Pular para o conteúdo principal
Português (Brasil)

O Guia Corporativo para SCEP: Implantando o Simple Certificate Enrollment Protocol para Segurança Automatizada de WiFi em Campus

Este guia de referência técnica fornece um modelo arquitetônico definitivo e uma estratégia de implementação passo a passo para a implantação de certificados WiFi corporativos usando SCEP. Ele aborda as diferenças críticas entre SCEP e PKCS, a sequência exata de implantação necessária para o sucesso e estratégias reais de mitigação de riscos para líderes de TI.

📖 6 min de leitura📝 1,270 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bom dia. Se você gerencia infraestrutura de WiFi em um grupo de hotéis, uma rede de varejo, um estádio ou um campus universitário, este briefing é para você. Vamos falar sobre SCEP - Simple Certificate Enrollment Protocol - e, especificamente, como ele resolve uma das dores de cabeça mais persistentes no WiFi corporativo: colocar certificados em milhares de dispositivos de forma automática, sem que seu suporte técnico fique sobrecarregado de chamados. [short pause] Deixe-me contextualizar. Você decidiu - corretamente - que chaves pré-compartilhadas não são mais aceitáveis para o WiFi da equipe. Uma única senha comprometida expõe todo o seu segmento de rede. Você migrou, ou está migrando, para a autenticação 802.1X. Esse é o padrão IEEE que exige que cada dispositivo comprove sua identidade antes de obter acesso à rede. A versão mais segura do 802.1X é o EAP-TLS - Extensible Authentication Protocol com Transport Layer Security - que utiliza certificados digitais em vez de senhas. Os certificados são criptograficamente exclusivos por dispositivo, não podem ser compartilhados e podem ser revogados instantaneamente se um dispositivo for perdido ou se um funcionário sair da empresa. [short pause] Até aí, tudo bem. O problema é a distribuição. Como você coloca um certificado exclusivo em cada notebook, cada celular, cada tablet em sua propriedade - em sistemas Windows, iOS, Android, macOS - sem que um técnico precise tocar em cada dispositivo? É exatamente isso que o SCEP resolve. [medium pause] O SCEP foi formalizado pela Internet Engineering Task Force na RFC 8894 em 2020, embora já seja utilizado em ambientes corporativos desde o início dos anos 2000. É um protocolo que permite que um dispositivo gerenciado solicite seu próprio certificado diretamente à sua Autoridade Certificadora, usando uma URL pré-configurada e uma senha de desafio. O ponto crítico de segurança aqui: a chave privada é gerada no próprio dispositivo, armazenada no enclave seguro do dispositivo - que é o chip TPM em dispositivos Windows, ou o Secure Enclave no hardware da Apple - e ela nunca trafega pela rede. O dispositivo gera uma Solicitação de Assinatura de Certificado, envia para o gateway SCEP, o gateway valida o desafio, encaminha a solicitação para a sua Autoridade Certificadora, a CA assina e o certificado assinado retorna para o dispositivo. Todo o processo é invisível para o usuário final. [short pause] Agora, em um ambiente Microsoft, o gateway SCEP é normalmente o NDES - Network Device Enrollment Service - uma função do Windows Server que atua como intermediária entre sua plataforma MDM e sua CA. O Microsoft Intune envia o perfil SCEP para os dispositivos gerenciados, informando a eles a URL do NDES e a senha de desafio. Os dispositivos fazem o resto automaticamente. [medium pause] Deixe-me orientar você sobre como é uma implantação real. Pense em um grupo hoteleiro com 150 propriedades — imagine a escala do Premier Inn. Eles têm uma mistura de laptops Windows para a equipe da recepção, dispositivos iOS para os supervisores de governança e tablets Android no ponto de venda do restaurante. Antes do SCEP, eles usavam WPA2-Personal com uma senha compartilhada rotacionada trimestralmente. Cada rotação gerava uma onda de chamadas para o suporte técnico. Com o SCEP e o Intune, eles implantam três perfis em sequência. Primeiro, o perfil de Certificado de Raiz Confiável — isso diz a cada dispositivo para confiar na Autoridade de Certificação da empresa. Segundo, o perfil de Certificado SCEP — isso instrui os dispositivos a buscarem seu certificado de cliente exclusivo. Terceiro, o perfil de WiFi — isso configura o SSID, define o tipo de segurança como WPA2-Enterprise ou WPA3-Enterprise e aponta para o certificado SCEP para autenticação. Implante esses três perfis no mesmo grupo de dispositivos no Intune, e cada dispositivo gerenciado se conectará ao SSID corporativo automaticamente, com um certificado exclusivo, sem necessidade de qualquer interação do usuário. [short pause] O servidor RADIUS — normalmente o Microsoft NPS ou um serviço de RADIUS em nuvem — recebe a solicitação de autenticação EAP-TLS, valida o certificado em relação à CA, verifica a Lista de Revogação de Certificados e concede ou nega o acesso. Se um funcionário for desligado, você revoga seu certificado na CA. O dispositivo dele perde o acesso ao WiFi no próximo ciclo de autenticação. Sem necessidade de redefinição de senha. Sem esperar por uma rotação trimestral. [medium pause] Agora, as pessoas costumam perguntar sobre a diferença entre SCEP e PKCS — Public Key Cryptography Standards. Ambos funcionam com o Intune. A principal diferença está em onde a chave privada é gerada. Com o SCEP, ela é gerada no dispositivo. Com o PKCS, a CA gera ambas as chaves de forma centralizada e envia a chave privada para o dispositivo. Isso significa que a chave privada trafega pela rede, o que introduz um risco teórico de