Integrating RADIUS as a Service mit Cloud-Verzeichnissen (Azure AD & Google Workspace)

Dieser technische Leitfaden beschreibt detailliert, wie Sie RADIUS as a Service in Cloud-Verzeichnisse – Microsoft Entra ID und Google Workspace – für die WiFi-Authentifizierung in Unternehmen integrieren. Er behandelt den architektonischen Wechsel von On-Premise-NPS zu Cloud-nativem RADIUS, die Bereitstellung von zertifikatsbasierter EAP-TLS-Authentifizierung sowie die bewährten Betriebsmethoden zur Absicherung des drahtlosen Netzzugangs in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor. Für IT-Manager und Netzwerkarchitekten, die bereits in Cloud-Identitäten investiert haben, schließt dieser Leitfaden die Lücke zwischen Verzeichnisverwaltung und physischer Netzwerksicherheit.

📖 10 Min. Lesezeit📝 2,373 Wörter🔧 2 ausgearbeitete Beispiele❓ 4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zum Purple Technical Briefing. Heute behandeln wir ein Thema an der Schnittstelle von Cloud-Identitätsmanagement und physischer Netzwerksicherheit: die Integration von RADIUS as a Service in Cloud-Verzeichnisse, speziell Microsoft Entra ID und Google Workspace.

Wenn Sie Enterprise-WiFi in einem Hotel, einer Einzelhandelsfläche, einem Stadion oder einer öffentlichen Einrichtung verwalten, ist dieses Briefing für Ihre nächste Infrastrukturentscheidung von direkter Relevanz.

Beginnen wir mit dem Kontext. In den letzten zwei Jahrzehnten basierte die WiFi-Authentifizierung in Unternehmensumgebungen auf einem ziemlich vorhersehbaren Stack. Sie hatten ein lokales Active Directory, den Windows-Netzwerkrichtlinienserver (NPS) als RADIUS-Server und WPA2-Enterprise auf den Access Points. Das hat funktioniert. Aber es erforderte lokale Server, manuelle Zertifikatsverwaltung und ein Team mit Spezialwissen, um den Betrieb aufrechtzuerhalten.

Das Problem ist, dass die meisten Unternehmen heute nicht mehr „on-premise-first“ agieren. Sie sind „cloud-first“. Microsoft Entra ID und Google Workspace sind heute für Millionen von Unternehmen die führenden Verzeichnisse. Und genau hier liegt die Lücke: Ihre Wireless Access Points sprechen immer noch RADIUS. Sie verstehen kein SAML. Sie verstehen kein OAuth. Sie sprechen RADIUS und das wird auch so bleiben.

Die Frage lautet also: Wie schlagen Sie die Brücke von Ihrer Cloud-Identitätsplattform zu Ihrer physischen Netzwerkinfrastruktur, ohne wieder einen lokalen Server ins Spiel zu bringen?

Die Antwort lautet RADIUS as a Service. Ein in der Cloud gehosteter RADIUS-Server, der sich direkt in Ihr Cloud-Verzeichnis integriert, Authentifizierungsanfragen in Echtzeit validiert und eine Zugriffsentscheidung an Ihren Access Point zurückgibt. Keine lokalen Server. Kein Patching. Keine Notfälle bei der Zertifikatsverlängerung um 2 Uhr morgens.

Die Grundlage bildet IEEE 802.1X. Wenn ein Gerät versucht, sich mit einem WPA2-Enterprise- oder WPA3-Enterprise-Netzwerk zu verbinden, fungiert der Access Point als Authentifikator. Er fängt den Verbindungsversuch ab und leitet EAP-Pakete an den RADIUS-Server weiter. Der RADIUS-Server validiert die Identität und gibt entweder ein Access-Accept oder ein Access-Reject zurück. Erst dann gewährt der Access Point den Netzwerkzugriff.

Die folgenreichste technische Entscheidung bei dieser gesamten Bereitstellung ist die Wahl Ihrer EAP-Methode.

PEAP-MSCHAPv2 ist der alte Weg. Es verwendet Benutzernamen und Passwörter. Das klingt sicher. Ist es aber nicht. Wenn ein Gerät das RADIUS-Serverzertifikat nicht streng validiert, kann ein Angreifer einen betrügerischen Access Point mit Ihrer SSID einrichten, den Handshake abfangen und die Zugangsdaten erfassen. Dies wird als Evil-Twin-Angriff bezeichnet und findet tagtäglich statt.

EAP-TLS ist die richtige Antwort. Es verwendet digitale Zertifikate sowohl auf dem Server als auch auf dem Client-Gerät für eine gegenseitige Authentifizierung. Es sind keine Passwörter im Spiel. Das Gerät präsentiert sein Zertifikat. Der RADIUS-Server validiert es in Echtzeit mit Ihrem Cloud-Verzeichnis. Kein Diebstahl von Zugangsdaten möglich. Kein Phishing-Vektor. Keine Helpdesk-Tickets, wenn jemand sein Passwort ändert.

Gehen wir nun eine Bereitstellung mit Microsoft Entra ID durch.

Schritt eins: Lizenzierung und PKI. Sie benötigen Microsoft 365 E3 oder E5, um auf Intune und Conditional Access zuzugreifen. Richten Sie eine Cloud-PKI ein, indem Sie die Managed PKI Ihres Cloud-RADIUS-Anbieters oder die Microsoft-eigene Cloud-PKI verwenden.

Schritt zwei: Zertifikatsbereitstellung über Intune. Erstellen Sie ein vertrauenswürdiges Zertifikatsprofil mit Ihrer Root CA und weisen Sie es Gerätegruppen zu. Erstellen Sie anschließend ein SCEP-Zertifikatsprofil. Bei der benutzerbasierten Authentifizierung verwendet der Antragstellername den User Principal Name.

Schritt drei: Konfiguration von Cloud-RADIUS. Erteilen Sie dem RADIUS-Dienst die Microsoft Graph API-Berechtigungen: User.Read.All und GroupMember.Read.All. Definieren Sie Ihre Authentifizierungsrichtlinien: Erlauben Sie den Zugriff, wenn das Zertifikat von unserer vertrauenswürdigen CA ausgestellt wurde, der Benutzer Mitglied der Gruppe Corporate-WiFi-Users in Entra ID ist und das Gerät in Intune als konform markiert ist.

Schritt vier: Wireless-Infrastruktur. Fügen Sie in Ihrem Controller – sei es Cisco Meraki, HPE Aruba, Ruckus oder Juniper Mist – die Cloud-RADIUS-IP-Adressen und Shared Secrets hinzu. Stellen Sie das RADIUS-Timeout auf mindestens fünf Sekunden ein. Erstellen Sie Ihre WPA3-Enterprise SSID.

