Ce guide couvre la configuration Aruba Central NAC pour l'authentification Wi-Fi EAP-TLS par certificat avec Microsoft Intune comme UEM - identity store NAC, rôles, politiques d'autorisation, SSID et configuration SCEP.
Endpoint (géré par Intune - Windows / macOS / iOS)
│
│ Certificat SCEP délivré par le CA Central NAC
▼
Aruba AP (802.1X EAP-TLS)
│
│ Authentification RADIUS
▼
Aruba Central NAC
│
│ Vérification de conformité via OAuth2
▼
Microsoft Intune / Entra ID
│
▼
Accès réseau accordé (rôle assigné par la politique NAC)
<clipboard-copy aria-label="Copy" class="ClipboardButton btn btn-invisible js-clipboard-copy m-2 p-0 d-flex flex-justify-center flex-items-center" data-copy-feedback="Copied!" data-tooltip-direction="w" value="Endpoint (géré par Intune - Windows / macOS / iOS) │ │ Certificat SCEP délivré par le CA Central NAC ▼ Aruba AP (802.1X EAP-TLS) │ │ Authentification RADIUS ▼ Aruba Central NAC │ │ Vérification de conformité via OAuth2 ▼ Microsoft Intune / Entra ID │ ▼ Accès réseau accordé (rôle assigné par la politique NAC)" role="button" tabindex="0"></clipboard-copy>
Note
Ce guide couvre uniquement la configuration Central NAC. Pour les profils Intune et l'enrollment des appareils, voir microsoft-intune / eap-tls.
Important
Compléter les prérequis avant de commencer ce guide. L'App Registration Entra ID (Tenant ID, Client ID, Client Secret) est nécessaire pour configurer l'extension Intune dans Aruba Central et l'identity store OAuth NAC. → microsoft-intune / prerequisites
- Workspace HPE GreenLake actif avec Aruba Central déployé
- App Registration Microsoft Entra ID configurée - voir microsoft-intune / prerequisites
- Licence Microsoft Intune active
- Domaine DNS personnalisé vérifié dans Entra ID
- Points d'accès Aruba gérés dans Aruba Central
| Composant |
Rôle |
| Aruba Central NAC |
Serveur RADIUS + moteur de politique NAC |
| Microsoft Intune |
UEM - gestion des certificats et profils Wi-Fi |
| Microsoft Entra ID |
Annuaire identités + App Registration OAuth2 |
| SCEP |
Protocole de distribution des certificats clients |
| EAP-TLS |
Méthode d'authentification 802.1X par certificat |
Partie 1 - Aruba Central - Extension Intune
1.1 Installer l'extension Microsoft Intune
Naviguer vers :
Aruba Central → Extensions → Available Extensions → Microsoft Intune → Install
<clipboard-copy aria-label="Copy" class="ClipboardButton btn btn-invisible js-clipboard-copy m-2 p-0 d-flex flex-justify-center flex-items-center" data-copy-feedback="Copied!" data-tooltip-direction="w" value="Aruba Central → Extensions → Available Extensions → Microsoft Intune → Install" role="button" tabindex="0"></clipboard-copy>
1.2 Configurer l'extension Intune
Renseigner les informations de l'App Registration issues des prérequis :
| Champ |
Valeur |
| Tenant ID |
Depuis la vue d'ensemble Entra ID |
| Client ID |
ID d'application (client) |
| Client Secret |
Valeur de l'étape 0.4 des prérequis |
Partie 2 - Configuration Aruba Central NAC
2.1 Configurer l'Identity Store OAuth
Naviguer vers :
Central NAC → Configuration → Identity Management → Identity Stores → Create
<clipboard-copy aria-label="Copy" class="ClipboardButton btn btn-invisible js-clipboard-copy m-2 p-0 d-flex flex-justify-center flex-items-center" data-copy-feedback="Copied!" data-tooltip-direction="w" value="Central NAC → Configuration → Identity Management → Identity Stores → Create" role="button" tabindex="0"></clipboard-copy>
Configurer l'URI de redirection OAuth dans l'application Entra ID.
Valider le token OAuth dans Central NAC.
