Skip to main content
简体中文

如何使用 Microsoft Intune 向设备推送 WiFi 证书

一份面向 IT 领导者的综合技术参考,内容涵盖通过 Microsoft Intune 部署 802.1X WiFi 证书。涉及 SCEP 与 PKCS 架构、实施步骤、合规映射以及企业环境中的实际部署场景。

📖 7 min read📝 1,541 words🔧 2 worked examples3 practice questions📚 8 key definitions

Listen to this guide

View podcast transcript
如何使用 MICROSOFT INTUNE 向设备推送 WIFI 证书 Purple 企业 WiFi 智能简报 [引言与背景 — 约 1 分钟] 欢迎回来。今天我代表 Purple,企业 WiFi 智能平台发言,本期节目将聚焦于 Microsoft Intune 工具包中最实用——老实说也是最被低估的——功能之一:面向 802.1X WiFi 身份验证的自动化证书部署。 如果您正在管理酒店、零售连锁店、体育场或公共部门场所的 WiFi,您就会知道我将要描述的痛点。您拥有数百或数千台受管设备。您希望它们自动、安全地连接到您的企业 WiFi,无需用户输入密码,也无需 IT 人员接触每一台设备。并且您希望这种连接在加密层面是强大的——而不仅仅是一个已经有人通过电子邮件发送给半个组织的共享密码。 这正是 Intune 证书部署所解决的问题。在接下来的九分钟里,我将向您介绍它的工作原理、如何部署它,以及大多数团队在首次尝试时遇到的陷阱。 [技术深度探讨 — 约 5 分钟] 让我们从架构开始。基础是 IEEE 802.1X——基于端口的网络访问控制标准,它已经成为企业 WiFi 安全的支柱超过二十年。当设备连接到您的 WiFi 时,802.1X 要求其在获得任何网络访问权限之前进行身份验证。身份验证对话发生在三方之间:设备——称为请求者——您的 WiFi 接入点(充当认证者),以及您的 RADIUS 服务器(即做出最终决定的身份验证服务器)。 现在,802.1X 支持多种身份验证方法。最安全的是 EAP-TLS——可扩展身份验证协议 - 传输层安全。EAP-TLS 使用相互证书身份验证:设备出示证书以证明其身份,RADIUS 服务器出示证书以证明其身份。不涉及密码。没有可以被网络钓鱼的凭据。这就是我们的目标。 挑战始终在于如何大规模地将这些证书部署到设备上。这就是 Microsoft Intune 发挥作用的地方。 Intune 支持两种证书部署机制:SCEP——简单证书注册协议——和 PKCS,它代表公钥加密标准。理解区别很重要。 使用 SCEP,私钥在设备本身上生成。设备创建证书签名请求,通过称为 NDES——网络设备注册服务——的中介服务器将其发送到您的证书颁发机构,然后 CA 将证书颁发回去。私钥永远不会离开设备。这是更安全的方法,建议用于 BYOD 环境和高安全部署。 使用 PKCS,证书颁发机构生成密钥对,Intune 证书连接器将私钥和证书传递给设备。设置更简单——不需要 NDES 服务器——但私钥确实会通过连接器传输,这是您安全态势的一个考虑因素。 对于大多数企业部署,我建议对 BYOD 和混合设备环境使用 SCEP,对拥有同质化公司自有 Windows 设备群且希望最小化基础设施复杂性的情况使用 PKCS。 