Saltar al contenido principal
Español (México)

Cómo configurar Azure Entra ID (Azure AD) para la autenticación de WiFi

Esta guía autoritativa detalla la arquitectura, los pasos de implementación y el impacto empresarial de integrar Azure Entra ID con 802.1X para la autenticación de WiFi empresarial. Proporciona a los arquitectos de red y gerentes de TI estrategias prácticas de implementación, reemplazando las PSK heredadas con un acceso a la red basado en certificados de confianza cero.

📖 4 min de lectura📝 945 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
[INTRO - 1 MIN] Presentador: Bienvenidos al Purple Enterprise Network Briefing. Soy su anfitrión, y hoy abordaremos una actualización de infraestructura crítica que es prioridad para los CTO y arquitectos de red: migrar la autenticación de su WiFi corporativo a Azure Entra ID, anteriormente Azure AD. Si gestionan una cadena de hoteles, un estadio o una gran implementación del sector público, conocen el dolor de cabeza que representan los servidores RADIUS locales heredados y las PSK compartidas. Hoy hablaremos sobre el acceso a la red de confianza cero, específicamente sobre cómo implementar la autenticación basada en certificados 802.1X utilizando Azure Entra ID. Sin rodeos, solo la realidad técnica de poner esto en marcha. [TECHNICAL DEEP-DIVE - 5 MIN] Presentador: Vayamos directo a la arquitectura. Los días de WPA2-Personal con una contraseña compartida en una nota adhesiva han terminado. In un entorno empresarial moderno, ya sea que estén protegiendo las operaciones de la parte trasera de la tienda en un entorno minorista o las redes del personal en un hospital, necesitan un acceso basado en la identidad. Cuando hablamos de Azure Entra ID para WiFi, nos referimos fundamentalmente a EAP-TLS. Eso es el Protocolo de Autenticación Extensible con Seguridad de la Capa de Transporte. Es el estándar de oro. ¿Por qué? Porque se basa en certificados, no en contraseñas. Las contraseñas pueden ser objeto de phishing, compartirse o descifrarse por fuerza bruta. Los certificados vinculados a un dispositivo administrado a través de Intune no. Entonces, ¿cómo fluye el tráfico? Un dispositivo corporativo, digamos una laptop administrada, intenta conectarse al SSID corporativo. El punto de acceso inalámbrico, actuando como el autenticador, bloquea el acceso y pasa las credenciales a través de RADIUS a su servidor de autenticación. Ahora bien, Azure Entra ID no habla RADIUS de forma nativa. Este es el puente arquitectónico crítico. Necesitan un proveedor de Cloud RADIUS o un Servidor de Políticas de Red (NPS) local con la extensión Azure MFA. El dispositivo presenta su certificado de cliente. El servidor RADIUS valida ese certificado contra su Autoridad de Certificación, a menudo gestionada a través de SCEP en Intune. Si el certificado es válido, el servidor RADIUS consulta a Azure Entra ID para asegurarse de que la cuenta de usuario esté activa, no deshabilitada y cumpla con las políticas de Conditional Access. Solo entonces el servidor RADIUS envía un mensaje de Access-Accept de vuelta al punto de acceso, colocando al usuario en la VLAN correcta. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Presentador: Ahora, ¿dónde suelen fallar las implementaciones? Veo tres errores comunes. Primero: la disponibilidad de la Lista de Revocación de Certificados (CRL). Si su servidor RADIUS no puede comunicarse con la CRL, la autenticación falla. Asegúrense de que sus endpoints de CRL sean altamente disponibles y accesibles desde la infraestructura RADIUS. Segundo: la configuración del supplicant. No dejen esto en manos del usuario final. Utilicen su MDM (Microsoft Intune, Workspace ONE, el que usen) para enviar el perfil de WiFi. El perfil debe definir explícitamente la CA raíz de confianza y especificar que el cliente solo debe conectarse a los nombres específicos de su servidor RADIUS. Si no hacen esto, son vulnerables a ataques de Evil Twin. Tercero: los dispositivos heredados. Los dispositivos IoT, las terminales de punto de venta o los escáneres de códigos de barras más antiguos en un almacén a menudo no admiten 802.1X o EAP-TLS. Deben planificar una estrategia de MAC Authentication Bypass (MAB) o una red dedicada con clave precompartida con un aislamiento de red estricto para estos dispositivos. No comprometan su SSID corporativo principal por una impresora heredada. [RAPID-FIRE Q&A - 1 MIN] Presentador: Respondamos algunas preguntas rápidas que escuchamos de los arquitectos de red. Pregunta uno: ¿Podemos usar PEAP-MSCHAPv2 con Azure Entra ID? Respuesta: Sí, a través de NPS, pero Microsoft está descontinuando activamente la autenticación basada en credenciales. Migren a EAP-TLS. Es más seguro y proporciona una mejor experiencia de usuario. Pregunta dos: ¿Cómo se integra esto con el WiFi para invitados de Purple? Respuesta: Manténganlos separados. Su red corporativa utiliza 802.1X vinculado a Azure Entra ID. Su red de invitados utiliza un SSID abierto con un Captive Portal impulsado por Purple para análisis, aceptación de términos y captura de datos de marketing. Incluso pueden usar la autenticación basada en perfiles de Purple para visitas recurrentes fluidas de los invitados, manteniendo ese tráfico completamente aislado de sus datos corporativos. [SUMMARY & NEXT STEPS - 1 MIN] Presentador: Para resumir: migrar a Azure Entra ID para la autenticación de WiFi es un paso fundamental hacia una arquitectura de confianza cero. Elimina los tickets de soporte para la rotación de contraseñas, mitiga el robo de credenciales y garantiza que solo los dispositivos administrados y conformes accedan a su red interna. ¿Su siguiente paso? Auditar su infraestructura RADIUS actual. Si están ejecutando un NPS heredado de forma local, evalúen soluciones de Cloud RADIUS que se integren directamente con Azure Entra ID e Intune. Diseñen su estrategia de implementación de certificados. Gracias por acompañarnos en este informe técnico. Protejan sus redes y nos vemos la próxima vez.

