Planowanie wdrażania dostępu bezprzewodowego

Przed wdrożeniem dostępu bezprzewodowego należy zaplanować następujące elementy:

• Instalacja punktów dostępu bezprzewodowego (APs) w sieci

• Konfiguracja klienta bezprzewodowego i dostęp

Poniższe sekcje zawierają szczegółowe informacje na temat tych kroków planowania.

Planowanie instalacji bezprzewodowego punktu dostępu (AP)

Podczas projektowania rozwiązania dostępu do sieci bezprzewodowej należy wykonać następujące czynności:

1. Określanie standardów, które muszą obsługiwać dostawcy dostępu bezprzewodowego
2. Określanie obszarów pokrycia, w których chcesz zapewnić usługę bezprzewodową
3. Określ, gdzie chcesz umieścić punkty dostępu bezprzewodowego

Ponadto należy zaplanować schemat adresów IP dla punktów dostępowych i klientów bezprzewodowych. Aby uzyskać powiązane informacje, zobacz sekcję Planuj konfigurację bezprzewodowych AP w NPS poniżej.

Zweryfikuj obsługę punktu dostępowego dla standardów bezprzewodowych

W celu zapewnienia spójności i łatwości wdrażania i zarządzania ap zaleca się wdrożenie bezprzewodowych APs tej samej marki i modelu.

Wdrożone bezprzewodowe punkty dostępu muszą obsługiwać następujące funkcje:

• IEEE 802.1X

• Uwierzytelnianie za pomocą usługi RADIUS

• Uwierzytelnianie bezprzewodowe i szyfrowanie. Wymienione w kolejności od najbardziej do najmniej preferowanych:

  1. WPA2-Enterprise z usługą AES

  2. WPA2-Enterprise za pomocą TKIP

  3. WPA-Enterprise z usługą AES

  4. WPA-Enterprise za pomocą TKIP

Ponadto w celu zapewnienia zwiększonych zabezpieczeń sieci bezprzewodowej APs musi obsługiwać następujące opcje zabezpieczeń:

• Filtrowanie DHCP. Bezprzewodowy AP musi filtrować porty IP, aby zapobiec transmisji komunikatów emisji DHCP w tych przypadkach, gdy klient bezprzewodowy jest skonfigurowany jako serwer DHCP. Bezprzewodowy ap musi zablokować klientowi wysyłanie pakietów IP z portu UDP 68 do sieci.

• Filtrowanie DNS. Bezprzewodowy AP musi filtrować ruch na portach IP, aby uniemożliwić klientowi działanie jako serwer DNS. Bezprzewodowy ap musi zablokować klientowi wysyłanie pakietów IP z portu TCP lub UDP 53 do sieci.

• Izolacja klienta Jeśli punkt dostępu bezprzewodowego zapewnia możliwości izolacji klienta, należy włączyć tę funkcję, aby zapobiec możliwym atakom wykorzystującym fałszowanie protokołu rozpoznawania adresów (ARP).

Identyfikowanie obszarów zasięgu dla użytkowników bezprzewodowych

Użyj rysunków architektonicznych każdego piętra dla każdego budynku, aby zidentyfikować obszary, w których chcesz zapewnić zasięg bezprzewodowy. Na przykład zidentyfikuj odpowiednie biura, sale konferencyjne, lobbe, kawiarnie lub dziedzińce.

Na rysunkach, wskazują wszystkie urządzenia, które zakłócają sygnały bezprzewodowe, takie jak sprzęt medyczny, bezprzewodowe kamery wideo, telefony bez przewodowe, które działają w zakresie od 2,4 do 2,5 GHz Industrial, Scientific and Medical (ISM) i urządzeń obsługujących Bluetooth.

Na rysunku oznacz aspekty budynku, które mogą zakłócać sygnały bezprzewodowe; metalowe obiekty używane w budowie budynku mogą mieć wpływ na sygnał bezprzewodowy. Na przykład następujące typowe obiekty mogą zakłócać propagację sygnału: windy, przewody grzewcze i klimatyzacji oraz betonowe przewody pomocnicze.

Zapoznaj się z producentem AP, aby uzyskać informacje o źródłach, które mogą powodować tłumienie częstotliwości radiowej ap bezprzewodowego. Większość APs udostępnia oprogramowanie testowe, za pomocą którego można sprawdzić siłę sygnału, szybkość błędów i przepływność danych.

