跳至主要內容

如何使用 Microsoft Intune 將 WiFi 憑證推送到裝置

針對 IT 主管在透過 Microsoft Intune 部署 802.1X WiFi 憑證時的完整技術參考指南。內容涵蓋 SCEP 與 PKCS 架構、實作步驟、合規性對應,以及企業環境中的實際部署情境。

📖 7 分鐘閱讀📝 1,541 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
如何使用 MICROSOFT INTUNE 將 WIFI 憑證推送到裝置 Purple 企業級 WiFi 智慧簡報 [引言與背景 — 約 1 分鐘] 歡迎回來。今天我代表企業級 WiFi 智慧平台 Purple 進行演說,本集節目將針對 Microsoft Intune 工具套件中,最實用且老實說最常被低估的功能之一進行重點簡報:用於 802.1X WiFi 驗證的自動化憑證部署。 如果您正在管理飯店物業、零售連鎖店、體育場館或公共部門的 WiFi,您一定懂我接下來要描述的痛點。您擁有數百或數千台託管裝置。您希望它們能自動、安全地連接到您的企業 WiFi,而無需使用者輸入密碼,也無需 IT 人員手動設定每台裝置。而且您希望該連線具有強大的加密性,而不僅僅是某人已經透過電子郵件發送給半個組織的共用密碼。 這正是 Intune 憑證部署所要解決的問題。在接下來的九分鐘內,我將帶您瞭解其運作原理、部署方式,以及大多數團隊在首次嘗試時會遇到的陷阱。 [技術深探 — 約 5 分鐘] 讓我們從架構開始。這裡的基礎是 IEEE 802.1X — 這是二十多年來作為企業 WiFi 安全骨幹的連接埠型網路存取控制標準。當裝置連接到您的 WiFi 時,802.1X 要求它在獲得任何網路存取權限之前先進行驗證。驗證對話在三方之間進行:裝置(稱為 supplicant 請求端)、您的 WiFi 存取點(作為驗證器),以及您的 RADIUS 伺服器(做出最終決定的驗證伺服器)。 現在,802.1X 支援多種驗證方法。最安全的是 EAP-TLS — 採用傳輸層安全協定的可延伸驗證協定。EAP-TLS 使用雙向憑證驗證:裝置出示憑證以證明其身分,而 RADIUS 伺服器也出示憑證以證明其身分。不涉及密碼。沒有可被網路釣魚竊取的憑證。這就是我們的目標。 挑戰一直以來都在於如何大規模地將這些憑證安裝到裝置上。這就是 Microsoft Intune 發揮作用的地方。 Intune 支援兩種憑證部署機制:SCEP(簡單憑證登冊協定)和 PKCS(公開金鑰加密標準)。瞭解兩者之間的差異至關重要。 使用 SCEP 時,私鑰是在裝置本身產生的。裝置會建立憑證簽署要求,透過名為 NDES(網路裝置登冊服務)的中介伺服器將其傳送至您的憑證授權單位 (CA),然後 CA 會發行憑證並傳回。私鑰永遠不會離開裝置。這是更安全的方法,建議用於 BYOD 環境和高安全性部署。 使用 PKCS 時,憑證授權單位會產生金鑰組,並由 Intune Certificate Connector 將私鑰和憑證傳遞至裝置。這在設定上較為簡單(不需要 NDES 伺服器),但私鑰確實會經過該連接器傳輸,這是評估安全性狀況時需要考量的點。 對於大多數企業部署,我建議在 BYOD 和混合裝置環境中使用 SCEP;而在擁有同質企業專用 Windows 裝置且希望將基礎架構複雜度降至最低的環境中,則使用 PKCS。 現在,我們來談談部署順序 — 因為順序至關重要,而順序錯誤是導致部署失敗最常見的原因。 步驟一:設定您的憑證授權單位。