Enterprise WiFi-Authentifizierung ohne Active Directory oder On-Premises-Server

Management-Zusammenfassung

Die meisten Unternehmen haben ihre Identitätsverwaltung in die Cloud verlagert. Microsoft Entra ID, Okta und Google Workspace verwalten heute Benutzer, Gruppen und Zugriffsrichtlinien für E-Mails, SaaS-Apps und die Geräteverwaltung. Das Enterprise-WiFi hat jedoch nicht Schritt gehalten. Access Points erwarten immer noch einen RADIUS-Server, und dieser RADIUS-Server war in der Vergangenheit meist der Windows Network Policy Server (NPS), der mit einem lokalen Active Directory-Domänencontroller verbunden war.

Diese Diskrepanz zwingt IT-Teams dazu, eine redundante lokale Infrastruktur zu unterhalten, nur um das WiFi am Laufen zu halten. Die Lösung ist Cloud-RADIUS: ein vollständig verwalteter Authentifizierungsdienst, der über RADIUS mit Ihren Access Points kommuniziert und über OAuth2, SCIM und SAML mit Ihrem Cloud-Identitätsanbieter spricht. Kombinieren Sie dies mit der EAP-TLS-Zertifikatsbereitstellung über Ihr MDM, und Sie erhalten eine vollständige 802.1X-Bereitstellung ohne lokale Server, ohne Betriebssystem-Patches und mit sofortigem Zugriffsentzug, der direkt mit Ihrem Cloud-Verzeichnis verknüpft ist.

Purple betreibt Cloud-RADIUS an über 80.000 Standorten weltweit mit einer Verfügbarkeit von 99,999 % (interne Daten von Purple, 2024) und nativen Integrationen für Microsoft Entra ID, Okta und Google Workspace. Sie können auf Ihren bestehenden Access Points von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet in weniger als einer Stunde live gehen.

Technische Vertiefung

Die Protokoll-Diskrepanz als Kern des Problems

Die grundlegende Herausforderung besteht darin, dass Cloud-Identitätsanbieter und WiFi-Access-Points völlig unterschiedliche Sprachen sprechen. Microsoft Entra ID (ehemals Azure AD) authentifiziert Benutzer über SAML, OIDC und OAuth2 – die Protokolle, die von Browsern und SaaS-Apps verwendet werden. WiFi-Access-Points nutzen RADIUS (Remote Authentication Dial-In User Service, RFC 2865), ein UDP-basiertes Protokoll aus den 1990er Jahren, das für Dial-up und VPN entwickelt wurde. Microsoft hat nie einen nativen RADIUS-Endpunkt für Entra ID bereitgestellt. Sie können einen Meraki- oder Aruba-Access-Point nicht direkt auf Azure ausrichten und erwarten, dass 802.1X funktioniert.

Das ist die Hürde, an die jedes Cloud-First-IT-Team stößt, wenn es versucht, das Mitarbeiter-WiFi mit WPA2-Enterprise oder WPA3-Enterprise abzusichern. Etwas muss die Lücke zwischen dem Access Point und dem Cloud-Identitätsanbieter schließen. Dieses Etwas ist Cloud-RADIUS.

Warum PEAP-MSCHAPv2 ohne Active Directory scheitert

In der Vergangenheit basierten 802.1X-Bereitstellungen auf PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol mit Microsoft Challenge Handshake Authentication Protocol Version 2). Der Benutzer gab seinen Benutzernamen und sein Passwort ein, der Access Point leitete die Anfrage an den RADIUS-Server weiter, und der RADIUS-Server glich das Passwort mit einem in Active Directory gespeicherten NTLM-Hash ab. Microsoft Entra ID speichert keine NTLM-Hashes. Dies ist keine Konfigurationslücke – es ist eine bewusste architektonische Entscheidung. Entra ID ist ein moderner Cloud-Identitätsanbieter, kein Domänencontroller. Folglich kann ein RADIUS-Server, der auf Entra ID verweist, eine PEAP-MSCHAPv2-Abfrage nicht validieren. Der einzige Weg, PEAP mit Entra ID zum Laufen zu bringen, besteht darin, Entra Domain Services bereitzustellen – ein kostenpflichtiges, verwaltetes Active Directory, das mit Entra ID synchronisiert wird – und dann NPS darauf auszuführen. Dies führt den Großteil dessen wieder ein, was Sie eigentlich eliminieren wollten: Windows Server-VMs, OS-Patching, NTLM-Hash-Speicherung und manuelle Zertifikatsverwaltung.

