隨機 MAC 位址：重拾 WiFi 分析的主導權

您的場域非常繁忙。大廳擠滿了人，咖啡廳的排隊隊伍排到了門口，而您的 WiFi 儀表板顯示回訪訪客數量急劇下降。昨天連線過的裝置，今天看起來就像是全新的一樣。 Captive Portal 工作階段不斷重複出現。人流量趨勢無故起伏不定。

這通常是團隊開始歸咎於分析平台、AP 供應商或不好的韌體版本的時候。在許多環境中，實際的轉變更為簡單。客戶端現在預設會隨機化 mac address（mac 位址），而網路仍然試圖將 MAC 位址視為穩定不變的識別身分。

這種不匹配不僅會破壞報表，還會影響存取控制、原則執行、疑難排解和訪客體驗。而且這種趨勢不會消失。隱私功能現在已內建於主流作業系統中，且正發揮其設計初衷的作用：讓跨網路的裝置追蹤變得更加困難。

實際的應對方法並非永遠與這項功能對抗，而是要體認到 MAC 位址已不再是現代 WiFi 可靠的主索引鍵（primary key），進而圍繞更強大的身分訊號進行重新設計。這正是 Passpoint 、 OpenRoaming 、憑證式註冊（certificate-based onboarding）和支援目錄的存取控制發揮作用的地方。

消失裝置的神秘案件

週一早上，訪客 WiFi 的數據看起來不對勁。回訪訪客減少，新裝置增加，且客服中心排滿了發誓上週就已經完成註冊的用戶。在飯店、零售園區、醫院和多住戶住宅區中，我見過這種模式每次都引發相同的反應。團隊開始檢查控制器、captive portal 日誌和韌體說明，即使 WLAN 的運作通常完全符合設計。

改變的是身分訊號。客戶端裝置仍然會出現，但它們不再提供您可以視為永久的硬體位址。一隻手機在不同的掃描、關聯或 SSID 之間，可能會呈現不同的 MAC 值，這取決於運行的平台和隱私設定。

這在不正確的地方破壞了信任。如果網路仍然將 MAC 位址視為主索引鍵，使用者的一般行為看起來就會像是流失、重新註冊或原則失效。

管理員通常最先注意到的跡象

最初的線索通常是維運上的，而非理論上的：

重複訪客計數產生偏差： 熟悉的裝置看起來像新裝置，導致分析過度估計獲客率，並低估了忠誠度。
Captive Portal 提示重複出現： 使用者重新連線，卻被視為首次訪問的訪客，因為位址已與原始工作階段不符。
基於 MAC 的原則運作不一致： 綁定至特定位址的規則在用戶端輪替身分後失效。
疑難排解變慢： 支援團隊會看到單一手機的多個裝置紀錄，浪費時間追蹤錯誤的歷程記錄。

網路仍繼續承載用戶端。只是不再具有穩定的 MAC 型方式來識別它。

為什麼這超出了分析範圍

這不只是一個報告問題。一旦位址輪替變得常態化，依賴 MAC 的控制很快就會顯得過時。DHCP 保留、MAC 驗證繞過、裝置白名單、某些 NAC 設定檔分析方法以及較舊的訪客工作流程，全部都依賴許多現代用戶端已不再提供的連續性。

這並不代表 MAC 隨機化是個錯誤。它解決了真實的隱私問題，特別是在過去被動追蹤過於容易的公共 WiFi 中。營運上的問題在於，許多網路是圍繞著作業系統現在視為可丟棄的識別碼來構建的。

解決方案在於架構。僅在仍然有幫助的情況下使用 MAC 位址，然後將存取控制和策略轉移到更強大的身分識別訊號，例如憑證、使用者驗證、裝置狀態、Passpoint 設定檔以及 OpenRoaming 等同盟模型。如果您目前的設計仍然嚴重依賴靜態硬體身分，請檢視 WiFi 上的 MAC 位址驗證在何處開始失效，以及基於身分識別的註冊在何處能為您提供更乾淨的策略、更好的可稽核性和更可靠的分析。

