利用集成工具为BYOD配置无线局域网

当涉及BYOD和无线局域网(WLAN)接入时，IT网络团队面临着进退两难的局面。他们没有资源来手动配置数百台个人设备，然而，要求用户配置自己的客户端通常会招致错误和安全问题。幸运的是，现在我们有工具可以自动化个人设备配置，甚至执行不同水平的访问政策。关键在于网络团队要整合这些工具来获得必要的访问控制。

现在，IT部门可以使用桌面管理系统和Active Directory组策略对象(AD GPO)来在企业配发的笔记本电脑上自动配置企业WLAN凭证和设置，不过，这些工具通常不能用于智能手机或平板电脑。

而有了新自动化WLAN联网工具，用户可以选择一个指定的SSID，然后被导向到强制门户初始页面来登录和接受服务条款。这可以立即将用户路由到一些有限的访客网络，但这仅仅是第一步。一般情况下，企业需要更深入的工具来基于政策分配访问权限，这也是配置工具发挥作用的地方。

用于WLAN访问的自我配置工具

自动化WLAN联网工具的目的是让用户自己配置连接，而无需IT人员的协助。很多Wi-Fi智能手机和平板电脑允许用户配置网络连接设置，包括企业级WPA2 EAP参数和服务器/用户证书。例如，一旦用户被允许访问一个开放的企业“访客”WLAN，他们就可以访问URL来下载配置文件。这会变得很复杂，所以一些企业现在使用Cloudpath Networks的Xpress Connect等平台，为Windows、Mac OSX、Ubuntu、Android和iOS用户(包括非托管Windows BYOD的ActiveX)自动化基于门户的WLAN连接。

这种方法通过最大限度地减少依赖关系以适应不同设备和所有权，自动化和简化WLAN联网。它甚至可以与企业目录以及证书颁发机构整合，从而为每个认证用户/设备来安装不同的WLAN凭证。然而，这种方法并不支持配置更新或者持续的执行，也不能扩展来满足其他BYOD需求。

配置平台 深化WLAN接入政策

当与网络中内置的流量检测功能整合时，自动化WLAN联网可以有具体的接入政策。在这种情况下，强制门户网站可以为用户提供相同的自行安装链接，然后访问游客网络，然后，WLAN接入点(AP)可以通过客户端分类政策配置，提供更为精确的网络接入。

例如，Aerohive Networks的HiveAPs可以用客户端分类政策配置，基于Wi-Fi MAC地址前缀、操作系统和设备域来自动重定向个人设备。这些分类可以用来将不同的防火墙规则应用到未知的Android平台而不是已知的iPad。通过这种方法，已知的iPad可能会被重定向到一个平台，根据看到的用户名来为设备安装iOS配置文件，而未知的设备将被重定向到一个门户网站，在该网站中，用户将接收个人PSK，从而加入个人WPA2安全的WLAN。

这种方法侧重于利用网络本身以及其流量内容来自动化WLAN联网。结合WLAN流量检测和防火墙功能与设备和OS指纹识别，简化了用户设备连接到网络的步骤。不过，更广泛的BYOD管理可能需要额外的步骤或者IT资源。

移动设备管理器(MDM)实现自动登陆

移动设备管理器(MDM)可以帮助IT部门部署更复杂的政策，它根据用户或组、设备所有权、品牌和型号、操作系统级别、配置和完整性来分配接入权限。它们还可以更新设置来响应WLAN设计中持续的变化，以及执行实时政策来解决BYOD误用或破坏问题。

使用这种方法时，连接到开放企业“访客”WLAN的用户被重定向到MDM注册页面(另外，用户可能会接收包含个性化注册网址的电子邮件或短信通知)。在接入注册页面时，用户被要求登录或者提供一个激活码，这样一来，MDM可以比较用户或组、所有权和设备详细信息，从而确定配置。如果个人设备被接受，系统会发出一个设备证书，并给设备配置很多设置和应用，包括企业WLAN凭证和连接、企业VPN通道和企业邮件设置。

很多MDM产品支持完整的设备注册，并可以用来自动化WLAN联网，其中一些还专门与WLAN基础设施集成。例如，Meraki为其企业云控制器客户提供免费的基本款MDM。Aerohive与JAMF SoftwareLLC合作提供苹果设备的自动化MDM注册。Aruba Networks公司提供ClearPass接入管理系统设备，该设备可通过已发布的API与第三方MDM整合。

这些只是WLAN基础设施与MDM及其他自动化BYOD接入配置工具整合的几个例子。还有很多其他更多策略将会出现。如果你正在寻找一种方法来管理BYOD和WLAN接入，从询问WLAN和MDM供应商的WLAN联网办法开始，确保他们考虑了自动化、灵活性和设备的多样性。