Integrating RADIUS as a Service mit Cloud-Verzeichnissen (Azure AD & Google Workspace)

Management-Zusammenfassung

Für moderne Unternehmen, die in Cloud-Identity-Ökosysteme investieren, ist die Verknüpfung von Cloud-Verzeichnissen mit physischen drahtlosen Netzwerken eine kritische Sicherheitsanforderung. In der Vergangenheit basierte die WiFi-Authentifizierung auf lokalen Active Directory Domain Services und dem Windows Network Policy Server (NPS). Mit der Migration von Unternehmen zu Microsoft Entra ID und Google Workspace wird dieser lokale Authentifizierungs-Stack zu einem Risiko – teuer im Unterhalt, schwer skalierbar und inkompatibel mit Zero-Trust-Sicherheitsmodellen.

RADIUS as a Service (RADIUSaaS) verändert diese Ausgangslage. Ein in der Cloud gehosteter RADIUS-Server lässt sich direkt in Ihr Cloud-Verzeichnis integrieren, validiert Authentifizierungsanfragen in Echtzeit und sendet Zugriffsentscheidungen an Ihre Access Points zurück – ganz ohne lokale Server, Patch-Zyklen und Single Points of Failure. In Kombination mit zertifikatsbasierter EAP-TLS-Authentifizierung eliminiert diese Architektur den Diebstahl von Anmeldedaten, unterstützt die Einhaltung von PCI DSS und GDPR und bietet Mitarbeitern an jedem Standort eine nahtlose Benutzererfahrung.

Dieser Leitfaden behandelt die architektonische Entscheidung zwischen lokalem NPS und Cloud-nativem RADIUS, die Bereitstellung von EAP-TLS über Microsoft Intune und die Google Admin-Konsole sowie die bewährten Betriebspraktiken zur Absicherung des drahtlosen Zugangs in Hotels, Einzelhandelsflächen, Stadien und Standorten des öffentlichen Sektors. Für eine allgemeinere Einführung in die Netzwerkzugriffskontrolle lesen Sie bitte unseren Leitfaden für Ihr Network Access Control System .

Technische Detailanalyse: Architektur und Standards

Die Rolle von RADIUS und IEEE 802.1X

Das Fundament für sicheres Enterprise-WiFi ist der Standard IEEE 802.1X, der eine portbasierte Netzwerkzugriffskontrolle bietet. Wenn ein Client-Gerät (der Supplicant) versucht, sich mit einem WPA2-Enterprise- oder WPA3-Enterprise-Netzwerk zu verbinden, blockiert der Wireless Access Point (der Authenticator) den gesamten Datenverkehr mit Ausnahme von EAP-Paketen (Extensible Authentication Protocol). Der AP leitet diese Pakete an einen RADIUS-Server weiter. Der RADIUS-Server validiert die Identität anhand eines Verzeichnisdienstes und gibt eine Access-Accept- oder Access-Reject-Nachricht zurück. Erst dann gewährt der AP den Netzwerkzugriff.

Dieses Dreiparteienmodell – Supplicant, Authenticator, Authentifizierungsserver – ist der Eckpfeiler der Netzwerksicherheit in Unternehmen und im Standard IEEE 802.1X definiert. Es hat sich seit seiner Einführung im Wesentlichen nicht verändert. Was sich geändert hat, ist der Ort, an dem der RADIUS-Server betrieben wird, und die Art und Weise, wie er mit Ihrem Verzeichnis kommuniziert.

Cloud-native RADIUS-Architektur

Eine Cloud-native RADIUS-Architektur macht lokale NPS- oder FreeRADIUS-Server überflüssig. Ein Cloud-RADIUS-Drittanbieter integriert sich direkt über die Microsoft Graph API in Microsoft Entra ID oder über Google Secure LDAP oder SAML/OAuth in Google Workspace. Die Authentifizierung erfolgt vollständig in der Cloud. Dies entspricht den Prinzipien des Zero-Trust-Netzwerkzugriffs und reduziert den Betriebsaufwand erheblich.

Die folgende Tabelle vergleicht die beiden primären Architekturansätze:

EAP-TLS vs. PEAP-MSCHAPv2: die entscheidende Wahl

Die Wahl der EAP-Methode ist die folgenreichste Sicherheitsentscheidung bei dieser Bereitstellung. PEAP-MSCHAPv2 basiert darauf, dass Benutzer ihre Domänen-Anmeldedaten eingeben. Dies ist anfällig für Diebstahl von Anmeldedaten und Man-in-the-Middle-Angriffe. Wenn ein Client-Gerät das RADIUS-Serverzertifikat nicht streng validiert – und viele tun dies standardmäßig nicht –, kann ein Angreifer einen betrügerischen Access Point mit Ihrer SSID einrichten, den EAP-Handshake abfangen und Anmeldedaten erfassen. Dies ist ein Evil-Twin-Angriff, und er ist bestens dokumentiert.