Schritt fünf: Bereitstellung des WiFi-Profils. Erstellen Sie ein WiFi-Konfigurationsprofil in Intune. Legen Sie die SSID fest, wählen Sie WPA3-Enterprise, wählen Sie EAP-TLS und verknüpfen Sie das SCEP-Zertifikatsprofil. Geräte erhalten das Zertifikat und das WiFi-Profil bei der nächsten Synchronisierung geräuschlos im Hintergrund. Sie verbinden sich automatisch. Es ist keine Interaktion des Benutzers erforderlich.

Sehen wir uns nun den Google Workspace-Pfad an, da sich dieser architektonisch in einem wichtigen Punkt unterscheidet.

Google bietet keinen nativen RADIUS-Dienst an. Es gibt kein Google-Äquivalent zum Windows NPS. Sie benötigen also immer einen Vermittler: einen Cloud-RADIUS-Anbieter, der sich über Google Secure LDAP oder über eine SAML- und OAuth-Integration mit Google Workspace verbindet.

Google Secure LDAP ist in den Editionen Cloud Identity Premium und Google Workspace Enterprise verfügbar. Es bietet eine traditionelle LDAP-Schnittstelle für Ihr Cloud-Verzeichnis. Ihr Cloud-RADIUS-Server verbindet sich mit ldap.google.com auf Port 636 unter Verwendung von Client-Zertifikaten, die Google für Sie generiert. Von diesem Punkt an kann der RADIUS-Server das Google-Verzeichnis abfragen, um Anmeldedaten oder Gruppenmitgliedschaften zu validieren.

Bei verwalteten Chromebooks erfolgt die Bereitstellung über die Google Admin-Konsole. Sie konfigurieren eine Cloud-PKI zur Ausstellung von Zertifikaten, übertragen die Root-CA und die Client-Zertifikate auf die Chromebooks und stellen ein WiFi-Profil bereit, das EAP-TLS spezifiziert. Die Chromebooks verbinden sich geräuschlos im Hintergrund. Für BYOD-Geräte und den Gastzugang nutzen Sie ein Captive Portal, das an das Google Single Sign-On gekoppelt ist. Das ist die richtige Trennung: EAP-TLS für verwaltete Geräte, Captive Portal für alles andere.

Lassen Sie uns über Stolpersteine sprechen, denn hier scheitern Bereitstellungen am häufigsten.

Der erste und häufigste Fehler sind blockierte Firewall-Ports. Die RADIUS-Authentifizierung verwendet den UDP-Port 1812. Das RADIUS-Accounting verwendet den UDP-Port 1813. Wenn diese Ports ausgehend von Ihrer Wireless-Infrastruktur zum Cloud-RADIUS-Dienst nicht geöffnet sind, funktioniert nichts. Überprüfen Sie dies immer zuerst.Der zweite Fallstrick ist der Ablauf von Zertifikaten. Wenn das Zertifikat Ihres RADIUS-Servers abläuft, verliert jedes Gerät im Netzwerk gleichzeitig die Verbindung. Richten Sie Überwachungsalarme 90 Tage, 30 Tage und 7 Tage vor Ablauf ein. Automatisieren Sie die Verlängerung, wo immer dies möglich ist.

Der dritte ist der Zeitversatz (Clock Skew). EAP-TLS verlässt sich für die Zertifikatsprüfung auf eine genaue Zeitmessung. Wenn die Systemzeit eines Geräts erheblich asynchron ist, schlägt die Zertifikatsprüfung fehl. Stellen Sie sicher, dass NTP auf allen Geräten und der gesamten Infrastruktur korrekt konfiguriert ist.

Der vierte Fallstrick, der speziell bei PEAP-Bereitstellungen auftritt, ist das Versäumnis, eine strikte Serverzertifikatsprüfung auf Client-Geräten zu erzwingen. Ohne diese akzeptieren Geräte jedes Zertifikat, das von einem beliebigen Access Point präsentiert wird, der behauptet, Ihrer zu sein. Dies ist die einzige Konfigurationsentscheidung, die eine sichere Bereitstellung von einer anfälligen unterscheidet.

Nun zu einer schnellen Fragerunde.

Kann ich Cloud RADIUS sowohl für Mitarbeiter- als auch für Gäste-WiFi nutzen? Für Mitarbeiter-WiFi ja, unter Verwendung von EAP-TLS. Gäste-WiFi sollte ein separates Captive Portal nutzen. Die Mischung aus beidem auf einer einzigen SSID führt zu unnötiger Komplexität und Sicherheitsrisiken.

Funktioniert das mit WPA3? Ja. WPA3-Enterprise wird vollständig unterstützt und für alle neuen Bereitstellungen empfohlen.

Wie sieht es mit der Compliance aus? EAP-TLS mit Cloud RADIUS unterstützt die PCI-DSS-Anforderungen für eine starke Authentifizierung in Karteninhaber-Datennetzwerken. Zudem unterstützt es GDPR-Verpflichtungen, indem es eine präzise Zugriffsprotokollierung und einen sofortigen Widerruf bei dem Ausscheiden eines Mitarbeiters ermöglicht.

Wie wirkt sich das auf unsere Analytics-Funktionen aus? Positiv. Durch die Verknüpfung des Netzwerkzugriffs mit einer verifizierten Cloud-Identität liefern Plattformen wie Purple's WiFi Analytics reichhaltigere Daten zur Flächennutzung. Sie wechseln von anonymen MAC-Adressen zu authentifizierten, namentlich bekannten Nutzern, was die Qualität Ihrer Erkenntnisse grundlegend verändert.

Zusammenfassend die wichtigsten Erkenntnisse.

Erstens: Cloud RADIUS eliminiert Abhängigkeiten von lokalen Servern. Ihre Access Points authentifizieren sich gegenüber einem in der Cloud gehosteten Dienst, der direkt mit Entra ID oder Google Workspace integriert ist.

Zweitens: EAP-TLS ist die richtige Authentifizierungsmethode. Zertifikate ersetzen Passwörter. Kein Phishing-Vektor, kein Diebstahl von Anmeldedaten, kein Helpdesk-Aufwand durch Passwort-Zurücksetzungen.

Drittens: Microsoft Intune und die Google Admin Konsole automatisieren die Zertifikatsverteilung. Geräte erhalten Zertifikate und WiFi-Profile geräuschlos und ohne Benutzerinteraktion.

