上周有个企业客户来问，说他们厂区准备上无线网络，有人建议顺便把认证系统也配上，另外有人说没必要，设备自带的功能够用了。他们卡在中间，不知道怎么判断。

这个问题没有标准答案。不是所有企业都需要独立的无线认证系统，但也不是所有人都够用。下面几个问题能帮你理清楚自己到底需不需要。

先看看网络里有没有"人"需要管

如果企业只有十几个人，一台路由器管几十台设备，连的人不多、也没有外部访客——这种情况下独立认证系统的优先级确实不高。先把无线覆盖做好，能稳定上网，比什么都重要。

但如果企业已经开始出现这些情况，就要认真考虑：

• 员工用自己的设备连公司网络（BYOD），没有身份绑定，出事查不到是谁
• 访客进场越来越多，访客网络和内网混在一起，没有隔离
• 有等保或者合规审计要求，必须记录谁在什么时间访问了网络
• 人员流动开始变快，离职员工的网络账号能不能及时收回成了问题

这些场景里，设备自带的简单密码认证已经管不住了，需要独立的认证系统把"人"和"设备"对应起来。

有多少种角色需要区分

最简单的网络是：所有人用同一个密码，所有设备都能连。这种模式管的人少的时候还能跑，人一多就乱。

企业无线认证需要区分的角色通常有几种：正式员工、访客、外包人员、设备终端（如打印机、IoT传感器）。每种角色的上网策略不一样——员工可以访问部分内网，访客只能上外网而且要限速，外包人员可能只在特定区域能联网，设备终端需要长期稳定连接但不应该有访问权限。

如果你的网络里存在两种以上的角色，而且已经能感觉到管理上有摩擦——比如访客问密码、离职人员没关账号、不同区域策略不统一——认证系统的必要性就出现了。

有没有合规这条线

政企单位、医院、学校这类场景，通常有网络日志留存的要求。不是"最好有"，而是"必须有"。公安部门对互联网出口的日志有明确的留存周期要求，能追溯到人是基本条件。

如果企业正在准备等保测评、上市审计或者涉及到敏感数据处理，网络日志能不能落到具体人，是审查中的必查项。没有认证层，日志只能记录到IP地址，查到的是"哪个IP在上什么网站"，而不是"谁在上网"。

这种情况下，上一套独立的认证系统不是可选项，是必选项。

网络规模到了什么阶段

有个大概的参考线：50人以下、网络结构简单、没有访客和合规压力——设备自带功能够用；50人以上、人员结构复杂、有合规需求——独立认证系统开始体现价值。

连锁企业或者多分支机构更特殊。这类场景的认证系统不只是一个上网工具，而是整个网络的统一管控入口。总部一个后台，能看到所有分支机构的在线终端、在线账号、能统一开关权限——这种能力是设备自带功能给不了的。

有没有集成现有系统的需求

有些企业的IT已经用上了AD域或者OA系统，希望无线认证能直接复用现有的账号体系。员工用企业微信扫码就能连WiFi，不需要额外记密码；访客通过短信认证，临时账号到期自动回收。

这类需求跟现有的IT系统打通，必须依赖独立的认证平台。设备自带功能一般不支持这些对接方式。

企业在评估是否上无线认证系统之前，建议先把上面几个问题过一遍。如果大部分答案是"有需求"，那可以开始找方案了；如果大部分答案是"没有"，先把基础网络建好，等需求明确了再说。

有一种情况要特别提一下

有些企业已经用了AD域或者企业微信这类办公平台，IT团队希望把网络认证也纳入统一管理——员工用一个账号既能登录电脑、打开邮件系统，也能连上WiFi，不需要记第二套密码。

这种场景在选型的时候要优先确认认证系统能不能跟企业现有的AD域或者企业微信打通。有些产品支持，有些产品只支持本地账号，不支持对接。提前确认能省很多后期改架构的麻烦。

评估的优先级建议

总结一下，上面几个问题的优先级大概是：有合规压力→优先上；人员结构复杂→优先上；规模小且无访客→可以缓一缓。规模大或者连锁性质→优先上，且要选云端方案。

预算有限的情况下，可以先从最痛的痛点入手——比如先把访客网络隔离做好，把带宽挤占的问题解决掉，后续再逐步完善其他能力。