Autenticación WiFi empresarial sin Active Directory ni un servidor local

Esta guía explica cómo implementar una autenticación WiFi WPA2/3-Enterprise segura sin un Active Directory local, Windows NPS o servidor RADIUS. Cubre la incompatibilidad de protocolos entre los proveedores de identidad en la nube y 802.1X, los argumentos a favor de EAP-TLS sobre PEAP-MSCHAPv2 y cómo implementar RADIUS en la nube con certificados emitidos por MDM contra Microsoft Entra ID, Okta o Google Workspace. Escrita para líderes de TI en organizaciones cloud-first y con un alto uso de Mac/Chromebook que están listas para retirar la infraestructura local.

📖 9 min de lectura📝 2,219 palabras🔧 2 ejemplos resueltos❓ 4 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Hola y bienvenidos a esta sesión informativa técnica. Hoy abordaremos un dolor de cabeza arquitectónico muy específico y común: cómo ejecutar la autenticación WiFi empresarial cuando se ha migrado a la nube y ya no se cuenta con un Active Directory local ni con un servidor Windows NPS.

Si es gerente de TI, arquitecto de redes o CTO en una organización cloud-first, probablemente se haya topado con esta pared. Ha migrado su identidad a Microsoft Entra ID, Okta o Google Workspace. Todo es SaaS. Pero sus puntos de acceso Cisco, Aruba o Meraki siguen esperando un servidor RADIUS. E históricamente, ese servidor RADIUS era un Windows Server que ejecutaba Network Policy Server, o NPS, comunicándose con un controlador de dominio.

Entonces, ¿cómo cerrar esa brecha sin levantar nuevas máquinas virtuales solo para el WiFi? Profundicemos en los detalles técnicos.

El problema central aquí es una incompatibilidad de protocolos. Entra ID y Okta hablan protocolos web modernos: SAML, OIDC y OAuth2. Sus puntos de acceso hablan RADIUS. Microsoft no proporciona un endpoint RADIUS nativo para Entra ID. No puede simplemente apuntar su panel de Meraki a Azure y esperar que funcione.

Históricamente, las organizaciones utilizaban PEAP-MSCHAPv2 para el WiFi. Los usuarios escribían su nombre de usuario y contraseña, y el servidor RADIUS los verificaba contra un hash NTLM almacenado en Active Directory. Aquí está el punto crítico de falla: Microsoft Entra ID no almacena hashes NTLM. Por lo tanto, incluso si coloca un servidor RADIUS en la nube frente a Entra ID, este no podrá validar un desafío de contraseña PEAP.

Para solucionar esto, debe cambiar el método de autenticación. Debe migrar a EAP-TLS.

EAP-TLS utiliza certificados digitales en lugar de contraseñas. El dispositivo presenta un certificado X.509 al servidor RADIUS. El servidor RADIUS verifica si ese certificado fue firmado por una Autoridad de Certificación de confianza. Al no haber contraseñas de por medio, el servidor RADIUS no necesita un almacenamiento de hashes NTLM. Solo necesita validar el certificado y verificar la pertenencia al grupo del usuario para asignar la VLAN correcta.

Aquí es donde se une la arquitectura moderna. Utiliza un servicio RADIUS en la nube, como Purple, para actuar como servidor de autenticación. Utiliza su plataforma de gestión de dispositivos móviles (MDM), como Microsoft Intune o Jamf, para actuar como el mecanismo de entrega.

El MDM utiliza un protocolo llamado SCEP (Simple Certificate Enrollment Protocol) para enviar silenciosamente certificados de dispositivo a sus laptops y teléfonos administrados. El usuario no hace nada. El dispositivo se conecta al WiFi, presenta el certificado al RADIUS en la nube de Purple, Purple lo valida, verifica el grupo del usuario en Entra ID u Okta, y le indica al punto de acceso que lo coloque en la VLAN correcta.

Hablemos de las recomendaciones de implementación y los errores comunes.

La mayor recomendación es adoptar el aprovisionamiento SCIM. No dependa de sincronizaciones periódicas de directorio. SCIM, que significa System for Cross-domain Identity Management, garantiza que cuando Recursos Humanos deshabilite a un empleado en Entra ID, esa señal se envíe al RADIUS en la nube de forma instantánea. Su acceso WiFi se detiene en el mismo segundo en que se detiene su acceso al correo electrónico. Esa es una mejora de seguridad significativa.