Viertens: Die dynamische VLAN-Zuweisung über RADIUS-Attribute ermöglicht eine granulare Netzwerksegmentierung basierend auf der Zugehörigkeit zu Verzeichnisgruppen. Dies schränkt laterale Bewegungen ein und unterstützt die Compliance.

Fünftens: Überprüfen Sie immer, ob die Ports 1812 und 1813 geöffnet sind, überwachen Sie den Ablauf von Zertifikaten und erzwingen Sie eine strikte Serverzertifikatsprüfung.
Wenn Sie für dieses Quartal ein Deployment planen, beginnen Sie mit einer Pilotgruppe von 20 bis 50 Geräten. Validieren Sie das Zertifikats-Deployment, die RADIUS-Authentifizierung und die VLAN-Zuweisung, bevor Sie das Rollout global durchführen. Die Investition, dies von Anfang an richtig aufzusetzen, zahlt sich durch einen geringeren Aufwand im Helpdesk, ein höheres Sicherheitsniveau und die Möglichkeit aus, Ihre Netzwerkdaten für echte Business Intelligence zu nutzen.

Vielen Dank, dass Sie sich das Purple Technical Briefing angehört haben. Detaillierte Schritte zum Deployment, Konfigurationsbeispiele und ausgearbeitete Szenarien finden Sie im vollständigen technischen Referenzhandbuch unter purple.ai.

Wichtigste Erkenntnisse

✓Cloud RADIUS eliminiert On-Premise-NPS- und FreeRADIUS-Server. Ihre Access Points authentifizieren sich über einen Cloud-gehosteten Dienst, der sich direkt in Microsoft Entra ID oder Google Workspace integrieren lässt.
✓EAP-TLS ist die richtige Authentifizierungsmethode für Enterprise WiFi. Es verwendet digitale Zertifikate anstelle von Passwörtern, was den Diebstahl von Zugangsdaten, Phishing und den passwortbezogenen Support-Aufwand eliminiert.
✓Microsoft Intune und die Google Admin-Konsole automatisieren die Zertifikatsbereitstellung auf verwalteten Geräten über SCEP-Profile. Geräte erhalten Zertifikate und WiFi-Profile geräuschlos und ohne Benutzerinteraktion.
✓Google Workspace erfordert einen Vermittler für die RADIUS-Integration. Google Secure LDAP (verfügbar in den Editionen Cloud Identity Premium und Enterprise) stellt die LDAP-Schnittstelle bereit, die Cloud RADIUS-Server zur Abfrage des Google-Verzeichnisses verwenden.
✓Die dynamische VLAN-Zuweisung über RADIUS-Attribute (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) ermöglicht eine granulare Netzwerksegmentierung basierend auf der Verzeichnisgruppenmitgliedschaft und unterstützt die PCI-DSS-Anforderungen.
✓Prüfen Sie zuerst die UDP-Ports 1812 und 1813. Blockierte Firewall-Ports sind die Hauptursache für das Fehlschlagen der Erstbereitstellung. Überwachen Sie den Zertifikatsablauf nach 90, 30 und 7 Tagen. Erzwingen Sie eine strikte Serverzertifikatsvalidierung bei allen PEAP-Bereitstellungen.
✓Das Deaktivieren eines Benutzers in Entra ID oder Google Workspace entzieht ihm sofort den WiFi-Zugang an allen Standorten. Dies ist der primäre Offboarding-Vorteil gegenüber PSK-basierten Netzwerken und unterstützt direkt die GDPR-Verpflichtungen.

Executive summary

For modern enterprises invested in cloud identity ecosystems, bridging cloud directories with physical wireless networks is a critical security imperative. Historically, WiFi authentication relied on on-premise Active Directory Domain Services and Windows Network Policy Server (NPS). As organisations migrate to Microsoft Entra ID and Google Workspace, that on-premise authentication stack becomes a liability - costly to maintain, difficult to scale, and incompatible with zero-trust security models.

RADIUS as a Service (RADIUSaaS) changes the equation. A cloud-hosted RADIUS server integrates directly with your cloud directory, validates authentication requests in real time, and returns access decisions to your access points - with no on-premise servers, no patching cycles, and no single point of failure. Combined with EAP-TLS certificate-based authentication, this architecture eliminates credential theft, supports PCI DSS and GDPR compliance, and delivers a seamless experience for staff across every site.

This guide covers the architectural decision between on-premise NPS and cloud-native RADIUS, the deployment of EAP-TLS via Microsoft Intune and Google Admin Console, and the operational best practices for securing wireless access across hotels, retail estates, stadiums, and public-sector venues. For a broader introduction to network access control, see A Guide to Your Network Access Control System .

Technical deep-dive: architecture and standards

The role of RADIUS and IEEE 802.1X

The foundation of secure enterprise WiFi is the IEEE 802.1X standard, which provides port-based network access control. When a client device (the supplicant) attempts to connect to a WPA2-Enterprise or WPA3-Enterprise network, the Wireless Access Point (the authenticator) blocks all traffic except EAP (Extensible Authentication Protocol) packets. The AP forwards these packets to a RADIUS server. The RADIUS server validates the identity against a directory service and returns an Access-Accept or Access-Reject message. Only then does the AP grant network access.

This three-party model - supplicant, authenticator, authentication server - is the cornerstone of enterprise wireless security and is defined in IEEE 802.1X. It has not fundamentally changed since its introduction. What has changed is where the RADIUS server lives and how it communicates with your directory.

Cloud-native RADIUS architecture

A cloud-native RADIUS architecture eliminates the need for on-premise NPS or FreeRADIUS servers. A third-party Cloud RADIUS provider integrates directly with Microsoft Entra ID via Microsoft Graph API, or with Google Workspace via Google Secure LDAP or SAML/OAuth. Authentication happens entirely in the cloud. This aligns with zero-trust network access principles and significantly reduces operational overhead.

The table below compares the two primary architectural approaches:

Dimension	Hybrid on-premise (NPS)	Cloud-native (RADIUSaaS)
Infrastructure	Windows Server VM or bare metal required	No on-premise servers
Identity source	AD DS via LDAP/Kerberos	Entra ID or Google Workspace via API
Certificate authority	ADCS on-premise + Intune Connector	Cloud PKI from vendor or Microsoft
High availability	Manual HA and load balancing	Auto-scaled by provider
Setup time	Days to weeks	Hours
Best for	Hybrid AD, legacy devices	Cloud-first, MDM-managed organisations
Operational complexity	Higher initial and ongoing	Lower operational overhead

EAP-TLS vs. PEAP-MSCHAPv2: the critical choice

The choice of EAP method is the single most consequential security decision in this deployment. PEAP-MSCHAPv2 relies on users entering their domain credentials. This is vulnerable to credential theft and man-in-the-middle attacks. If a client device does not strictly validate the RADIUS server certificate - and many do not by default - an attacker can deploy a rogue access point with your SSID, intercept the EAP handshake, and capture credentials. This is an Evil Twin attack, and it is well-documented.

