Saltar al contenido principal

Cómo configurar Microsoft Entra ID (Azure AD) para la autenticación de WiFi

Esta guía autorizada detalla la arquitectura, los pasos de implementación y el impacto empresarial de integrar Microsoft Entra ID con 802.1X para la autenticación de WiFi empresarial. Proporciona a los arquitectos de red y gerentes de TI estrategias prácticas de implementación, reemplazando las PSK heredadas con un acceso a la red basado en certificados de zero-trust.

📖 4 min de lectura📝 945 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
[INTRO - 1 MIN] Host: Bienvenidos al Purple Enterprise Network Briefing. Soy su anfitrión y hoy abordaremos una actualización de infraestructura crítica que es prioridad para los CTO y arquitectos de red: migrar la autenticación de su WiFi corporativo a Azure Entra ID (antes Azure AD). Si gestionan una cadena hotelera, un estadio o una gran implementación del sector público, conocen el dolor de cabeza que representan los servidores RADIUS locales heredados y las PSK compartidas. Hoy hablaremos del acceso a la red de confianza cero (zero-trust), específicamente de cómo implementar la autenticación basada en certificados 802.1X utilizando Azure Entra ID. Sin rodeos, solo la realidad técnica de cómo poner esto en marcha. [TECHNICAL DEEP-DIVE - 5 MIN] Host: Vayamos directo a la arquitectura. Los días de WPA2-Personal con una contraseña compartida en una nota adhesiva han terminado. En una empresa moderna, ya sea que estén protegiendo las operaciones internas de un entorno minorista o las redes del personal en un hospital, necesitan un acceso basado en la identidad. Cuando hablamos de Azure Entra ID para WiFi, nos referimos fundamentalmente a EAP-TLS. Esto es, el Protocolo de Autenticación Extensible con Seguridad de la Capa de Transporte. Es el estándar de oro. ¿Por qué? Porque se basa en certificados, no en contraseñas. Las contraseñas pueden ser objeto de phishing, compartidas o vulneradas por fuerza bruta. Los certificados vinculados a un dispositivo administrado a través de Intune no. Entonces, ¿cómo fluye el tráfico? Un dispositivo corporativo (por ejemplo, una laptop administrada) intenta conectarse al SSID corporativo. El Punto de Acceso Inalámbrico, que actúa como el autenticador, bloquea el acceso y pasa las credenciales a través de RADIUS a su servidor de autenticación. Ahora bien, Azure Entra ID no habla RADIUS de forma nativa. Este es el puente arquitectónico crítico. Necesitan un proveedor de RADIUS en la nube o un Network Policy Server (NPS) local con la extensión Azure MFA. El dispositivo presenta su certificado de cliente. El servidor RADIUS valida ese certificado contra su Autoridad de Certificación (gestionada a menudo a través de SCEP en Intune). Si el certificado es válido, el servidor RADIUS consulta a Azure Entra ID para asegurarse de que la cuenta de usuario esté activa, no deshabilitada y que cumpla con las políticas de Acceso Condicional. Solo entonces el servidor RADIUS envía un mensaje de Access-Accept de vuelta al punto de acceso, ubicando al usuario en la VLAN correcta. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Host: Ahora bien, ¿dónde suelen fallar las implementaciones? Veo tres errores comunes. Primero: la disponibilidad de la Lista de Revocación de Certificados (CRL). Si su servidor RADIUS no puede comunicarse con la CRL, la autenticación falla. Asegúrense de que sus puntos finales de CRL sean de alta disponibilidad y accesibles desde la infraestructura de RADIUS. Segundo: la configuración del suplicante. No dejen esto en manos del usuario final. Utilicen su MDM (Microsoft Intune, Workspace ONE, o el que utilicen) para enviar el perfil de WiFi. El perfil debe definir explícitamente la CA raíz de confianza y especificar que el cliente solo debe conectarse a sus nombres de servidor RADIUS específicos. Si no hacen esto, quedan vulnerables a ataques de Evil Twin. Tercero: Dispositivos heredados. Los dispositivos de IoT, las terminales de punto de venta o los lectores de códigos de barras antiguos en un almacén a menudo no admiten 802.1X o EAP-TLS. Debe planificar una estrategia de MAC Authentication Bypass (MAB) o una red dedicada de clave compartida previa con un aislamiento de red estricto para estos dispositivos. No comprometa su SSID corporativo principal por una impresora heredada. [PREGUNTAS Y RESPUESTAS RÁPIDAS - 1 MIN] Presentador: Respondamos algunas preguntas rápidas que escuchamos de los arquitectos de red. Pregunta uno: ¿Podemos usar PEAP-MSCHAPv2 con Azure Entra ID? Respuesta: Sí, a través de NPS, pero Microsoft está descontinuando activamente la autenticación basada en credenciales. Cambie a EAP-TLS. Es más seguro y proporciona una mejor experiencia de usuario. Pregunta dos: ¿Cómo se integra esto con el WiFi de invitados de Purple? Respuesta: Manténgalos separados. Su red corporativa utiliza 802.1X vinculado a Microsoft Entra ID. Su red de invitados utiliza un SSID abierto con un Captive Portal impulsado por Purple para análisis, aceptación de términos y captura de datos de marketing. Incluso puede utilizar la autenticación basada en perfiles de Purple para visitas de regreso fluidas para los invitados, manteniendo ese tráfico completamente aislado de sus datos corporativos. [RESUMEN Y PRÓXIMOS PASOS - 1 MIN] Presentador: Para resumir: Cambiar a Microsoft Entra ID para la autenticación de WiFi es un paso fundamental hacia una arquitectura de confianza cero. Elimina los tickets de soporte técnico por rotación de contraseñas, mitiga el robo de credenciales y garantiza que solo los dispositivos administrados y compatibles accedan a su red interna. ¿Su siguiente paso? Auditar su infraestructura RADIUS actual. Si ejecuta un NPS heredado de forma local, evalúe las soluciones de RADIUS en la nube que se integran directamente con Microsoft Entra ID e Intune. Planifique su estrategia de implementación de certificados. Gracias por acompañarnos en esta sesión informativa técnica. Proteja sus redes y nos vemos la próxima vez.

