无需 Active Directory 或本地服务器的企业级 WiFi 认证
本指南阐述了如何在没有本地 Active Directory、Windows NPS 或 RADIUS 服务器的情况下,部署安全的 WPA2/3-Enterprise WiFi 认证。内容涵盖云身份提供商与 802.1X 之间的协议不匹配问题、采用 EAP-TLS 优于 PEAP-MSCHAPv2 的理由,以及如何针对 Microsoft Entra ID、Okta 或 Google Workspace 部署结合 MDM 颁发证书的云 RADIUS。专为准备淘汰本地基础设施的云优先型及重度使用 Mac/Chromebook 的组织中的 IT 负责人编写。
收听本指南
查看播客转录
📚 核心系列的一部分:企业级 WiFi 安全与认证:完整指南 →
执行摘要
大多数组织已经将其身份管理迁移到了云端。Microsoft Entra ID、Okta 和 Google Workspace 现在负责管理电子邮件、SaaS 应用和设备管理的管理员、组和访问策略。然而,企业级 WiFi 却未能跟上这一步伐。接入点(AP)仍然需要 RADIUS 服务器,而该 RADIUS 服务器在历史上一直是连接到本地 Active Directory 域控制器的 Windows 网络策略服务器(NPS)。
这种不匹配迫使 IT 团队仅仅为了维持 WiFi 的运行而维护冗余的本地基础设施。解决方案就是云 RADIUS:一种全托管的身份验证服务,它对接入点使用 RADIUS 协议,对云身份提供商使用 OAuth2、SCIM 和 SAML 协议。将其与通过您的 MDM 进行的 EAP-TLS 证书分发相结合,您就可以获得一个完整的 802.1X 部署,无需本地服务器,无需操作系统补丁,并且可以直接与云目录关联,实现即时访问权限撤销。
Purple 在全球 80,000 多个场所运营云 RADIUS,拥有 99.999% 的在线率(Purple 内部数据,2024 年),并与 Microsoft Entra ID、Okta 和 Google Workspace 进行了原生集成。您可以在一小时内,在现有的 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet 接入点上部署上线。
技术深度剖析
问题核心:协议不匹配
根本挑战在于,云身份提供商和 WiFi 接入点使用的是完全不同的语言。Microsoft Entra ID(前身为 Azure AD)通过 SAML、OIDC 和 OAuth2 进行身份验证——这是浏览器和 SaaS 应用使用的协议。而 WiFi 接入点使用的是 RADIUS(远程用户拨号认证系统,RFC 2865),这是一种在 1990 年代为拨号和 VPN 设计的基于 UDP 的协议。Microsoft 从未为 Entra ID 提供过原生 RADIUS 端点。您无法直接将 Meraki 或 Aruba 接入点指向 Azure 并期望 802.1X 能够正常工作。
这就是每一个致力于“云优先”的 IT 团队在尝试使用 WPA2-Enterprise 或 WPA3-Enterprise 保护员工 WiFi 时所面临的瓶颈。必须有某种东西来桥接接入点和云身份提供商之间的鸿沟。而这种东西就是云 RADIUS。
为什么在没有 Active Directory 的情况下 PEAP-MSCHAPv2 会失效
在历史上,802.1X 部署依赖于 PEAP-MSCHAPv2(受保护的可扩展身份验证协议,采用 Microsoft 质询握手身份验证协议版本 2)。用户输入用户名和密码,接入点将请求转发给 RADIUS 服务器,RADIUS 服务器根据存储在 Active Directory 中的 NTLM 哈希值验证密码。
Microsoft Entra ID 不存储 NTLM 哈希。这并不是配置上的缺陷,而是刻意为之的架构设计。Entra ID 是现代云身份提供商,而非域控制器。因此,指向 Entra ID 的 RADIUS 服务器无法验证 PEAP-MSCHAPv2 质询。让 PEAP 与 Entra ID 协同工作的唯一方法是部署 Entra Domain Services(一种从 Entra ID 进行同步的付费托管 Active Directory),然后对其运行 NPS。这会重新引入您试图消除的大部分组件:Windows Server 虚拟机、操作系统补丁、NTLM 哈希存储以及手动证书管理。
