無需 Active Directory 或地端伺服器的企業級 WiFi 驗證
本指南說明如何在沒有地端 Active Directory、Windows NPS 或 RADIUS 伺服器的情況下,部署安全的 WPA2/3-Enterprise WiFi 驗證。內容涵蓋雲端身分識別提供者與 802.1X 之間的協定不匹配問題、採用 EAP-TLS 優於 PEAP-MSCHAPv2 的理由,以及如何針對 Microsoft Entra ID、Okta 或 Google Workspace 部署結合 MDM 發行憑證的雲端 RADIUS。專為準備淘汰地端基礎架構、以雲端優先且大量使用 Mac/Chromebook 的企業 IT 主管所撰寫。
收聽此指南
查看播客逐字稿
📚 核心系列的一部分:企業級 WiFi 安全與驗證:完整指南 →
執行摘要
大多數組織已將其身分識別移至雲端。Microsoft Entra ID、Okta 和 Google Workspace 現在負責管理電子郵件、SaaS 應用程式和裝置管理的用戶、群組和存取策略。但企業級 WiFi 的發展並未跟上步伐。無線基地台(Access Point)仍需要 RADIUS 伺服器,而該 RADIUS 伺服器在歷史上一直是連接到本地端 Active Directory 網域控制站的 Windows 網路原則伺服器(NPS)。
這種不匹配迫使 IT 團隊純粹為了維持 WiFi 運作而維護多餘的本地端基礎架構。解決方案是雲端 RADIUS:一種完全託管的驗證服務,它對您的無線基地台使用 RADIUS 協定,並對您的雲端身分識別提供者使用 OAuth2、SCIM 和 SAML。將其與透過 MDM 進行的 EAP-TLS 憑證派發相結合,您就擁有了一個完整的 802.1X 部署,無需本地端伺服器、無需作業系統修補,且能直接與您的雲端目錄連動,實現即時存取權限撤銷。
Purple 在全球 80,000 多個場域營運雲端 RADIUS,擁有 99.999% 的運作時間(Purple 內部數據,2024 年),並與 Microsoft Entra ID、Okta 和 Google Workspace 進行原生整合。您可以在不到一小時的時間內,在現有的 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 或 Fortinet 無線基地台上手上線運作。
技術深度剖析
問題核心的協定不匹配
根本性的挑戰在於雲端身分識別提供者和 WiFi 無線基地台使用的是完全不同的語言。Microsoft Entra ID(前身為 Azure AD)透過 SAML、OIDC 和 OAuth2(瀏覽器和 SaaS 應用程式使用的協定)來驗證用戶。WiFi 無線基地台則使用 RADIUS(遠端用戶撥入驗證服務,RFC 2865),這是一種在 1990 年代為撥接和 VPN 設計的、基於 UDP 的協定。Microsoft 從未為 Entra ID 提供過原生 RADIUS 端點。您無法將 Meraki 或 Aruba 無線基地台直接指向 Azure 並期望 802.1X 能夠運作。
這就是每個雲端優先的 IT 團隊在嘗試使用 WPA2-Enterprise 或 WPA3-Enterprise 保護員工 WiFi 時所面臨的瓶頸。必須有某種機制來橋接無線基地台與雲端身分識別提供者之間的差距。而這個機制就是雲端 RADIUS。
為什麼 PEAP-MSCHAPv2 在沒有 Active Directory 的情況下會失敗
歷史上,802.1X 部署依賴於 PEAP-MSCHAPv2(受保護的擴充驗證協定搭配 Microsoft 挑戰握手驗證協定版本 2)。用戶輸入其用戶名稱和密碼,無線基地台將請求轉發給 RADIUS 伺服器,然後 RADIUS 伺服器根據儲存在 Active Directory 中的 NTLM 雜湊值來驗證密碼。
