So richten Sie Microsoft Entra ID (Azure AD) für die WiFi Authentifizierung ein
Dieser maßgebliche Leitfaden beschreibt die Architektur, die Implementierungsschritte und die geschäftlichen Auswirkungen der Integration von Microsoft Entra ID mit 802.1X für die WiFi Authentifizierung in Unternehmen. Er bietet Netzwerkarchitekten und IT-Managern praktische Bereitstellungsstrategien, um veraltete PSKs durch einen Zero-Trust, zertifikatsbasierten Netzwerkzugriff zu ersetzen.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Management-Zusammenfassung
- Technischer Deep Dive
- Der Wechsel von Zugangsdaten zu digitalen Zertifikaten
- Die architektonische Brücke: RADIUS und Microsoft Entra ID
- Implementierungshandbuch
- Schritt 1: Einrichten der Public-Key-Infrastruktur (PKI)
- Schritt 2: Konfigurieren des RADIUS-Servers
- Schritt 3: Bereitstellung von MDM-Profilen über Intune
- Schritt 4: Konfigurieren des Wireless LAN Controllers (WLC)
- Best Practices
- Fehlerbehebung und Risikominimierung
- ROI und geschäftliche Auswirkungen
- Referenzen

Management-Zusammenfassung
Für CTOs und Netzwerkarchitekten, die komplexe Umgebungen verwalten - von großen Gastronomie- und Hotelleriebetrieben bis hin zu dynamischen Einzelhandelsflächen - ist die Sicherung des Unternehmensnetzwerks längst keine Frage von starken Passwörtern mehr. Traditionelle Pre-Shared Keys (PSKs) und eine einfache Validierung von Zugangsdaten sind mit einer modernen Zero-Trust-Architektur grundlegend unvereinbar.
Dieser Leitfaden beschreibt den Übergang zu einer auf 802.1X-Zertifikaten basierenden WiFi-Authentifizierung, die direkt in Microsoft Entra ID (ehemals Azure AD) integriert ist. Durch den Wechsel zu EAP-TLS (Extensible Authentication Protocol mit Transport Layer Security) können Unternehmen die mit dem Diebstahl von Zugangsdaten verbundenen Risiken eliminieren, die Geräteregistrierung über das Mobile Device Management (MDM) automatisieren und sicherstellen, dass nur konforme, verwaltete Geräte auf sensible Unternehmens-VLANs zugreifen können. Wir beleuchten die technische Architektur, die Bereitstellungsschritte und wie diese Sicherheitsstruktur für Unternehmen parallel zu Gastnetzwerk-Strategien funktioniert, die von Plattformen wie Purple verwaltet werden.
Technischer Deep Dive
Der Wechsel von Zugangsdaten zu digitalen Zertifikaten
In der Vergangenheit basierte das WiFi für Unternehmen auf PEAP-MSCHAPv2, bei dem Benutzer ihre Domain-Zugangsdaten eingeben mussten. Aufgrund der Anfälligkeit für Adversary-in-the-Middle-Angriffe (AiTM) stellt Microsoft die auf Zugangsdaten basierende Authentifizierung jedoch aktiv ein. Der aktuelle Branchenstandard ist EAP-TLS, das eine gegenseitige Zertifikatsvalidierung nutzt.
Bei einer EAP-TLS-Bereitstellung legen sowohl der RADIUS-Server als auch das Client-Gerät digitale Zertifikate vor. Wenn ein Gerät nicht über ein gültiges Zertifikat verfügt, das von Ihrer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurde, lehnt der RADIUS-Server die Verbindung ab, noch bevor das Gerät überhaupt eine IP-Adresse erhält.