Naviguer vers :
Central NAC → Configuration → Roles → Create Role
<clipboard-copy aria-label="Copy" class="ClipboardButton btn btn-invisible js-clipboard-copy m-2 p-0 d-flex flex-justify-center flex-items-center" data-copy-feedback="Copied!" data-tooltip-direction="w" value="Central NAC → Configuration → Roles → Create Role" role="button" tabindex="0"></clipboard-copy>
2.3 Configurer la politique globale NAC
Naviguer vers :
Central NAC → Configuration → Policies → Global Policy
<clipboard-copy aria-label="Copy" class="ClipboardButton btn btn-invisible js-clipboard-copy m-2 p-0 d-flex flex-justify-center flex-items-center" data-copy-feedback="Copied!" data-tooltip-direction="w" value="Central NAC → Configuration → Policies → Global Policy" role="button" tabindex="0"></clipboard-copy>
2.4 Créer le profil SSID 802.1X
Naviguer vers :
Aruba Central → Configuration → WLANs → Create SSID
<clipboard-copy aria-label="Copy" class="ClipboardButton btn btn-invisible js-clipboard-copy m-2 p-0 d-flex flex-justify-center flex-items-center" data-copy-feedback="Copied!" data-tooltip-direction="w" value="Aruba Central → Configuration → WLANs → Create SSID" role="button" tabindex="0"></clipboard-copy>
Configurer le SSID en mode WPA3-Enterprise / 802.1X.
2.5 Créer la politique d'autorisation
Naviguer vers :
Central NAC → Configuration → Authorization Policies → Create
<clipboard-copy aria-label="Copy" class="ClipboardButton btn btn-invisible js-clipboard-copy m-2 p-0 d-flex flex-justify-center flex-items-center" data-copy-feedback="Copied!" data-tooltip-direction="w" value="Central NAC → Configuration → Authorization Policies → Create" role="button" tabindex="0"></clipboard-copy>
2.6 Créer le profil d'authentification EAP-TLS
Naviguer vers :
Central NAC → Configuration → Authentication Profiles → Create Profile
<clipboard-copy aria-label="Copy" class="ClipboardButton btn btn-invisible js-clipboard-copy m-2 p-0 d-flex flex-justify-center flex-items-center" data-copy-feedback="Copied!" data-tooltip-direction="w" value="Central NAC → Configuration → Authentication Profiles → Create Profile" role="button" tabindex="0"></clipboard-copy>
Configurer avec EAP-TLS et l'Identity Store Intune.
2.7 Vérifier la connexion UEM Intune
La connexion Intune doit afficher le statut vert dans Central NAC.
2.8 Récupérer l'URL SCEP et le certificat CA racine
Naviguer vers :
Central NAC → Configuration → SCEP
<clipboard-copy aria-label="Copy" class="ClipboardButton btn btn-invisible js-clipboard-copy m-2 p-0 d-flex flex-justify-center flex-items-center" data-copy-feedback="Copied!" data-tooltip-direction="w" value="Central NAC → Configuration → SCEP" role="button" tabindex="0"></clipboard-copy>
Télécharger le certificat CA racine - nécessaire pour le profil Trusted Certificate dans Intune.
Note
Conserver l'URL SCEP et le certificat CA racine - ils sont requis dans microsoft-intune / eap-tls pour chaque guide de plateforme.
Naviguer vers :
Central NAC → Monitoring → Clients
<clipboard-copy aria-label="Copy" class="ClipboardButton btn btn-invisible js-clipboard-copy m-2 p-0 d-flex flex-justify-center flex-items-center" data-copy-feedback="Copied!" data-tooltip-direction="w" value="Central NAC → Monitoring → Clients" role="button" tabindex="0"></clipboard-copy>
Les clients authentifiés doivent apparaître avec leur rôle NAC attribué.
Windows
macOS
iOS/iPadOS
Pour chaque plateforme, le détail du client doit afficher :
| Champ |
Valeur attendue |
| Statut |
Accepted |
| Type d'authentification |
EAP-TLS (Certificate) |
| Statut du certificat |
Valide |
| Identity Store |
Luconik_EntraID |
| Rôle assigné |
selon la politique d'autorisation |
Sources
hpe-aruba-guides/central-nac-intune/README-fr.md at main · Luconik/hpe-aruba-guides
| GitHub |
remove preview |
|
| hpe-aruba-guides/central-nac-intune/README-fr.md at main · Luconik/hpe-aruba-guides |
| HPE Aruba guides - Central NAC/Intune, GreenLake SSO & Workspace - hpe-aruba-guides/central-nac-intune/README-fr.md at main · Luconik/hpe-aruba-guides |
| View this on GitHub > |
|
|
------------------------------
Nicolas Culetto
Channel SE HPE Aruba Networking
France
------------------------------