Azure AD এবং Entra ID WiFi অথেন্টিকেশন: ইন্টিগ্রেশন এবং কনফিগারেশন গাইড
এই টেকনিক্যাল রেফারেন্স গাইডটি IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন ডিরেক্টরদের RADIUS এবং 802.1X ব্যবহার করে এন্টারপ্রাইজ WiFi নেটওয়ার্কের সাথে Microsoft Entra ID (Azure AD) ইন্টিগ্রেট করার একটি ব্যবহারিক রোডম্যাপ প্রদান করে। এটি অন-প্রিমিস Windows NPS এবং ক্লাউড-নেটিভ RADIUS-এর মধ্যে আর্কিটেকচারাল সিদ্ধান্ত, Microsoft Intune-এর মাধ্যমে সার্টিফিকেট-ভিত্তিক EAP-TLS অথেন্টিকেশন ডেপ্লয়মেন্ট এবং হসপিটালিটি, রিটেইল এবং পাবলিক-সেক্টর পরিবেশে ওয়্যারলেস অ্যাক্সেস সুরক্ষিত করার অপারেশনাল সেরা অনুশীলনগুলো কভার করে। যেসব সংস্থা ইতিমধ্যে Microsoft 365 এবং Entra ID ইকোসিস্টেমে বিনিয়োগ করেছে, তাদের জন্য এই গাইডটি ক্লাউড আইডেন্টিটি ম্যানেজমেন্ট এবং ফিজিক্যাল নেটওয়ার্ক সিকিউরিটির মধ্যে ব্যবধান কমিয়ে দেয়।
এক্সিকিউটিভ সামারি
আধুনিক এন্টারপ্রাইজগুলোর জন্য যারা Microsoft ইকোসিস্টেমে ব্যাপকভাবে বিনিয়োগ করেছে, ক্লাউড আইডেন্টিটি ইনফ্রাস্ট্রাকচারের সাথে ফিজিক্যাল ওয়্যারলেস নেটওয়ার্কের সংযোগ স্থাপন করা একটি অত্যন্ত গুরুত্বপূর্ণ সিকিউরিটি প্রয়োজন। ঐতিহাসিকভাবে, WiFi অথেন্টিকেশন অন-প্রিমিস Active Directory Domain Services (AD DS) এবং Windows Network Policy Server (NPS)-এর ওপর নির্ভরশীল ছিল। তবে, সংস্থাগুলো যখন Microsoft Entra ID (পূর্বে Azure AD)-তে মাইগ্রেট করছে এবং জিরো-ট্রাস্ট সিকিউরিটি মডেল গ্রহণ করছে, তখন প্রথাগত ক্রেডেনশিয়াল-ভিত্তিক অথেন্টিকেশন পদ্ধতি — PEAP-MSCHAPv2 — আর পর্যাপ্ত বা সুরক্ষিত নয়।
এই গাইডটি IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন ডিরেক্টরদের Azure AD WiFi অথেন্টিকেশন বাস্তবায়নের জন্য একটি ব্যবহারিক রোডম্যাপ প্রদান করে। আমরা একটি অন-প্রিমিস NPS ফুটপ্রিন্ট বজায় রাখা এবং একটি ক্লাউড-নেটিভ RADIUS সমাধানে মাইগ্রেট করার মধ্যে আর্কিটেকচারাল পার্থক্যগুলো অন্বেষণ করি। গুরুত্বপূর্ণভাবে, আমরা বিস্তারিতভাবে বর্ণনা করি যে কীভাবে সার্টিফিকেট-ভিত্তিক অথেন্টিকেশন (EAP-TLS)-এর জন্য Microsoft Intune ব্যবহার করতে হয়, যা পাসওয়ার্ড-সংক্রান্ত দুর্বলতাগুলো দূর করে এবং শেষ-ব্যবহারকারীদের জন্য একটি নিরবচ্ছিন্ন অভিজ্ঞতা প্রদান করে। আপনি ৫০০ রুমের একটি হোটেল, একটি রিটেইল চেইন বা একটি বড় পাবলিক-সেক্টর ডেপ্লয়মেন্ট পরিচালনা করছেন না কেন, এই গাইডটি আপনাকে আপনার বিদ্যমান Microsoft আইডেন্টিটি ইনভেস্টমেন্ট ব্যবহার করে আপনার ওয়্যারলেস এজ সুরক্ষিত করতে সাহায্য করবে। ডেপ্লয়মেন্ট মডেলগুলোর আরও বিস্তারিত আলোচনার জন্য, আমাদের Cloud RADIUS vs On-Premise RADIUS: Decision Guide for IT Teams দেখুন।
টেকনিক্যাল ডিপ-ডাইভ: আর্কিটেকচার এবং স্ট্যান্ডার্ডস
সুরক্ষিত এন্টারপ্রাইজ WiFi-এর ভিত্তি হলো IEEE 802.1X স্ট্যান্ডার্ড, যা পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল প্রদান করে। একটি Microsoft-কেন্দ্রিক পরিবেশে, Entra ID-র সাথে 802.1X ইন্টিগ্রেট করার জন্য তিনটি স্তরে সতর্ক আর্কিটেকচারাল পরিকল্পনার প্রয়োজন: ওয়্যারলেস ইনফ্রাস্ট্রাকচার, অথেন্টিকেশন সার্ভার এবং আইডেন্টিটি ডিরেক্টরি।
RADIUS এবং 802.1X-এর ভূমিকা
