Introduction
Avec la sortie d'Android 10 et d'iOS 14, la randomisation des adresses MAC a été introduite pour tenter d'empêcher les utilisateurs d'être suivis en fonction de leur adresse MAC sans fil. Cela est bon pour la confidentialité lors de la connexion à des réseaux de points d'accès sans fil, mais rend le suivi des appareils difficile dans un environnement d'entreprise, en particulier lorsque vous essayez de profiler ces appareils ou d'utiliser un gestionnaire d'appareils mobiles pour vous assurer que l'appareil est conforme à la stratégie de sécurité d'une organisation avant d'accéder au réseau.
Pour les services de profilage et MDM, les utilisateurs finaux peuvent être invités à désactiver la randomisation MAC sur le périphérique avant d'obtenir l'accès réseau souhaité. Pour ce faire, il suffit de rediriger les utilisateurs vers une page de point d'accès modifiée qui fournit des instructions pour désactiver la randomisation MAC lorsque le périphérique utilise une adresse MAC aléatoire pour se connecter au réseau. Une fois la randomisation MAC désactivée, l'utilisateur peut se connecter normalement.
Configuration
- Accédez à Administration > Identity Management > Groups, sélectionnez Endpoint Identity Groups et sélectionnez Add pour créer un nouveau groupe de terminaux appelé Points d'extrémité MAC_aléatoires
- Accédez à Work Centers > Guest Access > Portals & Components, sélectionnez Guest portals et sélectionnez Create pour créer un nouveau portail invité de point d'accès sans fil appelé Random MAC Detected
- Sous Portal Settings, sélectionnez le groupe de terminaux créé ci-dessus pour le groupe d'identité de terminaux
- Sélectionner la personnalisation de la page Portal
- Sous Text Elements, remplacez le titre de la bannière par Random MAC detected
- Sélectionner une politique d'utilisation acceptable
- Remplacer le titre du contenu par : Votre périphérique utilise une adresse MAC aléatoire
- Ajoutez le texte suivant à la page Texte d'instruction :
Modifiez le paramètre réseau de votre périphérique pour utiliser l'adresse MAC globale au lieu de l'adresse MAC aléatoire pour obtenir l'accès au réseau.
Des instructions supplémentaires peuvent également être fournies avec des détails sur la désactivation de la randomisation MAC par SSID ou globalement sur le périphérique.
- Ajoutez le contenu facultatif suivant sur la page AUP pour supprimer les éléments du portail des points d'accès sans fil (veillez à sélectionner le bouton Basculer source HTML avant et après le collage dans le script) :
- D'autres paramètres de cette page peuvent être modifiés pour fournir des instructions sur la façon de modifier le paramètre de randomisation MAC sur les périphériques, une fois fait, sélectionnez Save
- Créez un profil d'autorisation appelé Random_MAC pour le rediriger vers la page créée ci-dessus
- Créez une règle de stratégie d'autorisation pour utiliser Random_MAC avec une condition qui correspond à n'importe quelle adresse MAC aléatoire pour n'importe quel SSID pour refuser l'adresse MAC aléatoire. Ici, la condition de correspondance de chaîne regex (MATCHES ^.[26AEae].*) est utilisée pour identifier une adresse MAC aléatoire qui utilise un bit significatif localement de l'adresse MAC que les appareils Android et iOS suivent
Instructions spécifiques au périphérique
Les étapes suivantes peuvent être demandées à l'utilisateur pour certains périphériques courants. Les fournisseurs de périphériques spécifiques peuvent avoir des étapes légèrement différentes pour désactiver la randomisation MAC sur leurs périphériques.
Android :
- Ouvrez l'application Paramètres.
- Sélectionnez Réseau et Internet.
- Sélectionnez WiFi.
- Vérifiez que vous êtes connecté au SSID d'entreprise.
- Effleurez l'icône représentant un engrenage à côté de la connexion WIFI actuelle.
- Sélectionnez Avancé.
- Sélectionnez Privacy.
- Sélectionnez Utiliser l'adresse MAC du périphérique.
Pomme :
Apple a publié un article avec des instructions sur la désactivation de MAC Randomization sur leurs appareils :
https://support.apple.com/en-us/HT211227
Fenêtres:
Au moment de la rédaction de cet article, les adresses MAC aléatoires sont désactivées par défaut sous Windows, mais un utilisateur peut choisir de les activer. Voici les instructions à suivre pour désactiver la fonctionnalité si elle est activée :