Określenie miejsca instalacji bezprzewodowych punktów dostępowych

Na rysunkach architektonicznych znajdź swoich bezprzewodowych APs wystarczająco blisko siebie, aby zapewnić dużo zasięgu bezprzewodowego, ale wystarczająco daleko od siebie, że nie zakłócają siebie nawzajem.

Niezbędna odległość między punktami dostępowymi zależy od typu punktu dostępu i anteny AP, elementów budynku, które blokują sygnały bezprzewodowe, oraz innych źródeł zakłóceń. Możesz oznaczyć miejsca rozmieszczenia punktów dostępu bezprzewodowego AP tak, aby każdy z nich nie znajdował się dalej niż 300 stóp od dowolnego sąsiadującego punktu dostępu bezprzewodowego AP. Zapoznaj się z dokumentacją producenta AP bezprzewodowego, aby uzyskać specyfikacje i wytyczne dotyczące lokalizacji.

Tymczasowo zainstaluj bezprzewodowe punkty dostępu AP w lokalizacjach określonych na rysunkach architektonicznych. Następnie za pomocą laptopa wyposażonego w kartę bezprzewodową 802.11 i oprogramowanie do badania lokacji, które jest powszechnie dostarczane z kartami bezprzewodowymi, określają siłę sygnału w każdym obszarze pokrycia.

W obszarach pokrycia, w których siła sygnału jest niska, umieść AP w celu poprawy siły sygnału dla obszaru pokrycia, zainstaluj dodatkowe bezprzewodowe APs w celu zapewnienia niezbędnego pokrycia, przeniesienia lub usunięcia źródeł interferencji sygnału.

Zaktualizuj rysunki architektoniczne, aby wskazać ostateczne rozmieszczenie wszystkich punktów dostępu bezprzewodowego. Dokładna mapa umieszczania punktów dostępu (AP) pomoże później podczas rozwiązywania problemów lub kiedy konieczne będzie uaktualnienie lub zastąpienie punktów dostępu (AP).

Planowanie konfiguracji punktu dostępowego (AP) oraz klienta RADIUS na serwerze NPS dla sieci bezprzewodowej.

Można użyć serwera NPS do skonfigurowania punktów dostępowych bezprzewodowych indywidualnie lub w grupach.

Jeśli wdrażasz dużą sieć bezprzewodową, która zawiera wiele APs, znacznie łatwiej jest skonfigurować APs w grupach. Aby dodać punkty dostępowe jako grupy klientów RADIUS w usłudze NPS, należy skonfigurować punkty dostępowe z tymi właściwościami.

• Punkty dostępowe sieci bezprzewodowej są skonfigurowane z adresami IP z tego samego zakresu adresów IP.

• Bezprzewodowe punkty dostępowe (AP) są skonfigurowane z tym samym wspólnym kluczem tajnym.

Zaplanuj użycie szybkiego ponownego nawiązywania połączenia PEAP

W infrastrukturze 802.1X punkty dostępu bezprzewodowego są konfigurowane jako klienci RADIUS do serwerów RADIUS. Po wdrożeniu szybkiego ponownego połączenia PEAP klient bezprzewodowy, który wędruje między co najmniej dwoma punktami dostępu, nie musi być uwierzytelniany przy każdym nowym połączeniu.

Szybkie ponowne nawiązywanie połączenia PEAP skraca czas odpowiedzi na uwierzytelnianie między klientem i wystawcą uwierzytelnienia, ponieważ żądanie uwierzytelniania jest przekazywane z nowego punktu dostępu do serwera NPS, który pierwotnie wykonał uwierzytelnianie i autoryzację dla żądania połączenia klienta.

Ponieważ zarówno klient PEAP, jak i serwer NPS używają wcześniej buforowanych właściwości połączenia protokołu Transport Layer Security (TLS) (kolekcji o nazwie dojście TLS), serwer NPS może szybko określić, czy klient jest autoryzowany do ponownego nawiązania połączenia.

Jeśli oryginalny serwer NPS stanie się niedostępny lub jeśli klient przejdzie do punktu dostępu skonfigurowanego jako klient RADIUS na inny serwer RADIUS, należy przeprowadzić pełne uwierzytelnianie między klientem a nowym wystawcą uwierzytelnienia.

