Conectar dispositivos Apple a redes 802.1X
Você pode conectar dispositivos Apple com segurança à rede 802.1X da sua organização. Isso inclui conexões Wi-Fi e Ethernet.
Dispositivo | Método de conexão | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 ou posterior) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 ou posterior) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (3ª geração) Wi‑Fi | Wi-Fi Ethernet (tvOS 17 ou posterior) | ||||||||||
Apple TV 4K (3ª geração) Wi‑Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 ou posterior) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Durante a negociação 802.1X, o servidor RADIUS apresenta seu certificado ao dispositivo solicitante automaticamente. O certificado do servidor RADIUS deve ser confiável para o requerente ao garantir a confiança de um certificado específico ou de uma lista de nomes de host esperados correspondentes ao host do certificado. Mesmo quando um certificado é emitido por uma AC conhecida e listado no armazenamento raiz confiável no dispositivo, ele também deve ser confiável para uma finalidade específica. Nesse caso, o certificado do servidor deve ser confiável para o serviço RADIUS. Isso é feito manualmente, ao ingressar em uma rede corporativa, quando o usuário é solicitado a confiar no certificado da rede Wi-Fi conectada, ou em um perfil de configuração.
Não é necessário estabelecer uma cadeia de certificado de confiança no mesmo perfil que contém a configuração 802.1X. Por exemplo, um administrador pode optar por implementar um certificado de confiança de uma organização em um perfil individual e colocar a configuração 802.1X em um outro perfil. Dessa forma, as modificações feitas em cada perfil podem ser gerenciadas independentemente.
Entre outros parâmetros, a configuração 802.1X também pode especificar:
EAP types:
For user name–based and password-based EAP types (such as PEAP): o nome de usuário ou a senha podem ser fornecidos no perfil. Se não forem fornecidos, o usuário é solicitado a digitá-los.
Para tipos de EAP baseados na identidade do certificado (como EAP-TLS): selecione o payload que contém a identidade do certificado para autenticação. Esse pode ser um payload de Certificado do Active Directory (somente macOS), um payload ACME, um arquivo de certificado de identidade PKCS #12 (.p12 ou .pfx) no payload de Certificados ou um payload SCEP. Por padrão, os solicitantes do iOS, iPadOS e macOS usam o nome comum da identidade do certificado na “EAP Response Identity” enviada para o servidor RADIUS durante a negociação 802.1X. Para obter mais informações, consulte Métodos de implementação de certificados com payloads MDM.
Importante: no iOS 17, iPadOS 17 e macOS 14, os dispositivos agora são compatíveis com conexões a redes 802.1X que usam EAP-TLS com TLS 1.3 (EAP-TLS 1.3).
Shared iPad EAP credentials: o iPad Compartilhado usa a mesma credencial EAP para cada usuário.
Trust:
Trusted certificates: se o certificado de folha do servidor RADIUS for fornecido em um payload Certificados no mesmo perfil que contém a configuração 802.1X, o administrador pode selecioná-lo aqui. Isso configura o cliente solicitante a conectar-se apenas a uma rede 802.1X onde o servidor RADIUS apresente um dos certificados dessa lista; Com essa configuração, a conexão 802.1X é criptograficamente fixada a certificados específicos.
Trusted server certificate names: use essa matriz para configurar o solicitante a conectar-se apenas a servidores RADIUS que apresentem um certificado com os nomes digitados. Esse campo oferece suporte a curingas; por exemplo, *.betterbag.com espera os nomes comuns de certificado radius1.betterbag.com e radius2.betterbag.com. Os curingas oferecem aos administradores mais flexibilidade quando ocorrem alterações nos servidores RADIUS ou de autoridade de certificado disponíveis.
Configurações 802.1X para Mac
Você também pode usar a autenticação WPA/WPA2/WPA3 Empresarial na janela de início de sessão do macOS para que os usuários iniciem a sessão para autenticar na rede. O Assistente de Configuração do macOS também é compatível com a autenticação 802.1X com credenciais de nome de usuário e senha que utilizam TTLS ou PEAP. Para obter mais informações, consulte o artigo de Suporte da Apple Use Login Window Mode for 802.1X authentication to a network (em inglês).
Os tipos de configuração 802.1X são:
User Mode: este modo, o mais simples de configurar, é usado quando um usuário se conecta à rede a partir do menu Wi-Fi e se autentica quando solicitado. O usuário precisa aceitar o certificado X.509 do servidor RADIUS e confiar na conexão Wi-Fi.
System Mode: o modo de Sistema é usado para autenticação do computador. A autenticação usando o modo de Sistema ocorre antes de um usuário iniciar sessão no computador. O modo de Sistema é normalmente configurado para fornecer autenticação com o certificado X.509 do computador (EAP-TLS) emitido por uma autoridade de certificação local.
System+User Mode: uma configuração Sistema+Usuário geralmente faz parte de uma implementação individualizada em que o computador é autenticado com o certificado X.509 (EAP-TLS). Depois que o usuário inicia sessão no computador, ele pode acessar a rede Wi-Fi a partir do menu Wi-Fi e inserir suas credenciais. As credenciais do usuário podem ser um nome de usuário e uma frase-senha (EAP-PEAP, EAP-TTLS) ou um certificado de usuário (EAP-TLS). Depois que o usuário se conecta à rede, suas credenciais são armazenadas nas chaves de início de sessão e usadas para acessar a rede em conexões futuras.
Login Window Mode: este modo é usado quando o computador está vinculado a um serviço de diretório local, como o Active Directory. Quando o Modo de Janela de Início de Sessão é configurado e um usuário insere seu nome de usuário e frase-senha na janela de início de sessão, o usuário é autenticado no computador e na rede usando autenticação 802.1X. O Login Window Mode passa as credenciais de nome de usuário e senha apenas quando a Janela de Início de Sessão aparecer pela primeira vez. Se o tempo de sessão ociosa do controlador WLAN expirar e um Mac configurado apenas com o Modo de Janela de Início de Sessão entrar em repouso, esse Mac precisa ser reiniciado ou o usuário precisa finalizar sessão. O usuário pode então inserir seu nome de usuário e senha novamente.
Nota: System Mode, System+User Mode (necessário para a configuração System Mode) e Login Window Mode exigem a configuração por uma solução MDM. Configure os ajustes do payload Rede com os ajustes de rede Wi-Fi desejados e aplique no escopo a um dispositivo ou conjunto de dispositivos para o Modo de Sistema.
802.1X e iPad Compartilhado
Você pode usar o iPad Compartilhado com redes 802.1X. Para obter mais informações, consulte iPad Compartilhado e redes 802.1X.