EAP-TLS: Die richtige Antwort für Cloud-First-Unternehmen

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security, RFC 5216) ersetzt Passwörter durch digitale X.509-Zertifikate. Das Gerät legt dem RADIUS-Server ein Zertifikat vor. Der RADIUS-Server validiert das Zertifikat anhand einer vertrauenswürdigen Zertifizierungsstelle (CA). Da bei diesem Austausch kein Passwort übertragen wird, benötigt der RADIUS-Server keinen NTLM-Hash-Speicher. Er muss lediglich der CA vertrauen und die Gruppenmitgliedschaft des Benutzers im Identitätsanbieter überprüfen, um das richtige VLAN und die entsprechende Zugriffsrichtlinie anzuwenden.

EAP-TLS ist von Grund auf phishing-resistent. Es gibt keine Anmeldedaten, die gestohlen werden könnten. Es erfüllt die CISA-Richtlinien für phishing-resistente Multi-Faktor-Authentifizierung und entspricht den PCI-DSS-Anforderungen für starke Authentifizierung in Netzwerken, die Karteninhaberdaten verarbeiten. Es ist die von IEEE 802.1X empfohlene Authentifizierungsmethode für verwaltete Geräteflotten.

Cloud-First 802.1X-Authentifizierungsarchitektur: Geräte authentifizieren sich über EAP-TLS über den Cloud-RADIUS von Purple, der Zertifikate validiert und gruppenbasierte Richtlinien von Entra ID, Okta oder Google Workspace anwendet.

Wie MDM die On-Premises-CA ersetzt

In einer traditionellen 802.1X-Bereitstellung wurden Zertifikate von einer lokalen Zertifizierungsstelle ausgestellt, auf der Active Directory Certificate Services (AD CS) ausgeführt wurde. In einer Cloud-First-Bereitstellung übernimmt das MDM diese Rolle mithilfe von SCEP (Simple Certificate Enrollment Protocol). Microsoft Intune, Jamf Pro und andere MDM-Plattformen können Zertifikate von einer in der Cloud gehosteten CA anfordern und diese geräuschlos auf verwaltete Geräte übertragen.

Der Ablauf ist wie folgt: Der IT-Administrator erstellt im MDM ein SCEP-Zertifikatsprofil, das auf die Gerätegruppen ausgerichtet ist, die WiFi-Zugriff benötigen. Das MDM überträgt das Zertifikat automatisch auf Windows-, macOS-, iOS-, iPadOS-, Android Enterprise- und ChromeOS-Geräte. Der Benutzer bemerkt davon nichts. Das Zertifikat ist an die Geräteidentität im MDM gebunden und verlängert sich vor dem Ablauf automatisch. Wenn sich das Gerät mit dem WiFi verbindet, legt es das Zertifikat dem Cloud-RADIUS-Server vor, der es mit der CA abgleicht und die richtige Netzwerkrichtlinie anwendet.

Für Organisationen, die Microsoft Intune nutzen, bietet Microsoft Cloud PKI eine vollständig verwaltete CA, die sich direkt in Intune SCEP-Profile integrieren lässt. Dadurch entfällt die Notwendigkeit eines lokalen NDES-Servers (Network Device Enrollment Service). Für von Jamf verwaltete Mac- und iOS-Flotten erfüllt die integrierte CA von Jamf oder eine Cloud-CA eines Drittanbieters denselben Zweck.

