跳至主要内容

如何使用 Microsoft Intune 向设备推送 WiFi 证书

一份面向 IT 领导者的综合技术参考,内容涵盖通过 Microsoft Intune 部署 802.1X WiFi 证书。涉及 SCEP 与 PKCS 架构、实施步骤、合规映射以及企业环境中的实际部署场景。

📖 7 分钟阅读📝 1,541 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
如何使用 MICROSOFT INTUNE 向设备推送 WIFI 证书 Purple 企业 WiFi 智能简报 [引言与背景 — 约 1 分钟] 欢迎回来。今天我代表 Purple,企业 WiFi 智能平台发言,本期节目将聚焦于 Microsoft Intune 工具包中最实用——老实说也是最被低估的——功能之一:面向 802.1X WiFi 身份验证的自动化证书部署。 如果您正在管理酒店、零售连锁店、体育场或公共部门场所的 WiFi,您就会知道我将要描述的痛点。您拥有数百或数千台受管设备。您希望它们自动、安全地连接到您的企业 WiFi,无需用户输入密码,也无需 IT 人员接触每一台设备。并且您希望这种连接在加密层面是强大的——而不仅仅是一个已经有人通过电子邮件发送给半个组织的共享密码。 这正是 Intune 证书部署所解决的问题。在接下来的九分钟里,我将向您介绍它的工作原理、如何部署它,以及大多数团队在首次尝试时遇到的陷阱。 [技术深度探讨 — 约 5 分钟] 让我们从架构开始。基础是 IEEE 802.1X——基于端口的网络访问控制标准,它已经成为企业 WiFi 安全的支柱超过二十年。当设备连接到您的 WiFi 时,802.1X 要求其在获得任何网络访问权限之前进行身份验证。身份验证对话发生在三方之间:设备——称为请求者——您的 WiFi 接入点(充当认证者),以及您的 RADIUS 服务器(即做出最终决定的身份验证服务器)。 现在,802.1X 支持多种身份验证方法。最安全的是 EAP-TLS——可扩展身份验证协议 - 传输层安全。EAP-TLS 使用相互证书身份验证:设备出示证书以证明其身份,RADIUS 服务器出示证书以证明其身份。不涉及密码。没有可以被网络钓鱼的凭据。这就是我们的目标。 挑战始终在于如何大规模地将这些证书部署到设备上。这就是 Microsoft Intune 发挥作用的地方。 Intune 支持两种证书部署机制:SCEP——简单证书注册协议——和 PKCS,它代表公钥加密标准。理解区别很重要。 使用 SCEP,私钥在设备本身上生成。设备创建证书签名请求,通过称为 NDES——网络设备注册服务——的中介服务器将其发送到您的证书颁发机构,然后 CA 将证书颁发回去。私钥永远不会离开设备。这是更安全的方法,建议用于 BYOD 环境和高安全部署。 使用 PKCS,证书颁发机构生成密钥对,Intune 证书连接器将私钥和证书传递给设备。设置更简单——不需要 NDES 服务器——但私钥确实会通过连接器传输,这是您安全态势的一个考虑因素。 对于大多数企业部署,我建议对 BYOD 和混合设备环境使用 SCEP,对拥有同质化公司自有 Windows 设备群且希望最小化基础设施复杂性的情况使用 PKCS。 现在,让我们谈谈部署顺序——因为顺序很重要,而搞错顺序是部署失败最常见的原因。 第一步:配置您的证书颁发机构。您需要在您的 Active Directory 证书服务实例上准备一个证书模板——或者如果您是完全云原生的,Microsoft 的 Intune Cloud PKI 现已普遍可用,完全消除了对本地 CA 的要求。模板需要正确的密钥使用扩展:客户端身份验证是必需的。将最小密钥大小设置为 2048 位,如果您的组织安全策略要求,可设置为 4096 位。 第二步:部署受信任的根证书。在任何设备能够验证 RADIUS 服务器的证书之前,它需要信任颁发该证书的 CA。您在 Intune 中创建一个受信任的证书配置文件,上传根 CA 证书,并将其分配给您的设备组。这必须在任何 WiFi 配置文件或客户端证书配置文件之前到达设备。如果您搞错了顺序,设备将拒绝 RADIUS 服务器,您将花一个下午盯着 Windows 事件日志中的事件 ID 20271。 第三步:部署客户端证书配置文件。这可以是您的 SCEP 配置文件——指向您的 NDES 服务器 URL——或您的 PKCS 配置文件,指向您的证书颁发机构。使用者备用名称应包括用户证书的用户主体名称,或设备证书的 AAD 设备 ID。这种区别很重要:用户证书验证登录用户的身份,设备证书验证机器本身,这意味着设备可以在用户登录之前连接到 WiFi——这对于域加入场景和信息亭部署非常有用。 第四步:创建 WiFi 配置文件。在 Intune 中,它位于设备、配置文件、模板、Wi-Fi 下。将 WiFi 类型设置为企业,输入您的 SSID,将 EAP 类型设置为 EAP-TLS,配置服务器信任设置——这里您需要引用 RADIUS 服务器证书名称——对于客户端身份验证,引用您在第三步创建的证书配置文件。 第五步:将一切分配给正确的组并进行验证。