Zum Hauptinhalt springen
Deutsch

So richten Sie Azure Entra ID (Azure AD) für die WiFi-Authentifizierung ein

Dieser fundierte Leitfaden beschreibt die Architektur, die Implementierungsschritte und die geschäftlichen Auswirkungen der Integration von Azure Entra ID mit 802.1X für die WiFi-Authentifizierung in Unternehmen. Er bietet Netzwerkarchitekten und IT-Managern praktische Bereitstellungsstrategien, um veraltete PSKs durch einen auf Zero-Trust und Zertifikaten basierenden Netzwerkzugriff zu ersetzen.

📖 4 Min. Lesezeit📝 945 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
[INTRO - 1 MIN] Host: Willkommen zum Purple Enterprise Network Briefing. Ich bin Ihr Host und heute befassen wir uns mit einem kritischen Infrastruktur-Upgrade, das für CTOs und Netzwerkarchitekten oberste Priorität hat: der Migration Ihrer WiFi-Authentifizierung für Unternehmen zu Azure Entra ID – ehemals Azure AD. Wenn Sie eine Hotelkette, ein Stadion oder eine große Bereitstellung im öffentlichen Sektor verwalten, kennen Sie die Probleme mit alten On-Prem-RADIUS-Servern und gemeinsam genutzten PSKs. Heute sprechen wir über Zero-Trust-Netzwerkzugriff, insbesondere über die Implementierung der zertifikatsbasierten 802.1X-Authentifizierung mit Azure Entra ID. Keine Worthülsen, sondern die technische Realität dieser Bereitstellung. [TECHNICAL DEEP-DIVE - 5 MIN] Host: Gehen wir direkt in die Architektur. Die Zeiten von WPA2-Personal mit einem geteilten Passwort auf einem Haftnotizzettel sind vorbei. In einem modernen Unternehmen, egal ob Sie Abläufe hinter den Kulissen im Einzelhandel oder Personalnetzwerke in einem Krankenhaus absichern, benötigen Sie identitätsbasierten Zugriff. Wenn wir über Azure Entra ID für WiFi sprechen, sprechen wir im Grunde von EAP-TLS. Das ist Extensible Authentication Protocol mit Transport Layer Security. Es ist der Goldstandard. Warum? Weil es auf Zertifikaten basiert, nicht auf Passwörtern. Passwörter können per Phishing gestohlen, geteilt oder per Brute-Force geknackt werden. Zertifikate, die über Intune an ein verwaltetes Gerät gebunden sind, hingegen nicht. Wie sieht also der Datenfluss aus? Ein Unternehmensgerät – sagen wir ein verwalteter Laptop – versucht, eine Verbindung zum Unternehmens-SSID herzustellen. Der Wireless Access Point blockiert als Authentifikator den Zugriff und leitet die Anmeldedaten über RADIUS an Ihren Authentifizierungsserver weiter. Nun spricht Azure Entra ID nativ kein RADIUS. Dies ist die entscheidende architektonische Brücke. Sie benötigen einen Cloud-RADIUS-Anbieter oder einen On-Prem-Network Policy Server (NPS) mit der Azure MFA-Erweiterung. Das Gerät legt sein Client-Zertifikat vor. Der RADIUS-Server validiert dieses Zertifikat gegenüber Ihrer Certificate Authority – oft über SCEP in Intune verwaltet. Wenn das Zertifikat gültig ist, prüft der RADIUS-Server in Azure Entra ID, ob das Benutzerkonto aktiv, nicht deaktiviert und mit den Conditional Access-Richtlinien konform ist. Erst dann sendet der RADIUS-Server eine Access-Accept-Nachricht zurück an den Access Point und weist dem Benutzer das richtige VLAN zu. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Host: Wo gehen Bereitstellungen nun schief? Ich sehe drei häufige Fehler. Erstens: Verfügbarkeit der Certificate Revocation List (CRL). Wenn Ihr RADIUS-Server die CRL nicht erreichen kann, schlägt die Authentifizierung fehl. Stellen Sie sicher, dass Ihre CRL-Endpunkte hochverfügbar und über die RADIUS-Infrastruktur erreichbar sind. Zweitens: Supplicant-Konfiguration. Überlassen Sie dies nicht dem Endbenutzer. Nutzen Sie Ihr MDM – Microsoft Intune, Workspace ONE oder was auch immer Sie verwenden –, um das WiFi-Profil bereitzustellen. Das Profil muss die vertrauenswürdige Root-CA explizit definieren und festlegen, dass sich der Client nur mit Ihren spezifischen RADIUS-Servernamen verbinden darf. Wenn Sie dies nicht tun, sind Sie anfällig für Evil-Twin-Angriffe. Drittens: Legacy-Geräte. IoT-Geräte, POS-Terminals oder ältere Barcodescanner in einem Lager unterstützen oft kein 802.1X oder EAP-TLS. Sie müssen eine MAC-Authentication-Bypass-Strategie (MAB) oder ein dediziertes Pre-Shared-Key-Netzwerk mit strenger Netzwerktrennung für diese Geräte planen. Gefährden Sie nicht Ihre primäre Unternehmens-SSID für einen veralteten Drucker. [SCHNELLE FRAGERUNDE - 1 MIN] Moderator: Lassen Sie uns ein paar kurze Fragen beantworten, die wir häufig von Netzwerkarchitekten hören. Frage eins: Können wir PEAP-MSCHAPv2 mit Azure Entra ID nutzen? Antwort: Ja, über NPS, aber Microsoft stellt die anmeldedatenbasierte Authentifizierung schrittweise ein. Wechseln Sie zu EAP-TLS. Es ist sicherer und bietet eine bessere Benutzererfahrung. Frage zwei: Wie lässt sich dies in das Gäste-WiFi von Purple integrieren? Antwort: Halten Sie diese getrennt. Ihr Unternehmensnetzwerk nutzt 802.1X, das an Azure Entra ID gekoppelt ist. Ihr Gästenetzwerk verwendet eine offene SSID mit einem Captive Portal von Purple für Analysen, die Zustimmung zu Nutzungsbedingungen und die Erfassung von Marketingdaten. Sie können sogar die profilbasierte Authentifizierung von Purple für nahtlose wiederkehrende Besuche von Gästen nutzen, sodass dieser Datenverkehr vollständig von Ihren Unternehmensdaten isoliert bleibt. [ZUSAMMENFASSUNG & NÄCHSTE SCHRITTE - 1 MIN] Moderator: Zusammenfassend lässt sich sagen: Der Wechsel zu Azure Entra ID für die WiFi-Authentifizierung ist ein grundlegender Schritt hin zu einer Zero-Trust-Architektur. Er eliminiert Helpdesk-Tickets zur Passwortrotation, minimiert den Diebstahl von Anmeldedaten und stellt sicher, dass nur konforme, verwaltete Geräte auf Ihr internes Netzwerk zugreifen. Ihr nächster Schritt? Überprüfen Sie Ihre aktuelle RADIUS-Infrastruktur. Wenn Sie eine alte NPS-On-Premises-Lösung betreiben, evaluieren Sie Cloud-RADIUS-Lösungen, die sich direkt in Azure Entra ID und Intune integrieren lassen. Planen Sie Ihre Strategie zur Zertifikatsbereitstellung. Vielen Dank für Ihre Teilnahme an diesem technischen Briefing. Sichern Sie Ihre Netzwerke und bis zum nächsten Mal.

header_image.png

Executive Summary

Für CTOs und Netzwerkarchitekten, die komplexe Umgebungen verwalten – von großen Hospitality -Standorten bis hin zu dynamischen Retail -Flächen –, geht es bei der Absicherung des Unternehmensnetzwerks längst nicht mehr nur um sichere Passwörter. Veraltete Pre-Shared Keys (PSKs) und eine einfache Authentifizierung per Benutzerdaten sind mit modernen Zero-Trust-Architekturen absolut inkompatibel.

Dieser Leitfaden beschreibt den Übergang zu einer zertifikatsbasierten 802.1X WiFi-Authentifizierung, die direkt in Azure Entra ID (ehemals Azure AD) integriert ist. Durch die Umstellung auf EAP-TLS (Extensible Authentication Protocol mit Transport Layer Security) können Unternehmen die Risiken des Diebstahls von Zugangsdaten eliminieren, das Onboarding von Geräten über das Mobile Device Management (MDM) automatisieren und sicherstellen, dass nur konforme, verwaltete Geräte auf sensible Unternehmens-VLANs zugreifen können. Wir beleuchten die technische Architektur, die Implementierungsschritte und zeigen, wie diese Sicherheitsstruktur für Unternehmen parallel zu den von Plattformen wie Purple verwalteten Gastnetzwerk-Strategien verläuft.

Technischer Deep-Dive

Der Wechsel von Anmeldedaten zu Zertifikaten

In der Vergangenheit basierte Enterprise WiFi auf PEAP-MSCHAPv2, was die Eingabe von Domänen-Zugangsdaten durch die Benutzer erforderte. Microsoft stellt die auf Zugangsdaten basierende Authentifizierung jedoch aufgrund ihrer Anfälligkeit für Adversary-in-the-Middle-Angriffe (AiTM) aktiv ein. Der aktuelle Branchenstandard ist EAP-TLS, der auf einer gegenseitigen Zertifikatsauthentifizierung basiert.

Bei einer EAP-TLS-Bereitstellung weisen sich sowohl der RADIUS-Server als auch das Client-Gerät über digitale Zertifikate aus. Wenn ein Gerät kein gültiges Zertifikat besitzt, das von Ihrer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurde, lehnt der RADIUS-Server die Verbindung ab, noch bevor das Gerät eine IP-Adresse erhält.

architecture_overview.png

Die architektonische Brücke: RADIUS und Entra ID

Azure Entra ID ist ein Cloud-Identity-Provider (IdP), der moderne Protokolle wie SAML und OIDC verwendet. Er unterstützt nativ kein RADIUS, also das von Wireless Access Points (WAPs) genutzte Protokoll. Um diese Lücke zu schließen, müssen Netzwerkarchitekten einen RADIUS-Server bereitstellen, der mit Entra ID kommunizieren kann. Dies wird in der Regel erreicht durch:

  1. Cloud-RADIUS-Lösungen: Speziell entwickelte Plattformen (z. B. SecureW2, SCEPman oder Portnox), die sich über APIs direkt in Entra ID und Intune integrieren lassen.
  2. On-Premises Network Policy Server (NPS): Verwendung der Azure MFA-Erweiterung, was jedoch im Vergleich zu Cloud-nativen RADIUS-Lösungen zunehmend als veralteter Ansatz gilt.

eap_comparison_chart.png

Leitfaden zur Implementierung

Die Implementierung von Azure Entra ID für die WiFi-Authentifizierung erfordert eine Abstimmung zwischen den Teams für Identitätsverwaltung, Geräteverwaltung und Netzwerkinfrastruktur.

Schritt 1: Einrichten der Public-Key-Infrastruktur (PKI)

Sie müssen eine Zertifizierungsstelle (CA) einrichten, um Client- und Serverzertifikate auszustellen. In einer Cloud-First-Umgebung ist dies häufig eine Cloud-PKI, die über das Simple Certificate Enrollment Protocol (SCEP) in Microsoft Intune integriert ist.

Schritt 2: Konfigurieren des RADIUS-Servers

Stellen Sie Ihre RADIUS-Infrastruktur bereit und binden Sie diese an Ihren Entra ID Tenant. Der RADIUS-Server benötigt ein eigenes Serverzertifikat, dem Ihre Client-Geräte vertrauen, um seine Identität während des EAP-Handshakes nachzuweisen.

Schritt 3: Bereitstellen von MDM-Profilen über Intune

Verlassen Sie sich nicht darauf, dass Benutzer ihre WiFi-Einstellungen manuell konfigurieren. Verwenden Sie Intune, um ein umfassendes WiFi-Profil bereitzustellen, das Folgendes enthält:

  • Das vertrauenswürdige Root-CA-Zertifikat.
  • Das SCEP-Profil zur Anforderung des Client-Zertifikats.
  • Die WiFi-Konfiguration selbst, die explizit die SSID und die genauen Servernamen Ihrer RADIUS-Infrastruktur definiert, um Evil-Twin-Angriffe zu verhindern.

Schritt 4: Konfigurieren des Wireless LAN Controllers (WLC)

Konfigurieren Sie Ihre Access Points oder Ihren WLC für die Verwendung von WPA2/WPA3-Enterprise (802.1X). Leiten Sie den Authentifizierungs- und Accounting-Traffic an die IP-Adressen Ihres neuen RADIUS-Servers weiter und konfigurieren Sie die gemeinsamen RADIUS-Secrets.

> "Achten Sie bei der Konfiguration von 802.1X darauf, dass die RADIUS-Timeout-Werte auf dem WLC ausreichen, um die Latenz der cloudbasierten Zertifikatsprüfung zu bewältigen. Typischerweise sollten diese von 2 Sekunden auf 5 Sekunden erhöht werden." [1]

Best Practices

  • Unternehmens- und Gast-Traffic trennen: Unternehmensgeräte sollten 802.1X in Verbindung mit Entra ID nutzen. Gastgeräte sollten eine offene SSID mit einem Captive Portal verwenden. Für einen robusten Gastzugang und Analysen nutzen Sie am besten Guest WiFi Lösungen. Dies gewährleistet eine vollständige Isolierung von nicht vertrauenswürdigem Traffic.
  • MAC-Authentication-Bypass (MAB) mit Vorsicht implementieren: IoT-Geräte und ältere Hardware (z. B. alte Scanner in Transport -Hubs) unterstützen oft kein 802.1X. Platzieren Sie diese auf einer separaten SSID unter Verwendung von MAB oder einem dedizierten PSK und beschränken Sie deren Netzwerkzugriff über strenge ACLs.
  • Priorisierung der Zertifikatssperrung: Stellen Sie sicher, dass Ihre Certificate Revocation List (CRL) oder Online Certificate Status Protocol (OCSP) Endpunkte hochverfügbar sind. Wenn der RADIUS-Server den Sperrstatus nicht überprüfen kann, schlägt die Authentifizierung fehl.

Fehlerbehebung & Risikominderung

Wenn Bereitstellungen fehlschlagen, liegt das selten am Cloud-IdP. Häufige Fehlerursachen sind:

  • Uhrzeit-Abweichung (Clock Skew): EAP-TLS reagiert sehr empfindlich auf die Uhrzeit. Stellen Sie sicher, dass alle Infrastrukturkomponenten, insbesondere der WLC und die RADIUS-Server, über NTP synchronisiert sind.
  • Intune-Synchronisierungsverzögerungen: Wenn ein neues Gerät registriert wird, kann es einige Zeit dauern, bis das SCEP-Zertifikat ausgestellt wird und das Gerät versucht, eine Verbindung herzustellen. Planen Sie diese Latenzzeit bei der Bereitstellung ein.- Radius-Servernamenskonflikt: Wenn der im Intune-WiFi-Profil definierte Servername nicht exakt mit dem Common Name (CN) oder Subject Alternative Name (SAN) auf dem Zertifikat des RADIUS-Servers übereinstimmt, trennt der Client die Verbindung stillschweigend, um sich vor Rogue APs zu schützen.

Weitere Einblicke zur Sicherung Ihrer Infrastruktur finden Sie in unserem Leitfaden Schützen Sie Ihr Netzwerk mit starkem DNS und Sicherheit .

ROI & geschäftliche Auswirkungen

Der Übergang zur WiFi-Authentifizierung mit Azure Entra ID liefert messbare Erträge:

  1. Reduzierter Helpdesk-Aufwand: Durch den Wegfall der passwortbasierten Authentifizierung wird die Anzahl der Tickets im Zusammenhang mit Passwortsperren und Aktualisierungen von WiFi-Zugangsdaten drastisch reduziert.
  2. Beschleunigte Compliance: EAP-TLS liefert den kryptografischen Identitätsnachweis, der von Frameworks wie PCI DSS und ISO 27001 gefordert wird, was für das Gesundheitswesen und den Einzelhandel von entscheidender Bedeutung ist.
  3. Automatisiertes Offboarding: Wenn ein Mitarbeiter das Unternehmen verlässt, wird durch die Deaktivierung seines Kontos in Entra ID sofort sein Netzwerkzugriff an allen Standorten widerrufen, was Insider-Bedrohungen minimiert.

Durch die Sicherung des Unternehmens-Backbones können sich IT-Teams auf umsatzgenerierende Initiativen konzentrieren, wie beispielsweise die Nutzung von WiFi Analytics , um das Besucherverhalten zu verstehen und das Engagement zu steigern.

Referenzen

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der erfordert, dass sich Geräte authentifizieren, bevor sie Zugriff auf das LAN oder WLAN erhalten.

Dies ist das zugrunde liegende Protokoll, das enterprise WiFi sicher macht und über einfache gemeinsam genutzte Passwörter hinausgeht.

EAP-TLS

Extensible Authentication Protocol mit Transport Layer Security. Eine Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem Client als auch auf dem Server erfordert.

Gilt als die sicherste Methode für die WiFi-Authentifizierung, die den Diebstahl von Anmeldedaten und AiTM-Angriffe verhindert.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Kontoverwaltung (AAA) bereitstellt.

Das Protokoll, mit dem Ihre Access Points den Authentifizierungsserver fragen: "Soll ich dieses Gerät im Netzwerk zulassen?"

SCEP

Simple Certificate Enrollment Protocol. Ein Protokoll zur sicheren Ausstellung von Zertifikaten an Netzwerkgeräte.

Wird von MDM-Plattformen wie Intune verwendet, um Client-Zertifikate geräuschlos anzufordern und auf Firmen-Laptops und -Telefonen zu installieren.

MAC Authentication Bypass (MAB)

Eine Methode zur Gewährung des Netzwerkzugriffs basierend auf der MAC-Adresse des Geräts anstelle eines Benutzernamens oder Zertifikats.

Wird als Fallback für Altsysteme (wie alte Drucker oder IoT-Sensoren) verwendet, denen die Software zur Durchführung eines 802.1X-Handshakes fehlt.

Evil Twin Attack

Ein gefälschter Access Point, der sich als legitime Unternehmens-SSID ausgibt, um Datenverkehr abzufangen oder Anmeldedaten zu stehlen.

EAP-TLS mildert dies ab, da das Client-Gerät so konfiguriert ist, dass es nur dem spezifischen Zertifikat des legitimen Unternehmens-RADIUS-Servers vertraut.

Supplicant

Der Software-Client auf dem Endgerät (z. B. der Windows-WiFi-Manager), der den 802.1X-Authentifizierungsprozess abwickelt.

IT-Teams müssen den Supplicant über das MDM konfigurieren, um sicherzustellen, dass er sich sicher verhält und Benutzer nicht auffordert, nicht vertrauenswürdige Serverzertifikate zu akzeptieren.

Conditional Access

Azure-Entra-ID-Richtlinien, die Signale (Benutzer, Standort, Gerätekonformität) auswerten, um Zugriffsentscheidungen zu treffen.

Moderne Cloud-RADIUS-Lösungen können den bedingten Zugriff (Conditional Access) während des WiFi-Handshakes überprüfen und den Netzwerkzugriff verweigern, wenn Intune das Gerät als nicht konform markiert.

Ausgearbeitete Beispiele

Eine Einzelhandelskette mit 500 Standorten muss iPads im Back-Office-Bereich sichern, die für die Bestandsverwaltung genutzt werden. Derzeit verwenden sie in allen Filialen einen einzigen, gemeinsamen PSK. Wie sollten sie auf die Azure Entra ID-Authentifizierung umstellen?

  1. Registrieren Sie alle iPads in Microsoft Intune.
  2. Stellen Sie eine Cloud-RADIUS-Lösung bereit, die in den Entra ID-Tenant des Unternehmens integriert ist.
  3. Konfigurieren Sie Intune so, dass ein SCEP-Zertifikat auf jedem iPad bereitgestellt wird.
  4. Pushen Sie ein WiFi-Profil über Intune, das die iPads so konfiguriert, dass sie sich über EAP-TLS mit der SSID "Corporate-BOH" verbinden und das Zertifikat des Cloud-RADIUS-Servers validieren.
  5. Aktualisieren Sie die Meraki/Aruba Access Points in allen 500 Filialen so, dass sie für die SSID "Corporate-BOH" auf die IP-Adressen von Cloud RADIUS verweisen.
  6. Phasenweise Einführung: Aktivieren Sie die neue SSID, überprüfen Sie die iPad-Konnektivität über die Intune-Berichterstattung und nehmen Sie dann die alte PSK-SSID außer Betrieb.
Kommentar des Prüfers: Dieser Ansatz eliminiert den gemeinsam genutzten PSK, der bei Diebstahl eines Geräts ein massives Sicherheitsrisiko darstellt. Durch die Verwendung von EAP-TLS und Intune ist die Authentifizierung an den Verwaltungsstatus des Geräts gekoppelt. Wenn ein iPad verloren geht, widerruft das IT-Team einfach das Zertifikat oder löscht das Gerät in Intune, wodurch der Netzwerkzugriff sofort gesperrt wird, ohne dass die anderen 499 Filialen beeinträchtigt werden.

Ein Universitäts-Campus migriert vom lokalen Active Directory zu Azure Entra ID. Es gibt Tausende von BYOD-Laptops (Bring Your Own Device) von Studierenden, die sich derzeit über PEAP-MSCHAPv2 (Benutzername und Passwort) verbinden. Wie wird BYOD in einer Cloud-first Entra ID-Umgebung gehandhabt?

  1. Stellen Sie ein Onboarding-Portal bereit (z. B. SecureW2 JoinNow oder ein ähnliches BYOD-Onboarding-Tool).
  2. Studierende verbinden sich mit einer offenen SSID namens "Onboarding", die sie zum Portal weiterleitet.
  3. Das Portal fordert die Studierenden auf, sich gegenüber Azure Entra ID zu authentifizieren (unter Verwendung ihrer Universitäts-E-Mail und MFA).
  4. Nach erfolgreicher Authentifizierung generiert das Portal ein eindeutiges Client-Zertifikat und konfiguriert das Gerät des Studierenden automatisch für EAP-TLS.
  5. Das Gerät verbindet sich automatisch über das neue Zertifikat mit der sicheren SSID "Edu-Secure".
Kommentar des Prüfers: Die Verwaltung von Zertifikaten für nicht verwaltete BYOD-Geräte ist der schwierigste Teil von 802.1X. Intune kann hier nicht verwendet werden, da die Universität nicht Eigentümer der Laptops ist. Die Nutzung eines Onboarding-Portals schließt diese Lücke und ermöglicht den Einsatz von sicherem EAP-TLS, ohne dass die IT-Abteilung Tausende von Laptops der Studierenden manuell konfigurieren muss.

Übungsfragen

Q1. Ihr Unternehmen migriert zu Azure Entra ID und Intune. Sie nutzen derzeit PEAP-MSCHAPv2 für WiFi. Das Sicherheitsteam schreibt vor, dass die WiFi-Authentifizierung resistent gegen den Diebstahl von Anmeldedaten sein muss. Welches EAP-Verfahren sollten Sie implementieren?

Hinweis: Welche Methode verlässt sich vollständig auf Zertifikate anstelle von Passwörtern?

Musterlösung anzeigen

Sie sollten EAP-TLS implementieren. EAP-TLS nutzt die gegenseitige Zertifikatsauthentifizierung, was bedeutet, dass das Client-Gerät ein gültiges Zertifikat vorlegen muss, das von Ihrer PKI ausgestellt wurde. Da es keine Passwörter verwendet, ist es äußerst resistent gegen den Diebstahl von Anmeldedaten und Adversary-in-the-Middle-Angriffe.

Q2. Nach der Implementierung von EAP-TLS über Intune melden Benutzer, dass sie keine Verbindung zum WiFi herstellen können. In den RADIUS-Protokollen sehen Sie die Meldung "Certificate Revocation Check Failed". Was ist die wahrscheinlichste Ursache?

Hinweis: Mit welcher Infrastruktur muss der RADIUS-Server kommunizieren, um zu überprüfen, ob ein Zertifikat nicht kompromittiert wurde?

Musterlösung anzeigen

Der RADIUS-Server kann die Zertifikatssperrliste (CRL) oder den OCSP-Endpunkt Ihrer Zertifizierungsstelle nicht erreichen. Stellen Sie sicher, dass die Firewalls dem RADIUS-Server ausgehenden Zugriff auf die in den Client-Zertifikaten angegebenen HTTP-URLs erlauben.

Q3. Ein Krankenhaus muss 50 ältere Herzfrequenzmonitore mit dem Netzwerk verbinden. Diese Geräte unterstützen nur WPA2-Personal (Pre-Shared Key) und können nicht in Intune registriert werden. Wie sollten Sie diese sichern, während Sie Ihre Entra ID 802.1X-Implementierung für Firmen-Laptops beibehalten?

Hinweis: Mischen Sie keine Authentifizierungstypen auf derselben SSID.

Musterlösung anzeigen

Erstellen Sie eine dedizierte, separate SSID speziell für die medizinischen IoT-Geräte. Verwenden Sie einen starken, eindeutigen Pre-Shared Key (oder Identity PSK/iPSK, falls von Ihrem Netzwerkanbieter unterstützt) oder MAC-Authentifizierungs-Bypass (MAB). Platzieren Sie diese SSID unbedingt in einem stark eingeschränkten VLAN mit strengen Zugriffskontrolllisten (ACLs), die es den Monitoren nur erlauben, mit ihrem spezifischen medizinischen Server zu kommunizieren, und blockieren Sie jeglichen anderen lateralen Netzwerkzugriff.

Weiterlesen in dieser Reihe

Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich (und WPA3-Unterstützung)

Ein umfassender Vergleich von Per-Device-PSK-Implementierungen bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet und Ubiquiti UniFi. Erfahren Sie, wie sich WPA3-SAE auf Per-Device-Key-Strategien auswirkt und wann Übergangsmodi im Vergleich zum Wechsel zu 802.1X eingesetzt werden sollten.

Leitfaden lesen →

Captive Portal Authentifizierungsmethoden im Vergleich

Dieser maßgebliche technische Leitfaden bewertet die architektonischen, betrieblichen und Compliance-bezogenen Vor- und Nachteile von fünf zentralen Captive Portal Authentifizierungsmethoden. Er bietet Netzwerkarchitekten, IT-Leitern und Marketingmanagern die quantitativen Daten und Entscheidungsrahmen, die erforderlich sind, um die Reibung beim Onboarding von Gästen mit den Anforderungen an die Datenerfassung in Unternehmensstandorten abzuwägen.

Leitfaden lesen →

Was ist MAC-Adressen-Authentifizierung? Wann man sie einsetzt und wann man sie vermeidet

Dieser maßgebliche technische Leitfaden behandelt die MAC-Adressen-Authentifizierung in Enterprise-WiFi-Umgebungen – wie die RADIUS-basierte MAC-Authentifizierung auf Layer 2 funktioniert, ihre inhärenten Sicherheitsrisiken (einschließlich MAC-Spoofing und den Auswirkungen der MAC-Randomisierung auf Betriebssystemebene) und die genauen betrieblichen Kontexte, in denen sie ein legitimes Tool zur Verwaltung von IoT- und Headless-Geräten bleibt. Er bietet praxisnahe Bereitstellungsrichtlinien für IT-Manager und Netzwerkarchitekten in den Bereichen Hotellerie, Einzelhandel, Gesundheitswesen und im öffentlichen Sektor, ergänzt durch praxisnahe Fallbeispiele, Entscheidungsmatrizen und Integrationskontexte für die Guest-WiFi- und Analytics-Plattform von Purple.

Leitfaden lesen →