header_image.png

Resumen Ejecutivo

Para los Directores de Tecnología (CTO) y arquitectos de red que gestionan entornos complejos - desde grandes espacios de hospitalidad hasta espacios de retail dinámicos - asegurar la red corporativa ya no es simplemente una cuestión de contraseñas seguras. Las llaves precompartidas tradicionales (PSKs) y la validación básica de credenciales son fundamentalmente incompatibles con la arquitectura moderna de zero-trust.

Esta guía detalla la transición a la autenticación WiFi basada en certificados 802.1X integrada directamente con Microsoft Entra ID (anteriormente Azure AD). Al migrar a EAP-TLS (Protocolo de Autenticación Extensible con Seguridad de la Capa de Transporte), las empresas pueden eliminar los riesgos asociados con el robo de credenciales, automatizar el registro de dispositivos mediante la Gestión de Dispositivos Móviles (MDM) y garantizar que solo los dispositivos gestionados y compatibles puedan acceder a las VLANs corporativas críticas. Analizamos la arquitectura técnica, los pasos de implementación y cómo este nivel de seguridad empresarial opera en paralelo con las estrategias de redes de invitados gestionadas por plataformas como Purple.

Análisis Técnico Detallado

El Cambio de Credenciales a Certificados Digitales

Históricamente, el WiFi empresarial dependía de PEAP-MSCHAPv2, que requiere que los usuarios ingresen sus credenciales de dominio. Sin embargo, debido a su susceptibilidad a los ataques de adversario en el medio (AiTM), Microsoft está desaconsejando activamente la autenticación basada en credenciales. El estándar actual de la industria es EAP-TLS, que utiliza la validación mutua de certificados.

En una implementación de EAP-TLS, tanto el servidor RADIUS como el dispositivo cliente presentan certificados digitales. Si un dispositivo carece de un certificado válido emitido por su Autoridad de Certificación (CA) de confianza, el servidor RADIUS rechaza la conexión incluso antes de que el dispositivo obtenga una dirección IP.

architecture_overview.png

El Puente Arquitectónico: RADIUS y Microsoft Entra ID

Microsoft Entra ID es un proveedor de identidad (IdP) en la nube que utiliza protocolos modernos como SAML y OIDC; no se comunica de forma nativa con el protocolo RADIUS utilizado por los puntos de acceso inalámbrico (WAPs). Para cerrar esta brecha, los arquitectos de red deben implementar un servidor RADIUS capaz de comunicarse con Microsoft Entra ID. Esto se logra normalmente a través de:

  1. Soluciones RADIUS en la nube: Plataformas diseñadas específicamente (como SecureW2, SCEPman o Portnox) que se integran directamente con Microsoft Entra ID e Intune a través de APIs.
  2. Servidor de Políticas de Red (NPS) local: Utilizando la extensión Azure MFA, aunque esto se considera cada vez más como un enfoque heredado en comparación con un RADIUS nativo de la nube.

eap_comparison_chart.png

Guía de implementación

Implementar Microsoft Entra ID para la autenticación de WiFi requiere de la coordinación entre los equipos de identidad, administración de dispositivos e infraestructura de red.