将您的根证书、客户端证书和 WiFi 配置文件分配给相同的设备或用户组。使用 Intune 的内置报告来监控配置文件部署状态。成功的部署会在设备的配置文件列表中显示所有三个配置文件都成功。 关于 Windows Server 环境中 NPS 配置的一个关键点:从 2024 年初开始,Microsoft 收紧了证书映射要求。如果您使用已加入 Azure AD 的设备证书对本地 NPS 进行身份验证,则需要确保 Active Directory 中计算机对象的 altSecurityIdentities 属性已填充证书的指纹。这不是自动发生的——您需要一个脚本或工作流程来处理,通常在 CA 颁发新证书时触发。 [实施建议与陷阱 — 约 2 分钟] 让我给您列举我在企业部署中最常看到的三个陷阱。 陷阱一:证书链缺口。设备需要信任从根 CA 到 RADIUS 服务器证书的链中的每个证书。如果您的 RADIUS 服务器证书是由中间 CA 颁发的,您需要将根证书和中间证书都部署到设备。我曾见过部署失败数周,因为有人部署了根证书但没有中间证书。 陷阱二:配置文件分配时机。Intune 配置文件不会立即到达设备。在大环境中,分配后配置文件可能需要 15 到 30 分钟才能传播。创建配置文件后不要立即测试。使用 Intune 门户中的同步按钮强制签入,然后等待。此外,必须在应用 WiFi 配置文件之前部署并确认客户端证书配置文件——如果 WiFi 配置文件引用了一个尚不存在的证书,配置文件将在某些平台上静默失败。 陷阱三:BYOD 证书吊销。当设备从 Intune 取消注册时——因为员工离职或设备丢失——您需要一个流程来吊销证书。如果您使用带有 ADCS 的 SCEP,请正确配置证书吊销列表分发点,并确保您的 RADIUS 服务器在每次身份验证时检查 CRL 或 OCSP。这是 PCI DSS 等框架的合规性要求,该框架规定当不再需要时,必须及时吊销访问控制机制。 关于合规性:如果您处于 PCI DSS 范围内——例如零售支付环境——基于证书的 802.1X 身份验证是您无线网络访问的最强控制。它满足了 PCI DSS 要求 1.3(围绕网络访问控制)和要求 8.6(围绕身份验证因素)。将您的证书生命周期管理流程记录为合规证据的一部分。 对于受 GDPR 监管的环境,特别是在酒店业和公共部门,您的企业 802.1X 网络与访客 WiFi 网络之间的隔离至关重要。您的由 Intune 管理的企业网络应与任何访客或访客网络位于完全独立的 VLAN 和 SSID 上。Purple 的访客 WiFi 平台处理面向访客的部分——强制门户、同意捕获、分析——而您的由 Intune 管理的企业网络处理员工和操作设备。这两个网络绝不应共享身份验证基础设施。 [快速问答 — 约 1 分钟] 让我快速回答几个经常出现的问题。 我可以使用 Intune Cloud PKI 代替本地 ADCS 吗?可以。Microsoft 于 2024 年发布的 Intune Cloud PKI 在 Azure 中提供了一个完全托管的 CA。它消除了 SCEP 对 NDES 服务器的需求,并显著简化了连接器设置。对于全新部署或没有现有 ADCS 基础设施的组织,这是推荐的路径。 这对 macOS 和 iOS 设备有效吗?有效。Intune 支持 Windows、iOS、iPadOS、Android 和 macOS 的证书配置文件。不同平台的配置文件类型和配置选项略有不同,但核心架构——受信任的根证书、客户端证书、WiFi 配置文件——是一致的。 BYOD 计划中的个人设备呢?SCEP 是您的朋友。利用 Intune 的设备符合性策略,您可以要求在颁发证书之前设备满足最低安全标准。如果设备变得不符合——没有屏幕锁定、操作系统过时——证书可以被吊销,并自动移除网络访问。 Purple 可以与这种架构集成吗?当然可以。Purple 的平台位于访客网络侧,处理强制门户身份验证、同意管理和分析。企业 802.1X 网络和 Purple 的访客 WiFi 并行运行——相同的物理基础设施,不同的 SSID 和 VLAN——为您提供员工连接与访客互动之间的完全隔离。 [总结与后续步骤 — 约 1 分钟] 总结一下:通过 Intune 部署 WiFi 证书是一个五步流程——CA 配置、受信任的根证书部署、客户端证书配置文件、WiFi 配置文件以及组分配。为 BYOD 和高安全环境选择 SCEP;为简单的公司自有设备群选择 PKCS。处理好顺序,解决 NPS 证书映射要求,并从第一天开始建立证书吊销工作流程。 业务理由很直接:您消除了共享的 WiFi 密码,获得了每设备和每用户的身份验证日志,满足了 PCI DSS 和 ISO 27001 的无线安全要求,并减少了在大环境中管理 WiFi 凭据的 IT 开销。 如果您正在计划部署并想了解 Purple 的访客 WiFi 和分析平台如何与您的企业网络架构配合使用,请访问 purple.ai。我们提供了关于 Azure Entra ID 集成、802.1X 架构以及面向酒店、零售和公共部门环境的访客网络设计的详细指南。 感谢收听。下次再见。

