Zum Hauptinhalt springen

So richten Sie Microsoft Entra ID (Azure AD) für die WiFi Authentifizierung ein

Dieser maßgebliche Leitfaden beschreibt die Architektur, die Implementierungsschritte und die geschäftlichen Auswirkungen der Integration von Microsoft Entra ID mit 802.1X für die WiFi Authentifizierung in Unternehmen. Er bietet Netzwerkarchitekten und IT-Managern praktische Bereitstellungsstrategien, um veraltete PSKs durch einen Zero-Trust, zertifikatsbasierten Netzwerkzugriff zu ersetzen.

📖 4 Min. Lesezeit📝 945 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
[INTRO - 1 MIN] Host: Willkommen zum Purple Enterprise Network Briefing. Ich bin Ihr Host und heute befassen wir uns mit einem kritischen Infrastruktur-Upgrade, das für CTOs und Netzwerkarchitekten oberste Priorität hat: der Migration Ihrer Authentifizierung für das Unternehmens-WiFi zu Azure Entra ID - ehemals Azure AD. Wenn Sie eine Hotelkette, ein Stadion oder eine große Bereitstellung im öffentlichen Sektor verwalten, kennen Sie die Probleme mit veralteten On-Premises-RADIUS-Servern und gemeinsamen PSKs. Heute sprechen wir über Zero-Trust-Netzwerkzugriff, genauer gesagt darüber, wie man eine zertifikatsbasierte 802.1X-Authentifizierung mit Azure Entra ID implementiert. Keine Umschweife, nur die technische Realität dieser Bereitstellung. [TECHNICAL DEEP-DIVE - 5 MIN] Host: Lassen Sie uns direkt in die Architektur einsteigen. Die Zeiten von WPA2-Personal mit einem gemeinsamen Passwort auf einem Haftnotizzettel sind vorbei. In einem modernen Unternehmen, egal ob Sie Back-of-House-Aktivitäten in einer Einzelhandelsumgebung oder Mitarbeiternetzwerke in einem Krankenhaus absichern, benötigen Sie identitätsbasierten Zugriff. Wenn wir über Azure Entra ID für WiFi sprechen, sprechen wir im Grunde über EAP-TLS. Das ist Extensible Authentication Protocol mit Transport Layer Security. Es ist der Goldstandard. Warum? Weil es auf Zertifikaten basiert, nicht auf Passwörtern. Passwörter können gefischt, weitergegeben oder mittels Brute-Force geknackt werden. Zertifikate, die über Intune an ein verwaltetes Gerät gebunden sind, dagegen nicht. Wie sieht also der Datenfluss aus? Ein Unternehmensgerät - sagen wir ein verwalteter Laptop - versucht, sich mit der Unternehmens-SSID zu verbinden. Der Wireless Access Point, der als Authentifikator fungiert, blockiert den Zugriff und leitet die Anmeldedaten über RADIUS an Ihren Authentifizierungsserver weiter. Nun spricht Azure Entra ID nativ kein RADIUS. Dies ist die entscheidende architektonische Brücke. Sie benötigen einen Cloud-RADIUS-Anbieter oder einen On-Premises-Netzwerkrichtlinienserver (NPS) mit der Azure MFA-Erweiterung. Das Gerät präsentiert sein Client-Zertifikat. Der RADIUS-Server validiert dieses Zertifikat mit Ihrer Zertifizierungsstelle - oft über SCEP in Intune verwaltet. Wenn das Zertifikat gültig ist, prüft der RADIUS-Server in Azure Entra ID, ob das Benutzerkonto aktiv, nicht deaktiviert und mit den Richtlinien für bedingten Zugriff konform ist. Erst dann sendet der RADIUS-Server eine Access-Accept-Nachricht zurück an den AP und weist dem Benutzer das richtige VLAN zu. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Host: Wo laufen Bereitstellungen nun schief? Ich sehe drei häufige Fehlerquellen. Erstens: Die Verfügbarkeit der Zertifikatssperrliste (CRL). Wenn Ihr RADIUS-Server die CRL nicht erreichen kann, schlägt die Authentifizierung fehl. Stellen Sie sicher, dass Ihre CRL-Endpunkte hochverfügbar und von der RADIUS-Infrastruktur aus erreichbar sind. Zweitens: Die Supplicant-Konfiguration. Überlassen Sie dies nicht dem Endbenutzer. Nutzen Sie Ihr MDM - Microsoft Intune, Workspace ONE, was auch immer Sie verwenden - um das WiFi-Profil bereitzustellen. Das Profil muss explizit die vertrauenswürdige Root-CA definieren und festlegen, dass sich der Client nur mit Ihren spezifischen RADIUS-Servernamen verbinden darf. Wenn Sie dies nicht tun, sind Sie anfällig für Evil-Twin-Angriffe. Drittens: Legacy-Geräte. IoT-Geräte, Point-of-Sale-Terminals oder ältere Barcodescanner in einem Lager unterstützen oft kein 802.1X oder EAP-TLS. Sie müssen eine MAC Authentication Bypass (MAB) -Strategie oder ein dediziertes Pre-Shared-Key-Netzwerk mit strenger Netzwerkimplementierung für diese Geräte planen. Gehen Sie für einen alten Drucker keine Kompromisse bei Ihrer primären Unternehmens-SSID ein. [SCHNELLE FRAGERUNDE - 1 MIN] Moderator: Lassen Sie uns ein paar schnelle Fragen durchgehen, die wir oft von Netzwerkarchitekten hören. Frage eins: Können wir PEAP-MSCHAPv2 mit Azure Entra ID nutzen? Antwort: Ja, über NPS, aber Microsoft stellt die anmeldedatenbasierte Authentifizierung aktiv ein. Wechseln Sie zu EAP-TLS. Es ist sicherer und bietet eine bessere Benutzererfahrung. Frage zwei: Wie lässt sich dies in das guest WiFi von Purple integrieren? Antwort: Halten Sie diese getrennt. Ihr Unternehmensnetzwerk nutzt 802.1X, das an Azure Entra ID gekoppelt ist. Ihr Gästenetzwerk verwendet eine offene SSID mit einem Captive Portal, das von Purple betrieben wird - für Analysen, die Zustimmung zu den Nutzungsbedingungen und die Erfassung von Marketingdaten. Sie können sogar die profilbasierte Authentifizierung von Purple für nahtlose Wiederkehrbesuche von Gästen nutzen, wodurch dieser Datenverkehr vollständig von Ihren Unternehmensdaten isoliert bleibt. [ZUSAMMENFASSUNG & NÄCHSTE SCHRITTE - 1 MIN] Moderator: Zusammenfassend lässt sich sagen: Der Wechsel zu Azure Entra ID für die WiFi-Authentifizierung ist ein grundlegender Schritt hin zu einer Zero-Trust-Architektur. Er eliminiert Helpdesk-Tickets für Passwortänderungen, mindert das Risiko von Diebstahl von Anmeldedaten und stellt sicher, dass nur konforme, verwaltete Geräte auf Ihr internes Netzwerk zugreifen. Ihr nächster Schritt? Überprüfen Sie Ihre aktuelle RADIUS-Infrastruktur. Wenn Sie eine veraltete NPS-On-Premises-Lösung betreiben, evaluieren Sie Cloud-RADIUS-Lösungen, die sich direkt in Azure Entra ID und Intune integrieren lassen. Planen Sie Ihre Strategie zur Zertifikatsbereitstellung. Vielen Dank für die Teilnahme an diesem technischen Briefing. Sichern Sie Ihre Netzwerke und bis zum nächsten Mal.

header_image.png

Management-Zusammenfassung

Für CTOs und Netzwerkarchitekten, die komplexe Umgebungen verwalten - von großen Gastronomie- und Hotelleriebetrieben bis hin zu dynamischen Einzelhandelsflächen - ist die Sicherung des Unternehmensnetzwerks längst keine Frage von starken Passwörtern mehr. Traditionelle Pre-Shared Keys (PSKs) und eine einfache Validierung von Zugangsdaten sind mit einer modernen Zero-Trust-Architektur grundlegend unvereinbar.

