Integrating RADIUS as a Service with Cloud Directories (Azure AD & Google Workspace)

Management-Summary

Für moderne Unternehmen, die in Cloud-Identitäts-Ökosysteme investiert haben, ist die Verknüpfung von Cloud-Verzeichnissen mit physischen drahtlosen Netzwerken ein kritisches Sicherheitserfordernis. In der Vergangenheit basierte die WiFi-Authentifizierung auf On-Premise Active Directory Domain Services und dem Windows Network Policy Server (NPS). Mit der Migration von Unternehmen zu Microsoft Entra ID und Google Workspace wird dieser On-Premise-Authentifizierungs-Stack zu einem Risiko – kostspielig in der Wartung, schwer zu skalieren und inkompatibel mit Zero-Trust-Sicherheitsmodellen.

RADIUS as a Service (RADIUSaaS) ändert die Ausgangslage. Ein in der Cloud gehosteter RADIUS-Server lässt sich direkt in Ihr Cloud-Verzeichnis integrieren, validiert Authentifizierungsanfragen in Echtzeit und sendet Zugriffsentscheidungen an Ihre Access Points zurück – ohne On-Premise-Server, ohne Patch-Zyklen und ohne Single Point of Failure. In Kombination mit der zertifikatsbasierten EAP-TLS-Authentifizierung eliminiert diese Architektur den Diebstahl von Anmeldedaten, unterstützt die Einhaltung von PCI DSS und GDPR und bietet Mitarbeitern an jedem Standort eine nahtlose Benutzererfahrung.

Dieser Leitfaden behandelt die architektonische Entscheidung zwischen On-Premise-NPS und Cloud-nativem RADIUS, die Bereitstellung von EAP-TLS über Microsoft Intune und die Google Admin-Konsole sowie die bewährten Betriebspraktiken zur Absicherung des drahtlosen Zugangs in Hotels, Einzelhandelsgeschäften, Stadien und Veranstaltungsorten des öffentlichen Sektors. Für eine umfassendere Einführung in die Netzwerkzugriffskontrolle siehe Ein Leitfaden für Ihr Netzwerkzugriffskontrollsystem .

Technische Vertiefung: Architektur und Standards

Die Rolle von RADIUS und IEEE 802.1X

Die Grundlage für sicheres WiFi in Unternehmen ist der Standard IEEE 802.1X, der eine portbasierte Netzwerkzugriffskontrolle bietet. Wenn ein Client-Gerät (der Supplicant) versucht, eine Verbindung mit einem WPA2-Enterprise- oder WPA3-Enterprise-Netzwerk herzustellen, der Wireless Access Point (der Authenticator) blockiert den gesamten Datenverkehr mit Ausnahme von EAP-Paketen (Extensible Authentication Protocol). Der AP leitet diese Pakete an einen RADIUS-Server weiter. Der RADIUS-Server validiert die Identität mit einem Verzeichnisdienst und gibt eine Access-Accept- oder Access-Reject-Meldung zurück. Erst dann gewährt der AP den Netzwerkzugriff.

Dieses Dreiparteienmodell – Supplicant, Authenticator, Authentifizierungsserver – ist der Eckpfeiler der drahtlosen Sicherheit in Unternehmen und ist in IEEE 802.1X definiert. Es hat sich seit seiner Einführung nicht grundlegend geändert. Geändert hat sich jedoch, wo der RADIUS-Server betrieben wird und wie er mit Ihrem Verzeichnis kommuniziert.

Cloud-native RADIUS-Architektur

Eine Cloud-native RADIUS-Architektur macht On-Premise-NPS- oder FreeRADIUS-Server überflüssig. Ein Cloud-RADIUS-Drittanbieter lässt sich über die Microsoft Graph API direkt in Microsoft Entra ID oder über Google Secure LDAP oder SAML/OAuth in Google Workspace integrieren. Die Authentifizierung findet vollständig in der Cloud statt. Dies steht im Einklang mit den Prinzipien des Zero-Trust-Netzwerkzugriffs und reduziert den Betriebsaufwand erheblich.

