Como Configurar SCEP para WiFi Corporativa Segura e Aprovisionamento de BYOD
Este guia técnico explica como configurar o Simple Certificate Enrolment Protocol (SCEP) para automatizar a autenticação segura de WiFi corporativa 802.1X e o aprovisionamento de BYOD. Oferece aos arquitetos de rede e gestores de TI uma sequência de implementação definitiva, cenários de implementação reais em hotelaria e retalho, e estratégias de mitigação de riscos para eliminar chaves pré-partilhadas vulneráveis e MAC Authentication Bypass de redes corporativas.
Ouça este guia
Ver transcrição do podcast

Resumo Executivo
Para espaços empresariais que operam nos setores da hotelaria, retalho e setor público, depender de Chaves Pré-Partilhadas (PSK) ou de MAC Authentication Bypass (MAB) para fornecer acesso WiFi a funcionários e BYOD é uma falha de segurança. A arquitetura de rede moderna exige autenticação 802.1X utilizando EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), garantindo que cada dispositivo é verificado criptograficamente antes de aceder à rede. O desafio operacional reside na distribuição de certificados de cliente únicos a milhares de dispositivos não geridos sem sobrecarregar o suporte técnico de TI com pedidos de suporte.
O Simple Certificate Enrolment Protocol (SCEP), definido na norma RFC 8894, resolve este problema de distribuição através da gestão automatizada do ciclo de vida dos certificados. Ao tirar partido do SCEP, as equipas de TI podem implementar certificados raiz fidedignos e certificados de cliente nos pontos de extremidade, garantindo que a chave privada nunca sai do dispositivo. Este guia fornece o modelo arquitetónico definitivo e a estratégia de implementação passo a passo para a implementação de certificados WiFi SCEP. Abordamos a sequência crítica de implementação necessária para o sucesso, cenários do mundo real da hotelaria e do retalho, e estratégias de mitigação de riscos para manter o seu Guest WiFi e as redes corporativas seguras e eficientes.
Análise Técnica Detalhada: Arquitetura SCEP
O SCEP é o padrão da indústria para o registo de dispositivos empresariais, criado pela VeriSign e publicado como um rascunho de internet da IETF em 1999. Automatiza a emissão de certificados X.509 num ambiente de Infraestrutura de Chaves Públicas (PKI), eliminando a necessidade de gerir certificados manualmente à escala.

Num fluxo de trabalho SCEP, o dispositivo gera o seu próprio par de chaves privada e pública localmente. Cria um Certificate Signing Request (CSR) e envia-o através de um servidor Network Device Enrolment Service (NDES) para a sua Autoridade de Certificação (CA). A CA valida o pedido utilizando um segredo partilhado e devolve o certificado público assinado ao dispositivo. A vantagem crítica de segurança é que a chave privada nunca sai do dispositivo. É gerada localmente e armazenada no enclave seguro de hardware do dispositivo - o Trusted Platform Module (TPM) no Windows, ou o Secure Enclave no iOS. Isto torna o SCEP o método fortemente recomendado para autenticação 802.1X, em contraste com o PKCS (Public Key Cryptography Standards), onde a CA gera o par de chaves centralmente e o transmite através da rede.
Os quatro passos da inscrição de certificados SCEP são os seguintes. Primeiro, o dispositivo liga-se ao URL do endpoint SCEP alojado pelo servidor NDES. Segundo, o dispositivo apresenta o segredo partilhado SCEP (uma palavra-passe estática ou um desafio dinâmico gerado pela plataforma MDM) para validar o pedido de inscrição. Terceiro, o dispositivo gera um CSR contendo a sua chave pública e informações de identificação. Quarto, a CA valida o CSR e emite um certificado X.509 assinado, que é devolvido ao dispositivo.