Dieser Leitfaden beschreibt den Übergang zu einer auf 802.1X-Zertifikaten basierenden WiFi-Authentifizierung, die direkt in Microsoft Entra ID (ehemals Azure AD) integriert ist. Durch den Wechsel zu EAP-TLS (Extensible Authentication Protocol mit Transport Layer Security) können Unternehmen die mit dem Diebstahl von Zugangsdaten verbundenen Risiken eliminieren, die Geräteregistrierung über das Mobile Device Management (MDM) automatisieren und sicherstellen, dass nur konforme, verwaltete Geräte auf sensible Unternehmens-VLANs zugreifen können. Wir beleuchten die technische Architektur, die Bereitstellungsschritte und wie diese Sicherheitsstruktur für Unternehmen parallel zu Gastnetzwerk-Strategien funktioniert, die von Plattformen wie Purple verwaltet werden.

Technischer Deep Dive

Der Wechsel von Zugangsdaten zu digitalen Zertifikaten

In der Vergangenheit basierte das WiFi für Unternehmen auf PEAP-MSCHAPv2, bei dem Benutzer ihre Domain-Zugangsdaten eingeben mussten. Aufgrund der Anfälligkeit für Adversary-in-the-Middle-Angriffe (AiTM) stellt Microsoft die auf Zugangsdaten basierende Authentifizierung jedoch aktiv ein. Der aktuelle Branchenstandard ist EAP-TLS, das eine gegenseitige Zertifikatsvalidierung nutzt.

Bei einer EAP-TLS-Bereitstellung legen sowohl der RADIUS-Server als auch das Client-Gerät digitale Zertifikate vor. Wenn ein Gerät nicht über ein gültiges Zertifikat verfügt, das von Ihrer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurde, lehnt der RADIUS-Server die Verbindung ab, noch bevor das Gerät überhaupt eine IP-Adresse erhält.

architecture_overview.png

Die architektonische Brücke: RADIUS und Microsoft Entra ID

Azure Entra ID ist ein Cloud-Identitätsanbieter (IdP), der moderne Protokolle wie SAML und OIDC verwendet. Er unterstützt das von drahtlosen Access Points (WAPs) verwendete RADIUS-Protokoll nicht nativ. Um diese Lücke zu schließen, müssen Netzwerkarchitekten einen RADIUS-Server bereitstellen, der mit Microsoft Entra ID kommunizieren kann. Dies wird in der Regel erreicht durch:

  1. Cloud-RADIUS-Lösungen: Speziell entwickelte Plattformen (wie SecureW2, SCEPman oder Portnox), die sich über APIs direkt in Microsoft Entra ID und Intune integrieren lassen.
  2. Lokaler Netzwerkrichtlinienserver (NPS): Verwendung der Azure MFA-Erweiterung, obwohl dies im Vergleich zu Cloud-nativen RADIUS-Lösungen zunehmend als veralteter Ansatz angesehen wird.

eap_comparison_chart.png

Implementierungshandbuch

Die Bereitstellung von Microsoft Entra ID für die WiFi-Authentifizierung erfordert die Abstimmung zwischen den Teams für Identitätsmanagement, Geräteverwaltung und Netzwerkinfrastruktur.

Schritt 1: Einrichten der Public-Key-Infrastruktur (PKI)

Sie müssen eine Zertifizierungsstelle (CA) einrichten, um Client- und Serverzertifikate auszustellen. In Cloud-First-Umgebungen ist dies in der Regel eine Cloud-PKI, die über das Simple Certificate Enrolment Protocol (SCEP) in Microsoft Intune integriert ist.