Die folgende Tabelle vergleicht die beiden primären Architekturansätze:

EAP-TLS vs. PEAP-MSCHAPv2: Die entscheidende Wahl

Die Wahl der EAP-Methode ist die folgenschwerste Sicherheitsentscheidung bei dieser Bereitstellung. PEAP-MSCHAPv2 basiert darauf, dass Benutzer ihre Domänen-Anmeldedaten eingeben. Dies ist anfällig für den Diebstahl von Anmeldedaten und Man-in-the-Middle-Angriffe. Wenn ein Client-Gerät das Zertifikat des RADIUS-Servers nicht strikt validiert – was viele standardmäßig nicht tun –, kann ein Angreifer einen gefälschten Access Point mit Ihrer SSID einrichten, den EAP-Handshake abfangen und Anmeldedaten erfassen. Dies ist ein sogenannter Evil-Twin-Angriff und ist bestens dokumentiert.

EAP-TLS (Transport Layer Security) verwendet auf dem Client-Gerät installierte digitale Zertifikate für die gegenseitige Authentifizierung. Sowohl der Client als auch der Server weisen ihre Identität kryptografisch nach. Es müssen keine Passwörter eingegeben oder gestohlen werden. In einer Microsoft-Umgebung werden Zertifikate geräuschlos über Microsoft Intune mithilfe von SCEP- (Simple Certificate Enrollment Protocol) oder PKCS-Profilen bereitgestellt. Dies ist der empfohlene Weg für alle neuen Bereitstellungen und ist für die Einhaltung von PCI DSS v4.0 (Anforderung 8.3 zur starken Authentifizierung) und den GDPR-Datenschutzverpflichtungen unerlässlich.

Google Workspace: Der architektonische Unterschied

Microsoft Entra ID und Google Workspace unterscheiden sich in einem wichtigen Punkt bei der RADIUS-Integration. Microsoft NPS lässt sich nativ in Active Directory integrieren, und Cloud-RADIUS-Anbieter verbinden sich über die Microsoft Graph API mit Entra ID. Google bietet jedoch keinen nativen RADIUS-Dienst an. Sie benötigen immer eine Zwischeninstanz.

Google Secure LDAP ist der primäre Integrationspfad. Es ist in den Editionen Cloud Identity Premium und Google Workspace Enterprise verfügbar und bietet eine herkömmliche LDAP-Schnittstelle zu Ihrem Cloud-Verzeichnis. Ihr Cloud-RADIUS-Server verbindet sich über Port 636 mit ldap.google.com unter Verwendung von Client-Zertifikaten, die Google generates für Sie. Von diesem Punkt an fragt der RADIUS-Server das Verzeichnis von Google ab, um Anmeldedaten oder Gruppenmitgliedschaften zu validieren, genau wie er ein lokales (On-Premise) Active Directory abfragen würde.

Ein alternativer Pfad nutzt eine SAML-basierte Integration, bei der sich der Cloud-RADIUS-Anbieter als SAML-Anwendung in der Google Admin Konsole registriert und zum Zeitpunkt der Authentifizierung einen OAuth-Lookup durchführt, um die Identität und die Gruppenmitgliedschaften des Benutzers in Echtzeit zu überprüfen.

Implementierungsleitfaden

Die Implementierung von RADIUSaaS mit EAP-TLS erfordert die Abstimmung von Identitäts-, Geräteverwaltungs- und Netzwerkinfrastruktur. Der folgende Fünf-Phasen-Ansatz gilt sowohl für Microsoft Entra ID- als auch für Google Workspace-Umgebungen.

