Opret forbindelse fra Apple-enheder til 802.1X-netværk
Du kan oprette en sikker forbindelse fra Apple-enheder til organisationens 802.1X-netværk. Dette omfatter Wi-Fi- og Ethernet-forbindelser.
Enhed | Forbindelsesmetode | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 eller en nyere version) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 eller en nyere version) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (3. generation) Wi-Fi | Wi-Fi Ethernet (tvOS 17 eller en nyere version) | ||||||||||
Apple TV 4K (3. generation) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 eller en nyere version) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Under 802.1X-forhandlingen sender RADIUS-serveren automatisk sit certifikat til enhedssupplikanten. RADIUS-servercertifikatet skal godkendes af supplikanten ved enten at forankre godkendelse til et bestemt certifikat eller til en liste over forventede værtsnavne, der svarer til certifikatets vært. Selv når et certifikat er udstedt af en kendt certifikatmyndighed og opført i det godkendte rodlager på enheden, skal det også godkendes til et bestemt formål. I dette tilfælde skal serverens certifikat godkendes til RADIUS-tjenesten. Dette gøres enten manuelt under tilslutning til et virksomhedsnetværk, når brugeren bliver bedt om at godkende certifikatet for det tilsluttede Wi-Fi-netværk, eller i en konfigurationsprofil.
Det er ikke nødvendigt at etablere en certifikatkæde, der er godkendt, i den samme profil, som indeholder 802.1X-konfigurationen. En administrator kan f.eks. vælge at implementere en organisations certifikat, som er godkendt, i en selvstændig profil og placere 802.1X-konfigurationen i en separat profil. På denne måde kan ændringer til begge profiler administreres uafhængigt af hinanden.
Blandt andre parametre kan 802.1X-konfigurationen også angive:
EAP types:
For user name–based and password-based EAP types (such as PEAP): Brugernavnet eller adgangskoden kan angives i profilen. Hvis de ikke er angivet, bliver brugeren spurgt om dem.
Til EAP-typer (f.eks. EAP-TLS), som er baseret på certifikatidentitet: Vælg de data, som indeholder certifikatidentiteten til godkendelse. Det kan være data i Active Directory-certifikat (kun macOS), data i ACME, et arkiv af typen PKCS #12-identitetscertifikat (.p12 eller .pfx) i certifikatsdata eller SCEP-data. Som standard bruger iOS-, iPadOS- og macOS-supplikanter det fælles navn for certifikatidentitet til den EAP-svaridentitet (EAP Response Identity), der sendes til RADIUS-serveren under 802.1X-forhandling. Du kan få flere oplysninger i Metoder til implementering af certifikat vha. MDM-data.
Vigtigt: I iOS 17, iPadOS 17 og macOS 14 understøtter enhederne nu forbindelser til 802.1X-netværk vha. EAP-TLS med TLS 1.3 (EAP-TLS 1.3).
Shared iPad EAP credentials: Delt iPad bruger de samme EAP-brugeroplysninger til hver bruger.
Trust:
Trusted certificates: Hvis RADIUS-serverens bladcertifikat leveres i certifikatdata i den samme profil, som indeholder 802.1X-konfigurationen, kan administratoren vælge det her. Dette konfigurerer klientsupplikanten til kun at oprette forbindelse til et 802.1X-netværk med en RADIUS-server, som kan fremvise et af certifikaterne på denne liste. Når 802.1X-forbindelsen konfigureres på den måde, kædes den kryptografisk sammen med bestemte certifikater.
Trusted server certificate names: Brug denne række til at konfigurere supplikanten til kun at oprette forbindelse til RADIUS-servere, som kan fremvise certifikater, der svarer til disse navne. Dette felt understøtter jokertegn, f.eks. forventer *.betterbag.com de almindelige certifikatnavne radius1.betterbag.com og radius2.betterbag.com. Jokertegn giver administratorer større fleksibilitet, når der sker ændringer i tilgængelige RADIUS- eller certifikatmyndighedsservere.
802.1X-konfigurationer til Mac
Du kan også bruge WPA/WPA2/WPA3 Enterprise-godkendelse i loginvinduet i macOS, så brugeren logger ind for at blive godkendt på netværket. Indstillingsassistent til macOS understøtter også 802.1X-godkendelse med godkendelsesoplysninger som brugernavn og adgangskode vha. TTLS eller PEAP. Du kan læse mere i Apple-supportartiklen Use Login Window Mode for 802.1X authentication to a network.
Der er følgende typer 802.1X-konfigurationer:
User Mode: Denne funktion, som er den enkleste at konfigurere, bruges, når en bruger opretter forbindelse til netværket via Wi-Fi-menuen og angiver sine godkendelsesoplysninger, når der bliver bedt om dem. Brugeren skal acceptere RADIUS-serverens X.509-certifikat og godkendelse af Wi-Fi-forbindelsen.
System Mode: Systemfunktionen bruges til computergodkendelse. Godkendelse med Systemfunktion sker, før en bruger logger ind på computeren. Systemfunktion konfigureres som regel til at levere godkendelse med computerens X.509-certifikat (EAP-TLS), som er udstedt af en lokal certifikatmyndighed.
System+User Mode: En system- og brugerkonfiguration er ofte en del af en implementering af typen en til en, hvor computeren godkendes med sit X.509-certifikat (EAP-TLS). Når brugeren har logget ind på computeren, kan vedkommende oprette forbindelse til Wi-Fi-netværket via Wi-Fi-menuen og indtaste sine godkendelsesoplysninger. Godkendelsesoplysningerne kan være et brugernavn og en adgangskode (EAP-PEAP, EAP-TTLS) eller et brugercertifikat (EAP-TLS). Når brugeren har oprettet forbindelse til netværket, lagres vedkommendes godkendelsesoplysninger i loginnøgleringen og bruges fremover til at oprette forbindelse til netværket.
Login Window Mode: Denne funktion bruges, når computeren er sammenkædet med en lokal bibliotekstjeneste som f.eks. Active Directory. Når funktionen med loginvindue er konfigureret, og en bruger indtaster sit brugernavn og sin adgangskode i loginvinduet, bliver brugeren godkendt på computeren og derefter på netværket vha. 802.1X-godkendelse. Login Window Mode godkender kun godkendelsesoplysningerne med brugernavn og adgangskode, første gang loginvinduet vises. Hvis Mac-computeren kun er konfigureret med Login Window Mode, og den går på vågeblus, og WLAN-styreenhedens passive sessionstid udløber, skal Mac-computeren startes igen, eller brugeren skal logge ud. Brugeren kan derefter indtaste brugernavn og adgangskode igen.
Bemærk: System Mode, System+User Mode (påkrævet til System Mode-konfigurationen) og Login Window Mode kræver konfiguration af en MDM-løsning. Konfigurer indstillingerne til data i Network (netværk) med de ønskede værdier til Wi-Fi-netværket, og vælg den omfattede enhed eller enhedsgruppe ved systemfunktionen.
802.1X og Delt iPad
Du kan bruge Delt iPad med 802.1X-netværk. Du kan få flere oplysninger i Delt iPad og 802.1X-netværk.