header_image.png

Resumen Ejecutivo

Para los CTO y arquitectos de red que gestionan entornos complejos —desde espacios de Hospitality a gran escala hasta entornos dinámicos de Retail — proteger la red corporativa ya no es solo cuestión de contraseñas seguras. Las claves precompartidas (PSK) heredadas y la autenticación básica de credenciales son fundamentalmente incompatibles con las arquitecturas modernas de zero-trust.

Esta guía detalla la transición a la autenticación WiFi basada en certificados 802.1X integrada directamente con Azure Entra ID (anteriormente Azure AD). Al migrar a EAP-TLS (Protocolo de Autenticación Extensible con Seguridad de la Capa de Transporte), las organizaciones pueden eliminar los riesgos asociados con el robo de credenciales, automatizar la incorporación de dispositivos a través de la gestión de dispositivos móviles (MDM) y garantizar que solo los dispositivos gestionados y conformes puedan acceder a las VLAN corporativas sensibles. Exploraremos la arquitectura técnica, los pasos de implementación y cómo esta postura de seguridad corporativa corre en paralelo con las estrategias de red de invitados gestionadas por plataformas como Purple.

Análisis Técnico Profundo

El Cambio de Credenciales a Certificados

Históricamente, el WiFi empresarial dependía de PEAP-MSCHAPv2, lo que requería que los usuarios ingresaran sus credenciales de dominio. Sin embargo, Microsoft está descontinuando activamente la autenticación basada en credenciales debido a su vulnerabilidad a los ataques de adversario en el medio (AiTM). El estándar de la industria ahora es EAP-TLS, que utiliza autenticación mutua por certificados.

In una implementación EAP-TLS, tanto el servidor RADIUS como el dispositivo cliente presentan certificados digitales. Si un dispositivo carece de un certificado válido emitido por su Autoridad de Certificación (CA) de confianza, el servidor RADIUS rechaza la conexión antes de que el dispositivo obtenga siquiera una dirección IP.

architecture_overview.png

El Puente Arquitectónico: RADIUS y Entra ID

Azure Entra ID es un proveedor de identidad (IdP) en la nube que utiliza protocolos modernos como SAML y OIDC; no habla de forma nativa RADIUS, el protocolo utilizado por los puntos de acceso inalámbricos (WAP). Para cerrar esta brecha, los arquitectos de red deben implementar un servidor RADIUS que pueda comunicarse con Entra ID. Esto se logra típicamente a través de:

  1. Soluciones RADIUS en la Nube: Plataformas diseñadas específicamente (por ejemplo, SecureW2, SCEPman o Portnox) que se integran directamente con Entra ID e Intune a través de API.
  2. Servidor de Políticas de Red (NPS) Local: Utilizando la extensión Azure MFA, aunque esto se considera cada vez más como un enfoque heredado en comparación con RADIUS nativo de la nube.

eap_comparison_chart.png

Guía de Implementación

La implementación de Azure Entra ID para la autenticación WiFi requiere la coordinación entre los equipos de identidad, gestión de dispositivos e infraestructura de red.