interceptação. O PKCS tem seu espaço — é mais adequado para criptografia de e-mail S/MIME, onde a custódia de chaves é importante. Para autenticação WiFi, o SCEP é a escolha certa. Sempre. [short pause] Deixe-me apresentar um segundo cenário — uma rede de varejo. Imagine uma varejista de moda com 200 lojas em todo o Reino Unido, cada uma operando com pontos de acesso Cisco Meraki. Seus sistemas de ponto de venda são baseados em Windows, gerenciados por meio do Intune. Eles precisam de conformidade com o PCI DSS, o que significa segmentação de rede e autenticação forte para qualquer dispositivo que manipule dados de portadores de cartão. O EAP-TLS baseado em SCEP oferece autenticação em nível de dispositivo no SSID da equipe, com atribuição de VLAN orientada pela política do RADIUS. Os terminais de PDV entram na VLAN do escopo PCI automaticamente. O WiFi para convidados — gerenciado separadamente por meio de uma plataforma como a Purple — funciona em um SSID completamente isolado com seu próprio fluxo de autenticação. As duas redes nunca se tocam. Os auditores ficam satisfeitos. A equipe de segurança dorme melhor. [medium pause] Certo, vamos falar sobre as armadilhas, porque existem algumas que costumam pegar as equipes de surpresa. [short pause] O modo de falha mais comum são as incompatibilidades de direcionamento de grupo no Intune. Seu perfil de Raiz Confiável, seu perfil SCEP e seu perfil de WiFi devem todos ter como alvo o mesmo grupo do Azure AD. Se o perfil SCEP for direcionado a um grupo de Usuários e o perfil de WiFi for direcionado a um grupo de Dispositivos, o Intune não conseguirá resolver a dependência e o perfil de WiFi será exibido com erro. Verifique suas atribuições primeiro - quase sempre o problema está aí. [short pause] Segundo ponto crítico: disponibilidade do servidor NDES. Seu servidor NDES precisa estar acessível pela internet para que os dispositivos remotos se registrem antes de chegarem ao local físico. A maneira segura de fazer isso é por meio do Azure AD Application Proxy, que oferece acesso remoto sem abrir portas de entrada no firewall. Não exponha o NDES diretamente à internet. [short pause] Terceiro: disponibilidade da CRL. Seu servidor RADIUS verifica a Lista de Revogação de Certificados toda vez que um dispositivo se autentica. Se o Ponto de Distribuição da CRL estiver inacessível - talvez um servidor esteja fora do ar ou uma regra de firewall tenha mudado - a autenticação falhará para todos. Torne seus endpoints de CRL altamente disponíveis e teste-os regularmente. [short pause] Quarto: permissões de modelo de certificado. Se a conta de serviço do seu conector NDES não tiver permissões de Leitura e Inscrição (Read and Enroll) no modelo de certificado, os dispositivos receberão erros HTTP 403 quando tentarem coletar seu certificado. É uma correção simples de permissões, mas fácil de passar despercebida durante a configuração inicial. [medium pause] Agora, uma rodada de perguntas rápidas. [short pause] O SCEP funciona com MDMs que não são da Microsoft? Sim - o Jamf para frotas de dispositivos Apple, o VMware Workspace ONE e a maioria das plataformas de MDM corporativas oferecem suporte a perfis SCEP. O protocolo é neutro em relação ao fornecedor. [short pause] O SCEP funciona com PKI em nuvem? Sim. A própria PKI em nuvem da Microsoft no Intune Suite elimina totalmente a necessidade de um servidor NDES local. Provedores de PKI em nuvem de terceiros, como SecureW2 e Keyfactor, também oferecem endpoints SCEP em nuvem. [short pause] E quanto ao WPA3-Enterprise? O WPA3-Enterprise usa a mesma pilha de autenticação 802.1X e EAP-TLS. Os certificados emitidos por SCEP funcionam de maneira idêntica. A atualização ocorre na camada do protocolo sem fio, não na camada do certificado. [short pause] Qual é a validade dos certificados? Normalmente um ano, embora você possa configurar períodos de validade mais curtos. O Intune gerencia a renovação automática antes do vencimento, para que os usuários nunca sofram interrupções. [medium pause] Para resumir. O SCEP automatiza a distribuição de certificados em escala, eliminando o trabalho manual de implantação de PKI em grandes frotas de dispositivos. A chave privada permanece no dispositivo - essa é a base de segurança do EAP-TLS. Implante em sequência: primeiro a Raiz Confiável, segundo o perfil SCEP, terceiro o perfil de WiFi, todos direcionados ao mesmo grupo. Publique seu endpoint NDES de forma segura via Application Proxy. Mantenha seus endpoints de CRL altamente disponíveis. E se estiver começando do zero, avalie a PKI em nuvem para remover completamente a dependência do NDES local. [short pause] Para o WiFi de visitantes - a rede separada voltada para o público - a autenticação baseada em certificado não é o modelo correto. Os visitantes não possuem dispositivos gerenciados. É aí que uma plataforma como a Purple lida com o fluxo de autenticação: Captive Portal, login social, captura de e-mail ou verificação por SMS, tudo alimentando uma camada de dados primários (first-party data) que sua equipe de marketing pode realmente usar. As duas abordagens se complementam: SCEP para o parque de dispositivos gerenciados dos seus funcionários, Purple para a sua rede de visitantes. Ambos rodando no mesmo hardware, segmentados de forma limpa por VLAN. [short pause] Esse é o seu briefing sobre integração de WiFi corporativo com SCEP. O guia escrito completo, com diagramas de arquitetura, configuração passo a passo do Intune e exemplos práticos, está disponível no site da Purple. Obrigado por ouvir.

