Integración de RADIUS as a Service con directorios en la nube (Azure AD y Google Workspace)
Esta guía de referencia técnica detalla cómo integrar RADIUS as a Service con directorios en la nube (Microsoft Entra ID y Google Workspace) para la autenticación WiFi empresarial. Cubre la transición arquitectónica de NPS local a RADIUS nativo de la nube, el despliegue de la autenticación EAP-TLS basada en certificados y las mejores prácticas operativas para proteger el acceso inalámbrico en entornos de hostelería, comercio minorista y sector público. Para los responsables de TI y arquitectos de redes que ya han invertido en identidad en la nube, esta guía cierra la brecha entre la gestión de directorios y la seguridad de la red física.
Escuchar esta guía
Ver transcripción del podcast
Executive summary
For modern enterprises invested in cloud identity ecosystems, bridging cloud directories with physical wireless networks is a critical security imperative. Historically, WiFi authentication relied on on-premise Active Directory Domain Services and Windows Network Policy Server (NPS). As organisations migrate to Microsoft Entra ID and Google Workspace, that on-premise authentication stack becomes a liability - costly to maintain, difficult to scale, and incompatible with zero-trust security models.
RADIUS as a Service (RADIUSaaS) changes the equation. A cloud-hosted RADIUS server integrates directly with your cloud directory, validates authentication requests in real time, and returns access decisions to your access points - with no on-premise servers, no patching cycles, and no single point of failure. Combined with EAP-TLS certificate-based authentication, this architecture eliminates credential theft, supports PCI DSS and GDPR compliance, and delivers a seamless experience for staff across every site.
This guide covers the architectural decision between on-premise NPS and cloud-native RADIUS, the deployment of EAP-TLS via Microsoft Intune and Google Admin Console, and the operational best practices for securing wireless access across hotels, retail estates, stadiums, and public-sector venues. For a broader introduction to network access control, see A Guide to Your Network Access Control System .
Technical deep-dive: architecture and standards
The role of RADIUS and IEEE 802.1X
The foundation of secure enterprise WiFi is the IEEE 802.1X standard, which provides port-based network access control. When a client device (the supplicant) attempts to connect to a WPA2-Enterprise or WPA3-Enterprise network, the Wireless Access Point (the authenticator) blocks all traffic except EAP (Extensible Authentication Protocol) packets. The AP forwards these packets to a RADIUS server. The RADIUS server validates the identity against a directory service and returns an Access-Accept or Access-Reject message. Only then does the AP grant network access.
This three-party model - supplicant, authenticator, authentication server - is the cornerstone of enterprise wireless security and is defined in IEEE 802.1X. It has not fundamentally changed since its introduction. What has changed is where the RADIUS server lives and how it communicates with your directory.
Cloud-native RADIUS architecture
A cloud-native RADIUS architecture eliminates the need for on-premise NPS or FreeRADIUS servers. A third-party Cloud RADIUS provider integrates directly with Microsoft Entra ID via Microsoft Graph API, or with Google Workspace via Google Secure LDAP or SAML/OAuth. Authentication happens entirely in the cloud. This aligns with zero-trust network access principles and significantly reduces operational overhead.
The table below compares the two primary architectural approaches:
| Dimension | Hybrid on-premise (NPS) | Cloud-native (RADIUSaaS) |
|---|---|---|
| Infrastructure | Windows Server VM or bare metal required | No on-premise servers |
| Identity source | AD DS via LDAP/Kerberos | Entra ID or Google Workspace via API |
| Certificate authority | ADCS on-premise + Intune Connector | Cloud PKI from vendor or Microsoft |
| High availability | Manual HA and load balancing | Auto-scaled by provider |
| Setup time | Days to weeks | Hours |
| Best for | Hybrid AD, legacy devices | Cloud-first, MDM-managed organisations |
| Operational complexity | Higher initial and ongoing | Lower operational overhead |
EAP-TLS vs. PEAP-MSCHAPv2: the critical choice
The choice of EAP method is the single most consequential security decision in this deployment. PEAP-MSCHAPv2 relies on users entering their domain credentials. This is vulnerable to credential theft and man-in-the-middle attacks. If a client device does not strictly validate the RADIUS server certificate - and many do not by default - an attacker can deploy a rogue access point with your SSID, intercept the EAP handshake, and capture credentials. This is an Evil Twin attack, and it is well-documented.
