Ligar dispositivos Apple a redes 802.1X
Pode ligar dispositivos Apple em segurança à rede 802.1X da organização. Isso inclui ligações Wi-Fi e Ethernet.
Dispositivo | Método de ligação | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 ou posterior) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 ou posterior) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (3.ª geração) Wi-Fi | Wi-Fi Ethernet (tvOS 17 ou posterior) | ||||||||||
Apple TV 4K (3.ª geração) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 ou posterior) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Durante a negociação de 802.1X, o servidor RADIUS apresenta o respetivo certificado automaticamente ao dispositivo solicitante. É necessário que o certificado do servidor RADIUS seja confiado pelo solicitante, seja pela ancoragem de confiança a um certificado específico ou a uma lista de nomes de host que correspondem ao host do certificado. Mesmo quando um certificado é emitido por uma CA conhecida e listado no armazenamento de raiz de confiança no dispositivo, também tem de ser de confiança por um motivo específico. Nesse caso, é necessário que o certificado do servidor seja fidedigno para o serviço RADIUS. Isso é efetuado manualmente, ao aceder à rede de uma empresa conforme o utilizador recebe um aviso para confiar no certificado para a rede Wi-Fi ligada ou num perfil de configuração.
Não é necessário estabelecer uma cadeia de certificados autorizada no mesmo perfil que contém a configuração 802.1X. Por exemplo, um administrador pode optar por implementar um certificado autorizado de uma organização num perfil independente e pode colocar a configuração 802.1X num perfil diferente. Deste modo, as modificações de cada perfil podem ser geridas separadamente umas das outras.
Entre outros parâmetros, a configuração 802.1X também pode especificar:
EAP types (Tipos EAP):
For user name–based and password-based EAP types (such as PEAP) (Tipos EAP baseados no nome de utilizador e em palavra-passe (como por exemplo PEAP)): o nome de utilizador ou a palavra-passe podem ser fornecidos no perfil. Se não tiverem sido fornecidos, serão solicitados ao utilizador.
For certificate identity–based EAP types (such as EAP-TLS) (Para tipos de EAP baseados na identidade de certificado (como por exemplo EAP-TLS)): selecione a carga útil que contêm a identidade do certificado para autenticação. Esta pode ser uma carga útil de certificado de Active Directory (apenas macOS), uma carga útil de ACME, um ficheiro de certificado de identidade PKCS #12 na carga útil de certificados ou uma carga útil SCEP. Por predefinição, o iOS, iPadOS e o macOS solicitantes utilizam o nome comum da identidade do certificado para a identidade de resposta EAP que ele envia para o servidor RADIUS durante uma negociação 802.1X. Encontrará informação adicional em Métodos de implementação de certificados usando as cargas úteis de MDM.
Importante: no iOS 17, iPadOS 17 e macOS 14, os dispositivos agora suportam ligações a redes 802.1X usando o EAP-TLS com TLS 1.3 (EAP-TLS 1.3).
Shared iPad EAP credentials (Credenciais de EAP do iPad partilhado): a funcionalidade iPad partilhado usa a mesma credencial de EAP para cada utilizador.
Trust (Confiar):
Trusted certificates (Certificados fidedignos): se o certificado de último nível do servidor RADIUS for fornecido numa carga útil de certificados no mesmo perfil que contém a configuração 802.1X, o administrador pode selecioná-lo aqui. Isso configura o cliente solicitador para estabelecer ligação apenas a uma rede 802.1X com um servidor RADIUS que apresente um dos certificados desta lista. Quando configurado desta forma, a ligação 802.1X é criptograficamente afixada a certificados específicos.
Trusted server certificate names (Nomes de certificados de servidores fidedignos): utilize esta sequência para configurar o solicitante a efetuar a ligação apenas aos servidores RADIUS que apresentem certificados correspondentes a estes nomes. Este campo suporta caracteres universais, por exemplo, *.betterbag.com aceita os nomes de certificado comuns radius1.betterbag.com e radius2.betterbag.com. Os caracteres de substituição dão aos administradores maior flexibilidade quando ocorrem alterações aos servidores de autoridade de certificação ou RADIUS disponíveis.
Configurações 802.1X para Mac
Também pode usar autenticação WPA/WPA2/WPA3 Enterprise na janela de início de sessão do macOS, para que o utilizador inicie sessão para se autenticar na rede. O assistente de configuração do macOS também suporta a autenticação 802.1X com credenciais de nome de utilizador e palavra-passe através de TTLS ou PEAP. Encontrará informação adicional no artigo do Suporte Apple: Utilizar o modo de janela de início de sessão para a autenticação 802.1X numa rede.
Os tipos de configurações 802.1X são os seguintes:
User Mode (Modo de utilizador): este modo, o mais simples de configurar, é usado quando um utilizador acede à rede a partir do menu Wi-Fi e efetua a autenticação quando lhe é solicitado. O utilizador tem de aceitar o certificado X.509 do servidor RADIUS e confiar na ligação Wi-Fi.
System Mode (Modo de sistema): o modo de sistema é usado para a autenticação do computador. A autenticação através do modo de sistema ocorre antes de um utilizador iniciar sessão no computador. O modo de sistema é normalmente configurado para oferecer autenticação com o certificado X.509 do computador (EAP-TLS) emitido por uma autoridade de certificação local.
System+User Mode (Modo de sistema+utilizador): uma configuração sistema+utilizador faz normalmente parte de uma implementação individual em que o computador é autenticado com o respetivo certificado X.509 (EAP-TLS). Após o utilizador iniciar sessão no computador, pode aceder à rede Wi-Fi a partir do menu Wi-Fi e introduzir as respetivas credenciais. As credenciais do utilizador podem ser um nome de utilizador ou frase-passe (EAP-PEAP, EAP-TTLS) ou um certificado de utilizador (EAP-TLS). Após o utilizador estabelecer ligação à rede, as respetivas credenciais são armazenadas no porta-chaves de início de sessão e usadas para aceder à rede em ligações futuras.
Login Window Mode (Modo de janela de início de sessão): este modo é usado quando o computador está vinculado a um diretório externo nas instalações, como o Active Directory. Quando o modo de janela de início de sessão está configurado e um utilizador digita os respetivos nome de utilizador e palavra-passe na janela de início de sessão, o utilizador é autenticado no computador e, depois, na rede através de autenticação 802.1X. O modo da janela de início de sessão transmite as credenciais de nome de utilizador e palavra-passe apenas quando a janela de início de sessão aparece pela primeira vez. Se o Mac entrar em modo de pausa e o tempo de sessão de inatividade do controlador WLAN expirar, é necessário que um Mac configurado apenas com o modo de janela de início de sessão seja reiniciado ou que o utilizador termine sessão. Depois, o utilizador pode novamente introduzir o seu nome e a sua palavra-passe.
Nota: o modo de sistema, o modo de sistema+utilizador (necessário para a configuração do modo de sistema) e o modo de janela de início de sessão requerem configuração por uma solução MDM. Configurar as definições de carga útil da rede com as definições de rede Wi-Fi pretendidas e aplicar no âmbito a um dispositivo ou grupo de dispositivos para o modo de sistema.
802.1X e iPad partilhado
Pode usar o iPad partilhado com redes 802.1X. Encontrará informação adicional em iPad partilhado e redes 802.1X.