適應該模型的網路將不再追蹤消失的裝置，而是開始追蹤已驗證的使用者、受信任的裝置和有效的作業階段。

什麼是 MAC 位址隨機化

出廠 MAC 位址就像是製造時印製的永久名牌。MAC 位址隨機化則是裝置選擇配戴的可丟棄識別證，如此一來，附近的網路就無法輕易追蹤其從一個場域到另一個場域的行蹤。

簡單來說，這就是隱私案例。公共 WiFi 營運商、廣告商和第三方過去高度依賴穩定的 MAC 進行被動識別。隨機化藉由將硬體位址替換為本機管理的位址來降低這種能見度。

A close-up of a security guard uniform displaying a digital holographic MAC address next to an ID badge.

如何辨識隨機化位址

有一個大多數管理員可以立即使用的快速技術線索。隨機化的 MAC 位址可以被識別，因為其第二個十六進位數字將會是 2, 6, A 或 E，如 Mist 的 MAC 位址隨機化指南中所示。相同的指南指出，預期製造商分配的 OUI 的舊版策略，在面對這些位址時將會遭遇 100% 的遭拒率。

範例：

92:B1:B8:42:D1:85 表示本機管理的位址
第二個十六進位字元是辨識關鍵
這點至關重要，因為基於 OUI 的假設已不再適用

如果您的 WLAN 控制器、NAC 平台或 RADIUS 紀錄能在加入時顯現用戶端的 MAC，您通常可以快速篩選出此模式。

為什麼舊版 WiFi 設計會失效

舊版 WiFi 設計假設 MAC 位址能持續代表一部裝置，並以此作為存取與策略的依據。這也是為什麼許多環境仍將其用於：

存取決策：MAC ACL 與 MAC 驗證繞過
位址管理：靜態 DHCP 對應
區隔捷徑：特定裝置的 VLAN 或角色指派
舊版註冊：簡單的預共用金鑰對應

當硬體識別碼保持不變時，這些工作流程是合理的。但當用戶端因設計而隨機化時，這些工作流程就無法維持。

若要更詳細了解這與舊版註冊在何處產生衝突，這篇 WiFi 的 MAC 位址驗證指南是實用的輔助閱讀資料。

實用規則：如果您的策略依賴製造商 OUI，請假設它會誤判啟用了隱私保護的用戶端裝置。

各裝置間隨機化技術的演進

這項轉變並非同時影響所有的 WLAN。在掃描隨機化時代建立的網路可能在多年內都看起來運作良好，但在例行更新手持裝置後，就開始出現重複裝置、重新註冊失敗和吵雜的分析數據。基礎設施保持不變，是用戶端的身分識別模型改變了。

A timeline infographic illustrating the evolution of MAC address randomization technology from 2014 to the 2020s.

從掃描隱私到連線身分識別

早期的 MAC 隨機化主要保護探測流量。裝置在搜尋網路時會遮蔽身分，一旦加入後，通常會使用穩定的位址。這雖然仍會破壞被動式人流量分析和某些定位服務，但許多實際運作的 WLAN 策略得以倖存，因為關聯的用戶端 MAC 對於存取控制來說仍足夠可預測。

重大的維運中斷發生在稍後，當時主要的用戶端平台開始將隨機化套用到關聯階段，作為預設的隱私行為。此時，MAC 不再是註冊、執行和報告的可靠依據。以前容忍隨機探測的管理員，突然必須處理即時工作階段上的隨機身分。

這項差異非常重要。探測隨機化主要影響觀察者。關聯隨機化則會影響您每天依賴的系統。

作業系統也採取了不同的路線。Apple 早期就推動了強大的隱私預設設置並持續改進。Android 也採用了相同的大方向，但其行為仍因廠商、晶片組和管理策略而異。Windows 通常是最複雜的，尤其是在管理型企業 SSID 與非管理型訪客或家用網路之間移動的筆記型電腦。