EAP-TLS (Transport Layer Security) uses digital certificates installed on the client device for mutual authentication. Both the client and the server prove their identity cryptographically. There are no passwords to type or steal. In a Microsoft environment, certificates deploy silently via Microsoft Intune using SCEP (Simple Certificate Enrollment Protocol) or PKCS profiles. This is the recommended path for all new deployments and is essential for compliance with PCI DSS v4.0 (Requirement 8.3 on strong authentication) and GDPR data protection obligations.

Google Workspace: the architectural difference

Microsoft Entra ID and Google Workspace differ in one important way for RADIUS integration. Microsoft NPS integrates natively with Active Directory, and Cloud RADIUS providers connect to Entra ID via Microsoft Graph API. Google, however, does not offer a native RADIUS service. You always need an intermediary.

Google Secure LDAP is the primary integration path. Available on Cloud Identity Premium and Google Workspace Enterprise editions, it provides a traditional LDAP interface to your cloud directory. Your Cloud RADIUS server connects to ldap.google.com on port 636 using client certificates that Google generates for you. From that point, the RADIUS server queries Google's directory to validate credentials or group memberships, just as it would query an on-premise Active Directory.

An alternative path uses SAML-based integration, where the Cloud RADIUS provider registers as a SAML application in Google Admin Console and performs an OAuth lookup at authentication time to verify the user's identity and group memberships in real time.

Implementation guide

Implementing RADIUSaaS with EAP-TLS requires coordinating identity, device management, and network infrastructure. The following five-phase approach applies to both Microsoft Entra ID and Google Workspace environments.

Phase 1: prepare identity and device management infrastructure

For Microsoft Entra ID: verify that your tenant has Microsoft 365 E3/E5 or Enterprise Mobility + Security (EMS) E3/E5 licensing. This includes Microsoft Intune and Conditional Access. Without Intune, automated certificate deployment is not possible.

For Google Workspace: confirm you have Cloud Identity Premium or Google Workspace Enterprise to access Google Secure LDAP. If you plan to use EAP-TLS on managed Chromebooks, ensure the Google Admin Console is configured to manage device certificates.

Establish your Public Key Infrastructure (PKI). For new deployments, a cloud-native PKI provided by your Cloud RADIUS vendor is strongly recommended. Alternatives include Microsoft Cloud PKI (available with Intune Suite licensing) or an existing on-premise ADCS deployment connected via the Microsoft Intune Certificate Connector.

Phase 2: configure certificate deployment

Microsoft Intune path: in the Intune admin centre, create a Trusted Certificate configuration profile. Upload the Root CA certificate and deploy it to your target device groups. This ensures client devices trust the certificate presented by the RADIUS server during the TLS handshake. Next, create a SCEP Certificate profile. For user-based authentication, set the Subject Name to CN={{UserPrincipalName}}. For device-based authentication, use CN={{DeviceName}}. Set the Subject Alternative Name to include the User Principal Name or device ID.

Google Admin Console path: navigate to Devices, then Networks, then Certificates. Upload your Root CA. Configure a certificate issuance mechanism - either a cloud PKI that supports SCEP integration with Google Workspace, or the Google Cloud Certificate Connector which proxies requests to an on-premise Microsoft Certificate Authority. Deploy the Root CA and client certificate profiles to the appropriate Organisational Units.

Phase 3: configure Cloud RADIUS integration

Grant your Cloud RADIUS provider the necessary API permissions in your directory tenant. For Entra ID, this requires at minimum User.Read.All and GroupMember.Read.All via Microsoft Graph API. Some providers also require Device.Read.All for device compliance checks. For Google Workspace via Secure LDAP, download the client certificate and key from Google Admin Console and install them on the RADIUS service.

Define your authentication policies within the Cloud RADIUS management portal. A well-structured policy for a corporate environment: "Allow access if the certificate is issued by [Trusted CA] AND the user is a member of the [Corporate-WiFi-Users] group AND the device is marked Compliant in Intune." This enforces identity, group membership, and device health simultaneously.

Phase 4: configure wireless infrastructure

In your wireless LAN controller or cloud management dashboard - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet - add the Cloud RADIUS server IP addresses and shared secrets as RADIUS authentication servers. Configure primary and secondary servers for redundancy. Set the RADIUS timeout to a minimum of five seconds to accommodate cloud round-trip latency.

Create a new SSID configured for WPA2-Enterprise or WPA3-Enterprise. For Hospitality deployments, ensure the corporate SSID is on a separate VLAN from any Guest WiFi network. For Retail environments, consider deploying the corporate SSID only in back-of-house areas.

Phase 5: deploy WiFi profile via MDM

Microsoft Intune: create a WiFi configuration profile. Set the SSID to match your infrastructure configuration exactly. Select WPA2-Enterprise or WPA3-Enterprise. Under EAP settings, select EAP-TLS. Link the SCEP certificate profile as the client certificate and specify the Trusted Root CA profile. Assign this WiFi profile to the same device groups that received the certificate profiles. Devices silently receive the certificate and the WiFi configuration during their next Intune sync.

Google Admin Console: navigate to Devices, then Networks, then Wi-Fi. Create a new WiFi network profile. Set the SSID, select WPA3-Enterprise, choose EAP-TLS, and push the trusted Root CA certificate to the devices. Apply this profile to your Organisational Units. Chromebooks connect silently and securely.

Best practices

Mandate EAP-TLS across all new deployments. Do not deploy new networks using PEAP-MSCHAPv2. The security risks are well-documented and the migration path is straightforward with modern MDM tooling.

Enforce strict server certificate validation. If you must use PEAP for legacy devices, configure the devices to validate the RADIUS server's certificate. In the Intune WiFi profile and in the Google Admin Console WiFi profile, there is a field to specify the trusted CA for server validation. Do not leave this blank. This single configuration decision is the difference between a secure deployment and a vulnerable one.

Segment your network with dynamic VLAN assignment. Use your RADIUS server to inspect the user's group membership in Entra ID or Google Workspace and dynamically assign them to different VLANs. The RADIUS server returns the Tunnel-Private-Group-Id attribute to the access point, which places the client on the correct VLAN. This limits lateral movement in the event of a compromise and supports PCI DSS network segmentation requirements.