现在,让我们谈谈部署顺序——因为顺序很重要,而搞错顺序是部署失败最常见的原因。 第一步:配置您的证书颁发机构。您需要在您的 Active Directory 证书服务实例上准备一个证书模板——或者如果您是完全云原生的,Microsoft 的 Intune Cloud PKI 现已普遍可用,完全消除了对本地 CA 的要求。模板需要正确的密钥使用扩展:客户端身份验证是必需的。将最小密钥大小设置为 2048 位,如果您的组织安全策略要求,可设置为 4096 位。 第二步:部署受信任的根证书。在任何设备能够验证 RADIUS 服务器的证书之前,它需要信任颁发该证书的 CA。您在 Intune 中创建一个受信任的证书配置文件,上传根 CA 证书,并将其分配给您的设备组。这必须在任何 WiFi 配置文件或客户端证书配置文件之前到达设备。如果您搞错了顺序,设备将拒绝 RADIUS 服务器,您将花一个下午盯着 Windows 事件日志中的事件 ID 20271。 第三步:部署客户端证书配置文件。这可以是您的 SCEP 配置文件——指向您的 NDES 服务器 URL——或您的 PKCS 配置文件,指向您的证书颁发机构。使用者备用名称应包括用户证书的用户主体名称,或设备证书的 AAD 设备 ID。这种区别很重要:用户证书验证登录用户的身份,设备证书验证机器本身,这意味着设备可以在用户登录之前连接到 WiFi——这对于域加入场景和信息亭部署非常有用。 第四步:创建 WiFi 配置文件。在 Intune 中,它位于设备、配置文件、模板、Wi-Fi 下。将 WiFi 类型设置为企业,输入您的 SSID,将 EAP 类型设置为 EAP-TLS,配置服务器信任设置——这里您需要引用 RADIUS 服务器证书名称——对于客户端身份验证,引用您在第三步创建的证书配置文件。 第五步:将一切分配给正确的组并进行验证。将您的根证书、客户端证书和 WiFi 配置文件分配给相同的设备或用户组。使用 Intune 的内置报告来监控配置文件部署状态。成功的部署会在设备的配置文件列表中显示所有三个配置文件都成功。 关于 Windows Server 环境中 NPS 配置的一个关键点:从 2024 年初开始,Microsoft 收紧了证书映射要求。如果您使用已加入 Azure AD 的设备证书对本地 NPS 进行身份验证,则需要确保 Active Directory 中计算机对象的 altSecurityIdentities 属性已填充证书的指纹。这不是自动发生的——您需要一个脚本或工作流程来处理,通常在 CA 颁发新证书时触发。 [实施建议与陷阱 — 约 2 分钟] 让我给您列举我在企业部署中最常看到的三个陷阱。 陷阱一:证书链缺口。设备需要信任从根 CA 到 RADIUS 服务器证书的链中的每个证书。如果您的 RADIUS 服务器证书是由中间 CA 颁发的,您需要将根证书和中间证书都部署到设备。我曾见过部署失败数周,因为有人部署了根证书但没有中间证书。 陷阱二:配置文件分配时机。Intune 配置文件不会立即到达设备。在大环境中,分配后配置文件可能需要 15 到 30 分钟才能传播。创建配置文件后不要立即测试。使用 Intune 门户中的同步按钮强制签入,然后等待。此外,必须在应用 WiFi 配置文件之前部署并确认客户端证书配置文件——如果 WiFi 配置文件引用了一个尚不存在的证书,配置文件将在某些平台上静默失败。 陷阱三:BYOD 证书吊销。当设备从 Intune 取消注册时——因为员工离职或设备丢失——您需要一个流程来吊销证书。