Die architektonische Brücke: RADIUS und Microsoft Entra ID
Azure Entra ID ist ein Cloud-Identitätsanbieter (IdP), der moderne Protokolle wie SAML und OIDC verwendet. Er unterstützt das von drahtlosen Access Points (WAPs) verwendete RADIUS-Protokoll nicht nativ. Um diese Lücke zu schließen, müssen Netzwerkarchitekten einen RADIUS-Server bereitstellen, der mit Microsoft Entra ID kommunizieren kann. Dies wird in der Regel erreicht durch:
- Cloud-RADIUS-Lösungen: Speziell entwickelte Plattformen (wie SecureW2, SCEPman oder Portnox), die sich über APIs direkt in Microsoft Entra ID und Intune integrieren lassen.
- Lokaler Netzwerkrichtlinienserver (NPS): Verwendung der Azure MFA-Erweiterung, obwohl dies im Vergleich zu Cloud-nativen RADIUS-Lösungen zunehmend als veralteter Ansatz angesehen wird.

Implementierungshandbuch
Die Bereitstellung von Microsoft Entra ID für die WiFi-Authentifizierung erfordert die Abstimmung zwischen den Teams für Identitätsmanagement, Geräteverwaltung und Netzwerkinfrastruktur.
Schritt 1: Einrichten der Public-Key-Infrastruktur (PKI)
Sie müssen eine Zertifizierungsstelle (CA) einrichten, um Client- und Serverzertifikate auszustellen. In Cloud-First-Umgebungen ist dies in der Regel eine Cloud-PKI, die über das Simple Certificate Enrolment Protocol (SCEP) in Microsoft Intune integriert ist.
Schritt 2: Konfigurieren des RADIUS-Servers
Stellen Sie Ihre RADIUS-Infrastruktur bereit und verknüpfen Sie diese mit Ihrem Entra ID Mandanten. Der RADIUS-Server benötigt ein eigenes Serverzertifikat - dem Ihre Client-Geräte vertrauen -, um seine Identität während des EAP-Handshakes nachzuweisen.
Schritt 3: Bereitstellung von MDM-Profilen über Intune
Verlassen Sie sich nicht darauf, dass Benutzer ihre WiFi-Einstellungen manuell konfigurieren. Nutzen Sie Intune, um ein vollständiges WiFi-Profil zu verteilen, das Folgendes enthält:
- Das vertrauenswürdige Root-CA-Zertifikat.
- Das SCEP-Profil, das zur Anforderung des Client-Zertifikats verwendet wird.
- Die eigentliche WiFi-Konfiguration, die die SSID und die genauen Servernamen der RADIUS-Infrastruktur explizit definiert, um Evil-Twin-Angriffe zu verhindern.
Schritt 4: Konfigurieren des Wireless LAN Controllers (WLC)
Konfigurieren Sie Ihre Access Points oder Ihren WLC für die Verwendung von WPA2/WPA3-Enterprise (802.1X). Leiten Sie den Authentifizierungs- und Accounting-Traffic an die IP-Adressen Ihres neuen RADIUS-Servers weiter und legen Sie das gemeinsame RADIUS-Geheimnis (Shared Secret) fest.
> "Achten Sie bei der Konfiguration von 802.1X darauf, dass die RADIUS-Timeout-Werte auf dem WLC für die Latenzzeit der Cloud-Zertifikatsprüfung ausreichen - in der Regel wird dieser Wert von 2 Sekunden auf 5 Sekunden erhöht." [1]
Best Practices
- Unternehmens- und Gast-Traffic trennen: Unternehmensgeräte sollten 802.1X in Verbindung mit Entra ID nutzen. Gastgeräte sollten eine offene SSID mit einem Captive Portal verwenden. Nutzen Sie für einen robusten Gastzugang und detaillierte Analysen eine Guest WiFi Lösung. Dies gewährleistet eine vollständige Isolierung von nicht vertrauenswürdigem Traffic.
- MAC Authentication Bypass (MAB) mit Vorsicht implementieren: IoT-Geräte und ältere Hardware - wie ältere Scanner in Transport Hubs - unterstützen oft kein 802.1X. Platzieren Sie diese Geräte in einer separaten SSID unter Verwendung von MAB oder einem dedizierten PSK und beschränken Sie deren Netzwerkzugriff durch strenge ACLs.