header_image.png

Executive Summary

For enterprise IT leaders managing large-scale environments across Hospitality , Retail , or public-sector venues, secure wireless access is a baseline operational requirement. Relying on shared PSKs (Pre-Shared Keys) or username/password authentication (PEAP-MSCHAPv2) exposes the network to credential theft, phishing, and compliance failures. The industry standard for robust enterprise WiFi security is 802.1X with EAP-TLS (Extensible Authentication Protocol with Transport Layer Security), which mandates mutual certificate-based authentication between the device and the network.

However, the primary barrier to EAP-TLS adoption has historically been the operational overhead of certificate lifecycle management. Microsoft Intune resolves this by automating the delivery, renewal, and revocation of digital certificates to managed devices at scale.

This technical reference details the architecture, deployment methodologies (SCEP vs PKCS), and implementation steps required to push WiFi certificates via Microsoft Intune. It provides actionable guidance for network architects and systems engineers tasked with securing corporate communications while maintaining strict separation from visitor networks, such as those managed by a Guest WiFi platform.

Technical Deep-Dive: Architecture and Protocols

To implement certificate-based authentication effectively, IT teams must understand the interaction between the Mobile Device Management (MDM) platform, the Public Key Infrastructure (PKI), and the network access control layer.

The 802.1X Authentication Framework

The IEEE 802.1X standard defines port-based network access control. In a wireless context, it prevents a device from passing any traffic (other than EAP authentication frames) until its identity is verified. The architecture consists of three components:

  1. Supplicant: The client device (laptop, smartphone, tablet) requesting network access.
  2. Authenticator: The wireless access point or wireless LAN controller that blocks traffic until authentication succeeds.
  3. Authentication Server: The RADIUS (Remote Authentication Dial-In User Service) server, such as Microsoft Network Policy Server (NPS) or Cisco ISE, which validates the credentials and authorises access.

EAP-TLS and Mutual Authentication

EAP-TLS is the most secure EAP method because it requires mutual authentication. The RADIUS server presents its certificate to the supplicant to prove it is the legitimate corporate network (preventing evil-twin attacks), and the supplicant presents its client certificate to the RADIUS server to prove it is an authorised device or user.

architecture_overview.png

Intune Certificate Deployment Mechanisms: SCEP vs PKCS

Microsoft Intune supports two primary protocols for deploying client certificates to devices. Selecting the appropriate mechanism is a critical architectural decision.

Simple Certificate Enrollment Protocol (SCEP)

With SCEP, the private key is generated directly on the client device. The device creates a Certificate Signing Request (CSR) and submits it via Intune to the Network Device Enrollment Service (NDES) server, which acts as a proxy to the Active Directory Certificate Services (ADCS) infrastructure. The CA issues the certificate, which is returned to the device.

Because the private key never leaves the device, SCEP is considered highly secure and is the recommended approach for BYOD (Bring Your Own Device) deployments and zero-trust architectures.