Schritt 2: Konfigurieren des RADIUS-Servers

Stellen Sie Ihre RADIUS-Infrastruktur bereit und verknüpfen Sie diese mit Ihrem Entra ID Mandanten. Der RADIUS-Server benötigt ein eigenes Serverzertifikat - dem Ihre Client-Geräte vertrauen -, um seine Identität während des EAP-Handshakes nachzuweisen.

Schritt 3: Bereitstellung von MDM-Profilen über Intune

Verlassen Sie sich nicht darauf, dass Benutzer ihre WiFi-Einstellungen manuell konfigurieren. Nutzen Sie Intune, um ein vollständiges WiFi-Profil zu verteilen, das Folgendes enthält:

  • Das vertrauenswürdige Root-CA-Zertifikat.
  • Das SCEP-Profil, das zur Anforderung des Client-Zertifikats verwendet wird.
  • Die eigentliche WiFi-Konfiguration, die die SSID und die genauen Servernamen der RADIUS-Infrastruktur explizit definiert, um Evil-Twin-Angriffe zu verhindern.

Schritt 4: Konfigurieren des Wireless LAN Controllers (WLC)

Konfigurieren Sie Ihre Access Points oder Ihren WLC für die Verwendung von WPA2/WPA3-Enterprise (802.1X). Leiten Sie den Authentifizierungs- und Accounting-Traffic an die IP-Adressen Ihres neuen RADIUS-Servers weiter und legen Sie das gemeinsame RADIUS-Geheimnis (Shared Secret) fest.

> "Achten Sie bei der Konfiguration von 802.1X darauf, dass die RADIUS-Timeout-Werte auf dem WLC für die Latenzzeit der Cloud-Zertifikatsprüfung ausreichen - in der Regel wird dieser Wert von 2 Sekunden auf 5 Sekunden erhöht." [1]

Best Practices

  • Unternehmens- und Gast-Traffic trennen: Unternehmensgeräte sollten 802.1X in Verbindung mit Entra ID nutzen. Gastgeräte sollten eine offene SSID mit einem Captive Portal verwenden. Nutzen Sie für einen robusten Gastzugang und detaillierte Analysen eine Guest WiFi Lösung. Dies gewährleistet eine vollständige Isolierung von nicht vertrauenswürdigem Traffic.
  • MAC Authentication Bypass (MAB) mit Vorsicht implementieren: IoT-Geräte und ältere Hardware - wie ältere Scanner in Transport Hubs - unterstützen oft kein 802.1X. Platzieren Sie diese Geräte in einer separaten SSID unter Verwendung von MAB oder einem dedizierten PSK und beschränken Sie deren Netzwerkzugriff durch strenge ACLs.
  • Zertifikatswiderruf priorisieren: Stellen Sie sicher, dass Ihre CRL- (Certificate Revocation List) oder OCSP-Endpunkte (Online Certificate Status Protocol) hochverfügbar sind. Wenn der RADIUS-Server den Widerrufsstatus nicht überprüfen kann, schlägt die Authentifizierung fehl.

Fehlerbehebung und Risikominimierung

Wenn Bereitstellungen fehlschlagen, liegt dies selten am Cloud-IdP. Zu den häufigsten Fehlerquellen gehören:

  • Uhrzeit-Abweichung (Clock Skew): EAP-TLS ist extrem zeitsensitiv. Stellen Sie sicher, dass alle Infrastrukturkomponenten - insbesondere WLCs und RADIUS-Server - über NTP synchronisiert sind.
  • Intune-Synchronisationslatenz: Bei der Registrierung neuer Geräte kann es zu einer Verzögerung zwischen der Ausstellung des SCEP-Zertifikats und dem Verbindungsversuch des Geräts kommen. Planen Sie diese Verzögerung bei der Bereitstellung ein.
  • RADIUS-Server-Namenskonflikt: Wenn der im Intune WiFi-Profil definierte Servername nicht exakt mit dem Common Name (CN) oder dem Subject Alternative Name (SAN) auf dem RADIUS-Serverzertifikat übereinstimmt, trennen Clients die Verbindung im Hintergrund, um sich vor böswilligen APs zu schützen.