Phase 1: Identitäts- und Geräteverwaltungsinfrastruktur vorbereiten

Für Microsoft Entra ID: Überprüfen Sie, ob Ihr Mandant über eine Microsoft 365 E3/E5- oder Enterprise Mobility + Security (EMS) E3/E5-Lizenzierung verfügt. Dies umfasst Microsoft Intune und Conditional Access. Ohne Intune ist eine automatisierte Zertifikatsbereitstellung nicht möglich.

Für Google Workspace: Bestätigen Sie, dass Sie über Cloud Identity Premium oder Google Workspace Enterprise verfügen, um auf Google Secure LDAP zuzugreifen. Wenn Sie planen, EAP-TLS auf verwalteten Chromebooks zu verwenden, stellen Sie sicher, dass die Google Admin Konsole für die Verwaltung von Gerätezertifikaten konfiguriert ist.

Richten Sie Ihre Public-Key-Infrastruktur (PKI) ein. Für neue Bereitstellungen wird eine Cloud-native PKI Ihres Cloud-RADIUS-Anbieters dringend empfohlen. Alternativen sind die Microsoft Cloud-PKI (verfügbar mit der Intune Suite-Lizenzierung) oder eine bestehende lokale ADCS-Bereitstellung, die über den Microsoft Intune Certificate Connector angebunden ist.

Phase 2: Zertifikatsbereitstellung konfigurieren

Microsoft Intune-Pfad: Erstellen Sie im Intune Admin Center ein Konfigurationsprofil für ein vertrauenswürdiges Zertifikat (Trusted Certificate). Laden Sie das Root-CA-Zertifikat hoch und stellen Sie es für Ihre Zielgerätegruppen bereit. Dies stellt sicher, dass Client-Geräte dem vom RADIUS-Server während des TLS-Handshakes präsentierten Zertifikat vertrauen. Erstellen Sie als Nächstes ein SCEP-Zertifikatsprofil. Für die benutzerbasierte Authentifizierung legen Sie den Subject Name auf CN={{UserPrincipalName}} fest. Für die gerätebasierte Authentifizierung verwenden Sie CN={{DeviceName}}. Konfigurieren Sie den Subject Alternative Name so, dass er den User Principal Name oder die Geräte-ID enthält.

Google Admin Konsolen-Pfad: Navigieren Sie zu „Geräte“, dann „Netzwerke“ und schließlich „Zertifikate“. Laden Sie Ihre Root-CA hoch. Konfigurieren Sie einen Mechanismus zur Zertifikatsausstellung – entweder eine Cloud-PKI, die die SCEP-Integration mit Google Workspace unterstützt, oder den Google Cloud Certificate Connector, der Anfragen an eine lokale Microsoft-Zertifizierungsstelle weiterleitet. Stellen Sie die Root-CA und die Client-Zertifikatsprofile für die entsprechenden Organisationseinheiten bereit.

Phase 3: Cloud-RADIUS-Integration konfigurieren

Erteilen Sie Ihrem Cloud-RADIUS-Anbieter die erforderlichen API-Berechtigungen in Ihrem Verzeichnis-Mandanten. Für Entra ID erfordert dies mindestens User.Read.All und GroupMember.Read.All über die Microsoft Graph-API. Einige Anbieter benötigen auch Device.Read.All für Geräte-Compliance-Prüfungen. Für Google Workspace über Secure LDAP laden Sie das Client-Zertifikat und den Schlüssel aus der Google Admin Konsole herunter und installieren Sie diese im RADIUS-Dienst.

Definieren Sie Ihre Authentifizierungsrichtlinien im Cloud-RADIUS-Verwaltungsportal. Eine gut strukturierte Richtlinie für eine Unternehmensumgebung: „Zugriff erlauben, wenn das Zertifikat von [Trusted CA] ausgestellt wurde UND der Benutzer Mitglied der Gruppe [Corporate-WiFi-Users] ist UND das Gerät in Intune als konform (Compliant) markiert ist.“ Dies erzwingt gleichzeitig Identität, Gruppenmitgliedschaft und Gerätestatus.