如果您使用带有 ADCS 的 SCEP,请正确配置证书吊销列表分发点,并确保您的 RADIUS 服务器在每次身份验证时检查 CRL 或 OCSP。这是 PCI DSS 等框架的合规性要求,该框架规定当不再需要时,必须及时吊销访问控制机制。 关于合规性:如果您处于 PCI DSS 范围内——例如零售支付环境——基于证书的 802.1X 身份验证是您无线网络访问的最强控制。它满足了 PCI DSS 要求 1.3(围绕网络访问控制)和要求 8.6(围绕身份验证因素)。将您的证书生命周期管理流程记录为合规证据的一部分。 对于受 GDPR 监管的环境,特别是在酒店业和公共部门,您的企业 802.1X 网络与访客 WiFi 网络之间的隔离至关重要。您的由 Intune 管理的企业网络应与任何访客或访客网络位于完全独立的 VLAN 和 SSID 上。Purple 的访客 WiFi 平台处理面向访客的部分——强制门户、同意捕获、分析——而您的由 Intune 管理的企业网络处理员工和操作设备。这两个网络绝不应共享身份验证基础设施。 [快速问答 — 约 1 分钟] 让我快速回答几个经常出现的问题。 我可以使用 Intune Cloud PKI 代替本地 ADCS 吗?可以。Microsoft 于 2024 年发布的 Intune Cloud PKI 在 Azure 中提供了一个完全托管的 CA。它消除了 SCEP 对 NDES 服务器的需求,并显著简化了连接器设置。对于全新部署或没有现有 ADCS 基础设施的组织,这是推荐的路径。 这对 macOS 和 iOS 设备有效吗?有效。Intune 支持 Windows、iOS、iPadOS、Android 和 macOS 的证书配置文件。不同平台的配置文件类型和配置选项略有不同,但核心架构——受信任的根证书、客户端证书、WiFi 配置文件——是一致的。 BYOD 计划中的个人设备呢?SCEP 是您的朋友。利用 Intune 的设备符合性策略,您可以要求在颁发证书之前设备满足最低安全标准。如果设备变得不符合——没有屏幕锁定、操作系统过时——证书可以被吊销,并自动移除网络访问。 Purple 可以与这种架构集成吗?当然可以。Purple 的平台位于访客网络侧,处理强制门户身份验证、同意管理和分析。企业 802.1X 网络和 Purple 的访客 WiFi 并行运行——相同的物理基础设施,不同的 SSID 和 VLAN——为您提供员工连接与访客互动之间的完全隔离。 [总结与后续步骤 — 约 1 分钟] 总结一下:通过 Intune 部署 WiFi 证书是一个五步流程——CA 配置、受信任的根证书部署、客户端证书配置文件、WiFi 配置文件以及组分配。为 BYOD 和高安全环境选择 SCEP;为简单的公司自有设备群选择 PKCS。处理好顺序,解决 NPS 证书映射要求,并从第一天开始建立证书吊销工作流程。 业务理由很直接:您消除了共享的 WiFi 密码,获得了每设备和每用户的身份验证日志,满足了 PCI DSS 和 ISO 27001 的无线安全要求,并减少了在大环境中管理 WiFi 凭据的 IT 开销。 如果您正在计划部署并想了解 Purple 的访客 WiFi 和分析平台如何与您的企业网络架构配合使用,请访问 purple.ai。我们提供了关于 Azure Entra ID 集成、802.1X 架构以及面向酒店、零售和公共部门环境的访客网络设计的详细指南。 感谢收听。下次再见。

