跳至主要內容
繁體中文

如何使用 Microsoft Intune 將 WiFi 憑證推送到裝置

針對 IT 主管在透過 Microsoft Intune 部署 802.1X WiFi 憑證時的完整技術參考指南。內容涵蓋 SCEP 與 PKCS 架構、實作步驟、合規性對應,以及企業環境中的實際部署情境。

📖 7 分鐘閱讀📝 1,541 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
如何使用 MICROSOFT INTUNE 將 WIFI 憑證推送到裝置 Purple 企業級 WiFi 智慧簡報 [引言與背景 — 約 1 分鐘] 歡迎回來。今天我代表企業級 WiFi 智慧平台 Purple 進行演說,本集節目將針對 Microsoft Intune 工具套件中,最實用且老實說最常被低估的功能之一進行重點簡報:用於 802.1X WiFi 驗證的自動化憑證部署。 如果您正在管理飯店物業、零售連鎖店、體育場館或公共部門的 WiFi,您一定懂我接下來要描述的痛點。您擁有數百或數千台託管裝置。您希望它們能自動、安全地連接到您的企業 WiFi,而無需使用者輸入密碼,也無需 IT 人員手動設定每台裝置。而且您希望該連線具有強大的加密性,而不僅僅是某人已經透過電子郵件發送給半個組織的共用密碼。 這正是 Intune 憑證部署所要解決的問題。在接下來的九分鐘內,我將帶您瞭解其運作原理、部署方式,以及大多數團隊在首次嘗試時會遇到的陷阱。 [技術深探 — 約 5 分鐘] 讓我們從架構開始。這裡的基礎是 IEEE 802.1X — 這是二十多年來作為企業 WiFi 安全骨幹的連接埠型網路存取控制標準。當裝置連接到您的 WiFi 時,802.1X 要求它在獲得任何網路存取權限之前先進行驗證。驗證對話在三方之間進行:裝置(稱為 supplicant 請求端)、您的 WiFi 存取點(作為驗證器),以及您的 RADIUS 伺服器(做出最終決定的驗證伺服器)。 現在,802.1X 支援多種驗證方法。最安全的是 EAP-TLS — 採用傳輸層安全協定的可延伸驗證協定。EAP-TLS 使用雙向憑證驗證:裝置出示憑證以證明其身分,而 RADIUS 伺服器也出示憑證以證明其身分。不涉及密碼。沒有可被網路釣魚竊取的憑證。這就是我們的目標。 挑戰一直以來都在於如何大規模地將這些憑證安裝到裝置上。這就是 Microsoft Intune 發揮作用的地方。 Intune 支援兩種憑證部署機制:SCEP(簡單憑證登冊協定)和 PKCS(公開金鑰加密標準)。瞭解兩者之間的差異至關重要。 使用 SCEP 時,私鑰是在裝置本身產生的。裝置會建立憑證簽署要求,透過名為 NDES(網路裝置登冊服務)的中介伺服器將其傳送至您的憑證授權單位 (CA),然後 CA 會發行憑證並傳回。私鑰永遠不會離開裝置。這是更安全的方法,建議用於 BYOD 環境和高安全性部署。 使用 PKCS 時,憑證授權單位會產生金鑰組,並由 Intune Certificate Connector 將私鑰和憑證傳遞至裝置。這在設定上較為簡單(不需要 NDES 伺服器),但私鑰確實會經過該連接器傳輸,這是評估安全性狀況時需要考量的點。 對於大多數企業部署,我建議在 BYOD 和混合裝置環境中使用 SCEP;而在擁有同質企業專用 Windows 裝置且希望將基礎架構複雜度降至最低的環境中,則使用 PKCS。 現在,我們來談談部署順序 — 因為順序至關重要,而順序錯誤是導致部署失敗最常見的原因。 步驟一:設定您的憑證授權單位。