EAP-TLS:云优先组织的正解
EAP-TLS(可扩展身份验证协议-传输层安全,RFC 5216)使用 X.509 数字证书代替密码。设备向 RADIUS 服务器出示证书。RADIUS 服务器根据受信任的证书颁发机构(CA)验证该证书。由于交互过程中不涉及密码,RADIUS 服务器不需要 NTLM 哈希存储。它只需要信任该 CA,并检查身份提供商中的用户组数身份,以应用正确的 VLAN 和访问策略。
EAP-TLS 在设计上就具备防网络钓鱼特性。因为没有可供窃取的凭据。它符合 CISA 关于防钓鱼多因素身份验证的指南,并符合 PCI DSS 对处理持卡人数据的网络进行强身份验证的要求。它是 IEEE 802.1X 推荐用于托管设备群的身份验证方法。
云优先 802.1X 身份验证架构:设备通过 Purple 的云 RADIUS 运行 EAP-TLS 进行身份验证,该 RADIUS 验证证书并应用来自 Entra ID、Okta 或 Google Workspace 基于组的策略。
MDM 如何替代本地 CA
在传统的 802.1X 部署中,证书由运行 Active Directory 证书服务(AD CS)的本地证书颁发机构颁发。在云优先部署中,MDM 通过 SCEP(简单证书注册协议)接管此角色。Microsoft Intune、Jamf Pro 和其他 MDM 平台可以向云端托管的 CA 请求证书,并静默推送到托管设备上。
具体工作流程如下:IT 管理员在 MDM 中创建一个 SCEP 证书配置文件,其范围限定为需要 WiFi 访问的设备组。MDM 自动将证书推送到 Windows、macOS、iOS、iPadOS、Android Enterprise 和 ChromeOS 设备。用户无感知。证书与 MDM 中的设备身份绑定,并在过期前自动更新。当设备连接到 WiFi 时,它会将证书出示给云 RADIUS 服务器,该服务器根据 CA 验证该证书并应用正确的网络策略。
对于使用 Microsoft Intune 的组织,Microsoft Cloud PKI 提供了一个与 Intune SCEP 配置文件直接集成的完全托管 CA,从而无需本地 NDES(网络设备注册服务)服务器。对于由 Jamf 管理的 Mac 和 iOS 设备群,Jamf 内置的 CA 或第三方云 CA 也可实现相同的目的。
SCIM 与即时访问撤销
云 RADIUS 在运营上最重要的一个方面是 SCIM(跨域身份管理系统)配置。SCIM 是一种开放标准,可将身份变更从可信源(您的云身份提供商)实时推送到相关系统。当某个员工在 Entra ID 或 Okta 中被禁用时,SCIM 会立即将该变更推送到云 RADIUS 服务。设备下一次尝试身份验证时,RADIUS 服务器将返回 Access-Reject。通过在接入点上配置较短的会话超时,设备将在账户被禁用后的几分钟内被移出网络。
与共享 PSK 网络(撤销访问权限的唯一方法是更改每台设备上的密码)以及依赖定期 LDAP 同步(存在数小时或数天的滞后窗口)的传统 RADIUS 部署相比,这在安全性上是一个实质性的提升。
RadSec:通过互联网保障 RADIUS 流量安全
传统 RADIUS 使用 UDP,仅提供基础的消息验证。当您的 RADIUS 服务器与接入点位于同一数据中心时,这是可以接受的。但当您的 RADIUS 服务器是一项云服务时,身份验证流量就会穿越公共互联网。RadSec(基于 TLS 的 RADIUS,RFC 6614)使用 TLS 对 RADIUS 交互进行加密,从而为身份验证流量提供机密性和完整性。Purple 原生支持 RadSec,并为尚不支持 RadSec 的接入点提供 IPsec 备用方案。
实施指南
利用 EAP-TLS 部署云 RADIUS 需要四个协调步骤。如果 Entra ID 和 MDM 已经就绪,试点 SSID 可以在一小时内上线。
第 1 步:将云 RADIUS 连接到您的身份提供商
通过 OAuth2 管理员同意(针对 Entra ID)或 API 令牌(针对 Okta 和 Google Workspace)将 Purple 连接到您的身份提供商。这将授权 Purple 从目录中读取用户、组和组成员身份。配置 SCIM 配置以将用户状态变更实时推送到 Purple。磁盘上不会存储任何服务主体凭据。组变更将在下一次身份验证事件时传播,而不是按照同步计划进行。
第 2 步:配置您的 MDM 和 SCEP 配置文件
