Connexion d’appareils Apple aux réseaux 802.1X
Vous pouvez connecter les appareils Apple au réseau 802.1X de votre organisation de façon sécurisée. Cela inclut les connexions Wi‑Fi et Ethernet.
Appareil | Mode de connexion | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 ou version ultérieure) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 ou version ultérieure) | ||||||||||
Mac | Wi-Fi Ethernet intégré | ||||||||||
Apple TV 4K (3e génération) Wi‑Fi | Wi-Fi Ethernet (tvOS 17 ou version ultérieure) | ||||||||||
Apple TV 4K (3e génération) Wi‑Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 ou version ultérieure) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Pendant la négociation 802.1X, le serveur RADIUS présente automatiquement son certificat à l’appareil demandeur. Le certificat du serveur RADIUS doit être approuvé par l’appareil demandeur en ancrant la confiance dans un certificat en particulier ou dans une liste de noms d’hôte prévus qui correspondent à l’hôte du certificat. Même lorsqu’un certificat est émis par une autorité de certification connue et qu’il est mentionné dans la liste racine approuvée sur l’appareil, il doit être approuvé à des fins précises. Dans le cas présent, le certificat du serveur doit être approuvé pour le service RADIUS. Cela est accompli soit manuellement, soit au moment de la connexion à un réseau d’entreprise lorsque l’utilisateur est invité à faire confiance au certificat de ce réseau Wi‑Fi, soit au moyen d’un profil de configuration.
Il n’est pas nécessaire d’établir une chaîne de certificats de confiance dans le profil qui contient la configuration 802.1X. Par exemple, un administrateur peut choisir de déployer le certificat de confiance d’une organisation dans un profil indépendant et avoir un profil séparé pour la configuration 802.1X. De cette façon, les modifications faites à l’un des deux profils peuvent être gérées indépendamment.
Parmi d’autres paramètres, la configuration 802.1X peut également spécifier ce qui suit :
Types EAP :
Pour les types EAP à noms d’utilisateur et mots de passe (comme PEAP) : Le nom d’utilisateur et le mot de passe peut être founi dans le profil. S’ils ne sont pas fournis, l’utilisateur en reçoit la demande.
Pour les types de certificats à identité (comme EAP-TLS) : Sélectionnez l’entité qui contient le certificat à identité pour l’authentification. Il peut s’agir d’une entité Active Directory Certificate (macOS uniquement), d’une entité ACME, d’un fichier d’entité d’identité PKCS12 (.p12 ou .pfx) dans l’entité Certificats ou d’une entité SCEP. Par défaut, les appareils iOS, iPadOS macOS demandeurs utilisent le nom commun de l’identité de certificat pour l’identité de réponse EAP envoyée au serveur RADIUS au cours de la négociation 802.1X. Pour plus d’informations, consultez Modes de déploiement de certificats au moyen d’entités de GAM.
Important : Sous iOS 17, iPadOS 17 et macOS 14, les appareils prennent désormais en charge les connexions aux réseaux 802.1X au moyen du protocole EAP-TLS avec TLS 1.3 (EAP-TLS 1.3).
Informations d’identification EAP d’iPad partagé : iPad partagé utilise les mêmes informations d’identification EAP pour chaque utilisateur.
Confiance :
Certificats approuvés : Si le certificat feuille du serveur RADIUS est fourni dans une entité de certificats ayant le même profil que celui qui contient la configuration 802.1X, l’administrateur peut le choisir ici. Cela configure le client demandeur pour qu’il se connecte uniquement à un réseau 802.1X avec un serveur RADIUS présentant un des certificats de cette liste. Lorsqu’elle est configurée de cette façon, la connexion 802.1X est épinglée de manière chiffrée à des certificats spécifiques.