SCEP vs PKCS: Escolher o Mecanismo Certo
Ao conceber a sua estratégia de implementação de certificados, a escolha entre SCEP e PKCS afeta diretamente a segurança. A tabela abaixo resume as principais diferenças.
| Atributo | SCEP | PKCS |
|---|---|---|
| Geração de chave privada | No dispositivo (enclave seguro) | No servidor da CA |
| Transmissão de chave privada | Nunca é transmitida | Transmitida através da rede |
| Requisitos de infraestrutura | Requer um servidor NDES | NDES não necessário |
| Mais adequado para | Autenticação WiFi e VPN | Encriptação de email S/MIME |
| Postura de segurança para 802.1X | Recomendado | Não recomendado |
Para WiFi empresarial com SCEP, escolha sempre SCEP. Manter a chave privada no dispositivo é a propriedade de segurança fundamental que torna a autenticação 802.1X baseada em certificados superior a qualquer método de autenticação baseado em credenciais.
O Fluxo de Integração Self-Service para BYOD
A base de uma integração BYOD segura é a transição da autenticação legada para EAP-TLS sem exigir a inscrição total no Mobile Device Management (MDM). Forçar os colaboradores a inscrever smartphones pessoais no MDM corporativo levanta preocupações legítimas de privacidade e gera forte resistência. Um portal de integração self-service resolve este problema.
Os utilizadores ligam o seu dispositivo pessoal a um SSID de provisionamento dedicado, que funciona como um "walled garden" restringindo o acesso apenas ao portal de onboarding e ao fornecedor de identidade. Os utilizadores autenticam-se através de integração SAML ou OAuth com o Microsoft Entra ID, Okta ou Google Workspace. Após a autenticação bem-sucedida, o sistema gera um certificado de cliente exclusivo e específico para o dispositivo via SCEP. Um perfil de configuração (um ficheiro .mobileconfig para a Apple, ou um perfil Passpoint Android) é enviado para o dispositivo. O dispositivo liga-se então automaticamente ao SSID corporativo seguro utilizando EAP-TLS. O utilizador nunca precisa de compreender nada sobre certificados ou 802.1X.
Guia de Implementação: A Sequência de Implantação
A configuração bem-sucedida do SCEP para 802.1X requer a adesão estrita a uma sequência de implantação específica. A confiança deve ser estabelecida antes que a autenticação possa ser configurada. Desviar-se desta sequência é a causa mais comum de falhas nas implantações.
Passo 1: Implantar o Certificado de Raiz Confiável. Antes que qualquer dispositivo possa solicitar um certificado de cliente ou confiar no seu servidor RADIUS, deve primeiro confiar na Autoridade de Certificação (CA) emissora. Exporte o seu certificado de CA raiz (e quaisquer certificados de CA intermédia) como um ficheiro .cer. Implante este perfil nos seus grupos de dispositivos de destino através da sua plataforma MDM. Este passo é inegociável.
Passo 2: Configurar o Perfil de Certificado SCEP. Isto instrui os dispositivos sobre como obter o seu certificado de cliente. Configure o formato do nome do requerente - para autenticação baseada no utilizador, o padrão é CN={{UserPrincipalName}}; para autenticação do dispositivo, utilize CN={{AAD_Device_ID}}. Defina a utilização da chave para Digital signature e Key encipherment. Em utilização de chave estendida, especifique Client Authentication (OID: 1.3.6.1.5.5.7.3.2). Associe este perfil ao perfil de certificado de raiz confiável do Passo 1. Forneça o URL externo do seu servidor NDES.
Passo 3: Implantar o Perfil WiFi 802.1X. Envie a configuração de WiFi que associa o certificado ao SSID da rede. Introduza o nome da rede exatamente como é transmitido pelos seus pontos de acesso (APs). Defina o tipo de segurança para WPA2-Enterprise ou WPA3-Enterprise. Defina o tipo de EAP para EAP-TLS. Selecione o perfil de certificado SCEP como o certificado de autenticação de cliente. Especifique o certificado de raiz confiável para validação do servidor, garantindo que os dispositivos apenas se ligam ao seu servidor RADIUS legítimo.
