Беспроводная связь 802.1x с сертификатами для устройств AADJ/Intune без привязки к пользователю
Я могу настроить распространение сертификатов и профили беспроводной сети в Intune для устройств с привязкой к пользователю, и это работает нормально. Учетная запись пользователя синхронизируется с нашим локальным сервером AD, и у NPS есть учетная запись, которую можно использовать для разрешений. Однако для устройств, находящихся исключительно в Azure, без привязки к пользователю, NPS не может использовать учетную запись для разрешений. Я мог бы создать их вручную, но есть ли способ сделать это с помощью приложений Microsoft: либо путем аутентификации в Azure, либо путем создания учетных записей в AD?
Спасибо
1 ответ
Если вы синхронизируете компьютерные объекты AAD с AD, вы можете использовать NPS для аутентификации. Эндрю Блэкберн написал об этом статью , включающую сценарий PowerShell для создания копий в AD. Крис Битти написал еще одну статью на основе статьи Эндрю, в которой добавил некоторые мысли о том, как получить сертификаты на устройствах.
Однако недавно Microsoft опубликовала исправление уязвимости Certifried, которая не позволяет использовать скопированные объекты устройств не позднее 9 мая 2023 г., поскольку они имеют разные SID.
Итак, какие решения все еще будут работать в мае 2023 года?
- Гибридное объединение ваших устройств. ИМХО, это шаг назад, поскольку вы увеличиваете свою локальную зависимость.
- Используйте другой NAC, который не требует объектов AD, то есть практически любой, кроме NPS (например, Cisco ISE). Я работаю в компании, которая предлагает RADIUS-as-a-Service, поэтому это моя естественная рекомендация, если вам нужна облачная инфраструктура.