Un error común es la gestión del ciclo de vida de los certificados. Si emite certificados que caducan en un año, debe asegurarse de que su MDM esté configurado para renovarlos automáticamente a los diez meses. Si un certificado caduca, el dispositivo se desconectará de la red silenciosamente y usted recibirá un ticket de soporte.

Otro error común es la configuración del firewall. Sus puntos de acceso deben llegar a los endpoints de RADIUS en la nube. Asegúrese de que sus reglas de salida permitan el puerto UDP 1812 o, idealmente, el puerto TCP 2083 si sus puntos de acceso son compatibles con RadSec, el cual cifra el tráfico RADIUS a través de internet.

Hagamos una sesión rápida de preguntas y respuestas basada en las dudas más comunes que vemos.

Pregunta uno: ¿Puedo autenticar el WiFi directamente contra Entra ID?
Respuesta: No. Entra ID no habla RADIUS. Necesita un servicio RADIUS en la nube de por medio.

Pregunta dos: ¿Sigo necesitando Windows NPS?
Respuesta: No. Un servicio RADIUS en la nube reemplaza por completo a NPS. Puede desmantelar esos servidores Windows Server.

Pregunta tres: ¿Cómo protegen el WiFi del personal las empresas que operan exclusivamente en la nube?
Respuesta: Utilizando su MDM para enviar certificados y autenticándose a través de EAP-TLS contra un proveedor de RADIUS en la nube.

Pregunta cuatro: ¿Qué sucede con el acceso WiFi cuando un empleado se va?
Respuesta: Con el aprovisionamiento SCIM, su acceso se revoca en el momento en que se deshabilita su cuenta en el proveedor de identidad. No se requiere intervención manual.

En resumen, migrar su autenticación WiFi a la nube es el siguiente paso lógico después de migrar su identidad a la nube. Al implementar RADIUS en la nube y EAP-TLS, elimina los servidores locales, quita las contraseñas de la ecuación y vincula el acceso a la red directamente con la identidad en la nube del usuario. Es más seguro, más fácil de administrar y altamente disponible por defecto.

Purple opera RADIUS en la nube en más de 80,000 establecimientos a nivel mundial, con un tiempo de actividad del 99.999 por ciento e integraciones nativas con Microsoft Entra ID, Okta y Google Workspace. Puede estar activo en sus puntos de acceso existentes de Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist en menos de una hora.

Gracias por escuchar esta sesión informativa técnica. Para obtener guías de implementación más detalladas y ver una demostración en vivo, visite purple punto ai.

Puntos clave

✓Microsoft Entra ID, Okta y Google Workspace no hablan RADIUS. Necesita un servicio RADIUS en la nube para cerrar la brecha entre los puntos de acceso y los proveedores de identidad en la nube.
✓PEAP-MSCHAPv2 falla en entornos exclusivamente en la nube porque los proveedores de identidad en la nube no almacenan los hashes de contraseña NTLM que RADIUS requiere para la validación.
✓EAP-TLS reemplaza las contraseñas con certificados X.509 emitidos por MDM, lo que proporciona una autenticación resistente al phishing sin credenciales que robar.
✓Las plataformas MDM como Microsoft Intune y Jamf Pro entregan certificados de forma silenciosa a través de SCEP, eliminando la incorporación manual y reemplazando a la Autoridad de Certificación local.
✓El aprovisionamiento SCIM garantiza que el acceso WiFi se revoque a los pocos segundos de que se deshabilite a un empleado en el proveedor de identidad, y no horas más tarde después de una sincronización LDAP.
✓RADIUS en la nube elimina la necesidad de ejecutar servidores Windows NPS, lo que evita el parchado del sistema operativo, el diseño de alta disponibilidad y la dependencia de un Active Directory local.
✓Purple opera RADIUS en la nube en más de 80,000 establecimientos con un tiempo de actividad del 99.999%, compatible con puntos de acceso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet.

📚 Parte de nuestra serie principal: Seguridad y autenticación WiFi empresarial: la guía completa →

Executive summary

Most organisations have moved their identity to the cloud. Microsoft Entra ID, Okta, and Google Workspace now manage users, groups, and access policies for email, SaaS apps, and device management. But enterprise WiFi has not kept pace. Access points still expect a RADIUS server, and that RADIUS server has historically been Windows Network Policy Server (NPS) connected to an on-premises Active Directory domain controller.

