Connecter des appareils Apple à des réseaux 802.1X
Vous pouvez connecter des appareils Apple au réseau 802.1X de votre établissement en toute sécurité. Cela comprend les connexions Wi-Fi et Ethernet.
Appareil | Méthode de connexion | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 ou ultérieur) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 ou ultérieur) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (3e génération) Wi-Fi | Wi-Fi Ethernet (tvOS 17 ou ultérieur) | ||||||||||
Apple TV 4K (3e génération) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 ou ultérieur) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Lors de la négociation 802.1X, le serveur RADIUS présente automatiquement son certificat au demandeur d’appareils. Le certificat du serveur RADIUS doit être approuvé par le demandeur soit en approuvant un certificat particulier ou une liste des noms dʼhôtes attendus correspondant à lʼhôte du certificat. Même lorsquʼun certificat est émis par une AC connue et figure dans la liste des certificats racine de confiance stockés sur lʼappareil, il doit également être approuvé pour un usage particulier. Dans ce cas, le certificat du serveur doit être approuvé pour le service RADIUS. Cela sʼeffectue soit manuellement, lorsque vous rejoignez un réseau dʼentreprise, lʼutilisateur est invité à approuver le certificat pour le réseau Wi-Fi connecté, soit via un profil de configuration.
Il n’est pas nécessaire d’établir une chaîne de certificat de confiance dans le profil contenant la configuration 802.1X. Par exemple, un administrateur peut choisir de déployer le certificat de confiance d’une organisation dans un profil autonome et peut placer la configuration des normes 802.1X dans un autre profil. De cette façon, les modifications apportées à chaque profil peuvent être gérées indépendamment.
Entre autres paramètres, la configuration 802.1X peut aussi indiquer :
Types d’EAP :
Pour les types d’EAP exigeant un nom et un mot de passe (comme les PEAP) : Le nom ou le mot de passe de l’utilisateur peut être fourni dans le profil. Si tel n’est pas le cas, l’utilisateur est invité à les fournir.
Pour les types d’EAP exigeant une identité (comme l’EAP-TLS) : Sélectionnez les données utiles contenant l’identité de certificat pour l’authentification. Il peut s’agir de données utiles « Active Directory Certificate » (macOS uniquement), de données utiles ACME, dʼun certificat d’identité sous forme de fichier PKCS #12 (.p12 ou .pfx) dans les données utiles Certificats, ou bien des données utiles SCEP. Par défaut, les demandeurs iOS, iPadOS et macOS utilisent le nom commun de l’identité de certificat pour l’Identité de réponse EAP qu’ils envoient au serveur RADIUS lors de la négociation 802.1X. Pour plus d’informations, consultez la section Méthodes de déploiement de certificats à l’aide de données utiles MDM.
Important : sous iOS 17, iPadOS 17 et macOS 14, les appareils prennent désormais en charge les connexions aux réseaux 802.1X via EAP-TLS avec TLS 1.3 (EAP-TLS 1.3).
Identifiants EAP d’iPad partagé : iPad partagé utilise le même identifiant EAP pour chaque utilisateur.
Se fier :
Certificats approuvés : Si le certificat nœud terminal du serveur RADIUS est fourni dans des données utiles de certificat dans le même profil qui contient la configuration 802.1X, l’administrateur peut le sélectionner ici. Cela configure le demandeur client afin qu’il se connecte uniquement à un réseau 802.1X à l’aide d’un serveur RADIUS présentant un des certificats figurant dans cette liste. Lors d’une telle configuration, la connexion 802.1X est cryptographiquement épinglée à des certificats en particulier.
Noms de certificats de serveurs approuvés : Utilisez ce tableau pour configurer le demandeur afin qu’il se connecte uniquement aux serveurs RADIUS présentant les certificats qui correspondent à ces noms. Ce champ prend en charge les métacaractères ; par exemple, *.betterbag.com s’attend aux noms communs de certificat radius1.betterbag.com et radius2.betterbag.com. Les métacaractères fournissent aux administrateurs davantage de flexibilité lorsque des changements se produisent concernant les serveurs RADIUS ou d’autorité de certificat disponibles.
Configurations 802.1X pour Mac
Vous pouvez également utiliser l’authentification WPA/WPA2/WPA3 Entreprise dans la fenêtre de connexion de macOS, afin que l’utilisateur se connecte pour s’authentifier sur le réseau. L’Assistant réglages de macOS prend également en charge l’authentification 802.1X avec un nom d’utilisateur et un mot de passe utilisant le protocole TTLS ou PEAP. Pour en savoir plus, consultez l’article Utilisez le mode d’ouverture de session pour l’authentification 802.1X à un réseau de l’assistance Apple.
Les types de configurations 802.1X sont les suivants :
Mode Utilisateur : Ce mode, le plus simple à configurer, est utilisé lorsqu’un utilisateur se connecte au réseau depuis le menu Wi-Fi et s’authentifie lorsqu’il y est invité. L’utilisateur doit accepter le certificat X.509 et la fiabilité du serveur RADIUS pour la connexion Wi-Fi.
Mode Système : Le mode Système est utilisé pour l’authentification de l’ordinateur. L’authentification faisant appel au mode Système a lieu avant la connexion d’un utilisateur à l’ordinateur. Le mode Système est généralement configuré de façon à fournir une authentification avec le certificat X.509 (EAP-TLS) de l’ordinateur, délivré par une autorité de certification locale.
Mode Système+Utilisateur : Une configuration Système+Utilisateur fait souvent partie d’un déploiement individuel où l’ordinateur est authentifié à l’aide de son certificat X.509 (EAP-TLS). Une fois que l’utilisateur est connecté à l’ordinateur, il peut se connecter au réseau Wi-Fi depuis le menu Wi-Fi et saisir ses informations d’authentification. Les informations d’authentification de l’utilisateur peuvent consister en un nom d’utilisateur et une phrase secrète (EAP-PEAP, EAP-TTLS) ou un certificat d’utilisateur (EAP-TLS). Une fois que l’utilisateur s’est connecté au réseau, ses informations d’authentification sont stockées dans le trousseau de session et utilisées pour se connecter au réseau lors de connexions ultérieures.
Mode Fenêtre de connexion : Ce mode est utilisé lorsque l’ordinateur est relié à un service d’annuaire local sur site, comme Active Directory. Lorsque le mode Fenêtre de connexion est configuré et lorsqu’un utilisateur saisit son nom d’utilisateur et sa phrase secrète sur la fenêtre de connexion, l’utilisateur est authentifié sur l’ordinateur, puis sur le réseau à l’aide de l’authentification 802.1X. Le mode Fenêtre de connexion transmet le nom d’utilisateur et le mot de passe uniquement lors de la première apparition de la fenêtre de connexion. Si un Mac suspend son activité et que le délai d’inactivité du contrôleur WLAN est dépassé, un Mac configuré uniquement avec le mode Fenêtre de connexion doit être redémarré ou l’utilisateur doit se déconnecter. L’utilisateur peut alors saisir à nouveau son nom d’utilisateur et son mot de passe.
Remarque : les modes Système, Système+Utilisateur (requis pour la configuration du mode Système), et Fenêtre de connexion requièrent une configuration par une solution MDM. Configurez les réglages Réseau des données utiles avec les réglages de réseau Wi-Fi souhaités et appliquez-les aux appareils ou aux groupes d’appareils concernés par le mode Système.
802.1X et iPad partagé
Vous pouvez utiliser la fonctionnalité iPad partagé avec des réseaux 802.1X. Pour plus d’informations, consultez la section iPad partagé et réseaux 802.1X.