MENU
  1. Accueil
  2. Windows
  3. troubleshooting
  4. iPhone X & WPA3‑Enterprise (802.1X) avec NPS : diagnostic complet et correctifs Wi‑Fi 6

iPhone X & WPA3‑Enterprise (802.1X) avec NPS : diagnostic complet et correctifs Wi‑Fi 6

troubleshooting

Votre iPhone X refuse de s’associer à un SSID WPA3‑Enterprise (802.1X) avec NPS en RADIUS et des points d’accès Wi‑Fi 6 ? Voici un guide opérationnel, du diagnostic express aux correctifs, avec check‑lists, paramètres NPS/contrôleur et procédures d’escalade.

Sommaire

Problème – Connexion impossible d’un iPhone X à un réseau Wi‑Fi WPA3 Enterprise (802.1X) utilisant NPS comme serveur RADIUS et des points d’accès Wi‑Fi 6

Vue d’ensemble

L’iPhone X se connecte sans difficulté en WPA2‑Enterprise (PEAP), mais échoue dès que le réseau passe en WPA3 Enterprise. Malgré un serveur NPS (RADIUS) fonctionnel et des bornes Wi‑Fi 6 compatibles, l’association ne s’établit pas (pas de portail captif, pas d’adresse IP, ou échec dès l’authentification).

  • Contexte type : SSID d’entreprise protégé 802.1X, NPS sous Windows Server (RADIUS), contrôleur/points d’accès Wi‑Fi 6 (802.11ax), iPhone X sous iOS récent.
  • Symptôme : en WPA3 Enterprise, l’iPhone tente l’association, affiche brièvement « Connexion… », puis retombe en échec sans invite de certificats ni demande d’identifiants.

Pourquoi WPA3‑Enterprise peut échouer sur iPhone X

WPA3 Enterprise introduit plusieurs exigences supplémentaires par rapport à WPA2 Enterprise, susceptibles de rompre la compatibilité avec des piles logicielles ou firmwares plus anciens :

  • PMF obligatoire (Protected Management Frames / 802.11w) : si le contrôleur est en mode mixte mal configuré (PMF Optional d’un côté, Required de l’autre), la négociation échoue.
  • Différences de suites cryptographiques : le mode WPA3 Enterprise « 192‑bit » (dit Suite‑B) impose des algorithmes (AES‑GCMP‑256, SHA‑384, etc.) non pris en charge par tous les clients. L’iPhone X offre un support partiel et se comporte mieux en mode de transition WPA3/WPA2.
  • Chaîne de certificats et TLS : iOS refuse les certificats SHA‑1/MD5, les chaînes incomplètes et les noms de serveur non conformes (CN/SAN). NPS doit exposer un certificat Server Authentication valide (RSA 2048+ ou EC) et publier l’intermédiaire.
  • Méthodes EAP : en entreprise, l’iPhone privilégie PEAP ou EAP‑TLS. Attention : NPS ne prend pas en charge EAP‑TTLS. Si votre design cible TTLS, utilisez un autre RADIUS (ex. FreeRADIUS/ClearPass) ou basculez vers PEAP/EAP‑TLS.
  • Erreurs de design Wi‑Fi : SSID masqué, 802.11r/FT mal aligné, paramètres 6 GHz only (l’iPhone X ne supporte pas 6 GHz), ou un band steering trop agressif peuvent casser l’association.

Diagnostic express (10 minutes)

  1. Vérifier l’iOS : Paramètres > Général > Mise à jour logicielle. Redémarrez après mise à jour.
  2. Tester le mode mixte : activez WPA3/WPA2‑Enterprise Transition avec PMF Required. Si l’iPhone se connecte (en PEAP), c’est un signe que WPA3 strict est en cause.
  3. Tester sur SSID visible : évitez le SSID masqué. Les iPhone peuvent échouer l’association WPA3 sur SSID non diffusés.
  4. Écarter 6 GHz : publiez le SSID sur 5 GHz (et 2,4 GHz si besoin). Désactivez un éventuel « 6 GHz‑only ».
  5. Vérifier NPS : PEAP/EAP‑TLS activé, bon certificat serveur (SHA‑256+), chaîne complète, TLS 1.2 actif.
  6. Observer NPS : événements 6272/6273 (autorisé/refusé). Un 6272 suivi d’un échec côté Wi‑Fi indique souvent un problème PMF/4‑Way Handshake.
  7. Désactiver provisoirement 802.11r/FT sur le SSID pour isoler l’impact du roaming rapide.
  8. Sur l’iPhone : Oublier ce réseau, Réinitialiser les réglages réseau si nécessaire, puis retester. Désactivez « Adresse Wi‑Fi privée » pour lever un doute sur des règles RADIUS par adresse MAC.