Paso 1: Establecer la Infraestructura de Clave Pública (PKI)

Debe establecer una CA para emitir certificados de cliente y servidor. En un entorno que prioriza la nube, esto suele ser una PKI en la nube integrada con Microsoft Intune a través del Protocolo de Inscripción de Certificados Simple (SCEP).

Paso 2: Configurar el Servidor RADIUS

Implemente su infraestructura RADIUS y vincúlela a su inquilino de Entra ID. El servidor RADIUS necesita su propio certificado de servidor, de confianza para sus dispositivos cliente, para demostrar su identidad durante el saludo EAP.

Paso 3: Implementar Perfiles MDM a través de Intune

No dependa de que los usuarios configuren manualmente sus ajustes de WiFi. Utilice Intune para enviar un perfil de WiFi completo que incluya:

  • El certificado de la CA raíz de confianza.
  • El perfil SCEP para solicitar el certificado de cliente.
  • La configuración de WiFi en sí, definiendo explícitamente el SSID y los nombres de servidor exactos de su infraestructura RADIUS para evitar ataques de gemelo malvado.

Paso 4: Configurar el Controlador de LAN Inalámbrica (WLC)

Configure sus puntos de acceso o WLC para usar WPA2/WPA3-Enterprise (802.1X). Dirija el tráfico de autenticación y contabilidad a las nuevas direcciones IP de su servidor RADIUS y configure los secretos compartidos de RADIUS.

> "Al configurar 802.1X, asegúrese de que los valores de tiempo de espera de RADIUS en el WLC sean suficientes para manejar la latencia de la validación de certificados basada en la nube, aumentando típicamente de 2 a 5 segundos." [1]

Mejores Prácticas

  • Separar el Tráfico Corporativo y de Invitados: Los dispositivos corporativos deben usar 802.1X vinculado a Entra ID. Los dispositivos de invitados deben usar un SSID abierto con un Captive Portal. Para un acceso de invitados y analíticas robustos, aproveche las soluciones de Guest WiFi . Esto garantiza el aislamiento completo del tráfico no confiable.
  • Implementar el Bypass de Autenticación MAC (MAB) con Cuidado: Los dispositivos IoT y el hardware heredado (por ejemplo, escáneres antiguos en centros de Transport ) a menudo no son compatibles con 802.1X. Coloque estos en un SSID separado usando MAB o una PSK dedicada, y restrinja su acceso a la red mediante ACL estrictas.
  • Priorizar la Revocación de Certificados: Asegúrese de que sus puntos finales de Lista de Revocación de Certificados (CRL) o del Protocolo de Estado de Certificados en Línea (OCSP) estén altamente disponibles. Si el servidor RADIUS no puede verificar el estado de revocación, la autenticación fallará.

Resolución de Problemas y Mitigación de Riesgos

Cuando las implementaciones fallan, rara vez es culpa del IdP en la nube. Los modos de falla comunes incluyen:

  • Desviación del Reloj: EAP-TLS es altamente sensible al tiempo. Asegúrese de que todos los componentes de la infraestructura, especialmente el WLC y los servidores RADIUS, estén sincronizados a través de NTP.
  • Retrasos de Sincronización de Intune: Cuando se registra un nuevo dispositivo, puede tomar tiempo para que se emita el certificado SCEP y el dispositivo intente la conexión. Planifique esta latencia durante la incorporación.
  • Discrepancia en el Nombre del Servidor Radius: Si el nombre del servidor definido en el perfil de WiFi de Intune no coincide exactamente con el Nombre Común (CN) o el Nombre Alternativo del Sujeto (SAN) en el certificado del servidor RADIUS, el cliente interrumpirá silenciosamente la conexión para protegerse contra APs no autorizados.

Para obtener más información sobre cómo asegurar su infraestructura, consulte nuestra guía sobre cómo Proteger su Red con DNS Sólido y Seguridad .

ROI e Impacto de Negocio

La transición a la autenticación WiFi de Azure Entra ID ofrece retornos medibles:

  1. Reducción de Gastos Operativos de Soporte: Eliminar la autenticación basada en contraseñas reduce drásticamente los tickets relacionados con bloqueos de contraseñas y actualizaciones de credenciales de WiFi.
  2. Aceleración del Cumplimiento: EAP-TLS proporciona la prueba criptográfica de identidad requerida por marcos como PCI DSS e ISO 27001, crucial para entornos de Cuidado de la Salud y retail.
  3. Bajas Automatizadas: Cuando un empleado se va, deshabilitar su cuenta en Entra ID revoca de inmediato su acceso a la red en todas las ubicaciones, mitigando las amenazas internas.

