Cómo configurar Azure Entra ID (Azure AD) para la autenticación de WiFi
Esta guía de referencia detalla la arquitectura, los pasos de implementación y el impacto empresarial de integrar Azure Entra ID con 802.1X para la autenticación de WiFi empresarial. Proporciona a arquitectos de red y responsables de TI estrategias prácticas de despliegue, sustituyendo las claves PSK heredadas por un acceso a la red de confianza cero basado en certificados.
Escuchar esta guía
Ver transcripción del podcast
- Resumen ejecutivo
- Análisis técnico detallado
- El cambio de credenciales a certificados digitales
- El puente de la arquitectura: RADIUS y Entra ID
- Guía de implementación
- Paso 1: Establecer la infraestructura de clave pública (PKI)
- Paso 2: Configurar el servidor RADIUS
- Paso 3: Desplegar perfiles de MDM a través de Intune
- Paso 4: Configurar el controlador de LAN inalámbrica (WLC)
- Buenas prácticas
- Resolución de problemas y mitigación de riesgos
- ROI e impacto empresarial
- Referencias

Resumen ejecutivo
Para los CTO y arquitectos de red que gestionan entornos complejos - desde grandes espacios de hostelería hasta dinámicos entornos de retail - proteger la red corporativa ya no es solo cuestión de contraseñas seguras. Las claves precompartidas (PSK) tradicionales y la validación de credenciales básica son fundamentalmente incompatibles con la arquitectura zero-trust moderna.
Esta guía detalla la transición a la autenticación WiFi basada en certificados 802.1X integrada directamente con Microsoft Entra ID (anteriormente Azure AD). Al migrar a EAP-TLS (protocolo de autenticación extensible con seguridad de la capa de transporte), las empresas pueden eliminar los riesgos asociados con el robo de credenciales, automatizar el registro de dispositivos mediante la gestión de dispositivos móviles (MDM) y garantizar que solo los dispositivos gestionados y conformes puedan acceder a las VLAN corporativas sensibles. Analizamos la arquitectura técnica, los pasos de implementación y cómo este enfoque de seguridad empresarial funciona en paralelo con las estrategias de redes de invitados gestionadas por plataformas como Purple.
Análisis técnico detallado
El cambio de credenciales a certificados digitales
Históricamente, la red WiFi empresarial dependía de PEAP-MSCHAPv2, que requiere que los usuarios introduzcan sus credenciales de dominio. Sin embargo, debido a su susceptibilidad a los ataques de adversario en el medio (AiTM), Microsoft está desestimando activamente la autenticación basada en credenciales. El estándar actual del sector es EAP-TLS, que utiliza la validación mutua de certificados.
En una implementación de EAP-TLS, tanto el servidor RADIUS como el dispositivo cliente presentan certificados digitales. Si un dispositivo carece de un certificado válido emitido por su entidad de certificación (CA) de confianza, el servidor RADIUS rechaza la conexión incluso antes de que el dispositivo obtenga una dirección IP.

El puente de la arquitectura: RADIUS y Entra ID
Microsoft Entra ID es un proveedor de identidad (IdP) en la nube que utiliza protocolos modernos como SAML y OIDC; no admite de forma nativa el protocolo RADIUS utilizado por los puntos de acceso inalámbrico (WAP). Para salvar esta distancia, los arquitectos de red deben implementar un servidor RADIUS capaz de comunicarse con Microsoft Entra ID. Esto se consigue normalmente a través de:
- Soluciones RADIUS en la nube: Plataformas diseñadas específicamente (como SecureW2, SCEPman o Portnox) que se integran directamente con Microsoft Entra ID e Intune a través de las API.
- Servidor de políticas de red (NPS) local: Utilizando la extensión Azure MFA, aunque esto se considera cada vez más un enfoque heredado en comparación con las soluciones RADIUS nativas de la nube.

Guía de implementación
La implementación de Azure Entra ID para la autenticación WiFi requiere la coordinación entre los equipos de identidad, gestión de dispositivos e infraestructura de red.