在 Microsoft Intune 中,为 CA 根创建“受信任的证书配置文件”,然后创建一个指向 Purple 托管 CA 的 SCEP 证书配置文件。将这两个配置文件的作用域限定为需要 WiFi 访问的设备组。对于 Jamf,在配置描述文件中配置 SCEP 负载。MDM 将静默推送这些证书。在继续下一步之前,请在 MDM 合规性仪表板中验证证书交付情况。
步骤 3:在云 RADIUS 控制面板中定义网络策略
创建将身份提供商组映射到特定 VLAN 和访问控制的 RADIUS 策略。例如,将 Entra ID 组“Staff-Finance”映射到具有完全互联网访问权限的 VLAN 20,并将“Staff-Contractors”映射到具有自动过期的时限性访问权限的 VLAN 30。Purple 的控制面板在认证时应用这些策略,无需更改防火墙。
步骤 4:更新接入点配置
更新接入点上的 SSID 配置,以使用带 802.1X 的 WPA2-Enterprise 或 WPA3-Enterprise。输入 Purple 云 RADIUS 主和备用端点主机名或 IP 地址,以及共享密钥。配置接入点以根据 Purple 返回的 RADIUS 属性使用动态 VLAN 分配。在全网部署之前,先在部分接入点上使用单个 SSID 进行测试。
云 RADIUS 与本地 RADIUS:在部署时间、Active Directory 依赖性、高可用性、操作系统补丁、身份集成和证书生命周期管理方面的直接对比。
最佳实践
这些建议反映了 IEEE 802.1X 标准、PCI DSS v4.0 要求以及 Purple 超过 80,000 个场所的网络运营经验。
对托管设备强制执行 EAP-TLS。 密码极易受到网络钓鱼和凭据填充攻击。证书提供了身份和设备合规性的密码学证明。EAP-TLS 是唯一在设计上具有防钓鱼特性的 802.1X 方法。
使用 SCIM 实现即时注销。 定期的 LDAP 同步会留下一个时间窗口,使已离职的员工仍保留网络访问权限。SCIM 可确保在身份提供商中禁用账户的瞬间立即撤销访问权限。
部署多区域 RADIUS。 为您的接入点配置至少两个位于不同地理区域的 RADIUS 端点。Purple 默认提供双活多区域故障转移,故障转移可在数秒内完成。
使用动态 VLAN 细分流量。 利用身份提供商的组成员身份动态地将用户分配到特定的 VLAN。这样可以隔离敏感流量并限制受损设备的影响范围,而无需手动更改防火墙。
启用 RadSec。 如果您的接入点支持 RadSec,请启用它以加密接入点与云 RADIUS 服务器之间的认证流量。这对于分支机构和接入点位于不可信网络段的场所尤为重要。
监控证书生命周期。 将 MDM 自动更新设置为在证书生命周期的 80% 时触发。对于一年期的证书,更新会在第 10 个月开始。对未能在大限前完成更新的设备进行告警。有关企业 WiFi 安全标准和框架的更广泛讨论,请参阅我们的 企业 WiFi 安全:2026年完整指南 。
故障排除与风险缓解
过渡到云 RADIUS 会引入新的依赖关系。在这些常见故障模式影响生产环境之前,请做好应对准备。
证书过期。 如果设备证书在 MDM 续订之前过期,设备将静默身份验证失败。用户会看到连接错误,但没有任何说明。缓解措施:将 MDM 自动续订配置为证书有效期的 80%,并监控 MDM 合规性仪表板以发现证书即将过期的设备。
MDM 同步失败。 未能满足 MDM 合规性或未能签入的设备可能无法接收续订的证书。实施合规性策略以标记不健康的设备,并在证书过期前向管理员发出警报。
防火墙阻止 RADIUS 流量。 接入点必须能够通过 UDP 端口 1812(身份验证)和 UDP 端口 1813(计费)或 TCP 端口 2083(RadSec)连接到云 RADIUS 端点。分支机构的出站防火墙规则经常会阻止这些端口。在部署前,测试来自接入点管理 VLAN 的可达性。
SCIM 配置失败。 如果身份提供商与 Purple 之间的 SCIM 连接中断,用户状态更改将无法传播。在身份提供商和 Purple 仪表板中监控 SCIM 同步状态。为同步失败配置警报。
不支持证书的遗留设备。 IoT 设备、打印机和较旧的硬件可能不支持 EAP-TLS。对于这些设备,请使用 iPSK(个人预共享密钥)而不是共享 PSK。Purple 原生支持 iPSK,可为每个设备分配唯一密钥,并将每个设备置于正确的 VLAN 上,而无需 802.1X 客户端支持。
ROI 与业务影响