header_image.png

Resumo Executivo

Para locais corporativos, seja um ambiente de hospitalidade movimentado, uma operação de varejo com várias unidades ou um campus corporativo moderno, depender de chaves pré-compartilhadas ou de um Captive Portal básico para o WiFi da equipe é uma vulnerabilidade de segurança e um gargalo operacional. A arquitetura de rede moderna exige autenticação 802.1X usando EAP-TLS, garantindo que cada dispositivo seja verificado criptograficamente antes de acessar a rede.

O desafio está na distribuição: como implantar certificados de cliente exclusivos em milhares de dispositivos Windows, iOS e Android sem sobrecarregar seu suporte técnico com chamados? O Microsoft Intune e outras plataformas de MDM resolvem isso por meio do gerenciamento automatizado do ciclo de vida dos certificados. Ao implantar perfis do Simple Certificate Enrollment Protocol (SCEP), as equipes de TI enviam certificados raiz e de cliente confiáveis de forma silenciosa para os endpoints gerenciados.

Este guia fornece um modelo arquitetônico definitivo e uma estratégia de implementação passo a passo para a implantação de certificados de WiFi corporativo. Exploramos as diferenças críticas entre SCEP e PKCS, detalhamos a sequência exata de implantação necessária para o sucesso e descrevemos estratégias reais de mitigação de riscos para garantir que o seu Guest WiFi e as redes corporativas permaneçam seguros e eficientes.

Ouça o Briefing

Análise Técnica Detalhada: Arquitetura SCEP

Ao projetar sua estratégia de implantação de certificados de WiFi corporativo, a primeira decisão arquitetônica é selecionar o mecanismo de entrega de certificados. As plataformas de gerenciamento de dispositivos móveis oferecem suporte tanto para SCEP quanto para PKCS, mas eles operam de maneiras fundamentalmente diferentes.