Paso 1: Establecer la infraestructura de clave pública (PKI)
Debe establecer una CA para emitir certificados de cliente y servidor. En entornos donde la nube es lo primero, suele tratarse de una PKI en la nube integrada con Microsoft Intune a través de SCEP (Simple Certificate Enrolment Protocol).
Paso 2: Configurar el servidor RADIUS
Implemente su infraestructura RADIUS y vincúlela a su inquilino de Entra ID. El servidor RADIUS necesita su propio certificado de servidor - en el que confíen sus dispositivos cliente - para demostrar su identidad durante el saludo de EAP.
Paso 3: Desplegar perfiles de MDM a través de Intune
No dependa de que los usuarios configuren sus ajustes de WiFi manualmente. Utilice Intune para distribuir un perfil de WiFi completo que contenga:
- El certificado de la CA raíz de confianza.
- El perfil SCEP utilizado para solicitar el certificado de cliente.
- La propia configuración de WiFi, definiendo explícitamente el SSID y los nombres de servidor exactos de la infraestructura RADIUS para evitar ataques de tipo Evil Twin.
Paso 4: Configurar el controlador de LAN inalámbrica (WLC)
Configure sus puntos de acceso o WLC para utilizar WPA2/WPA3-Enterprise (802.1X). Dirija el tráfico de autenticación y contabilidad a las nuevas direcciones IP de su servidor RADIUS y configure el secreto compartido de RADIUS.
> "Al configurar 802.1X, asegúrese de que los valores de tiempo de espera de RADIUS en el WLC sean suficientes para la latencia de la validación de certificados en la nube, aumentando normalmente de 2 a 5 segundos". [1]
Buenas prácticas
- Aislar el tráfico corporativo y el de invitados: Los dispositivos corporativos deben utilizar 802.1X vinculado a Entra ID. Los dispositivos de invitados deben utilizar un SSID abierto con un Captive Portal. Para un acceso de invitados y análisis robustos, aproveche una solución de Guest WiFi . Esto garantiza el aislamiento completo del tráfico no seguro.
- Implementar la derivación de autenticación MAC (MAB) con precaución: Los dispositivos IoT y el hardware heredado - como los escáneres más antiguos en los centros de transporte - a menudo no admiten 802.1X. Coloque estos dispositivos en un SSID independiente mediante MAB o una PSK dedicada, y restrinja su acceso a la red con ACL estrictas.
- Priorizar la revocación de certificados: Asegúrese de que sus puntos de conexión de la lista de revocación de certificados (CRL) o del protocolo de estado de certificados en línea (OCSP) estén altamente disponibles. Si el servidor RADIUS no puede verificar el estado de revocación, la autenticación fallará.
Resolución de problemas y mitigación de riesgos
Cuando las implementaciones fallan, rara vez es culpa del IdP en la nube. Los modos de fallo habituales incluyen:
- Desviación del reloj: EAP-TLS es extremadamente sensible al tiempo. Asegúrese de que todos los componentes de la infraestructura - en particular los WLC y los servidores RADIUS - estén sincronizados a través de NTP.
- Latencia de sincronización de Intune: Al registrar nuevos dispositivos, puede haber un retraso entre la emisión del certificado SCEP y el intento de conexión del dispositivo. Tenga en cuenta este retraso durante la incorporación de los usuarios.
- Discrepancia en el nombre del servidor RADIUS: si el nombre del servidor definido en el perfil de WiFi de Intune no coincide exactamente con el Nombre común (CN) o el Nombre alternativo del sujeto (SAN) del certificado del servidor RADIUS, los clientes se desconectarán de forma silenciosa para protegerse contra puntos de acceso maliciosos.
Para un análisis más profundo sobre cómo proteger su infraestructura, consulte nuestra guía sobre cómo proteger su red con DNS y seguridad robustos .
ROI e impacto empresarial
La transición a la autenticación WiFi de Azure Entra ID ofrece importantes beneficios:
- Reducción del gasto en soporte técnico: la eliminación de la autenticación basada en contraseñas reduce drásticamente los tickets de soporte relacionados con el bloqueo de contraseñas y la renovación de credenciales de WiFi.