您需要在 Active Directory 憑證服務執行個體上建立憑證範本 — 或者,如果您是完全雲端原生,Microsoft 的 Intune Cloud PKI 現已正式推出,可完全免除內部部署 CA 的需求。該範本需要正確的金鑰使用方法延伸模組:用戶端驗證是必備的。將最小金鑰大小設定為 2048 位元,如果貴組織的安全政策有要求,則設定為 4096 位元。 步驟二:部署信任的根憑證。在任何裝置能夠驗證 RADIUS 伺服器的憑證之前,它必須先信任發行該憑證的 CA。您可以在 Intune 中建立「信任的憑證」組態設定檔,上傳根 CA 憑證,並將其指派給您的裝置群組。這必須在任何 WiFi 設定檔或用戶端憑證設定檔之前送達裝置。如果順序出錯,裝置將會拒絕 RADIUS 伺服器,而您將會花上整個下午盯著 Windows 事件記錄中的事件識別碼 20271。 步驟三:部署用戶端憑證設定檔。這可以是您的 SCEP 設定檔(指向您的 NDES 伺服器 URL),或是您的 PKCS 設定檔(指向您的憑證授權單位)。主體別名(Subject Alternative Name)應包含使用者憑證的使用者主體名稱(UPN),或裝置憑證的 AAD 裝置識別碼。這個區別很重要:使用者憑證驗證已登入的使用者,而裝置憑證則驗證機器本身,這意味著裝置可以在使用者登入之前連線到 WiFi — 這對於網域加入情境和 Kiosk 部署非常有用。 步驟四:建立 WiFi 組態設定檔。在 Intune 中,這位於「裝置」>「組態設定檔」>「範本」>「Wi-Fi」。將 WiFi 類型設定為「企業級」,輸入您的 SSID,將 EAP 類型設定為「EAP-TLS」,設定伺服器信任設定(在此處引用 RADIUS 伺服器憑證名稱),並在用戶端驗證中引用您在步驟三中建立的憑證設定檔。 步驟五:將所有項目指派給正確的群組並進行驗證。將您的根憑證、用戶端憑證和 WiFi 設定檔指派給相同的裝置或使用者群組。使用 Intune 內建的報告功能來監控設定檔部署狀態。成功的部署會在裝置的組態設定檔清單中,將這三個設定檔皆顯示為「成功」。 關於 Windows Server 環境中 NPS 設定的一個關鍵點:自 2024 年初起,Microsoft 收緊了憑證對應要求。如果您在與 Azure AD 聯結的裝置上使用裝置憑證向內部部署的 NPS 進行驗證,則需要確保 Active Directory 中電腦物件上的 altSecurityIdentities 屬性已填入該憑證的指紋。這不會自動發生 — 您需要一個指令碼或工作流程來處理它,通常是在 CA 發行新憑證時觸發。 [實作建議與常見陷阱 — 約 2 分鐘] 讓我為您說明在企業部署中,我最常看到的的三個陷阱。 陷阱一:憑證鏈中斷。裝置需要信任從根 CA 到 RADIUS 伺服器憑證之憑證鏈中的每一個憑證。如果您的 RADIUS 伺服器憑證是由中繼 CA 發行的,您需要將根憑證和中繼憑證同時部署到裝置。我曾見過有些部署失敗了數週,只因為有人部署了根憑證卻沒有部署中繼憑證。 陷阱二:設定檔指派時機。Intune 設定檔不會立即套用到裝置上。在大型環境中,設定檔在指派後可能需要 15 到 30 分鐘才能傳播。請勿在建立設定檔後立即進行測試。請使用 Intune 入口網站中的「同步」按鈕強制進行簽入,然後耐心等待。此外,用戶端憑證設定檔必須在套用 WiFi 設定檔之前部署並確認 — 如果 WiFi 設定檔參照了尚不存在的憑證,該設定檔在某些平台上將會無聲無息地失敗。 陷阱三:BYOD 憑證撤銷。當裝置從 Intune 取消註冊時(例如因為員工離職或裝置遺失),您需要一個流程來撤銷憑證。