Noms de certificats de serveurs de confiance : Utilisez ce tableau d’entrées pour configurer l’appareil demandeur afin qu’il ne se connecte qu’à des serveurs RADIUS présentant des certificats correspondant à ces noms. Ce champ prend en charge des métacaractères. Par exemple, *.betterbag.com prévoit les noms communs de certificats radius1.betterbag.com et radius2.betterbag.com. Les métacaractères offrent aux administrateurs davantage de flexibilité lorsque des modifications sont apportées aux serveurs RADIUS ou à ceux de l’autorité de certification.
Configurations 802.1X pour Mac
Vous pouvez également utiliser l’authentification WPA/WPA2/WPA3-Enterprise dans la fenêtre de connexion de macOS pour que l’utilisateur se connecte afin de s’authentifier sur le réseau. Assistant réglages sous macOS prend également en charge l’authentification 802.1X avec un nom d’utilisateur et un mot de passe utilisant TTLS ou PEAP. Pour en savoir plus, consultez l’article de l’assistance Apple : Utiliser le mode Fenêtre d’ouverture de session pour la connexion à un réseau avec l’authentification 802.1X.
Les types de configurations 802.1X sont les suivants :
Mode utilisateur : Ce mode, le plus facile à configurer, est utilisé quand l’utilisateur se connecte au réseau à partir du menu Wi-FI et s’authentifie lorsqu’il est invité à le faire. L’utilisateur doit accepter le certificat X.509 du serveur RADIUS ainsi que la confiance pour la connexion Wi-Fi.
Mode système : Le mode système est utilisé pour l’authentification de l’ordinateur. L’authentification en mode système se produit avant qu’un utilisateur ne se connecte à l’ordinateur. Le mode système est généralement configuré pour fournir une authentification avec le certificat X.509 de l’ordinateur (EAP-TLS) émis par une autorité de certification locale.
Mode système et utilisateur : Une configuration système et utilisateur fait souvent partie d’un déploiement individuel où l’ordinateur est authentifié avec son certificat X.509 (EAP-TLS). Une fois connecté à l’ordinateur, l’utilisateur peut rejoindre le réseau Wi-Fi à partir du menu Wi-Fi et saisir ses informations d’identification. Les informations d’identification de l’utilisateur peuvent être un nom d’utilisateur et une phrase secrète (EAP-PEAP, EAP-TTLS) ou un certificat d’utilisateur (EAP-TLS). Une fois que l’utilisateur s’est connecté au réseau, ses informations d’identification sont stockées dans le trousseau de session et servent à rejoindre le réseau lors des prochaines connexions.
Mode Fenêtre d’ouverture de session : Ce mode est utilisé lorsque l’ordinateur est lié à un service de répertoire local sur place, comme Active Directory. Lorsque le mode Fenêtre d’ouverture de session est configuré et qu’un utilisateur saisit son nom d’utilisateur et sa phrase secrète dans la fenêtre de connexion, l’utilisateur est authentifié sur l’ordinateur puis sur le réseau à l’aide de l’authentification 802.1X. Le mode Fenêtre d’ouverture de session transmet le nom d’utilisateur et le mot de passe uniquement lors du premier affichage de la fenêtre d’ouverture de session. Si le Mac se met en veille et que le délai d’inactivité du contrôleur WLAN expire, un Mac configuré uniquement avec le mode Fenêtre d’ouverture de session doit être redémarré ou l’utilisateur doit fermer sa session. L’utilisateur peut alors entrer de nouveau son nom d’utilisateur et son mot de passe.
Remarque : Le mode système, le mode système et utilisateur (requis pour la configuration du mode système) et le mode Fenêtre d’ouverture de session doivent être configurés par une solution de GAM. Configurez les réglages de l’entité Réseau selon les réglages Wi‑Fi désirés et appliquez la portée à un appareil ou à un groupe d’appareils pour le mode système.
802.1X et iPad partagé
Vous pouvez utiliser iPad partagé avec des réseaux 802.1X. Pour plus d’informations, consultez iPad partagé et réseaux 802.1X.