EAP-TLS (Transport Layer Security) verwendet auf dem Client-Gerät installierte digitale Zertifikate zur gegenseitigen Authentifizierung. Sowohl der Client als auch der Server weisen ihre Identität kryptografisch nach. Es müssen keine Passwörter eingegeben oder gestohlen werden. In einer Microsoft-Umgebung werden Zertifikate geräuschlos über Microsoft Intune mithilfe von SCEP- (Simple Certificate Enrollment Protocol) oder PKCS-Profilen bereitgestellt. Dies ist der empfohlene Weg für alle neuen Bereitstellungen und unerlässlich für die Einhaltung von PCI DSS v4.0 (Anforderung 8.3 für starke Authentifizierung) und GDPR-Datenschutzverpflichtungen.

Google Workspace: der architektonische Unterschied

Microsoft Entra ID und Google Workspace unterscheiden sich in einem wichtigen Punkt bei der RADIUS-Integration. Microsoft NPS lässt sich nativ in Active Directory integrieren, und Cloud-RADIUS-Anbieter verbinden sich über die Microsoft Graph API mit Entra ID. Google bietet jedoch keinen nativen RADIUS-Dienst an. Sie benötigen immer ein Zwischenglied.

Google Secure LDAP ist der primäre Integrationspfad. Er ist in den Editionen Cloud Identity Premium und Google Workspace Enterprise verfügbar und bietet eine traditionelle LDAP-Schnittstelle für Ihr Cloud-Verzeichnis. Ihr Cloud-RADIUS-Server verbindet sich über den Port 636 unter Verwendung von Client-Zertifikaten, die Google für Sie generiert, mit ldap.google.com. Von diesem Punkt an fragt der RADIUS-Server das Verzeichnis von Google ab, um Anmeldedaten oder Gruppenmitgliedschaften zu validieren, genau wie er es bei einem lokalen Active Directory tun würde.

Ein alternativer Pfad nutzt eine SAML-basierte Integration, bei der sich der Cloud-RADIUS-Anbieter als SAML-Anwendung in der Google Admin-Konsole registriert und zum Authentifizierungszeitpunkt ein OAuth-Lookup durchführt, um die Identität und die Gruppenmitgliedschaften des Benutzers in Echtzeit zu überprüfen.

Implementierungsleitfaden

Die Implementierung von RADIUSaaS mit EAP-TLS erfordert die Abstimmung von Identitäts-, Geräteverwaltungs- und Netzwerkinfrastruktur. Der folgende Fünf-Phasen-Ansatz gilt sowohl für Microsoft Entra ID- als auch für Google Workspace-Umgebungen.

Phase 1: Identitäts- und Geräteverwaltungsinfrastruktur vorbereiten

Für Microsoft Entra ID: Überprüfen Sie, ob Ihr Mandant über eine Lizenzierung für Microsoft 365 E3/E5 oder Enterprise Mobility + Security (EMS) E3/E5 verfügt. Dies umfasst Microsoft Intune und Conditional Access. Ohne Intune ist eine automatisierte Zertifikatsbereitstellung nicht möglich.

Für Google Workspace: Bestätigen Sie, dass Sie über Cloud Identity Premium oder Google Workspace Enterprise verfügen, um auf Google Secure LDAP zuzugreifen. Wenn Sie planen, EAP-TLS auf verwalteten Chromebooks zu verwenden, stellen Sie sicher, dass die Google Admin-Konsole so konfiguriert ist, dass sie Gerätezertifikate verwaltet.

Bauen Sie Ihre Public-Key-Infrastruktur (PKI) auf. Für Neubereitstellungen wird eine cloudnative PKI, die von Ihrem Cloud-RADIUS-Anbieter bereitgestellt wird, dringend empfohlen. Alternativen sind Microsoft Cloud PKI (verfügbar mit Intune Suite-Lizenzierung) oder eine bestehende lokale ADCS-Bereitstellung, die über den Microsoft Intune Certificate Connector angebunden ist.