This mismatch forces IT teams to maintain redundant on-premises infrastructure purely to keep the WiFi running. The solution is cloud RADIUS: a fully managed authentication service that speaks RADIUS to your access points and speaks OAuth2, SCIM, and SAML to your cloud identity provider. Pair it with EAP-TLS certificate delivery via your MDM, and you have a complete 802.1X deployment with no on-premises servers, no OS patching, and instant access revocation tied directly to your cloud directory.

Purple operates cloud RADIUS across 80,000+ venues globally, with 99.999% uptime (Purple internal data, 2024) and native integrations with Microsoft Entra ID, Okta, and Google Workspace. You can be live on your existing Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet access points in under an hour.

Technical deep-dive

The protocol mismatch at the heart of the problem

The fundamental challenge is that cloud identity providers and WiFi access points speak entirely different languages. Microsoft Entra ID (formerly Azure AD) authenticates users via SAML, OIDC, and OAuth2 - the protocols that browsers and SaaS apps use. WiFi access points use RADIUS (Remote Authentication Dial-In User Service, RFC 2865), a UDP-based protocol designed in the 1990s for dial-up and VPN. Microsoft has never shipped a native RADIUS endpoint for Entra ID. You cannot point a Meraki or Aruba access point directly at Azure and expect 802.1X to work.

This is the wall that every cloud-first IT team hits when they try to secure Staff WiFi with WPA2-Enterprise or WPA3-Enterprise. Something has to bridge the gap between the access point and the cloud identity provider. That something is cloud RADIUS.

Why PEAP-MSCHAPv2 fails without Active Directory

Historically, 802.1X deployments relied on PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2). The user typed their username and password, the access point forwarded the request to the RADIUS server, and the RADIUS server validated the password against an NTLM hash stored in Active Directory.

Microsoft Entra ID does not store NTLM hashes. This is not a configuration gap - it is a deliberate architectural decision. Entra ID is a modern cloud identity provider, not a domain controller. Consequently, a RADIUS server pointed at Entra ID cannot validate a PEAP-MSCHAPv2 challenge. The only way to make PEAP work with Entra ID is to deploy Entra Domain Services, a paid managed Active Directory that synchronises from Entra ID, and then run NPS against that. This reintroduces most of what you were trying to eliminate: Windows Server VMs, OS patching, NTLM hash storage, and manual certificate management.

EAP-TLS: the right answer for cloud-first organisations

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security, RFC 5216) replaces passwords with X.509 digital certificates. The device presents a certificate to the RADIUS server. The RADIUS server validates the certificate against a trusted Certificate Authority (CA). Because there is no password in the exchange, the RADIUS server does not need an NTLM hash store. It needs only to trust the CA and to check the user's group membership in the identity provider to apply the correct VLAN and access policy.

EAP-TLS is phishing-resistant by design. There is no credential to steal. It satisfies CISA guidance on phishing-resistant multi-factor authentication and aligns with PCI DSS requirements for strong authentication on networks that handle cardholder data. It is the authentication method recommended by IEEE 802.1X for managed device fleets.

Cloud-first 802.1X authentication architecture: devices authenticate via EAP-TLS through Purple's cloud RADIUS, which validates certificates and applies group-based policy from Entra ID, Okta, or Google Workspace.

How MDM replaces the on-premises CA

In a traditional 802.1X deployment, certificates were issued by an on-premises Certificate Authority running Active Directory Certificate Services (AD CS). In a cloud-first deployment, the MDM takes over this role using SCEP (Simple Certificate Enrollment Protocol). Microsoft Intune, Jamf Pro, and other MDM platforms can request certificates from a cloud-hosted CA and push them silently to managed devices.

The flow works as follows. The IT administrator creates a SCEP certificate profile in the MDM, scoped to the device groups that require WiFi access. The MDM pushes the certificate to Windows, macOS, iOS, iPadOS, Android Enterprise, and ChromeOS devices automatically. The user sees nothing. The certificate is bound to the device identity in the MDM and renews automatically before expiry. When the device connects to the WiFi, it presents the certificate to the cloud RADIUS server, which validates it against the CA and applies the correct network policy.

For organisations using Microsoft Intune, Microsoft Cloud PKI provides a fully managed CA that integrates directly with Intune SCEP profiles, eliminating the need for an on-premises NDES (Network Device Enrollment Service) server. For Jamf-managed Mac and iOS fleets, Jamf's built-in CA or a third-party cloud CA serves the same purpose.