Separate corporate and guest authentication. Use EAP-TLS for corporate-managed devices. Use a captive portal with SSO for BYOD and guest devices. Trying to manually configure EAP-TLS on unmanaged devices creates excessive support overhead. Purple's Guest WiFi platform handles guest onboarding separately, maintaining a clean separation between staff and visitor traffic.

Monitor certificate expiry proactively. Set up monitoring and alerting at 90 days, 30 days, and seven days before certificate expiry. If your RADIUS server certificate expires, all devices lose connectivity simultaneously. Automate renewal where your PKI supports it.

Test RADIUS timeout settings. Cloud RADIUS introduces network round-trip latency that on-premise NPS does not. Set the RADIUS timeout on your access points to at least five seconds. A timeout of two seconds - common in default configurations - will cause intermittent authentication failures.

Troubleshooting and risk mitigation

Blocked firewall ports are the leading cause of initial deployment failure. RADIUS authentication requires UDP port 1812 outbound from your wireless infrastructure to the Cloud RADIUS service. RADIUS accounting requires UDP port 1813. Verify these are open before any other troubleshooting.

Certificate validation failures present as authentication rejections with no obvious cause. Check the following in order: certificate expiry on both the client and the RADIUS server; clock skew between the client device and the RADIUS server (EAP-TLS relies on accurate timekeeping); and whether the Root CA certificate has been successfully deployed to the device via MDM.

Group membership not enforcing is a common issue when RADIUS policies reference Entra ID or Google Workspace groups. Verify that the Cloud RADIUS provider has the correct API permissions to read group memberships. In Entra ID, confirm the service principal has GroupMember.Read.All. In Google Workspace, confirm the Secure LDAP client has permission to read group information.

VLAN assignment not working typically indicates a mismatch between the RADIUS attribute values and the VLAN IDs configured on the wireless infrastructure. Confirm that Tunnel-Type is set to VLAN (value 13), Tunnel-Medium-Type is set to 802 (value 6), and Tunnel-Private-Group-Id matches the VLAN ID configured on the switch or controller.

BYOD devices failing EAP-TLS usually indicates the client certificate was not successfully deployed. For Intune-managed devices, check the device's certificate store in the Intune admin centre. For Google-managed Chromebooks, verify the certificate profile is assigned to the correct Organisational Unit and that the device has synced recently.

ROI and business impact

Moving to Cloud RADIUS delivers measurable operational savings. On-premise RADIUS requires at minimum two servers for high availability, ongoing OS patching, certificate management, and specialist engineering time. A single engineer's time spent on RADIUS maintenance over a year typically exceeds the annual cost of a Cloud RADIUS subscription.

The business case extends beyond cost reduction. By tying network access to verified cloud identities, you gain:

Instant offboarding. Disabling a user in Entra ID or Google Workspace immediately revokes their network access at all sites. There is no lag, no manual process, and no risk of a former employee retaining WiFi access. This directly supports GDPR obligations around data access rights.

Richer analytics. Platforms like Purple's WiFi Analytics provide richer data on space utilisation and visitor journeys when network access is tied to authenticated identities. You move from anonymous MAC addresses to named, authenticated users, which transforms the quality of insight available to operations and marketing teams.

Compliance evidence. EAP-TLS authentication generates detailed access logs - who connected, from which device, at which location, and at what time. This audit trail supports PCI DSS Requirement 10 (logging and monitoring) and GDPR accountability obligations.

Multi-site consistency. A single Cloud RADIUS service authenticates all your sites with consistent policies, managed from one dashboard. Adding a new hotel, store, or venue means adding its access points to the RADIUS configuration - not shipping and configuring another server. For organisations managing large estates, this is a significant operational advantage.

For Transport operators and Healthcare venues where network uptime is operationally critical, Cloud RADIUS providers typically offer 99.999% uptime SLAs with multi-region failover built in. Purple operates at 99.999% uptime across 80,000+ live venues, with 440 million logins processed in 2024 (Purple internal data, 2024).

For further reading on related topics, see WAN Computer Definition: A Practical Guide for 2026 and World WiFi Day 2026: How Your Venue Can Help Bridge the Digital Divide .

Schlüsseldefinitionen

RADIUS (Remote Authentication Dial-In User Service)

Ein in RFC 2865 definiertes Netzwerkprotokoll, das eine zentralisierte Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden. Der RADIUS-Server fungiert als Entscheidungsinstanz zwischen Ihren Access Points und Ihrem Identitätsverzeichnis.

Jedes WPA2-Enterprise- oder WPA3-Enterprise-WiFi-Netzwerk in Unternehmen basiert auf einem RADIUS-Server. Ohne ihn funktioniert die IEEE 802.1X-Authentifizierung nicht.

RADIUS as a Service (RADIUSaaS)

Eine in der Cloud gehostete RADIUS-Implementierung, die als Managed Service bereitgestellt wird. Der Anbieter übernimmt die Wartung der Infrastruktur, Patches, Hochverfügbarkeit und die Integration von Identitätsanbietern. Sie konfigurieren die Authentifizierungsrichtlinien und verweisen Ihre Access Points auf die Cloud-RADIUS-IPs.

RADIUSaaS überflüssig macht lokale NPS- oder FreeRADIUS-Server und eliminiert die damit verbundene Hardware, das Patchen des Betriebssystems sowie den spezialisierten Wartungsaufwand.

IEEE 802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle. Er definiert das dreiteilige Authentifizierungsmodell: den Supplicant (Client-Gerät), den Authenticator (Access Point oder Switch) und den Authentifizierungsserver (RADIUS-Server). Der Authenticator blockiert jeglichen Datenverkehr, bis der RADIUS-Server den Zugriff gewährt.

Der grundlegende Standard für die WiFi-Authentifizierung in Unternehmen. WPA2-Enterprise und WPA3-Enterprise basieren beide auf 802.1X.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Eine in RFC 5216 definierte Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem RADIUS-Server als auch auf dem Client-Gerät für eine gegenseitige Authentifizierung nutzt. Keine der Parteien sendet ein Passwort. Der Client präsentiert sein Zertifikat; der Server validiert es in Echtzeit mit dem Verzeichnis.

Der Goldstandard für die WiFi-Sicherheit in Unternehmen. Verhindert Anmeldedaten-Diebstahl, Phishing und passwortbezogenen Support-Aufwand im Helpdesk. Erforderlich für die PCI-DSS-Compliance in Karteninhaber-Datennetzwerken.

PEAP-MSCHAPv2 (Protected EAP - Microsoft Challenge Handshake Authentication Protocol v2)

Eine Authentifizierungsmethode, die einen verschlüsselten TLS-Tunnel erstellt und anschließend den Benutzernamen und das Passwort des Benutzers darüber überträgt. Anfällig für "Evil Twin"-Angriffe, wenn der Client das Zertifikat des RADIUS-Servers nicht streng validiert.