Simple Certificate Enrollment Protocol (SCEP)

O SCEP é o padrão do setor para registro de dispositivos corporativos. Em um fluxo de trabalho SCEP, o serviço de gerenciamento instrui o endpoint a gerar seu próprio par de chaves privada e pública. O dispositivo cria uma Solicitação de Assinatura de Certificado (CSR) e a envia por meio de um servidor de Serviço de Registro de Dispositivo de Rede (NDES) para sua Autoridade Certificadora (CA). A CA assina a solicitação e retorna o certificado público para o dispositivo.

A vantagem crítica de segurança do SCEP é que a chave privada nunca sai do dispositivo. Ela é gerada localmente, armazenada no enclave seguro do dispositivo (como o TPM no Windows ou o Secure Enclave no iOS) e nunca é transmitida pela rede. Isso torna o SCEP a abordagem fortemente recomendada para autenticação 802.1X.

scep_architecture_overview.png

Public Key Cryptography Standards (PKCS)

Por outro lado, com o PKCS, a Autoridade Certificadora gera as chaves pública e privada de forma centralizada. O conector de certificado exporta com segurança esse par de chaves e o envia para o dispositivo de destino.

Embora o PKCS elimine a necessidade de implantar e manter um servidor NDES, simplificando a infraestrutura, ele introduz um risco teórico de segurança porque a chave privada é transmitida pela rede. O PKCS é geralmente mais adequado para casos de uso em que a custódia de chaves é necessária, como criptografia de e-mail S/MIME, em vez de autenticação de rede.

scep_vs_pkcs_comparison.png

Guia de Implementação: A Sequência de Implantação

A configuração bem-sucedida de um perfil de WiFi gerenciado para 802.1X requer a adesão estrita a uma sequência de implantação específica. As dependências de perfil determinam que a confiança deve ser estabelecida antes que a autenticação possa ser configurada.

Passo 1: Implantar o Perfil de Certificado Raiz Confiável

Antes que qualquer dispositivo possa solicitar um certificado de cliente ou confiar no seu servidor RADIUS, ele deve confiar na Autoridade Certificadora emissora.

  1. Exporte seu certificado CA Raiz e quaisquer certificados CA Intermediários como arquivos .cer.
  2. No console do seu MDM, crie um novo perfil de configuração.
  3. Selecione a plataforma de destino e escolha o tipo de perfil de certificado confiável.
  4. Faça o upload do arquivo .cer e implante este perfil nos seus grupos de dispositivos de destino.

Passo 2: Configurar o Perfil de Certificado SCEP

Assim que a confiança for estabelecida, configure o perfil SCEP para instruir os dispositivos sobre como obter seu certificado de cliente.

  1. Crie um novo perfil de configuração e selecione o certificado SCEP.
  2. Configure o formato do nome do assunto. Para autenticação baseada em usuário, CN={{UserPrincipalName}} é o padrão. Para autenticação de dispositivo, use CN={{AAD_Device_ID}}.
  3. Defina o uso da chave para assinatura digital e criptografia de chave.
  4. Em uso estendido de chave, especifique a autenticação do cliente (OID: 1.3.6.1.5.5.7.3.2).
  5. Vincule este perfil ao perfil de certificado raiz confiável criado no Passo 1.
  6. Forneça a URL externa do seu gateway SCEP ou servidor NDES.

Passo 3: Implantar o Perfil WiFi 802.1X

A etapa final é enviar a configuração de WiFi que vincula os certificados ao SSID da rede.

  1. Crie um perfil de configuração de WiFi.
  2. Insira o nome da rede exatamente como ele é transmitido pelos seus pontos de acesso sem fio.
  3. Selecione WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança.
  4. Defina o tipo de EAP como EAP-TLS.
  5. Nas configurações de autenticação, selecione o perfil de certificado SCEP criado na Etapa 2 como o certificado de autenticação do cliente.
  6. Especifique o certificado raiz confiável para validação do servidor para garantir que o dispositivo se conecte apenas ao seu servidor RADIUS legítimo.

Melhores Práticas e Padrões do Setor

Ao implementar a implantação de certificados SCEP, siga as seguintes melhores práticas neutras de fornecedor para garantir a conformidade e a confiabilidade.