Esta sequência aplica-se a todas as plataformas de hardware suportadas: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A sobreposição em nuvem independente de hardware da Purple integra-se com todas estas plataformas, o que significa que a sua infraestrutura de certificados não está vinculada a um único fornecedor de hardware.
Melhores Práticas
Publique o NDES via Azure AD Application Proxy. O servidor NDES deve estar acessível a partir da internet para que os dispositivos remotos possam provisionar certificados antes de chegarem ao local. Expor um servidor interno diretamente à internet representa um risco de segurança significativo. A publicação através do Azure AD Application Proxy fornece acesso remoto seguro sem abrir portas de entrada no firewall, permitindo-lhe aplicar políticas de Acesso Condicional ao fluxo de inscrição.
Emita certificados de curta duração para BYOD. Como os dispositivos BYOD não são geridos, o risco de um dispositivo comprometido permanecer na rede é maior. Emita certificados válidos por 90 dias em vez de anos. Quando um certificado expira, o utilizador deve autenticar-se novamente através do portal de integração. Isto elimina naturalmente os dispositivos inativos da rede sem intervenção manual de TI.
Imponha uma verificação estrita de CRL no servidor RADIUS. A implementação de certificados é apenas metade da equação de segurança. Se um colaborador sair, desativar a sua conta no Active Directory pode não revogar imediatamente o seu acesso WiFi enquanto o certificado de cliente permanecer válido. Configure o seu servidor RADIUS para impor uma verificação estrita de Lista de Revogação de Certificados (CRL). Certifique-se de que o seu Ponto de Distribuição de CRL (CDP) está altamente disponível. Se o servidor RADIUS não conseguir aceder à CRL, a autenticação falhará para todos os utilizadores, provocando uma interrupção em grande escala.
Segmente o BYOD numa VLAN dedicada. Os dispositivos BYOD não são geridos. Não tem controlo sobre as atualizações do sistema operativo, o estado do antivírus ou as aplicações instaladas. Coloque os dispositivos BYOD numa VLAN dedicada que forneça apenas acesso à internet, restrito às aplicações internas específicas exigidas para a função do colaborador. Nunca coloque dispositivos BYOD na mesma VLAN que os servidores corporativos ou dispositivos geridos.

Resolução de Problemas e Mitigação de Riscos
O perfil de WiFi falha ao aplicar. O dispositivo recebeu o certificado raiz fidedigno e o certificado SCEP, mas o perfil de WiFi é apresentado como "Erro" na consola de MDM. Isto é quase sempre causado por uma incompatibilidade no direcionamento de grupos. Se o perfil SCEP for atribuído a um "grupo de utilizadores" enquanto o perfil de WiFi for atribuído a um "grupo de dispositivos", o MDM não conseguirá resolver a dependência. Audite as suas atribuições e garanta que o certificado raiz fidedigno, o SCEP e os perfis de WiFi visam exatamente o mesmo grupo do Azure AD.
Erros NDES 403 Forbidden. Os dispositivos não conseguem obter certificados SCEP e os logs do NDES IIS mostram erros HTTP 403. O mais provável é que a conta de serviço do conector não tenha as permissões necessárias no modelo de certificado, ou que a sua firewall esteja a bloquear os parâmetros de query string específicos utilizados pelo SCEP. Verifique se a conta do conector tem permissões de "Leitura" e "Inscrição" no modelo da CA. Verifique os logs da firewall para garantir que os URLs que contêm ?operation=GetCACaps não estão a ser bloqueados.
Fragmentação de Android. Os dispositivos Apple iOS gerem os perfis .mobileconfig de forma muito consistente. No entanto, o Android é altamente fragmentado - diferentes fabricantes e versões de SO gerem os perfis de WiFi e a instalação de certificados de forma diferente. Forneça instruções claras e específicas para cada SO no portal de onboarding. A utilização de Passpoint (Hotspot 2.0) proporciona um fluxo de ligação consistente entre diferentes fabricantes, melhorando significativamente a experiência em Android.