Der veraltete Standard für WiFi in Unternehmen. Immer noch weit verbreitet, sollte jedoch in allen neuen und bestehenden Bereitstellungen nach Möglichkeit auf EAP-TLS umgestellt werden.

Microsoft Entra ID

Der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft, ehemals bekannt als Azure Active Directory (Azure AD). Verwaltet Benutzeridentitäten, Gruppenmitgliedschaften, Geräte-Compliance und Richtlinien für den bedingten Zugriff.

Die primäre Identitätsquelle für Cloud-RADIUS in Microsoft-zentrierten Umgebungen. Cloud-RADIUS-Anbieter verbinden sich über die Microsoft Graph API mit Entra ID.

Google Secure LDAP

Ein verwalteter Dienst, der in den Editionen Cloud Identity Premium und Google Workspace Enterprise verfügbar ist und eine traditionelle LDAP-Schnittstelle für das Cloud-Verzeichnis von Google bereitstellt. RADIUS-Server verbinden sich über Client-Zertifikate auf Port 636 mit ldap.google.com.

Der primäre Integrationspfad zur Verbindung eines Cloud-RADIUS-Servers mit Google Workspace. Google bietet keinen nativen RADIUS-Dienst an, weshalb Secure LDAP als Brücke fungiert.

PKI (Public Key Infrastructure)

Die Gesamtheit der Rollen, Richtlinien, Hardware, Software und Verfahren, die zum Erstellen, Verwalten, Verteilen, Nutzen, Speichern und Widerrufen digitaler Zertifikate erforderlich sind. Eine PKI wird benötigt, um die bei der EAP-TLS-Authentifizierung verwendeten Client- und Serverzertifikate auszustellen.

Cloud-native PKI-Optionen von RADIUS-Anbietern oder Microsoft (Cloud PKI) erübrigen den Einsatz von lokalen Active Directory-Zertifikatsdiensten (ADCS).

SCEP (Simple Certificate Enrollment Protocol)

Ein Protokoll, mit dem Geräte automatisch digitale Zertifikate von einer Zertifizierungsstelle anfordern und empfangen können. Wird von Microsoft Intune und der Google Admin-Konsole verwendet, um Client-Zertifikate ohne Benutzerinteraktion auf verwalteten Geräten bereitzustellen.

SCEP-Profile in Intune sind der Mechanismus, über den geschäftliche Geräte im Hintergrund die für die EAP-TLS-Authentifizierung erforderlichen Client-Zertifikate erhalten.

Dynamic VLAN assignment

Eine RADIUS-Funktion, die VLAN-Zuweisungsattribute (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) basierend auf der Verzeichnisgruppenmitgliedschaft des authentifizierten Benutzers an den Access Point zurückgibt. Der AP weist den Client automatisch dem angegebenen VLAN zu.

Ermöglicht eine granulare Netzwerksegmentierung ohne manuelle VLAN-Konfiguration pro Gerät. Mitarbeiter in unterschiedlichen Rollen oder Abteilungen landen in verschiedenen Netzwerksegmenten, was laterale Bewegungen einschränkt und die Segmentierungsanforderungen von PCI DSS unterstützt.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern migriert sein Mitarbeiternetzwerk im Back-of-House-Bereich von einem alternden On-Premise-NPS-Server auf eine Cloud-native Lösung. Das Hotel ist kürzlich auf Microsoft Entra ID und Microsoft 365 E5 umgestiegen. Bei den Geräten der Mitarbeiter handelt es sich um Windows-Laptops, die von Intune verwaltet werden. Die Wireless-Infrastruktur ist Cisco Meraki. Das Hotel möchte, dass sich die Mitarbeiter automatisch und ohne Passworteingabe verbinden, und benötigt eine sofortige Sperrung, wenn ein Mitarbeiter das Unternehmen verlässt.

Stellen Sie eine Cloud RADIUS-Lösung mit Entra ID-Integration bereit. Schritt 1: Erteilen Sie dem Cloud RADIUS-Anbieter Microsoft Graph API-Berechtigungen (User.Read.All, GroupMember.Read.All, Device.Read.All) im Entra ID-Tenant. Schritt 2: Erstellen Sie in Intune ein Profil für vertrauenswürdige Zertifikate mit der Cloud RADIUS-Root-CA und weisen Sie es der Gruppe "Alle Unternehmensgeräte" zu. Schritt 3: Erstellen Sie ein SCEP-Zertifikatsprofil mit dem Subject Name CN={{UserPrincipalName}} und weisen Sie es derselben Gruppe zu. Schritt 4: Konfigurieren Sie die Cloud RADIUS-Authentifizierungsrichtlinie: Erlauben Sie den Zugriff, wenn das Zertifikat von der [Vertrauenswürdigen CA] ausgestellt wurde UND der Benutzer Mitglied der Entra ID-Gruppe [Hotel-Staff-WiFi] ist UND das Gerät Intune-konform ist. Schritt 5: Fügen Sie im Cisco Meraki-Dashboard die primären und sekundären IPs von Cloud RADIUS als RADIUS-Server auf der Back-of-House-SSID hinzu. Stellen Sie den RADIUS-Timeout auf 5 Sekunden ein. Schritt 6: Erstellen Sie in Intune ein WPA3-Enterprise-WiFi-Profil für die Back-of-House-SSID, geben Sie EAP-TLS an und verknüpfen Sie das SCEP-Zertifikatsprofil. Weisen Sie es der Gruppe "Alle Unternehmensgeräte" zu. Die Geräte erhalten das Zertifikat und das WiFi-Profil beim nächsten Intune-Sync geräuschlos und verbinden sich automatisch. Wenn ein Mitarbeiter das Unternehmen verlässt, entzieht die Deaktivierung seines Entra ID-Kontos sofort den Netzwerkzugriff an allen Standorten.

Kommentar des Prüfers: Dieser Ansatz eliminiert die Abhängigkeit vom On-Premise-NPS vollständig. EAP-TLS beseitigt den Phishing-Vektor der anmeldeinformationsbasierten Authentifizierung. Intune automatisiert die Verwaltung des Zertifikatslebenszyklus, wodurch der manuelle Aufwand entfällt, der bei der vorherigen NPS-Bereitstellung zu Verzögerungen bei Zertifikatsverlängerungen führte. Die Entra ID-Gruppenrichtlinie sorgt dafür, dass der Netzwerkzugriff in Echtzeit gesperrt wird, wenn die Personalabteilung ein Konto deaktiviert – eine manuelle Aktualisierung der RADIUS-Richtlinie ist nicht erforderlich. Die Cisco Meraki-Integration ist unkompliziert: Cloud RADIUS ist hardwareunabhängig und funktioniert mit jeder 802.1X-fähigen Infrastruktur.

