado de computador do NPS, o SAN deve ser definido para o tipo DNS Name com o valor $COMPUTERNAME.seudominio.com (usando a variável do Jamf para o hostname do computador). O NPS espera que o SAN DNS Name corresponda ao nome de domínio totalmente qualificado (FQDN) do computador como ele aparece no Active Directory. Alternativamente, se estiver usando o tipo de SAN User Principal Name, o formato deve ser host/$ COMPUTERNAME@SEUDOMINIO.COM . A condição da Política de Rede do NPS deve ser configurada para corresponder ao atributo 'Client Certificate SAN'. Certifique-se de que os MacBooks estejam vinculados ao Active Directory ou que os nomes dos computadores no Jamf correspondam aos objetos de computador no AD, caso contrário, a busca no NPS falhará mesmo se o certificado for válido.

Continue a ler esta série

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.