Konfiguracja bezprzewodowego punktu dostępu

Poniższa lista zawiera podsumowanie elementów, które są często skonfigurowane na sieci bezprzewodowej APs z obsługą standardu 802.1X:

• Identyfikator zestawu usług (SSID). Jest to nazwa sieci bezprzewodowej (na przykład ExampleWlan) i nazwa, która jest anonsowana dla klientów bezprzewodowych. Aby zmniejszyć zamieszanie, identyfikator SSID wybrany do nadawania nie powinien być zgodny z identyfikatorem SSID nadawanym przez jakiekolwiek sieci bezprzewodowe, które znajdują się w zasięgu twojej sieci bezprzewodowej.

  W przypadkach, w których wiele punktów dostępu bezprzewodowego jest wdrożonych w ramach tej samej sieci bezprzewodowej, skonfiguruj każdy bezprzewodowy ap z tym samym identyfikatorem SSID. W przypadkach, w których wiele punktów dostępu bezprzewodowego jest wdrożonych w ramach tej samej sieci bezprzewodowej, skonfiguruj każdy bezprzewodowy ap z tym samym identyfikatorem SSID.

  W przypadkach, gdy konieczne jest wdrożenie różnych sieci bezprzewodowych w celu spełnienia określonych potrzeb biznesowych, bezprzewodowe ap w jednej sieci powinny emitować inny identyfikator SSID niż SSID innych sieci. Jeśli na przykład potrzebujesz oddzielnej sieci bezprzewodowej dla pracowników i gości, możesz skonfigurować punkty dostępu bezprzewodowego (AP) dla sieci biznesowej z identyfikatorem SSID ustawionym na nadawanie ExampleWLAN. W przypadku sieci gościa można ustawić identyfikator SSID każdego bezprzewodowego AP, aby nadawały GuestWLAN. W ten sposób pracownicy i goście mogą łączyć się z docelową siecią bez niepotrzebnych pomyłek.

  Tip

  Niektóre bezprzewodowe punkty dostępowe mają możliwość nadawania wielu identyfikatorów SSID, aby obsługiwać wdrożenia wielu sieci. Punkty dostępu bezprzewodowego (AP), które mogą rozgłaszać wiele SSID, mogą zmniejszyć koszty wdrażania i konserwacji operacyjnej.

• Uwierzytelnianie bezprzewodowe i szyfrowanie.

  Uwierzytelnianie bezprzewodowe to uwierzytelnianie zabezpieczeń, które jest używane, gdy klient bezprzewodowy kojarzy się z punktem dostępu bezprzewodowego.

  Szyfrowanie bezprzewodowe to szyfr szyfrowania zabezpieczeń, który jest używany z uwierzytelnianiem bezprzewodowym w celu ochrony komunikacji wysyłanej między bezprzewodowym punktem dostępu (AP) a klientem bezprzewodowym.

• Bezprzewodowy adres IP AP (statyczny). Na każdym bezprzewodowym ap skonfiguruj unikatowy statyczny adres IP. Jeśli podsieć jest serwisowana przez serwer DHCP, upewnij się, że wszystkie adresy IP ap należą do zakresu wykluczeń DHCP, aby serwer DHCP nie próbował wystawiać tego samego adresu IP na innym komputerze lub urządzeniu. Zakresy wykluczeń są udokumentowane w procedurze "Aby utworzyć i aktywować nowy zakres DHCP" w przewodniku po sieci podstawowej. Jeśli planujesz skonfigurować punkty dostępowe AP jako klientów RADIUS według grupy w NPS, każdy AP w grupie musi mieć adres IP z tego samego zakresu.

• Nazwa DNS. Niektóre bezprzewodowe punkty dostępu można skonfigurować z nazwą DNS. Skonfiguruj każdy bezprzewodowy ap o unikatowej nazwie. Na przykład, jeśli masz wdrożone bezprzewodowe APs w budynku wielopiętrowym, możesz nazwać pierwsze trzy bezprzewodowe APs, które są wdrożone na trzecim piętrze AP3-01, AP3-02 i AP3-03.

• Bezprzewodowa maska podsieci AP. Skonfiguruj maskę, aby wyznaczyć, która część adresu IP jest identyfikatorem sieci i która część adresu IP jest hostem.

• Usługa AP DHCP. Jeśli bezprzewodowy ap ma wbudowaną usługę DHCP, wyłącz ją.