Microsoft Entra ID 並不儲存 NTLM 雜湊值。這並非設定上的漏洞,而是刻意為之的架構決策。Entra ID 是一個現代化的雲端身分識別提供者,而非網域控制站。因此,指向 Entra ID 的 RADIUS 伺服器無法驗證 PEAP-MSCHAPv2 挑戰。要讓 PEAP 與 Entra ID 協同運作,唯一的方法是部署 Entra Domain Services(這是一種從 Entra ID 進行同步的付費託管型 Active Directory),然後針對該服務執行 NPS。這會重新引入您原本試圖消除的大部分要素:Windows Server 虛擬機器、作業系統修補、NTLM 雜湊值儲存以及手動憑證管理。
EAP-TLS:雲端優先組織的正確解答
EAP-TLS(可延伸驗證通訊協定-傳輸層安全性,RFC 5216)以 X.509 數位憑證取代了密碼。裝置會向 RADIUS 伺服器出示憑證。RADIUS 伺服器會根據受信任的憑證授權單位 (CA) 驗證該憑證。由於交換過程中不含密碼,RADIUS 伺服器不需要 NTLM 雜湊值儲存庫。它只需要信任該 CA,並在身分識別提供者中檢查使用者的群組成員資格,即可套用正確的 VLAN 和存取原則。
EAP-TLS 在設計上即具備防網路釣魚功能。因為沒有可供竊取的憑證資訊。它符合 CISA 關於防網路釣魚多因素驗證的指引,並符合 PCI DSS 對於處理持卡人資料之網路進行強式驗證的要求。這是 IEEE 802.1X 針對託管裝置群所推薦的驗證方法。
雲端優先的 802.1X 驗證架構:裝置透過 EAP-TLS 經由 Purple 的雲端 RADIUS 進行驗證,該 RADIUS 會驗證憑證並套用來自 Entra ID、Okta 或 Google Workspace 的群組原則。
MDM 如何取代地端 CA
在傳統的 802.1X 部署中,憑證是由執行 Active Directory 憑證服務 (AD CS) 的地端憑證授權單位所發行。在雲端優先的部署中,MDM 會使用 SCEP(簡單憑證登錄協定)來接管此角色。Microsoft Intune、Jamf Pro 和其他 MDM 平台可以向雲端託管的 CA 請求憑證,並在背景自動將其推送到託管裝置。
其工作流程如下。IT 管理員在 MDM 中建立一個 SCEP 憑證設定檔,其範圍限定在需要 WiFi 存取權限的裝置群組。MDM 會自動將憑證推送到 Windows、macOS、iOS、iPadOS、Android Enterprise 和 ChromeOS 裝置。使用者不會察覺任何異狀。該憑證會與 MDM 中的裝置身分識別綁定,並在到期前自動更新。當裝置連線到 WiFi 時,它會向雲端 RADIUS 伺服器出示該憑證,伺服器會根據 CA 驗證該憑證並套用正確的網路原則。
對於使用 Microsoft Intune 的組織,Microsoft Cloud PKI 提供了一個與 Intune SCEP 設定檔直接整合的完全託管 CA,從而消除了對內部部署 NDES(網路裝置註冊服務)伺服器的需求。對於 Jamf 託管的 Mac 和 iOS 裝置群,Jamf 的內建 CA 或第三方雲端 CA 也能達到相同的目的。
SCIM 與即時存取權限撤銷
雲端 RADIUS 在營運上最重要的方面之一是 SCIM(跨網域身分識別管理系統)佈建。SCIM 是一種開放標準,可將身分變更從單一事實來源(您的雲端身分識別提供者)即時推送到相依系統。當員工在 Entra ID 或 Okta 中被停用時,SCIM 會立即將該變更推送到雲端 RADIUS 服務。下次裝置嘗試進行驗證時,RADIUS 伺服器將傳回 Access-Reject。透過在存取點上設定較短的工作階段逾時,裝置將在帳戶停用後幾分鐘內被移出網路。
與共享 PSK 網路相比,這是一項實質性的安全性改進,因為在共享 PSK 網路中,撤銷存取權限的唯一方法是變更所有裝置上的密碼;而與依賴定期 LDAP 同步(同步窗口長達數小時或數天)的傳統 RADIUS 部署相比,這也是一項重大進步。
RadSec:保護網際網路上的 RADIUS 流量