SCIM und sofortiger Entzug des Zugriffs

Einer der betrieblich wichtigsten Aspekte von Cloud-RADIUS ist die SCIM-Bereitstellung (System for Cross-domain Identity Management). SCIM ist ein offener Standard, der Identitätsänderungen von der Single Source of Truth – Ihrem Cloud-Identitätsanbieter – in Echtzeit an abhängige Systeme überträgt. Wenn ein Mitarbeiter in Entra ID oder Okta deaktiviert wird, überträgt SCIM diese Änderung sofort an den Cloud-RADIUS-Dienst. Beim nächsten Authentifizierungsversuch des Geräts gibt der RADIUS-Server ein „Access-Reject“ zurück. Durch ein kurzes, auf dem Access Point konfiguriertes Sitzungs-Timeout wird das Gerät innerhalb weniger Minuten nach der Deaktivierung des Kontos aus dem Netzwerk entfernt.

Dies ist eine wesentliche Sicherheitsverbesserung gegenüber Netzwerken mit gemeinsam genutzten PSKs, bei denen der Zugriff nur durch Ändern des Passworts auf jedem einzelnen Gerät entzogen werden kann, sowie gegenüber veralteten RADIUS-Bereitstellungen, die auf periodischen LDAP-Synchronisierungen mit einem Zeitfenster von Stunden oder Tagen basieren.

RadSec: Sicherung des RADIUS-Verkehrs über das Internet

Klassisches RADIUS verwendet UDP und bietet nur eine grundlegende Nachrichtenauthentifizierung. Wenn sich Ihr RADIUS-Server im selben Rechenzentrum wie Ihre Access Points befindet, ist dies akzeptabel. Wenn Ihr RADIUS-Server jedoch ein Cloud-Dienst ist, durchquert der Authentifizierungsverkehr das öffentliche Internet. RadSec (RADIUS über TLS, RFC 6614) verschlüsselt den RADIUS-Austausch mittels TLS und gewährleistet so Vertraulichkeit und Integrität für den Authentifizierungsverkehr. Purple unterstützt RadSec nativ, mit IPsec-Fallback für Access Points, die RadSec noch nicht unterstützen.

Implementierungsleitfaden

Die Bereitstellung von Cloud-RADIUS mit EAP-TLS erfordert vier koordinierte Schritte. Eine Pilot-SSID kann in weniger als einer Stunde live geschaltet werden, wenn Entra ID und ein MDM bereits vorhanden sind.

Schritt 1: Cloud-RADIUS mit Ihrem Identitätsanbieter verbinden

Verbinden Sie Purple über die OAuth2-Admin-Zustimmung (für Entra ID) oder ein API-Token (für Okta und Google Workspace) mit Ihrem Identitätsanbieter. Dadurch wird Purple autorisiert, Benutzer, Gruppen und Gruppenmitgliedschaften aus dem Verzeichnis auszulesen. Konfigurieren Sie die SCIM-Bereitstellung, um Änderungen des Benutzerstatus in Echtzeit an Purple zu übertragen. Es werden keine Anmeldeinformationen für Dienstprinzipale auf der Festplatte gespeichert. Gruppenänderungen werden beim nächsten Authentifizierungsereignis übertragen, nicht nach einem Synchronisierungszeitplan.

Schritt 2: Konfigurieren Sie Ihr MDM und SCEP-Profil

Erstellen Sie in Microsoft Intune ein vertrauenswürdiges Zertifikatsprofil für das CA-Root-Zertifikat und anschließend ein SCEP-Zertifikatsprofil, das auf die von Purple verwaltete CA verweist. Weisen Sie beide Profile den Gerätegruppen zu, die WiFi-Zugriff benötigen. Konfigurieren Sie für Jamf eine SCEP-Nutzlast in einem Konfigurationsprofil. Das MDM verteilt die Zertifikate im Hintergrund. Überprüfen Sie die Zertifikatsbereitstellung im MDM-Compliance-Dashboard, bevor Sie fortfahren.

Schritt 3: Netzwerkrichtlinien im Cloud-RADIUS-Dashboard definieren

Erstellen Sie RADIUS-Richtlinien, die Identity-Provider-Gruppen bestimmten VLANs und Zugriffskontrollen zuweisen. Ordnen Sie beispielsweise die Entra ID-Gruppe „Staff-Finance“ dem VLAN 20 mit vollem Internetzugang zu und „Staff-Contractors“ dem VLAN 30 mit zeitlich begrenztem Zugriff, der automatisch abläuft. Das Dashboard von Purple wendet diese Richtlinien direkt beim Authentifizierungsprozess an, ohne dass Änderungen an der Firewall erforderlich sind.