SCIM and instant access revocation

One of the most operationally important aspects of cloud RADIUS is SCIM (System for Cross-domain Identity Management) provisioning. SCIM is an open standard that pushes identity changes from the source of truth - your cloud identity provider - to dependent systems in real time. When an employee is disabled in Entra ID or Okta, SCIM pushes that change to the cloud RADIUS service immediately. The next time the device attempts to authenticate, the RADIUS server returns Access-Reject. With a short session timeout configured on the access point, the device is removed from the network within minutes of the account being disabled.

This is a material security improvement over shared PSK networks, where the only way to revoke access is to change the password across every device, and over legacy RADIUS deployments that rely on periodic LDAP syncs with a window of hours or days.

RadSec: securing RADIUS traffic over the internet

Traditional RADIUS uses UDP and provides only basic message authentication. When your RADIUS server is in the same data centre as your access points, this is acceptable. When your RADIUS server is a cloud service, the authentication traffic traverses the public internet. RadSec (RADIUS over TLS, RFC 6614) encrypts the RADIUS exchange using TLS, providing confidentiality and integrity for authentication traffic. Purple supports RadSec natively, with IPsec fallback for access points that do not yet support RadSec.

Implementation guide

Deploying cloud RADIUS with EAP-TLS requires four coordinated steps. A pilot SSID can be live in under an hour if Entra ID and an MDM are already in place.

Step 1: Connect cloud RADIUS to your identity provider

Connect Purple to your identity provider via OAuth2 admin consent (for Entra ID) or API token (for Okta and Google Workspace). This authorises Purple to read users, groups, and group memberships from the directory. Configure SCIM provisioning to push user state changes to Purple in real time. No service principal credentials are stored on disk. Group changes propagate on the next authentication event, not on a sync schedule.

Step 2: Configure your MDM and SCEP profile

In Microsoft Intune, create a Trusted Certificate Profile for the CA root, then create a SCEP certificate profile pointing at the Purple-managed CA. Scope both profiles to the device groups that require WiFi access. For Jamf, configure a SCEP payload in a configuration profile. The MDM pushes the certificates silently. Verify certificate delivery in the MDM compliance dashboard before proceeding.

Step 3: Define network policies in the cloud RADIUS dashboard

Create RADIUS policies that map identity provider groups to specific VLANs and access controls. For example, map the Entra ID group "Staff-Finance" to VLAN 20 with full internet access, and map "Staff-Contractors" to VLAN 30 with time-limited access that expires automatically. Purple's dashboard applies these policies at the point of authentication, with no firewall changes required.

Step 4: Update access point configuration

Update the SSID configuration on your access points to use WPA2-Enterprise or WPA3-Enterprise with 802.1X. Enter the Purple cloud RADIUS primary and secondary endpoint hostnames or IP addresses, along with the shared secret. Configure the access points to use dynamic VLAN assignment based on the RADIUS attributes returned by Purple. Test with a single SSID on a subset of access points before rolling out across the estate.

Cloud RADIUS vs on-premises RADIUS: a direct comparison across deployment time, Active Directory dependency, high availability, OS patching, identity integration, and certificate lifecycle management.

Best practices

These recommendations reflect IEEE 802.1X standards, PCI DSS v4.0 requirements, and operational experience across Purple's 80,000+ venue estate.

Mandate EAP-TLS for managed devices. Passwords are susceptible to phishing and credential stuffing. Certificates provide cryptographic proof of identity and device compliance. EAP-TLS is the only 802.1X method that is phishing-resistant by design.

Use SCIM for instant revocation. Periodic LDAP syncs leave a window where a terminated employee retains network access. SCIM ensures access is revoked the moment the account is disabled in the identity provider.

Deploy multi-region RADIUS. Configure your access points with at least two RADIUS endpoints in different geographic regions. Purple provides active-active multi-region failover by default, with failover completing in seconds.

Segment traffic with dynamic VLANs. Use identity provider group memberships to assign users to specific VLANs dynamically. This isolates sensitive traffic and limits the blast radius of a compromised device without requiring manual firewall changes.

Enable RadSec. If your access points support RadSec, enable it to encrypt authentication traffic between the access point and the cloud RADIUS server. This is particularly important for branch offices and venues where the access point is on an untrusted network segment.