header_image.png

执行摘要

对于管理着 酒店业零售业 或公共部门场所等大规模环境的的企业 IT 领导者而言,安全的无线访问是基本运营要求。依赖共享的预共享密钥 (Pre-Shared Keys) 或用户名/密码身份验证 (PEAP-MSCHAPv2) 会使网络面临凭据窃取、网络钓鱼和合规失败的风险。强健的企业 WiFi 安全的行业标准是 802.1X 配合 EAP-TLS(可扩展身份验证协议 - 传输层安全),它要求设备与网络之间进行基于证书的相互身份验证。

然而,采用 EAP-TLS 的主要障碍历来是证书生命周期管理的运营开销。Microsoft Intune 通过大规模自动化向受管设备交付、续订和撤销数字证书来解决这一问题。

本技术参考详细介绍了通过 Microsoft Intune 推送 WiFi 证书所需的架构、部署方法(SCEP 与 PKCS)和实施步骤。它为负责保护企业通信同时与访客网络(例如由 Guest WiFi 平台管理的网络)保持严格隔离的网络架构师和系统工程师提供了可操作的指导。

技术深入探讨:架构与协议

为了有效实施基于证书的身份验证,IT 团队必须了解移动设备管理 (MDM) 平台、公钥基础设施 (PKI) 和网络访问控制层之间的交互。

802.1X 身份验证框架

IEEE 802.1X 标准定义了基于端口的网络访问控制。在无线环境中,它会阻止设备通过任何流量(EAP 身份验证帧除外),直到其身份得到验证。该体系结构由三个组件组成:

  1. 请求者:请求网络访问的客户端设备(笔记本电脑、智能手机、平板电脑)。
  2. 认证者:在身份验证成功之前阻止流量的无线接入点或无线局域网控制器。
  3. 身份验证服务器:RADIUS(远程身份验证拨入用户服务)服务器,例如 Microsoft 网络策略服务器 (NPS) 或 Cisco ISE,用于验证凭据并授权访问。

EAP-TLS 与相互身份验证

EAP-TLS 是最安全的 EAP 方法,因为它需要相互身份验证。RADIUS 服务器向请求者出示其证书,以证明它是合法的企业网络(防止邪恶双子攻击),同时请求者向 RADIUS 服务器出示其客户端证书,以证明它是经授权的设备或用户。

architecture_overview.png

Intune 证书部署机制:SCEP 与 PKCS

Microsoft Intune 支持两种用于将客户端证书部署到设备的主要协议。选择合适的机制是一个关键的架构决策。

简单证书注册协议 (SCEP)

使用 SCEP 时,私钥直接在客户端设备上生成。设备创建证书签名请求 (CSR) 并通过 Intune 将其提交到网络设备注册服务 (NDES) 服务器,该服务器充当 Active Directory 证书服务 (ADCS) 基础设施的代理。CA 颁发证书,并将其返回给设备。

由于私钥永远不会离开设备,SCEP 被认为是高度安全的,并且是 BYOD(自带设备)部署和零信任架构的推荐方法。

公钥加密标准 (PKCS)

使用 PKCS 时,Intune 证书连接器代表设备向 CA 请求证书。CA 生成公共证书和私钥,然后连接器通过 Intune 将其安全地交付给设备。

虽然 PKCS 简化了基础设施要求(无需 NDES 服务器),但私钥会通过网络传输。此模型通常适用于公司自有且完全管理的设备群,其中 MDM 平台已经是高度受信任的组件。

certificate_deployment_comparison.png

实施指南:分步部署

通过 Intune 部署 WiFi 证书需要精确的顺序。以错误的顺序部署配置文件是实施失败最常见的原因。

步骤 1:准备公钥基础设施 (PKI)

无论是使用本地 ADCS 还是像 Microsoft Cloud PKI 这样的云原生解决方案,证书颁发机构都必须配置适当的模板。

  • 密钥用法:模板必须包含 Client Authentication OID (1.3.6.1.5.5.7.3.2)。
  • 密钥大小:配置至少 2048 位 (RSA) 的密钥大小,以符合现代加密标准。
  • 使用者名称:对于用户证书,应将使用者备用名称 (SAN) 配置为使用用户主体名称 (UPN)。对于设备证书,使用 Azure AD 设备 ID。

步骤 2:部署受信任的根证书

在设备能够进行身份验证之前,它必须信任颁发 RADIUS 服务器证书的 CA。

  1. .cer 格式导出根 CA 证书(以及任何中间 CA 证书)。
  2. 在 Intune 管理中心中,导航到 设备 > 配置文件 > 创建配置文件
  3. 选择平台并选择 受信任的证书 配置文件类型。
  4. 上传 .cer 文件并将配置文件分配给目标设备或用户组。

注意:在继续下一步之前,必须成功将此配置文件应用到设备。

步骤 3:部署客户端证书配置文件

创建 SCEP 或 PKCS 证书配置文件,以将身份证书传递给请求者。

  1. 导航到 设备 > 配置文件 > 创建配置文件
  2. 选择平台并选择 SCEP 证书PKCS 证书
  3. 根据身份要求(用户与设备)配置使用者名称格式和 SAN。
  4. 指定密钥存储提供程序 (KSP) — 通常为用于硬件支持的安全性的受信任的平台模块 (TPM)。
  5. 将配置文件分配给步骤 2 中目标的相同组。