Atrasos na revogação de certificados. Quando um colaborador sai, o seu acesso deve ser revogado imediatamente. Desativar a sua conta de IdP é o primeiro passo, mas o servidor RADIUS também deve validar o estado do certificado. Configure o seu servidor RADIUS para utilizar o Online Certificate Status Protocol (OCSP), além da verificação CRL. O OCSP fornece o estado de revogação em tempo real, em vez de depender de uma lista atualizada periodicamente.
ROI e Impacto de Negócio
A transição para a implementação de certificados SCEP 802.1X proporciona retornos mensuráveis tanto na segurança como nas operações. O WiFi baseado em palavras-passe gera um grande volume de pedidos de suporte devido à expiração de credenciais, bloqueios e erros de digitação. A autenticação baseada em certificados é invisível para o utilizador - os dispositivos ligam-se automaticamente. Isto reduz normalmente a carga de trabalho de suporte relacionada com WiFi em 70%, libertando a equipa de TI para se focar em trabalho estratégico.
O EAP-TLS elimina o risco de recolha de credenciais e de ataques de homem-no-meio (MitM). Isto é crítico para a conformidade com PCI-DSS em ambientes de retalho e com o GDPR em todos os setores. Na hotelaria , onde o pessoal lida com dados de pagamento e informações pessoais de hóspedes, o custo de uma violação de dados excede de longe o custo de implementar uma infraestrutura PKI bem estruturada. Os mesmos fatores de conformidade aplicam-se a operadores de transportes e espaços de cuidados de saúde .
Para os espaços que já utilizam as plataformas de Guest WiFi e WiFi Analytics da Purple, alargar o onboarding seguro aos dispositivos BYOD dos colaboradores proporciona uma estratégia de gestão de rede unificada e robusta. A Purple opera em mais de 80.000 espaços físicos em todo o mundo, processou 440 milhões de inícios de sessão em 2024 (dados internos da Purple) e possui as certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Os nossos add-ons de segurança SecurePass e Shield integram-se diretamente com a arquitetura de autenticação baseada em certificados descrita neste guia.
Para uma perspetiva mais ampla sobre segurança de rede empresarial, consulte o nosso Segurança de WiFi Empresarial: O Guia Completo de 2026 . Para considerações de conformidade com o GDPR específicas para administradores de rede, consulte O Guia do Administrador de Rede para a Conformidade com o GDPR e Privacidade de Dados de Convidados .
Definições Principais
SCEP (Simple Certificate Enrolment Protocol)
Um protocolo definido no RFC 8894 que automatiza a emissão de certificados digitais X.509 para dispositivos dentro de um ambiente PKI. O dispositivo gera a sua própria chave privada localmente, a qual nunca sai do dispositivo.
Utilizado para implementar certificados de autenticação WiFi em dispositivos corporativos e BYOD em grande escala, sem intervenção manual de TI. O padrão da indústria para aprovisionamento de certificados 802.1X.
802.1X
Uma norma IEEE (IEEE Std 802.1X-2020) para controlo de acesso à rede baseado em portas. Fornece um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN antes de lhes ser concedido acesso aos recursos da rede.
A base do WiFi corporativo seguro, substituindo as vulneráveis chaves pré-partilhadas. Requer um servidor RADIUS, um requerente (supplicant) no dispositivo cliente e um autenticador no ponto de acesso.
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)
Uma estrutura de autenticação que requer que tanto o servidor como o cliente apresentem certificados digitais válidos. Fornece autenticação mútua, garantindo que o dispositivo confia na rede e a rede confia no dispositivo.
O método mais seguro para autenticação 802.1X. Elimina o roubo de credenciais e ataques Man-in-the-Middle. O protocolo de autenticação de destino que a implementação de certificados SCEP foi concebida para ativar.