Paso 1: Establecer la infraestructura de clave pública (PKI)

Debe establecer una CA para emitir certificados de cliente y servidor. En entornos donde la nube es prioridad, esto suele ser una PKI en la nube integrada con Microsoft Intune a través del protocolo SCEP (Simple Certificate Enrolment Protocol).

Paso 2: Configurar el servidor RADIUS

Implemente su infraestructura RADIUS y vincúlela a su inquilino de Microsoft Entra ID. El servidor RADIUS necesita su propio certificado de servidor - en el que confíen sus dispositivos clientes - para demostrar su identidad durante el saludo EAP.

Paso 3: Implementar perfiles MDM a través de Intune

No dependa de que los usuarios configuren sus ajustes de WiFi de forma manual. Utilice Intune para enviar un perfil de WiFi completo que contenga:

  • El certificado CA raíz de confianza.
  • El perfil SCEP utilizado para solicitar el certificado de cliente.
  • La configuración de WiFi en sí, definiendo explícitamente el SSID y los nombres de servidor exactos de la infraestructura RADIUS para evitar ataques de tipo Evil Twin.

Paso 4: Configurar el controlador de LAN inalámbrica (WLC)

Configure sus puntos de acceso o WLC para utilizar WPA2/WPA3-Enterprise (802.1X). Dirija el tráfico de autenticación y contabilidad a las nuevas direcciones IP de su servidor RADIUS, y establezca el secreto compartido de RADIUS.

> "Al configurar 802.1X, asegúrese de que los valores de tiempo de espera de RADIUS en el WLC sean suficientes para la latencia de la validación de certificados en la nube, aumentándolos habitualmente de 2 a 5 segundos". [1]

Mejores prácticas

  • Aislar el tráfico corporativo y de invitados: Los dispositivos corporativos deben usar 802.1X vinculado a Microsoft Entra ID. Los dispositivos de invitados deben usar un SSID abierto con un Captive Portal. Para un acceso de invitados y análisis de datos robustos, aproveche una solución de Guest WiFi . Esto garantiza el aislamiento completo del tráfico no confiable.
  • Implementar la omisión de autenticación MAC (MAB) con precaución: Los dispositivos IoT y el hardware heredado - como los escáneres más antiguos en los centros de transport - a menudo no admiten 802.1X. Coloque estos dispositivos en un SSID separado mediante MAB o una PSK dedicada, y restrinja su acceso a la red con ACL estrictas.
  • Priorizar la revocación de certificados: Asegúrese de que sus puntos finales de la Lista de revocación de certificados (CRL) o del Protocolo de estado de certificado en línea (OCSP) estén altamente disponibles. Si el servidor RADIUS no puede verificar el estado de revocación, la autenticación fallará.

Solución de problemas y mitigación de riesgos

Cuando las implementaciones fallan, rara vez se debe a un fallo del IdP en la nube. Los modos de fallo comunes incluyen:

  • Desviación del reloj: EAP-TLS es extremadamente sensible al tiempo. Asegúrese de que todos los componentes de la infraestructura - especialmente los WLC y los servidores RADIUS - estén sincronizados a través de NTP.
  • Latencia de sincronización de Intune: Al registrar nuevos dispositivos, puede haber un retraso entre la emisión del certificado SCEP y el intento de conexión del dispositivo. Planifique este retraso durante el proceso de incorporación.
  • Discrepancia en el nombre del servidor RADIUS: si el nombre del servidor definido en el perfil de WiFi de Intune no coincide exactamente con el Nombre común (CN) o el Nombre alternativo del sujeto (SAN) en el certificado del servidor RADIUS, los clientes se desconectarán de forma silenciosa para protegerse contra AP maliciosos.

Para obtener un análisis más profundo sobre cómo asegurar su infraestructura, consulte nuestra guía sobre cómo proteger su red con un DNS robusto y seguridad .