EAP-TLS (Transport Layer Security) uses digital certificates installed on the client device for mutual authentication. Both the client and the server prove their identity cryptographically. There are no passwords to type or steal. In a Microsoft environment, certificates deploy silently via Microsoft Intune using SCEP (Simple Certificate Enrollment Protocol) or PKCS profiles. This is the recommended path for all new deployments and is essential for compliance with PCI DSS v4.0 (Requirement 8.3 on strong authentication) and GDPR data protection obligations.
Google Workspace: the architectural difference
Microsoft Entra ID and Google Workspace differ in one important way for RADIUS integration. Microsoft NPS integrates natively with Active Directory, and Cloud RADIUS providers connect to Entra ID via Microsoft Graph API. Google, however, does not offer a native RADIUS service. You always need an intermediary.
Google Secure LDAP is the primary integration path. Available on Cloud Identity Premium and Google Workspace Enterprise editions, it provides a traditional LDAP interface to your cloud directory. Your Cloud RADIUS server connects to ldap.google.com on port 636 using client certificates that Google generates for you. From that point, the RADIUS server queries Google's directory to validate credentials or group memberships, just as it would query an on-premise Active Directory.
An alternative path uses SAML-based integration, where the Cloud RADIUS provider registers as a SAML application in Google Admin Console and performs an OAuth lookup at authentication time to verify the user's identity and group memberships in real time.
Implementation guide
Implementing RADIUSaaS with EAP-TLS requires coordinating identity, device management, and network infrastructure. The following five-phase approach applies to both Microsoft Entra ID and Google Workspace environments.
Phase 1: prepare identity and device management infrastructure
For Microsoft Entra ID: verify that your tenant has Microsoft 365 E3/E5 or Enterprise Mobility + Security (EMS) E3/E5 licensing. This includes Microsoft Intune and Conditional Access. Without Intune, automated certificate deployment is not possible.
For Google Workspace: confirm you have Cloud Identity Premium or Google Workspace Enterprise to access Google Secure LDAP. If you plan to use EAP-TLS on managed Chromebooks, ensure the Google Admin Console is configured to manage device certificates.
Establish your Public Key Infrastructure (PKI). For new deployments, a cloud-native PKI provided by your Cloud RADIUS vendor is strongly recommended. Alternatives include Microsoft Cloud PKI (available with Intune Suite licensing) or an existing on-premise ADCS deployment connected via the Microsoft Intune Certificate Connector.
Phase 2: configure certificate deployment
Microsoft Intune path: in the Intune admin centre, create a Trusted Certificate configuration profile. Upload the Root CA certificate and deploy it to your target device groups. This ensures client devices trust the certificate presented by the RADIUS server during the TLS handshake. Next, create a SCEP Certificate profile. For user-based authentication, set the Subject Name to CN={{UserPrincipalName}}. For device-based authentication, use CN={{DeviceName}}. Set the Subject Alternative Name to include the User Principal Name or device ID.
Google Admin Console path: navigate to Devices, then Networks, then Certificates. Upload your Root CA. Configure a certificate issuance mechanism - either a cloud PKI that supports SCEP integration with Google Workspace, or the Google Cloud Certificate Connector which proxies requests to an on-premise Microsoft Certificate Authority. Deploy the Root CA and client certificate profiles to the appropriate Organisational Units.
