Ansluta Apple-enheter till 802.1X-nätverk
Du kan ansluta Apple-enheter säkert till organisationens 802.1X-nätverk. Det inkluderar Wi-Fi- och Ethernetanslutningar.
Enhet | Anslutningsmetod | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi Ethernet (iOS 17 eller senare) | ||||||||||
iPad | Wi-Fi Ethernet (iPadOS 17 eller senare) | ||||||||||
Mac | Wi-Fi Ethernet | ||||||||||
Apple TV 4K (tredje generationen) Wi-Fi | Wi-Fi Ethernet (tvOS 17 eller senare) | ||||||||||
Apple TV 4K (tredje generationen) Wi-Fi + Ethernet | Wi-Fi Ethernet (tvOS 17 eller senare) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
Under 802.1X-förhandlingen presenterar RADIUS-servern automatiskt sitt certifikat för enheten. RADIUS-servercertifikatet måste vara betrott av klienten antingen genom att koppla betroddhet till ett visst certifikat eller till en lista med förväntade värdnamn som matchar certifikatets värd. Även när ett certifikat är utfärdat av en känd certifikatutfärdare och listas i den betrodda rotlagringen på enheten måste det också vara betrott för ett visst syfte. I det här fallet måste serverns certifikat vara betrott för RADIUS-tjänsten. Det här görs antingen manuellt, vid anslutning till ett företagsnätverk när användaren uppmanas att lita på certifikatet för det anslutna Wi-Fi-nätverket, eller i en konfigurationsprofil.
Det är inte nödvändigt att upprätta en betrodd certifikatskedja i samma profil som innehåller 802.1X-konfigurationen. En administratör kan t.ex. välja att driftsätta en organisations betrodda certifikat i en fristående profil och kan lägga 802.1X-konfigurationen i en separat profil. På detta vis kan ändringar av endera profilen hanteras oberoende av den andra.
Bland andra parametrar kan 802.1X-konfigurationen även specificera:
EAP-typer:
För EAP-typer som bygger på användarnamn och lösenord (t.ex. PEAP): Användarnamnet eller lösenordet kan anges i profilen. Om de inte anges blir användaren ombedd att ange dem.
För EAP-typer som bygger på certifikatidentitet (t.ex. EAP-TLS): Välj nyttolasten som innehåller certifikatidentiteten för autentisering. Det kan vara en Active Directory Certificate-nyttolast (endast macOS), en ACME-nyttolast, en PKCS #12-identitetscertifikatfil (.p12 eller .pfx) i Certificates-nyttolasten eller en SCEP-nyttolast. Som förval använder iOS-, iPad- och macOS-klienter certifikatidentitetens eget namn för den EAP-svarsidentitet de skickar till RADIUS-servern under 802.1X-förhandlingen. Mer information finns i Metoder för certifikatdriftsättning med MDM-nyttolaster.
Viktigt: I iOS 17, iPadOS 17 och macOS 14 stöder enheter nu anslutning till 802.1X-nätverk med EAP-TLS med TLS 1.3 (EAP-TLS 1.3).
EAP-handling för Delad iPad: Delad iPad använder samma EAP-handling för varje användare.
Lita på:
Betrodda certifikat: Om RADIUS-serverns bladcertifikat tillhandahålls i en Certificates-nyttolast i samma profil som innehåller 802.1X-konfigurationen kan administratören välja den här. Detta gör att klienten enbart ansluter till ett 802.1X-nätverk med en RADIUS-server som visar upp ett av certifikaten i denna lista. När 802.1X-anslutningen är konfigurerad så här är den kryptografiskt fäst till särskilda certifikat.
Namn på betrodda servercertifikat: Använd den här listan till att ställa in klienten att enbart ansluta till RADIUS-servrar som visar upp certifikat som matchar dessa namn. Jokertecken kan användas i fältet. Exemplet *.betterbag.com innebär att certifikatets eget namn kan vara radius1.betterbag.com och radius2.betterbag.com. Jokertecken ger administratörer större flexibilitet när något ändras i tillgängliga RADIUS- eller certifikatutfärdarservrar.
802.1X-konfigurationer för Mac
Du kan också använda WPA/WPA2/WPA3 Enterprise-autentisering i inloggningsfönstret för macOS så att användaren loggar in för att autentisera till nätverket. macOS Inställningsassistent stöder även 802.1X-autentisering med användarnamn och lösenord via TTLS eller PEAP. Mer information finns i Apple Support-artikeln Use Login Window Mode for 802.1X authentication to a network.
Följande typer av 802.1X-konfigurationer finns:
User-läget: Det här läget är enklast att konfigurera och används när en användare ansluter till nätverket från Wi-Fi-menyn och autentiserar sig när så krävs. Användaren måste godkänna RADIUS-serverns X.509-certifikat och betroddhet för Wi-Fi-anslutningen.
System-läget: System-läget används för datorautentisering. Autentisering via System-läget inträffar innan en användare loggar in på datorn. System-läget konfigureras vanligtvis så att det tillhandahåller autentisering med datorns X.509-certifikat (EAP-TLS) som har utfärdats av en lokal certifikatutfärdare.
System+User-läget: En System+User-konfiguration används ofta som en del av en en-till-en-driftsättning där datorn autentiseras med dess X.509-certifikat (EAP-TLS). När användare har loggat in på datorn kan de ansluta till Wi-Fi-nätverket från Wi-Fi-menyn och ange sina ID-uppgifter. ID-uppgifterna kan bestå av ett användarnamn och en lösenfras (EAP-PEAP, EAP-TTLS) eller ett användarcertifikat (EAP-TLS). När en användare har anslutit till nätverket lagras ID-uppgifterna i inloggningsnyckelringen och används vid anslutning till nätverket i framtiden.
Login Window-läget: Det här läget används när datorn är kopplad till en intern lokal katalogtjänst, t.ex. Active Directory. När Login Window-läget är konfigurerat, och en användare anger sitt användarnamn och lösenfras i inloggningsfönstret, blir användaren autentiserad för datorn och därefter nätverket med hjälp av 802.1X-autentisering. Login Window-läget överför inloggningsuppgifter i form av användarnamn och lösenord endast första gången inloggningsfönstret visas. Om datorn försätts i viloläge, och WLAN-styrenhetens tidsgräns för overksamhet uppnås, måste en Mac som har konfigurerats med endast Login Window-läge startas om eller användaren logga ut. Användaren kan sedan ange sitt användarnamn och lösenord igen.
Obs! System Mode, System+User Mode (krävs för System Mode-konfiguration) och Login Window Mode måste konfigureras av en MDM-lösning. Konfigurera nyttolasten Network med önskade Wi-Fi-nätverksinställningar och använd dem på en enhet eller enhetsgrupp för System-läget.
802.1X och Delad iPad
Du kan använda Delad iPad med 802.1X-nätverk. Mer information finns i Delad iPad och 802.1X-nätverk.