如果您將 SCEP 與 ADCS 搭配使用,請正確設定憑證撤銷清單(CRL)發行點,並確保您的 RADIUS 伺服器在每次驗證時都會檢查 CRL 或 OCSP。這是 PCI DSS 等框架下的合規性要求,該框架規定在不再需要存取控制機制時,必須立即將其撤銷。 關於合規性的主題:如果您在 PCI DSS 範圍內營運(例如零售支付環境),基於憑證的 802.1X 驗證是您無線網路存取最強大的控制措施。它滿足了 PCI DSS 關於網路存取控制的要求 1.3 以及關於驗證要素的要求 8.6。請將您的憑證生命週期管理流程記錄下來,作為您合規性證據的一部分。 針對受 GDPR 規範的環境,特別是餐旅業與公共部門,企業 802.1X 網路與訪客 WiFi 網路之間的隔離至關重要。您由 Intune 管理的企業網路應位於與任何訪客或訪客網路完全獨立的 VLAN 和 SSID 上。Purple 的訪客 WiFi 平台負責處理面向訪客的部分(Captive Portal、同意書簽署、數據分析),而您由 Intune 管理的企業網路則處理員工和營運設備。這兩個網路絕不應共用驗證基礎架構。 [快速問答 — 約 1 分鐘] 讓我快速解答幾個經常出現的問題。 我可以使用 Intune Cloud PKI 代替地端 ADCS 嗎?可以。微軟於 2024 年推出的 Intune Cloud PKI 在 Azure 中提供了完全託管的 CA。它消除了 SCEP 對 NDES 伺服器的需求,並顯著簡化了連接器設定。對於全新部署或沒有現有 ADCS 基礎架構的組織,這是推薦的路徑。 這適用於 macOS 和 iOS 裝置嗎?是的。Intune 支援 Windows、iOS、iPadOS、Android 和 macOS 的憑證設定檔。設定檔類型和設定選項因平台而異,但核心架構(受信任的根憑證、用戶端憑證、WiFi 設定檔)是一致的。 BYOD 計劃中的個人裝置該如何處理?SCEP 是您的好幫手。透過 Intune 的裝置合規性原則,您可以要求裝置在核發憑證之前必須符合最低安全性標準。如果裝置不符合合規性(例如未設定螢幕鎖定、作業系統過舊),憑證將會被撤銷,並自動移除網路存取權限。 Purple 可以與此架構整合嗎?當然可以。Purple 的平台位於訪客網路端,負責處理 Captive Portal 驗證、同意書管理和數據分析。企業 802.1X 網路與 Purple 的訪客 WiFi 並行運作(相同的實體基礎架構,不同的 SSID 和 VLAN),讓您在員工連線與訪客互動之間實現完全隔離。 [總結與後續步驟 — 約 1 分鐘] 總結來說:透過 Intune 部署 WiFi 憑證是一個包含五個步驟的程序 — CA 設定、受信任的根憑證部署、用戶端憑證設定檔、WiFi 設定檔以及群組指派。針對 BYOD 和高安全性環境選擇 SCEP;針對較簡單的企業專用裝置選擇 PKCS。確保順序正確,處理好 NPS 憑證對應需求,並從第一天起就建立憑證撤銷工作流程。 商業效益顯而易見:您消除了共用的 WiFi 密碼、獲得了針對每個裝置和每個使用者的驗證記錄、滿足了 PCI DSS 和 ISO 27001 無線安全要求,並減少了在大型資產中管理 WiFi 認證資料的 IT 負擔。 如果您正在規劃部署,並希望了解 Purple 的顧客 WiFi 與分析平台如何與您的企業網路架構相結合,請造訪 purple.ai。我們針對 Azure Entra ID 整合、802.1X 架構,以及適用於餐旅、零售和公共部門環境的顧客網路設計,提供了詳細的指南。 感謝您的收聽。我們下次見。