Phase 4: Drahtlose Infrastruktur konfigurieren

In Ihrem Wireless-LAN-Controller oder Cloud-Management-Dashboard – Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet – fügen Sie die IP-Adressen und Shared Secrets des Cloud-RADIUS-Servers als RADIUS-Authentifizierungsserver hinzu. Konfigurieren Sie primäre und sekundäre Server für Redundanz. Stellen Sie das RADIUS-Timeout auf mindestens fünf Sekunden ein, um die Cloud-Roundtrip-Latenz auszugleichen.

Erstellen Sie eine neue SSID, die für WPA2-Enterprise oder WPA3-Enterprise konfiguriert ist. Stellen Sie bei Bereitstellungen im Bereich Hospitality (Gastgewerbe) sicher, dass sich die Unternehmens-SSID in einem separaten VLAN von jedem Guest WiFi -Netzwerk befindet. Erwägen Sie für Retail -Umgebungen (Einzelhandel), die Unternehmens-SSID nur in Back-of-House-Bereichen bereitzustellen.

Phase 5: WiFi-Profil über MDM bereitstellen

Microsoft Intune: Erstellen Sie ein WiFi-Konfigurationsprofil. Stellen Sie die SSID so ein, dass sie exakt mit Ihrer Infrastrukturkonfiguration übereinstimmt. Wählen Sie WPA2-Enterprise oder WPA3-Enterprise. Wählen Sie unter den EAP-Einstellungen EAP-TLS aus. Verknüpfen Sie das SCEP-Zertifikatsprofil als Client-Zertifikat und geben Sie das Profil der vertrauenswürdigen Root-CA an. Weisen Sie dieses WiFi-Profil denselben Gerätegruppen zu, die die Zertifikatsprofile erhalten haben. Geräte erhalten das Zertifikat und die WiFi-Konfiguration geräuschlos bei ihrer nächsten Intune-Synchronisierung.

Google Admin Konsole: Navigieren Sie zu „Geräte“, dann „Netzwerke“ und schließlich „Wi-Fi“. Erstellen Sie ein neues WiFi-Netzwerkprofil. Legen Sie die SSID fest, wählen Sie WPA3-Enterprise, wählen Sie EAP-TLS und übertragen Sie das vertrauenswürdige Root-CA-Zertifikat auf die Geräte. Wenden Sie dieses Profil auf Ihre Organisationseinheiten an. Chromebooks verbinden sich geräuschlos und sicher.

Best Practices

Schreiben Sie EAP-TLS für alle neuen Bereitstellungen vor. Stellen Sie keine neuen Netzwerke mit PEAP-MSCHAPv2 bereit. Die Sicherheitsrisiken sind gut dokumentiert und der Migrationspfad ist mit modernen MDM-Tools unkompliziert.

Erzwingen Sie eine strenge Serverzertifikatsvalidierung. Wenn Sie PEAP für Legacy-Geräte verwenden müssen, konfigurieren Sie die Geräte so, dass sie das Zertifikat des RADIUS-Servers validieren. Im Intune-WiFi-Profil und im WiFi-Profil der Google Admin Konsole gibt es ein Feld zur Angabe der vertrauenswürdigen CA für die Servervalidierung. Lassen Sie dieses Feld nicht leer. Diese einzige Konfigurationsentscheidung macht den Unterschied zwischen einer sicheren und einer anfälligen Bereitstellung aus.

Segmentieren Sie Ihr Netzwerk mit dynamischer VLAN-Zuweisung. Verwenden Sie Ihren RADIUS-Server, um die Gruppenmitgliedschaft des Benutzers in Entra ID oder Google Workspace zu überprüfen und ihn dynamisch verschiedenen VLANs zuzuweisen. Der RADIUS-Server gibt das Tunnel-Private-Group-Id-Attribut an den Access Point, wodurch der Client im richtigen VLAN platziert wird. Dies schränkt laterale Bewegungen im Falle einer Kompromittierung ein und unterstützt die Anforderungen zur PCI-DSS-Netzwerksegmentierung.