Monitor certificate lifecycle. Set MDM auto-renewal to trigger at 80% of the certificate lifetime. For a one-year certificate, renewal begins at the 10-month mark. Alert on devices that fail to renew before the certificate expires.

For a broader treatment of enterprise WiFi security standards and frameworks, see our Enterprise WiFi Security: A Complete Guide for 2026 .

Troubleshooting and risk mitigation

Transitioning to cloud RADIUS introduces new dependencies. Prepare for these common failure modes before they affect production.

Certificate expiration. If a device certificate expires before the MDM renews it, the device fails authentication silently. The user sees a connection error with no explanation. Mitigate by configuring MDM auto-renewal at 80% of certificate lifetime and monitoring the MDM compliance dashboard for devices with expiring certificates.

MDM sync failures. A device that falls out of MDM compliance or fails to check in may not receive a renewed certificate. Implement compliance policies that flag unhealthy devices and alert administrators before the certificate expires.

Firewall blocking RADIUS traffic. The access points must reach the cloud RADIUS endpoints on UDP port 1812 (authentication) and UDP port 1813 (accounting), or TCP port 2083 for RadSec. Outbound firewall rules at branch offices frequently block these ports. Test reachability from the access point management VLAN before deployment.

SCIM provisioning failures. If the SCIM connection between the identity provider and Purple is interrupted, user state changes will not propagate. Monitor SCIM sync status in both the identity provider and the Purple dashboard. Configure alerting for sync failures.

Legacy devices without certificate support. IoT devices, printers, and older hardware may not support EAP-TLS. For these devices, use iPSK (individual pre-shared keys) rather than a shared PSK. Purple supports iPSK natively, assigning a unique key per device and placing each device on the correct VLAN without requiring 802.1X supplicant support.

ROI and business impact

Migrating from on-premises RADIUS to cloud RADIUS delivers measurable value across infrastructure, operations, and security.

Dimension	On-premises NPS	Cloud RADIUS (Purple)
Infrastructure cost	Windows Server licences, VM compute, storage	Per-AP subscription, no server hardware
Time to deploy	Days to weeks	Under one hour
High availability	Manual - two servers plus replication	Multi-region active-active, default
OS patching	Monthly, your team	Vendor-managed
WiFi helpdesk tickets	High - password resets, manual onboarding	Down 80% (Purple customer data)
Access revocation	Hours to days via LDAP sync	Seconds via SCIM

IT teams using Purple's Staff WiFi typically see WiFi support tickets drop by 80% (Purple internal data, 2024), driven by the elimination of password resets and manual device onboarding. Certificate-based authentication also satisfies PCI DSS requirement 8.3 for strong authentication and ISO 27001 control A.9.4 for system and application access control, reducing the audit burden on your security team.

For organisations in retail and hospitality , the ability to manage Staff WiFi and Guest WiFi from a single cloud dashboard - with a unified identity layer - reduces operational complexity across multi-site estates. For transport operators and healthcare providers, the instant revocation capability and full audit trail satisfy regulatory requirements without additional tooling.

Purple's WiFi Analytics layer adds occupancy and hybrid working data on top of the authentication infrastructure, turning Staff WiFi from a cost centre into a source of operational intelligence.

Definiciones clave

802.1X

Un estándar IEEE (IEEE 802.1X-2020) para el control de acceso a la red basado en puertos. Requiere que los dispositivos se autentiquen antes de que el punto de acceso otorgue acceso a la red, utilizando un intercambio EAP mediado por un servidor RADIUS.

Los equipos de TI utilizan 802.1X para garantizar que solo los usuarios y dispositivos autorizados se conecten a la red corporativa. Proporciona cifrado por usuario, claves por sesión y un historial de auditoría completo de cada evento de conexión.

RADIUS

Remote Authentication Dial-In User Service (RFC 2865). Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para el acceso a la red.

Los puntos de acceso reenvían cada solicitud de conexión al servidor RADIUS, el cual decide si admite el dispositivo y qué VLAN le asigna. RADIUS en la nube reemplaza a los servidores locales NPS o FreeRADIUS.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security (RFC 5216). Un método de autenticación 802.1X que utiliza un intercambio mutuo de certificados X.509 en lugar de contraseñas.

EAP-TLS es el estándar de oro para flotas de dispositivos administrados. Es resistente al phishing, no requiere almacenamiento de hashes de contraseñas y es el único método 802.1X que cumple con la guía de MFA resistente al phishing de la CISA.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versión 2. Un método 802.1X heredado que valida contraseñas contra hashes NTLM almacenados en Active Directory.