截至 2026 年各作業系統的 MAC 隨機化行為

作業系統	預設行為	隨機化範圍	管理員注意事項
iOS	現代 WiFi 網路上預設啟用	通常每個 SSID 固定不變	強大的隱私預設設置。除非對 SSID 進行明確管理，否則傳統基於 MAC 的控制通常會失敗。
Android	現代版本上預設啟用	通常每個 SSID 不同，且因裝置和策略而異	廠商差異至關重要。請分別測試 Samsung、Pixel、Zebra 和其他裝置群組類型。
Windows 10 and 11	因設定檔和裝置功能而異	可基於設定檔，並提供選用的輪替行為	注意混合用途的筆記型電腦。企業 SSID 可能需要管理型設定，而訪客 SSID 則可保持隱私友善。

為什麼時間表在營運上至關重要

許多企業設計仍反映了過渡時期的假設。團隊可能只記得隨機化「主要是掃描問題」，而低估了新作業系統版本將私有 MAC 納入正常關聯行為後所帶來的變化。這就是為什麼傳統的 MAB 工作流程、特定裝置的 DHCP 保留以及與 MAC 綁定的訪客記錄，在用戶端停止配合後仍長期處於生產環境中的原因。

這也是更廣泛隱私趨勢的一部分，而不是孤立的 WiFi 特性。 Apple's iCloud Private Relay privacy model 指向了相同的方向。終端廠商正在減少整個技術棧中的被動識別碼，這意味著網路團隊需要能夠在這種轉變中生存下來的身分識別方法。

實際的應對方法並不是在設計中強行恢復永久性硬體識別。而是將信任決策向上移動到技術棧中。Passpoint、基於憑證的註冊和 OpenRoaming 為管理員提供了一種穩定識別使用者和裝置的方法，而無需依賴現代平台越來越視為私有的出廠 MAC。

如果 WiFi 設計依賴永久硬體位址來識別用戶端，那麼該設計正在過時。與試圖重新奪回 MAC 可見性相比，基於身分識別的存取為您提供了一條更乾淨的路徑。

隨機化如何干擾網路營運

最直接描述這種損害的方式如下：隨機化切斷了「看見裝置」與「識別裝置」之間的舊有捷徑。一旦這個捷徑消失，幾種常見的運作實踐就會同時崩解。

根據 CUJO 對網路服務營運商受影響情況的分析，超過 30% 的行動裝置預設啟用 MAC 隨機化，這在實體裝置與其回報的 MAC 之間建立了一對多關係，進而使不重複裝置計數變得複雜，並干擾了數據分析與個人化服務。

A concerned IT professional staring at a digital network visualization on a computer monitor in an office.

不再可靠的安全控制措施

首當其衝的通常是基於 MAC 的控制措施：

MAC ACL 失去意義：裝置可能會呈現與您核准的地址不同的地址。
MAB 類型的流程變得脆弱：白名單的穩定性完全取決於其所包含的識別碼。
靜態 DHCP 保留失效：保留項目屬於用戶端可能不再使用的地址。
傳統 iPSK 對應支離破碎：單一使用者或單一手機可能看起來像多個端點。

這類故障通常不會有明顯的警示，這也正是它在維運上成本高昂的原因。團隊會看到間歇性的存取抱怨、原則不匹配或裝置角色套用不一致，而根本原因往往隱藏在表象之下的一層。

信任難度提高的分析數據

對於場域而言，分析數據受到的衝擊往往是最顯而易見的業務問題。客流量、停留時間、回訪率和動線分析，都仰賴對重複觀測屬於同一實體的某種信心。隨機化削弱了這種信心。

購物中心可能依然有龐大的流量，但重複造訪率看起來可能偏低，因為先前熟悉的裝置現在以全新的識別碼出現。飯店可能會誤以為網路上的首次入住旅客比實際情況更多。醫療場所可能難以清晰區分員工移動與訪客活動。