Phase 3: configure Cloud RADIUS integration
Grant your Cloud RADIUS provider the necessary API permissions in your directory tenant. For Entra ID, this requires at minimum User.Read.All and GroupMember.Read.All via Microsoft Graph API. Some providers also require Device.Read.All for device compliance checks. For Google Workspace via Secure LDAP, download the client certificate and key from Google Admin Console and install them on the RADIUS service.
Define your authentication policies within the Cloud RADIUS management portal. A well-structured policy for a corporate environment: "Allow access if the certificate is issued by [Trusted CA] AND the user is a member of the [Corporate-WiFi-Users] group AND the device is marked Compliant in Intune." This enforces identity, group membership, and device health simultaneously.
Phase 4: configure wireless infrastructure
In your wireless LAN controller or cloud management dashboard - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet - add the Cloud RADIUS server IP addresses and shared secrets as RADIUS authentication servers. Configure primary and secondary servers for redundancy. Set the RADIUS timeout to a minimum of five seconds to accommodate cloud round-trip latency.
Create a new SSID configured for WPA2-Enterprise or WPA3-Enterprise. For Hospitality deployments, ensure the corporate SSID is on a separate VLAN from any Guest WiFi network. For Retail environments, consider deploying the corporate SSID only in back-of-house areas.
Phase 5: deploy WiFi profile via MDM
Microsoft Intune: create a WiFi configuration profile. Set the SSID to match your infrastructure configuration exactly. Select WPA2-Enterprise or WPA3-Enterprise. Under EAP settings, select EAP-TLS. Link the SCEP certificate profile as the client certificate and specify the Trusted Root CA profile. Assign this WiFi profile to the same device groups that received the certificate profiles. Devices silently receive the certificate and the WiFi configuration during their next Intune sync.
Google Admin Console: navigate to Devices, then Networks, then Wi-Fi. Create a new WiFi network profile. Set the SSID, select WPA3-Enterprise, choose EAP-TLS, and push the trusted Root CA certificate to the devices. Apply this profile to your Organisational Units. Chromebooks connect silently and securely.
Best practices
Mandate EAP-TLS across all new deployments. Do not deploy new networks using PEAP-MSCHAPv2. The security risks are well-documented and the migration path is straightforward with modern MDM tooling.
Enforce strict server certificate validation. If you must use PEAP for legacy devices, configure the devices to validate the RADIUS server's certificate. In the Intune WiFi profile and in the Google Admin Console WiFi profile, there is a field to specify the trusted CA for server validation. Do not leave this blank. This single configuration decision is the difference between a secure deployment and a vulnerable one.
Segment your network with dynamic VLAN assignment. Use your RADIUS server to inspect the user's group membership in Entra ID or Google Workspace and dynamically assign them to different VLANs. The RADIUS server returns the Tunnel-Private-Group-Id attribute to the access point, which places the client on the correct VLAN. This limits lateral movement in the event of a compromise and supports PCI DSS network segmentation requirements.
Separate corporate and guest authentication. Use EAP-TLS for corporate-managed devices. Use a captive portal with SSO for BYOD and guest devices. Trying to manually configure EAP-TLS on unmanaged devices creates excessive support overhead. Purple's Guest WiFi platform handles guest onboarding separately, maintaining a clean separation between staff and visitor traffic.
Monitor certificate expiry proactively. Set up monitoring and alerting at 90 days, 30 days, and seven days before certificate expiry. If your RADIUS server certificate expires, all devices lose connectivity simultaneously. Automate renewal where your PKI supports it.
Test RADIUS timeout settings. Cloud RADIUS introduces network round-trip latency that on-premise NPS does not. Set the RADIUS timeout on your access points to at least five seconds. A timeout of two seconds - common in default configurations - will cause intermittent authentication failures.
Troubleshooting and risk mitigation
Blocked firewall ports are the leading cause of initial deployment failure. RADIUS authentication requires UDP port 1812 outbound from your wireless infrastructure to the Cloud RADIUS service. RADIUS accounting requires UDP port 1813. Verify these are open before any other troubleshooting.