• Tajne hasło współdzielone RADIUS. Użyj unikatowego klucza tajnego współużytkowanego usługi RADIUS dla każdego punktu dostępowego, chyba że planujesz skonfigurować klientów RADIUS w NPS w grupach — w takim przypadku należy skonfigurować wszystkie punkty dostępowe w grupie z tym samym wspólnym kluczem tajnym. Wspólne wpisy tajne powinny być losową sekwencją co najmniej 22 znaków, z wielką i małą literą, cyframi i znakiem interpunkcyjnym. Aby zapewnić losowość, możesz użyć programu do generowania losowych znaków do tworzenia wspólnych sekretów. Zaleca się zarejestrowanie wspólnego sekretu dla każdego bezprzewodowego AP i zapisanie go w bezpiecznej lokalizacji, na przykład w sejfie biurowym. Podczas konfigurowania klientów RADIUS w konsoli NPS należy utworzyć wersję wirtualną każdego AP. Wspólny tajny klucz skonfigurowany na każdym wirtualnym AP w usłudze NPS musi być zgodny z tajnym kluczem na rzeczywistym, fizycznym AP.

• Adres IP serwera RADIUS. Wpisz adres IP serwera NPS, którego chcesz użyć do uwierzytelniania i autoryzowania żądań połączeń do tego punktu dostępu.

• Porty UDP. Domyślnie serwer NPS używa portów UDP 1812 i 1645 dla komunikatów uwierzytelniania usługi RADIUS oraz portów UDP 1813 i 1646 dla komunikatów ewidencjonowania aktywności usługi RADIUS. Zaleca się, aby nie zmieniać domyślnych ustawień portów UDP usługi RADIUS.

• VSAs. Niektóre bezprzewodowe punkty dostępowe (AP) wymagają atrybutów specyficznych dla dostawcy (VSA) w celu zapewnienia pełnej funkcjonalności bezprzewodowego punktu dostępowego.

• Filtrowanie DHCP. Skonfiguruj bezprzewodowe punkty dostępowe AP, aby zablokować klientom bezprzewodowym wysyłanie pakietów IP z portu UDP 68 do sieci. Zapoznaj się z dokumentacją dla bezprzewodowego punktu dostępowego, aby skonfigurować filtrowanie DHCP.

• Filtrowanie DNS. Skonfiguruj bezprzewodowe punkty dostępowe AP, aby zablokować klientom bezprzewodowym wysyłanie pakietów IP z portu TCP lub UDP 53 do sieci. Sprawdź dokumentację swojego punktu dostępowego bezprzewodowego, aby skonfigurować filtrowanie DNS.

Planowanie konfiguracji i dostępu klienta bezprzewodowego

Podczas planowania wdrożenia dostępu bezprzewodowego uwierzytelnionego w standardzie 802.1X należy wziąć pod uwagę kilka czynników specyficznych dla klienta:

• Planowanie obsługi wielu standardów.

  Określ, czy wszystkie komputery bezprzewodowe korzystają z tej samej wersji systemu Windows, czy też są to komputery z różnymi systemami operacyjnymi. Jeśli są różne, upewnij się, że rozumiesz różnice w standardach obsługiwanych przez systemy operacyjne.

  Określ, czy wszystkie karty sieciowe bezprzewodowe na wszystkich komputerach klienckich bezprzewodowych obsługują te same standardy bezprzewodowe, czy też chcesz obsługiwać różne standardy. Na przykład określ, czy niektóre sterowniki sprzętowe karty sieciowej obsługują WPA2-Enterprise i AES, podczas gdy inne obsługują tylko WPA-Enterprise i TKIP.

• Planowanie trybu uwierzytelniania klienta. Tryby uwierzytelniania definiują sposób przetwarzania poświadczeń domeny przez klientów systemu Windows. W zasadach sieci bezprzewodowej można wybrać następujące trzy tryby uwierzytelniania sieciowego.

  1. Ponowne uwierzytelnianie użytkownika. Ten tryb określa, że uwierzytelnianie jest zawsze wykonywane przy użyciu danych uwierzytelniających zgodnie z bieżącym stanem komputera. Jeśli żaden użytkownik nie jest zalogowany na komputerze, uwierzytelnianie odbywa się przy użyciu poświadczeń komputera. Gdy użytkownik jest zalogowany na komputerze, uwierzytelnianie jest zawsze wykonywane przy użyciu poświadczeń użytkownika.

  2. Tylko komputer. Tryb tylko komputera określa, że uwierzytelnianie jest zawsze wykonywane przy użyciu tylko poświadczeń komputera.