步骤 4:配置 WiFi 配置文件

最后一个组件将证书绑定到无线网络设置。

  1. 导航到 设备 > 配置文件 > 创建配置文件
  2. 选择平台并选择 Wi-Fi 配置文件类型。
  3. 将 Wi-Fi 类型设置为 企业,并输入准确的 SSID。
  4. 将 EAP 类型设置为 EAP-TLS
  5. 服务器信任 下,指定 RADIUS 服务器证书的确切名称,并选择在步骤 2 中部署的受信任的根证书配置文件。
  6. 客户端身份验证 下,选择在步骤 3 中部署的 SCEP 或 PKCS 证书配置文件。
  7. 将配置文件分配给目标组。

最佳实践与战略建议

设备证书与用户证书

网络架构师必须决定是向设备(机器身份验证)还是用户(用户身份验证)颁发证书。

  • 设备证书:允许机器在用户登录之前连接到 WiFi 网络。这对于初始设备配置、组策略处理以及登录屏幕上的密码重置至关重要。推荐用于公司自有设备。
  • 用户证书:将网络访问与个人身份绑定。这提供了精细的审计和基于角色的访问控制。推荐用于 BYOD 场景。

网络分段与访客访问

一个基本的安全原则是将公司的 802.1X 网络与访客或公共访问网络进行严格的逻辑隔离。Intune 管理的基础设施应专用于公司设备以及经过身份验证的员工。

对于访客访问,组织应部署一个由强制门户支持的专用 Guest WiFi SSID。这确保了不受管设备被隔离,同时仍允许企业通过 WiFi Analytics 平台捕获访客分析。要了解有关跨两个分段保护 DNS 基础设施的更多信息,请查看我们关于如何 使用强 DNS 和安全性保护您的网络 的指南。

解决 NPS 证书映射要求

对于使用已加入 Azure AD 的设备的 Microsoft 网络策略服务器 (NPS) 的组织,Microsoft 引入了一项关键的配置更改。NPS 现在要求强证书映射。

使用设备证书时,本地 Active Directory 中的计算机对象必须使用证书详细信息(通常是 X509IssuerSerialNumber)填充其 altSecurityIdentities 属性。IT 团队必须实施计划脚本或事件驱动的工作流程,以在 Intune 颁发新证书时更新此属性,否则身份验证将失败。

故障排除与风险缓解

当 802.1X 部署失败时,问题几乎总是出在证书链或 Intune 配置文件顺序上。

常见故障模式

  1. WiFi 配置文件静默失败:如果在客户端证书成功预配之前将 Intune WiFi 配置文件应用到设备,WiFi 配置文件通常将无法安装或静默失败。在对 WiFi 配置进行故障排除之前,始终验证设备个人存储(Windows 上的 certmgr.msc)中是否存在证书。
  2. 服务器信任验证错误:如果设备拒绝 RADIUS 服务器,请验证 Intune WiFi 配置文件中指定的服务器名称是否与 RADIUS 服务器证书上的使用者名称或 SAN 完全匹配。此外,确保整个证书链(根和中间)都在设备的受信任的根证书颁发机构存储中。
  3. 证书吊销列表 (CRL) 不可用:如果 RADIUS 服务器无法访问 CA 的 CRL 分发点以验证客户端证书状态,身份验证将被拒绝。确保 CRL URL 高度可用,并且 RADIUS 服务器可以访问它。