NDES (Network Device Enrolment Service)
Uma função do Microsoft Windows Server que funciona como uma ponte, permitindo que dispositivos sem credenciais de domínio obtenham certificados de uma CA do Active Directory Certificate Services através de SCEP.
Um componente de infraestrutura necessário ao implementar SCEP com o Microsoft Intune. Deve ser publicado através do Azure AD Application Proxy para permitir o fornecimento seguro de certificados remotos.
BYOD (Bring Your Own Device)
A prática de permitir que os colaboradores utilizem os seus smartphones, tablets ou portáteis pessoais para aceder a redes e aplicações corporativas.
Requer uma segmentação de rede cuidadosa e uma integração segura para evitar que dispositivos não geridos comprometam la rede corporativa. A inscrição total em MDM é frequentemente impraticável para dispositivos pessoais devido a preocupações com a privacidade.
CRL (Certificate Revocation List)
Uma lista publicada pela Autoridade de Certificação que contém os números de série de certificados que foram revogados antes da sua data de expiração.
Deve ser verificada pelo servidor RADIUS durante cada tentativa de autenticação para garantir que colaboradores desligados da empresa ou dispositivos comprometidos não consigam aceder à rede. Os Pontos de Distribuição CRL devem ter alta disponibilidade.
CSR (Certificate Signing Request)
Uma mensagem gerada por um dispositivo e enviada a uma Autoridade de Certificação para solicitar um certificado de identidade digital. Contém a chave pública do dispositivo e informações de identidade.
Gerado pelo dispositivo durante o processo SCEP. A chave privada utilizada para assinar o CSR permanece no dispositivo e nunca é transmitida.
RADIUS (Remote Authentication Dial-In User Service)
Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Auditoria (AAA) para utilizadores e dispositivos que se ligam a uma rede.
O servidor que valida o certificado do cliente durante a autenticação 802.1X e concede ou nega o acesso à rede. Deve ser configurado para impor uma verificação rigorosa de CRL ou OCSP.
PKCS (Public Key Cryptography Standards)
Um conjunto de normas onde tanto a chave pública como a privada são geradas pela Autoridade de Certificação e, em seguida, entregues de forma segura ao dispositivo final.
Menos adequado do que o SCEP para autenticação WiFi porque a chave privada é transmitida pela rede. Mais adequado para encriptação de e-mail S/MIME, onde a custódia de chaves é necessária.
OCSP (Online Certificate Status Protocol)
Um protocolo que fornece o estado de revogação de certificados em tempo real, como alternativa à CRL atualizada periodicamente.
Preferível em relação à CRL para ambientes de alta segurança porque fornece o estado de revogação instantâneo, em vez de depender de uma lista que pode ter horas de antiguidade.
Exemplos Práticos
Um hotel com 200 quartos precisa de fornecer acesso WiFi seguro para 50 funcionários de limpeza que utilizam os seus smartphones pessoais (BYOD) para aceder à aplicação de escala de limpeza. O gestor de TI quer evitar a inscrição completa em MDM para respeitar a privacidade dos funcionários, mas necessita de garantir que o acesso é revogado imediatamente quando um funcionário se demite.
O hotel implementa um portal de integração self-service integrado com o Microsoft Entra ID. A equipa liga-se a um SSID de aprovisionamento aberto, autentica-se com as suas credenciais do Entra ID e descarrega um perfil SCEP. O servidor SCEP emite um certificado de cliente de 30 dias diretamente para o dispositivo, com a chave privada gerada e armazenada localmente no enclave seguro do smartphone. O dispositivo liga-se automaticamente ao SSID 'Staff_WiFi' utilizando EAP-TLS. O servidor RADIUS atribui estes dispositivos a uma VLAN restrita que permite o acesso apenas à aplicação de escala e à internet. Quando um funcionário se demite, a sua conta no Entra ID é desativada. O servidor RADIUS, configurado para uma verificação rigorosa de CRL, nega o acesso à rede na tentativa de autenticação seguinte. A validade do certificado de 30 dias garante que, mesmo que a verificação de CRL se atrase, o acesso expira no prazo de um mês.