您需要在 Active Directory 憑證服務執行個體上建立憑證範本 — 或者,如果您是完全雲端原生,Microsoft 的 Intune Cloud PKI 現已正式推出,可完全免除內部部署 CA 的需求。該範本需要正確的金鑰使用方法延伸模組:用戶端驗證是必備的。將最小金鑰大小設定為 2048 位元,如果貴組織的安全政策有要求,則設定為 4096 位元。 步驟二:部署信任的根憑證。在任何裝置能夠驗證 RADIUS 伺服器的憑證之前,它必須先信任發行該憑證的 CA。您可以在 Intune 中建立「信任的憑證」組態設定檔,上傳根 CA 憑證,並將其指派給您的裝置群組。這必須在任何 WiFi 設定檔或用戶端憑證設定檔之前送達裝置。如果順序出錯,裝置將會拒絕 RADIUS 伺服器,而您將會花上整個下午盯著 Windows 事件記錄中的事件識別碼 20271。 步驟三:部署用戶端憑證設定檔。這可以是您的 SCEP 設定檔(指向您的 NDES 伺服器 URL),或是您的 PKCS 設定檔(指向您的憑證授權單位)。主體別名(Subject Alternative Name)應包含使用者憑證的使用者主體名稱(UPN),或裝置憑證的 AAD 裝置識別碼。這個區別很重要:使用者憑證驗證已登入的使用者,而裝置憑證則驗證機器本身,這意味著裝置可以在使用者登入之前連線到 WiFi — 這對於網域加入情境和 Kiosk 部署非常有用。 步驟四:建立 WiFi 組態設定檔。在 Intune 中,這位於「裝置」>「組態設定檔」>「範本」>「Wi-Fi」。將 WiFi 類型設定為「企業級」,輸入您的 SSID,將 EAP 類型設定為「EAP-TLS」,設定伺服器信任設定(在此處引用 RADIUS 伺服器憑證名稱),並在用戶端驗證中引用您在步驟三中建立的憑證設定檔。 步驟五:將所有項目指派給正確的群組並進行驗證。將您的根憑證、用戶端憑證和 WiFi 設定檔指派給相同的裝置或使用者群組。使用 Intune 內建的報告功能來監控設定檔部署狀態。成功的部署會在裝置的組態設定檔清單中,將這三個設定檔皆顯示為「成功」。 關於 Windows Server 環境中 NPS 設定的一個關鍵點:自 2024 年初起,Microsoft 收緊了憑證對應要求。如果您在與 Azure AD 聯結的裝置上使用裝置憑證向內部部署的 NPS 進行驗證,則需要確保 Active Directory 中電腦物件上的 altSecurityIdentities 屬性已填入該憑證的指紋。這不會自動發生 — 您需要一個指令碼或工作流程來處理它,通常是在 CA 發行新憑證時觸發。 [實作建議與常見陷阱 — 約 2 分鐘] 讓我為您說明在企業部署中,我最常看到的的三個陷阱。 陷阱一:憑證鏈中斷。裝置需要信任從根 CA 到 RADIUS 伺服器憑證之憑證鏈中的每一個憑證。如果您的 RADIUS 伺服器憑證是由中繼 CA 發行的,您需要將根憑證和中繼憑證同時部署到裝置。我曾見過有些部署失敗了數週,只因為有人部署了根憑證卻沒有部署中繼憑證。 陷阱二:設定檔指派時機。Intune 設定檔不會立即套用到裝置上。在大型環境中,設定檔在指派後可能需要 15 到 30 分鐘才能傳播。請勿在建立設定檔後立即進行測試。請使用 Intune 入口網站中的「同步」按鈕強制進行簽入,然後耐心等待。此外,用戶端憑證設定檔必須在套用 WiFi 設定檔之前部署並確認 — 如果 WiFi 設定檔參照了尚不存在的憑證,該設定檔在某些平台上將會無聲無息地失敗。 陷阱三:BYOD 憑證撤銷。當裝置從 Intune 取消註冊時(例如因為員工離職或裝置遺失),您需要一個流程來撤銷憑證。