Certificate validation failures present as authentication rejections with no obvious cause. Check the following in order: certificate expiry on both the client and the RADIUS server; clock skew between the client device and the RADIUS server (EAP-TLS relies on accurate timekeeping); and whether the Root CA certificate has been successfully deployed to the device via MDM.
Group membership not enforcing is a common issue when RADIUS policies reference Entra ID or Google Workspace groups. Verify that the Cloud RADIUS provider has the correct API permissions to read group memberships. In Entra ID, confirm the service principal has GroupMember.Read.All. In Google Workspace, confirm the Secure LDAP client has permission to read group information.
VLAN assignment not working typically indicates a mismatch between the RADIUS attribute values and the VLAN IDs configured on the wireless infrastructure. Confirm that Tunnel-Type is set to VLAN (value 13), Tunnel-Medium-Type is set to 802 (value 6), and Tunnel-Private-Group-Id matches the VLAN ID configured on the switch or controller.
BYOD devices failing EAP-TLS usually indicates the client certificate was not successfully deployed. For Intune-managed devices, check the device's certificate store in the Intune admin centre. For Google-managed Chromebooks, verify the certificate profile is assigned to the correct Organisational Unit and that the device has synced recently.
ROI and business impact
Moving to Cloud RADIUS delivers measurable operational savings. On-premise RADIUS requires at minimum two servers for high availability, ongoing OS patching, certificate management, and specialist engineering time. A single engineer's time spent on RADIUS maintenance over a year typically exceeds the annual cost of a Cloud RADIUS subscription.
The business case extends beyond cost reduction. By tying network access to verified cloud identities, you gain:
Instant offboarding. Disabling a user in Entra ID or Google Workspace immediately revokes their network access at all sites. There is no lag, no manual process, and no risk of a former employee retaining WiFi access. This directly supports GDPR obligations around data access rights.
Richer analytics. Platforms like Purple's WiFi Analytics provide richer data on space utilisation and visitor journeys when network access is tied to authenticated identities. You move from anonymous MAC addresses to named, authenticated users, which transforms the quality of insight available to operations and marketing teams.
Compliance evidence. EAP-TLS authentication generates detailed access logs - who connected, from which device, at which location, and at what time. This audit trail supports PCI DSS Requirement 10 (logging and monitoring) and GDPR accountability obligations.
Multi-site consistency. A single Cloud RADIUS service authenticates all your sites with consistent policies, managed from one dashboard. Adding a new hotel, store, or venue means adding its access points to the RADIUS configuration - not shipping and configuring another server. For organisations managing large estates, this is a significant operational advantage.
For Transport operators and Healthcare venues where network uptime is operationally critical, Cloud RADIUS providers typically offer 99.999% uptime SLAs with multi-region failover built in. Purple operates at 99.999% uptime across 80,000+ live venues, with 440 million logins processed in 2024 (Purple internal data, 2024).
For further reading on related topics, see WAN Computer Definition: A Practical Guide for 2026 and World WiFi Day 2026: How Your Venue Can Help Bridge the Digital Divide .
Definiciones clave
RADIUS (Remote Authentication Dial-In User Service)
Un protocolo de red definido en RFC 2865 que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan a un servicio de red. El servidor RADIUS actúa como el motor de decisiones entre sus puntos de acceso y su directorio de identidades.
Cada red WiFi empresarial WPA2-Enterprise o WPA3-Enterprise depende de un servidor RADIUS. Sin él, la autenticación IEEE 802.1X no funciona.
RADIUS as a Service (RADIUSaaS)
Una implementación de RADIUS alojada en la nube que se ofrece como un servicio gestionado. El proveedor mantiene la infraestructura, los parches, la alta disponibilidad y las integraciones con proveedores de identidad. Usted configura las políticas de autenticación y apunta sus puntos de acceso a las IP de Cloud RADIUS.
RADIUSaaS elimina la necesidad de servidores NPS o FreeRADIUS locales, suprimiendo los costes indirectos asociados de hardware, parches de sistema operativo y mantenimiento especializado.