从本地 RADIUS 迁移到云 RADIUS 可在基础设施、运营和安全方面提供可衡量的价值。
| 维度 | 本地 NPS | 云 RADIUS (Purple) |
|---|---|---|
| 基础设施成本 | Windows Server 许可证、虚拟机计算、存储 | 每个接入点订阅,无需服务器硬件 |
| 部署时间 | 数天至数周 | 一小时内 |
| 高可用性 | 手动 - 两台服务器加复制 | 多区域双活,默认提供 |
| 系统补丁程序 | 每月,由您的团队负责 | 供应商托管 |
| WiFi 服务台工单 | 高 - 密码重置、手动入网 | 减少 80%(Purple 客户数据) |
| 访问权限撤销 | 通过 LDAP 同步需要数小时至数天 | 通过 SCIM 仅需数秒 |
| 使用 Purple 的 Staff WiFi(员工 WiFi)的 IT 团队通常会发现 WiFi 支持工单减少了 80%(Purple 内部数据,2024年),这主要得益于免除了密码重置和手动设备引导流程。基于证书的身份验证还满足了 PCI DSS 要求 8.3 关于强身份验证的规定,以及 ISO 27001 控制项 A.9.4 关于系统和应用访问控制的规定,从而减轻了您安全团队的审计负担。 |
对于 零售 和 酒店餐饮 行业的组织而言,能够从单一云端控制面板(具有统一的身份层)管理 Staff WiFi 和 Guest WiFi ,降低了多站点物业的运营复杂度。对于 交通运输 运营商和 医疗保健 服务提供商,即时撤销功能和完整的审计追踪无需额外工具即可满足监管合规要求。
Purple 的 WiFi Analytics 层在身份验证基础设施之上增加了空间占用和混合办公数据,将 Staff WiFi 从成本中心转变为运营情报的来源。
相关阅读: 企业级 WiFi 安全:2026年完整指南 - OpenWrt 自定义固件与 Purple WiFi 的集成
关键定义
802.1X
一种用于基于端口的网络准入控制的 IEEE 标准 (IEEE 802.1X-2020)。它要求设备在接入点授予网络访问权限之前进行身份验证,并使用由 RADIUS 服务器协调的 EAP 交互。
IT 团队使用 802.1X 来确保只有获得授权的用户和设备才能连接到企业网络。它提供单用户加密、单会话密钥以及每个连接事件的完整审计轨迹。
RADIUS
远程用户拨号认证服务 (RFC 2865)。一种网络协议,为网络准入提供集中化的认证、授权和计费 (AAA) 管理。
接入点将每个连接请求转发到 RADIUS 服务器,由其决定是否允许该设备接入以及为其分配哪个 VLAN。Cloud RADIUS 取代了本地的 NPS 或 FreeRADIUS 服务器。
EAP-TLS
可扩展身份验证协议-传输层安全 (RFC 5216)。一种 802.1X 身份验证方法,使用双向 X.509 证书交换来代替密码。
EAP-TLS 是托管设备群的黄金标准。它具备防网络钓鱼特性,无需密码哈希存储,并且是唯一满足 CISA 防钓鱼多因素身份验证 (MFA) 指南要求的 802.1X 方法。
PEAP-MSCHAPv2
受保护的可扩展身份验证协议,结合 Microsoft 质询握手身份验证协议版本 2。一种传统的 802.1X 方法,通过与存储在 Active Directory 中的 NTLM 哈希进行比对来验证密码。
PEAP-MSCHAPv2 在纯云环境中会失效,因为 Entra ID 不存储 NTLM 哈希。从本地 AD 迁移的组织必须用 EAP-TLS 取代 PEAP。
SCEP
简单证书注册协议。一种 MDM 平台使用的协议,用于在无需用户交互的情况下自动在设备上请求和安装数字证书。
IT 团队将 SCEP 与 Intune 或 Jamf 结合使用,以静默方式向员工设备配置 WiFi 证书。在云原生部署中,SCEP 取代了本地的 NDES(网络设备注册服务)服务器。
SCIM
跨域身份管理系统 (RFC 7644)。一种开放标准,用于自动在 IT 系统之间实时交换用户身份信息。
SCIM 可确保在 Entra ID 或 Okta 中禁用某员工时,该变更会立即推送到云端 RADIUS 服务,从而在几秒钟而非几小时内撤销其 WiFi 访问权限。
NPS
网络策略服务器。微软的 RADIUS 实现,通常在 Windows Server 上运行,作为本地 Active Directory 环境的一部分。
