Koble Apple-enheter til 802.1X-nettverk
Du kan sikkert koble Apple-enheter til organisasjonens 802.1X-nettverk. Dette inkluderer Wi-Fi- og Ethernet-forbindelser.
Enhet | Tilkoblingsmetode | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 eller nyere) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 eller nyere) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (tredje generasjon) Wi-Fi | Wi-Fi Ethernet (tvOS 17 eller nyere) | ||||||||||
Apple TV 4K (tredje generasjon) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 eller nyere) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
I løpet av 802.1X-forhandlingen presenterer RADIUS-tjeneren automatisk sertifikatet til enhetssupplikanten. Supplikanten må kunne kontrollere sertifikatet til RAIDUS-tjeneren, enten ved at det brukes et eget sertifikat eller ved hjelp av en liste over forventede vertsnavn, som stemmer med sertifikatets vert. Selv om et sertifikat er utstedt av en kjent sertifikatautoritet og oppført i enhetens godkjente rotlager, må det også være godkjent for et bestemt formål. Da må tjenerens sertifikat være godkjent for RADIUS-tjenesten. Det gjøres enten manuelt når brukeren blir en del av et bedriftsnettverk og blir bedt om å godkjenne sertifikatet for det tilkoblede Wi-Fi-nettverket, eller ved hjelp av en konfigurasjonsprofil.
Det er ikke nødvendig å etablere en sertifikatgodkjenningskjede i den samme profilen som inneholder 802.1X-konfigurasjonen. En administrator kan for eksempel velge å rulle ut en organisasjons godkjenningssertifikat i en frittstående profil og kan legge 802.1X-konfigurasjonen i en egen profil. På den måten kan endringer i profilene administreres uavhengig av hverandre.
802.1X-konfigurasjonen kan angi flere parametere, blant annet følgende:
EAP-typer:
For user name–based and password-based EAP types (such as PEAP): Brukernavnet eller passordet kan oppgis i profilen. Hvis de ikke oppgis, blir brukeren bedt om å oppgi dem.
For sertifikatidentitetsbaserte EAP-typer (for eksempel EAP-TLS): Velg nyttelasten som inneholder sertifikatidentiteten for autentisering. Dette kan være en Active Directory Certificate-nyttelast (kun macOS), en ACME-nyttelast, en PKCS #12-identitetssertifikatfil (.p12 eller .pfx) i sertifikaternyttelasten, eller en SCEP-nyttelast. iOS-, iPadOS- og macOS-supplikanter bruker som standard sertifikatidentitetens navn (common name) for EAP-svaridentiteten det sender til RADIUS-tjeneren i løpet av 802.1X-forhandling. Hvis du vil ha mer informasjon, kan du se Metoder for sertifikatutrulling med MDM-nyttelaster.
Viktig: I iOS 17, iPadOS 17 og macOS 14 støtter enheter tilkoblinger til 802.1X-nettverk ved bruk av EAP-TLS med TLS 1.3 (EAP-TLS 1.3).
Shared iPad EAP credentials: Delt iPad bruker de samme EAP-akkreditivene for hver bruker.
Trust:
Trusted certificates: Hvis RADIUS-tjenerens bladsertifikat leveres i en sertifikatnyttelast i samme profil som inneholder 802.1X-konfigurasjonen, kan administratoren velge den her. Dette konfigurerer klientsupplikanten til å kun koble til et 802.1X-nettverk med en RADIUS-tjener som presenterer et av sertifikatene på denne listen. Når 802.1X-tilkoblingen konfigureres på denne måten, blir den kryptografisk festet til spesifikke sertifikater.
Trusted server certificate names: Bruk denne rekken til å konfigurere supplikanten til kun å koble til RADIUS-tjenere som presenterer sertifikater som samsvarer med disse navnene. Dette feltet støtter jokertegn: *.betterbag.com forventer for eksempel sertifikatnavnene radius1.betterbag.com og radius2.betterbag.com. Administratorer kan bruke jokertegn for å få bedre fleksibilitet ved endringer av tilgjengelige RADIUS- eller sertifikatautoritetstjenere.
802.1X-konfigurasjoner for Mac
Du kan også bruke WPA-/WPA2-/WPA3 Enterprise-autentisering i påloggingsvinduet i macOS, slik at brukeren logger på for å autentiseres mot nettverket. Oppsettassistenten i macOS har også støtte for 802.1X-autentisering med brukernavn og passordakkreditiver med TTLS eller PEAP. Hvis du vil ha mer informasjon, kan du se Apple-kundestøtteartikkelen Use Login Window Mode for 802.1X authentication to a network.
Følgende 802.1X-konfigurasjoner finnes:
User Mode: Denne modusen, som er den enkleste å konfigurere, brukes når brukeren kobler til nettverket fra Wi-Fi-menyen og autentiserer på forespørsel. Brukeren må godta RADIUS-tjenerens X.509-sertifikat og godkjenne Wi-Fi-tilkoblingen.
System Mode: System Mode brukes til autentisering av datamaskiner. Autentisering med System Mode skjer før brukeren logger på datamaskinen. System Mode brukes vanligvis for å sørge for autentisering mot datamaskinens X.509-sertifikat (EAP-TLS), som er utstedt av en lokal sertifikatautoritet.
System+User Mode: En System+User-konfigurasjon brukes ofte i én-til-én-utrullinger der datamaskinen autentiseres mot X.509-sertifikatet sitt (EAP-TLS). Når brukeren har logget på datamaskinen, kan de koble til Wi-Fi-nettverket fra Wi-Fi-menyen og oppgi akkreditivene sine. Brukerakkreditiver kan for eksempel være et brukernavn og en passordfrase (EAP-PEAP, EAP-TTLS) eller et brukersertifikat (EAP-TLS). Når brukeren har koblet til nettverket, lagres akkreditivene på påloggingsnøkkelringen og brukes ved framtidige tilkoblinger til nettverket.
Login Window Mode: Denne modusen brukes når datamaskinen er knyttet til en lokal katalogtjeneste, for eksempel Active Directory. Når Login Window Mode er konfigurert og en bruker oppgir brukernavn og passordfrase i påloggingsvinduet, autentiseres brukeren mot datamaskinen og deretter mot nettverket med 802.1X-autentisering. Login Window Mode sender kun brukernavnet og passordet når Login Window vises første gang. Hvis Macen går i dvalemodus og tiden løper ut etter at WLAN-kontrolleren har vært inaktiv en stund, vil en Mac som kun er konfigurert med Login Window Mode måtte startes på nytt eller brukeren må logge av. Deretter kan brukeren skrive inn brukernavn og passord på nytt.
Merk: System Mode, System+User Mode (kreves for System Mode-konfigurering) og Login Window Mode krever konfigurering av en MDM-løsning. Konfigurer innstillinger for Nettverk-nyttelaster med ønskede Wi-Fi-nettverksinnstillinger, og send forespørsel om System Mode til en enhet eller en enhetsgruppe innenfor gjeldende begrensninger.
802.1X og Delt iPad
Du kan bruke Delt iPad med 802.1X-nettverk. Hvis du vil ha mer informasjon, kan du se Delt iPad og 802.1X-nettverk.