傳統 RADIUS 使用 UDP,且僅提供基本訊息驗證。當您的 RADIUS 伺服器與存取點位於同一個資料中心時,這是可以接受的。當您的 RADIUS 伺服器是雲端服務時,驗證流量會穿越公共網際網路。RadSec(基於 TLS 的 RADIUS,RFC 6614)使用 TLS 加密 RADIUS 交換,為驗證流量提供機密性和完整性。Purple 原生支援 RadSec,並針對尚不支援 RadSec 的存取點提供 IPsec 備用方案。
實作指南
使用 EAP-TLS 部署雲端 RADIUS 需要四個協調步驟。如果 Entra ID 和 MDM 已經就緒,試點 SSID 可以在一小時內上線。
步驟 1:將雲端 RADIUS 連接到您的身分識別提供者
透過 OAuth2 管理員同意(適用於 Entra ID)或 API 權杖(適用於 Okta 和 Google Workspace)將 Purple 連接到您的身分識別提供者。這會授權 Purple 從目錄中讀取使用者、群組和群組成員資格。設定 SCIM 佈建以即時將使用者狀態變更推送到 Purple。磁碟上不會儲存任何服務主體認證。群組變更會在下一次驗證事件時傳播,而不是按照同步排程進行。
步驟 2:設定您的 MDM 和 SCEP 設定檔
在 Microsoft Intune 中,為 CA 根憑證建立「信任的憑證設定檔」,然後建立一個指向 Purple 託管 CA 的 SCEP 憑證設定檔。將這兩個設定檔的範圍限制在需要 WiFi 存取權限的裝置群組。對於 Jamf,請在組態設定檔中設定 SCEP 承載資料。MDM 會在背景自動推送憑證。在繼續之前,請在 MDM 合規性儀表板中驗證憑證傳遞情況。
步驟 3:在雲端 RADIUS 儀表板中定義網路原則
建立將身分識別提供者群組對應至特定 VLAN 和存取控制的 RADIUS 原則。例如,將 Entra ID 群組「Staff-Finance」對應至具有完整網際網路存取權限的 VLAN 20,並將「Staff-Contractors」對應至具有自動過期時間限制存取權限的 VLAN 30。Purple 的儀表板會在驗證時套用這些原則,無需變更防火牆。
步驟 4:更新無線基地台設定
更新無線基地台上的 SSID 設定,以使用支援 802.1X 的 WPA2-Enterprise 或 WPA3-Enterprise。輸入 Purple 雲端 RADIUS 主要和次要端點的主機名稱或 IP 位址,以及共用金鑰。將無線基地台設定為根據 Purple 傳回的 RADIUS 屬性使用動態 VLAN 分配。在整個場域部署之前,先在部分無線基地台上使用單一 SSID 進行測試。
雲端 RADIUS 與地端 RADIUS:在部署時間、Active Directory 依賴性、高可用性、作業系統修補、身分識別整合以及憑證生命週期管理方面的直接比較。
最佳實踐
這些建議反映了 IEEE 802.1X 標準、PCI DSS v4.0 要求,以及 Purple 在全球超過 80,000 個場域的營運經驗。
針對託管裝置強制執行 EAP-TLS。 密碼容易受到網路釣魚和認證填充攻擊。憑證可提供身分識別和裝置合規性的密碼學證明。EAP-TLS 是唯一在設計上具備防網路釣魚能力的 802.1X 方法。
使用 SCIM 進行即時撤銷。 定期的 LDAP 同步會留下一個時間差,讓已離職的員工仍能保有網路存取權限。SCIM 可確保在身分識別提供者中停用帳戶的瞬間,立即撤銷其存取權限。
部署多區域 RADIUS。 為您的無線基地台設定至少兩個位於不同地理區域的 RADIUS 端點。Purple 預設提供主動-主動(active-active)多區域容錯移轉,並可在數秒內完成容錯移轉。
使用動態 VLAN 進行流量區隔。 利用身分識別提供者群組成員資格,動態地將使用者分配到特定的 VLAN。這能隔離敏感流量,並在無需手動變更防火牆的情況下,限制受駭裝置的影響範圍。