Schritt 4: Konfiguration der Access Points aktualisieren

Aktualisieren Sie die SSID-Konfiguration auf Ihren Access Points, um WPA2-Enterprise oder WPA3-Enterprise mit 802.1X zu verwenden. Geben Sie die Hostnamen oder IP-Adressen der primären und sekundären Endpunkte des Purple Cloud-RADIUS zusammen mit dem Shared Secret ein. Konfigurieren Sie die Access Points so, dass sie eine dynamische VLAN-Zuweisung basierend auf den von Purple zurückgegebenen RADIUS-Attributen verwenden. Testen Sie dies mit einer einzelnen SSID auf einer Teilmenge von Access Points, bevor Sie das System im gesamten Unternehmen einführen.

Cloud-RADIUS vs. On-Premises-RADIUS: Ein direkter Vergleich in Bezug auf Bereitstellungszeit, Active Directory-Abhängigkeit, Hochverfügbarkeit, Betriebssystem-Patching, Identitätsintegration und Zertifikatslebenszyklus-Management.

Best Practices

Diese Empfehlungen spiegeln die IEEE 802.1X-Standards, die PCI DSS v4.0-Anforderungen und die betriebliche Erfahrung aus dem weltweiten Netzwerk von Purple mit über 80.000 Standorten wider.

EAP-TLS für verwaltete Geräte vorschreiben. Passwörter sind anfällig für Phishing und Credential Stuffing. Zertifikate bieten einen kryptografischen Nachweis der Identität und der Geräte-Compliance. EAP-TLS ist die einzige 802.1X-Methode, die von Grund auf phishing-resistent ist.

SCIM für sofortigen Widerruf nutzen. Periodische LDAP-Synchronisierungen lassen ein Zeitfenster offen, in dem ein ausgeschiedener Mitarbeiter weiterhin Netzwerkzugriff hat. SCIM stellt sicher, dass der Zugriff in dem Moment entzogen wird, in dem das Konto im Identity Provider deaktiviert wird.

Multi-Regionen-RADIUS bereitstellen. Konfigurieren Sie Ihre Access Points mit mindestens zwei RADIUS-Endpunkten in verschiedenen geografischen Regionen. Purple bietet standardmäßig ein Active-Active-Multi-Regionen-Failover, das in Sekundenschnelle abgeschlossen ist.

Datenverkehr mit dynamischen VLANs segmentieren. Nutzen Sie die Gruppenmitgliedschaften des Identity Providers, um Benutzer dynamisch bestimmten VLANs zuzuweisen. Dies isoliert sensiblen Datenverkehr und begrenzt den Schadensradius eines kompromittierten Geräts, ohne dass manuelle Firewall-Änderungen erforderlich sind.

RadSec aktivieren. Wenn Ihre Access Points RadSec unterstützen, aktivieren Sie es, um den Authentifizierungsverkehr zwischen dem Access Point und dem Cloud-RADIUS-Server zu verschlüsseln. Dies ist besonders wichtig für Filialen und Standorte, an denen sich der Access Point in einem nicht vertrauenswürdigen Netzwerksegment befindet.

Zertifikatslebenszyklus überwachen. Stellen Sie die automatische MDM-Verlängerung so ein, dass sie bei 80 % der Zertifikatslaufzeit ausgelöst wird. Bei einem einjährigen Zertifikat beginnt die Verlängerung im 10. Monat. Richten Sie Warnmeldungen für Geräte ein, bei denen die Verlängerung vor dem Ablauf des Zertifikats fehlschlägt. Für eine umfassendere Betrachtung von Enterprise-WiFi-Sicherheitsstandards und -Frameworks lesen Sie unseren Enterprise WiFi Security: A Complete Guide for 2026 .

Fehlerbehebung und Risikominderung

Der Übergang zu Cloud-RADIUS führt neue Abhängigkeiten ein. Bereiten Sie sich auf diese häufigen Fehlerszenarien vor, bevor sie die Produktion beeinträchtigen.