PEAP-MSCHAPv2 falla en entornos exclusivamente en la nube porque Entra ID no almacena hashes NTLM. Las organizaciones que migran desde un AD local deben reemplazar PEAP con EAP-TLS.

SCEP

Simple Certificate Enrollment Protocol. Un protocolo utilizado por las plataformas MDM para solicitar e instalar certificados digitales en dispositivos de forma automática, sin interacción del usuario.

Los equipos de TI utilizan SCEP con Intune o Jamf para aprovisionar silenciosamente certificados WiFi en los dispositivos de los empleados. SCEP reemplaza al servidor local NDES (Network Device Enrollment Service) en implementaciones cloud-first.

SCIM

System for Cross-domain Identity Management (RFC 7644). Un estándar abierto que automatiza el intercambio en tiempo real de información de identidad de usuarios entre sistemas de TI.

SCIM garantiza que cuando se deshabilita a un empleado en Entra ID u Okta, ese cambio se envíe al servicio RADIUS en la nube de inmediato, revocando el acceso WiFi en cuestión de segundos en lugar de horas.

NPS

Network Policy Server. La implementación de RADIUS de Microsoft, que generalmente se ejecuta en Windows Server como parte de un entorno de Active Directory local.

Las organizaciones cloud-first están retirando NPS para eliminar las máquinas virtuales de Windows Server, el parchado del sistema operativo y la dependencia de un Active Directory local. RADIUS en la nube es el reemplazo directo.

RadSec

RADIUS sobre TLS (RFC 6614). Un protocolo que cifra el tráfico de autenticación RADIUS mediante TLS, reemplazando el transporte de texto claro basado en UDP utilizado por el RADIUS tradicional.

RadSec es esencial cuando se utiliza RADIUS en la nube, ya que el tráfico de autenticación debe atravesar el internet público entre el punto de acceso y el servicio en la nube. Purple es compatible con RadSec de forma nativa.

iPSK

Individual Pre-Shared Key. Una variante de WPA2-Personal que asigna una clave precompartida única a cada dispositivo, en lugar de una única clave compartida para todos los dispositivos.

iPSK se utiliza para dispositivos IoT, impresoras y otro hardware que no es compatible con 802.1X EAP-TLS. Proporciona responsabilidad por dispositivo y asignación de VLAN sin requerir soporte de certificados.

Dynamic VLAN

Una técnica de segmentación de red en la que el servidor RADIUS devuelve un identificador de VLAN en la respuesta Access-Accept, y el punto de acceso coloca el dispositivo en esa VLAN automáticamente.

Las VLANs dinámicas permiten a los equipos de TI segmentar al personal, contratistas, dispositivos IoT e invitados en segmentos de red separados según su pertenencia a grupos del proveedor de identidad, sin cambios manuales en el firewall.

Ejemplos resueltos

Una cadena minorista de 400 sucursales necesita proteger la red WiFi del personal en todas sus ubicaciones. Utilizan puntos de acceso Cisco Meraki y Microsoft Entra ID con Intune para la gestión de dispositivos. Actualmente usan una PSK compartida WPA2-Personal porque no tienen un Active Directory local para ejecutar NPS. Una auditoría interna reciente señaló la PSK compartida como una brecha de cumplimiento de PCI DSS.

La cadena implementa el RADIUS en la nube de Purple. Primero, conectan Purple a Entra ID mediante el consentimiento de administrador de OAuth y configuran el aprovisionamiento SCIM. En Intune, crean un Perfil de Certificado de Confianza para la CA raíz de Purple y un perfil de certificado SCEP asignado al grupo de dispositivos 'Staff-Retail'. Intune envía silenciosamente los certificados a todas las terminales de punto de venta y tabletas del personal administradas. En el panel de Meraki, actualizan el SSID del personal a WPA2-Enterprise, ingresan los endpoints primario y secundario de RADIUS en la nube de Purple y habilitan la asignación dinámica de VLAN. Cuando un dispositivo se conecta, presenta su certificado emitido por Intune, Purple lo valida contra la CA y verifica el grupo de Entra ID, y el dispositivo se coloca en la VLAN 10 (red del personal) o VLAN 20 (red de administración) según su pertenencia al grupo. Se retira la PSK compartida. El despliegue en las 400 sucursales toma un fin de semana, ya que no se implementa hardware en el sitio, solo cambios de configuración de SSID en Meraki.