IEEE 802.1X
Un estándar IEEE para el control de acceso a la red basado en puertos. Define el modelo de autenticación de tres partes: el suplicante (dispositivo cliente), el autenticador (punto de acceso o conmutador) y el servidor de autenticación (servidor RADIUS). El autenticador bloquea todo el tráfico hasta que el servidor RADIUS concede el acceso.
El estándar fundamental para la autenticación WiFi empresarial. Tanto WPA2-Enterprise como WPA3-Enterprise dependen de 802.1X.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
Un método de autenticación definido en RFC 5216 que utiliza certificados digitales tanto en el servidor RADIUS como en el dispositivo cliente para la autenticación mutua. Ninguna de las partes envía una contraseña. El cliente presenta su certificado; el servidor lo valida contra el directorio en tiempo real.
El estándar de oro para la seguridad WiFi empresarial. Elimina el robo de credenciales, el phishing y los costes indirectos de soporte técnico relacionados con las contraseñas. Requerido para el cumplimiento de PCI DSS en redes de datos de titulares de tarjetas.
PEAP-MSCHAPv2 (Protected EAP - Microsoft Challenge Handshake Authentication Protocol v2)
Un método de autenticación que crea un túnel TLS cifrado y luego envía el nombre de usuario y la contraseña del usuario a través de él. Es vulnerable a ataques de tipo Evil Twin si el cliente no valida estrictamente el certificado del servidor RADIUS.
El valor predeterminado heredado para WiFi empresarial. Sigue estando ampliamente desplegado, pero debe migrarse a EAP-TLS en todos los despliegues nuevos y existentes siempre que sea posible.
Microsoft Entra ID
El servicio de gestión de accesos e identidades basado en la nube de Microsoft, anteriormente conocido como Azure Active Directory (Azure AD). Gestiona identidades de usuario, pertenencias a grupos, cumplimiento de dispositivos y políticas de acceso condicional.
La fuente de identidad principal para Cloud RADIUS en entornos centrados en Microsoft. Los proveedores de Cloud RADIUS se conectan a Entra ID a través de la API de Microsoft Graph.
Google Secure LDAP
Un servicio gestionado disponible en las ediciones Cloud Identity Premium y Google Workspace Enterprise que proporciona una interfaz LDAP tradicional al directorio en la nube de Google. Los servidores RADIUS se conectan a ldap.google.com en el puerto 636 utilizando certificados de cliente.
La ruta de integración principal para conectar un servidor Cloud RADIUS a Google Workspace. Google no ofrece un servicio RADIUS nativo, por lo que Secure LDAP actúa como puente.
PKI (Public Key Infrastructure)
El conjunto de funciones, políticas, hardware, software y procedimientos necesarios para crear, gestionar, distribuir, utilizar, almacenar y revocar certificados digitales. Se requiere una PKI para emitir los certificados de cliente y servidor utilizados en la autenticación EAP-TLS.
Las opciones de PKI nativas de la nube de los proveedores de RADIUS o Microsoft (Cloud PKI) eliminan la necesidad de Active Directory Certificate Services (ADCS) locales.
SCEP (Simple Certificate Enrollment Protocol)
Un protocolo que permite a los dispositivos solicitar y recibir certificados digitales de una autoridad de certificación de forma automática. Utilizado por Microsoft Intune y Google Admin Console para desplegar certificados de cliente en dispositivos gestionados sin interacción del usuario.
Los perfiles SCEP en Intune son el mecanismo mediante el cual los dispositivos corporativos reciben de forma silenciosa los certificados de cliente necesarios para la autenticación EAP-TLS.
Dynamic VLAN assignment
Una función de RADIUS que devuelve atributos de asignación de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) al punto de acceso según la pertenencia al grupo de directorio del usuario autenticado. El AP coloca al cliente en la VLAN especificada automáticamente.