যখন একটি ক্লায়েন্ট ডিভাইস (সাপ্লিক্যান্ট) একটি WPA2/WPA3-Enterprise নেটওয়ার্কের সাথে সংযোগ করার চেষ্টা করে, তখন ওয়্যারলেস অ্যাক্সেস পয়েন্ট (অথেন্টিকেটর) EAP (Extensible Authentication Protocol) প্যাকেট ছাড়া সমস্ত ট্রাফিক ব্লক করে দেয়। অ্যাক্সেস পয়েন্ট এই প্যাকেটগুলো একটি RADIUS সার্ভারে ফরোয়ার্ড করে। RADIUS সার্ভার একটি ডিরেক্টরি সার্ভিসের বিপরীতে ব্যবহারকারী বা ডিভাইসের আইডেন্টিটি যাচাই করে এবং একটি Access-Accept বা Access-Reject মেসেজ পাঠায়। এই তিন-পক্ষীয় মডেল — সাপ্লিক্যান্ট, অথেন্টিকেটর, অথেন্টিকেশন সার্ভার — হলো এন্টারপ্রাইজ ওয়্যারলেস সিকিউরিটির মূল ভিত্তি এবং এটি আমাদের Wireless Access Points Definition: Your Ultimate 2026 Guide -এ বিস্তারিতভাবে বর্ণনা করা হয়েছে।
Microsoft পরিবেশের জন্য আর্কিটেকচারাল পদ্ধতি
WiFi অথেন্টিকেশনের সাথে Microsoft আইডেন্টিটি ইন্টিগ্রেট করার জন্য দুটি প্রাথমিক আর্কিটেকচার রয়েছে, যার প্রতিটির আলাদা সুবিধা-অসুবিধা রয়েছে:
| মাত্রা | হাইব্রিড অন-প্রিমিস (NPS) | ক্লাউড-নেটিভ (Cloud RADIUS) |
|---|---|---|
| ইনফ্রাস্ট্রাকচার | Windows Server VM বা বেয়ার মেটাল প্রয়োজন | কোনো অন-প্রিমিস সার্ভার নেই |
| আইডেন্টিটি সোর্স | LDAP/Kerberos-এর মাধ্যমে AD DS | API-এর মাধ্যমে সরাসরি Entra ID |
| সার্টিফিকেট অথরিটি | ADCS অন-প্রিমিস + Intune কানেক্টর | Intune Cloud PKI বা ভেন্ডর PKI |
| স্কেলেবিলিটি | ম্যানুয়াল HA/লোড ব্যালেন্সিং | প্রোভাইডার দ্বারা অটো-স্কেলড |
| যার জন্য সেরা | হাইব্রিড AD, লেগাসি ডিভাইস | ক্লাউড-ফার্স্ট, Intune-ম্যানেজড সংস্থা |
| অপারেশনাল জটিলতা | প্রাথমিক এবং চলমান জটিলতা বেশি | অপারেশনাল ওভারহেড কম |
হাইব্রিড অন-প্রিমিস (Windows NPS + AD DS + Azure AD Connect): এটি প্রথাগত পদ্ধতি। Windows NPS একটি RADIUS সার্ভার হিসেবে কাজ করে, যা একটি অন-প্রিমিস Active Directory-র বিপরীতে রিকোয়েস্টগুলো অথেন্টিকেট করে। এটিকে ক্লাউডের সাথে লিঙ্ক করতে, Azure AD Connect অন-প্রিমিস আইডেন্টিটিগুলোকে Entra ID-তে সিঙ্ক করে। এটি শক্তিশালী হলেও, এর জন্য অন-প্রিমিস সার্ভার ইনফ্রাস্ট্রাকচার বজায় রাখা, হাই অ্যাভেইলেবিলিটি ম্যানেজ করা এবং EAP-TLS বাস্তবায়নের ক্ষেত্রে একটি জটিল PKI (ADCS) ডেপ্লয় করা প্রয়োজন।
ক্লাউড-নেটিভ (Cloud RADIUS + Entra ID + Intune): এই আধুনিক পদ্ধতিটি অন-প্রিমিস NPS সার্ভারের প্রয়োজনীয়তা দূর করে। একটি থার্ড-পার্টি Cloud RADIUS প্রোভাইডার Microsoft Graph API-এর মাধ্যমে সরাসরি Entra ID-র সাথে ইন্টিগ্রেট করে। অথেন্টিকেশন সম্পূর্ণভাবে ক্লাউডে ঘটে। এই আর্কিটেকচারটি একটি ক্লাউড-ফার্স্ট স্ট্র্যাটেজির সাথে সামঞ্জস্যপূর্ণ, যা অপারেশনাল ওভারহেড উল্লেখযোগ্যভাবে হ্রাস করে এবং জিরো-ট্রাস্ট নেটওয়ার্ক অ্যাক্সেস নীতির সাথে মিলে যায়।
EAP-TLS বনাম PEAP-MSCHAPv2: গুরুত্বপূর্ণ পছন্দ
EAP পদ্ধতির নির্বাচন এই ডেপ্লয়মেন্টের সবচেয়ে গুরুত্বপূর্ণ সিকিউরিটি সিদ্ধান্ত। PEAP-MSCHAPv2 ব্যবহারকারীদের তাদের ডোমেইন ক্রেডেনশিয়াল ইনপুট করার ওপর নির্ভর করে। এটি ক্রেডেনশিয়াল চুরি, ম্যান-ইন-দ্য-মিডল অ্যাটাক এবং পাসওয়ার্ডের মেয়াদ শেষ হলে ব্যবহারকারীর অভিজ্ঞতায় বিঘ্ন ঘটায়। গবেষণা ধারাবাহিকভাবে দেখিয়েছে যে রোগ (rogue) অ্যাক্সেস পয়েন্ট অ্যাটাকের মাধ্যমে PEAP-MSCHAPv2 হ্যাক করা সম্ভব।