Phase 2: Zertifikatsbereitstellung konfigurieren

Microsoft Intune-Pfad: Erstellen Sie im Intune Admin Center ein Konfigurationsprofil für Vertrauenswürdige Zertifikate. Laden Sie das Root-CA-Zertifikat hoch und stellen Sie es für Ihre Zielgerätegruppen bereit. Dies stellt sicher, dass Client-Geräte dem vom RADIUS-Server während des TLS-Handshakes präsentierten Zertifikat vertrauen. Erstellen Sie als Nächstes ein SCEP-Zertifikat-Profil. Legen Sie für die benutzerbasierte Authentifizierung den Subject Name auf CN={{UserPrincipalName}} fest. Verwenden Sie für die gerätebasierte Authentifizierung CN={{DeviceName}}. Konfigurieren Sie den Subject Alternative Name so, dass er den User Principal Name oder die Geräte-ID enthält.

Google Admin-Konsole-Pfad: Navigieren Sie zu „Geräte“, dann „Netzwerke“ und schließlich „Zertifikate“. Laden Sie Ihre Root-CA hoch. Konfigurieren Sie einen Mechanismus zur Zertifikatsausstellung – entweder eine Cloud-PKI, die die SCEP-Integration mit Google Workspace unterstützt, oder den Google Cloud Certificate Connector, der Anfragen an eine lokale Microsoft-Zertifizierungsstelle weiterleitet. Stellen Sie die Root-CA- und Client-Zertifikatsprofile für die entsprechenden Organisationseinheiten bereit.

Phase 3: Cloud-RADIUS-Integration konfigurieren

Erteilen Sie Ihrem Cloud-RADIUS-Anbieter die erforderlichen API-Berechtigungen in Ihrem Directory-Mandanten. Für Entra ID erfordert dies mindestens User.Read.All und GroupMember.Read.All über die Microsoft Graph API. Einige Anbieter benötigen zudem Device.Read.All für Geräte-Compliance-Prüfungen. Für Google Workspace über Secure LDAP laden Sie das Client-Zertifikat und den Schlüssel aus der Google Admin-Konsole herunter und installieren Sie diese im RADIUS-Dienst.

Definieren Sie Ihre Authentifizierungsrichtlinien im Cloud-RADIUS-Verwaltungsportal. Eine gut strukturierte Richtlinie für eine Unternehmensumgebung: „Zugriff gewähren, wenn das Zertifikat von [Trusted CA] ausgestellt wurde UND der Benutzer Mitglied der Gruppe [Corporate-WiFi-Users] ist UND das Gerät in Intune als konform markiert ist.“ Dies erzwingt Identität, Gruppenmitgliedschaft und Gerätestatus gleichzeitig.

Phase 4: Drahtlose Infrastruktur konfigurieren

Fügen Sie in Ihrem Wireless-LAN-Controller oder Cloud-Management-Dashboard – Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet – die IP-Adressen und Shared Secrets des Cloud-RADIUS-Servers als RADIUS-Authentifizierungsserver hinzu. Konfigurieren Sie Primär- und Sekundärserver für Redundanz. Stellen Sie das RADIUS-Timeout auf mindestens fünf Sekunden ein, um die Cloud-Laufzeitlatenz auszugleichen.

Erstellen Sie eine neue SSID, die für WPA2-Enterprise oder WPA3-Enterprise konfiguriert ist. Stellen Sie bei Bereitstellungen im Bereich Hospitality sicher, dass sich die Unternehmens-SSID in einem separaten VLAN von jedem Guest WiFi -Netzwerk befindet. Für Retail -Umgebungen sollten Sie in Betracht ziehen, die Unternehmens-SSID nur in den Back-of-House-Bereichen bereitzustellen.

Phase 5: WiFi-Profil über MDM bereitstellen

Microsoft Intune: Erstellen Sie ein WiFi-Konfigurationsprofil. Stellen Sie sicher, dass die SSID exakt mit Ihrer Infrastrukturkonfiguration übereinstimmt. Wählen Sie WPA2-Enterprise oder WPA3-Enterprise. Wählen Sie unter den EAP-Einstellungen EAP-TLS aus. Verknüpfen Sie das SCEP-Zertifikatsprofil als Client-Zertifikat und geben Sie das vertrauenswürdige Root-CA-Profil an. Weisen Sie dieses WiFi-Profil denselben Gerätegruppen zu, die die Zertifikatsprofile erhalten haben. Geräte empfangen das Zertifikat und die WiFi-Konfiguration bei ihrer nächsten Intune-Synchronisierung im Hintergrund.

Google Admin-Konsole: Navigieren Sie zu „Geräte“, dann „Netzwerke“ und schließlich „WLAN“. Erstellen Sie ein neues WiFi-Netzwerkprofil. Legen Sie die SSID fest, wählen Sie WPA3-Enterprise, wählen Sie EAP-TLS und übertragen Sie das vertrauenswürdige Root-CA-Zertifikat auf die Geräte. Wenden Sie dieses Profil auf Ihre Organisationseinheiten an. Chromebooks verbinden sich geräuschlos und sicher.