header_image.png

執行摘要

對於在 旅宿餐飲零售 或公共場所管理大規模環境的企業 IT 領導者而言,安全的無線存取是基本的營運需求。依賴共享的 PSK(預共用金鑰)或使用者名稱/密碼驗證 (PEAP-MSCHAPv2) 會使網路面臨憑證遭竊、網路釣魚和合規性失敗的風險。強大企業 WiFi 安全性的業界標準是採用 EAP-TLS(可延伸驗證通訊協定與傳輸層安全性)的 802.1X,這要求裝置與網路之間必須進行雙向憑證驗證。

然而,過去採用 EAP-TLS 的主要障礙在於憑證生命週期管理的營運開銷。Microsoft Intune 透過自動化向大規模託管裝置分發、更新和撤銷數位憑證,解決了這個問題。

本技術參考詳細介紹了透過 Microsoft Intune 推送 WiFi 憑證所需的架構、部署方法(SCEP 與 PKCS)以及實作步驟。它為負責保護企業通訊,同時與訪客網路(例如由 Guest WiFi 平台管理的網路)保持嚴格隔離的網路架構師和系統工程師提供了具體可行的指導。

技術深度解析:架構與通訊協定

為了有效實作憑證驗證,IT 團隊必須瞭解行動裝置管理 (MDM) 平台、公開金鑰基礎架構 (PKI) 以及網路存取控制層之間的互動。

802.1X 驗證架構

IEEE 802.1X 標準定義了基於連接埠的網路存取控制。在無線環境中,它會阻止裝置傳送任何流量(EAP 驗證框架除外),直到其身分獲得驗證。該架構由三個元件組成:

  1. Supplicant(用戶端):請求網路存取的用戶端裝置(筆記型電腦、智慧型手機、平板電腦)。
  2. Authenticator(驗證器):在驗證成功之前封鎖流量的無線存取點或無線區域網路控制器。
  3. Authentication Server(驗證伺服器):RADIUS(遠端使用者撥入驗證服務)伺服器,例如 Microsoft 網路原則伺服器 (NPS) 或 Cisco ISE,用於驗證憑證並授權存取。

EAP-TLS 與雙向驗證

EAP-TLS 是最安全的 EAP 方法,因為它需要雙向驗證。RADIUS 伺服器會向請求者(supplicant)出示其憑證,以證明其為合法的企業網路(防止邪惡雙生攻擊),而請求者則向 RADIUS 伺服器出示其用戶端憑證,以證明其為授權的裝置或使用者。

architecture_overview.png

Intune 憑證部署機制:SCEP vs PKCS

Microsoft Intune 支援兩種將用戶端憑證部署到裝置的主要協定。選擇合適的機制是一項關鍵的架構決策。

簡單憑證登錄協定 (SCEP)

使用 SCEP 時,私鑰會直接在用戶端裝置上產生。裝置會建立憑證簽署要求 (CSR),並透過 Intune 將其提交給網路裝置登錄服務 (NDES) 伺服器,該伺服器充當 Active Directory 憑證服務 (ADCS) 基礎架構的代理。憑證授權單位 (CA) 會核發憑證,並將其傳回給裝置。

由於私鑰從不離開裝置,因此 SCEP 被認為具有極高的安全性,是 BYOD(攜帶自有裝置)部署和零信任架構的推薦方法。

公鑰密碼學標準 (PKCS)

使用 PKCS 時,Intune Certificate Connector 會代表裝置向 CA 要求憑證。CA 會產生公開憑證和私鑰,然後連接器會透過 Intune 將其安全地傳遞給裝置。

雖然 PKCS 簡化了基礎架構需求(不需要 NDES 伺服器),但私鑰會在網路中傳輸。此模式通常適用於企業擁有、完全受管理的裝置群,其中 MDM 平台已經是高度受信任的元件。

certificate_deployment_comparison.png

實作指南:逐步部署

透過 Intune 部署 WiFi 憑證需要精確的順序。未按順序部署設定檔是導致實作失敗最常見的原因。

步驟 1:準備公開金鑰基礎建設 (PKI)