Solutions proposées durant l’échange

ÉtapeActionBut / Effet attendu
1Mettre à jour l’iPhone à la dernière version d’iOSApple a progressivement amélioré la compatibilité WPA3 ; un correctif logiciel suffit parfois.
2Activer le mode mixte « WPA3/WPA2 Enterprise Transition » sur les points d’accèsLes appareils incompatibles (iPhone X inclus) retombent automatiquement en WPA2‑PEAP, tandis que les plus récents utilisent WPA3.
3Vérifier la configuration NPS– Autoriser l’EAP réellement proposé par l’iPhone (EAP‑TLS, PEAP).
– Vérifier que le certificat serveur est valide, complet et signé en SHA‑256 min.
4Mettre à jour/patcher le firmware des points d’accès Wi‑Fi 6Certains firmwares précoces n’implémentent qu’une partie du standard WPA3 Enterprise.
5Escalade au support technique (Apple ou constructeur réseau)Si les étapes précédentes échouent, un diagnostic plus poussé est requis (traces de débogage, captures EAPOL, etc.).

Informations complémentaires utiles

  • Compatibilité matérielle : l’iPhone X (puce Wi‑Fi 802.11ac, 2017) gère officiellement WPA3‑SAE depuis iOS récents, mais le support WPA3‑Enterprise 192‑bit reste partiel. Il se comporte mieux dans le mode de transition.
  • Méthodes EAP acceptées : sans certificat client, l’iPhone privilégie PEAP MSCHAPv2 ; pour EAP‑TLS, installez un certificat client via MDM ou Apple Configurator. NPS ne supporte pas TTLS.
  • Chaîne et signatures : assurez‑vous que le certificat serveur est Server Authentication, que la chaîne inclut l’autorité intermédiaire, et que l’algorithme de signature est SHA‑256 (ou mieux). Évitez RC4/SHA‑1/MD5.
  • PMF (Protected Management Frames) : en WPA3, PMF est obligatoire. En mode mixte, forcez PMF Required pour aligner le comportement des clients.
  • SSID masqué : les iPhone peuvent échouer l’association WPA3 sur un SSID non diffusé. Testez d’abord sur SSID visible.

Procédure détaillée par composant

Sur l’iPhone X

  1. Mise à jour : appliquez la dernière version d’iOS disponible pour l’appareil. Redémarrez.
  2. Nettoyage des profils Wi‑Fi : Oublier ce réseau, puis retentez l’association. Si un profil MDM pousse la configuration, republiez‑le après modification (voir plus bas).
  3. Certificats :
    • Pour EAP‑TLS, installez le certificat client + clé privée dans un profil (MDM/Configurator) et mobilisez la racine/intermédiaire qui a signé le certificat serveur du RADIUS.
    • Assurez‑vous que le nom du serveur déclaré dans le profil (CN/SAN du certificat RADIUS) correspond exactement au certificat présenté par NPS.
  4. Adresse Wi‑Fi privée : désactivez‑la temporairement pour écarter un blocage RADIUS basé sur la MAC.
  5. Réinitialiser les réglages réseau si l’appareil a beaucoup d’historiques (Paramètres > Général > Transférer ou réinitialiser > Réinitialiser > Réinitialiser les réglages réseau).

Sur NPS (RADIUS)

  1. Politiques d’accès réseau (Network Policies) :
    • Conditions : NAS Port Type = Wireless - IEEE 802.11, appartenance à un groupe AD si requis, Windows Groups, etc.
    • Constraints > Authentication Methods : cochez Microsoft: Protected EAP (PEAP) et/ou Smart Card or other certificate (EAP‑TLS). Ne cochez pas TTLS (non supporté par NPS).
    • Dans PEAP Properties, sélectionnez le bon certificat serveur, activez Enable Fast Reconnect, autorisez MSCHAPv2 en intérieur PEAP si vous utilisez PEAP.
  2. Certificat RADIUS :
    • EKU : Server Authentication (OID 1.3.6.1.5.5.7.3.1).
    • Clé : RSA 2048+ ou ECC (P‑256+). Algorithme de signature : SHA‑256 ou supérieur.
    • Chaîne complète disponible sur le serveur (incluant l’intermédiaire) et distribuée aux clients (profil MDM si CA privée).
    • Le nom DNS (CN/SAN) doit être stable et résoudre (ex. radius.entreprise.local).
  3. TLS et suites :
    • Activez TLS 1.2 sur Windows (Schannel). Vérifiez qu’aucune GPO/registre ne le désactive.
    • Vérifiez que les suites GCM modernes sont disponibles. En PowerShell : Get-TlsCipherSuite | Sort-Object Name | Select-Object Name
  4. Journaux et événements :
    • Observateur d’événements > Custom Views > Server Roles > Network Policy and Access Services.
    • Suivez les événements 6272 (accès accordé) et 6273 (refusé). Les codes raisons EAP‑TLS alert ou Certificate unknown pointent vers un problème de chaîne ou de nom.
    • Activez la journalisation RADIUS et Wireshark si nécessaire (filtre : eapol || radius).