云原生组织正在淘汰 NPS,以消除 Windows Server 虚拟机、操作系统补丁以及对本地 Active Directory 的依赖。Cloud RADIUS 是其直接替代方案。
RadSec
基于 TLS 的 RADIUS (RFC 6614)。一种通过 TLS 对 RADIUS 身份验证流量进行加密的协议,取代了传统 RADIUS 所使用的基于 UDP 的明文传输方式。
在使用云端 RADIUS 时,RadSec 至关重要,因为身份验证流量必须通过公共互联网在接入点和云服务之间传输。Purple 原生支持 RadSec。
iPSK
个人预共享密钥。WPA2-Personal 的一种变体,它为每个设备分配一个唯一的预共享密钥,而不是所有设备共用同一个共享密钥。
iPSK 用于物联网 (IoT) 设备、打印机以及其他无法支持 802.1X EAP-TLS 的硬件。它提供单设备可追溯性和 VLAN 分配,且无需证书支持。
Dynamic VLAN
一种网络分段技术,其中 RADIUS 服务器在 Access-Accept 响应中返回 VLAN 标识符,而接入点会自动将设备置于该 VLAN 中。
动态 VLAN 允许 IT 团队根据身份提供商 (IdP) 的群组资格,将员工、承包商、物联网 (IoT) 设备和访客划分到不同的网络网段中,而无需手动更改防火墙。
应用实例
一家拥有 400 个店面的零售连锁企业需要保障所有地点的员工 WiFi 安全。他们运行 Cisco Meraki 接入点,并使用 Microsoft Entra ID 配合 Intune 进行设备管理。由于他们没有本地 Active Directory 来运行 NPS,因此目前使用共享的 WPA2-Personal PSK。最近的内部审计指出,共享的 PSK 存在 PCI DSS 合规性漏洞。
该连锁企业部署了 Purple 的 cloud RADIUS。首先,他们通过 OAuth 管理员同意将 Purple 连接到 Entra ID,并配置 SCIM 自动配置。在 Intune 中,他们为 Purple CA 根证书创建一个受信任的证书配置文件,并为“Staff-Retail”设备组创建一个 SCEP 证书配置文件。Intune 会自动向所有托管的 POS 终端和员工平板电脑推送证书。在 Meraki 控制面板中,他们将 Staff SSID 更新为 WPA2-Enterprise,输入 Purple cloud RADIUS 的主备端点,并启用动态 VLAN 分配。当设备连接时,它会出示 Intune 颁发的证书,Purple 会根据 CA 对其进行验证并检查 Entra ID 组,然后根据组策略将设备分配到 VLAN 10(员工网络)或 VLAN 20(管理网络)。共享的 PSK 被停用。在 400 个站点的推广仅用了一个周末就完成了,因为没有部署任何现场硬件,只需在 Meraki 中更改 SSID 配置即可。
一所拥有 15,000 名学生的大学使用 Google Workspace 作为其主要的身份提供商。IT 团队希望在由 MacBook、Chromebook 和 Android 手机组成的 BYOD 设备上为教职工和学生提供安全的 WiFi。他们没有本地 Active Directory,也不想运行服务器。
该大学将 Purple 的 cloud RADIUS 与 Google Workspace 集成。对于托管的 Chromebook,他们使用 Google Admin 通过 SCEP 推送 WiFi 证书配置文件,自动注册每台设备。对于 BYOD MacBook 和 Android 手机,他们部署了一个轻量级的引导应用程序,该程序通过用户的 Google 凭据对用户进行身份验证,并只需一键即可在设备上安装证书。随后的连接将自动使用 EAP-TLS。Purple 将 Google Workspace 组织单位映射到 VLAN:教职工归入 VLAN 10,学生归入 VLAN 20,访客则转到 Captive Portal SSID。当学生毕业且其 Google 帐户被暂停时,SCIM 会将更改推送到 Purple,其 WiFi 访问权限将在几分钟内被撤销。
练习题
Q1. 您的组织已完全从本地 Active Directory 迁移到 Microsoft Entra ID。您当前的员工 WiFi 在针对已加入旧域的 NPS 服务器使用 PEAP-MSCHAPv2。在停用域控制器后,员工报告他们无法再连接到 WiFi。根本原因是什么,正确的长期解决方案是什么?