無論是使用內部部署的 ADCS 還是像 Microsoft Cloud PKI 這樣的雲端原生解決方案,憑證授權單位都必須設定適當的範本。

  • 金鑰用途:範本必須包含 Client Authentication OID (1.3.6.1.5.5.7.3.2)。
  • 金鑰大小:設定至少 2048 位元 (RSA) 的金鑰大小,以符合現代加密標準。
  • 主體名稱:對於使用者憑證,主體別名 (SAN) 應設定為使用使用者主體名稱 (UPN)。對於裝置憑證,請使用 Azure AD 裝置識別碼。

步驟 2:部署受信任的根憑證

在裝置進行驗證之前,它必須信任核發 RADIUS 伺服器憑證的 CA。

  1. .cer 格式匯出根 CA 憑證(以及任何中介 CA 憑證)。
  2. 在 Intune 系統管理中心,導覽至 裝置 > 組態設定檔 > 建立設定檔
  3. 選取平台並選擇 受信任的憑證 設定檔類型。
  4. 上傳 .cer 檔案並將該設定檔指派給目標裝置或使用者群組。

注意:此設定檔必須成功套用到裝置,才能繼續執行後續步驟。

步驟 3:部署用戶端憑證設定檔

建立 SCEP 或 PKCS 憑證設定檔,以將身分識別憑證傳遞給要求端。

  1. 導覽至 裝置 > 組態設定檔 > 建立設定檔
  2. 選取平台並選擇 SCEP 憑證PKCS 憑證
  3. 根據您的身分識別需求(使用者對比裝置)設定主體名稱格式與 SAN。
  4. 指定金鑰儲存提供者 (KSP) — 通常為硬體支援安全性的信賴平台模組 (TPM)。
  5. 將此設定檔指派給步驟 2 中所指派的相同群組。

步驟 4:設定 WiFi 設定檔

最後一個元件會將憑證與無線網路設定進行繫結。

  1. 導覽至 裝置 > 組態設定檔 > 建立設定檔
  2. 選取平台並選擇 Wi-Fi 設定檔類型。
  3. 將 Wi-Fi 類型設定為 企業 並輸入確切的 SSID。
  4. 將 EAP 類型設定為 EAP-TLS
  5. 伺服器信任 下,指定 RADIUS 伺服器憑證的確切名稱,並選取在步驟 2 中部署的受信任根憑證設定檔。
  6. 用戶端驗證 下,選取在步驟 3 中部署的 SCEP 或 PKCS 憑證設定檔。
  7. 將此設定檔指派給目標群組。

最佳實踐與策略建議

裝置對比使用者憑證

網路架構師必須決定要將憑證核發給裝置(電腦驗證)還是使用者(使用者驗證)。

  • 裝置憑證:允許電腦在使用者登入之前連線至 WiFi 網路。這對於初始裝置佈建、群組原則處理以及登入畫面上的密碼重設至關重要。建議用於公司擁有的裝置。
  • 使用者憑證:將網路存取權與個人身分識別進行綁定。這提供了精細的稽核與角色型存取控制。建議用於 BYOD 情境。

網路分段與訪客存取

一項基本的安全性原則是將企業 802.1X 網路與訪客或公共存取網路進行嚴格的邏輯隔離。受 Intune 管理的基礎架構應專門用於公司裝置與已驗證的員工。針對訪客存取,企業應部署一個由 Captive Portal 支援的專用 Guest WiFi SSID。這可確保未受管理的裝置被隔離,同時仍允許企業透過 WiFi Analytics 平台收集訪客分析數據。若要深入瞭解如何保護這兩個區段的 DNS 基礎架構,請參閱我們的指南: Protect Your Network with Strong DNS and Security

解決 NPS 憑證對應需求

對於使用 Microsoft 網路原則伺服器 (NPS) 搭配 Azure AD 聯結裝置的企業,Microsoft 引入了一項關鍵的設定變更。NPS 現在需要強憑證對應。