Uma cadeia de retalho nacional com 500 lojas necessita de implementar WiFi seguro para tablets de ponto de venda (POS) pertencentes à empresa com Windows. O arquiteto de rede deve garantir que, mesmo que um tablet seja roubado, as credenciais de rede não possam ser extraídas e utilizadas para aceder à rede corporativa a partir de outro dispositivo. A conformidade com o PCI-DSS é obrigatória.
O arquiteto de rede configura o Microsoft Intune para implementar certificados através de SCEP. O Intune envia o certificado Trusted Root para o grupo 'POS Devices', seguido de um perfil SCEP que instrui cada tablet a gerar a sua própria chave privada no Windows TPM. O tablet envia um CSR para o servidor NDES, recebe o certificado de cliente e liga-se ao SSID 'Retail_POS' utilizando WPA3 e EAP-TLS. O servidor RADIUS autentica o certificado e coloca o dispositivo na VLAN isolada de POS, que apenas permite tráfego para o processador de pagamentos e para o sistema de gestão de inventário. Todos os três perfis do Intune - Trusted Root, SCEP e WiFi - são atribuídos ao mesmo grupo de dispositivos 'POS Devices' para evitar falhas de dependência. O NDES é publicado através do Azure AD Application Proxy para permitir a renovação de certificados sem exigir que o tablet esteja nas instalações.
Perguntas de Prática
Q1. Está a implementar um perfil SCEP através do Intune numa frota de portáteis Windows. Os dispositivos recebem com sucesso o certificado de Raiz Confiável, mas o perfil WiFi falha ao ser aplicado e aparece como 'Erro' na consola do Intune. O perfil SCEP está atribuído ao grupo Azure AD 'All Users', enquanto o perfil WiFi está atribuído ao grupo de dispositivos 'Corporate Laptops'. Qual é a causa da falha e como a resolve?
Dica: Considere as dependências entre os perfis e como o Intune resolve a atribuição de grupos quando um perfil depende de outro perfil.
Ver resposta modelo
A falha é causada por uma incompatibilidade na segmentação de grupos. O Intune não consegue resolver a dependência entre o perfil SCEP e o perfil WiFi porque estes visam tipos de grupos diferentes - um visa utilizadores e o outro visa dispositivos. Para resolver isto, verifique as atribuições dos três perfis e garanta que os perfis de Raiz Confiável, SCEP e WiFi são todos implementados exatamente no mesmo grupo Azure AD. Escolha de forma consistente a segmentação por utilizador ou por dispositivo em todos os perfis.
Q2. Um espaço de retalho quer proteger os seus tablets POS. O diretor de TI sugere a utilização de PKCS em vez de SCEP porque simplifica a infraestrutura ao remover a necessidade de um servidor NDES. Como arquiteto de rede, por que razão deve recomendar o SCEP para autenticação WiFi 802.1X, e em que circunstâncias seria o PKCS a escolha correta?
Dica: Pense em onde a chave privada é gerada e armazenada em ambos os protocolos, e considere as implicações de segurança para a autenticação de rede versus a encriptação de e-mail.
Ver resposta modelo
Recomende o SCEP para autenticação WiFi 802.1X porque a chave privada é gerada localmente no dispositivo e armazenada no seu enclave seguro de hardware. A chave privada nunca sai do dispositivo e nunca é transmitida pela rede. Se um tablet for roubado, as credenciais não podem ser extraídas e utilizadas a partir de outro dispositivo. Com o PKCS, a CA gera o par de chaves centralmente e transmite-o para o dispositivo, introduzindo um risco de transmissão que é inaceitável para a autenticação de rede. O PKCS é a escolha correta apenas para encriptação de e-mail S/MIME, onde a custódia de chaves (key escrow) é necessária para permitir que os e-mails encriptados sejam desencriptados caso o dispositivo original seja perdido.