如果您將 SCEP 與 ADCS 搭配使用,請正確設定憑證撤銷清單(CRL)發行點,並確保您的 RADIUS 伺服器在每次驗證時都會檢查 CRL 或 OCSP。這是 PCI DSS 等框架下的合規性要求,該框架規定在不再需要存取控制機制時,必須立即將其撤銷。 關於合規性的主題:如果您在 PCI DSS 範圍內營運(例如零售支付環境),基於憑證的 802.1X 驗證是您無線網路存取最強大的控制措施。它滿足了 PCI DSS 關於網路存取控制的要求 1.3 以及關於驗證要素的要求 8.6。請將您的憑證生命週期管理流程記錄下來,作為您合規性證據的一部分。 針對受 GDPR 規範的環境,特別是餐旅業與公共部門,企業 802.1X 網路與訪客 WiFi 網路之間的隔離至關重要。您由 Intune 管理的企業網路應位於與任何訪客或訪客網路完全獨立的 VLAN 和 SSID 上。Purple 的訪客 WiFi 平台負責處理面向訪客的部分(Captive Portal、同意書簽署、數據分析),而您由 Intune 管理的企業網路則處理員工和營運設備。這兩個網路絕不應共用驗證基礎架構。 [快速問答 — 約 1 分鐘] 讓我快速解答幾個經常出現的問題。 我可以使用 Intune Cloud PKI 代替地端 ADCS 嗎?可以。微軟於 2024 年推出的 Intune Cloud PKI 在 Azure 中提供了完全託管的 CA。它消除了 SCEP 對 NDES 伺服器的需求,並顯著簡化了連接器設定。對於全新部署或沒有現有 ADCS 基礎架構的組織,這是推薦的路徑。 這適用於 macOS 和 iOS 裝置嗎?是的。Intune 支援 Windows、iOS、iPadOS、Android 和 macOS 的憑證設定檔。設定檔類型和設定選項因平台而異,但核心架構(受信任的根憑證、用戶端憑證、WiFi 設定檔)是一致的。 BYOD 計劃中的個人裝置該如何處理?SCEP 是您的好幫手。透過 Intune 的裝置合規性原則,您可以要求裝置在核發憑證之前必須符合最低安全性標準。如果裝置不符合合規性(例如未設定螢幕鎖定、作業系統過舊),憑證將會被撤銷,並自動移除網路存取權限。 Purple 可以與此架構整合嗎?當然可以。Purple 的平台位於訪客網路端,負責處理 Captive Portal 驗證、同意書管理和數據分析。企業 802.1X 網路與 Purple 的訪客 WiFi 並行運作(相同的實體基礎架構,不同的 SSID 和 VLAN),讓您在員工連線與訪客互動之間實現完全隔離。 [總結與後續步驟 — 約 1 分鐘] 總結來說:透過 Intune 部署 WiFi 憑證是一個包含五個步驟的程序 — CA 設定、受信任的根憑證部署、用戶端憑證設定檔、WiFi 設定檔以及群組指派。針對 BYOD 和高安全性環境選擇 SCEP;針對較簡單的企業專用裝置選擇 PKCS。確保順序正確,處理好 NPS 憑證對應需求,並從第一天起就建立憑證撤銷工作流程。 商業效益顯而易見:您消除了共用的 WiFi 密碼、獲得了針對每個裝置和每個使用者的驗證記錄、滿足了 PCI DSS 和 ISO 27001 無線安全要求,並減少了在大型資產中管理 WiFi 認證資料的 IT 負擔。 如果您正在規劃部署,並希望了解 Purple 的顧客 WiFi 與分析平台如何與您的企業網路架構相結合,請造訪 purple.ai。我們針對 Azure Entra ID 整合、802.1X 架構,以及適用於餐旅、零售和公共部門環境的顧客網路設計,提供了詳細的指南。 感謝您的收聽。我們下次見。