Trennen Sie die Authentifizierung von Unternehmens- und Gastgeräten. Verwenden Sie EAP-TLS für vom Unternehmen verwaltete Geräte. Nutzen Sie ein Captive Portal mit SSO für BYOD- und Gastgeräte. Der Versuch, EAP-TLS auf nicht verwalteten Geräten manuell zu konfigurieren, führt zu einem übermäßigen Support-Aufwand. Die Guest WiFi -Plattform von Purple übernimmt das Onboarding von Gästen separat und sorgt so für eine saubere Trennung zwischen dem Datenverkehr von Mitarbeitern und Besuchern.

Überwachen Sie den Zertifikatsablauf proaktiv. Richten Sie Überwachung und Alarmierung 90 Tage, 30 Tage und sieben Tage vor dem Ablauf des Zertifikats ein. Wenn das Zertifikat Ihres RADIUS-Servers abläuft, verlieren alle Geräte gleichzeitig die Verbindung. Automatisieren Sie die Erneuerung, sofern Ihre PKI dies unterstützt.

Testen Sie die RADIUS-Timeout-Einstellungen. Cloud RADIUS führt zu einer Netzwerk-Latenzzeit (Round-Trip), die bei lokalen NPS-Servern nicht auftritt. Stellen Sie das RADIUS-Timeout an Ihren Access Points auf mindestens fünf Sekunden ein. Ein Timeout von zwei Sekunden – was in Standardkonfigurationen üblich ist – führt zu sporadischen Authentifizierungsfehlern.

Fehlerbehebung und Risikominderung

Blockierte Firewall-Ports sind die Hauptursache für das Scheitern der Erstimplementierung. Die RADIUS-Authentifizierung erfordert den UDP-Port 1812 ausgehend von Ihrer Wireless-Infrastruktur zum Cloud RADIUS-Dienst. Das RADIUS-Accounting erfordert den UDP-Port 1813. Stellen Sie sicher, dass diese geöffnet sind, bevor Sie mit einer anderen Fehlerbehebung beginnen.

Fehler bei der Zertifikatsvalidierung äußern sich als Ablehnungen der Authentifizierung ohne offensichtliche Ursache. Überprüfen Sie Folgendes in dieser Reihenfolge: Ablauf des Zertifikats sowohl auf dem Client als auch auf dem RADIUS-Server; Zeitabweichung zwischen dem Client-Gerät und dem RADIUS-Server (EAP-TLS ist auf eine genaue Zeitmessung angewiesen); und ob das Root-CA-Zertifikat erfolgreich über MDM auf dem Gerät bereitgestellt wurde.

Nicht erzwungene Gruppenmitgliedschaften sind ein häufiges Problem, wenn RADIUS-Richtlinien auf Entra ID- oder Google Workspace-Gruppen verweisen. Stellen Sie sicher, dass der Cloud RADIUS-Anbieter über die korrekten API-Berechtigungen zum Lesen von Gruppenmitgliedschaften verfügt. Bestätigen Sie in Entra ID, dass der Dienstprinzipal über GroupMember.Read.All verfügt. Bestätigen Sie in Google Workspace, dass der Secure LDAP-Client die Berechtigung zum Lesen von Gruppeninformationen hat.

Eine nicht funktionierende VLAN-Zuweisung deutet in der Regel auf eine Diskrepanz zwischen den RADIUS-Attributwerten und den auf der Wireless-Infrastruktur konfigurierten VLAN-IDs hin. Bestätigen Sie, dass Tunnel-Type auf VLAN (Wert 13) eingestellt ist, Tunnel-Medium-Type auf 802 (Wert 6) eingestellt ist und Tunnel-Private-Group-Id mit der auf dem Switch oder Controller konfigurierten VLAN-ID übereinstimmt.