Für eine tiefergehende Analyse zur Sicherung Ihrer Infrastruktur lesen Sie unseren Leitfaden wie Sie Ihr Netzwerk mit robustem DNS und Sicherheit schützen .

ROI und geschäftliche Auswirkungen

Der Wechsel zur Azure Entra ID WiFi-Authentifizierung bietet erhebliche Vorteile:

  1. Reduzierte Helpdesk-Kosten: Der Verzicht auf passwortbasierte Authentifizierung reduziert Support-Tickets im Zusammenhang mit Passwortsperren und der Erneuerung von WiFi-Anmeldedaten drastisch.
  2. Beschleunigte Compliance: EAP-TLS liefert den kryptografischen Identitätsnachweis, der von Frameworks wie PCI-DSS und ISO 27001 gefordert wird, was besonders in Gesundheitswesen und Einzelhandelsumgebungen unerlässlich ist.
  3. Automatisiertes Offboarding: Wenn ein Mitarbeiter das Unternehmen verlässt, entzieht das Deaktivieren seines Kontos in Entra ID sofort den Netzwerkzugriff an allen Standorten, was das Risiko von Insider-Bedrohungen verringert.

Durch die Sicherung des Unternehmensnetzwerks können sich IT-Teams auf umsatzgenerierende Initiativen konzentrieren, wie beispielsweise die Nutzung von WiFi Analytics , um das Besucherverhalten zu verstehen und die Kundenbindung zu stärken.


Referenzen

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der erfordert, dass sich Geräte authentifizieren, bevor sie Zugriff auf das LAN oder WLAN erhalten.

Dies ist das zugrunde liegende Protokoll, das WiFi in Unternehmen sicher macht und über einfache, gemeinsam genutzte Passwörter hinausgeht.

EAP-TLS

Extensible Authentication Protocol mit Transport Layer Security. Eine Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem Client als auch auf dem Server erfordert.

Gilt als die sicherste Methode für die WiFi Authentifizierung, da sie den Diebstahl von Anmeldedaten und AiTM-Angriffe verhindert.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Kontoführung (AAA) bereitstellt.

Das Protokoll, mit dem Ihre Access Points beim Authentifizierungsserver anfragen: "Soll ich dieses Gerät im Netzwerk zulassen?"

SCEP

Simple Certificate Enrollment Protocol. Ein Protokoll zur sicheren Ausstellung von Zertifikaten an Netzwerkgeräte.

Wird von MDM-Plattformen wie Intune verwendet, um Client-Zertifikate geräuschlos anzufordern und auf Unternehmens-Laptops und -Telefonen zu installieren.

MAC Authentication Bypass (MAB)

Eine Methode zur Gewährung des Netzwerkzugriffs basierend auf der MAC-Adresse des Geräts anstelle eines Benutzernamens oder Zertifikats.

Wird als Ausweichlösung für ältere Geräte (wie alte Drucker oder IoT-Sensoren) verwendet, die nicht über die Software zur Durchführung eines 802.1X-Handshakes verfügen.

Evil-Twin-Angriff

Ein gefälschter Access Point, der sich als legitime Unternehmens-SSID ausgibt, um Datenverkehr abzufangen oder Zugangsdaten zu stehlen.

EAP-TLS mindert dieses Risiko, da das Client-Gerät so konfiguriert ist, dass es nur dem spezifischen Zertifikat des legitimen Unternehmens-RADIUS-Servers vertraut.