header_image.png

Executive Summary

For enterprise IT leaders managing large-scale environments across Hospitality , Retail , or public-sector venues, secure wireless access is a baseline operational requirement. Relying on shared PSKs (Pre-Shared Keys) or username/password authentication (PEAP-MSCHAPv2) exposes the network to credential theft, phishing, and compliance failures. The industry standard for robust enterprise WiFi security is 802.1X with EAP-TLS (Extensible Authentication Protocol with Transport Layer Security), which mandates mutual certificate-based authentication between the device and the network.

However, the primary barrier to EAP-TLS adoption has historically been the operational overhead of certificate lifecycle management. Microsoft Intune resolves this by automating the delivery, renewal, and revocation of digital certificates to managed devices at scale.

This technical reference details the architecture, deployment methodologies (SCEP vs PKCS), and implementation steps required to push WiFi certificates via Microsoft Intune. It provides actionable guidance for network architects and systems engineers tasked with securing corporate communications while maintaining strict separation from visitor networks, such as those managed by a Guest WiFi platform.

Technical Deep-Dive: Architecture and Protocols

To implement certificate-based authentication effectively, IT teams must understand the interaction between the Mobile Device Management (MDM) platform, the Public Key Infrastructure (PKI), and the network access control layer.

The 802.1X Authentication Framework

The IEEE 802.1X standard defines port-based network access control. In a wireless context, it prevents a device from passing any traffic (other than EAP authentication frames) until its identity is verified. The architecture consists of three components:

  1. Supplicant: The client device (laptop, smartphone, tablet) requesting network access.
  2. Authenticator: The wireless access point or wireless LAN controller that blocks traffic until authentication succeeds.
  3. Authentication Server: The RADIUS (Remote Authentication Dial-In User Service) server, such as Microsoft Network Policy Server (NPS) or Cisco ISE, which validates the credentials and authorises access.

EAP-TLS and Mutual Authentication

EAP-TLS is the most secure EAP method because it requires mutual authentication. The RADIUS server presents its certificate to the supplicant to prove it is the legitimate corporate network (preventing evil-twin attacks), and the supplicant presents its client certificate to the RADIUS server to prove it is an authorised device or user.

architecture_overview.png

Intune Certificate Deployment Mechanisms: SCEP vs PKCS

Microsoft Intune supports two primary protocols for deploying client certificates to devices. Selecting the appropriate mechanism is a critical architectural decision.

Simple Certificate Enrollment Protocol (SCEP)

With SCEP, the private key is generated directly on the client device. The device creates a Certificate Signing Request (CSR) and submits it via Intune to the Network Device Enrollment Service (NDES) server, which acts as a proxy to the Active Directory Certificate Services (ADCS) infrastructure. The CA issues the certificate, which is returned to the device.

Because the private key never leaves the device, SCEP is considered highly secure and is the recommended approach for BYOD (Bring Your Own Device) deployments and zero-trust architectures.

Public Key Cryptography Standards (PKCS)

With PKCS, the Intune Certificate Connector requests the certificate from the CA on behalf of the device. The CA generates both the public certificate and the private key, which the connector then securely delivers to the device via Intune.

While PKCS simplifies the infrastructure requirements (no NDES server is needed), the private key is transmitted across the network. This model is generally acceptable for corporate-owned, fully managed device fleets where the MDM platform is already a highly trusted component.

certificate_deployment_comparison.png

Implementation Guide: Step-by-Step Deployment

Deploying Wi-Fi certificates via Intune requires precise sequencing. Deploying profiles out of order is the most common cause of implementation failure.

Step 1: Prepare the Public Key Infrastructure (PKI)

Whether utilising on-premises ADCS or a cloud-native solution like Microsoft Cloud PKI, the Certificate Authority must be configured with the appropriate templates.

  • Key Usage: The template must include the Client Authentication OID (1.3.6.1.5.5.7.3.2).
  • Key Size: Configure a minimum key size of 2048 bits (RSA) to align with modern cryptographic standards.
  • Subject Name: For user certificates, the Subject Alternative Name (SAN) should be configured to use the User Principal Name (UPN). For device certificates, use the Azure AD Device ID.

Step 2: Deploy the Trusted Root Certificate

Before a device can authenticate, it must trust the CA that issued the RADIUS server's certificate.

  1. Export the Root CA certificate (and any intermediate CA certificates) in .cer format.
  2. In the Intune admin centre, navigate to Devices > Configuration profiles > Create profile.
  3. Select the platform and choose the Trusted certificate profile type.
  4. Upload the .cer file and assign the profile to the target device or user groups.

Note: This profile must successfully apply to devices before proceeding to the next steps.