- Zertifikatswiderruf priorisieren: Stellen Sie sicher, dass Ihre CRL- (Certificate Revocation List) oder OCSP-Endpunkte (Online Certificate Status Protocol) hochverfügbar sind. Wenn der RADIUS-Server den Widerrufsstatus nicht überprüfen kann, schlägt die Authentifizierung fehl.
Fehlerbehebung und Risikominimierung
Wenn Bereitstellungen fehlschlagen, liegt dies selten am Cloud-IdP. Zu den häufigsten Fehlerquellen gehören:
- Uhrzeit-Abweichung (Clock Skew): EAP-TLS ist extrem zeitsensitiv. Stellen Sie sicher, dass alle Infrastrukturkomponenten - insbesondere WLCs und RADIUS-Server - über NTP synchronisiert sind.
- Intune-Synchronisationslatenz: Bei der Registrierung neuer Geräte kann es zu einer Verzögerung zwischen der Ausstellung des SCEP-Zertifikats und dem Verbindungsversuch des Geräts kommen. Planen Sie diese Verzögerung bei der Bereitstellung ein.
- RADIUS-Server-Namenskonflikt: Wenn der im Intune WiFi-Profil definierte Servername nicht exakt mit dem Common Name (CN) oder dem Subject Alternative Name (SAN) auf dem RADIUS-Serverzertifikat übereinstimmt, trennen Clients die Verbindung im Hintergrund, um sich vor böswilligen APs zu schützen.
Für eine tiefergehende Analyse zur Sicherung Ihrer Infrastruktur lesen Sie unseren Leitfaden wie Sie Ihr Netzwerk mit robustem DNS und Sicherheit schützen .
ROI und geschäftliche Auswirkungen
Der Wechsel zur Azure Entra ID WiFi-Authentifizierung bietet erhebliche Vorteile:
- Reduzierte Helpdesk-Kosten: Der Verzicht auf passwortbasierte Authentifizierung reduziert Support-Tickets im Zusammenhang mit Passwortsperren und der Erneuerung von WiFi-Anmeldedaten drastisch.
- Beschleunigte Compliance: EAP-TLS liefert den kryptografischen Identitätsnachweis, der von Frameworks wie PCI-DSS und ISO 27001 gefordert wird, was besonders in Gesundheitswesen und Einzelhandelsumgebungen unerlässlich ist.
- Automatisiertes Offboarding: Wenn ein Mitarbeiter das Unternehmen verlässt, entzieht das Deaktivieren seines Kontos in Entra ID sofort den Netzwerkzugriff an allen Standorten, was das Risiko von Insider-Bedrohungen verringert.
Durch die Sicherung des Unternehmensnetzwerks können sich IT-Teams auf umsatzgenerierende Initiativen konzentrieren, wie beispielsweise die Nutzung von WiFi Analytics , um das Besucherverhalten zu verstehen und die Kundenbindung zu stärken.
Referenzen
[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.
Schlüsseldefinitionen
802.1X
Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der erfordert, dass sich Geräte authentifizieren, bevor sie Zugriff auf das LAN oder WLAN erhalten.
Dies ist das zugrunde liegende Protokoll, das WiFi in Unternehmen sicher macht und über einfache, gemeinsam genutzte Passwörter hinausgeht.
EAP-TLS
Extensible Authentication Protocol mit Transport Layer Security. Eine Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem Client als auch auf dem Server erfordert.
Gilt als die sicherste Methode für die WiFi Authentifizierung, da sie den Diebstahl von Anmeldedaten und AiTM-Angriffe verhindert.
RADIUS
Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Kontoführung (AAA) bereitstellt.