Sur le contrôleur/les points d’accès Wi‑Fi 6

  • Mode de sécurité :
    • Pour stabiliser rapidement, activez WPA3/WPA2‑Enterprise (Transition) avec PMF Required.
    • Évitez le WPA3 Enterprise 192‑bit tant que des iPhone X ou clients anciens subsistent.
  • PMF/802.11w : « Required » en WPA3. En transition, assurez‑vous que l’option n’est pas forcée en « Optional » côté borne tout en étant « Required » côté client.
  • 802.11r (FT) : pour isoler, testez avec FT désactivé. Si FT est requis, privilégiez FT‑802.1X correctement annoncé (AKM FT‑EAP).
  • Diffusion du SSID : Visible durant les tests.
  • Bande : publiez sur 5 GHz. 6 GHz‑only est incompatible avec l’iPhone X.
  • Firmware : appliquez le dernier maintainance release. Plusieurs fournisseurs ont corrigé des bugs WPA3‑Enterprise (PMF, AKM, GCMP, FT).

Tableaux d’aide au diagnostic

Symptômes → Causes probables → Correctifs

SymptômeCause probableAction corrective
Échec immédiat après tentative de connexion WPA3‑EnterprisePMF incohérent (Required vs Optional), AKM WPA3/EAP mal annoncéForcer PMF=Required, activer le mode WPA3/WPA2‑Enterprise Transition, vérifier AKM (EAP et FT‑EAP si 11r)
NPS « Grant » (6272) mais pas d’IPÉchec 4‑Way Handshake, VLAN dynamique invalide, DHCP bloquéVérifier les clés PTK/GTK (Wireshark EAPOL), tester sans VLAN dynamique, tracer DHCP
NPS « Deny » (6273) avec cause « certificat »Chaîne incomplète, CN/SAN incorrect, algorithme faibleInstaller l’intermédiaire sur NPS, corriger CN/SAN, réémettre en SHA‑256, distribuer la racine au client
Invite d’identifiants qui bouclePEAP/TTLS mal aligné (TTLS non supporté NPS), MSCHAPv2 filtréUtiliser PEAP MSCHAPv2 ou EAP‑TLS, activer MSCHAPv2 dans PEAP
Connexion OK en WPA2‑Enterprise, KO en WPA3‑EnterpriseWPA3‑EAP mis en œuvre partiellement sur APMettre à jour le firmware, simplifier le profil (désactiver 11r, limiter les AKM), tester sans 192‑bit
Échec sur SSID masquéComportement iOS avec WPA3+SSID non diffuséRendre le SSID visible au moins pour les tests

Codes d’événements NPS fréquents

ÉvénementSignificationPiste de résolution
6272 – Access grantedAuthentification RADIUS OKSi l’iPhone ne s’attache pas : suspectez PMF/Akm/4‑Way Handshake côté Wi‑Fi
6273 – Access deniedRefus par la politique NPSVérifier Conditions/Constraints, groupe AD, méthode EAP
EAP‑TLS : Alert/failureÉchec de négociation TLSChaîne, CN/SAN, algorithme de signature, compatibilité TLS 1.2
PEAP : MSCHAPv2 failureIdentifiants invalides ou MSCHAPv2 empêchéVérifier compte, GPO NPS, autoriser MSCHAPv2

Configuration recommandée et bonnes pratiques

Choix de la stratégie de migration

  • Phase 1 : SSID unique en WPA3/WPA2‑Enterprise Transition (PMF Required), EAP = PEAP et/ou EAP‑TLS, sans 192‑bit.
  • Phase 2 : inventaire clients, pousser profils EAP‑TLS via MDM, réémettre les certificats serveur si nécessaire.
  • Phase 3 : une fois le parc prêt, basculer le SSID en WPA3‑Enterprise strict (toujours sans 192‑bit si des iPhone X subsistent).
  • Phase 4 : optionnel, WPA3‑Enterprise 192‑bit sur un SSID dédié « haut‑assurance » pour les seuls clients conformes.