Best Practices

Schreiben Sie EAP-TLS für alle neuen Bereitstellungen vor. Stellen Sie keine neuen Netzwerke mit PEAP-MSCHAPv2 bereit. Die Sicherheitsrisiken sind hinreichend dokumentiert und der Migrationspfad ist mit modernen MDM-Tools unkompliziert.Erzwingen Sie eine strenge Überprüfung von Serverzertifikaten. Wenn Sie PEAP für Legacy-Geräte verwenden müssen, konfigurieren Sie die Geräte so, dass sie das Zertifikat des RADIUS-Servers validieren. Im Intune-WiFi-Profil und im Google Admin Console-WiFi-Profil gibt es ein Feld zur Angabe der vertrauenswürdigen CA für die Servervalidierung. Lassen Sie dieses Feld nicht leer. Diese einzige Konfigurationsentscheidung macht den Unterschied zwischen einer sicheren und einer anfälligen Bereitstellung aus.

Segmentieren Sie Ihr Netzwerk mit dynamischer VLAN-Zuweisung. Verwenden Sie Ihren RADIUS-Server, um die Gruppenmitgliedschaft des Benutzers in Entra ID oder Google Workspace zu prüfen und ihn dynamisch verschiedenen VLANs zuzuweisen. Der RADIUS-Server gibt das Attribut Tunnel-Private-Group-Id an den Access Point zurück, der den Client im richtigen VLAN platziert. Dies schränkt die laterale Bewegung im Falle einer Kompromittierung ein und unterstützt die Netzwerksegmentierungsanforderungen nach PCI DSS.

Trennen Sie die Authentifizierung für Unternehmens- und Gastnetzwerke. Verwenden Sie EAP-TLS für vom Unternehmen verwaltete Geräte. Nutzen Sie ein Captive Portal mit SSO für BYOD- und Gastgeräte. Der Versuch, EAP-TLS manuell auf unverwalteten Geräten zu konfigurieren, verursacht einen enormen Support-Aufwand. Die Guest WiFi -Plattform von Purple übernimmt das Onboarding von Gästen separat und sorgt so für eine saubere Trennung zwischen dem Datenverkehr von Mitarbeitern und Besuchern.

Überwachen Sie den Ablauf von Zertifikaten proaktiv. Richten Sie Überwachungen und Warnmeldungen 90 Tage, 30 Tage und sieben Tage vor dem Ablauf von Zertifikaten ein. Wenn das Zertifikat Ihres RADIUS-Servers abläuft, verlieren alle Geräte gleichzeitig die Verbindung. Automatisieren Sie die Verlängerung, sofern Ihre PKI dies unterstützt.

Testen Sie die RADIUS-Timeout-Einstellungen. Cloud RADIUS führt zu einer Netzwerklatenz durch Roundtrips, die bei lokalem NPS nicht auftritt. Stellen Sie das RADIUS-Timeout an Ihren Access Points auf mindestens fünf Sekunden ein. Ein Timeout von zwei Sekunden – in Standardkonfigurationen häufig anzutreffen – führt zu sporadischen Authentifizierungsfehlern.

Fehlerbehebung und Risikominderung

Blockierte Firewall-Ports sind die häufigste Ursache für das Fehlschlagen der ersten Bereitstellung. Die RADIUS-Authentifizierung erfordert den UDP-Port 1812 ausgehend von Ihrer Wireless-Infrastruktur zum Cloud RADIUS-Dienst. RADIUS Accounting erfordert den UDP-Port 1813. Stellen Sie sicher, dass diese geöffnet sind, bevor Sie mit einer anderen Fehlerbehebung beginnen.

Fehler bei der Zertifikatsüberprüfung äußern sich als Ablehnungen der Authentifizierung ohne offensichtliche Ursache. Überprüfen Sie Folgendes der Reihe nach: Ablaufdatum des Zertifikats sowohl auf dem Client als auch auf dem RADIUS-Server; Zeitabweichung zwischen dem Client-Gerät und dem RADIUS-Server (EAP-TLS basiert auf einer genauen Uhrzeit); und ob das Root-CA-Zertifikat erfolgreich über das MDM auf dem Gerät bereitgestellt wurde.