- Cumplimiento acelerado: EAP-TLS proporciona la prueba criptográfica de identidad requerida por marcos como PCI-DSS e ISO 27001, lo cual es esencial en entornos de sanidad y comercio minorista.
- Bajas automatizadas: cuando un empleado se marcha, la desactivación de su cuenta en Entra ID revoca instantáneamente su acceso a la red en todas las ubicaciones, lo que reduce las amenazas internas.
Al proteger la red corporativa central, los equipos de TI pueden centrarse en iniciativas que generen ingresos, como el uso de analíticas de WiFi con nuestra plataforma de WiFi Analytics para comprender el comportamiento de los visitantes y fomentar la interacción.
Referencias
[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.
Definiciones clave
802.1X
Un estándar de la IEEE para el control de acceso a la red basado en puertos, que requiere que los dispositivos se autentiquen antes de obtener acceso a la LAN o WLAN.
Este es el protocolo subyacente que hace que el WiFi empresarial sea seguro, yendo más allá de las simples contraseñas compartidas.
EAP-TLS
Protocolo de autenticación extensible con seguridad de la capa de transporte. Un método de autenticación que requiere certificados digitales tanto en el cliente como en el servidor.
Considerado el método más seguro para la autenticación de WiFi, que evita el robo de credenciales y los ataques AiTM.
RADIUS
Servicio de usuario de marcación de autenticación remota. Un protocolo de red que proporciona autenticación, autorización y contabilidad (AAA) centralizadas.
El protocolo que utilizan sus puntos de acceso para preguntar al servidor de autenticación: "¿Debo permitir el acceso de este dispositivo a la red?"
SCEP
Simple Certificate Enrollment Protocol. Un protocolo utilizado para emitir certificados de forma segura a dispositivos de red.
Utilizado por plataformas MDM como Intune para solicitar e instalar silenciosamente certificados de cliente en ordenadores portátiles y teléfonos corporativos.
MAC Authentication Bypass (MAB)
Un método de concesión de acceso a la red basado en la dirección MAC del dispositivo en lugar de en un nombre de usuario o certificado.
Utilizado como alternativa para dispositivos heredados (como impresoras antiguas o sensores IoT) que carecen de software para realizar un protocolo de enlace 802.1X.
Ataque Evil Twin
Un punto de acceso no autorizado que se hace pasar por un SSID corporativo legítimo para interceptar tráfico o robar credenciales.
EAP-TLS mitiga esto porque el dispositivo cliente está configurado para confiar únicamente en el certificado específico del servidor RADIUS corporativo legítimo.
Suplicante (Supplicant)
El cliente de software en el dispositivo final (por ejemplo, el gestor de WiFi de Windows) que gestiona el proceso de autenticación 802.1X.
Los equipos de TI deben configurar el suplicante a través de MDM para garantizar que se comporte de forma segura y no pida a los usuarios que acepten certificados de servidor que no son de confianza.
Acceso condicional
Políticas de Azure Entra ID que evalúan señales (usuario, ubicación, conformidad del dispositivo) para tomar decisiones de acceso.
Las soluciones modernas de Cloud RADIUS pueden comprobar el Acceso condicional durante el saludo WiFi, denegando el acceso a la red si Intune marca el dispositivo como no conforme.
Ejemplos prácticos
Una cadena de tiendas de retail de 500 establecimientos necesita asegurar los iPads internos utilizados para la gestión de inventario. Actualmente, utilizan una única clave PSK compartida en todas las tiendas. ¿Cómo deberían migrar a la autenticación de Azure Entra ID?
- Inscribir todos los iPads en Microsoft Intune.
- Desplegar una solución Cloud RADIUS integrada con el tenant corporativo de Entra ID.
- Configurar Intune para desplegar un certificado SCEP en cada iPad.
- Enviar un perfil de WiFi a través de Intune que configure los iPads para conectarse al SSID "Corporate-BOH" utilizando EAP-TLS, validando el certificado del servidor Cloud RADIUS.
- Actualizar los puntos de acceso Meraki/Aruba en las 500 tiendas para que apunten a las direcciones IP de Cloud RADIUS para el SSID "Corporate-BOH".