ROI e impacto empresarial

La transición a la autenticación de WiFi con Azure Entra ID ofrece beneficios significativos:

  1. Reducción del gasto en soporte técnico: eliminar la autenticación basada en contraseñas reduce drásticamente los tickets de soporte relacionados con bloqueos de contraseñas y renovaciones de credenciales de WiFi.
  2. Cumplimiento acelerado: EAP-TLS proporciona la prueba criptográfica de identidad requerida por marcos de trabajo como PCI-DSS e ISO 27001, lo cual es esencial en entornos de atención médica y retail.
  3. Bajas automatizadas: cuando un empleado se va, deshabilitar su cuenta en Entra ID revoca instantáneamente su acceso a la red en todas las ubicaciones, reduciendo la amenaza interna.

Al proteger la red central corporativa, los equipos de TI pueden enfocarse en iniciativas que generen ingresos, como el uso de WiFi Analytics para comprender el comportamiento de los visitantes e impulsar la interacción.


Referencias

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Definiciones clave

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos, que requiere que los dispositivos se autentiquen antes de obtener acceso a la LAN o WLAN.

Este es el protocolo subyacente que hace que el WiFi empresarial sea seguro, yendo más allá de las simples contraseñas compartidas.

EAP-TLS

Protocolo de autenticación extensible con seguridad de la capa de transporte. Un método de autenticación que requiere certificados digitales tanto en el cliente como en el servidor.

Considerado el método más seguro para la autenticación de WiFi, ya que evita el robo de credenciales y los ataques AiTM.

RADIUS

Servicio de usuario de marcación de autenticación remota. Un protocolo de red que proporciona autenticación, autorización y contabilidad (AAA) centralizadas.

El protocolo que utilizan sus puntos de acceso para preguntar al servidor de autenticación: "¿Debería permitir que este dispositivo entre a la red?"

SCEP

Protocolo simple de inscripción de certificados. Un protocolo utilizado para emitir certificados de manera segura a dispositivos de red.

Utilizado por plataformas MDM como Intune para solicitar e instalar silenciosamente certificados de cliente en laptops y teléfonos corporativos.

Omisión de autenticación MAC (MAB)

Un método para otorgar acceso a la red basado en la dirección MAC del dispositivo en lugar de un nombre de usuario o certificado.

Se utiliza como alternativa para dispositivos heredados (como impresoras antiguas o sensores IoT) que carecen del software para realizar un saludo 802.1X.

Ataque de gemelo malvado

Un punto de acceso no autorizado que se hace pasar por un SSID corporativo legítimo para interceptar el tráfico o robar credenciales.

EAP-TLS mitiga esto debido a que el dispositivo cliente está configurado para confiar únicamente en el certificado específico del servidor RADIUS corporativo legítimo.

Suplicante

El cliente de software en el dispositivo terminal (por ejemplo, el administrador de WiFi de Windows) que maneja el proceso de autenticación 802.1X.

Los equipos de TI deben configurar el suplicante a través de MDM para garantizar que se comporte de forma segura y no solicite a los usuarios que acepten certificados de servidor no confiables.

Acceso Condicional

Políticas de Azure Entra ID que evalúan señales (usuario, ubicación, conformidad del dispositivo) para tomar decisiones de acceso.

Las soluciones modernas de Cloud RADIUS pueden verificar el Acceso Condicional durante el saludo de WiFi, denegando el acceso a la red si Intune marca el dispositivo como no conforme.

Ejemplos resueltos

Una cadena minorista con 500 sucursales necesita asegurar los iPads del área de operaciones que se utilizan para la gestión de inventarios. Actualmente, usan una sola PSK compartida en todas las tiendas. ¿Cómo deberían migrar a la autenticación de Microsoft Entra ID?

  1. Inscribir todos los iPads en Microsoft Intune.
  2. Implementar una solución de Cloud RADIUS integrada con el tenant corporativo de Microsoft Entra ID.
  3. Configurar Intune para implementar un certificado SCEP en cada iPad.
  4. Enviar un perfil de WiFi a través de Intune que configure los iPads para conectarse al SSID 'Corporate-BOH' usando EAP-TLS, validando el certificado del servidor Cloud RADIUS.
  5. Actualizar los puntos de acceso Meraki/Aruba en las 500 tiendas para que apunten a las direcciones IP de Cloud RADIUS para el SSID 'Corporate-BOH'.
  6. Despliegue gradual: Habilitar el nuevo SSID, verificar la conectividad de los iPads a través de los informes de Intune y luego retirar el SSID con la PSK heredada.
Comentario del examinador: Este enfoque elimina la PSK compartida, la cual representa un riesgo de seguridad enorme si un dispositivo es robado. Al usar EAP-TLS e Intune, la autenticación se vincula al estado de gestión del dispositivo. Si se pierde un iPad, el equipo de TI simplemente revoca el certificado o borra el dispositivo en Intune, cortando instantáneamente el acceso a la red sin afectar a las otras 499 tiendas.