Public Key Cryptography Standards (PKCS)

With PKCS, the Intune Certificate Connector requests the certificate from the CA on behalf of the device. The CA generates both the public certificate and the private key, which the connector then securely delivers to the device via Intune.

While PKCS simplifies the infrastructure requirements (no NDES server is needed), the private key is transmitted across the network. This model is generally acceptable for corporate-owned, fully managed device fleets where the MDM platform is already a highly trusted component.

certificate_deployment_comparison.png

Implementation Guide: Step-by-Step Deployment

Deploying Wi-Fi certificates via Intune requires precise sequencing. Deploying profiles out of order is the most common cause of implementation failure.

Step 1: Prepare the Public Key Infrastructure (PKI)

Whether utilising on-premises ADCS or a cloud-native solution like Microsoft Cloud PKI, the Certificate Authority must be configured with the appropriate templates.

  • Key Usage: The template must include the Client Authentication OID (1.3.6.1.5.5.7.3.2).
  • Key Size: Configure a minimum key size of 2048 bits (RSA) to align with modern cryptographic standards.
  • Subject Name: For user certificates, the Subject Alternative Name (SAN) should be configured to use the User Principal Name (UPN). For device certificates, use the Azure AD Device ID.

Step 2: Deploy the Trusted Root Certificate

Before a device can authenticate, it must trust the CA that issued the RADIUS server's certificate.

  1. Export the Root CA certificate (and any intermediate CA certificates) in .cer format.
  2. In the Intune admin centre, navigate to Devices > Configuration profiles > Create profile.
  3. Select the platform and choose the Trusted certificate profile type.
  4. Upload the .cer file and assign the profile to the target device or user groups.

Note: This profile must successfully apply to devices before proceeding to the next steps.

Step 3: Deploy the Client Certificate Profile

Create either a SCEP or PKCS certificate profile to deliver the identity certificate to the supplicant.

  1. Navigate to Devices > Configuration profiles > Create profile.
  2. Select the platform and choose either SCEP certificate or PKCS certificate.
  3. Configure the Subject Name format and SAN according to your identity requirements (User vs. Device).
  4. Specify the Key Storage Provider (KSP) — typically the Trusted Platform Module (TPM) for hardware-backed security.
  5. Assign the profile to the same groups targeted in Step 2.

Step 4: Configure the WiFi Profile

The final component binds the certificates to the wireless network settings.

  1. Navigate to Devices > Configuration profiles > Create profile.
  2. Select the platform and choose the Wi-Fi profile type.
  3. Set the Wi-Fi type to Enterprise and enter the exact SSID.
  4. Set the EAP type to EAP-TLS.
  5. Under Server Trust, specify the exact name of the RADIUS server certificate and select the Trusted Root certificate profile deployed in Step 2.
  6. Under Client Authentication, select the SCEP or PKCS certificate profile deployed in Step 3.
  7. Assign the profile to the target groups.

Best Practices & Strategic Recommendations

Device vs. User Certificates

Network architects must decide whether to issue certificates to the device (machine authentication) or the user (user authentication).

  • Device Certificates: Allow the machine to connect to the WiFi network before a user logs in. This is critical for initial device provisioning, Group Policy processing, and password resets at the login screen. Recommended for corporate-owned devices.
  • User Certificates: Tie network access to the individual's identity. This provides granular auditing and role-based access control. Recommended for BYOD scenarios.

Network Segmentation and Guest Access

A fundamental security principle is the strict logical separation of the corporate 802.1X network from visitor or public access networks. The Intune-managed infrastructure should be dedicated exclusively to corporate devices and authenticated staff.

For visitor access, organisations should deploy a dedicated Guest WiFi SSID backed by a captive portal. This ensures that unmanaged devices are isolated, while still allowing the business to capture visitor analytics via a WiFi Analytics platform. To learn more about securing DNS infrastructure across both segments, review our guide on how to Protect Your Network with Strong DNS and Security .

Addressing the NPS Certificate Mapping Requirement

For organisations utilising Microsoft Network Policy Server (NPS) with Azure AD-joined devices, a critical configuration change was introduced by Microsoft. NPS now requires strong certificate mapping.

When using device certificates, the computer object in the on-premises Active Directory must have its altSecurityIdentities attribute populated with the certificate's details (typically the X509IssuerSerialNumber). IT teams must implement a scheduled script or event-driven workflow to update this attribute when Intune issues a new certificate, otherwise authentication will fail.