Posicionamento e Segurança do Gateway SCEP

O gateway SCEP deve estar acessível a partir da internet para permitir que dispositivos remotos provisionem certificados antes de chegarem ao local. Expor um servidor interno diretamente à internet é um risco de segurança significativo. Publique a URL do SCEP usando um proxy de aplicativo ou proxy reverso. Isso fornece acesso remoto seguro sem abrir portas de firewall de entrada e permite aplicar políticas de acesso condicional ao fluxo de registro.

Verificação de RADIUS e CRL

A implantação de certificados é apenas metade da equação de segurança; a revogação é igualmente crítica. Se um funcionário for desligado, desativar sua conta de diretório pode não revogar imediatamente seu acesso ao WiFi se o certificado do cliente continuar válido e o servidor RADIUS não estiver verificando rigidamente a Lista de Revogação de Certificados (CRL).

Configure seu servidor RADIUS para impor uma verificação rígida de CRL. Certifique-se de que seus pontos de distribuição de CRL estejam altamente disponíveis; se o servidor RADIUS não conseguir acessar a CRL, a autenticação falhará, causando uma interrupção generalizada.

Para considerações mais amplas sobre conectividade moderna, revise nossas orientações em Bandwidth Management: A Practical Guide for 2026 .

Solução de Problemas e Mitigação de Riscos

Mesmo com um planejamento meticuloso, a implantação de certificados pode encontrar problemas. Aqui estão os modos de falha comuns e as estratégias de mitigação.

Falha ao Aplicar o Perfil de WiFi

O dispositivo recebe a raiz confiável e os certificados SCEP, mas o perfil de WiFi é exibido como erro ou não aplicável no console MDM. Isso quase sempre é causado por uma incompatibilidade no direcionamento de grupos. Se o perfil SCEP for atribuído a um grupo de usuários, mas o perfil de WiFi for atribuído a um grupo de dispositivos, o MDM não conseguirá resolver a dependência. Audite suas atribuições. Certifique-se de que a raiz confiável, o SCEP e os perfis de WiFi sejam todos implantados exatamente para o mesmo grupo.

Erros de Gateway 403 Forbidden

Os dispositivos não conseguem recuperar o certificado SCEP e os logs do gateway mostram erros HTTP 403. A conta de serviço do conector não possui as permissões necessárias no modelo de certificado ou a filtragem de URL no seu firewall está bloqueando os parâmetros específicos da query string usados pelo SCEP. Verifique se a conta do conector possui permissões de leitura e inscrição (enroll) no modelo da CA. Verifique os logs do firewall para garantir que as URLs contendo ?operation=GetCACaps não estejam sendo bloqueadas.

ROI e Impacto nos Negócios

A transição para a implantação de certificados 802.1X orientada por SCEP oferece retornos mensuráveis em segurança e operações.

  1. Redução de Chamados no Suporte: O WiFi baseado em senha gera um volume significativo de chamados de suporte relacionados a expiração de senhas, bloqueios e erros de digitação. A autenticação baseada em certificado é invisível para o usuário, reduzindo normalmente o volume de suporte relacionado ao WiFi em 70%.
  2. Melhoria na Postura de Segurança: O EAP-TLS elimina o risco de roubo de credenciais e ataques Man-in-the-Middle. Isso é fundamental para a conformidade com frameworks como PCI DSS e GDPR, especialmente em ambientes de Varejo e Saúde .
  3. Onboarding Simplificado: A integração da implantação de certificados com os fluxos de trabalho de MDM existentes garante uma experiência de provisionamento unificada e zero-touch desde o primeiro dia.

Embora o SCEP proteja seus dispositivos corporativos gerenciados, as redes de convidados e visitantes exigem uma abordagem diferente. Para dispositivos não gerenciados, um Captive Portal com login social ou verificação por SMS alimenta uma camada de dados primários (first-party data), oferecendo insights acionáveis. Explore nossa plataforma de WiFi Analytics para ver como esses dados geram receita.

Definições principais

SCEP (Simple Certificate Enrollment Protocol)

Um protocolo que permite que os dispositivos solicitem certificados digitais de uma Autoridade Certificadora, onde a chave privada é gerada e armazenada com segurança no próprio dispositivo.

O método recomendado para implantar certificados de autenticação WiFi devido à sua alta segurança e escalabilidade em frotas corporativas.