Nicht erzwungene Gruppenmitgliedschaften sind ein häufiges Problem, wenn RADIUS-Richtlinien auf Entra ID- oder Google Workspace-Gruppen verweisen. Stellen Sie sicher, dass der Cloud RADIUS-Anbieter über die korrekten API-Berechtigungen zum Lesen von Gruppenmitgliedschaften verfügt. Bestätigen Sie in Entra ID, dass der Dienstprinzipal über GroupMember.Read.All verfügt. Bestätigen Sie in Google Workspace, dass der Secure LDAP-Client die Berechtigung zum Lesen von Gruppeninformationen besitzt. VLAN-Zuweisung funktioniert nicht weist in der Regel auf eine Abweichung zwischen den RADIUS-Attributwerten und den auf der Wireless-Infrastruktur konfigurierten VLAN-IDs hin. Stellen Sie sicher, dass Tunnel-Type auf VLAN (Wert 13), Tunnel-Medium-Type auf 802 (Wert 6) und Tunnel-Private-Group-Id auf die auf dem Switch oder Controller konfigurierte VLAN-ID eingestellt ist.

EAP-TLS-Fehler bei BYOD-Geräten deuten meist darauf hin, dass das Client-Zertifikat nicht erfolgreich bereitgestellt wurde. Prüfen Sie bei Intune-verwalteten Geräten den Zertifikatsspeicher des Geräts im Intune Admin Center. Überprüfen Sie bei Google-verwalteten Chromebooks, ob das Zertifikatsprofil der korrekten Organisationseinheit zugewiesen ist und das Gerät vor Kurzem synchronisiert wurde.

ROI und geschäftlicher Nutzen

Der Wechsel zu Cloud RADIUS liefert messbare betriebliche Einsparungen. On-Premise-RADIUS erfordert mindestens zwei Server für Hochverfügbarkeit, laufende Betriebssystem-Patches, Zertifikatsmanagement und die Arbeitszeit spezialisierter Techniker. Die Zeit, die ein einzelner Techniker im Laufe eines Jahres für die RADIUS-Wartung aufwendet, übersteigt in der Regel die jährlichen Kosten eines Cloud RADIUS-Abonnements.

Der Business Case geht über die reine Kostenreduzierung hinaus. Durch die Verknüpfung des Netzwerkzugriffs mit verifizierten Cloud-Identitäten profitieren Sie von:

Sofortigem Offboarding. Das Deaktivieren eines Benutzers in Entra ID oder Google Workspace entzieht sofort dessen Netzwerkzugriff an allen Standorten. Es gibt keine Verzögerung, keinen manuellen Prozess und kein Risiko, dass ein ehemaliger Mitarbeiter den WiFi-Zugang behält. Dies unterstützt direkt die DSGVO-Verpflichtungen (GDPR) in Bezug auf Datenzugriffsrechte.

Aussagekräftigeren Analysen. Plattformen wie das WiFi Analytics von Purple liefern detailliertere Daten zur Flächennutzung und zu Besucherwegen, wenn der Netzwerkzugriff an authentifizierte Identitäten gekoppelt ist. Sie wechseln von anonymen MAC-Adressen zu namentlich bekannten, authentifizierten Benutzern, was die Qualität der Erkenntnisse für Betriebs- und Marketingteams grundlegend verbessert.

Nachweis der Compliance. Die EAP-TLS-Authentifizierung generiert detaillierte Zugriffsprotokolle – wer sich mit welchem Gerät, an welchem Ort und zu welcher Zeit verbunden hat. Dieser Audit-Trail unterstützt die PCI-DSS-Anforderung 10 (Protokollierung und Überwachung) sowie die Rechenschaftspflichten der GDPR.

Konsistenz an mehreren Standorten. Ein einziger Cloud RADIUS-Dienst authentifiziert alle Ihre Standorte mit konsistenten Richtlinien, verwaltet über ein einziges Dashboard. Das Hinzufügen eines neuen Hotels, Geschäfts oder Veranstaltungsorts bedeutet lediglich das Hinzufügen seiner Access Points zur RADIUS-Konfiguration – und nicht die Bereitstellung und Konfiguration eines weiteren Servers. Für Unternehmen, die große Liegenschaften verwalten, ist dies ein erheblicher betrieblicher Vorteil.

Für Betreiber im Bereich Transport und Einrichtungen im Healthcare -Sektor, bei denen die Netzwerkverfügbarkeit betriebskritisch ist, bieten Cloud RADIUS-Anbieter in der Regel SLAs mit 99,999 % Verfügbarkeit und integriertem Multi-Regionen-Failover. Purple arbeitet mit einer Verfügbarkeit von 99,999 % an über 80.000 aktiven Standorten und verzeichnete 2024 440 Millionen verarbeitete Logins (interne Daten von Purple, 2024).

Für weitere Informationen zu verwandten Themen siehe WAN Computer Definition: A Practical Guide for 2026 und World WiFi Day 2026: How Your Venue Can Help Bridge the Digital Divide .