Workspace One - Utilisation de réseaux Wi-Fi WPA3 avec Workspace ONE UEM
Utilisation de réseaux Wi-Fi WPA3 avec Workspace ONE UEM
WPA3 est la dernière version du protocole de sécurité Wi-Fi. Il offre une sécurité améliorée par rapport aux versions précédentes, notamment en s'attaquant aux vulnérabilités connues de WPA2.
La Wi-Fi Alliance a publié la définition de WPA3 en janvier 2018, mais sa mise en œuvre sur le terrain est encore limitée. Il y a quelques semaines, on m'a demandé de faire le point sur la situation. J'ai donc testé WPA3 sur des appareils Android et iOS. macOS utilise les mêmes API qu'iOS, mais l'interface graphique est différente. J'ai donc détaillé les résultats de mes tests pour chaque système d'exploitation.
Note: Dans cette article, les captures date de novembre 2023, il est possible que des modifications ont été apportés entretemps.
Android
Sur Android, il n'y a pas de différence entre WPA, WPA2 ou WPA3, vous pouvez donc simplement sélectionner le paramètre "WPA/WPA2" de Workspace ONE UEM et il se connectera même à un réseau WPA3.
Voici la documentation technique :
iOS
Pour iOS, la version 23.02 de l'UEM propose trois API pour configurer les réseaux Wi-Fi : "Any (Personal)", "WPA2 Personal" et "WPA3". Cela s'explique par le fait qu'Apple définit le paramètre WPA2 dans le type de cryptage utilisé pour WPA2 et WPA3.
L'option "Any" ne filtre aucune version WPA/WEP et se connecte au réseau tant que le SSID et le mot de passe correspondent. L'option "WPA3" ne se connectera qu'aux réseaux WPA3.
Les options "WPA2 Enterprise", "Any (Enterprise)" et "WPA3 Enterprise" utilisent la même API pour définir le type de cryptage. Elles sont donc interchangeables, même si l'étiquette n'est pas exacte à 100 %.
Voici la documentation technique :
macOS
Pour macOS, il existe deux API qui peuvent être utilisées avec la version 23.02 de l'UEM (cela pourrait changer à l'avenir). Vous pouvez sélectionner la section "Any (Personal)" ou "WPA2 Personal". Cela est dû au fait qu'Apple définit le paramètre WPA2 dans le type de cryptage utilisé pour WPA2 et WPA3. L'option "Any" ne filtre aucune version WPA/WEP et se connectera au réseau tant que le SSID et le mot de passe correspondent.
Il en est de même pour les options "WPA2 Enterprise" et "Any (Enterprise)", car elles utilisent la même API pour définir le niveau de sécurité. Il suffit donc de les sélectionner, même si l'étiquette n'est pas exacte à 100 %.Pour créer un profil Wi-Fi, procédez comme suit :
Windows
Windows supporte le WPA3 ainsi que le Wifi 6 depuis Windows 10 2004 :
- WPA3-Enterprise 192-bit mode authentication.
- WPA3-Enterprise authentication.
- WPA3-Simultaneous Authentication of Equals (WPA3-SAE) authentication AKA Personal
Workspace ONE UEM n'a pas d'interface pour créer le profil à partir de l'interface utilisateur pour le WPA3, mais comme il est pris en charge par le CSP, nous pouvons créer un profil personnalisé et l'utiliser pour configurer le périphérique.
Voici les documentations techniques :
Exporter votre configuration
Pour créer un fichier WlanXML, vous pouvez suivre les étapes suivantes :
- Configurez l'SSID sur votre machine Windows à l'aide de l'interface Windows.
- Ouvrez une fenêtre de commande
- Exécutez la commande suivante pour voir la liste complète des profiles connues :
netsh wlan show profiles
- Ici, on va récupérer le réseau Flybox-5E90 et donc saisir la commande suivante :
netsh wlan export profile "Flybox-5E90" key=clear folder=h:\
- Cela exportera le fichier WlanXML pour l'SSID "Mon réseau" dans le dossier H:\.
Si vous avez besoin d'éditer et que vous voulez comprendre le format, la référence est disponible ici :
WLAN Profile Schema : https://learn.microsoft.com/en-us/windows/win32/nativewifi/wlan-profileschema-schema
802.1x utilise également le format OneX détaillé ici : https://learn.microsoft.com/en-us/windows/win32/nativewifi/onexschema-schema
Créer un profile custom dans Workspace One
Dans cette étape, je vous recommande d'installer l'application Notepad++ et le plugin XML Tools. Ces outils vous permettront d'éditer le fichier XML pour qu'il soit conforme au format requis par le profile.
- Ouvrer votre fichier XML avec Notepad++
- Sélectionner l'ensemble du contenu du fichier XML
- Se rendre dans Plugins > XML Tools > Escape characters in section
- Et voici le résultat
- Créer un profile custom pour Windows dans la console Workspace One UEM
- Dans la partie Install Profile
<Replace> <CmdID>9c25464e-037d-4c0e-99a6-0c4eef5e4c44</CmdID> <Item> <Target> <LocURI>./{Device|User}/Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">chr</Format> </Meta> <Data> { WLan XML } </Data> </Item> </Replace>
- Remplacer l'ensemble des guids
- Remplacer {Device|User} par Device pour le profil machine et User pour le profil utilisateur.
- La variable {SSID} doit correspondre au SSID réel et est sensible à la casse. Si le SSID contient des espaces, vous devez les convertir en html.
- Exemple : Mon réseau est converti en Mon%20Réseau
- Ajoutez le contenu du fichier xml converti entre <Data></Data>.
- Dans la partie Remove Profile
- Remplacer l'ensemble des guids
- Remplacer {Device|User} par le même choix que dans la partie Install.
- La variable {SSID} doit correspondre au SSID réel et est sensible à la casse. Si le SSID contient des espaces, vous devez les convertir en html.
- Exemple : Mon réseau est converti en Mon%20Réseau
<Delete> <CmdID>bee0ccd6-64f2-47a8-9c98-42677cdd1526</CmdID> <Item> <Target> <LocURI>./{Device|User}/Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml</LocURI> </Target> </Item> </Delete>
- Remplacer l'ensemble des guids
- Remplacez {Device|User} par Device pour le profil machine et User pour le profil utilisateur.
Réference :
Commentaires
Enregistrer un commentaire