啟用 RadSec。 如果您的無線基地台支援 RadSec,請啟用它以加密無線基地台與雲端 RADIUS 伺服器之間的驗證流量。這對於無線基地台位於非信任網路區段的分支機構和場域尤為重要。
監控憑證生命週期。 將 MDM 自動更新設定為在憑證生命週期的 80% 時觸發。對於一年期的憑證,更新程序會在第 10 個月開始。針對在憑證過期前未能成功更新的裝置發出警報。 若要深入瞭解企業級 WiFi 安全標準與架構,請參閱我們的 企業級 WiFi 安全:2026 年完整指南 。
疑難排解與風險緩釋
轉移至雲端 RADIUS 會引入新的相依性。在影響生產環境之前,請先針對以下常見的故障模式做好準備。
憑證過期。 如果裝置憑證在 MDM 更新之前過期,裝置將會無聲無息地驗證失敗。使用者只會看到連線錯誤,卻沒有任何說明。緩釋措施:將 MDM 自動更新設定在憑證壽命的 80% 時進行,並監控 MDM 合規儀表板以找出憑證即將過期的裝置。
MDM 同步失敗。 未遵守 MDM 合規性或未成功回報的裝置可能無法收到更新的憑證。請實施合規性政策以標記異常裝置,並在憑證過期前向管理員發出警報。
防火牆阻擋 RADIUS 流量。 存取點必須能夠透過 UDP 連接埠 1812(驗證)和 UDP 連接埠 1813(計費),或透過 TCP 連接埠 2083(RadSec)連線至雲端 RADIUS 端點。分支機構的輸出防火牆規則經常會阻擋這些連接埠。在部署前,請先從存取點管理 VLAN 測試連線能力。
SCIM 佈建失敗。 如果身分識別提供者與 Purple 之間的 SCIM 連線中斷,使用者狀態變更將無法傳播。請同時在身分識別提供者和 Purple 儀表板中監控 SCIM 同步狀態。針對同步失敗設定警報。
不支援憑證的舊型裝置。 物聯網(IoT)裝置、印表機和較舊的硬體可能不支援 EAP-TLS。針對這些裝置,請使用 iPSK(個人預先共用金鑰),而非共用的 PSK。Purple 原生支援 iPSK,可為每台裝置分配唯一的金鑰,並將每台裝置置於正確的 VLAN,而無需 802.1X 請求方(supplicant)支援。
投資報酬率(ROI)與業務影響
從地端 RADIUS 遷移至雲端 RADIUS,可在基礎架構、營運和安全方面帶來可衡量的價值。
| 維度 | 地端 NPS | 雲端 RADIUS (Purple) |
|---|---|---|
| 基礎架構成本 | Windows Server 授權、虛擬機運算、儲存空間 | 按 AP 訂閱,無需伺服器硬體 |
| 部署時間 | 數天至數週 | 一小時內 |
| 高可用性 | 手動 - 兩台伺服器加上複寫 | 多區域主動-主動(Active-Active),預設啟用 |
| 作業系統修補 | 每月,由您的團隊執行 | 廠商託管 |
| WiFi 服務台工單 | 高 - 密碼重設、手動上線 | 減少 80%(Purple 客戶數據) |
| 存取權限撤銷 | 透過 LDAP 同步需數小時至數天 | 透過 SCIM 僅需數秒 |
使用 Purple 的 Staff WiFi 的 IT 團隊,通常會發現 WiFi 支援工單減少了 80%(Purple 內部數據,2024 年),這主要歸功於免除了密碼重設與手動裝置上線的程序。憑證式驗證同時也符合 PCI DSS 規範 8.3 對於強效驗證的要求,以及 ISO 27001 控制措施 A.9.4 對於系統與應用程式存取控制的規定,進而減輕了您安全團隊的稽核負擔。
對於 零售 與 餐飲旅宿 產業的企業而言,能夠從單一雲端控制台(搭配統一的身分識別層)管理 Staff WiFi 與 Guest WiFi ,可降低多據點資產的營運複雜度。對於 大眾運輸 營運商與 醫療保健 機構,即時撤銷功能與完整的稽核軌跡,無需額外工具即可滿足法規合規要求。
Purple 的 WiFi Analytics 層在驗證基礎架構之上,增添了空間佔用率與混合工作模式的數據,將 Staff WiFi 從成本中心轉化為營運情報的來源。
延伸閱讀: 企業級 WiFi 安全性:2026 年完整指南 - OpenWrt 自訂韌體與 Purple WiFi 整合指南