EAP-TLS (Transport Layer Security) হলো সুরক্ষিত WiFi-এর জন্য ইন্ডাস্ট্রির গোল্ড স্ট্যান্ডার্ড। এটি মিউচুয়াল অথেন্টিকেশনের জন্য ক্লায়েন্ট ডিভাইসে ইনস্টল করা ডিজিটাল সার্টিফিকেট ব্যবহার করে — ক্লায়েন্ট এবং সার্ভার উভয়ই তাদের আইডেন্টিটি প্রমাণ করে। এখানে টাইপ করার মতো কোনো পাসওয়ার্ড নেই এবং কানেকশনটি ক্রিপ্টোগ্রাফিকভাবে শক্তিশালী। একটি Microsoft পরিবেশে, সার্টিফিকেটগুলো সাধারণত SCEP (Simple Certificate Enrollment Protocol) বা PKCS-এর মাধ্যমে Microsoft Intune ব্যবহার করে ডেপ্লয় করা হয়। এটি সমস্ত নতুন ডেপ্লয়মেন্টের জন্য সুপারিশকৃত পথ এবং GDPR ডেটা সুরক্ষা বাধ্যবাধকতা পালনের জন্য অপরিহার্য।
বাস্তবায়ন গাইড: ধাপে ধাপে ডেপ্লয়মেন্ট
EAP-TLS এবং Intune ব্যবহার করে Entra ID WiFi অথেন্টিকেশন বাস্তবায়নের জন্য আইডেন্টিটি, ডিভাইস ম্যানেজমেন্ট এবং নেটওয়ার্ক ইনফ্রাস্ট্রাকচারের বিভিন্ন উপাদানের মধ্যে সমন্বয় প্রয়োজন। ক্লাউড-নেটিভ ডেপ্লয়মেন্টের জন্য নিচের পাঁচ-ধাপের পদ্ধতিটি সুপারিশ করা হয়।
ধাপ ১: আইডেন্টিটি এবং ডিভাইস ম্যানেজমেন্ট ইনফ্রাস্ট্রাকচার প্রস্তুত করুন
আপনার Entra ID টেন্যান্টে উপযুক্ত লাইসেন্স আছে কিনা তা যাচাই করে শুরু করুন। Microsoft 365 E3/E5 বা Enterprise Mobility + Security (EMS) E3/E5-এ এই ডেপ্লয়মেন্টের জন্য প্রয়োজনীয় Intune ডিভাইস ম্যানেজমেন্ট এবং Conditional Access ক্ষমতা অন্তর্ভুক্ত রয়েছে। Intune ছাড়া স্বয়ংক্রিয় সার্টিফিকেট ডেপ্লয়মেন্ট সম্ভব নয়।
এরপর, আপনার Public Key Infrastructure (PKI) স্থাপন করুন। আপনার কাছে তিনটি বিকল্প রয়েছে: আপনার Cloud RADIUS ভেন্ডর দ্বারা প্রদত্ত একটি ক্লাউড-নেটিভ PKI, Microsoft-এর নিজস্ব Cloud PKI (Intune Suite লাইসেন্সের সাথে উপলব্ধ), অথবা Microsoft Intune Certificate Connector-এর মাধ্যমে Intune-এর সাথে সংযুক্ত একটি বিদ্যমান অন-প্রিমিস ADCS ডেপ্লয়মেন্ট। নতুন ডেপ্লয়মেন্টের জন্য, অন-প্রিমিস নির্ভরতা এড়াতে একটি ক্লাউড-নেটিভ PKI দৃঢ়ভাবে সুপারিশ করা হয়।
ধাপ ২: সার্টিফিকেট ডেপ্লয়মেন্টের জন্য Intune কনফিগার করুন
Microsoft Intune অ্যাডমিন সেন্টারে একটি Trusted Certificate কনফিগারেশন প্রোফাইল তৈরি করুন। আপনার PKI-এর Root CA সার্টিফিকেট আপলোড করুন এবং আপনার টার্গেট ডিভাইস গ্রুপগুলোতে এটি ডেপ্লয় করুন। এই ধাপটি অত্যন্ত গুরুত্বপূর্ণ: এটি নিশ্চিত করে যে ক্লায়েন্ট ডিভাইসগুলো TLS হ্যান্ডশেকের সময় RADIUS সার্ভার দ্বারা উপস্থাপিত সার্টিফিকেটকে বিশ্বাস করে, যা ম্যান-ইন-দ্য-মিডল অ্যাটাক প্রতিরোধ করে।
এরপর, একটি SCEP Certificate প্রোফাইল তৈরি করুন (অথবা আপনার PKI-এর প্রয়োজন হলে PKCS)। সাবজেক্ট নেম ফরম্যাট কনফিগার করুন — ব্যবহারকারী-ভিত্তিক অথেন্টিকেশনের জন্য CN={{UserPrincipalName}} ব্যবহার করুন; ডিভাইস-ভিত্তিক অথেন্টিকেশনের জন্য CN={{DeviceName}} বা ডিভাইসের সিরিয়াল নম্বর ব্যবহার করুন। User Principal Name বা ডিভাইস ID অন্তর্ভুক্ত করতে Subject Alternative Name (SAN) সেট করুন। উভয় প্রোফাইল উপযুক্ত Entra ID ডিভাইস বা ইউজার গ্রুপে অ্যাসাইন করুন।
ধাপ ৩: Cloud RADIUS ইন্টিগ্রেশন কনফিগার করুন
আপনার Entra ID টেন্যান্টে আপনার Cloud RADIUS প্রোভাইডারকে প্রয়োজনীয় Microsoft Graph API পারমিশন প্রদান করুন। অথেন্টিকেশনের সময় গ্রুপ মেম্বারশিপ যাচাই করার জন্য প্রোভাইডারের অন্তত User.Read.All এবং GroupMember.Read.All প্রয়োজন। কিছু প্রোভাইডারের ডিভাইস-ভিত্তিক পলিসির জন্য Device.Read.All-ও প্রয়োজন হয়।