PKCS (Public Key Cryptography Standards)

Um conjunto de padrões onde as chaves pública e privada são geradas pela Autoridade Certificadora e, em seguida, entregues com segurança ao endpoint.

Frequentemente usado para criptografia de e-mail S/MIME, mas menos ideal para autenticação WiFi devido à transmissão da chave privada pela rede.

NDES (Network Device Enrollment Service)

Uma função do Microsoft Windows Server que atua como uma ponte, permitindo que dispositivos sem credenciais de domínio obtenham certificados via SCEP.

Um componente de infraestrutura obrigatório ao implementar a implantação de certificados SCEP com PKI local da Microsoft.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

O método de autenticação 802.1X mais seguro, que exige que tanto o servidor quanto o cliente apresentem certificados digitais válidos.

O protocolo de autenticação de destino que os perfis de certificado e WiFi de MDM são projetados para habilitar, eliminando o acesso baseado em senha.

CRL (Certificate Revocation List)

Uma lista publicada pela Autoridade Certificadora contendo os números de série dos certificados que foram revogados antes da data de expiração programada.

Os servidores RADIUS devem verificar a CRL durante a autenticação para garantir que funcionários desligados não consigam acessar a rede usando um certificado anteriormente válido.

CSR (Certificate Signing Request)

Um bloco de texto codificado fornecido a uma Autoridade Certificadora ao solicitar um certificado SSL/TLS, contendo a chave pública e informações de identidade.

Gerado localmente pelo dispositivo gerenciado durante o fluxo SCEP para solicitar sua credencial de identidade exclusiva.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

A estrutura fundamental que impõe a exigência de validação de certificado EAP-TLS antes de conceder acesso à rede.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de autenticação, autorização e contabilização para usuários que se conectam e utilizam um serviço de rede.

O servidor que avalia o certificado do cliente em relação à CA e à CRL para tomar a decisão final de permitir ou negar o acesso WiFi.

Exemplos práticos

Um grupo hoteleiro com 150 propriedades precisa proteger a rede de seus funcionários em um ecossistema misto de laptops Windows para a recepção, dispositivos iOS para a governança e tablets Android para o ponto de venda dos restaurantes. Atualmente, eles usam WPA2-Personal com uma senha compartilhada rotacionada trimestralmente, gerando um volume massivo de chamados no suporte.

O grupo hoteleiro implanta três perfis do Intune em sequência para um grupo unificado de dispositivos. Primeiro, um perfil de Certificado Raiz Confiável estabelece a confiança com a CA corporativa. Segundo, um perfil de Certificado SCEP instrui os dispositivos a solicitar um certificado de cliente exclusivo. Terceiro, um perfil de WiFi configura o SSID corporativo com WPA3-Enterprise e EAP-TLS, apontando para o certificado SCEP para autenticação. O servidor RADIUS impõe uma verificação rigorosa de CRL para revogar o acesso instantaneamente após o desligamento de um funcionário.

Comentário do examinador: Esta abordagem elimina a sobrecarga da rotação trimestral de senhas e protege a rede contra o compartilhamento de credenciais. O SCEP é escolhido em vez do PKCS para garantir que a chave privada nunca saia dos dispositivos individuais, mantendo uma postura de zero-trust em diversos hardwares.

Uma varejista de moda com 200 lojas exige conformidade com o PCI DSS para seus sistemas de ponto de venda baseados em Windows gerenciados pelo Intune. Eles devem garantir uma autenticação forte e uma segmentação de rede rigorosa para qualquer dispositivo que manipule dados de portadores de cartão.

A varejista implementa EAP-TLS baseado em SCEP para autenticação em nível de dispositivo no SSID da equipe. A política RADIUS direciona a atribuição de VLAN, colocando os terminais de PDV autenticados em uma VLAN estritamente isolada e no escopo do PCI de forma automática. O WiFi de convidados é gerenciado em um SSID completamente separado com seu próprio fluxo de autenticação por Captive Portal, garantindo que as duas redes nunca se cruzem.

Comentário do examinador: Ao vincular a segmentação de rede diretamente à autenticação baseada em certificado, a varejista atende aos requisitos do PCI DSS sem a necessidade de configuração manual de rede por loja. A separação física da rede de convidados usando uma plataforma como a Purple evita a expansão do escopo para a auditoria PCI.