使用裝置憑證時,內部部署 Active Directory 中的電腦物件必須在其 altSecurityIdentities 屬性中填入憑證的詳細資訊(通常為 X509IssuerSerialNumber)。IT 團隊必須實作排程指令碼或事件驅動工作流程,以便在 Intune 發行新憑證時更新此屬性,否則驗證將會失敗。

疑難排解與風險緩釋

當 802.1X 部署失敗時,問題幾乎總是出在憑證鏈或 Intune 設定檔的順序上。

常見失敗模式

  1. 無聲 WiFi 設定檔失敗:如果 Intune WiFi 設定檔在用戶端憑證成功佈署之前就套用到裝置,WiFi 設定檔通常會安裝失敗或無聲失敗。在對 WiFi 設定進行疑難排解之前,請務必先驗證裝置的個人存放區(Windows 上的 certmgr.msc)中是否存在憑證。
  2. 伺服器信任驗證錯誤:如果裝置拒絕 RADIUS 伺服器,請驗證 Intune WiFi 設定檔中指定的伺服器名稱是否與 RADIUS 伺服器憑證上的主體名稱或 SAN 完全相符。此外,請確保整個憑證鏈(根憑證和中繼憑證)都存在於裝置的「受信任的根憑證授權單位」存放區中。
  3. 憑證撤銷清單 (CRL) 無法存取:如果 RADIUS 伺服器無法連線到 CA 的 CRL 發佈點以驗證用戶端憑證的狀態,驗證將會被拒絕。請確保 CRL URL 具有高可用性,且可從 RADIUS 伺服器存取。

投資報酬率與商業影響

透過 Intune 轉換為憑證型 WiFi 驗證,可帶來顯著的營運與安全效益。

  • 風險緩釋:消除憑證收割、Pass-the-Hash 攻擊以及透過共用 PSK 進行未授權網路存取的風險。
  • 營運效率:減少與密碼過期和 WiFi 連線問題相關的 IT 服務台工單。自動化的生命週期管理意味著憑證會在無使用者干預的情況下透明地更新。
  • 合規性啟用:滿足嚴格的法規要求。針對零售環境,它直接滿足了 PCI DSS 對於強大無線加密與驗證的要求。針對公共部門與醫療保健,它符合零信任網路存取 (ZTNA) 原則。

透過利用 Microsoft Intune 進行憑證部署,IT 團隊可以實現無摩擦、高度安全的無線體驗,並在背景安靜運行,讓企業能夠專注於核心業務。

關鍵定義

802.1X

一項用於基於連接埠之網路存取控制的 IEEE 標準,可防止未經授權的裝置存取區域網路 (LAN) 或無線區域網路 (WLAN),直到其成功通過驗證。

在企業環境中,以企業級驗證取代共享 WiFi 密碼的基礎安全性協定。

EAP-TLS

採用傳輸層安全性的可延伸驗證協定。一種驗證架構,要求用戶端和伺服器雙方皆必須使用數位憑證來證明其身分。

在 Intune WiFi 設定檔中設定的特定協定,用於強制執行雙向憑證驗證,消除憑證被盜的風險。

SCEP

簡單憑證登冊協定。一種機制,用戶端裝置會自行產生私鑰,並透過中介伺服器向憑證授權單位 (CA) 要求憑證。

BYOD 環境的首選部署方法,因為私鑰絕不會透過網路傳輸。

PKCS

公鑰加密標準。在 Intune 的情境中,這是一種部署方法,由 CA 產生私鑰,並由 Intune Connector 安全地將其傳遞至裝置。

常用於企業專屬裝置群的較簡單部署架構,因為它不需要 NDES 伺服器。

NDES

網路裝置登冊服務。一種 Microsoft 伺服器角色,充當 Proxy 代理程式,允許在沒有網域認證的情況下執行的裝置從 Active Directory 憑證授權單位取得憑證。