Cloud RADIUS ম্যানেজমেন্ট পোর্টালের মধ্যে আপনার অথেন্টিকেশন পলিসিগুলো সংজ্ঞায়িত করুন। একটি কর্পোরেট পরিবেশের জন্য একটি সুগঠিত পলিসি এমন হতে পারে: "অ্যাক্সেসের অনুমতি দিন যদি সার্টিফিকেটটি [Trusted CA] দ্বারা ইস্যু করা হয় এবং ব্যবহারকারী [Corporate-WiFi-Users] Entra ID গ্রুপের সদস্য হন এবং ডিভাইসটি Intune-এ Compliant হিসেবে চিহ্নিত থাকে।" এই লেয়ারড পলিসি একই সাথে আইডেন্টিটি এবং ডিভাইসের স্বাস্থ্য নিশ্চিত করে।
ধাপ ৪: ওয়্যারলেস ইনফ্রাস্ট্রাকচার কনফিগার করুন
আপনার ওয়্যারলেস LAN কন্ট্রোলার বা ক্লাউড ম্যানেজমেন্ট ড্যাশবোর্ডে (যেমন Cisco Meraki, Aruba Central, বা Juniper Mist), Cloud RADIUS সার্ভার IP অ্যাড্রেস এবং শেয়ারড সিক্রেটগুলো RADIUS অথেন্টিকেশন সার্ভার হিসেবে যোগ করুন। রিডানডেন্সির জন্য প্রাইমারি এবং সেকেন্ডারি সার্ভার কনফিগার করুন। ক্লাউড রাউন্ড-ট্রিপ ল্যাটেন্সি সামঞ্জস্য করতে RADIUS টাইমআউট ন্যূনতম ৫ সেকেন্ড সেট করুন।
WPA2-Enterprise বা WPA3-Enterprise-এর জন্য কনফিগার করা একটি নতুন SSID তৈরি করুন। এই SSID-তে RADIUS সার্ভারগুলো অ্যাসাইন করুন। হসপিটালিটি ডেপ্লয়মেন্টের জন্য, নিশ্চিত করুন যে এই কর্পোরেট SSID কোনো গেস্ট নেটওয়ার্ক থেকে আলাদা VLAN-এ আছে। রিটেইল পরিবেশের জন্য, কর্পোরেট SSID শুধুমাত্র ব্যাক-অফ-হাউস এলাকায় ডেপ্লয় করার কথা বিবেচনা করুন, সেলস ফ্লোর নেটওয়ার্ক আলাদা রেখে।
ধাপ ৫: Intune-এর মাধ্যমে WiFi প্রোফাইল ডেপ্লয় করুন
Intune-এ একটি WiFi কনফিগারেশন প্রোফাইল তৈরি করুন। ওয়্যারলেস ইনফ্রাস্ট্রাকচারে আপনি যা কনফিগার করেছেন তার সাথে হুবহু মিল রেখে SSID সেট করুন। সিকিউরিটি টাইপ হিসেবে WPA2-Enterprise বা WPA3-Enterprise নির্বাচন করুন। EAP সেটিংসের অধীনে, অথেন্টিকেশন পদ্ধতি হিসেবে EAP-TLS নির্বাচন করুন। ক্লায়েন্ট সার্টিফিকেট হিসেবে SCEP সার্টিফিকেট প্রোফাইলটি লিঙ্ক করুন এবং ধাপ ২-এ আপনার ডেপ্লয় করা Trusted Root CA প্রোফাইলটি নির্দিষ্ট করুন।
এই WiFi প্রোফাইলটি সেই একই ডিভাইস গ্রুপগুলোতে অ্যাসাইন করুন যারা সার্টিফিকেট প্রোফাইলগুলো পেয়েছে। ডিভাইসগুলো তাদের পরবর্তী Intune সিঙ্কের সময় নীরবে সার্টিফিকেট এবং WiFi কনফিগারেশন পেয়ে যাবে এবং SSID-এর রেঞ্জের মধ্যে থাকলে স্বয়ংক্রিয়ভাবে সংযুক্ত হবে — কোনো ব্যবহারকারীর ইন্টারঅ্যাকশন ছাড়াই।
এন্টারপ্রাইজ পরিবেশের জন্য সেরা অনুশীলন
নিচের সুপারিশগুলো এন্টারপ্রাইজ ভেন্যুগুলোতে সুরক্ষিত, স্কেলেবল Microsoft 802.1X ডেপ্লয়মেন্টের জন্য শিল্পের ঐকমত্যকে প্রতিনিধিত্ব করে।
সমস্ত নতুন ডেপ্লয়মেন্টে EAP-TLS বাধ্যতামূলক করুন। PEAP-MSCHAPv2 ব্যবহার করে নতুন নেটওয়ার্ক ডেপ্লয় করবেন না। ক্রেডেনশিয়াল-ভিত্তিক WiFi-এর সিকিউরিটি ঝুঁকিগুলো সুপ্রতিষ্ঠিত এবং জিরো-ট্রাস্ট সিকিউরিটি পজিশনের সাথে বেমানান। GDPR এবং ISO 27001 কমপ্লায়েন্সের জন্য EAP-TLS অপরিহার্য।
সার্টিফিকেট লাইফসাইকেল স্বয়ংক্রিয় করুন। নিশ্চিত করুন যে যখন Entra ID-তে কোনো ব্যবহারকারীকে ডিজেবল করা হয় বা Intune-এ কোনো ডিভাইস রিটায়ার করা হয়, তখন সংশ্লিষ্ট সার্টিফিকেটটি স্বয়ংক্রিয়ভাবে রিভোক করা হয় বা RADIUS পলিসি অবিলম্বে অ্যাক্সেস ব্লক করে দেয়। এটি হসপিটালিটি এবং রিটেইল -এর মতো উচ্চ-টার্নওভার পরিবেশে বিশেষভাবে গুরুত্বপূর্ণ, যেখানে কর্মীদের পরিবর্তন ঘন ঘন হয়।
Entra ID Conditional Access বাস্তবায়ন করুন। নেটওয়ার্ক অ্যাক্সেসের শর্ত হিসেবে ডিভাইস কমপ্লায়েন্স প্রয়োগ করতে Conditional Access পলিসিগুলো ব্যবহার করুন। RADIUS-এ অথেন্টিকেট করার আগে ডিভাইসগুলোকে Intune-এ 'Compliant' হিসেবে চিহ্নিত করার প্রয়োজন হলে এটি নিশ্চিত করে যে শুধুমাত্র প্যাচ করা, পলিসি-সম্মত ডিভাইসগুলোই কর্পোরেট নেটওয়ার্ক অ্যাক্সেস করছে।