Permite una segmentación de red granular sin configuración manual de VLAN por dispositivo. El personal con diferentes funciones o departamentos accede a diferentes segmentos de red, lo que limita el movimiento lateral y respalda los requisitos de segmentación de PCI DSS.
Ejemplos prácticos
Un hotel de 200 habitaciones está migrando la red de su personal interno de un servidor NPS local antiguo a una solución nativa de la nube. El hotel se ha trasladado recientemente a Microsoft Entra ID y Microsoft 365 E5. Los dispositivos del personal son portátiles Windows gestionados por Intune. La infraestructura inalámbrica es Cisco Meraki. El hotel necesita que el personal se conecte automáticamente sin solicitudes de contraseña y requiere la revocación instantánea cuando un miembro del personal deja la empresa.
Despliegue una solución Cloud RADIUS con integración de Entra ID. Paso 1: conceda al proveedor de Cloud RADIUS permisos de la API de Microsoft Graph (User.Read.All, GroupMember.Read.All, Device.Read.All) en el inquilino de Entra ID. Paso 2: en Intune, cree un perfil de Certificado de confianza con la CA raíz de Cloud RADIUS y despliéguelo en el grupo 'All Corporate Devices'. Paso 3: cree un perfil de Certificado SCEP con el nombre de sujeto CN={{UserPrincipalName}} y despliéguelo en el mismo grupo. Paso 4: configure la política de autenticación de Cloud RADIUS: permita el acceso si el certificado está emitido por [Trusted CA] Y el usuario es miembro del grupo de Entra ID [Hotel-Staff-WiFi] Y el dispositivo cumple con Intune. Paso 5: en el panel de Cisco Meraki, añada las IP primaria y secundaria de Cloud RADIUS como servidores RADIUS en el SSID del personal interno. Establezca el tiempo de espera de RADIUS en 5 segundos. Paso 6: en Intune, cree un perfil de WiFi WPA3-Enterprise para el SSID del personal interno, especificando EAP-TLS y vinculando el perfil de certificado SCEP. Despliéguelo en el grupo 'All Corporate Devices'. Los dispositivos reciben de forma silenciosa el certificado y el perfil de WiFi en la siguiente sincronización de Intune y se conectan automáticamente. Cuando un miembro del personal se marcha, al desactivar su cuenta de Entra ID se revoca inmediatamente el acceso a la red en todos los sitios.
Una cadena de tiendas con 50 establecimientos utiliza Google Workspace y gestiona una flota de 500 Chromebooks utilizados por los empleados de las tiendas para operaciones de inventario y punto de venta. Actualmente utilizan una clave WPA2 PSK compartida para la red de operaciones de la tienda, lo que genera un riesgo de seguridad cuando se pierden o roban dispositivos. Quieren migrar a la autenticación 802.1X sin desplegar servidores locales en cada tienda. Su infraestructura inalámbrica es HPE Aruba.
Despliegue una solución Cloud RADIUS con integración de Google Workspace a través de Google Secure LDAP. Paso 1: en Google Admin Console, navegue a Aplicaciones, luego a LDAP y añada un nuevo cliente LDAP para el servicio Cloud RADIUS. Configure los permisos de lectura para la información del usuario y la pertenencia a grupos. Descargue el certificado de cliente y la clave generados. Paso 2: configure el servicio Cloud RADIUS con las credenciales de Google Secure LDAP. Paso 3: configure una PKI en la nube para emitir certificados a los Chromebooks. En Google Admin Console, navegue a Dispositivos, luego a Redes, luego a Certificados y cargue la CA raíz. Configure el perfil de emisión de certificados y aplíquelo a la Unidad Organizativa Store-Associates. Paso 4: en Google Admin Console, cree un perfil de WiFi WPA3-Enterprise para el SSID de operaciones de la tienda. Configure EAP-TLS, vincule la CA raíz y aplíquelo a la OU Store-Associates. Los Chromebooks reciben el certificado y el perfil de WiFi en la siguiente sincronización de Admin Console. Paso 5: en HPE Aruba Central, configure el SSID de operaciones de la tienda con WPA3-Enterprise y añada las IP primaria y secundaria de Cloud RADIUS. Establezca el tiempo de espera de RADIUS en 5 segundos. Configure la asignación dinámica de VLAN para ubicar a los empleados de la tienda en la VLAN 20 (operaciones de la tienda) según su pertenencia a grupos de Google Workspace. Cuando un Chromebook se pierde o se roba, al eliminarlo de la OU Store-Associates se revoca inmediatamente su acceso a la red.