Paramètres conseillés sur le SSID

ParamètreValeur conseilléeCommentaires
SécuritéWPA3/WPA2‑Enterprise (Transition)Accueille iPhone X tout en permettant WPA3 aux clients récents
PMF / 802.11wRequiredConforme WPA3, réduit le spoofing de trames de gestion
AKMEAP, (FT‑EAP si 11r)Vérifiez la cohérence avec le paramétrage 11r
802.11r (FT)Désactivé au débutActivez après stabilisation et tests
Diffusion SSIDVisibleÉviter les échecs iOS sur SSID masqué
Bande5 GHz (2,4 facultatif), pas 6 GHz onlyL’iPhone X n’est pas Wi‑Fi 6E
FirmwareDernière MR/LTSCorrige des incompatibilités WPA3‑EAP

Profil MDM iOS (exemple EAP‑TLS)

Payload Wi‑Fi :
  - SSID : Entreprise
  - Sécurité : WPA2/WPA3 Enterprise
  - EAP Types : EAP‑TLS (et PEAP si besoin de fallback)
  - Certificats de confiance : CA racine + intermédiaire
  - Nom du serveur (CN/SAN) : radius.domaine.tld
  - Désactiver "Se connecter automatiquement" pendant les tests

Procédure d’escalade (données à fournir)

  1. Capture EAPOL/RADIUS (côté AP/contrôleur). Filtres : eapol || radius.
  2. Export des événements NPS (6272/6273) lors d’une tentative d’un iPhone X.
  3. Chaîne de certificats (PEM/DER) réellement présentée par NPS et profil MDM côté iOS.
  4. Paramètres SSID (sécurité, PMF, AKM, 11r, bandes, visibilité) et version de firmware des AP.
  5. Version d’iOS et modèle exact (iPhone X, A1865/A1901).

FAQ

Faut‑il activer d’emblée WPA3‑Enterprise 192‑bit ?
Non. Réservez‑le à un SSID dédié pour les équipements certifiés. Pour l’iPhone X, préférez le mode de transition WPA3/WPA2‑Enterprise.

L’iPhone X peut‑il fonctionner en EAP‑TLS ?
Oui, à condition d’installer un certificat client valide (profil MDM/Configurator) et de faire correspondre le nom du serveur avec le certificat RADIUS.

NPS prend‑il en charge EAP‑TTLS ?
Non. Utilisez PEAP ou EAP‑TLS avec NPS. Si TTLS est requis, envisagez un autre serveur RADIUS.

Pourquoi ça marche en WPA2‑Enterprise mais pas en WPA3‑Enterprise ?
Parce que WPA3 impose PMF et peut activer des AKM/suites différents. Un écart de configuration (PMF, FT, 192‑bit) suffit à faire échouer l’association, même si l’authentification RADIUS est bonne.

Checklist finale (avant bascule en production)

  • iOS à jour sur tous les iPhone X.
  • SSID en WPA3/WPA2‑Enterprise (PMF Required), SSID visible.
  • NPS : PEAP/EAP‑TLS uniquement, certificat SHA‑256, CN/SAN corrects, chaîne complète, TLS 1.2 actif.
  • AP : firmware à jour, 11r désactivé le temps des tests, pas de 6 GHz‑only.
  • Connexion validée avec obtention d’IP et trafic data.

Résumé exécutable

  1. Activez WPA3/WPA2‑Enterprise Transition + PMF Required.
  2. Mettez à jour l’iPhone X et le firmware AP.
  3. Sur NPS, vérifiez PEAP/EAP‑TLS, le certificat et TLS 1.2.
  4. Testez sur SSID visible, sans 11r, en 5 GHz.
  5. Si besoin, collectez EAPOL/RADIUS + événements NPS et escaladez.

Annexe : pas à pas NPS (exemple PEAP)

  1. Ouvrir Network Policy Server > Policies.
  2. Connection Request Policies : laissez le traitement par défaut ou routez vers le serveur local si proxy.
  3. Network Policies : créer/modifier une politique :
    • Conditions : NAS Port Type = Wireless – IEEE 802.11, groupe AD autorisé, etc.
    • Constraints : Authentication Methods = Microsoft: Protected EAP (PEAP). Bouton Edit : sélectionner votre certificat serveur (CN/SAN corrects), cocher Enable Fast Reconnect, Secured password (EAP‑MSCHAP v2).
    • Settings : VLAN dynamique (optionnel), attributs RADIUS si utilisés.
  4. Déployer la chaîne CA sur les iPhone (profil MDM) si CA privée.
  5. Tester et contrôler les événements 6272/6273.

Annexe : commandes utiles

# Windows (vérifier TLS 1.2 et suites côté NPS)
Get-TlsCipherSuite | Sort-Object Name

# Wireshark (filtre pour captures AP/contrôleur)

eapol || radius

# Exemple de logs à demander au support AP

* Version firmware, modèle AP/contrôleur
* Export de la configuration du SSID (sécurité, PMF, 11r, AKM)
* Trace de débogage authentification 802.1X/WPA3

En appliquant ces étapes, la majorité des déploiements mixtes WPA3 Enterprise retrouvent une compatibilité stable, y compris avec des iPhone X, sans renoncer aux bénéfices de sécurité de WPA3.

troubleshooting
802.1X PEAP RADIUS NPS EAP‑TLS Wi‑Fi 6 iPhone X WPA3
Sommaire