如果您的團隊依賴定位與行為報告，這份 WiFi 分析指南對於最可能受到影響的指標是個實用的參考資源。

隱藏在眼前的使用者體驗問題

一些最棘手的問題就發生在驗證的邊緣：

Captive Portal 可能會出乎意料地重新提示使用者
重新驗證流程在多次造訪之間變得不一致
由於昨天的 MAC 不是今天的 MAC，導致疑難排解變得更加緩慢
裝置歷史記錄在服務台紀錄中變得支離破碎

營運團隊通常會將此描述為「不穩定的 WiFi」，但實際上射頻訊號運作正常，真正的問題在於識別身分的連續性。

可行的偵測與緩解技術

如果您不先將問題量化，就無法將資產進行現代化。當前的目標並不是要消除隨機化，而是要找出它在何處出現、哪些工作流程依賴穩定的 MAC，以及哪些 SSID 暴露的風險最高。

從您已在執行的工具中進行偵測開始

大多數企業級 WLAN 堆疊都已經提供了足夠的遙測數據來辨識隱私位址。在 Meraki、Aruba、Mist、Ruckus 和類似的平台中，檢查用戶端清單、驗證失敗和工作階段歷史記錄，以尋找本地管理的 MAC 模式。如果您使用 NAC 或策略引擎，請將其與 RADIUS 記錄進行配對。

尋找以下三點：

十六進位第二位數為 2、6、A 或 E 的用戶端
與同一使用者相關但 MAC 不同且重複出現的註冊失敗
SSID 特有的異常，特別是在訪客、BYOD 和共享住宅網路上

簡單的內部審查通常會發現，隨機化的分佈並不均勻。訪客 SSID 通常最先顯現此現象。當未管理或輕度管理的裝置加入時，員工 SSID 也會開始出現痛點。多租戶環境通常受到的打擊最為嚴重，因為網路試圖同時支援消費型裝置和策略執行。

決定在何處進行封鎖是合情合理的

許多團隊接著會問相同的問題。我們應該封鎖隨機 MAC 嗎？坦白說，在少數特定情況下，這可以作為一種有用的臨時控制手段，但這並不是一個好的長期策略。

在以下情況下，封鎖可能有所幫助：

企業 SSID 需要嚴格的受管理裝置狀態
您需要在部署替代方案的同時保留舊有的工作流程
基於合規或營運原因，特定裝置類別必須使用已知且固定的識別身分

在以下情況下，封鎖通常會適得其反：

該 SSID 是公開、面向訪客或高流失率的
使用者不易理解如何停用該功能
您的支援服務台沒有足夠的能力去指導每一種 OS 變體
您需要的是無摩擦存取，而不是另一個例外路徑

其間的權衡很簡單。封鎖可以恢復部分控制權，但這通常會降低使用者體驗，並產生可以避免的支援開銷。

目前有效的戰術緩解措施

如果能為適當的重新設計爭取時間，短期緩解措施是值得採用的：

按使用案例進行區隔： 將受管理的員工存取與訪客和 BYOD 存取分開。
在您控制裝置的地方使用 MDM：在企業 SSID 上，推送網路設定檔，而不是依賴使用者手動變更隱私設定。
淘汰依賴 MAC 的假設：審計 DHCP 保留、NAC 捷徑和裝置專用規則。
記錄例外工作流程：如果醫療裝置、印制機或控制台需要穩定的身分識別，請將其視為特定例外，而不是預設模型。

這些修正都無法解決根本的身分識別問題。它們只是防止問題蔓延到營運的每個角落。

擁抱以身分識別為基礎的網路未來

對應 MAC 隨機化最強大的方法是停止將 MAC 位址視為信任的中心。這是根本的設計轉變。以身分識別為基礎的網路將決策點從可變的硬體權杖轉移到網路可以信賴的事物上：使用者、憑證、目錄物件、裝置安全狀態決策，或是同盟上線狀態。

A young woman undergoing a digital biometric facial recognition scan with an access granted overlay display.