Al asegurar la red corporativa, los equipos de TI pueden enfocarse en iniciativas que generen ingresos, como aprovechar WiFi Analytics para comprender el comportamiento de los visitantes e impulsar el engagement.

Referencias

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Definiciones clave

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos, que requiere que los dispositivos se autentiquen antes de obtener acceso a la LAN o WLAN.

Este es el protocolo subyacente que hace que el WiFi empresarial sea seguro, yendo más allá de las simples contraseñas compartidas.

EAP-TLS

Protocolo de Autenticación Extensible con Seguridad de la Capa de Transporte. Un método de autenticación que requiere certificados digitales tanto en el cliente como en el servidor.

Considerado el método más seguro para la autenticación de WiFi, previniendo el robo de credenciales y los ataques AiTM.

RADIUS

Servicio de Usuario de Marcación de Autenticación Remota. Un protocolo de red que proporciona Autenticación, Autorización y Contabilidad (AAA) centralizadas.

El protocolo que utilizan tus puntos de acceso para preguntar al servidor de autenticación: '¿Debo permitir que este dispositivo entre a la red?'

SCEP

Protocolo de Inscripción de Certificados Simple. Un protocolo utilizado para emitir certificados de forma segura a dispositivos de red.

Utilizado por plataformas MDM como Intune para solicitar e instalar silenciosamente certificados de cliente en laptops y teléfonos corporativos.

MAC Authentication Bypass (MAB)

Un método para otorgar acceso a la red basado en la dirección MAC del dispositivo en lugar de un nombre de usuario o certificado.

Utilizado como alternativa para dispositivos heredados (como impresoras antiguas o sensores IoT) que carecen del software para realizar un protocolo de enlace 802.1X.

Evil Twin Attack

Un punto de acceso no autorizado que se hace pasar por un SSID corporativo legítimo para interceptar tráfico o robar credenciales.

EAP-TLS mitiga esto porque el dispositivo cliente está configurado para confiar únicamente en el certificado específico del servidor RADIUS corporativo legítimo.

Supplicant

El cliente de software en el dispositivo final (por ejemplo, el administrador de WiFi de Windows) que maneja el proceso de autenticación 802.1X.

Los equipos de TI deben configurar el supplicant a través de MDM para garantizar que se comporte de forma segura y no solicite a los usuarios que acepten certificados de servidor no confiables.

Conditional Access

Políticas de Azure Entra ID que evalúan señales (usuario, ubicación, conformidad del dispositivo) para tomar decisiones de acceso.

Las soluciones modernas de Cloud RADIUS pueden verificar el Conditional Access durante el protocolo de enlace de WiFi, denegando el acceso a la red si Intune marca el dispositivo como no conforme.

Ejemplos resueltos

¿Cómo debería migrar a la autenticación de Azure Entra ID una cadena minorista de 500 sucursales que necesita proteger los iPads de la parte trasera de la tienda utilizados para la gestión de inventario, si actualmente utilizan una única PSK compartida en todas las tiendas?

  1. Inscribir todos los iPads en Microsoft Intune.
  2. Implementar una solución Cloud RADIUS integrada con el inquilino corporativo de Entra ID.
  3. Configurar Intune para implementar un certificado SCEP en cada iPad.
  4. Enviar un perfil de WiFi a través de Intune que configure los iPads para conectarse al SSID 'Corporate-BOH' usando EAP-TLS, validando el certificado del servidor Cloud RADIUS.
  5. Actualizar los puntos de acceso Meraki/Aruba en las 500 tiendas para que apunten a las direcciones IP de Cloud RADIUS para el SSID 'Corporate-BOH'.
  6. Despliegue gradual: Habilitar el nuevo SSID, verificar la conectividad de los iPads a través de los informes de Intune y luego retirar el SSID con la PSK heredada.
Comentario del examinador: Este enfoque elimina la PSK compartida, la cual representa un riesgo de seguridad masivo si se roba un dispositivo. Al utilizar EAP-TLS e Intune, la autenticación queda vinculada al estado de gestión del dispositivo. Si se pierde un iPad, el equipo de TI simplemente revoca el certificado o borra el dispositivo en Intune, cortando instantáneamente el acceso a la red sin afectar a las otras 499 tiendas.