Step 3: Deploy the Client Certificate Profile

Create either a SCEP or PKCS certificate profile to deliver the identity certificate to the supplicant.

  1. Navigate to Devices > Configuration profiles > Create profile.
  2. Select the platform and choose either SCEP certificate or PKCS certificate.
  3. Configure the Subject Name format and SAN according to your identity requirements (User vs. Device).
  4. Specify the Key Storage Provider (KSP) — typically the Trusted Platform Module (TPM) for hardware-backed security.
  5. Assign the profile to the same groups targeted in Step 2.

Step 4: Configure the WiFi Profile

The final component binds the certificates to the wireless network settings.

  1. Navigate to Devices > Configuration profiles > Create profile.
  2. Select the platform and choose the Wi-Fi profile type.
  3. Set the Wi-Fi type to Enterprise and enter the exact SSID.
  4. Set the EAP type to EAP-TLS.
  5. Under Server Trust, specify the exact name of the RADIUS server certificate and select the Trusted Root certificate profile deployed in Step 2.
  6. Under Client Authentication, select the SCEP or PKCS certificate profile deployed in Step 3.
  7. Assign the profile to the target groups.

Best Practices & Strategic Recommendations

Device vs. User Certificates

Network architects must decide whether to issue certificates to the device (machine authentication) or the user (user authentication).

  • Device Certificates: Allow the machine to connect to the WiFi network before a user logs in. This is critical for initial device provisioning, Group Policy processing, and password resets at the login screen. Recommended for corporate-owned devices.
  • User Certificates: Tie network access to the individual's identity. This provides granular auditing and role-based access control. Recommended for BYOD scenarios.

Network Segmentation and Guest Access

A fundamental security principle is the strict logical separation of the corporate 802.1X network from visitor or public access networks. The Intune-managed infrastructure should be dedicated exclusively to corporate devices and authenticated staff.

For visitor access, organisations should deploy a dedicated Guest WiFi SSID backed by a captive portal. This ensures that unmanaged devices are isolated, while still allowing the business to capture visitor analytics via a WiFi Analytics platform. To learn more about securing DNS infrastructure across both segments, review our guide on how to Protect Your Network with Strong DNS and Security .

Addressing the NPS Certificate Mapping Requirement

For organisations utilising Microsoft Network Policy Server (NPS) with Azure AD-joined devices, a critical configuration change was introduced by Microsoft. NPS now requires strong certificate mapping.

When using device certificates, the computer object in the on-premises Active Directory must have its altSecurityIdentities attribute populated with the certificate's details (typically the X509IssuerSerialNumber). IT teams must implement a scheduled script or event-driven workflow to update this attribute when Intune issues a new certificate, otherwise authentication will fail.

Troubleshooting & Risk Mitigation

When an 802.1X deployment fails, the issue almost always resides in the certificate chain or the Intune profile sequencing.

Common Failure Modes

  1. Silent WiFi Profile Failure: If the Intune WiFi profile is applied to a device before the client certificate has been successfully provisioned, the WiFi profile will often fail to install or will fail silently. Always verify certificate presence in the device's Personal store (certmgr.msc on Windows) before troubleshooting the WiFi configuration.
  2. Server Trust Validation Errors: If the device rejects the RADIUS server, verify that the server name specified in the Intune WiFi profile exactly matches the Subject Name or SAN on the RADIUS server's certificate. Additionally, ensure that the entire certificate chain (Root and Intermediate) is present in the device's Trusted Root Certification Authorities store.
  3. Certificate Revocation List (CRL) Unavailability: If the RADIUS server cannot reach the CA's CRL distribution point to verify the client certificate's status, authentication will be denied. Ensure the CRL URL is highly available and accessible from the RADIUS server.

ROI & Business Impact

Transitioning to certificate-based WiFi authentication via Intune delivers significant operational and security returns.

  • Risk Mitigation: Eliminates the risk of credential harvesting, pass-the-hash attacks, and unauthorised network access via shared PSKs.
  • Operational Efficiency: Reduces IT helpdesk tickets related to password expirations and WiFi connectivity issues. The automated lifecycle management means certificates are renewed transparently without user intervention.
  • Compliance Enablement: Satisfies stringent regulatory requirements. For retail environments, it directly addresses PCI DSS requirements for robust wireless encryption and authentication. For public sector and healthcare, it aligns with zero-trust network access (ZTNA) principles.