Preguntas de práctica
Q1. Su organización está migrando de Active Directory local a Microsoft Entra ID. Actualmente utiliza PEAP-MSCHAPv2 para la autenticación WiFi en 300 portátiles corporativos gestionados por Intune. Dispone de licencias Microsoft 365 E5. ¿Cuál es la ruta más segura y operativamente eficiente para migrar la autenticación WiFi a una arquitectura nativa de la nube?
Sugerencia: Considere las vulnerabilidades de la autenticación basada en credenciales, las capacidades de Microsoft Intune para el despliegue de certificados y la necesidad de evitar dependencias de infraestructura local.
Ver respuesta modelo
Despliegue una solución Cloud RADIUS con integración de Entra ID. Utilice Microsoft Intune para desplegar un perfil de Certificado de confianza (CA raíz) y un perfil de Certificado SCEP en los 300 portátiles. Configure la política de autenticación de Cloud RADIUS para requerir un certificado válido de la CA de confianza y la pertenencia al grupo de Entra ID Corporate-WiFi-Users. Cree un perfil de WiFi WPA3-Enterprise en Intune especificando EAP-TLS y vincule el perfil de certificado SCEP. Los dispositivos reciben de forma silenciosa el certificado y la configuración de WiFi en la siguiente sincronización de Intune. Esto elimina el riesgo de robo de credenciales de PEAP-MSCHAPv2, suprime la dependencia de NPS local y proporciona una revocación instantánea cuando se desactiva una cuenta de Entra ID.
Q2. Un usuario de su hotel informa de que no puede conectarse a la WiFi del personal interno tras regresar de unas vacaciones de dos semanas. El resto del personal se conecta sin problemas. La red utiliza EAP-TLS con certificados desplegados a través de Intune. ¿Cuáles son las tres causas más probables, por orden de probabilidad?
Sugerencia: EAP-TLS se basa en activos criptográficos sensibles al tiempo y consultas de directorio en tiempo real.
Ver respuesta modelo
- El certificado de cliente del usuario ha caducado. Los certificados tienen un período de validez definido y, si el dispositivo estuvo desconectado durante la ventana de renovación, es posible que el perfil SCEP no lo haya renovado. Compruebe la fecha de caducidad del certificado en el almacén de certificados de dispositivos de Intune. 2. El reloj del sistema del dispositivo está significativamente desincronizado (desviación del reloj), lo que provoca que falle la validación del certificado. EAP-TLS valida las marcas de tiempo de los certificados; un reloj desincronizado por más de cinco minutos provocará fallos de autenticación. 3. La cuenta de Entra ID del usuario se asignó a un grupo diferente durante su ausencia (por ejemplo, se trasladó de personal activo a una OU diferente) y la política de autenticación RADIUS ya no coincide con su pertenencia al grupo. Compruebe las pertenencias a grupos del usuario en Entra ID con respecto a la política de RADIUS.
Q3. Usted es el responsable de TI de una cadena de tiendas con 80 establecimientos. Utiliza Google Workspace y gestiona 400 Chromebooks a través de Google Admin Console. Desea reemplazar la PSK WPA2 compartida actual en la red de operaciones de la tienda con autenticación 802.1X. No tiene servidores locales en ninguna ubicación de tienda. ¿Qué arquitectura despliega y cuál es el principal beneficio de seguridad sobre el enfoque PSK actual?