Fehlgeschlagenes EAP-TLS bei BYOD-Geräten deutet in der Regel darauf hin, dass das Client-Zertifikat nicht erfolgreich bereitgestellt wurde. Überprüfen Sie bei von Intune verwalteten Geräten den Zertifikatsspeicher des Geräts im Intune Admin Center. Überprüfen Sie bei von Google verwalteten Chromebooks, ob das Zertifikatsprofil der richtigen Organisationseinheit zugewiesen ist und ob das Gerät kürzlich synchronisiert wurde.

ROI und geschäftliche Auswirkungen

Der Wechsel zu Cloud RADIUS bringt messbare betriebliche Einsparungen. Lokales RADIUS erfordert mindestens zwei Server für Hochverfügbarkeit, fortlaufendes Betriebssystem-Patching, Zertifikatsmanagement und die Zeit von spezialisierten Technikern. Die Zeit, die ein einzelner Techniker im Laufe eines Jahres für die RADIUS-Wartung aufwendet, übersteigt in der Regel die jährlichen Kosten eines Cloud RADIUS-Abonnements.

Der Business Case geht über die reine Kostenreduzierung hinaus. Durch die Verknüpfung des Netzwerkzugriffs mit verifizierten Cloud-Identitäten erhalten Sie:

Sofortiges Offboarding. Das Deaktivieren eines Benutzers in Entra ID oder Google Workspace entzieht ihm sofort den Netzwerkzugriff an allen Standorten. Es gibt keine Verzögerung, keinen manuellen Prozess und kein Risiko, dass ein ehemaliger Mitarbeiter weiterhin WiFi-Zugriff behält. Dies unterstützt direkt die GDPR-Verpflichtungen in Bezug auf Datenzugriffsrechte.

Umfangreichere Analysen. Plattformen wie die WiFi Analytics von Purple bieten detailliertere Daten zur Flächennutzung und zu Besucherwegen, wenn der Netzwerkzugriff an authentifizierte Identitäten gekoppelt ist. Sie wechseln von anonymen MAC-Adressen zu namentlich bekannten, authentifizierten Benutzern, was die Qualität der Erkenntnisse für Betriebs- und Marketingteams grundlegend verbessert.

Nachweis der Compliance. Die EAP-TLS-Authentifizierung generiert detaillierte Zugriffsprotokolle – wer sich von welchem Gerät, an welchem Ort und zu welcher Zeit verbunden hat. Dieser Audit-Trail unterstützt die PCI-DSS-Anforderung 10 (Protokollierung und Überwachung) und die GDPR-Rechenschaftspflichten.

Konsistenz über mehrere Standorte hinweg. Ein einziger Cloud RADIUS-Dienst authentifiziert alle Ihre Standorte mit konsistenten Richtlinien, die über ein einziges Dashboard verwaltet werden. Das Hinzufügen eines neuen Hotels, Geschäfts oder Veranstaltungsorts bedeutet lediglich, dessen Access Points zur RADIUS-Konfiguration hinzuzufügen – und nicht den Versand und die Konfiguration eines weiteren Servers. Für Unternehmen, die große Immobilienbestände verwalten, ist dies ein erheblicher betrieblicher Vorteil.

Für Betreiber im Bereich Transport und Einrichtungen im Gesundheitswesen -Sektor, bei denen die Netzwerkverfügbarkeit betriebskritisch ist, Cloud RADIUS-Anbieter in der Regel SLAs mit 99,999 % Verfügbarkeit und integriertem Multi-Regionen-Failover. Purple arbeitet mit einer Verfügbarkeit von 99,999 % an über 80.000 Live-Standorten, wobei im Jahr 2024 440 Millionen Logins verarbeitet wurden (interne Daten von Purple, 2024).

Weitere Informationen zu verwandten Themen finden Sie unter WAN Computer Definition: A Practical Guide for 2026 und World WiFi Day 2026: How Your Venue Can Help Bridge the Digital Divide .