Supplicant

Der Software-Client auf dem Endgerät (z. B. der Windows WiFi-Manager), der den 802.1X-Authentifizierungsprozess abwickelt.

IT-Teams müssen den Supplicant über MDM konfigurieren, um sicherzustellen, dass er sich sicher verhält und Benutzer nicht auffordert, nicht vertrauenswürdigen Serverzertifikaten zuzustimmen.

Bedingter Zugriff (Conditional Access)

Richtlinien von Azure Entra ID, die Signale (Benutzer, Standort, Gerätekonformität) auswerten, um Zugriffsentscheidungen zu treffen.

Moderne Cloud-RADIUS-Lösungen können den bedingten Zugriff während des WiFi-Handshakes überprüfen und den Netzwerkzugriff verweigern, wenn Intune das Gerät als nicht konform kennzeichnet.

Ausgearbeitete Beispiele

Eine Einzelhandelskette mit 500 Filialen muss iPads im Back-of-House-Bereich sichern, die für die Bestandsverwaltung genutzt werden. Derzeit verwenden sie in allen Filialen einen einzigen gemeinsam genutzten PSK. Wie sollten sie auf die Authentifizierung über Microsoft Entra ID umsteigen?

  1. Registrieren Sie alle iPads in Microsoft Intune.
  2. Stellen Sie eine Cloud RADIUS-Lösung bereit, die in den Microsoft Entra ID-Mandanten des Unternehmens integriert ist.
  3. Konfigurieren Sie Intune so, dass ein SCEP-Zertifikat auf jedem iPad bereitgestellt wird.
  4. Übertragen Sie ein WiFi Profil über Intune, das die iPads so konfiguriert, dass sie sich über EAP-TLS mit der SSID "Corporate-BOH" verbinden und dabei das Zertifikat des Cloud RADIUS-Servers validieren.
  5. Aktualisieren Sie die Meraki/Aruba Access Points in allen 500 Filialen so, dass sie für die SSID "Corporate-BOH" auf die IP-Adressen des Cloud RADIUS verweisen.
  6. Phasenweise Einführung: Aktivieren Sie die neue SSID, überprüfen Sie die iPad-Konnektivität über die Berichte in Intune und nehmen Sie anschließend die alte PSK-SSID außer Betrieb.
Kommentar des Prüfers: Dieser Ansatz eliminiert den gemeinsam genutzten PSK, der bei Diebstahl eines Geräts ein massives Sicherheitsrisiko darstellt. Durch die Verwendung von EAP-TLS und Intune ist die Authentifizierung an den Verwaltungsstatus des Geräts gebunden. Geht ein iPad verloren, widerruft das IT-Team einfach das Zertifikat oder löscht das Gerät in Intune, wodurch der Netzwerkzugriff sofort gesperrt wird, ohne die anderen 499 Filialen zu beeinträchtigen.

Ein Universitätscampus migriert von einem On-Premises Active Directory zu Microsoft Entra ID. Es gibt Tausende von BYOD-Laptops (Bring Your Own Device) von Studierenden, die sich derzeit über PEAP-MSCHAPv2 (Benutzername und Passwort) verbinden. Wie verwalten sie BYOD in einer Cloud-First-Umgebung mit Microsoft Entra ID?

