將 Apple 裝置連接到 802.1X 網絡
你可以將 Apple 裝置安全地連接到機構的 802.1X 網絡。 這包括 Wi-Fi 和乙太網絡連線。
裝置 | 連線方法 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | Wi-Fi 乙太網絡(iOS 17 或較新版本) | ||||||||||
iPad | Wi-Fi 乙太網絡(iPadOS 17 或較新版本) | ||||||||||
Mac | Wi-Fi 乙太網絡 | ||||||||||
Apple TV 4K(第 3 代)Wi-Fi | Wi-Fi 乙太網絡(tvOS 17 或較新版本) | ||||||||||
Apple TV 4K(第 3 代)Wi-Fi + 乙太網絡 | Wi-Fi 乙太網絡(tvOS 17 或較新版本) | ||||||||||
Apple Vision Pro | Wi-Fi | ||||||||||
在 802.1X 協調期間,RADIUS 伺服器會自動向裝置要求者出示證書。 RADIUS 伺服器證書必須透過以下方式得到受要求者信任:錨點信任特定證書,或與證書主機的預期主機名稱相符的列表。 即使證書是由已知的 CA 核發,並列於裝置上的受信任根儲存,也必須因特定目的而信任該證書。 在這情況下,伺服器的證書必須受 RADIUS 服務信任。 此操作可以手動完成(在加入企業網絡時,系統提示用户信任已連接的 Wi-Fi 網絡之證書),或在設定描述檔中完成。
在包括 802.1X 設定的相同描述檔中,無須建立信任證書。 例如,管理員可以選擇以獨立式描述檔來部署機構的信任證書,且可將 802.1X 設定置於不同的描述檔中。 藉此方式,管理員可以分別管理每個描述檔的修改操作。
在其他參數之中,802.1X 設定也可以指定:
EAP 類型:
用户名稱式和密碼式的 EAP 類型(例如 PEAP): 用户名稱或密碼可於描述檔中提供。 如果未提供用户名稱或密碼,用户會收到提示。
證書識別身份式的 EAP 類型(例如 EAP-TLS): 選擇包括證書身份的承載資料以進行認證。 這可以是「Active Directory 證書」承載資料(只限 macOS)、ACME 承載資料、「證書」承載資料中的 PKCS #12 識別身份證書(.p12 或 .pfx),或者 SCEP 承載資料。 依照預設,iOS、iPadOS 和 macOS 要求者會使用 EAP Response Identity 的證書身份通用名稱,即要求者在 802.1X 協調期間傳送至 RADIUS 伺服器的證書識別身份通用名稱。 詳情請參閲:使用 MDM 承載資料的證書部署方式。
重要事項:在使用 iOS 17、iPadOS 17、macOS 14 或較新版本的裝置中,已加入支援使用 EAP-TLS 配搭 TLS 1.3(EAP-TLS 1.3)連接 802.1X 網絡。
「共享 iPad」EAP 憑證: 「共享 iPad」會將相同的 EAP 憑證用於每位用户。
信任:
信任的證書: 如果 RADIUS 伺服器的葉證書在包含 802.1X 設定的同一個描述檔的「證書」承載資料中已提供,管理員可以在此選擇。 這會設定用户端要求者所連接的 802.1X 網絡,其 RADIUS 伺服器必須出示本列表中其中一個證書。 以此方式配置時,802.1X 連線會以加密方式釘選至特定證書。
信任的伺服器證書名稱: 使用此陣列來設定要求者所連接的 RADIUS 伺服器必須出示符合這些名稱的證書。 此欄位支援萬用字元;例如 *.betterbag.com 預期的證書通用名稱為 radius1.betterbag.com 和 radius2.betterbag.com。 萬用字元為管理員在更換到可用的 RADIUS 或證書授權管理中心發生時提供更多彈性。
Mac 適用的 802.1X 配置
你也可以在 macOS 的登入視窗使用 WPA/WPA2/WPA3 企業級認證,因此用户必須登入來認證網絡。 macOS「設定輔助程式」亦支援使用 TTLS 或 PEAP 以用户名稱和密碼憑證進行 802.1X 認證。 如需更多資料,請參閲 Apple 支援文章:使用「登入視窗」模式對網絡進行 802.1X 認證。
802.1X 配置類型:
用户模式: 此模式(最簡單的配置模式)是在用户從 Wi-Fi 選單加入網絡,然後在提示時進行認證的時候使用。 用户必須接受 RADIUS 伺服器的 X.509 證書,以及信任 Wi-Fi 連接。
系統模式: 「系統模式」是用於電腦認證。 認證會使用在用户登入電腦前出現的「系統」模式。 「系統模式」通常會配置為使用電腦的 X.509 證書(EAP-TLS)(由本機證書授權管理中心發放)來提供認證。
系統+用户模式: 「系統+用户」配置通常是一對一部署的一部份,其中會使用其 X.509 證書(EAP-TLS)認證電腦。 用户登入電腦後,他們可以從 Wi-Fi 選單及輸入他們的憑證來加入 Wi-Fi 網絡。 用户憑證可能是用户名稱和密語(EAP-PEAP、EAP-TTLS)或用户證書(EAP-TLS)。 用户連接網絡後,他們的憑證會儲存在登入密鑰中,且會用於在未來連接時加入網絡。
登入視窗模式: 當電腦綁定至內部本機目錄服務(例如 Active Directory)時會使用此模式。 當配置「登入視窗模式」,且用户在登入視窗輸入其用户名稱和密語時,用户會使用 802.1X 認證,先後通過電腦和網絡的認證。 「登入視窗模式」只會在「登入視窗」先出現時,才會通過用户名稱和密碼憑證。 如果 Mac 進入睡眠狀態且 WLAN 控制器閒置時段到期,則只有使用「登入視窗模式」設定的 Mac 必須重新啟動,或用户必須登出。 然後用户可再次輸入其用户名稱和密碼。
附註:「系統模式」、「系統+用户模式」(「系統模式」配置所需)和「登入視窗模式」需要由 MDM 解決方案配置。 以理想的 Wi-Fi 網絡設定來配置「網絡」承載資料,並為「系統模式」套用範圍至裝置或裝置群組。
802.1X 和「共享 iPad」
你可以配搭 802.1X 網絡使用「共享 iPad」。 詳情請參閲:「共享 iPad」和 802.1X 網絡。