Das Protokoll, mit dem Ihre Access Points beim Authentifizierungsserver anfragen: "Soll ich dieses Gerät im Netzwerk zulassen?"
SCEP
Simple Certificate Enrollment Protocol. Ein Protokoll zur sicheren Ausstellung von Zertifikaten an Netzwerkgeräte.
Wird von MDM-Plattformen wie Intune verwendet, um Client-Zertifikate geräuschlos anzufordern und auf Unternehmens-Laptops und -Telefonen zu installieren.
MAC Authentication Bypass (MAB)
Eine Methode zur Gewährung des Netzwerkzugriffs basierend auf der MAC-Adresse des Geräts anstelle eines Benutzernamens oder Zertifikats.
Wird als Ausweichlösung für ältere Geräte (wie alte Drucker oder IoT-Sensoren) verwendet, die nicht über die Software zur Durchführung eines 802.1X-Handshakes verfügen.
Evil-Twin-Angriff
Ein gefälschter Access Point, der sich als legitime Unternehmens-SSID ausgibt, um Datenverkehr abzufangen oder Zugangsdaten zu stehlen.
EAP-TLS mindert dieses Risiko, da das Client-Gerät so konfiguriert ist, dass es nur dem spezifischen Zertifikat des legitimen Unternehmens-RADIUS-Servers vertraut.
Supplicant
Der Software-Client auf dem Endgerät (z. B. der Windows WiFi-Manager), der den 802.1X-Authentifizierungsprozess abwickelt.
IT-Teams müssen den Supplicant über MDM konfigurieren, um sicherzustellen, dass er sich sicher verhält und Benutzer nicht auffordert, nicht vertrauenswürdigen Serverzertifikaten zuzustimmen.
Bedingter Zugriff (Conditional Access)
Richtlinien von Azure Entra ID, die Signale (Benutzer, Standort, Gerätekonformität) auswerten, um Zugriffsentscheidungen zu treffen.
Moderne Cloud-RADIUS-Lösungen können den bedingten Zugriff während des WiFi-Handshakes überprüfen und den Netzwerkzugriff verweigern, wenn Intune das Gerät als nicht konform kennzeichnet.
Ausgearbeitete Beispiele
Eine Einzelhandelskette mit 500 Filialen muss iPads im Back-of-House-Bereich sichern, die für die Bestandsverwaltung genutzt werden. Derzeit verwenden sie in allen Filialen einen einzigen gemeinsam genutzten PSK. Wie sollten sie auf die Authentifizierung über Microsoft Entra ID umsteigen?
- Registrieren Sie alle iPads in Microsoft Intune.
- Stellen Sie eine Cloud RADIUS-Lösung bereit, die in den Microsoft Entra ID-Mandanten des Unternehmens integriert ist.
- Konfigurieren Sie Intune so, dass ein SCEP-Zertifikat auf jedem iPad bereitgestellt wird.
- Übertragen Sie ein WiFi Profil über Intune, das die iPads so konfiguriert, dass sie sich über EAP-TLS mit der SSID "Corporate-BOH" verbinden und dabei das Zertifikat des Cloud RADIUS-Servers validieren.
- Aktualisieren Sie die Meraki/Aruba Access Points in allen 500 Filialen so, dass sie für die SSID "Corporate-BOH" auf die IP-Adressen des Cloud RADIUS verweisen.
- Phasenweise Einführung: Aktivieren Sie die neue SSID, überprüfen Sie die iPad-Konnektivität über die Berichte in Intune und nehmen Sie anschließend die alte PSK-SSID außer Betrieb.
Ein Universitätscampus migriert von einem On-Premises Active Directory zu Microsoft Entra ID. Es gibt Tausende von BYOD-Laptops (Bring Your Own Device) von Studierenden, die sich derzeit über PEAP-MSCHAPv2 (Benutzername und Passwort) verbinden. Wie verwalten sie BYOD in einer Cloud-First-Umgebung mit Microsoft Entra ID?