Zertifikatsablauf. Wenn ein Gerätezertifikat abläuft, bevor das MDM es erneuert, schlägt die Authentifizierung des Geräts geräuschlos fehl. Der Benutzer sieht eine Verbindungsfehlermeldung ohne Erklärung. Beheben Sie dies, indem Sie die automatische MDM-Erneuerung bei 80 % der Zertifikatslebensdauer konfigurieren und das MDM-Compliance-Dashboard auf Geräte mit ablaufenden Zertifikaten überwachen.

MDM-Synchronisierungsfehler. Ein Gerät, das die MDM-Compliance verliert oder sich nicht anmeldet, erhält möglicherweise kein erneuertes Zertifikat. Implementieren Sie Compliance-Richtlinien, die fehlerhafte Geräte kennzeichnen und Administratoren alarmieren, bevor das Zertifikat abläuft.

Firewall blockiert RADIUS-Traffic. Die Access Points müssen die Cloud-RADIUS-Endpunkte über den UDP-Port 1812 (Authentifizierung) und den UDP-Port 1813 (Accounting) oder den TCP-Port 2083 für RadSec erreichen können. Ausgehende Firewall-Regeln in Zweigstellen blockieren diese Ports häufig. Testen Sie die Erreichbarkeit aus dem Management-VLAN des Access Points vor der Bereitstellung.

SCIM-Bereitstellungsfehler. Wenn die SCIM-Verbindung zwischen dem Identity Provider und Purple unterbrochen wird, werden Änderungen des Benutzerstatus nicht übertragen. Überwachen Sie den SCIM-Synchronisierungsstatus sowohl im Identity Provider als auch im Purple-Dashboard. Richten Sie Benachrichtigungen für Synchronisierungsfehler ein.

Legacy-Geräte ohne Zertifikatsunterstützung. IoT-Geräte, Drucker und ältere Hardware unterstützen EAP-TLS möglicherweise nicht. Verwenden Sie für diese Geräte iPSK (Individual Pre-Shared Keys) anstelle eines gemeinsam genutzten PSK. Purple unterstützt iPSK nativ, weist jedem Gerät einen eindeutigen Schlüssel zu und platziert jedes Gerät im richtigen VLAN, ohne dass ein 802.1X-Supplicant erforderlich ist.

ROI und geschäftliche Auswirkungen

Die Migration von On-Premises-RADIUS zu Cloud-RADIUS liefert messbaren Mehrwert in den Bereichen Infrastruktur, Betrieb und Sicherheit.

IT-Teams, die das Staff WiFi von Purple nutzen, verzeichnen in der Regel einen Rückgang der WiFi-Support-Tickets um 80 % (interne Daten von Purple, 2024), was auf den Wegfall von Passwort-Resets und manueller Geräte-Onboardings zurückzuführen ist. Die zertifikatsbasierte Authentifizierung erfüllt zudem die PCI-DSS-Anforderung 8.3 für starke Authentifizierung und die ISO 27001-Kontrolle A.9.4 für die System- und Anwendungszugriffskontrolle, was den Audit-Aufwand für Ihr Sicherheitsteam erheblich reduziert.

Für Unternehmen in den Bereichen Einzelhandel und Gastgewerbe reduziert die Möglichkeit, Staff WiFi und Guest WiFi über ein einziges Cloud-Dashboard mit einer einheitlichen Identitätsebene zu verwalten, die betriebliche Komplexität an mehreren Standorten. Für Transportunternehmen und Gesundheitsdienstleister erfüllen die sofortige Widerrufsmöglichkeit und der lückenlose Audit-Trail alle regulatorischen Anforderungen ohne zusätzliche Tools.

Die WiFi Analytics -Ebene von Purple ergänzt die Authentifizierungsinfrastruktur um Belegungs- und Hybrid-Arbeitsdaten und macht Staff WiFi von einem Kostenfaktor zu einer Quelle betrieblicher Intelligenz.

Empfohlene Lektüre: Enterprise WiFi Security: A Complete Guide for 2026 – OpenWrt Custom Firmware Integration with Purple WiFi