Comentario del examinador: Este enfoque elimina la PSK compartida, proporcionando responsabilidad por dispositivo y claves de cifrado por sesión. Cada evento de autenticación se registra con el usuario, dispositivo, AP y SSID, cumpliendo con el requisito 10.2 de PCI DSS para registros de auditoría. Al aprovechar Intune SCEP y RADIUS en la nube, la cadena logra la seguridad 802.1X sin implementar ningún servidor local en ninguna de sus 400 ubicaciones. La alternativa (implementar máquinas virtuales NPS en cada sitio o en una topología hub-and-spoke) requeriría semanas de trabajo de infraestructura y parches continuos.

Una universidad de 15,000 estudiantes utiliza Google Workspace como su proveedor de identidad principal. El equipo de TI desea proporcionar WiFi seguro para el personal y los estudiantes en un entorno BYOD de MacBooks, Chromebooks y teléfonos Android. No tienen un Active Directory local ni interés en administrar servidores.

La universidad integra el RADIUS en la nube de Purple con Google Workspace. Para las Chromebooks administradas, utilizan Google Admin para enviar un perfil de certificado WiFi a través de SCEP, registrando silenciosamente cada dispositivo. Para las MacBooks y teléfonos Android de tipo BYOD, implementan una aplicación ligera de incorporación que autentica al usuario con sus credenciales de Google e instala un certificado en el dispositivo con un solo toque. Las conexiones posteriores utilizan EAP-TLS de forma silenciosa. Purple mapea las Unidades Organizativas de Google Workspace a VLANs: el personal se asigna a la VLAN 10, los estudiantes a la VLAN 20 y los visitantes invitados a un SSID con Captive Portal. Cuando un estudiante se gradúa y se suspende su cuenta de Google, SCIM envía el cambio a Purple y su acceso WiFi se revoca en cuestión de minutos.

Comentario del examinador: Esta solución proporciona un 802.1X seguro para un entorno mixto de dispositivos administrados y BYOD sin requerir Active Directory. La aplicación de incorporación maneja la complejidad del aprovisionamiento de certificados para dispositivos BYOD, que no se pueden administrar a través de MDM. La integración SCIM de Google Workspace garantiza que el entorno WiFi se mantenga alineado con el directorio de la universidad sin intervención manual. Este patrón está en producción en la Universidad de Sheffield, la Universidad de Leeds y la Universidad de las Artes de Londres, todos clientes de Purple.

Preguntas de práctica

Q1. Su organización se ha migrado por completo de un Active Directory local a Microsoft Entra ID. Su WiFi del personal actual utiliza PEAP-MSCHAPv2 contra un servidor NPS que estaba unido al dominio antiguo. Después de desmantelar el controlador de dominio, el personal informa que ya no puede conectarse al WiFi. ¿Cuál es la causa raíz y cuál es la solución correcta a largo plazo?

Sugerencia: Considere lo que PEAP-MSCHAPv2 requiere del directorio y si Entra ID lo proporciona.

Ver respuesta modelo

La causa raíz es que PEAP-MSCHAPv2 requiere que el servidor RADIUS valide la contraseña del usuario contra un hash NTLM almacenado en Active Directory. Con el controlador de dominio desmantelado, NPS no tiene un directorio contra el cual validar. Entra ID no almacena hashes NTLM, por lo que NPS no puede redirigirse a Entra ID. La solución correcta a largo plazo es reemplazar NPS con un servicio RADIUS en la nube, migrar de PEAP-MSCHAPv2 a EAP-TLS y usar el MDM (Intune) para emitir certificados de dispositivo a través de SCEP. Esto elimina la dependencia de cualquier directorio local.

Q2. Está implementando RADIUS en la nube para una flota de 200 MacBooks corporativas administradas por Jamf Pro. Su proveedor de identidad es Okta. ¿Cuál es la forma más segura y operativamente eficiente de aprovisionar las credenciales de WiFi en estos dispositivos?

Sugerencia: Busque un método que no requiera interacción del usuario, evite contraseñas y se integre con su MDM existente.