在內部部署 ADCS 環境中透過 SCEP 部署憑證時,不可或缺的基礎架構元件。

RADIUS

遠端使用者撥入驗證服務。一種網路協定,提供集中式的驗證、授權和計費 (AAA) 管理。

從 WiFi 存取點接收驗證要求並驗證裝置憑證的伺服器(例如 Microsoft NPS 或 Cisco ISE)。

Supplicant

終端使用者裝置(筆記型電腦、智慧型手機)上的軟體用戶端,用於啟動 802.1X 驗證程序。

Intune WiFi 設定檔會設定原生作業系統用戶端(例如 Windows WLAN AutoConfig)以使用正確的憑證和 EAP 方法。

Certificate Revocation List (CRL)

由憑證授權單位發佈的數位簽署清單,其中包含已撤銷且不應再受信任的憑證序號。

對於安全性合規至關重要;RADIUS 伺服器必須檢查 CRL,以確保連線的裝置未被回報遺失或遭竊。

範例

一家擁有 400 個據點的零售連鎖店正在部署公司擁有的平板電腦以進行庫存管理。這些裝置完全透過 Intune 管理並加入 Azure AD。裝置在開機後需要立即存取網路以同步庫存資料庫,且必須在任何特定使用者登入之前完成。網路基礎架構使用 Cisco ISE 作為 RADIUS 伺服器。最佳的憑證部署策略是什麼?

IT 團隊應實作 PKCS 裝置憑證。

  1. 在憑證授權單位 (CA) 上設定裝置憑證範本。
  2. 透過 Intune 將根 CA 憑證部署到平板電腦。
  3. 在 Intune 中建立 PKCS 憑證設定檔,將主體名稱格式設定為 Azure AD 裝置識別碼 ({{AAD_Device_ID}})。
  4. 建立指定 EAP-TLS 的企業 WiFi 設定檔,並參照 ISE 伺服器的憑證名稱和已部署的 PKCS 設定檔。
  5. 將所有設定檔指派給包含平板電腦的裝置群組。
考官評語: 此處適合使用 PKCS,因為裝置為公司所有且完全受管理,從而降低了與私鑰傳輸相關的風險。裝置憑證是強制性的,因為平板電腦在使用者登入之前需要網路存取。透過將目標設定為 Azure AD 裝置識別碼,Cisco ISE 可以驗證特定的硬體資產,並將其指派給正確的受限庫存 VLAN。

一家大型教學醫院允許醫療人員使用其個人智慧型手機 (BYOD) 存取臨床排班應用程式。這些裝置透過工作設定檔 (Work Profile) 註冊於 Intune 中。安全性原則規定個人裝置上不得儲存任何公司認證,且如果裝置遭到入侵,必須立即撤銷其網路存取權限。應如何設計 WiFi 驗證?

醫院必須實作 SCEP 使用者憑證,並結合 Intune 合規性原則。

  1. 部署 NDES 伺服器以將請求代理至 CA。
  2. 在 Intune 中建立 SCEP 使用者憑證設定檔,並將 SAN 設定為使用者主體名稱 ({{UserPrincipalName}})。
  3. 建立 Intune 合規性原則,要求最低作業系統版本、啟用的螢幕鎖定,且無越獄/Root 權限。
  4. 設定 CA 以發佈高可用性的憑證撤銷清單 (CRL)。
  5. 設定 RADIUS 伺服器,在每次驗證嘗試時嚴格執行 CRL 檢查。
考官評語: 對於 BYOD 而言,SCEP 是唯一可接受的選擇,因為私鑰是在個人裝置上產生的,無法被攔截。為了符合 HIPAA/GDPR 稽核要求,需要使用使用者憑證將網路活動與特定臨床醫生進行關聯。關鍵元件是與 Intune 合規性原則的整合;如果裝置變得不合規,Intune 可以觸發憑證撤銷,而 RADIUS 伺服器的 CRL 檢查將立即封鎖網路存取。

練習題

Q1. 您的組織正在將企業 WiFi 從 PEAP-MSCHAPv2(使用者名稱/密碼)遷移到 EAP-TLS。在試行階段,數台 Windows 11 筆記型電腦成功接收了 Intune 設定設定檔,但無法連線到網路。檢視 Windows 事件檢視器顯示事件識別碼 20271,指出 RADIUS 伺服器憑證遭到拒絕。最可能的原因是什麼?