কর্পোরেট এবং গেস্ট নেটওয়ার্কগুলো কঠোরভাবে আলাদা করুন। 802.1X ম্যানেজড কর্পোরেট ডিভাইসগুলোর জন্য ডিজাইন করা হয়েছে। ভিজিটর, কন্ট্রাক্টর এবং BYOD-এর জন্য একটি ক্যাপটিভ পোর্টাল সহ একটি ডেডিকেটেড Guest WiFi সমাধান বাস্তবায়ন করুন। এটি কন্ট্রাক্টর অ্যাক্সেসের জন্য Entra ID B2B-এর সাথে ইন্টিগ্রেট করা যেতে পারে, অথবা সাধারণ পাবলিক অ্যাক্সেসের জন্য সোশ্যাল লগইন এবং SMS ভেরিফিকেশন ব্যবহার করতে পারে। আনম্যানেজড ডিভাইসগুলোকে কখনোই কর্পোরেট 802.1X SSID-তে অনুমতি দেবেন না।
লেগাসি এবং IoT ডিভাইসের জন্য পরিকল্পনা করুন। প্রিন্টার, IoT সেন্সর এবং লেগাসি ডিভাইস যা সার্টিফিকেট সমর্থন করতে পারে না, সেগুলোর জন্য একটি আলাদা কৌশল প্রয়োজন। পরিচিত ডিভাইসগুলোর জন্য MAC Authentication Bypass (MAB) ব্যবহার করুন, অথবা একটি ডেডিকেটেড VLAN-এ আইসোলেটেড একটি জটিল, রোটেটেড PSK সহ একটি ডেডিকেটেড WPA2-Personal SSID ব্যবহার করুন। Purple-এর সেন্সর প্ল্যাটফর্ম, উদাহরণস্বরূপ, কর্পোরেট অথেন্টিকেশন ইনফ্রাস্ট্রাকচার থেকে আলাদা একটি ডেডিকেটেড IoT VLAN-এ কাজ করতে পারে।
অথেন্টিকেশন ইভেন্টগুলো মনিটর করুন। অথেন্টিকেশন ফেইলিয়ার, সার্টিফিকেটের মেয়াদ শেষ হওয়ার ওয়ার্নিং এবং অস্বাভাবিক অ্যাক্সেস প্যাটার্ন মনিটর করতে আপনার SIEM-এর সাথে RADIUS লগ ইন্টিগ্রেট করুন অথবা WiFi অ্যানালিটিক্স প্ল্যাটফর্ম ব্যবহার করুন। প্রোঅ্যাক্টিভ মনিটরিং অপারেশন ব্যাহত হওয়ার আগেই সমস্যা প্রতিরোধ করে।
ট্রাবলশুটিং এবং ঝুঁকি প্রশমন
এমনকি সুপরিকল্পিত ডেপ্লয়মেন্টেও সমস্যা দেখা দিতে পারে। নিচে সবচেয়ে সাধারণ ব্যর্থতার ধরন এবং সেগুলোর সমাধান দেওয়া হলো।
সার্টিফিকেট ডেপ্লয়মেন্ট ফেইলিয়ার। EAP-TLS ডেপ্লয়মেন্টে সবচেয়ে সাধারণ সমস্যা হলো ডিভাইসগুলো Intune থেকে সার্টিফিকেট পেতে ব্যর্থ হওয়া। এটি সাধারণত ভুলভাবে কনফিগার করা Intune Certificate Connector (যদি অন-প্রিমিস ADCS ব্যবহার করা হয়), ভুল SCEP URL, অথবা ডিভাইসগুলো Intune-এর সাথে সিঙ্ক না হওয়ার কারণে ঘটে। সর্বদা Intune অ্যাডমিন সেন্টারে Certificate Connector স্ট্যাটাস যাচাই করুন এবং ডিভাইস সিঙ্ক লগ চেক করুন। নিশ্চিত করুন যে SCEP সার্ভিস অ্যাকাউন্টের CA-তে প্রয়োজনীয় পারমিশন আছে।
RADIUS টাইমআউট সমস্যা। যদি অ্যাক্সেস পয়েন্ট কনফিগার করা টাইমআউটের মধ্যে RADIUS সার্ভারে পৌঁছাতে না পারে, তবে ক্লায়েন্টরা সংযোগ করতে ব্যর্থ হবে। নিশ্চিত করুন যে আপনার ফায়ারওয়াল রুলগুলো Cloud RADIUS প্রোভাইডারের IP রেঞ্জে UDP পোর্ট ১৮১২ (অথেন্টিকেশন) এবং ১৮১৩ (অ্যাকাউন্টিং) আউটবাউন্ড অনুমতি দেয়। যদি অন-প্রিমিস NPS ব্যবহার করেন, তবে ন্যূনতম দুটি NPS সার্ভার ডেপ্লয় করুন এবং আপনার অ্যাক্সেস পয়েন্টগুলোকে সেগুলোর মধ্যে ফেইলওভার করার জন্য কনফিগার করুন।
সার্টিফিকেট ট্রাস্ট ফেইলিয়ার। যদি ক্লায়েন্টরা "untrusted server certificate" এরর পায়, তবে Trusted Root CA প্রোফাইলটি ডিভাইসে সঠিকভাবে ডেপ্লয় করা হয়নি। Intune-এ প্রোফাইল অ্যাসাইনমেন্ট যাচাই করুন এবং ডিভাইসের সার্টিফিকেট স্টোর চেক করুন। এটি নতুন এনরোল করা ডিভাইসগুলোর ক্ষেত্রে একটি সাধারণ সমস্যা যারা এখনও তাদের প্রথম Intune সিঙ্ক সম্পন্ন করেনি।