By leveraging Microsoft Intune for certificate deployment, IT teams can achieve a frictionless, highly secure wireless experience that operates silently in the background, allowing the business to focus on core operations.

關鍵定義

802.1X

一項用於基於連接埠之網路存取控制的 IEEE 標準,可防止未經授權的裝置存取區域網路 (LAN) 或無線區域網路 (WLAN),直到其成功通過驗證。

在企業環境中,以企業級驗證取代共享 WiFi 密碼的基礎安全性協定。

EAP-TLS

採用傳輸層安全性的可延伸驗證協定。一種驗證架構,要求用戶端和伺服器雙方皆必須使用數位憑證來證明其身分。

在 Intune WiFi 設定檔中設定的特定協定,用於強制執行雙向憑證驗證,消除憑證被盜的風險。

SCEP

簡單憑證登冊協定。一種機制,用戶端裝置會自行產生私鑰,並透過中介伺服器向憑證授權單位 (CA) 要求憑證。

BYOD 環境的首選部署方法,因為私鑰絕不會透過網路傳輸。

PKCS

公鑰加密標準。在 Intune 的情境中,這是一種部署方法,由 CA 產生私鑰,並由 Intune Connector 安全地將其傳遞至裝置。

常用於企業專屬裝置群的較簡單部署架構,因為它不需要 NDES 伺服器。

NDES

網路裝置登冊服務。一種 Microsoft 伺服器角色,充當 Proxy 代理程式,允許在沒有網域認證的情況下執行的裝置從 Active Directory 憑證授權單位取得憑證。

在內部部署 ADCS 環境中透過 SCEP 部署憑證時,不可或缺的基礎架構元件。

RADIUS

遠端使用者撥入驗證服務。一種網路協定,提供集中式的驗證、授權和計費 (AAA) 管理。

從 WiFi 存取點接收驗證要求並驗證裝置憑證的伺服器(例如 Microsoft NPS 或 Cisco ISE)。

Supplicant

終端使用者裝置(筆記型電腦、智慧型手機)上的軟體用戶端,用於啟動 802.1X 驗證程序。

Intune WiFi 設定檔會設定原生作業系統用戶端(例如 Windows WLAN AutoConfig)以使用正確的憑證和 EAP 方法。

Certificate Revocation List (CRL)

由憑證授權單位發佈的數位簽署清單,其中包含已撤銷且不應再受信任的憑證序號。

對於安全性合規至關重要;RADIUS 伺服器必須檢查 CRL,以確保連線的裝置未被回報遺失或遭竊。

範例

一家擁有 400 個據點的零售連鎖店正在部署公司擁有的平板電腦以進行庫存管理。這些裝置完全透過 Intune 管理並加入 Azure AD。裝置在開機後需要立即存取網路以同步庫存資料庫,且必須在任何特定使用者登入之前完成。網路基礎架構使用 Cisco ISE 作為 RADIUS 伺服器。最佳的憑證部署策略是什麼?

IT 團隊應實作 PKCS 裝置憑證。

  1. 在憑證授權單位 (CA) 上設定裝置憑證範本。
  2. 透過 Intune 將根 CA 憑證部署到平板電腦。
  3. 在 Intune 中建立 PKCS 憑證設定檔,將主體名稱格式設定為 Azure AD 裝置識別碼 ({{AAD_Device_ID}})。
  4. 建立指定 EAP-TLS 的企業 WiFi 設定檔,並參照 ISE 伺服器的憑證名稱和已部署的 PKCS 設定檔。
  5. 將所有設定檔指派給包含平板電腦的裝置群組。
考官評語: 此處適合使用 PKCS,因為裝置為公司所有且完全受管理,從而降低了與私鑰傳輸相關的風險。裝置憑證是強制性的,因為平板電腦在使用者登入之前需要網路存取。透過將目標設定為 Azure AD 裝置識別碼,Cisco ISE 可以驗證特定的硬體資產,並將其指派給正確的受限庫存 VLAN。

一家大型教學醫院允許醫療人員使用其個人智慧型手機 (BYOD) 存取臨床排班應用程式。這些裝置透過工作設定檔 (Work Profile) 註冊於 Intune 中。安全性原則規定個人裝置上不得儲存任何公司認證,且如果裝置遭到入侵,必須立即撤銷其網路存取權限。應如何設計 WiFi 驗證?