Troubleshooting & Risk Mitigation

When an 802.1X deployment fails, the issue almost always resides in the certificate chain or the Intune profile sequencing.

Common Failure Modes

  1. Silent WiFi Profile Failure: If the Intune WiFi profile is applied to a device before the client certificate has been successfully provisioned, the WiFi profile will often fail to install or will fail silently. Always verify certificate presence in the device's Personal store (certmgr.msc on Windows) before troubleshooting the WiFi configuration.
  2. Server Trust Validation Errors: If the device rejects the RADIUS server, verify that the server name specified in the Intune WiFi profile exactly matches the Subject Name or SAN on the RADIUS server's certificate. Additionally, ensure that the entire certificate chain (Root and Intermediate) is present in the device's Trusted Root Certification Authorities store.
  3. Certificate Revocation List (CRL) Unavailability: If the RADIUS server cannot reach the CA's CRL distribution point to verify the client certificate's status, authentication will be denied. Ensure the CRL URL is highly available and accessible from the RADIUS server.

ROI & Business Impact

Transitioning to certificate-based WiFi authentication via Intune delivers significant operational and security returns.

  • Risk Mitigation: Eliminates the risk of credential harvesting, pass-the-hash attacks, and unauthorised network access via shared PSKs.
  • Operational Efficiency: Reduces IT helpdesk tickets related to password expirations and WiFi connectivity issues. The automated lifecycle management means certificates are renewed transparently without user intervention.
  • Compliance Enablement: Satisfies stringent regulatory requirements. For retail environments, it directly addresses PCI DSS requirements for robust wireless encryption and authentication. For public sector and healthcare, it aligns with zero-trust network access (ZTNA) principles.

By leveraging Microsoft Intune for certificate deployment, IT teams can achieve a frictionless, highly secure wireless experience that operates silently in the background, allowing the business to focus on core operations.

关键定义

802.1X

一种 IEEE 标准,用于基于端口的网络访问控制,可防止未经授权的设备在成功进行身份验证之前访问 LAN 或 WLAN。

在企业环境中替代共享 WiFi 密码,采用企业级身份验证的基础安全协议。

EAP-TLS

可扩展身份验证协议 - 传输层安全。一种身份验证框架,要求客户端和服务器都使用数字证书证明其身份。

在 Intune WiFi 配置文件中配置的特定协议,用于强制执行相互证书身份验证,从而消除凭据被盗的风险。

SCEP

简单证书注册协议。一种机制,客户端设备生成自己的私钥,并通过中介服务器向 CA 请求证书。

BYOD 环境中首选的部署方法,因为私钥永远不会通过网络传输。

PKCS

公钥加密标准。在 Intune 上下文中,一种部署方法,其中 CA 生成私钥,Intune 连接器将其安全地传递给设备。

通常用于公司自有设备群的一种更简单的部署架构,因为它消除了对 NDES 服务器的需求。

NDES

网络设备注册服务。一种 Microsoft 服务器角色,充当代理,允许在没有域凭据的情况下运行的设备从 Active Directory 证书颁发机构获取证书。

在本地 ADCS 环境中通过 SCEP 部署证书时的必要基础设施组件。

RADIUS

远程身份验证拨入用户服务。一种网络协议,提供集中的身份验证、授权和计费 (AAA) 管理。

从 WiFi 接入点接收身份验证请求并验证设备证书的服务器(如 Microsoft NPS 或 Cisco ISE)。

Supplicant

最终用户设备(笔记本电脑、智能手机)上发起 802.1X 身份验证过程的软件客户端。

Intune WiFi 配置文件将本机 OS 请求者(例如 Windows WLAN AutoConfig)配置为使用正确的证书和 EAP 方法。

Certificate Revocation List (CRL)

由证书颁发机构发布的数字签名列表,包含已吊销且不再受信任的证书的序列号。

对于安全合规至关重要;RADIUS 服务器必须检查 CRL 以确保连接设备没有被报告丢失或被盗。

应用实例

一家拥有 400 个门店的零售连锁店正在部署用于库存管理的公司自有平板电脑。这些设备完全通过 Intune 管理并加入了 Azure AD。它们需要在启动后立即获得网络访问权限,以便在任何特定用户登录之前同步库存数据库。网络基础设施使用 Cisco ISE 作为 RADIUS 服务器。最佳的证书部署策略是什么?