Azure MFA-এর জন্য NPS এক্সটেনশন। যদিও WiFi-এর জন্য Multi-Factor Authentication প্রয়োগ করতে NPS এক্সটেনশন ব্যবহার করা টেকনিক্যালি সম্ভব, তবে প্রাথমিক অ্যাক্সেসের জন্য এটি নিরুৎসাহিত করা হয়। প্রতিবার একটি ডিভাইস অ্যাক্সেস পয়েন্টগুলোর মধ্যে রোম করার সময় একটি MFA প্রম্পট পাওয়ার অভিজ্ঞতা ব্যবহারকারীর জন্য অত্যন্ত বিরক্তিকর। ডিভাইসের সার্টিফিকেটের মাধ্যমে প্রদত্ত শক্তিশালী অথেন্টিকেশনের ওপর নির্ভর করুন এবং পরিবর্তে অ্যাপ্লিকেশন লেয়ারে MFA প্রয়োগ করুন।
গ্রুপ পলিসি কনফ্লিক্ট। হাইব্রিড পরিবেশে, Group Policy Objects (GPOs) যা Windows ওয়্যারলেস ক্লায়েন্ট কনফিগার করে, তা Intune WiFi প্রোফাইলের সাথে কনফ্লিক্ট করতে পারে। MDM এনরোলমেন্ট সেটিংস রিভিউ করে নিশ্চিত করুন যে Intune প্রোফাইলগুলো অগ্রাধিকার পায় এবং যেখানে প্রয়োজন সেখানে Intune-ম্যানেজড ডিভাইসগুলোর জন্য GPO-ভিত্তিক ওয়্যারলেস কনফিগারেশন ব্লক করুন।
ROI এবং ব্যবসায়িক প্রভাব
Entra ID-র সাথে ইন্টিগ্রেটেড একটি ক্লাউড-নেটিভ RADIUS আর্কিটেকচারে মাইগ্রেট করা বিভিন্ন দিক থেকে পরিমাপযোগ্য মূল্য প্রদান করে।
হেল্পডেস্ক টিকিটের সংখ্যা হ্রাস। পাসওয়ার্ড-সংক্রান্ত WiFi সমস্যা — লকআউট, মেয়াদোত্তীর্ণ পাসওয়ার্ড, ভুলভাবে কনফিগার করা সাপ্লিক্যান্ট — ক্রেডেনশিয়াল-ভিত্তিক পরিবেশে IT সাপোর্ট টিকিটের একটি বড় উৎস। EAP-TLS এগুলোকে সম্পূর্ণভাবে দূর করে। সংস্থাগুলো সাধারণত সার্টিফিকেট-ভিত্তিক অথেন্টিকেশনে মাইগ্রেট করার পর WiFi-সংক্রান্ত হেল্পডেস্ক ভলিউমে ৩০-৫০% হ্রাসের রিপোর্ট করে।
ইনফ্রাস্ট্রাকচার খরচ সাশ্রয়। অন-প্রিমিস NPS সার্ভারগুলো বন্ধ করে দিলে কম্পিউট খরচ, OS লাইসেন্সিং ফি এবং হাই অ্যাভেইলেবিলিটি ক্লাস্টার প্যাচিং ও রক্ষণাবেক্ষণের অপারেশনাল ওভারহেড কমে যায়। দুটি NPS সার্ভার চালানো একটি মাঝারি আকারের সংস্থার জন্য এটি ইনফ্রাস্ট্রাকচার এবং অপারেশনাল খরচে বছরে £১৫,০০০–£৩০,০০০ পর্যন্ত সাশ্রয় করতে পারে।
উন্নত সিকিউরিটি এবং কমপ্লায়েন্স। ক্রেডেনশিয়াল-ভিত্তিক অথেন্টিকেশন থেকে সরে আসা ক্রেডেনশিয়াল চুরি এবং ল্যাটারাল মুভমেন্টের ঝুঁকি কমায়, যা সংবেদনশীল কর্পোরেট ডেটা রক্ষা করে। Healthcare সংস্থাগুলোর জন্য এটি DSPT কমপ্লায়েন্স সমর্থন করে। ট্রান্সপোর্ট অপারেটরদের জন্য, এটি নেটওয়ার্ক সিকিউরিটির জন্য NIS2 নির্দেশিকা প্রয়োজনীয়তার সাথে সামঞ্জস্যপূর্ণ।
উন্নত ব্যবহারকারীর অভিজ্ঞতা। নিরবচ্ছিন্ন, স্বয়ংক্রিয় WiFi কানেকশন — কোনো পাসওয়ার্ড প্রম্পট, লকআউট এবং ম্যানুয়াল কনফিগারেশন ছাড়াই — উৎপাদনশীলতা বাড়ায় এবং কর্মীদের জন্য ঝামেলা কমায়। এটি ডিস্ট্রিবিউশন সেন্টার, হাসপাতালের ওয়ার্ড এবং রিটেইল শপ ফ্লোরের মতো উচ্চ-গতিশীল পরিবেশে বিশেষভাবে প্রভাবশালী।
আপনার WiFi নেটওয়ার্ককে আপনার ক্লাউড আইডেন্টিটি স্ট্র্যাটেজির একটি অংশ হিসেবে বিবেচনা করে, আপনি নিরাপদ, নিরবচ্ছিন্ন অ্যাক্সেস নিশ্চিত করেন যা আপনার সংস্থার সাথে স্কেল করে। আধুনিক এন্টারপ্রাইজ নেটওয়ার্কের SD-WAN ইন্টিগ্রেশন দিকগুলোর বিষয়ে আরও নির্দেশনার জন্য, The Core SD-WAN Benefits for Modern Businesses দেখুন। হসপিটালিটি-নির্দিষ্ট ডেপ্লয়মেন্ট বিবেচনার জন্য, Modern Hospitality WiFi Solutions Your Guests Deserve দেখুন।
মূল শব্দ ও সংজ্ঞা
802.1X
An IEEE standard for port-based Network Access Control (PNAC). It provides an authentication mechanism to devices wishing to attach to a LAN or WLAN, preventing unauthorised access before authentication is complete.