投资回报率与业务影响

通过 Intune 过渡到基于证书的 WiFi 身份验证可带来显著的运营和安全回报。

  • 风险缓解:消除了凭据收集、传递哈希攻击以及通过共享 PSK 进行的未经授权的网络访问的风险。
  • 运营效率:减少了与密码过期和 WiFi 连接问题相关的 IT 帮助台工单。自动化的生命周期管理意味着证书在无需用户干预的情况下透明地续订。
  • 合规支持:满足严格的法规要求。对于零售环境,它直接满足了 PCI DSS 对强健无线加密和身份验证的要求。对于公共部门和医疗保健,它符合零信任网络访问 (ZTNA) 原则。

通过利用 Microsoft Intune 进行证书部署,IT 团队可以实现一种在后台静默运行的无摩擦、高度安全的无线体验,使企业能够专注于核心运营。

Key Definitions

802.1X

一种 IEEE 标准,用于基于端口的网络访问控制,可防止未经授权的设备在成功进行身份验证之前访问 LAN 或 WLAN。

在企业环境中替代共享 WiFi 密码,采用企业级身份验证的基础安全协议。

EAP-TLS

可扩展身份验证协议 - 传输层安全。一种身份验证框架,要求客户端和服务器都使用数字证书证明其身份。

在 Intune WiFi 配置文件中配置的特定协议,用于强制执行相互证书身份验证,从而消除凭据被盗的风险。

SCEP

简单证书注册协议。一种机制,客户端设备生成自己的私钥,并通过中介服务器向 CA 请求证书。

BYOD 环境中首选的部署方法,因为私钥永远不会通过网络传输。

PKCS

公钥加密标准。在 Intune 上下文中,一种部署方法,其中 CA 生成私钥,Intune 连接器将其安全地传递给设备。

通常用于公司自有设备群的一种更简单的部署架构,因为它消除了对 NDES 服务器的需求。

NDES

网络设备注册服务。一种 Microsoft 服务器角色,充当代理,允许在没有域凭据的情况下运行的设备从 Active Directory 证书颁发机构获取证书。

在本地 ADCS 环境中通过 SCEP 部署证书时的必要基础设施组件。

RADIUS

远程身份验证拨入用户服务。一种网络协议,提供集中的身份验证、授权和计费 (AAA) 管理。

从 WiFi 接入点接收身份验证请求并验证设备证书的服务器(如 Microsoft NPS 或 Cisco ISE)。

Supplicant

最终用户设备(笔记本电脑、智能手机)上发起 802.1X 身份验证过程的软件客户端。

Intune WiFi 配置文件将本机 OS 请求者(例如 Windows WLAN AutoConfig)配置为使用正确的证书和 EAP 方法。

Certificate Revocation List (CRL)

由证书颁发机构发布的数字签名列表,包含已吊销且不再受信任的证书的序列号。

对于安全合规至关重要;RADIUS 服务器必须检查 CRL 以确保连接设备没有被报告丢失或被盗。

Worked Examples

一家拥有 400 个门店的零售连锁店正在部署用于库存管理的公司自有平板电脑。这些设备完全通过 Intune 管理并加入了 Azure AD。它们需要在启动后立即获得网络访问权限,以便在任何特定用户登录之前同步库存数据库。网络基础设施使用 Cisco ISE 作为 RADIUS 服务器。最佳的证书部署策略是什么?

IT 团队应实施 PKCS 设备证书。

  1. 在 CA 上配置设备证书模板。
  2. 通过 Intune 将根 CA 证书部署到平板电脑。
  3. 在 Intune 中创建 PKCS 证书配置文件,将使用者名称格式设置为 Azure AD 设备 ID({{AAD_Device_ID}})。
  4. 创建一个指定 EAP-TLS 的企业 WiFi 配置文件,引用 ISE 服务器的证书名称和已部署的 PKCS 配置文件。
  5. 将所有配置文件分配给包含平板电脑的设备组。
Examiner's Commentary: 这里使用 PKCS 是合适的,因为这些设备是公司自有且完全管理的,降低了与私钥传输相关的风险。设备证书是必需的,因为平板电脑需要在用户登录之前访问网络。通过使用 Azure AD 设备 ID,Cisco ISE 可以验证特定的硬件资产并将其分配到正确的受限库存 VLAN。

一家大型教学医院允许医务人员使用其个人智能手机 (BYOD) 访问临床排班应用程序。这些设备通过工作配置文件在 Intune 中注册。安全策略要求不得在个人设备上存储公司凭据,并且如果设备遭到入侵,必须立即撤销网络访问权限。应如何设计 WiFi 身份验证?