  3. Uwierzytelnianie użytkownika. Tryb uwierzytelniania użytkownika określa, że uwierzytelnianie jest wykonywane tylko wtedy, gdy użytkownik jest zalogowany na komputerze. Jeśli na komputerze nie jest zalogowany żaden użytkownik, próby uwierzytelniania nie są wykonywane.

• Planowanie ograniczeń bezprzewodowych. Określ, czy chcesz zapewnić wszystkim użytkownikom bezprzewodowym taki sam poziom dostępu do sieci bezprzewodowej, czy też chcesz ograniczyć dostęp dla niektórych użytkowników bezprzewodowych. Ograniczenia w systemie NPS można stosować względem określonych grup użytkowników bezprzewodowych. Można na przykład zdefiniować określone dni i godziny, w których niektóre grupy mają dostęp do sieci bezprzewodowej.

• Metody planowania dodawania nowych komputerów bezprzewodowych. W przypadku komputerów obsługujących sieć bezprzewodową, które są przyłączone do domeny przed wdrożeniem sieci bezprzewodowej, jeśli komputer jest podłączony do segmentu sieci przewodowej, który nie jest chroniony przez 802.1X, ustawienia konfiguracji bezprzewodowej są automatycznie stosowane po skonfigurowaniu sieci bezprzewodowej (IEEE 802.11) zasady na kontrolerze domeny i po odświeżeniu zasad grupy na kliencie bezprzewodowym.

  W przypadku komputerów, które nie zostały jeszcze przyłączone do domeny, należy jednak zaplanować metodę stosowania ustawień wymaganych do dostępu uwierzytelnionego w wersji 802.1X. Na przykład określ, czy chcesz przyłączyć komputer do domeny przy użyciu jednej z następujących metod.

  1. Podłącz komputer do segmentu sieci przewodowej, który nie jest chroniony przez 802.1X, a następnie przyłącz komputer do domeny.

  2. Podaj użytkownikom sieci bezprzewodowej kroki i ustawienia, które są potrzebne do dodania własnego profilu początkowego sieci bezprzewodowej, co pozwoli im dołączyć komputer do domeny.

  3. Przypisz personel IT do dołączenia klientów bezprzewodowych do domeny.

Planowanie obsługi wielu standardów

Rozszerzenie zasad sieci bezprzewodowej (IEEE 802.11) w zasadach grupy zapewnia szeroką gamę opcji konfiguracji do obsługi różnych opcji wdrażania.

Można wdrożyć punkty dostępowe (AP) sieci bezprzewodowej, które są skonfigurowane zgodnie z wybranymi standardami, a następnie skonfigurować wiele profili bezprzewodowych w Zasadach sieci bezprzewodowej (IEEE 802.11), z każdym profilem określającym jeden zestaw wymaganych standardów.

Jeśli na przykład sieć ma komputery bezprzewodowe, które obsługują WPA2-Enterprise i AES, inne komputery obsługujące WPA-Enterprise i AES oraz inne komputery, które obsługują tylko WPA-Enterprise i TKIP, należy określić, czy chcesz:

• Skonfiguruj jeden profil do obsługi wszystkich komputerów bezprzewodowych przy użyciu najsłabszej metody szyfrowania obsługiwanej przez wszystkie komputery — w tym przypadku WPA-Enterprise i TKIP.
• Skonfiguruj dwa profile, aby zapewnić najlepsze możliwe zabezpieczenia obsługiwane przez każdy komputer bezprzewodowy. W tym przypadku należy skonfigurować jeden profil, który określa najsilniejsze szyfrowanie (WPA2-Enterprise i AES) oraz jeden profil, który używa słabszych WPA-Enterprise i TKIP szyfrowania. W tym przykładzie ważne jest umieszczenie profilu, który używa WPA2-Enterprise i AES, na najwyższej pozycji w kolejności preferencji. Komputery, które nie mogą korzystać z WPA2-Enterprise i AES, przejdą automatycznie do następnego profilu w kolejności preferencji i przetworzą profil, który określa WPA-Enterprise i TKIP.

Planowanie ograniczonego dostępu do sieci bezprzewodowej

W wielu przypadkach można zapewnić użytkownikom bezprzewodowym różne poziomy dostępu do sieci bezprzewodowej. Na przykład możesz zezwolić niektórym użytkownikom na nieograniczony dostęp, dowolną godzinę dnia, każdego dnia tygodnia. Dla innych użytkowników możesz zezwolić na dostęp tylko w godzinach podstawowych, od poniedziałku do piątku i odmówić dostępu w sobotę i niedzielę.