IT 团队应实施 PKCS 设备证书。

  1. 在 CA 上配置设备证书模板。
  2. 通过 Intune 将根 CA 证书部署到平板电脑。
  3. 在 Intune 中创建 PKCS 证书配置文件,将使用者名称格式设置为 Azure AD 设备 ID({{AAD_Device_ID}})。
  4. 创建一个指定 EAP-TLS 的企业 WiFi 配置文件,引用 ISE 服务器的证书名称和已部署的 PKCS 配置文件。
  5. 将所有配置文件分配给包含平板电脑的设备组。
考官评语: 这里使用 PKCS 是合适的,因为这些设备是公司自有且完全管理的,降低了与私钥传输相关的风险。设备证书是必需的,因为平板电脑需要在用户登录之前访问网络。通过使用 Azure AD 设备 ID,Cisco ISE 可以验证特定的硬件资产并将其分配到正确的受限库存 VLAN。

一家大型教学医院允许医务人员使用其个人智能手机 (BYOD) 访问临床排班应用程序。这些设备通过工作配置文件在 Intune 中注册。安全策略要求不得在个人设备上存储公司凭据,并且如果设备遭到入侵,必须立即撤销网络访问权限。应如何设计 WiFi 身份验证?

医院必须实施结合 Intune 符合性策略的 SCEP 用户证书。

  1. 部署 NDES 服务器以代理请求到 CA。
  2. 在 Intune 中创建 SCEP 用户证书配置文件,将 SAN 配置为用户主体名称 ({{UserPrincipalName}})。
  3. 创建一个要求最低操作系统版本、启用屏幕锁定且无越狱/root 访问的 Intune 符合性策略。
  4. 配置 CA 以发布高可用的证书吊销列表 (CRL)。
  5. 配置 RADIUS 服务器以在每次身份验证尝试时严格执行 CRL 检查。
考官评语: SCEP 是 BYOD 唯一可接受的选择,因为私钥在个人设备上生成且无法被拦截。需要用户证书来将网络活动与特定临床医生联系起来,以进行 HIPAA/GDPR 审计。关键组件是与 Intune 符合性策略的集成;如果设备变得不符合,Intune 可以触发证书吊销,并且 RADIUS 服务器的 CRL 检查将立即阻止网络访问。

练习题

Q1. 您的组织正在将企业 WiFi 从 PEAP-MSCHAPv2(用户名/密码)迁移到 EAP-TLS。在试点阶段,几台 Windows 11 笔记本电脑成功接收了 Intune 配置文件,但无法连接到网络。查看 Windows 事件日志显示事件 ID 20271,指示 RADIUS 服务器证书被拒绝。最可能的原因是什么?

提示:考虑相互身份验证所需的信任链。

查看标准答案

设备缺少颁发 RADIUS 服务器证书的受信任的根 CA 证书。在 EAP-TLS 中,设备必须验证 RADIUS 服务器的身份。IT 团队必须确保包含根 CA(以及任何中间 CA)的“受信任的证书”配置文件通过 Intune 部署到设备,并在 WiFi 配置文件尝试连接之前成功安装。

Q2. 一个公共部门场所正在使用 Intune 和 PKCS 证书为员工设备部署 802.1X。他们还运营着一个由 Guest WiFi 平台管理的单独访客网络。审计员指出,如果员工笔记本电脑被盗,证书仍然有效 12 个月。网络架构师应如何应对这一风险?

提示:身份验证服务器如何在证书过期前知道证书不再有效?

查看标准答案

架构师必须实施健壮的证书吊销工作流程。首先,确保 CA 将证书吊销列表 (CRL) 发布到高可用的分发点。其次,配置 RADIUS 服务器(例如 NPS)以在每次身份验证尝试时强制进行 CRL 检查。最后,建立 Intune 操作程序,以明确吊销标记为丢失或被盗的任何设备的证书,从而更新 CRL 并阻止网络访问。

Q3. 您正在为零售环境中的共享信息亭设备群设计 Intune 部署。这些设备每天重新启动,并且必须在任何用户与它们交互之前立即连接到公司网络以下载更新。您应该部署用户证书还是设备证书,以及应使用什么使用者备用名称 (SAN) 格式?

提示:考虑设备重启后立即的状态。

查看标准答案

您必须部署设备证书。由于信息亭需要在用户登录之前访问网络,因此在启动时用户证书将不可用。Intune 证书配置文件中的使用者备用名称 (SAN) 应配置为使用 Azure AD 设备 ID ({{AAD_Device_ID}}) 或设备的完全限定域名,从而允许 RADIUS 服务器验证特定的硬件资产。