Ver respuesta modelo

Configure Jamf Pro para usar SCEP para enviar silenciosamente certificados de dispositivo a las MacBooks. Cree una carga útil SCEP en un perfil de configuración de Jamf, apuntando a la CA administrada por su proveedor de RADIUS en la nube. Asigne el perfil al grupo de dispositivos correspondiente. Jamf enviará el certificado a cada MacBook automáticamente, sin interacción del usuario. Configure el perfil de WiFi en el mismo perfil de configuración para usar EAP-TLS con el certificado emitido por SCEP. Conecte el servicio RADIUS en la nube a Okta a través de SCIM para garantizar que cuando se deshabilite a un empleado en Okta, su acceso WiFi se revoque de inmediato.

Q3. Un empleado es despedido a las 9:00 a. m. de un lunes. Recursos Humanos deshabilita su cuenta de Entra ID a las 9:05 a. m. A las 9:30 a. m., una alerta de seguridad muestra que la laptop del empleado todavía está conectada al WiFi corporativo desde el estacionamiento. ¿Qué configuración falta y cómo se soluciona?

Sugerencia: ¿Cómo se entera el servidor RADIUS de que el estado del usuario ha cambiado en el proveedor de identidad?

Ver respuesta modelo

La implementación depende de sincronizaciones periódicas de LDAP en lugar del aprovisionamiento SCIM. La sincronización de LDAP aún no se ha ejecutado desde que se deshabilitó la cuenta, por lo que el servicio RADIUS en la nube todavía considera al usuario como activo. La solución es habilitar el aprovisionamiento SCIM entre Entra ID y el servicio RADIUS en la nube. SCIM envía los cambios de estado del usuario en tiempo real, por lo que cuando la cuenta se deshabilita en Entra ID a las 9:05 a. m., el servicio RADIUS recibe el cambio de inmediato. La próxima vez que el dispositivo intente volver a autenticarse (controlado por el tiempo de espera de la sesión en el punto de acceso), recibirá un Access-Reject. Configurar un tiempo de espera de sesión corto (de 15 a 30 minutos) en el punto de acceso limita la ventana máxima entre la inhabilitación de la cuenta y la expulsión de la red.

Q4. Su establecimiento cuenta con 50 dispositivos IoT (reproductores de señalización digital, sensores ambientales e impresoras) que no son compatibles con 802.1X EAP-TLS. ¿Cómo protege estos dispositivos en la misma infraestructura WiFi que la red de su personal con EAP-TLS?

Sugerencia: Considere qué método de autenticación proporciona responsabilidad por dispositivo sin requerir soporte de certificados.

Ver respuesta modelo

Utilice iPSK (claves individuales precompartidas) para los dispositivos IoT. Asigne una clave precompartida única a cada dispositivo en el panel de RADIUS en la nube, junto con una asignación de VLAN. Cada dispositivo se autentica con su clave única, la cual el servidor RADIUS valida y utiliza para colocar el dispositivo en la VLAN de IoT, aislada de la red del personal. Si un dispositivo se ve comprometido o se retira del servicio, usted revoca únicamente la clave de ese dispositivo sin afectar a ningún otro. Este enfoque proporciona responsabilidad por dispositivo y segmentación de red sin requerir soporte de suplicante 802.1X en el hardware de IoT.

Continúe leyendo esta serie

Tres SSIDs para gobernarlos a todos: guía de configuración de WiFi para invitados, Passpoint e IoT

Esta guía técnica proporciona un modelo definitivo para implementar el diseño de tres SSIDs WiFi en instalaciones empresariales. Detalla la configuración de un Captive Portal de WiFi de invitados abierto, la incorporación automatizada de Passpoint y la autenticación xPSK por dispositivo para lograr una segmentación de VLAN completa y un acceso a la red de confianza cero.

Tres SSIDs para gobernarlos a todos: guía de configuración de WiFi para invitados, personal e IoT

Esta guía de referencia técnica autorizada proporciona un plan paso a paso para implementar una arquitectura WiFi de tres SSIDs. Explica cómo segmentar el tráfico de invitados, personal e IoT utilizando captive portals, 802.1X RADIUS y PSK por dispositivo (xPSK) para optimizar el rendimiento y garantizar el cumplimiento de PCI DSS.

Cómo revocar el acceso a WiFi cuando un empleado se va

Esta guía detalla cómo revocar el acceso a WiFi cuando un empleado se va, reemplazando las contraseñas compartidas inseguras con certificados 802.1X por usuario o iPSK. Cubre el desaprovisionamiento automatizado a través de SCIM para cumplir con los requisitos de auditoría de ISO 27001 y SOC 2.