  1. Stellen Sie ein Onboarding-Portal bereit (z. B. SecureW2 JoinNow oder ein ähnliches BYOD-Onboarding-Tool).
  2. Studierende verbinden sich mit einer offenen SSID namens "Onboarding", die sie zum Portal weiterleitet.
  3. Das Portal fordert die Studierenden auf, sich gegenüber Microsoft Entra ID zu authentifizieren (unter Verwendung ihrer Universitäts-E-Mail und MFA).
  4. Nach erfolgreicher Authentifizierung generiert das Portal ein eindeutiges Client-Zertifikat und konfiguriert das Gerät des Studierenden automatisch für EAP-TLS.
  5. Das Gerät verbindet sich mithilfe des neuen Zertifikats automatisch mit der sicheren SSID "Edu-Secure".
Kommentar des Prüfers: Die Verwaltung von Zertifikaten für unverwaltete BYOD-Geräte ist die größte Herausforderung bei 802.1X. Sie können Intune nicht verwenden, da die Laptops nicht Eigentum der Universität sind. Die Verwendung eines Onboarding-Portals schließt diese Lücke und ermöglicht die Nutzung von sicherem EAP-TLS, ohne dass die IT-Abteilung Tausende von Laptops von Studierenden manuell anfassen muss.

Übungsfragen

Q1. Ihre Organisation migriert zu Azure Entra ID und Intune. Sie verwenden derzeit PEAP-MSCHAPv2 für WiFi. Das Sicherheitsteam schreibt vor, dass die WiFi-Authentifizierung resistent gegen Diebstahl von Zugangsdaten sein muss. Welches EAP-Verfahren sollten Sie bereitstellen?

Hinweis: Welche Methode verlässt sich vollständig auf Zertifikate anstelle von Passwörtern?

Musterlösung anzeigen

Sie sollten EAP-TLS bereitstellen. EAP-TLS nutzt eine gegenseitige Zertifikatsauthentifizierung, was bedeutet, dass das Client-Gerät ein gültiges, von Ihrer PKI ausgestelltes Zertifikat vorlegen muss. Da es keine Passwörter verwendet, ist es äußerst resistent gegen den Diebstahl von Zugangsdaten und Adversary-in-the-Middle-Angriffe.

Q2. Nach der Bereitstellung von EAP-TLS über Intune melden Benutzer, dass sie keine Verbindung zum WiFi herstellen können. In den RADIUS-Protokollen sehen Sie den Fehler "Zertifikatssperrprüfung fehlgeschlagen". Was ist die wahrscheinlichste Ursache?

Hinweis: Mit welcher Infrastruktur muss der RADIUS-Server kommunizieren, um zu überprüfen, ob ein Zertifikat kompromittiert wurde?

Musterlösung anzeigen

Der RADIUS-Server kann die Zertifikatssperrliste (CRL) oder den OCSP-Endpunkt Ihrer Zertifizierungsstelle nicht erreichen. Stellen Sie sicher, dass die Firewalls dem RADIUS-Server den ausgehenden Zugriff auf die in den Client-Zertifikaten angegebenen HTTP-URLs erlauben.

Q3. Ein Krankenhaus muss 50 ältere Herzfrequenzmonitore mit dem Netzwerk verbinden. Diese Geräte unterstützen nur WPA2-Personal (Pre-Shared Key) und können nicht in Intune registriert werden. Wie sollten Sie diese sichern, während Sie Ihre Entra ID 802.1X-Bereitstellung für Unternehmens-Laptops beibehalten?

Hinweis: Mischen Sie keine Authentifizierungstypen auf derselben SSID.

Musterlösung anzeigen

Erstellen Sie eine dedizierte, separate SSID speziell für die medizinischen IoT-Geräte. Verwenden Sie einen starken, eindeutigen Pre-Shared Key (oder Identity PSK/iPSK, falls von Ihrem Netzwerkanbieter unterstützt) oder MAC Authentication Bypass (MAB). Platzieren Sie diese SSID unbedingt in einem stark eingeschränkten VLAN mit strengen Access Control Lists (ACLs), die es den Monitoren nur erlauben, mit ihrem spezifischen medizinischen Server zu kommunizieren, und blockieren Sie jeglichen anderen lateralen Netzwerkzugriff.

Weiterlesen in dieser Reihe

Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke

Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.

Leitfaden lesen →

Passpoint und OpenRoaming: Das vollständige Handbuch

Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.

Leitfaden lesen →

Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich

Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.

Leitfaden lesen →