Eine Einzelhandelskette mit 50 Filialen nutzt Google Workspace und verwaltet eine Flotte von 500 Chromebooks, die von Filialmitarbeitern für die Bestandsaufnahme und POS-Aktivitäten genutzt werden. Derzeit nutzen sie ein gemeinsam genutztes WPA2 PSK für das Filialbetriebsnetzwerk, was bei Verlust oder Diebstahl von Geräten ein Sicherheitsrisiko darstellt. Sie möchten auf eine 802.1X-Authentifizierung umstellen, ohne in jeder Filiale lokale Server installieren zu müssen. Ihre Wireless-Infrastruktur ist HPE Aruba.

Stellen Sie eine Cloud RADIUS-Lösung mit Google Workspace-Integration über Google Secure LDAP bereit. Schritt 1: Navigieren Sie in der Google Admin-Konsole zu Apps, dann LDAP, und fügen Sie einen neuen LDAP-Client für den Cloud RADIUS-Dienst hinzu. Konfigurieren Sie die Leseberechtigungen für Benutzerinformationen und Gruppenmitgliedschaften. Laden Sie das erstellte Client-Zertifikat und den Schlüssel herunter. Schritt 2: Konfigurieren Sie den Cloud RADIUS-Dienst mit den Google Secure LDAP-Anmeldedaten. Schritt 3: Konfigurieren Sie eine Cloud-PKI, um Zertifikate für die Chromebooks auszustellen. Navigieren Sie in der Google Admin-Konsole zu Geräte, dann Netzwerke, dann Zertifikate, und laden Sie die Root-CA hoch. Konfigurieren Sie das Profil für die Zertifikatsausstellung und wenden Sie es auf die Organisationseinheit "Store-Associates" an. Schritt 4: Erstellen Sie in der Google Admin-Konsole ein WPA3-Enterprise-WiFi-Profil für die SSID des Filialbetriebs. Stellen Sie EAP-TLS ein, verknüpfen Sie die Root-CA und wenden Sie es auf die OU "Store-Associates" an. Die Chromebooks erhalten das Zertifikat und das WiFi-Profil beim nächsten Abgleich mit der Admin-Konsole. Schritt 5: Konfigurieren Sie in HPE Aruba Central die SSID des Filialbetriebs mit WPA3-Enterprise und fügen Sie die primären und sekundären IPs von Cloud RADIUS hinzu. Stellen Sie den RADIUS-Timeout auf 5 Sekunden ein. Konfigurieren Sie die dynamische VLAN-Zuweisung, um Filialmitarbeiter basierend auf ihrer Google Workspace-Gruppenmitgliedschaft dem VLAN 20 (Filialbetrieb) zuzuordnen. Wenn ein Chromebook verloren geht oder gestohlen wird, entzieht das Entfernen aus der OU "Store-Associates" sofort den Netzwerkzugriff.

Kommentar des Prüfers: Diese Bereitstellung eliminiert das Risiko gemeinsam genutzter PSKs. Ein verloren gegangenes oder gestohlenes Chromebook mit einem gemeinsam genutzten PSK ermöglicht einem Angreifer dauerhaften Netzwerkzugriff, bis der PSK in allen 50 Filialen geändert wird. Mit EAP-TLS kann das Zertifikat auf dem verlorenen Gerät sofort gesperrt werden. Die Google Secure LDAP-Integration ist der richtige Weg für Google Workspace-Umgebungen – sie bietet eine stabile, standardbasierte Schnittstelle, die der Cloud RADIUS-Dienst abfragen kann, ohne dass eine benutzerdefinierte API-Integration erforderlich ist. Die dynamische VLAN-Zuweisung stellt sicher, dass Filialmitarbeiter im richtigen Netzwerksegment landen, was die PCI DSS-Netzwerksegmentierungsanforderungen für Einzelhandelsumgebungen unterstützt.

Übungsfragen

Q1. Ihr Unternehmen migriert von On-Premise Active Directory zu Microsoft Entra ID. Sie nutzen derzeit PEAP-MSCHAPv2 für die WiFi-Authentifizierung auf 300 vom Intune verwalteten Firmen-Laptops. Sie verfügen über eine Microsoft 365 E5-Lizenzierung. Was ist der sicherste und betrieblich effizienteste Weg, um die WiFi-Authentifizierung auf eine Cloud-native Architektur zu migrieren?

Hinweis: Bedenken Sie die Sicherheitsrisiken der auf Anmeldedaten basierenden Authentifizierung, die Funktionen von Microsoft Intune zur Zertifikatsverteilung und die Notwendigkeit, Abhängigkeiten von On-Premise-Infrastrukturen zu vermeiden.

Musterlösung anzeigen

Stellen Sie eine Cloud-RADIUS-Lösung mit Entra ID-Integration bereit. Nutzen Sie Microsoft Intune, um ein vertrauenswürdiges Zertifikatsprofil (Root CA) und ein SCEP-Zertifikatsprofil auf den 300 Laptops zu verteilen. Konfigurieren Sie die Cloud-RADIUS-Authentifizierungsrichtlinie so, dass ein gültiges Zertifikat der vertrauenswürdigen Zertifizierungsstelle und die Mitgliedschaft in der Entra ID-Gruppe Corporate-WiFi-Users erforderlich sind. Erstellen Sie ein WPA3-Enterprise-WiFi-Profil in Intune, das EAP-TLS spezifiziert, und verknüpfen Sie das SCEP-Zertifikatsprofil. Die Geräte erhalten das Zertifikat und die WiFi-Konfiguration bei der nächsten Intune-Synchronisierung automatisch im Hintergrund. Dies eliminiert das Risiko des Diebstahls von PEAP-MSCHAPv2-Anmeldedaten, entfernt die Abhängigkeit von On-Premise-NPS und bietet eine sofortige Sperrung, wenn ein Entra ID-Konto deaktiviert wird.

Q2. Ein Nutzer in Ihrem Hotel meldet, dass er sich nach der Rückkehr aus einem zweiwöchigen Urlaub nicht mit dem WiFi für das Back-of-House-Personal verbinden kann. Andere Mitarbeiter können sich problemlos verbinden. Das Netzwerk nutzt EAP-TLS mit über Intune bereitgestellten Zertifikaten. Was sind die drei wahrscheinlichsten Ursachen, der Wahrscheinlichkeit nach geordnet?