Un campus universitario está migrando de Active Directory local a Azure Entra ID. Tienen miles de laptops de estudiantes BYOD (Bring Your Own Device) que actualmente se conectan usando PEAP-MSCHAPv2 (usuario y contraseña). ¿Cómo gestionan BYOD en un entorno Entra ID que prioriza la nube?

  1. Implementar un portal de incorporación (por ejemplo, SecureW2 JoinNow o una herramienta de incorporación BYOD similar).
  2. Los estudiantes se conectan a un SSID de 'Incorporación' abierto, que los redirige al portal.
  3. El portal solicita al estudiante que se autentique en Azure Entra ID (usando su correo electrónico universitario y MFA).
  4. Tras una autenticación exitosa, el portal genera un certificado de cliente único y configura automáticamente el dispositivo del estudiante para EAP-TLS.
  5. El dispositivo se conecta automáticamente al SSID seguro 'Edu-Secure' utilizando el nuevo certificado.
Comentario del examinador: La gestión de certificados para dispositivos BYOD no administrados es la parte más difícil de 802.1X. No se puede usar Intune porque la universidad no es dueña de las laptops. El uso de un portal de incorporación cierra esta brecha, permitiendo el uso de EAP-TLS seguro sin requerir que el equipo de TI configure manualmente miles de laptops de estudiantes.

Preguntas de práctica

Q1. Tu organización está migrando a Azure Entra ID e Intune. Actualmente utilizas PEAP-MSCHAPv2 para WiFi. El equipo de seguridad exige que la autenticación de WiFi sea resistente al robo de credenciales. ¿Qué método EAP deberías implementar?

Sugerencia: ¿Qué método se basa completamente en certificados en lugar de contraseñas?

Ver respuesta modelo

Deberías implementar EAP-TLS. EAP-TLS utiliza autenticación mutua por certificados, lo que significa que el dispositivo cliente debe presentar un certificado válido emitido por tu PKI. Debido a que no utiliza contraseñas, es altamente resistente al robo de credenciales y a los ataques de adversario en el medio (AiTM).

Q2. Después de implementar EAP-TLS a través de Intune, los usuarios informan que no pueden conectarse al WiFi. Al revisar los registros de RADIUS, ves 'Error en la comprobación de revocación de certificado'. ¿Cuál es la causa más probable?

Sugerencia: ¿Con qué infraestructura debe comunicarse el servidor RADIUS para verificar que un certificado no haya sido comprometido?

Ver respuesta modelo

El servidor RADIUS no puede comunicarse con la Lista de Revocación de Certificados (CRL) o el endpoint OCSP de tu Autoridad de Certificación. Asegúrate de que los firewalls permitan al servidor RADIUS el acceso saliente a las URL HTTP especificadas en los certificados de cliente.

Q3. Un hospital necesita conectar 50 monitores de ritmo cardíaco heredados a la red. Estos dispositivos solo admiten WPA2-Personal (clave precompartida) y no se pueden inscribir en Intune. ¿Cómo deberías protegerlos mientras mantienes tu implementación de Entra ID 802.1X para las laptops corporativas?

Sugerencia: No mezcles tipos de autenticación en el mismo SSID.

Ver respuesta modelo

Crea un SSID dedicado y separado específicamente para los dispositivos IoT médicos. Utiliza una clave precompartida sólida y única (o PSK de identidad/iPSK si tu proveedor de red lo admite) o MAC Authentication Bypass (MAB). Fundamentalmente, coloca este SSID en una VLAN altamente restringida con Listas de Control de Acceso (ACL) estrictas que solo permitan a los monitores comunicarse con su servidor médico específico, bloqueando cualquier otro acceso lateral a la red.

Continúe leyendo esta serie

Per-Device PSK por proveedor: comparación de iPSK, DPSK, MPSK y PPSK (y soporte de WPA3)

Una comparación exhaustiva de las implementaciones de per-device PSK en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Conozca cómo WPA3-SAE afecta las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Leer la guía →

Captive Portal Authentication Methods Compared

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y gerentes de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción del registro de invitados con los requisitos de recopilación de datos en los establecimientos empresariales.

Leer la guía →

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada cubre la autenticación por dirección MAC en entornos de WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluyendo el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de implementación práctica para gerentes de TI y arquitectos de redes en sectores como hotelería, retail, salud y espacios públicos, con ejemplos prácticos del mundo real, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.

Leer la guía →