The foundational protocol that prevents unauthorised devices from accessing the enterprise network. All WPA2/WPA3-Enterprise deployments rely on 802.1X.
RADIUS (Remote Authentication Dial-In User Service)
A networking protocol that provides centralised Authentication, Authorisation, and Accounting (AAA) management for users who connect and use a network service. Defined in RFC 2865.
The server component that validates credentials or certificates against the directory (Entra ID or AD DS) and instructs the access point to grant or deny access.
Supplicant
The client device (laptop, smartphone, IoT device) attempting to connect to the network. In Windows, the built-in wireless client acts as the supplicant.
In Intune deployments, the supplicant must be configured with the correct WiFi profile and client certificate to communicate successfully with the RADIUS server.
Authenticator
The network device — typically a Wireless Access Point or managed switch — that facilitates the authentication process between the supplicant and the RADIUS server. It enforces access control based on the RADIUS response.
The access point must be configured with the RADIUS server IP address and shared secret. It acts as a relay, forwarding EAP packets between the client and the RADIUS server.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
An EAP method that relies on digital certificates for mutual authentication between the client and the RADIUS server. It is defined in RFC 5216 and is considered one of the most secure EAP standards available.
The recommended authentication method for all new Microsoft 802.1X deployments. It eliminates passwords entirely and is required for compliance with PCI DSS and zero-trust network access frameworks.
NPS (Network Policy Server)
Microsoft's implementation of a RADIUS server and proxy, available as a role in Windows Server. NPS can authenticate users and devices against Active Directory Domain Services.
The traditional on-premise solution for enterprise WiFi authentication in Microsoft environments. Many organisations are now migrating from NPS to Cloud RADIUS solutions as they move to Entra ID.
SCEP (Simple Certificate Enrollment Protocol)
A protocol used for issuing digital certificates to network devices in a scalable, automated manner. Defined in RFC 8894.
The primary method Microsoft Intune uses to silently deploy client certificates to managed devices for EAP-TLS WiFi authentication. Requires a SCEP-compatible Certificate Authority.
Microsoft Entra ID
Microsoft's cloud-based identity and access management service, formerly known as Azure Active Directory. It provides user authentication, group management, Conditional Access, and integration with thousands of applications.
The central identity provider in modern Microsoft environments. Cloud RADIUS solutions integrate with Entra ID via Microsoft Graph API to validate user and device identities during WiFi authentication.
Conditional Access
An Entra ID feature that enforces access policies based on signals such as user identity, device compliance status, location, and risk level. Policies can require devices to be Intune-compliant before granting access.
Used in advanced RADIUS deployments to ensure that only compliant, managed devices can authenticate to the corporate WiFi network, even if they present a valid certificate.
PEAP-MSCHAPv2
Protected EAP with Microsoft Challenge Handshake Authentication Protocol version 2. A credential-based EAP method that uses a username and password for authentication, tunnelled within a TLS session.
The legacy authentication method used in many existing NPS deployments. It is vulnerable to credential theft and man-in-the-middle attacks and should be migrated to EAP-TLS in all new deployments.
কেস স্টাডিজ
A 200-location retail chain needs to secure their back-office WiFi for store manager laptops. They currently use a shared WPA2-Personal password (PSK) across all stores, which is rarely rotated. They use Entra ID and Intune for device management. How should they modernise their wireless security?
The retail chain should migrate to WPA3-Enterprise using EAP-TLS across all 200 locations. The recommended architecture is a Cloud RADIUS solution integrated directly with their Entra ID tenant, eliminating the need for on-premise NPS servers at each site. Using Intune, they deploy a SCEP certificate profile to issue unique device certificates to the store manager laptops. A Trusted Root CA profile is deployed first to ensure devices trust the RADIUS server. A WiFi configuration profile is then deployed via Intune, silently connecting devices to the new SSID using the issued certificate. The old PSK SSID is decommissioned once all devices have migrated. For the store's customer-facing WiFi, a separate captive portal solution handles guest access without impacting the corporate authentication infrastructure.
A large conference centre uses on-premise Windows NPS for staff WiFi authentication. They are experiencing frequent connectivity failures during large events because the NPS server becomes overwhelmed with concurrent authentication requests from 500+ staff devices. They are also migrating their identity infrastructure to Entra ID. What is the recommended architecture going forward?
The conference centre should migrate from the on-premise NPS server to a Cloud RADIUS provider that integrates directly with Entra ID. Staff devices should be transitioned to certificate-based authentication (EAP-TLS) managed via Intune, resolving both the scalability issue and the Entra ID migration requirement simultaneously. For the high volume of event attendees, a separate, segmented network using a captive portal solution handles guest onboarding without impacting the corporate RADIUS infrastructure. The two networks should be on separate VLANs with appropriate firewall rules between them. The on-premise NPS server can be decommissioned once all staff devices have successfully migrated.