医院必须实施结合 Intune 符合性策略的 SCEP 用户证书。

  1. 部署 NDES 服务器以代理请求到 CA。
  2. 在 Intune 中创建 SCEP 用户证书配置文件,将 SAN 配置为用户主体名称 ({{UserPrincipalName}})。
  3. 创建一个要求最低操作系统版本、启用屏幕锁定且无越狱/root 访问的 Intune 符合性策略。
  4. 配置 CA 以发布高可用的证书吊销列表 (CRL)。
  5. 配置 RADIUS 服务器以在每次身份验证尝试时严格执行 CRL 检查。
Examiner's Commentary: SCEP 是 BYOD 唯一可接受的选择,因为私钥在个人设备上生成且无法被拦截。需要用户证书来将网络活动与特定临床医生联系起来,以进行 HIPAA/GDPR 审计。关键组件是与 Intune 符合性策略的集成;如果设备变得不符合,Intune 可以触发证书吊销,并且 RADIUS 服务器的 CRL 检查将立即阻止网络访问。

Practice Questions

Q1. 您的组织正在将企业 WiFi 从 PEAP-MSCHAPv2(用户名/密码)迁移到 EAP-TLS。在试点阶段,几台 Windows 11 笔记本电脑成功接收了 Intune 配置文件,但无法连接到网络。查看 Windows 事件日志显示事件 ID 20271,指示 RADIUS 服务器证书被拒绝。最可能的原因是什么?

Hint: 考虑相互身份验证所需的信任链。

View model answer

设备缺少颁发 RADIUS 服务器证书的受信任的根 CA 证书。在 EAP-TLS 中,设备必须验证 RADIUS 服务器的身份。IT 团队必须确保包含根 CA(以及任何中间 CA)的“受信任的证书”配置文件通过 Intune 部署到设备,并在 WiFi 配置文件尝试连接之前成功安装。

Q2. 一个公共部门场所正在使用 Intune 和 PKCS 证书为员工设备部署 802.1X。他们还运营着一个由 Guest WiFi 平台管理的单独访客网络。审计员指出,如果员工笔记本电脑被盗,证书仍然有效 12 个月。网络架构师应如何应对这一风险?

Hint: 身份验证服务器如何在证书过期前知道证书不再有效?

View model answer

架构师必须实施健壮的证书吊销工作流程。首先,确保 CA 将证书吊销列表 (CRL) 发布到高可用的分发点。其次,配置 RADIUS 服务器(例如 NPS)以在每次身份验证尝试时强制进行 CRL 检查。最后,建立 Intune 操作程序,以明确吊销标记为丢失或被盗的任何设备的证书,从而更新 CRL 并阻止网络访问。

Q3. 您正在为零售环境中的共享信息亭设备群设计 Intune 部署。这些设备每天重新启动,并且必须在任何用户与它们交互之前立即连接到公司网络以下载更新。您应该部署用户证书还是设备证书,以及应使用什么使用者备用名称 (SAN) 格式?

Hint: 考虑设备重启后立即的状态。

View model answer

您必须部署设备证书。由于信息亭需要在用户登录之前访问网络,因此在启动时用户证书将不可用。Intune 证书配置文件中的使用者备用名称 (SAN) 应配置为使用 Azure AD 设备 ID ({{AAD_Device_ID}}) 或设备的完全限定域名,从而允许 RADIUS 服务器验证特定的硬件资产。

如何使用 Microsoft Intune 向设备推送 WiFi 证书 | Technical Guides | Purple