醫院必須實作 SCEP 使用者憑證,並結合 Intune 合規性原則。

  1. 部署 NDES 伺服器以將請求代理至 CA。
  2. 在 Intune 中建立 SCEP 使用者憑證設定檔,並將 SAN 設定為使用者主體名稱 ({{UserPrincipalName}})。
  3. 建立 Intune 合規性原則,要求最低作業系統版本、啟用的螢幕鎖定,且無越獄/Root 權限。
  4. 設定 CA 以發佈高可用性的憑證撤銷清單 (CRL)。
  5. 設定 RADIUS 伺服器,在每次驗證嘗試時嚴格執行 CRL 檢查。
考官評語: 對於 BYOD 而言,SCEP 是唯一可接受的選擇,因為私鑰是在個人裝置上產生的,無法被攔截。為了符合 HIPAA/GDPR 稽核要求,需要使用使用者憑證將網路活動與特定臨床醫生進行關聯。關鍵元件是與 Intune 合規性原則的整合;如果裝置變得不合規,Intune 可以觸發憑證撤銷,而 RADIUS 伺服器的 CRL 檢查將立即封鎖網路存取。

練習題

Q1. 您的組織正在將企業 WiFi 從 PEAP-MSCHAPv2(使用者名稱/密碼)遷移到 EAP-TLS。在試行階段,數台 Windows 11 筆記型電腦成功接收了 Intune 設定設定檔,但無法連線到網路。檢視 Windows 事件檢視器顯示事件識別碼 20271,指出 RADIUS 伺服器憑證遭到拒絕。最可能的原因是什麼?

提示:考慮雙向驗證所需的信任鏈。

查看標準答案

裝置缺少簽發 RADIUS 伺服器憑證的受信任根憑證授權單位(Root CA)憑證。在 EAP-TLS 中,裝置必須驗證 RADIUS 伺服器的身分。IT 團隊必須確保包含根 CA(以及任何中介 CA)的「受信任憑證」設定檔已透過 Intune 部署到裝置並成功安裝,然後 WiFi 設定檔才能嘗試連線。

Q2. 某公部門場域正在使用 Intune 和 PKCS 憑證為員工裝置部署 802.1X。他們還營運一個由 Guest WiFi 平台管理的獨立訪客網路。稽核員指出,如果員工筆記型電腦失竊,該憑證在 12 個月內仍然有效。網路架構師應如何因應此風險?

提示:驗證伺服器如何在憑證過期前得知其已不再有效?

查看標準答案

架構師必須實作健全的憑證撤銷工作流程。首先,確保 CA 將憑證撤銷清單(CRL)發佈到高可用性的發佈點。其次,設定 RADIUS 伺服器(例如 NPS)在每次驗證嘗試期間強制進行 CRL 檢查。最後,建立 Intune 營運程序,明確撤銷任何標記為遺失或遭竊裝置的憑證,這將更新 CRL 並封鎖網路存取。

Q3. 您正在為零售環境中的一批共享 Kiosk 裝置設計 Intune 部署。這些裝置每天都會重新啟動,且必須在任何使用者與其互動之前立即連線到企業網路以下載更新。您應該部署「使用者憑證」還是「裝置憑證」?應使用何種主體別名(SAN)格式?

提示:考慮裝置重新啟動後立即處於的狀態。

查看標準答案

您必須部署「裝置憑證」。因為 Kiosk 裝置在使用者登入前需要網路存取權限,所以使用者憑證在開機時將無法使用。Intune 憑證設定檔中的主體別名(SAN)應設定為使用 Azure AD 裝置識別碼({{AAD_Device_ID}})或裝置的完整網域名稱,以便 RADIUS 伺服器驗證特定的硬體資產。