দৃশ্যপট বিশ্লেষণ
Q1. Your organisation is completing a full migration from on-premise Active Directory to Entra ID only — no on-premise domain controllers will remain. You currently use Windows NPS for WiFi authentication using PEAP-MSCHAPv2. What is the most secure and operationally efficient approach for the new cloud-only environment, and what specific steps are required?
💡 ইঙ্গিত:Consider what NPS requires to function and whether those dependencies will exist post-migration. Also consider the security implications of the current EAP method.
প্রস্তাবিত পদ্ধতি দেখুন
The most secure and efficient approach is to implement a Cloud RADIUS solution integrated directly with Entra ID, and transition to EAP-TLS certificate-based authentication managed via Microsoft Intune. NPS cannot authenticate against Entra ID directly — it requires on-premise AD DS — so it cannot survive the migration without Azure AD Connect maintaining a hybrid identity. The steps are: (1) Select a Cloud RADIUS provider and grant it Microsoft Graph API permissions in Entra ID. (2) Establish a cloud-native PKI or use Microsoft Cloud PKI. (3) Deploy Trusted Root CA and SCEP certificate profiles via Intune. (4) Deploy a WiFi configuration profile via Intune configured for EAP-TLS. (5) Configure the SSID on the wireless infrastructure to use the Cloud RADIUS servers. (6) Decommission NPS once all devices have migrated.
Q2. A hospital IT team wants to implement 802.1X for their medical carts (Windows laptops) using Entra ID. They want to ensure that if a cart is stolen, it cannot connect to the network even if the associated user account is still active. How should the certificate profile and RADIUS policy be configured to achieve this?
💡 ইঙ্গিত:Consider the difference between user-based and device-based certificate profiles in Intune, and how RADIUS policies can be scoped to device identity.
প্রস্তাবিত পদ্ধতি দেখুন
The IT team should configure Intune to deploy device certificates (not user certificates) to the medical carts. In the SCEP profile, the Subject Name should reference the device identity (e.g., CN={{DeviceName}} or the device serial number) rather than the user UPN. The RADIUS policy should be configured to authenticate the device certificate and validate the device against Entra ID device objects. If a cart is stolen, the IT team can remotely wipe the device via Intune (which removes the certificate from the device's certificate store) or revoke the specific device certificate in the PKI. Either action immediately blocks network access without affecting any user accounts. This approach is superior to user-based certificates for shared devices like medical carts.
Q3. You have successfully deployed EAP-TLS via Intune for all 800 corporate laptops across a university campus. However, the IT department frequently brings in external contractors who need internet access for project work. These contractors use their own personal or company-issued laptops that are not enrolled in your Intune tenant. How should you provide access for these contractors without compromising the security of the corporate 802.1X network?
💡 ইঙ্গিত:Remember the architectural principle separating managed device authentication from unmanaged device access. Consider how Entra ID B2B could be leveraged.
প্রস্তাবিত পদ্ধতি দেখুন
Do not attempt to provision 802.1X access for unmanaged contractor devices. Instead, deploy a separate Guest SSID backed by a Captive Portal solution. For contractors who have their own corporate Entra ID tenants, configure the captive portal to support Entra ID B2B collaboration, allowing them to authenticate with their own corporate credentials via the portal. For contractors without a compatible identity provider, use a sponsored access workflow where a university staff member approves the access request. The contractor network should be on a separate VLAN with internet-only access and no route to internal university resources. This maintains the integrity of the 802.1X corporate network while providing a secure, auditable access path for external parties.
Q4. During a post-deployment review, your security team flags that several devices on the corporate WiFi are still using PEAP-MSCHAPv2 despite the EAP-TLS rollout. Investigation reveals these are IoT devices — smart displays, environmental sensors, and a fleet of network printers — that do not support certificate-based authentication. How should these devices be handled?
💡 ইঙ্গিত:Consider the options available for devices that cannot support EAP-TLS, and the importance of network segmentation.
প্রস্তাবিত পদ্ধতি দেখুন
IoT devices and legacy hardware that cannot support EAP-TLS should not be placed on the corporate 802.1X SSID. The recommended approach is to create a dedicated IoT SSID on a separate VLAN with strict firewall rules limiting communication to only the services those devices require (e.g., print servers, management platforms). For authentication, use MAC Authentication Bypass (MAB) for devices with known, fixed MAC addresses, or a WPA2-Personal SSID with a complex, regularly rotated PSK. The IoT VLAN should have no access to corporate file shares, Active Directory, or sensitive internal resources. Purple's Sensors platform, for example, is designed to operate on a dedicated IoT network segment, separate from corporate infrastructure.
মূল বিষয়সমূহ
- ✓Traditional on-premise Windows NPS servers are being replaced by Cloud RADIUS solutions that integrate directly with Entra ID, eliminating on-premise infrastructure dependencies.
- ✓Credential-based authentication (PEAP-MSCHAPv2) is a significant security risk and should be migrated to EAP-TLS certificate-based authentication in all new and existing deployments.
- ✓EAP-TLS is the gold standard for secure, passwordless WiFi — certificates are deployed silently via Microsoft Intune using SCEP or PKCS profiles.
- ✓Microsoft Intune is the cornerstone of a modern Microsoft WiFi authentication stack, managing the full certificate lifecycle from issuance to revocation.
- ✓802.1X is designed exclusively for Intune-managed corporate devices; unmanaged guests and contractors must use a separate Captive Portal solution.
- ✓Entra ID Conditional Access can enforce device compliance as a prerequisite for WiFi authentication, ensuring only patched and policy-compliant devices connect.
- ✓RADIUS ports 1812 (authentication) and 1813 (accounting) must be open outbound from the wireless infrastructure to the RADIUS server — this is the most common cause of deployment failures.