Ten przewodnik zawiera instrukcje dotyczące tworzenia środowiska dostępu, które umieszcza wszystkich użytkowników sieci bezprzewodowej w grupie ze wspólnym dostępem do zasobów bezprzewodowych. Tworzysz jedną grupę zabezpieczeń użytkowników bezprzewodowych w przystawce Użytkownicy i komputery usługi Active Directory, a następnie dodajesz do tej grupy każdego użytkownika, dla którego chcesz przyznać dostęp bezprzewodowy.

Podczas konfigurowania zasad sieciowych serwera NPS należy określić grupę zabezpieczeń użytkowników sieci bezprzewodowej jako obiekt, który serwer NPS przetwarza podczas określania autoryzacji.

Jeśli jednak wdrożenie wymaga obsługi różnych poziomów dostępu, należy wykonać tylko następujące czynności:

1. Utwórz więcej niż jedną grupę zabezpieczeń użytkowników sieci bezprzewodowej, aby utworzyć dodatkowe grupy zabezpieczeń sieci bezprzewodowej w Active Directory - Użytkownicy i Komputery. Można na przykład utworzyć grupę zawierającą użytkowników, którzy mają pełny dostęp, grupę dla tych, którzy mają dostęp tylko w regularnych godzinach pracy, oraz inne grupy spełniające inne kryteria spełniające twoje wymagania.

2. Dodaj użytkowników do odpowiednich utworzonych grup zabezpieczeń.

3. Skonfiguruj dodatkowe zasady sieci serwera NPS dla każdej dodatkowej grupy zabezpieczeń sieci bezprzewodowej i skonfiguruj zasady, aby zastosować warunki i ograniczenia wymagane dla każdej grupy.

Planowanie metod dodawania nowych komputerów bezprzewodowych

Preferowaną metodą przyłączenia nowych komputerów bezprzewodowych do domeny, a następnie zalogowania się do domeny jest użycie połączenia przewodowego z segmentem sieci LAN, który ma dostęp do kontrolerów domeny i nie jest chroniony przez przełącznik uwierzytelniania Ethernet 802.1X.

W niektórych przypadkach jednak może nie być praktyczne użycie połączenia przewodowego do przyłączenia komputerów do domeny lub, aby użytkownik używał połączenia przewodowego do pierwszej próby logowania przy użyciu komputerów, które są już przyłączone do domeny.

Aby przyłączyć komputer do domeny przy użyciu połączenia bezprzewodowego lub aby użytkownicy logowali się do domeny po raz pierwszy przy użyciu komputera przyłączonego do domeny i połączenia bezprzewodowego, klienci bezprzewodowi muszą najpierw ustanowić połączenie z siecią bezprzewodową w segmencie, który ma dostęp do kontrolerów domeny sieci przy użyciu jednej z następujących metod.

1. Członek personelu IT dołącza komputer bezprzewodowy do domeny, a następnie konfiguruje profil bezprzewodowy bootstrap logowania jednokrotnego. Przy użyciu tej metody administrator IT łączy komputer bezprzewodowy z siecią przewodową Ethernet, a następnie przyłącza komputer do domeny. Następnie administrator dystrybuuje komputer do użytkownika. Gdy użytkownik uruchamia komputer, poświadczenia domeny, które ręcznie określają dla procesu logowania użytkownika, są używane zarówno do nawiązania połączenia z siecią bezprzewodową, jak i zalogowania się do domeny.

2. Użytkownik ręcznie konfiguruje komputer bezprzewodowy przy użyciu profilu bezprzewodowego bootstrap, a następnie przyłącza się do domeny. Dzięki tej metodzie użytkownicy ręcznie konfigurują swoje komputery bezprzewodowe za pomocą profilu bezprzewodowego bootstrap na podstawie instrukcji od administratora IT. Bootstrap profil bezprzewodowy umożliwia użytkownikom nawiązanie połączenia bezprzewodowego, a następnie przyłączenie komputera do domeny. Po dołączeniu komputera do domeny i ponownym uruchomieniu komputera użytkownik może zalogować się do domeny przy użyciu połączenia bezprzewodowego i poświadczeń konta domeny.

Aby wdrożyć dostęp bezprzewodowy, zobacz Wdrażanie dostępu bezprzewodowego.