Hinweis: EAP-TLS stützt sich auf zeitkritische kryptografische Elemente und Echtzeit-Verzeichnisabfragen.

Musterlösung anzeigen

Das Client-Zertifikat des Nutzers ist abgelaufen. Zertifikate haben eine definierte Gültigkeitsdauer. Wenn das Gerät während des Erneuerungsfensters offline war, wurde es über das SCEP-Profil möglicherweise nicht erneuert. Überprüfen Sie das Ablaufdatum des Zertifikats im Intune-Gerätezertifikatsspeicher. 2. Die Systemzeit des Geräts ist asynchron (Zeitversatz), was die Zertifikatsvalidierung fehlschlagen lässt. EAP-TLS validiert die Zeitstempel der Zertifikate; eine Abweichung der Uhrzeit von mehr als fünf Minuten führt zu Authentifizierungsfehlern. 3. Das Entra ID-Konto des Nutzers wurde während seiner Abwesenheit in eine andere Gruppe verschoben (z. B. von den aktiven Mitarbeitern in eine andere Organisationseinheit), und die RADIUS-Authentifizierungsrichtlinie stimmt nicht mehr mit der Gruppenmitgliedschaft überein. Überprüfen Sie die Gruppenmitgliedschaften des Nutzers in Entra ID mit der RADIUS-Richtlinie.

Q3. Sie sind IT-Manager für eine Einzelhandelskette mit 80 Filialen. Sie nutzen Google Workspace und verwalten 400 Chromebooks über die Google Admin-Konsole. Sie möchten den aktuellen gemeinsam genutzten WPA2 PSK im Filialbetriebsnetzwerk durch eine 802.1X-Authentifizierung ersetzen. Sie haben an keinem Filialstandort On-Premise-Server. Welche Architektur stellen Sie bereit, und was ist der primäre Sicherheitsvorteil gegenüber dem aktuellen PSK-Ansatz?

Hinweis: Bedenken Sie, was passiert, wenn ein Chromebook unter dem jeweiligen Authentifizierungsmodell verloren geht oder gestohlen wird.

Musterlösung anzeigen

Stellen Sie einen Cloud-RADIUS-Dienst mit Google Secure LDAP-Integration bereit. Konfigurieren Sie eine Cloud-PKI, um Zertifikate für die Chromebooks auszustellen. Verteilen Sie in der Google Admin-Konsole die Root CA und ein SCEP-Client-Zertifikatsprofil an die Organisationseinheit der Filialmitarbeiter. Erstellen Sie ein WPA3-Enterprise-WiFi-Profil mit EAP-TLS und verteilen Sie es auf dieselbe Organisationseinheit. Konfigurieren Sie HPE Aruba- (oder gleichwertige) Access Points in jeder Filiale so, dass sie auf den Cloud-RADIUS-Dienst verweisen. Der primäre Sicherheitsvorteil: Beim aktuellen gemeinsam genutzten PSK behält ein verlorenes oder gestohlenes Chromebook den WiFi-Zugriff, bis der PSK in allen 80 Filialen geändert wird – ein störender und zeitaufwendiger Prozess. Mit EAP-TLS entzieht das Entfernen des Geräts aus der Organisationseinheit in der Google Admin-Konsole dem Gerät sofort das Zertifikat und den Netzwerkzugriff, ohne Auswirkungen auf andere Geräte.

Q4. Während einer Cloud-RADIUS-Bereitstellung konfigurieren Sie die SSID auf den Cisco Meraki Access Points und verteilen das Intune-WiFi-Profil an eine Pilotgruppe von 20 Geräten. Keines der Geräte kann eine Verbindung herstellen. Der Intune-Gerätestatus zeigt an, dass das Zertifikat und das WiFi-Profil erfolgreich bereitgestellt wurden. Was prüfen Sie zuerst?

Hinweis: Die häufigste Ursache für das Fehlschlagen einer Ersteinrichtung ist kein Konfigurationsfehler in der RADIUS-Richtlinie oder im Zertifikat.

Musterlösung anzeigen

Prüfen Sie, ob die UDP-Ports 1812 und 1813 für den ausgehenden Verkehr von den Cisco Meraki Access Points (oder der Meraki-Cloud-Infrastruktur) zu den IP-Adressen des Cloud-RADIUS-Servers geöffnet sind. Blockierte Firewall-Ports sind die Hauptursache für das Fehlschlagen von Erstbereitstellungen. Da die Zertifikate und WiFi-Profile erfolgreich bereitgestellt wurden, sind Konfigurationsfehler in Intune ausgeschlossen. Die nächsten Schritte sind: Überprüfung auf fehlerhafte RADIUS-Shared-Secrets zwischen Meraki und dem Cloud-RADIUS-Dienst, Erhöhung des zu niedrig eingestellten RADIUS-Timeouts (auf mindestens 5 Sekunden) und die Überprüfung, ob die IP-Adressen des Cloud-RADIUS-Servers in der Meraki-SSID-Konfiguration korrekt hinterlegt sind.

Weiterlesen in dieser Reihe

The Security Benefits of RADIUS as a Service for Hybrid Workforces

This technical reference guide explains how RADIUS as a Service secures network access for hybrid workforces across distributed venues. It covers the architecture, security benefits, and deployment steps for replacing on-premise RADIUS infrastructure with a cloud-managed authentication service. For IT managers and network architects at hotels, retail chains, stadiums, and public-sector organisations, this guide provides the evidence needed to evaluate and act on a cloud RADIUS migration this quarter.

So implementieren Sie die 802.1X-Authentifizierung mit Cloud RADIUS

Dieser technische Leitfaden bietet einen umfassenden Rahmen für die Implementierung der 802.1X-Authentifizierung mit Cloud RADIUS in verteilten Unternehmensstandorten. Er beschreibt detailliert die Architektur, die Auswahl der EAP-Methode, die Bereitstellungsreihenfolge und die Strategien zur Risikominderung, die zur Sicherung des Netzwerkzugriffs erforderlich sind, während gleichzeitig der betriebliche Aufwand für eine On-Premises-Infrastruktur entfällt.

Was ist Cloud RADIUS? Ein umfassender Leitfaden zu RADIUS as a Service

Dieser umfassende Leitfaden untersucht Cloud RADIUS (RADIUS as a Service) und beschreibt dessen Architektur, EAP-Methoden und Implementierungsstrategien im Detail. Er bietet IT-Verantwortlichen praxistaugliche Erkenntnisse für die Migration von On-Premises-Servern zu einem skalierbaren, sicheren und datenschutzkonformen cloudbasierten Authentifizierungsmodell.