提示:考虑 PEAP-MSCHAPv2 需要从目录中获取什么,以及 Entra ID 是否提供该信息。
查看标准答案
根本原因是 PEAP-MSCHAPv2 需要 RADIUS 服务器根据 Active Directory 中存储的 NTLM 哈希来验证用户的密码。随着域控制器的停用,NPS 没有可用于验证的目录。Entra ID 不存储 NTLM 哈希,因此 NPS 无法重定向到 Entra ID。正确的长期解决方案是用云 RADIUS 服务取代 NPS,从 PEAP-MSCHAPv2 迁移到 EAP-TLS,并使用 MDM (Intune) 通过 SCEP 颁发设备证书。这消除了对任何本地目录的依赖。
Q2. 您正在为由 Jamf Pro 管理、拥有 200 台设备的 corporate MacBook 团队部署云 RADIUS。您的身份提供商是 Okta。为这些设备配置 WiFi 凭据的最安全且最具运营效率的方法是什么?
提示:寻找一种无需用户交互、避免使用密码且能与您现有的 MDM 集成的方法。
查看标准答案
配置 Jamf Pro 使用 SCEP 向 MacBook 静默推送设备证书。在 Jamf 配置描述文件中创建 SCEP 负载,指向由您的云 RADIUS 提供商管理的 CA。将该描述文件的范围限定到相关的设备组。Jamf 将自动向每台 MacBook 推送证书,无需用户交互。在同一配置描述文件中配置 WiFi 描述文件,以将 EAP-TLS 与 SCEP 颁发的证书结合使用。通过 SCIM 将云 RADIUS 服务连接到 Okta,以确保当员工在 Okta 中被禁用时,其 WiFi 访问权限会立即被撤销。
Q3. 一名员工于周一上午 9:00 被终止合同。人力资源部于上午 9:05 禁用了其 Entra ID 账户。上午 9:30,安全警报显示该员工的笔记本电脑仍从停车场连接到 corporate WiFi。缺少了什么配置,您该如何修复?
提示:RADIUS 服务器如何得知用户在身份提供商中的状态已发生变化?
查看标准答案
该部署依赖于定期 LDAP 同步,而不是 SCIM 预配。自账户被禁用以来,LDAP 同步尚未运行,因此云 RADIUS 服务仍认为该用户处于活动状态。解决方案是启用 Entra ID 与云 RADIUS 服务之间的 SCIM 预配。SCIM 会实时推送用户状态变化,因此当上午 9:05 在 Entra ID 中禁用账户时,RADIUS 服务会立即收到更改。下次设备尝试重新认证时(由接入点上的会话超时控制),它将收到 Access-Reject。在接入点上设置较短的会话超时(15 到 30 分钟)可以限制账户禁用与网络驱逐之间的最大时间窗口。
Q4. 您的场所有 50 台 IoT 设备(数字标牌播放器、环境传感器和打印机)不支持 802.1X EAP-TLS。您如何将这些设备安全地部署在与您的 EAP-TLS 员工网络相同的 WiFi 基础设施上?
提示:考虑哪种身份验证方法可以在不需要证书支持的情况下提供针对每台设备的问责制。
继续阅读本系列
三大 SSID 统领全局:访客、员工和 IoT WiFi 设置指南
本权威技术参考指南为部署三大 SSID WiFi 架构提供了循序渐进的蓝图。它详细介绍了如何利用 Captive Portal、802.1X RADIUS 和单设备 PSK (xPSK) 来对访客、员工和 IoT 流量进行隔离,从而优化性能并确保符合 PCI DSS 规范。
员工离职时如何撤销其 WiFi 访问权限
本指南详细介绍了如何在员工离职时撤销其 WiFi 访问权限,将不安全的共享密码替换为基于用户的 802.1X 证书或 iPSK。它涵盖了通过 SCIM 进行的自动停用,以满足 ISO 27001 和 SOC 2 审计要求。
Google Workspace WiFi 认证:Chromebook 和 LDAP 集成
为在 Google Workspace 环境中部署安全 WiFi 的 IT 管理员提供的权威技术参考。本指南涵盖通过 Google Admin Console 为托管 Chromebook 部署 802.1X 证书、将 Google Secure LDAP 集成为 RADIUS 后端,以及针对教育、媒体和企业场所的架构决策。它提供了可操作的实施步骤、真实案例研究,并对 EAP 方法进行了直接比较,帮助团队从脆弱的共享 PSK 过渡到强大的、基于身份的网络访问控制。