- Despliegue gradual: habilitar el nuevo SSID, verificar la conectividad de los iPads a través de los informes de Intune y, a continuación, retirar el SSID heredado con clave PSK.
Un campus universitario está migrando de Active Directory local a Azure Entra ID. Tienen miles de portátiles BYOD (Bring Your Own Device) de estudiantes que se conectan actualmente mediante PEAP-MSCHAPv2 (usuario y contraseña). ¿Cómo gestionan el BYOD en un entorno de Entra ID centrado en la nube?
- Desplegar un portal de incorporación (por ejemplo, SecureW2 JoinNow o una herramienta similar de incorporación BYOD).
- Los estudiantes se conectan a un SSID abierto de "Incorporación", que los redirige al portal.
- El portal solicita al estudiante que se autentique contra Azure Entra ID (utilizando su correo electrónico universitario y MFA).
- Tras una autenticación correcta, el portal genera un certificado de cliente único y configura automáticamente el dispositivo del estudiante para EAP-TLS.
- El dispositivo se conecta automáticamente al SSID seguro "Edu-Secure" utilizando el nuevo certificado.
Preguntas de práctica
Q1. Su organización está migrando a Azure Entra ID e Intune. Actualmente utiliza PEAP-MSCHAPv2 para el WiFi. El equipo de seguridad exige que la autenticación WiFi sea resistente al robo de credenciales. ¿Qué método EAP debería implementar?
Sugerencia: ¿Qué método se basa completamente en certificados en lugar de contraseñas?
Ver respuesta modelo
Debería implementar EAP-TLS. EAP-TLS utiliza autenticación mutua por certificado, lo que significa que el dispositivo cliente debe presentar un certificado válido emitido por su PKI. Al no utilizar contraseñas, es altamente resistente al robo de credenciales y a los ataques de intermediario (adversary-in-the-middle).
Q2. Tras implementar EAP-TLS a través de Intune, los usuarios informan de que no pueden conectarse al WiFi. Al examinar los registros de RADIUS, observa el mensaje "Error en la comprobación de revocación de certificados". ¿Cuál es la causa más probable?
Sugerencia: ¿Con qué infraestructura debe comunicarse el servidor RADIUS para verificar que un certificado no se ha visto comprometido?
Ver respuesta modelo
El servidor RADIUS no puede comunicarse con la Lista de revocación de certificados (CRL) o con el punto final OCSP de su Entidad de Certificación. Asegúrese de que los cortafuegos permiten al servidor RADIUS el acceso saliente a las URL HTTP especificadas en los certificados de los clientes.
Q3. Un hospital necesita conectar 50 monitores de ritmo cardíaco antiguos a la red. Estos dispositivos solo admiten WPA2-Personal (clave precompartida) y no se pueden registrar en Intune. ¿Cómo debería protegerlos manteniendo su implementación de Entra ID 802.1X para los ordenadores portátiles corporativos?
Sugerencia: No mezcle tipos de autenticación en el mismo SSID.
Ver respuesta modelo
Cree un SSID dedicado y separado específicamente para los dispositivos IoT médicos. Utilice una clave precompartida sólida y única (o Identity PSK/iPSK si su proveedor de red lo admite) o el bypass de autenticación de MAC (MAB). Lo más importante es que sitúe este SSID en una VLAN muy restringida con Listas de Control de Acceso (ACL) estrictas que solo permitan a los monitores comunicarse con su servidor médico específico, bloqueando cualquier otro acceso lateral a la red.
Continúe leyendo esta serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Esta guía de referencia técnica describe la arquitectura, configuración y despliegue de la autenticación RADIUS para redes WiFi empresariales de invitados y de personal. Proporciona a los arquitectos de redes y responsables de TI los protocolos exactos, los estándares de seguridad y las metodologías de resolución de problemas necesarios para crear sistemas de control de acceso inalámbrico seguros y escalables.
Passpoint y OpenRoaming: Guía completa
Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue necesarias para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de redes y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras mantienen una seguridad de nivel empresarial.
Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior
Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.