Te han asignado automatizar la autenticación a wifi con Intune, Hay dos maneras que lo puedes hacer con una clave previamente compartida o usando certificados para wifi. ¿Cuál debería elegir? La respuesta es simple: las claves pre compartidas son fáciles de configurar, pero no son seguras. Por lo tanto, si solo busca una solución rápida y no tiene requisitos de seguridad ni cumplimiento normativo, puede usar una clave precompartida. Sin embargo, si busca una solución segura que le permita cumplir con los requisitos normativos y mantener sus datos seguros, debería usar certificados. En este blog te daremos una breve descripción general de la tecnología necesaria y enlaces a guías para configurarla. ¿Y lo mejor? ¡Puedes tener una prueba de concepto funcionando en menos de una hora! (Sí, ¡de cero a completo en tan solo una hora! Si no me crees, mira el video a continuación).
Para configurar la autenticación Wi-Fi con certificados, necesitas los siguientes componentes:
Autoridad Certificadora (CA): Es la entidad que emite los certificados. Puedes usar una CA en la nube o una CA local; lo importante es que sea compatible con SCEP para que tu MDM pueda distribuir los certificados.
Sistema de Gestión de Dispositivos Móviles (MDM): Es el sistema que administra tus dispositivos y distribuye los certificados. Puedes usar Intune u otro MDM, ya que la mayoría incluyen estas funcionalidades.
Servidor RADIUS: Es el servidor que autentica los certificados y los asocia con usuarios y dispositivos. Puedes usar un servidor RADIUS en la nube o un servidor RADIUS local. Lo importante es que sea compatible con EAP-TLS para que puedas autenticar con certificados.
Infraestructura de Red: Es el hardware que conecta tus dispositivos a la red. Puedes usar cualquier infraestructura que soporte autenticación RADIUS, como Cisco Meraki o mi favorito Ubiquity Unifi.
Lo primero que debemos aprender es la como funciona la distribución de los certificados. Para esto, necesitamos una autoridad certificadora que sea compatible con tu MDM para permitir el envío automático de certificados sin necesidad de mantener la infraestructura. Por supuesto, recomendamos usar EZCA. Puedes ver un video a continuación sobre cómo integrarlo con Intune, aunque funciona con cualquier MDM que soporte emisión de certificados SCEP.
Aunque los MDM cubren el 99% de los dispositivos, hay algunos usuarios que podrían estar usando dispositivos personales o dispositivos administrados por otra organización. Para esos casos tienes dos opciones: la primera es crear una red de invitados para los dispositivos no administrados, o si aún deseas que tengan acceso a tu red corporativa, necesitarás tener un método para que se autentiquen y obtengan un certificado manualmente. En el video de abajo puedes ver una demostración de la experiencia del usuario al obtener un certificado en el portal de EZCA (si usas EZRADIUS, incluso puedes ir un paso más allá y permitir que el usuario descargue el perfil completo de Wi-Fi).
Ahora que ya tenemos los certificados emitidos por una Autoridad Certificadora confiable y distribuidos a todos nuestros dispositivos, necesitamos configurar la infraestructura de red para que acepte los certificados. Aunque podrías pensar que tu equipo de red de miles de dolares tendría la capacidad de leer certificados, pero ya sabes como son (Bueno si quieres vender un riñón, puedes usar Cisco ISE)… Pero la mayoría de gente lo hace a través de RADIUS. Agregar un servicio RADIUS permite que tu infraestructura de red delegue la autenticación a ese servicio, además de darte la posibilidad de configurar políticas de autorización detalladas para asignar usuarios a diferentes VLANs. Este es el diagrama completo de cómo se verá tu red una vez que todo esté configurado:
Ahora que ya entendemos los conceptos, puedes comenzar el proceso de automatizar la autenticación Wi-Fi en Intune. También tenemos información mucho más detallada de cada uno de los pasos en nuestra documentación.
Si tienes alguna duda o simplemente quieres hablar con otro ingeniero sobre tus preguntas, no dudes en agendar una reunión con uno de nuestros expertos en identidad. Ellos te pueden ayudar a entender cómo funciona todo en tu caso específico y responder cualquier otra