為什麼 Passpoint 與 OpenRoaming 改變了局勢

因此，Passpoint 和 OpenRoaming 不僅僅是便利功能。它們減少了對 Captive Portal 和共用密碼的依賴，並讓網路在舊的訪客工作流程開始之前就做出信任決策。

這很關鍵，因為 72% 的英國行動裝置現在預設會隨機化 MAC，而缺乏適當支援的網路可能會遇到高達 40% 的首個封包驗證失敗。同一份 IETF 草案指出，使用 ANQP 隨機化提示實作 Hotspot 2.0 可以減少 35% 的重新關聯，這就是為什麼規劃訪客和住宅環境的架構師值得仔細研讀關於 MAC 位址隨機化的 IETF 草案的原因。

Passpoint 將模型從「這個 MAC 是誰？」轉變為「此裝置是否具有此網路的有效上線關係？」。這是一個好得多的問題。

現代設計的外觀

實用的架構通常具有以下特點：

訪客存取使用 Passpoint 或 OpenRoaming：使用者只需驗證一次，並在再次造訪時從第一個封包開始就獲得加密連線。
員工存取使用目錄支援的身分識別：Microsoft Entra ID、Google Workspace 或 Okta 可以圍繞個人和託管裝置狀態來錨定存取。
憑證在可能的情況下取代共用密鑰：它們的擴充性更好，而且比綁定 MAC 的邏輯更能乾淨地適應隱私變更。
舊型裝置可獲得受控的例外通道：iPSK 對於印表機、IoT 和不易設定的端點仍有其發揮空間，但不應讓它定義您整個存取模型的樣貌。

為什麼這比試圖恢復隱私設定更有效

您可以花幾個月的時間說服使用者關閉隱私功能、為每種手機型號撰寫知識庫文章，並在每次作業系統更新後疲於奔命地處理不一致的行為。或者，您可以將網路轉移到一種預設用戶端會保護其身分的設計模式中。

第二條路徑更具永續性，同時也能提升安全性。共用密碼、脆弱的 Captive Portal 和 MAC 查找一直以來都是折衷妥協的作法。隨機化只是揭露了這些折衷妥協有多麼脆弱。

我們的目標不是恢復舊有的可視性模型。我們的目標是建立一個不再需要該模型的網路。

關於 MAC 隨機化常見問題

MAC 隨機化能提高安全性，還是只提升隱私性

主要是隱私性。它藉由隱藏永久硬體位址來協助防止跨網路的追蹤。它不會自動證明使用者是受信任的、裝置是合規的或連線階段是安全的。這就是為什麼身分識別、憑證和姿態控制（posture control）仍然至關重要的原因。

我們應該要求使用者停用它嗎

僅在少數情況下需要。對於企業 SSID 上的託管員工裝置，如果該設定是透過 MDM 推送並與明確的原則綁定，這會是合理的。但對於訪客、住戶或臨時訪客，要求使用者停用隱私功能通常會帶來糟糕的體驗和支援負擔。

為什麼學生宿舍和新建租賃住宅（Build-to-Rent）受到的衝擊如此巨大

因為這些環境通常混合了消費型裝置、舊型引導流程以及高度敏感的支援服務需求。在英國，新建租賃住宅和學生宿舍的 WiFi 存取客訴激增了 31%，其中 55% 與隨機 MAC 導致 iPSK 原則碎裂化有關，資料來源請參考這篇關於隨機 MAC 位址問題的指南。

在多租戶環境中，什麼方法最有效

將問題分流處理。針對住戶和員工採用基於身分識別的引導流程，嚴格控管舊型的例外狀況，並避免圍繞著持續性 MAC 可視性來進行設計。一個站點對 iPSK 作為萬用解答的依賴度越高，隨著用戶端隱私功能的不斷擴展，它就會變得越脆弱。

如果您正在重新思考訪客、員工或多租戶 WiFi，想以身分識別取代硬體位址， Purple 正是為此轉變而設計。它支援 Passpoint 和 OpenRoaming，並與 Entra ID、Google Workspace 和 Okta 整合，協助將共用密碼與 Captive Portal 的繁瑣流程替換為安全的無密碼存取，適用於餐旅、零售、醫療保健、交通和住宅等環境。

隨機 MAC 位址：重拾 WiFi 分析的主導權