Q3. Está a projetar um portal de onboarding BYOD para um hospital com 500 camas. A equipa clínica irá utilizar os seus smartphones pessoais para aceder a aplicações internas não críticas, tais como a escala de serviço e mensagens internas. Precisa de minimizar o risco de dispositivos inativos permanecerem na rede após a saída de funcionários, sem exigir a intervenção manual das TI para cada saída. Que configuração específica de certificado deve implementar?
Dica: Considere o ciclo de vida do certificado e como pode forçar os dispositivos a reautenticarem-se periodicamente sem exigir que as TI revoguem manualmente cada certificado.
Ver resposta modelo
Implemente certificados de curta duração com um período de validade de 30 a 90 dias. Quando o certificado expirar, o dispositivo BYOD é forçado a reautenticar-se através do Captive Portal utilizando as credenciais de IdP corporativas do funcionário. Se o funcionário tiver saído e a sua conta de IdP tiver sido desativada, não conseguirá concluir a reautenticação e não receberá um novo certificado. Isto elimina naturalmente os dispositivos inativos da rede sem exigir que as TI revoguem manualmente certificados individuais. Combine isto com a verificação OCSP no servidor RADIUS para garantir a revogação imediata quando uma conta é desativada, proporcionando defesa em profundidade entre os ciclos de expiração dos certificados.
Q4. O seu servidor NDES está a devolver erros HTTP 403 Forbidden para todos os pedidos de certificado SCEP. O servidor NDES está acessível a partir da internet através do Proxy de Aplicações do Azure AD. Quais são as duas causas mais prováveis para este erro e como diagnostica cada uma delas?
Dica: Considere tanto as permissões no modelo de certificado como o caminho de rede entre o dispositivo e o servidor NDES.
Ver resposta modelo
As duas causas mais prováveis são: primeiro, a conta de serviço do Intune Certificate Connector carece das permissões necessárias no modelo de certificado de CA. Verifique se a conta de serviço tem permissões de 'Leitura' e 'Inscrição' no modelo na consola da CA. Segundo, a firewall ou o Application Proxy está a bloquear os parâmetros de cadeia de consulta específicos utilizados pelo SCEP. Verifique os registos da firewall e do Application Proxy para pedidos que contenham parâmetros como '?operation=GetCACaps' ou '?operation=PKIOperation'. Estas são operações SCEP padrão que devem ser permitidas. Se o Application Proxy estiver a remover cadeias de consulta, ajuste as definições de pré-autenticação para permitir a passagem para o caminho do URL do NDES.
Continue a ler esta série
Como Segregar com Segurança Redes WiFi de Funcionários e Convidados
Este guia técnico de referência fornece aos líderes de TI estratégias práticas para segregar com segurança redes WiFi de funcionários, convidados e IoT utilizando VLANs e 802.1X. Detalha como proteger a infraestrutura empresarial, manter a conformidade com o PCI-DSS e potenciar Captive Portals para recolher dados primários (first-party data).
Melhor filtragem DNS: um guia completo para empresas
Este guia de referência técnica explica como a filtragem DNS empresarial protege as redes públicas bloqueando domínios maliciosos na camada de resolução - antes de uma ligação ser estabelecida. Oferece aos diretores de TI, arquitetos de rede e equipas de operações de locais a arquitetura de implementação, configuração de firewall e contexto de conformidade necessários para proteger o Guest WiFi em ambientes de hotelaria, retalho e setor público. O Purple Shield bloqueia malware, botnets e conteúdos inadequados ao nível do DNS em mais de 80.000 locais ativos.
Compreender o Cisco SUDI: Identidade Ancorada em Hardware no Controlo de Acesso Seguro à Rede
Este guia explica como o Cisco SUDI fornece uma identidade criptograficamente segura e ancorada em hardware para a infraestrutura de rede empresarial. Saiba como substituir endereços MAC clonáveis por certificados 802.1AR imutáveis para proteger o controlo de acesso à rede do seu espaço.