Questões práticas

Q1. Sua implantação do Intune mostra os perfis de Raiz Confiável e SCEP aplicados com sucesso ao laptop de um usuário, mas o perfil de WiFi mostra um estado de 'Erro'. O usuário não consegue se conectar ao SSID corporativo. Qual é a causa arquitetônica mais provável?

Dica: Considere como as plataformas MDM resolvem dependências entre perfis de configuração relacionados.

Ver resposta modelo

Uma incompatibilidade de direcionamento de grupo. O perfil SCEP provavelmente está atribuído a um grupo de Usuários, enquanto o perfil de WiFi está atribuído a um grupo de Dispositivos (ou vice-versa). O Intune não consegue resolver a dependência entre diferentes tipos de grupo, fazendo com que a implantação do perfil de WiFi falhe. Audite as atribuições e garanta que todos os três perfis tenham como alvo exatamente o mesmo grupo do Azure AD.

Q2. Uma subsidiária recém-adquirida exige autenticação 802.1X para os dispositivos de seus funcionários. A equipe de segurança deles exige que as chaves privadas nunca trafeguem pela rede e sejam geradas dentro do TPM de hardware do endpoint. Qual método de implantação de certificado você deve usar?

Dica: Compare onde a chave privada é gerada no fluxo de trabalho SCEP versus o fluxo de trabalho PKCS.

Ver resposta modelo

Você deve usar SCEP (Simple Certificate Enrollment Protocol). Em um fluxo de trabalho SCEP, o dispositivo gera seu próprio par de chaves privada e pública localmente dentro de seu enclave seguro (TPM) e envia apenas uma Solicitação de Assinatura de Certificado (CSR) pela rede. O PKCS gera a chave privada centralmente na CA e a transmite pela rede, o que viola a exigência da equipe de segurança.

Q3. Um funcionário é demitido e sua conta do Active Directory é desativada. No entanto, seu laptop permanece conectado à rede WiFi corporativa por várias horas antes de perder o acesso. Como você resolve essa lacuna de segurança?

Dica: Desativar uma conta não invalida um certificado existente. Qual mecanismo o servidor RADIUS usa para verificar a validade do certificado?

Ver resposta modelo

Você deve configurar o servidor RADIUS para impor uma verificação estrita da Lista de Revogação de Certificados (CRL). Quando um funcionário é demitido, seu certificado deve ser explicitamente revogado na Autoridade Certificadora. O servidor RADIUS verificará a CRL durante o próximo ciclo de autenticação e negará o acesso imediatamente, independentemente do status da conta no Active Directory.

Continue a ler esta série

Como Configurar o SCEP para Registro Automatizado de Certificados de WiFi Corporativo

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para o registro automatizado de certificados de WiFi corporativo, cobrindo toda a arquitetura, desde PKI e NDES até a implantação de perfis MDM e validação RADIUS. Destina-se a gerentes de TI, arquitetos de rede e CTOs de hotéis, redes de varejo, estádios, centros de convenções e organizações do setor público que precisam ir além das chaves pré-compartilhadas e implementar a autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição em nuvem da Purple, independente de hardware, integra-se diretamente a essa arquitetura, fornecendo a camada de WiFi para convidados e BYOD que opera em conjunto com a rede de funcionários autenticada por certificado.

Ler o guia →

Como implementar SCEP para registro automatizado de certificados WiFi

Este guia explica como implementar o SCEP (Simple Certificate Enrollment Protocol) para registro automatizado de certificados WiFi em locais corporativos. Ele abrange o projeto arquitetônico completo - desde o design de PKI e integração com MDM até a sequência obrigatória de implantação em três etapas - e mostra aos gerentes de TI e arquitetos de rede como eliminar credenciais compartilhadas, automatizar o gerenciamento do ciclo de vida dos certificados e atender aos requisitos do PCI DSS e GDPR em escala.

Ler o guia →

Entendendo o Cisco SUDI: Identidade de Dispositivo Baseada em Hardware no Controle de Acesso à Rede

Este guia detalha a arquitetura técnica do Cisco SUDI, explicando como a identidade ancorada em hardware protege o controle de acesso à rede. Ele fornece etapas práticas de implementação para líderes de TI implantarem a autenticação 802.1X EAP-TLS e automatizarem o Zero Touch Provisioning em locais corporativos.

Ler o guia →