Sugerencia: Considere qué sucede cuando se pierde o roba un Chromebook bajo cada modelo de autenticación.
Ver respuesta modelo
Despliegue un servicio Cloud RADIUS con integración de Google Secure LDAP. Configure una PKI en la nube para emitir certificados a los Chromebooks. En Google Admin Console, despliegue la CA raíz y un perfil de certificado de cliente SCEP en la Unidad Organizativa Store-Associates. Cree un perfil de WiFi WPA3-Enterprise especificando EAP-TLS y despliéguelo en la misma OU. Configure los puntos de acceso HPE Aruba (o equivalente) en cada tienda para que apunten al servicio Cloud RADIUS. El principal beneficio de seguridad: bajo la PSK compartida actual, un Chromebook perdido o robado conserva el acceso WiFi hasta que se rote la PSK en las 80 tiendas, un proceso disruptivo y que requiere mucho tiempo. Con EAP-TLS, eliminar el dispositivo de la OU Store-Associates en Google Admin Console revoca inmediatamente su certificado y acceso a la red, sin afectar a ningún otro dispositivo.
Q4. Durante un despliegue de Cloud RADIUS, configura el SSID en los puntos de acceso Cisco Meraki y despliega el perfil de WiFi de Intune en un grupo piloto de 20 dispositivos. Ninguno de los dispositivos puede conectarse. El estado del dispositivo en Intune muestra que el certificado y el perfil de WiFi se han desplegado correctamente. ¿Qué es lo primero que comprueba?
Sugerencia: La causa más común del fallo del despliegue inicial no es un error de configuración en la política de RADIUS o en el certificado.
Ver respuesta modelo
Compruebe que los puertos UDP 1812 y 1813 estén abiertos de salida desde los puntos de acceso Cisco Meraki (o la infraestructura en la nube de Meraki) hacia las direcciones IP del servidor Cloud RADIUS. Los puertos de cortafuegos bloqueados son la causa principal del fallo del despliegue inicial. El hecho de que los certificados y los perfiles de WiFi se despli queen correctamente descarta problemas de configuración de Intune. Las siguientes comprobaciones son: discrepancia en el secreto compartido de RADIUS entre Meraki y el servicio Cloud RADIUS; tiempo de espera de RADIUS configurado demasiado bajo (auméntelo a al menos 5 segundos); y si las IP del servidor Cloud RADIUS se han introducido correctamente en la configuración del SSID de Meraki.
Continúe leyendo esta serie
Las ventajas de seguridad de RADIUS as a Service para plantillas híbridas
Esta guía técnica de referencia explica cómo RADIUS as a Service protege el acceso a la red para plantillas híbridas en centros distribuidos. Abarca la arquitectura, las ventajas de seguridad y los pasos de implementación para sustituir la infraestructura RADIUS local por un servicio de autenticación gestionado en la nube. Diseñada para responsables de TI y arquitectos de redes de hoteles, cadenas de tiendas, estadios y organismos del sector público, esta guía aporta los argumentos necesarios para evaluar y ejecutar la migración a un RADIUS en la nube este trimestre.
Cómo implementar la autenticación 802.1X con Cloud RADIUS
Esta guía de referencia técnica proporciona un marco integral para implementar la autenticación 802.1X con Cloud RADIUS en entornos empresariales distribuidos. Detalla la arquitectura, la selección del método EAP, la secuencia de despliegue y las estrategias de mitigación de riesgos necesarias para proteger el acceso a la red, eliminando al mismo tiempo los costes operativos de la infraestructura local.
¿Qué es Cloud RADIUS? Una guía completa de RADIUS como servicio
Esta guía completa analiza Cloud RADIUS (RADIUS como servicio), detallando su arquitectura, métodos EAP y estrategias de implementación. Proporciona a los líderes de TI información práctica sobre la migración de servidores locales a un modelo de autenticación basado en la nube, escalable, seguro y conforme a las normativas.