關鍵定義
802.1X
一項用於基於連接埠之網路存取控制的 IEEE 標準 (IEEE 802.1X-2020)。它要求裝置在存取點授予網路存取權限之前進行驗證,並使用由 RADIUS 伺服器協調的 EAP 交換。
IT 團隊使用 802.1X 來確保只有獲得授權的使用者和裝置才能連線到企業網路。它提供單一使用者加密、單一工作階段金鑰,以及每個連線事件的完整稽核軌跡。
RADIUS
遠端使用者撥入驗證服務 (RFC 2865)。一種網路協定,為網路存取提供集中式的驗證、授權和計費 (AAA) 管理。
存取點會將每個連線請求轉發給 RADIUS 伺服器,由其決定是否允許該裝置連線以及要為其分配哪個 VLAN。Cloud RADIUS 取代了地端的 NPS 或 FreeRADIUS 伺服器。
EAP-TLS
可延伸驗證協定-傳輸層安全性 (RFC 5216)。一種 802.1X 驗證方法,使用雙向 X.509 憑證交換代替密碼。
EAP-TLS 是託管裝置群的黃金標準。它具備防網路釣魚功能,不需要密碼雜湊儲存庫,且是唯一符合 CISA 防網路釣魚 MFA 指南的 802.1X 方法。
PEAP-MSCHAPv2
受保護的可延伸驗證協定搭配 Microsoft 挑戰握手驗證協定版本 2。一種舊版的 802.1X 方法,可根據 Active Directory 中儲存的 NTLM 雜湊來驗證密碼。
PEAP-MSCHAPv2 在純雲端環境中會失效,因為 Entra ID 不會儲存 NTLM 雜湊。從地端 AD 遷移的組織必須使用 EAP-TLS 取代 PEAP。
SCEP
簡單憑證登冊協定。MDM 平台使用的一種協定,用於在裝置上自動請求和安裝數位憑證,無需使用者互動。
IT 團隊將 SCEP 與 Intune 或 Jamf 搭配使用,以無感方式向員工裝置部署 WiFi 憑證。在雲端優先的部署中,SCEP 取代了地端的 NDES (網路裝置登冊服務) 伺服器。
SCIM
跨網域身分識別管理系統 (RFC 7644)。一種開放標準,可自動在 IT 系統之間進行即時的使用者身分識別資訊交換。
SCIM 可確保當員工在 Entra ID 或 Okta 中被停用時,該變更會立即推送到雲端 RADIUS 服務,從而在數秒內(而非數小時)撤銷 WiFi 存取權限。
NPS
網路原則伺服器。Microsoft 的 RADIUS 實作,通常在 Windows Server 上執行,作為地端 Active Directory 環境的一部分。
雲端優先的組織正在淘汰 NPS,以消除 Windows Server VM、作業系統修補程式以及對地端 Active Directory 的依賴。Cloud RADIUS 是其直接替代方案。
RadSec
基於 TLS 的 RADIUS (RFC 6614)。一種使用 TLS 加密 RADIUS 驗證流量的協定,取代了傳統 RADIUS 所使用的基於 UDP 的純文字傳輸。
使用雲端 RADIUS 時,RadSec 至關重要,因為驗證流量必須在存取點與雲端服務之間的公共網際網路上傳輸。Purple 原生支援 RadSec。
iPSK
個人預先共用金鑰。WPA2-Personal 的變體,可為每個裝置分配唯一的預先共用金鑰,而不是為所有裝置分配單一的共用金鑰。
iPSK 用於 IoT 裝置、印表機和其他無法支援 802.1X EAP-TLS 的硬體。它提供單一裝置的責任歸屬和 VLAN 分配,而不需要憑證支援。
Dynamic VLAN
一種網路分割技術,其中 RADIUS 伺服器在 Access-Accept 回應中傳回 VLAN 識別碼,而存取點會自動將裝置放置在該 VLAN 上。
動態 VLAN 允許 IT 團隊根據身分識別提供者群組成員資格,將員工、承包商、IoT 裝置和訪客劃分到不同的網路區段,而無需手動變更防火牆。
範例
一家擁有 400 個據點的零售連鎖店需要確保所有位置的員工 WiFi 安全。他們運行 Cisco Meraki 存取點,並使用 Microsoft Entra ID 搭配 Intune 進行裝置管理。由於他們沒有內部部署的 Active Directory 來運行 NPS,目前使用共享的 WPA2-Personal PSK。最近的內部稽核將此共享 PSK 標記為 PCI DSS 合規性漏洞。
該連鎖店部署了 Purple 的雲端 RADIUS。首先,他們透過 OAuth 管理員同意將 Purple 連接到 Entra ID,並設定 SCIM 佈建。在 Intune 中,他們為 Purple CA 根憑證建立「信任的憑證設定檔」,並為範圍限定於「Staff-Retail」裝置群組的 SCEP 憑證設定檔。Intune 會靜默地將憑證推送到所有受管理的銷售點 (POS) 終端機和員工平板電腦。在 Meraki 儀表板中,他們將員工 SSID 更新為 WPA2-Enterprise,輸入 Purple 雲端 RADIUS 的主要和次要端點,並啟用動態 VLAN 分配。當裝置連接時,它會出示其由 Intune 核發的憑證,Purple 會根據 CA 驗證該憑證並檢查 Entra ID 群組,然後根據群組成員資格將裝置置於 VLAN 10(員工網路)或 VLAN 20(管理網路)。共享的 PSK 隨之停用。在 400 個據點的部署僅花費了一個週末,因為不需要部署任何現場硬體,只需在 Meraki 中變更 SSID 設定即可。
一所擁有 15,000 名學生的大學使用 Google Workspace 作為其主要身分識別提供者。IT 團隊希望為教職員和學生在包含 MacBook、Chromebook 和 Android 手機的 BYOD 設備上提供安全的 WiFi。他們沒有內部部署的 Active Directory,也沒有運行伺服器的意願。
該大學將 Purple 的雲端 RADIUS 與 Google Workspace 整合。對於受管理的 Chromebook,他們使用 Google 管理控制台透過 SCEP 推送 WiFi 憑證設定檔,靜默註冊每台裝置。對於 BYOD MacBook 和 Android 手機,他們部署了一個輕量級的引導上網應用程式,該程式使用使用者的 Google 認證進行驗證,並只需點擊一下即可在裝置上安裝憑證。後續的連接會靜默使用 EAP-TLS。Purple 將 Google Workspace 組織單位對應到 VLAN:教職員進入 VLAN 10,學生進入 VLAN 20,而訪客則進入 Captive Portal SSID。當學生畢業且其 Google 帳戶被停用時,SCIM 會將變更推送到 Purple,其 WiFi 存取權限會在幾分鐘內被撤銷。
練習題
Q1. 您的組織已完全從地端 Active Directory 遷移至 Microsoft Entra ID。您目前的員工 WiFi 是針對加入舊網域的 NPS 伺服器使用 PEAP-MSCHAPv2。在停用網域控制站後,員工回報他們無法再連線到 WiFi。根本原因是什麼?正確的長期解決方案又是什麼?
提示:考慮 PEAP-MSCHAPv2 需要從目錄中取得什麼,以及 Entra ID 是否有提供該項目。
查看標準答案
根本原因在於 PEAP-MSCHAPv2 需要 RADIUS 伺服器針對儲存在 Active Directory 中的 NTLM 雜湊值來驗證使用者密碼。在網域控制站停用後,NPS 沒有可進行驗證的目錄。Entra ID 並不儲存 NTLM 雜湊值,因此 NPS 無法重新導向至 Entra ID。正確的長期解決方案是將 NPS 替換為雲端 RADIUS 服務,從 PEAP-MSCHAPv2 遷移至 EAP-TLS,並使用 MDM (Intune) 透過 SCEP 發行裝置憑證。這消除了對任何地端目錄的依賴。
Q2. 您正在為由 Jamf Pro 管理、擁有 200 台裝置的企業 MacBook 機隊部署雲端 RADIUS。您的身分識別提供者是 Okta。為這些裝置配置 WiFi 認證最安全且營運效率最高的方法是什麼?
提示:尋找不需要使用者互動、避免使用密碼,且能與您現有 MDM 整合的方法。
查看標準答案
設定 Jamf Pro 使用 SCEP 以無聲方式將裝置憑證推送到 MacBook。在 Jamf 組態設定檔中建立 SCEP 承載資料,指向由您的雲端 RADIUS 提供者管理的 CA。將該設定檔的範圍套用至相關的裝置群組。Jamf 將自動向每台 MacBook 推送憑證,無需使用者互動。在同一個組態設定檔中設定 WiFi 設定檔,以搭配 SCEP 發行的憑證使用 EAP-TLS。透過 SCIM 將雲端 RADIUS 服務連線至 Okta,以確保當員工在 Okta 中被停用時,其 WiFi 存取權限會立即被撤銷。
Q3. 一名員工在週一上午 9:00 被解雇。HR 於上午 9:05 停用了他們的 Entra ID 帳戶。在上午 9:30,一項安全性警示顯示該員工的筆記型電腦仍從停車場連線到企業 WiFi。缺少了什麼設定?您該如何解決?
提示:RADIUS 伺服器如何得知使用者在身分識別提供者中的狀態已變更?
查看標準答案
該部署依賴的是定期 LDAP 同步,而非 SCIM 佈建。自帳戶停用以來,LDAP 同步尚未執行,因此雲端 RADIUS 服務仍將該使用者視為作用中。解決方案是在 Entra ID 與雲端 RADIUS 服務之間啟用 SCIM 佈建。SCIM 會即時推送使用者狀態變更,因此當上午 9:05 在 Entra ID 中停用帳戶時,RADIUS 服務會立即收到變更。下一次裝置嘗試重新驗證時(由無線基地台上的工作階段逾時控制),它將收到 Access-Reject。在無線基地台上設定較短的工作階段逾時(15 到 30 分鐘)可縮短帳戶停用與網路驅逐之間的最大時間差。
Q4. 您的場域有 50 台 IoT 裝置(數位看板播放器、環境感測器和印表機),這些裝置不支援 802.1X EAP-TLS。您要如何將這些裝置安全地整合到與 EAP-TLS 員工網路相同的 WiFi 基礎架構中?
提示:考慮哪種驗證方法可在不需要憑證支援的情況下,提供單一裝置的責任歸屬。
繼續閱讀本系列
三大 SSID 搞定一切:訪客、員工與 IoT WiFi 設定指南
本權威技術參考指南提供實施三 SSID WiFi 架構的逐步藍圖。其中說明如何使用 Captive Portal、802.1X RADIUS 以及單一裝置預共用金鑰 (xPSK) 來區隔訪客、員工和 IoT 流量,以優化效能並確保符合 PCI DSS 規範。
如何在員工離職時撤銷 WiFi 存取權限
本指南詳細說明如何在員工離職時撤銷 WiFi 存取權限,以每使用者 802.1X 憑證或 iPSK 取代不安全的共用密碼。內容涵蓋透過 SCIM 進行自動化取消佈署,以符合 ISO 27001 和 SOC 2 的稽核要求。
Google Workspace WiFi 驗證:Chromebook 和 LDAP 整合
這是一份權威的技術參考文件,適用於在 Google Workspace 環境中部署安全 WiFi 的 IT 管理員。本指南涵蓋透過 Google Admin Console 將 802.1X 憑證部署至受管理 Chromebook、將 Google Secure LDAP 整合為 RADIUS 後端,以及針對教育、媒體和企業場所的架構決策。它提供了可操作的實作步驟、真實世界案例研究,以及 EAP 方法的直接比較,幫助團隊從易受攻擊的共用 PSK 轉移到穩固、基於身分的網路存取控制。