- Stellen Sie ein Onboarding-Portal bereit (z. B. SecureW2 JoinNow oder ein ähnliches BYOD-Onboarding-Tool).
- Studierende verbinden sich mit einer offenen SSID namens "Onboarding", die sie zum Portal weiterleitet.
- Das Portal fordert die Studierenden auf, sich gegenüber Microsoft Entra ID zu authentifizieren (unter Verwendung ihrer Universitäts-E-Mail und MFA).
- Nach erfolgreicher Authentifizierung generiert das Portal ein eindeutiges Client-Zertifikat und konfiguriert das Gerät des Studierenden automatisch für EAP-TLS.
- Das Gerät verbindet sich mithilfe des neuen Zertifikats automatisch mit der sicheren SSID "Edu-Secure".
Übungsfragen
Q1. Ihre Organisation migriert zu Azure Entra ID und Intune. Sie verwenden derzeit PEAP-MSCHAPv2 für WiFi. Das Sicherheitsteam schreibt vor, dass die WiFi-Authentifizierung resistent gegen Diebstahl von Zugangsdaten sein muss. Welches EAP-Verfahren sollten Sie bereitstellen?
Hinweis: Welche Methode verlässt sich vollständig auf Zertifikate anstelle von Passwörtern?
Musterlösung anzeigen
Sie sollten EAP-TLS bereitstellen. EAP-TLS nutzt eine gegenseitige Zertifikatsauthentifizierung, was bedeutet, dass das Client-Gerät ein gültiges, von Ihrer PKI ausgestelltes Zertifikat vorlegen muss. Da es keine Passwörter verwendet, ist es äußerst resistent gegen den Diebstahl von Zugangsdaten und Adversary-in-the-Middle-Angriffe.
Q2. Nach der Bereitstellung von EAP-TLS über Intune melden Benutzer, dass sie keine Verbindung zum WiFi herstellen können. In den RADIUS-Protokollen sehen Sie den Fehler "Zertifikatssperrprüfung fehlgeschlagen". Was ist die wahrscheinlichste Ursache?
Hinweis: Mit welcher Infrastruktur muss der RADIUS-Server kommunizieren, um zu überprüfen, ob ein Zertifikat kompromittiert wurde?
Musterlösung anzeigen
Der RADIUS-Server kann die Zertifikatssperrliste (CRL) oder den OCSP-Endpunkt Ihrer Zertifizierungsstelle nicht erreichen. Stellen Sie sicher, dass die Firewalls dem RADIUS-Server den ausgehenden Zugriff auf die in den Client-Zertifikaten angegebenen HTTP-URLs erlauben.
Q3. Ein Krankenhaus muss 50 ältere Herzfrequenzmonitore mit dem Netzwerk verbinden. Diese Geräte unterstützen nur WPA2-Personal (Pre-Shared Key) und können nicht in Intune registriert werden. Wie sollten Sie diese sichern, während Sie Ihre Entra ID 802.1X-Bereitstellung für Unternehmens-Laptops beibehalten?
Hinweis: Mischen Sie keine Authentifizierungstypen auf derselben SSID.
Musterlösung anzeigen
Erstellen Sie eine dedizierte, separate SSID speziell für die medizinischen IoT-Geräte. Verwenden Sie einen starken, eindeutigen Pre-Shared Key (oder Identity PSK/iPSK, falls von Ihrem Netzwerkanbieter unterstützt) oder MAC Authentication Bypass (MAB). Platzieren Sie diese SSID unbedingt in einem stark eingeschränkten VLAN mit strengen Access Control Lists (ACLs), die es den Monitoren nur erlauben, mit ihrem spezifischen medizinischen Server zu kommunizieren, und blockieren Sie jeglichen anderen lateralen Netzwerkzugriff.
Weiterlesen in dieser Reihe
Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke
Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.
Passpoint und OpenRoaming: Das vollständige Handbuch
Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.
Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich
Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.