提示:考慮雙向驗證所需的信任鏈。

查看標準答案

裝置缺少簽發 RADIUS 伺服器憑證的受信任根憑證授權單位(Root CA)憑證。在 EAP-TLS 中,裝置必須驗證 RADIUS 伺服器的身分。IT 團隊必須確保包含根 CA(以及任何中介 CA)的「受信任憑證」設定檔已透過 Intune 部署到裝置並成功安裝,然後 WiFi 設定檔才能嘗試連線。

Q2. 某公部門場域正在使用 Intune 和 PKCS 憑證為員工裝置部署 802.1X。他們還營運一個由 Guest WiFi 平台管理的獨立訪客網路。稽核員指出,如果員工筆記型電腦失竊,該憑證在 12 個月內仍然有效。網路架構師應如何因應此風險?

提示:驗證伺服器如何在憑證過期前得知其已不再有效?

查看標準答案

架構師必須實作健全的憑證撤銷工作流程。首先,確保 CA 將憑證撤銷清單(CRL)發佈到高可用性的發佈點。其次,設定 RADIUS 伺服器(例如 NPS)在每次驗證嘗試期間強制進行 CRL 檢查。最後,建立 Intune 營運程序,明確撤銷任何標記為遺失或遭竊裝置的憑證,這將更新 CRL 並封鎖網路存取。

Q3. 您正在為零售環境中的一批共享 Kiosk 裝置設計 Intune 部署。這些裝置每天都會重新啟動,且必須在任何使用者與其互動之前立即連線到企業網路以下載更新。您應該部署「使用者憑證」還是「裝置憑證」?應使用何種主體別名(SAN)格式?

提示:考慮裝置重新啟動後立即處於的狀態。

查看標準答案

您必須部署「裝置憑證」。因為 Kiosk 裝置在使用者登入前需要網路存取權限,所以使用者憑證在開機時將無法使用。Intune 憑證設定檔中的主體別名(SAN)應設定為使用 Azure AD 裝置識別碼({{AAD_Device_ID}})或裝置的完整網域名稱,以便 RADIUS 伺服器驗證特定的硬體資產。

繼續閱讀本系列

各大廠商的 Per-Device PSK 比較:iPSK、DPSK、MPSK 與 PPSK(以及 WPA3 支援)

針對 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Extreme、Fortinet 和 Ubiquiti UniFi 的 per-device PSK 實作進行全面比較。了解 WPA3-SAE 如何影響 per-device 金鑰策略,以及何時該部署過渡模式或轉移至 802.1X。

閱讀指南 →

Captive Portal 驗證方式比較

本權威技術參考指南評估了五種核心 Captive Portal 驗證方式在架構、營運及合規性方面的權衡。它為網路架構師、IT 總監和行銷經理提供了所需的量化數據與決策框架,以在企業場域中平衡訪客登入摩擦與數據收集需求。

閱讀指南 →

什麼是 MAC 位址驗證?何時該使用以及何時該避免使用

本權威技術參考指南涵蓋企業 WiFi 環境中的 MAC 位址驗證 — 說明基於 RADIUS 的 MAC 驗證在 Layer 2 的運作方式、其固有的安全性漏洞(包括 MAC 欺騙以及作業系統層級 MAC 隨機化的影響),以及其作為管理 IoT 和無螢幕(headless)裝置有效工具的具體營運情境。本指南為餐飲旅宿、零售、醫療保健和公共場所的 IT 經理與網路架構師提供具體可行的部署指引,並包含實際案例、決策框架,以及與 Purple 的顧客 WiFi 和分析平台的整合情境。

閱讀指南 →