El campus de una universidad está migrando de Active Directory local a Microsoft Entra ID. Tienen miles de laptops de estudiantes bajo el modelo BYOD (Bring Your Own Device) que actualmente se conectan usando PEAP-MSCHAPv2 (usuario y contraseña). ¿Cómo manejan el esquema BYOD en un entorno de Microsoft Entra ID centrado en la nube?

  1. Implementar un portal de incorporación (por ejemplo, SecureW2 JoinNow o una herramienta similar de incorporación de BYOD).
  2. Los estudiantes se conectan a un SSID de 'Incorporación' abierto, el cual los redirige al portal.
  3. El portal solicita al estudiante que se autentique contra Microsoft Entra ID (usando su correo electrónico universitario y MFA).
  4. Tras una autenticación exitosa, el portal genera un certificado de cliente único y configura automáticamente el dispositivo del estudiante para EAP-TLS.
  5. El dispositivo se conecta automáticamente al SSID seguro 'Edu-Secure' usando el nuevo certificado.
Comentario del examinador: La gestión de certificados para dispositivos BYOD no gestionados es la parte más difícil de 802.1X. No se puede usar Intune porque la universidad no es dueña de las laptops. El uso de un portal de incorporación cierra esta brecha, permitiendo el uso de un esquema EAP-TLS seguro sin requerir que el equipo de TI configure manualmente miles de laptops de estudiantes.

Preguntas de práctica

Q1. Su organización está migrando a Azure Entra ID e Intune. Actualmente utiliza PEAP-MSCHAPv2 para WiFi. El equipo de seguridad exige que la autenticación WiFi sea resistente al robo de credenciales. ¿Qué método EAP debería implementar?

Sugerencia: ¿Qué método se basa completamente en certificados en lugar de contraseñas?

Ver respuesta modelo

Debería implementar EAP-TLS. EAP-TLS utiliza autenticación de certificado mutuo, lo que significa que el dispositivo cliente debe presentar un certificado válido emitido por su PKI. Debido a que no utiliza contraseñas, es altamente resistente al robo de credenciales y a los ataques de intermediario.

Q2. Después de implementar EAP-TLS a través de Intune, los usuarios informan que no pueden conectarse al WiFi. Al observar los registros de RADIUS, ve 'Fallo en la comprobación de revocación de certificado'. ¿Cuál es la causa más probable?

Sugerencia: ¿Con qué infraestructura debe comunicarse el servidor RADIUS para verificar que un certificado no haya sido comprometido?

Ver respuesta modelo

El servidor RADIUS no puede comunicarse con la Lista de Revocación de Certificados (CRL) o el endpoint OCSP de su Autoridad de Certificación. Asegúrese de que los firewalls permitan al servidor RADIUS el acceso saliente a las URLs HTTP especificadas en los certificados de los clientes.

Q3. Un hospital necesita conectar 50 monitores de ritmo cardíaco antiguos a la red. Estos dispositivos solo admiten WPA2-Personal (Pre-Shared Key) y no se pueden registrar en Intune. ¿Cómo debería protegerlos mientras mantiene su implementación de Entra ID 802.1X para las laptops corporativas?

Sugerencia: No mezcle tipos de autenticación en el mismo SSID.

Ver respuesta modelo

Cree un SSID dedicado y separado específicamente para los dispositivos IoT médicos. Utilice una Pre-Shared Key sólida y única (o Identity PSK/iPSK si su proveedor de red lo admite) o MAC Authentication Bypass (MAB). Fundamentalmente, ubique este SSID en una VLAN altamente restringida con Listas de Control de Acceso (ACLs) estrictas que solo permitan a los monitores comunicarse con su servidor médico específico, bloqueando cualquier otro acceso de red lateral.

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración e implementación de la autenticación RADIUS para redes WiFi empresariales de invitados y empleados. Proporciona a los arquitectos de red y gerentes de TI los protocolos exactos, los estándares de seguridad y las metodologías de solución de problemas requeridas para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue requeridas para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de red y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras se mantiene la seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y el registro de redes en la educación superior

Esta guía técnica proporciona a los arquitectos de red y directores de TI un plan de acción independiente del proveedor para implementar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →