Authentification WiFi d'entreprise sans Active Directory ni serveur sur site

Ce guide explique comment déployer une authentification WiFi WPA2/3-Enterprise sécurisée sans Active Directory sur site, sans Windows NPS ni serveur RADIUS. Il aborde l'incompatibilité de protocole entre les fournisseurs d'identité cloud et 802.1X, les arguments en faveur d'EAP-TLS par rapport à PEAP-MSCHAPv2, et comment déployer un RADIUS cloud avec des certificats émis par MDM pour Microsoft Entra ID, Okta ou Google Workspace. Conçu pour les responsables informatiques des organisations cloud-first et à forte composante Mac/Chromebook prêtes à abandonner leur infrastructure sur site.

📖 9 min de lecture📝 2,219 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bonjour et bienvenue dans ce briefing technique. Aujourd'hui, nous nous attaquons à un casse-tête architectural très spécifique et très courant : comment gérer l'authentification WiFi d'entreprise lorsque vous avez migré vers le cloud et que vous ne disposez plus d'un Active Directory sur site ou d'un serveur Windows NPS.

Si vous êtes responsable informatique, architecte réseau ou CTO au sein d'une organisation cloud-first, vous avez probablement déjà été confronté à cet obstacle. Vous avez migré votre identité vers Microsoft Entra ID, Okta ou Google Workspace. Tout est en mode SaaS. Mais vos points d'accès Cisco, Aruba ou Meraki attendent toujours un serveur RADIUS. Et historiquement, ce serveur RADIUS était un serveur Windows exécutant Network Policy Server (NPS), communiquant avec un contrôleur de domaine.

Alors, comment combler cette lacune sans déployer de nouvelles machines virtuelles uniquement pour le WiFi ? Plongeons dans les détails techniques.

Le problème central réside dans une incompatibilité de protocoles. Entra ID et Okta utilisent des protocoles web modernes : SAML, OIDC et OAuth2. Vos points d'accès utilisent RADIUS. Microsoft ne fournit pas de point de terminaison RADIUS natif pour Entra ID. Vous ne pouvez pas simplement pointer votre tableau de bord Meraki vers Azure et vous attendre à ce que cela fonctionne.

Historiquement, les organisations utilisaient PEAP-MSCHAPv2 pour le WiFi. Les utilisateurs saisissaient leur nom d'utilisateur et leur mot de passe, et le serveur RADIUS vérifiait ces informations par rapport à un hachage NTLM stocké dans Active Directory. C'est là que se situe le point de défaillance critique : Microsoft Entra ID ne stocke pas les hachages NTLM. Ainsi, même si vous placez un serveur RADIUS cloud devant Entra ID, il ne peut pas valider un défi de mot de passe PEAP.

Pour résoudre ce problème, vous devez modifier la méthode d'authentification. Vous devez passer à l'EAP-TLS.

L'EAP-TLS utilise des certificats numériques au lieu de mots de passe. L'appareil présente un certificat X.509 au serveur RADIUS. Le serveur RADIUS vérifie si ce certificat a été signé par une autorité de certification de confiance. Comme aucun mot de passe n'est requis, le serveur RADIUS n'a pas besoin d'un stockage de hachages NTLM. Il lui suffit de valider le certificat et de vérifier l'appartenance de l'utilisateur à un groupe pour lui attribuer le bon VLAN.

C'est ici que l'architecture moderne prend tout son sens. Vous utilisez un service RADIUS cloud - comme Purple - pour faire office de serveur d'authentification. Vous utilisez votre plateforme de gestion des appareils mobiles (MDM), comme Microsoft Intune ou Jamf, comme mécanisme de distribution.

Le MDM utilise un protocole appelé SCEP (Simple Certificate Enrollment Protocol) pour déployer de manière transparente des certificats d'appareil sur vos ordinateurs portables et téléphones gérés. L'utilisateur n'a rien à faire. L'appareil se connecte au WiFi, présente le certificat au RADIUS cloud de Purple, Purple le valide, interroge Entra ID ou Okta pour vérifier le groupe de l'utilisateur, et indique au point d'accès de le placer sur le bon VLAN.

Parlons maintenant des recommandations de mise en œuvre et des pièges à éviter.

La recommandation la plus importante est d'adopter le provisionnement SCIM. Ne vous fiez pas aux synchronisations périodiques d'annuaires. Le SCIM (System for Cross-domain Identity Management) garantit que lorsque les RH désactivent un employé dans Entra ID, ce signal est instantanément transmis au RADIUS cloud. Leur accès WiFi s'arrête à la seconde même où leur accès de messagerie s'arrête. Il s'agit d'une amélioration significative de la sécurité.

Un piège courant est la gestion du cycle de vie des certificats. Si vous émettez des certificats qui expirent dans un an, vous devez vous assurer que votre MDM est configuré pour les renouveler automatiquement à l'échéance des dix mois. Si un certificat expire, l'appareil se déconnecte du réseau silencieusement et vous recevrez un ticket de support.

Un autre piège est la configuration du pare-feu. Vos points d'accès doivent pouvoir atteindre les points de terminaison du RADIUS cloud. Assurez-vous que vos règles sortantes autorisent le port UDP 1812, ou idéalement le port TCP 2083 si vos points d'accès prennent en charge RadSec, qui chiffre le trafic RADIUS sur Internet.

Passons à une session rapide de questions-réponses basée sur les questions les plus fréquentes que nous rencontrons.

Question un : Puis-je authentifier le WiFi directement auprès d'Entra ID ?
Réponse : Non. Entra ID ne parle pas le protocole RADIUS. Vous avez besoin d'un service RADIUS cloud intermédiaire.

Question deux : Ai-je toujours besoin de Windows NPS ?
Réponse : Non. Un service RADIUS cloud remplace complètement NPS. Vous pouvez décommissionner ces serveurs Windows.

Question trois : Comment les entreprises cloud-only sécurisent-elles le WiFi de leur personnel ?
Réponse : En utilisant leur MDM pour déployer des certificats et en s'authentifiant via EAP-TLS auprès d'un fournisseur RADIUS cloud.

Question quatre : Qu'advient-il de l'accès WiFi lorsqu'un employé s'en va ?
Réponse : Grâce au provisionnement SCIM, son accès est révoqué à l'instant même où son compte est désactivé chez le fournisseur d'identité. Aucune intervention manuelle n'est requise.

En résumé, migrer votre authentification WiFi vers le cloud est la suite logique après avoir migré votre identité vers le cloud. En déployant le RADIUS cloud et l'EAP-TLS, vous éliminez les serveurs sur site, vous supprimez les mots de passe de l'équation et vous liez l'accès réseau directement à l'identité cloud de l'utilisateur. C'est plus sécurisé, plus facile à gérer et hautement disponible par défaut.

Purple exploite le RADIUS cloud sur plus de 80 000 sites dans le monde, avec une disponibilité de 99,999 % et des intégrations natives avec Microsoft Entra ID, Okta et Google Workspace. Vous pouvez être opérationnel sur vos points d'accès existants Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist en moins d'une heure.

Merci d'avoir écouté ce briefing technique. Pour des guides de déploiement plus détaillés et pour voir une démonstration en direct, visitez purple dot ai.

Points clés à retenir

✓Microsoft Entra ID, Okta et Google Workspace ne parlent pas le protocole RADIUS. Vous avez besoin d'un service cloud RADIUS pour faire le pont entre les points d'accès et les fournisseurs d'identité cloud.
✓PEAP-MSCHAPv2 échoue dans les environnements 100 % cloud car les fournisseurs d'identité cloud ne stockent pas les hachages de mots de passe NTLM requis par RADIUS pour la validation.
✓EAP-TLS remplace les mots de passe par des certificats X.509 émis par MDM, offrant une authentification résistante au phishing sans aucun identifiant à voler.
✓Les plateformes MDM comme Microsoft Intune et Jamf Pro déploient les certificats de manière transparente via SCEP, éliminant l'intégration manuelle et remplaçant l'Autorité de Certification sur site.
✓Le provisionnement SCIM garantit que l'accès WiFi est révoqué dans les secondes qui suivent la désactivation d'un employé dans le fournisseur d'identité, et non des heures plus tard après une synchronisation LDAP.
✓Le cloud RADIUS élimine le besoin de gérer des serveurs Windows NPS, supprimant ainsi les correctifs d'OS, la conception de haute disponibilité et la dépendance vis-à-vis d'Active Directory sur site.
✓Purple exploite le cloud RADIUS sur plus de 80 000 sites avec une disponibilité de 99,999 %, prenant en charge les points d'accès Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet.

📚 Part of our core series: Sécurité et authentification WiFi d'entreprise : le guide complet →

Résumé exécutif

La plupart des organisations ont migré leur identité vers le cloud. Microsoft Entra ID, Okta et Google Workspace gèrent désormais les utilisateurs, les groupes et les politiques d'accès pour la messagerie, les applications SaaS et la gestion des appareils. Pourtant, le WiFi d'entreprise n'a pas suivi le rythme. Les points d'accès attendent toujours un serveur RADIUS, et ce serveur RADIUS a historiquement été Windows Network Policy Server (NPS) connecté à un contrôleur de domaine Active Directory sur site.

Cette incompatibilité oblige les équipes informatiques à maintenir une infrastructure sur site redondante uniquement pour faire fonctionner le WiFi. La solution est le cloud RADIUS : un service d'authentification entièrement géré qui communique en RADIUS avec vos points d'accès et en OAuth2, SCIM et SAML avec votre fournisseur d'identité cloud. Associez-le à la distribution de certificats EAP-TLS via votre MDM, et vous obtenez un déploiement 802.1X complet sans serveurs sur site, sans correctifs de système d'exploitation et avec une révocation instantanée des accès directement liée à votre annuaire cloud.

Purple exploite le cloud RADIUS sur plus de 80 000 sites dans le monde, avec une disponibilité de 99,999 % (données internes Purple, 2024) et des intégrations natives avec Microsoft Entra ID, Okta et Google Workspace. Vous pouvez être opérationnel sur vos points d'accès existants Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet en moins d'une heure.

Analyse technique approfondie

L'incompatibilité de protocole au cœur du problème

Le défi fondamental réside dans le fait que les fournisseurs d'identité cloud et les points d'accès WiFi parlent des langages totalement différents. Microsoft Entra ID (anciennement Azure AD) authentifie les utilisateurs via SAML, OIDC et OAuth2 - les protocoles utilisés par les navigateurs et les applications SaaS. Les points d'accès WiFi utilisent RADIUS (Remote Authentication Dial-In User Service, RFC 2865), un protocole basé sur UDP conçu dans les années 1990 pour le bas débit et les VPN. Microsoft n'a jamais fourni de point de terminaison RADIUS natif pour Entra ID. Vous ne pouvez pas pointer un point d'accès Meraki ou Aruba directement vers Azure et espérer que le 802.1X fonctionne.

C'est le mur auquel se heurte chaque équipe informatique cloud-first lorsqu'elle tente de sécuriser le WiFi du personnel avec WPA2-Enterprise ou WPA3-Enterprise. Quelque chose doit combler le fossé entre le point d'accès et le fournisseur d'identité cloud. Ce quelque chose, c'est le cloud RADIUS.

Pourquoi PEAP-MSCHAPv2 échoue sans Active Directory

Historiquement, les déploiements 802.1X reposaient sur PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol avec Microsoft Challenge Handshake Authentication Protocol version 2). L'utilisateur saisissait son nom d'utilisateur et son mot de passe, le point d'accès transmettait la demande au serveur RADIUS, et le serveur RADIUS validait le mot de passe par rapport à un hachage NTLM stocké dans Active Directory.

Microsoft Entra ID ne stocke pas les hachages NTLM. Il ne s'agit pas d'un défaut de configuration, mais d'un choix architectural délibéré. Entra ID est un fournisseur d'identité cloud moderne, et non un contrôleur de domaine. Par conséquent, un serveur RADIUS pointant vers Entra ID ne peut pas valider un défi PEAP-MSCHAPv2. La seule façon de faire fonctionner PEAP avec Entra ID est de déployer Entra Domain Services, un Active Directory géré et payant qui se synchronise à partir d'Entra ID, puis d'exécuter NPS sur celui-ci. Cela réintroduit la majeure partie de ce que vous essayiez d'éliminer : les machines virtuelles Windows Server, les correctifs du système d'exploitation, le stockage des hachages NTLM et la gestion manuelle des certificats.

EAP-TLS : la bonne réponse pour les organisations cloud-first

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security, RFC 5216) remplace les mots de passe par des certificats numériques X.509. L'appareil présente un certificat au serveur RADIUS. Le serveur RADIUS valide le certificat par rapport à une autorité de certification (CA) de confiance. Comme il n'y a pas de mot de passe dans l'échange, le serveur RADIUS n'a pas besoin d'un stockage de hachages NTLM. Il lui suffit de faire confiance à la CA et de vérifier l'appartenance de l'utilisateur à un groupe dans le fournisseur d'identité pour appliquer le bon VLAN et la bonne politique d'accès.

EAP-TLS est résistant au phishing par conception. Il n'y a aucun identifiant à voler. Il répond aux directives de la CISA sur l'authentification multifacteur résistante au phishing et s'aligne sur les exigences du PCI DSS pour une authentification forte sur les réseaux qui traitent les données des titulaires de cartes. C'est la méthode d'authentification recommandée par la norme IEEE 802.1X pour les flottes d'appareils gérés.

Architecture d'authentification 802.1X cloud-first : les appareils s'authentifient via EAP-TLS via le cloud RADIUS de Purple, qui valide les certificats et applique la politique basée sur les groupes depuis Entra ID, Okta ou Google Workspace.

Comment le MDM remplace la CA sur site

Dans un déploiement 802.1X traditionnel, les certificats étaient émis par une autorité de certification sur site exécutant Active Directory Certificate Services (AD CS). Dans un déploiement cloud-first, le MDM assume ce rôle en utilisant SCEP (Simple Certificate Enrollment Protocol). Microsoft Intune, Jamf Pro et d'autres plateformes MDM peuvent demander des certificats à une CA hébergée dans le cloud et les déployer de manière invisible sur les appareils gérés.

Le flux fonctionne comme suit. L'administrateur informatique crée un profil de certificat SCEP dans le MDM, ciblé sur les groupes d'appareils qui nécessitent un accès WiFi. Le MDM déploie automatiquement le certificat sur les appareils Windows, macOS, iOS, iPadOS, Android Enterprise et ChromeOS. L'utilisateur ne voit rien. Le certificat est lié à l'identité de l'appareil dans le MDM et se renouvelle automatiquement avant son expiration. Lorsque l'appareil se connecte au WiFi, il présente le certificat au serveur cloud RADIUS, qui le valide par rapport à la CA et applique la bonne politique réseau.

Pour les organisations utilisant Microsoft Intune, Microsoft Cloud PKI fournit une CA entièrement gérée qui s'intègre directement aux profils SCEP d'Intune, éliminant ainsi le besoin d'un serveur NDES (Network Device Enrollment Service) sur site. Pour les flottes Mac et iOS gérées par Jamf, la CA intégrée de Jamf ou une CA cloud tierce remplit la même fonction.

SCIM et révocation d'accès instantanée

L'un des aspects opérationnels les plus importants de cloud RADIUS est le provisionnement SCIM (System for Cross-domain Identity Management). SCIM est un standard ouvert qui pousse les modifications d'identité depuis la source de vérité - votre fournisseur d'identité cloud - vers les systèmes dépendants en temps réel. Lorsqu'un employé est désactivé dans Entra ID ou Okta, SCIM pousse immédiatement cette modification vers le service cloud RADIUS. Lors de la tentative d'authentification suivante de l'appareil, le serveur RADIUS renvoie un Access-Reject. Avec un délai d'expiration de session court configuré sur le point d'accès, l'appareil est retiré du réseau quelques minutes seulement après la désactivation du compte.

Il s'agit d'une amélioration matérielle de la sécurité par rapport aux réseaux PSK partagés, où le seul moyen de révoquer l'accès est de modifier le mot de passe sur chaque appareil, et par rapport aux déploiements RADIUS hérités qui reposent sur des synchronisations LDAP périodiques avec un délai de plusieurs heures ou jours.

RadSec : sécuriser le trafic RADIUS sur Internet

Le RADIUS traditionnel utilise UDP et ne fournit qu'une authentification de message de base. Lorsque votre serveur RADIUS se trouve dans le même centre de données que vos points d'accès, cela est acceptable. Lorsque votre serveur RADIUS est un service cloud, le trafic d'authentification traverse l'Internet public. RadSec (RADIUS sur TLS, RFC 6614) chiffre l'échange RADIUS à l'aide de TLS, garantissant la confidentialité et l'intégrité du trafic d'authentification. Purple prend en charge RadSec nativement, avec un repli IPsec pour les points d'accès qui ne prennent pas encore en charge RadSec.

Guide d'implémentation

Le déploiement de cloud RADIUS avec EAP-TLS nécessite quatre étapes coordonnées. Un SSID pilote peut être opérationnel en moins d'une heure si Entra ID et un MDM sont déjà en place.

Étape 1 : Connecter le cloud RADIUS à votre fournisseur d'identité

Connectez Purple à votre fournisseur d'identité via le consentement de l'administrateur OAuth2 (pour Entra ID) ou un jeton d'API (pour Okta et Google Workspace). Cela autorise Purple à lire les utilisateurs, les groupes et les appartenances aux groupes à partir de l'annuaire. Configurez le provisionnement SCIM pour pousser les changements d'état des utilisateurs vers Purple en temps réel. Aucun identifiant de principal de service n'est stocké sur le disque. Les modifications de groupe se propagent lors du prochain événement d'authentification, et non selon un calendrier de synchronisation.

Étape 2 : Configurer votre MDM et votre profil SCEP

Dans Microsoft Intune, créez un profil de certificat approuvé pour la racine de la CA, puis créez un profil de certificat SCEP pointant vers la CA gérée par Purple. Ciblez ces deux profils vers les groupes d'appareils qui nécessitent un accès WiFi. Pour Jamf, configurez une charge utile SCEP dans un profil de configuration. Le MDM pousse les certificats de manière silencieuse. Vérifiez la distribution des certificats dans le tableau de bord de conformité du MDM avant de continuer.

Étape 3 : Définir les politiques réseau dans le tableau de bord RADIUS cloud

Créez des politiques RADIUS qui associent les groupes de fournisseurs d'identité à des VLAN spécifiques et à des contrôles d'accès. Par exemple, associez le groupe Entra ID « Staff-Finance » au VLAN 20 avec un accès complet à Internet, et associez « Staff-Contractors » au VLAN 30 avec un accès limité dans le temps qui expire automatiquement. Le tableau de bord de Purple applique ces politiques au moment de l'authentification, sans qu'aucune modification du pare-feu ne soit nécessaire.

Étape 4 : Mettre à jour la configuration des points d'accès

Mettez à jour la configuration de l'SSID sur vos points d'accès pour utiliser WPA2-Enterprise ou WPA3-Enterprise avec 802.1X. Saisissez les noms d'hôte ou les adresses IP des terminaux principaux et secondaires du cloud RADIUS de Purple, ainsi que le secret partagé. Configurez les points d'accès pour utiliser l'attribution dynamique de VLAN basée sur les attributres RADIUS renvoyés par Purple. Testez avec un seul SSID sur un sous-ensemble de points d'accès avant de déployer sur l'ensemble du parc.

Cloud RADIUS vs RADIUS sur site : une comparaison directe du temps de déploiement, de la dépendance à Active Directory, de la haute disponibilité, des correctifs du système d'exploitation, de l'intégration de l'identité et de la gestion du cycle de vie des certificats.

Bonnes pratiques

Ces recommandations reflètent les normes IEEE 802.1X, les exigences PCI DSS v4.0 et l'expérience opérationnelle acquise sur le parc de plus de 80 000 sites de Purple.

Imposer l'EAP-TLS pour les appareils gérés. Les mots de passe sont sensibles au phishing et au credential stuffing. Les certificats fournissent une preuve cryptographique de l'identité et de la conformité de l'appareil. L'EAP-TLS est la seule méthode 802.1X résistante au phishing par conception.

Utiliser SCIM pour une révocation instantanée. Les synchronisations LDAP périodiques laissent une fenêtre durant laquelle un employé licencié conserve l'accès au réseau. SCIM garantit que l'accès est révoqué dès que le compte est désactivé chez le fournisseur d'identité.

Déployer un RADIUS multi-région. Configurez vos points d'accès avec au moins deux terminaux RADIUS dans des régions géographiques différentes. Purple fournit par défaut un basculement multi-région actif-actif, le basculement s'effectuant en quelques secondes.

Segmenter le trafic avec des VLAN dynamiques. Utilisez les appartenances aux groupes de fournisseurs d'identité pour attribuer dynamiquement les utilisateurs à des VLAN spécifiques. Cela isole le trafic sensible et limite la surface d'impact d'un appareil compromis sans nécessiter de modifications manuelles du pare-feu.

Activer RadSec. Si vos points d'accès prennent en charge RadSec, activez-le pour chiffrer le trafic d'authentification entre le point d'accès et le serveur RADIUS cloud. Ceci est particulièrement important pour les succursales et les sites où le point d'accès se trouve sur un segment de réseau non sécurisé.

Surveiller le cycle de vie des certificats. Configurez le renouvellement automatique MDM pour qu'il se déclenche à 80 % de la durée de vie du certificat. Pour un certificat d'un an, le renouvellement commence au bout de 10 mois. Alertez sur les appareils qui ne parviennent pas à se renouveler avant l'expiration du certificat. Pour un aperçu plus large des normes et frameworks de sécurité WiFi d'entreprise, consultez notre Sécurité WiFi d'entreprise : Le guide complet pour 2026 .

Résolution des problèmes et atténuation des risques

La transition vers un RADIUS cloud introduit de nouvelles dépendances. Préparez-vous à ces modes de défaillance courants avant qu'ils n'affectent la production.

Expiration des certificats. Si le certificat d'un appareil expire avant que le MDM ne le renouvelle, l'authentification de l'appareil échoue silencieusement. L'utilisateur voit une erreur de connexion sans explication. Atténuez ce risque en configurant le renouvellement automatique du MDM à 80 % de la durée de vie du certificat et en surveillant le tableau de bord de conformité du MDM pour repérer les appareils dont les certificats expirent.

Échecs de synchronisation MDM. Un appareil qui n'est plus conforme au MDM ou qui ne parvient pas à s'y connecter peut ne pas recevoir de certificat renouvelé. Mettez en œuvre des politiques de conformité qui signalent les appareils défectueux et alertent les administrateurs avant l'expiration du certificat.

Blocage du trafic RADIUS par le pare-feu. Les points d'accès doivent pouvoir atteindre les points de terminaison RADIUS cloud sur le port UDP 1812 (authentification) et le port UDP 1813 (comptabilité), ou le port TCP 2083 pour RadSec. Les règles de pare-feu sortantes des succursales bloquent fréquemment ces ports. Testez la connectivité depuis le VLAN de gestion des points d'accès avant le déploiement.

Échecs de provisionnement SCIM. Si la connexion SCIM entre le fournisseur d'identité et Purple est interrompue, les changements d'état des utilisateurs ne seront pas propagés. Surveillez l'état de la synchronisation SCIM à la fois dans le fournisseur d'identité et dans le tableau de bord Purple. Configurez des alertes pour les échecs de synchronisation.

Appareils existants sans prise en charge des certificats. Les appareils IoT, les imprimantes et le matériel plus ancien peuvent ne pas prendre en charge l'EAP-TLS. Pour ces appareils, utilisez l'iPSK (clés pré-partagées individuelles) plutôt qu'une clé PSK partagée. Purple prend en charge l'iPSK de manière native, en attribuant une clé unique par appareil et en plaçant chaque appareil sur le bon VLAN sans nécessiter de support de suppliant 802.1X.

ROI et impact commercial

La migration d'un RADIUS sur site vers un RADIUS cloud offre une valeur mesurable en termes d'infrastructure, d'opérations et de sécurité.

Dimension	NPS sur site	RADIUS Cloud (Purple)
Coût de l'infrastructure	Licences Windows Server, calcul VM, stockage	Abonnement par point d'accès, aucun matériel serveur
Temps de déploiement	De quelques jours à plusieurs semaines	Moins d'une heure
Haute disponibilité	Manuelle - deux serveurs plus réplication	Actif-actif multi-région, par défaut
Correctifs du système d'exploitation	Mensuels, par votre équipe	Gérés par le fournisseur
Tickets d'assistance WiFi	Élevés - réinitialisations de mots de passe, intégration manuelle	En baisse de 80 % (données clients Purple)
Révocation des accès	De quelques heures à plusieurs jours via la synchronisation LDAP	Quelques secondes via SCIM

Les équipes informatiques qui utilisent le Staff WiFi de Purple constatent généralement une baisse de 80 % des tickets de support WiFi (données internes Purple, 2024), grâce à l'élimination des réinitialisations de mots de passe et de l'intégration manuelle des appareils. L'authentification par certificat répond également à l'exigence PCI DSS 8.3 pour l'authentification forte et au contrôle ISO 27001 A.9.4 pour le contrôle d'accès aux systèmes et applications, allégeant ainsi la charge d'audit de votre équipe de sécurité.

Pour les organisations du commerce de détail et de l' hôtellerie , la possibilité de gérer le Staff WiFi et le Guest WiFi depuis un tableau de bord cloud unique - avec une couche d'identité unifiée - réduit la complexité opérationnelle sur les parcs multi-sites. Pour les opérateurs de transport et les prestataires de santé , la capacité de révocation instantanée et la piste d'audit complète répondent aux exigences réglementaires sans outils supplémentaires.

La couche WiFi Analytics de Purple ajoute des données d'occupation et de travail hybride à l'infrastructure d'authentification, transformant le Staff WiFi d'un centre de coûts en une source d'intelligence opérationnelle.

Lecture associée : Sécurité WiFi d'entreprise : Le guide complet pour 2026 - Intégration du micrologiciel personnalisé OpenWrt avec Purple WiFi

Définitions clés

802.1X

Une norme IEEE (IEEE 802.1X-2020) pour le contrôle d'accès réseau basé sur les ports. Elle exige que les appareils s'authentifient avant que le point d'accès n'accorde l'accès au réseau, en utilisant un échange EAP géré par un serveur RADIUS.

Les équipes informatiques utilisent le 802.1X pour s'assurer que seuls les utilisateurs et appareils autorisés se connectent au réseau de l'entreprise. Il offre un chiffrement par utilisateur, des clés par session et un historique d'audit complet de chaque événement de connexion.

RADIUS

Remote Authentication Dial-In User Service (RFC 2865). Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour l'accès au réseau.

Les points d'accès transmettent chaque demande de connexion au serveur RADIUS, qui décide d'autoriser l'appareil et de lui attribuer un VLAN. Le Cloud RADIUS remplace les serveurs NPS ou FreeRADIUS sur site.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security (RFC 5216). Une méthode d'authentification 802.1X qui utilise un échange mutuel de certificats X.509 au lieu de mots de passe.

EAP-TLS est la référence absolue pour les flottes d'appareils gérés. Il résiste au phishing, ne nécessite aucun stockage de hachage de mot de passe et constitue la seule méthode 802.1X conforme aux directives de la CISA sur le MFA résistant au phishing.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol avec Microsoft Challenge Handshake Authentication Protocol version 2. Une méthode 802.1X héritée qui valide les mots de passe par rapport aux hachages NTLM stockés dans Active Directory.

PEAP-MSCHAPv2 échoue dans les environnements 100 % cloud car Entra ID ne stocke pas les hachages NTLM. Les organisations qui migrent depuis un AD sur site doivent remplacer PEAP par EAP-TLS.

SCEP

Simple Certificate Enrollment Protocol. Un protocole utilisé par les plateformes MDM pour demander et installer automatiquement des certificats numériques sur les appareils, sans intervention de l'utilisateur.

Les équipes informatiques utilisent SCEP avec Intune ou Jamf pour déployer silencieusement des certificats WiFi sur les appareils des employés. SCEP remplace le serveur NDES (Network Device Enrollment Service) sur site dans les déploiements axés sur le cloud.

SCIM

System for Cross-domain Identity Management (RFC 7644). Un standard ouvert qui automatise l'échange en temps réel d'informations d'identité utilisateur entre les systèmes informatiques.

SCIM garantit que lorsqu'un employé est désactivé dans Entra ID ou Okta, ce changement est immédiatement transmis au service cloud RADIUS, révoquant l'accès WiFi en quelques secondes plutôt qu'en quelques heures.

NPS

Network Policy Server. L'implémentation RADIUS de Microsoft, généralement exécutée sur Windows Server dans le cadre d'un environnement Active Directory sur site.

Les organisations axées sur le cloud abandonnent NPS pour éliminer les machines virtuelles Windows Server, les correctifs du système d'exploitation et la dépendance vis-à-vis d'Active Directory sur site. Le Cloud RADIUS en est le remplacement direct.

RadSec

RADIUS sur TLS (RFC 6614). Un protocole qui chiffre le trafic d'authentification RADIUS à l'aide de TLS, remplaçant le transport en texte clair basé sur UDP utilisé par le RADIUS traditionnel.

RadSec est essentiel lors de l'utilisation du cloud RADIUS, car le trafic d'authentification doit traverser l'internet public entre le point d'accès et le service cloud. Purple prend en charge RadSec nativement.

iPSK

Individual Pre-Shared Key. Une variante de WPA2-Personal qui attribue une clé pré-partagée unique à chaque appareil, plutôt qu'une seule clé partagée pour tous les appareils.

L'iPSK est utilisé pour les appareils IoT, les imprimantes et autres matériels qui ne peuvent pas prendre en charge le protocole 802.1X EAP-TLS. Il permet de responsabiliser chaque appareil et d'attribuer des VLAN sans nécessiter de support de certificat.

Dynamic VLAN

Une technique de segmentation réseau où le serveur RADIUS renvoie un identifiant de VLAN dans la réponse Access-Accept, et le point d'accès place automatiquement l'appareil sur ce VLAN.

Les VLAN dynamiques permettent aux équipes informatiques de segmenter le personnel, les sous-traitants, les appareils IoT et les invités sur des segments de réseau distincts en fonction de l'appartenance à un groupe de fournisseurs d'identité, sans modification manuelle du pare-feu.

Exemples concrets

Une chaîne de vente au détail de 400 sites doit sécuriser le WiFi du personnel dans tous ses points de vente. Elle utilise des points d'accès Cisco Meraki et Microsoft Entra ID avec Intune pour la gestion des appareils. Elle utilise actuellement une clé partagée WPA2-Personal PSK car elle ne dispose pas d'Active Directory sur site pour exécuter NPS. Un récent audit interne a signalé cette clé PSK partagée comme une faille de conformité PCI DSS.

La chaîne déploie le RADIUS cloud de Purple. Tout d'abord, elle connecte Purple à Entra ID via le consentement administrateur OAuth et configure le provisionnement SCIM. Dans Intune, elle crée un profil de certificat approuvé pour la CA racine de Purple et un profil de certificat SCEP ciblé sur le groupe d'appareils "Staff-Retail". Intune pousse silencieusement les certificats vers tous les terminaux de point de vente gérés et les tablettes du personnel. Dans le tableau de bord Meraki, elle met à jour l'SSID du personnel en WPA2-Enterprise, saisit les points de terminaison primaire et secondaire du RADIUS cloud de Purple, et active l'attribution dynamique de VLAN. Lorsqu'un appareil se connecte, il présente son certificat émis par Intune, Purple le valide par rapport à la CA et vérifie le groupe Entra ID, puis l'appareil est placé sur le VLAN 10 (réseau du personnel) ou le VLAN 20 (réseau de gestion) en fonction de son appartenance au groupe. La clé PSK partagée est retirée. Le déploiement sur les 400 sites prend un week-end, car aucun matériel sur site n'est déployé - seules des modifications de configuration SSID dans Meraki sont nécessaires.

Commentaire de l'examinateur : Cette approche élimine la clé PSK partagée, offrant une traçabilité par appareil et des clés de chiffrement par session. Chaque événement d'authentification est enregistré avec l'utilisateur, l'appareil, le point d'accès et l'SSID, répondant ainsi à l'exigence 10.2 de la norme PCI DSS concernant les journaux d'audit. En s'appuyant sur Intune SCEP et le RADIUS cloud, la chaîne obtient une sécurité 802.1X sans déployer de serveurs sur site dans aucun de ses 400 emplacements. L'alternative - déployer des machines virtuelles NPS sur chaque site ou dans une topologie en étoile - nécessiterait des semaines de travail d'infrastructure et des correctifs continus.

Une université de 15 000 étudiants utilise Google Workspace comme principal fournisseur d'identité. L'équipe informatique souhaite fournir un WiFi sécurisé pour le personnel et les étudiants sur un parc d'appareils personnels (BYOD) composé de MacBooks, de Chromebooks et de téléphones Android. Elle ne dispose d'aucun Active Directory sur site et ne souhaite pas gérer de serveurs.

L'université intègre le RADIUS cloud de Purple avec Google Workspace. Pour les Chromebooks gérés, elle utilise Google Admin pour pousser un profil de certificat WiFi via SCEP, enregistrant silencieusement chaque appareil. Pour les MacBooks et téléphones Android personnels, elle déploie une application d'intégration légère qui authentifie l'utilisateur avec ses identifiants Google et installe un certificat sur l'appareil en un seul clic. Les connexions suivantes utilisent EAP-TLS de manière transparente. Purple associe les unités d'organisation de Google Workspace aux VLAN : le personnel est dirigé vers le VLAN 10, les étudiants vers le VLAN 20, et les visiteurs invités vers un SSID avec Captive Portal. Lorsqu'un étudiant obtient son diplôme et que son compte Google est suspendu, SCIM transmet le changement à Purple et son accès WiFi est révoqué en quelques minutes.

Commentaire de l'examinateur : Cette solution fournit un accès 802.1X sécurisé pour un parc mixte d'appareils gérés et personnels sans nécessiter d'Active Directory. L'application d'intégration gère la complexité du provisionnement des certificats pour les appareils personnels, qui ne peuvent pas être gérés via un MDM. L'intégration SCIM de Google Workspace garantit que le parc WiFi reste aligné avec l'annuaire de l'université sans intervention manuelle. Ce modèle est en production à l'Université de Sheffield, à l'Université de Leeds et à l'Université des Arts de Londres, tous clients de Purple.

Questions d'entraînement

Q1. Votre organisation a entièrement migré d'Active Directory sur site vers Microsoft Entra ID. Votre WiFi personnel actuel utilise PEAP-MSCHAPv2 par rapport à un serveur NPS qui était joint à l'ancien domaine. Après le déclassement du contrôleur de domaine, le personnel signale qu'il ne peut plus se connecter au WiFi. Quelle est la cause profonde et quel est le correctif à long terme approprié ?

Conseil : Considérez ce que PEAP-MSCHAPv2 exige de l'annuaire, et si Entra ID le fournit.

Voir la réponse type

La cause profonde est que PEAP-MSCHAPv2 exige que le serveur RADIUS valide le mot de passe de l'utilisateur par rapport à un hachage NTLM stocké dans Active Directory. Le contrôleur de domaine étant déclassé, NPS n'a plus d'annuaire par rapport auquel valider. Entra ID ne stocke pas les hachages NTLM, NPS ne peut donc pas être redirigé vers Entra ID. Le correctif à long terme approprié consiste à remplacer NPS par un service RADIUS cloud, à migrer de PEAP-MSCHAPv2 vers EAP-TLS, et à utiliser le MDM (Intune) pour émettre des certificats d'appareil via SCEP. Cela élimine la dépendance vis-à-vis de tout annuaire sur site.

Q2. Vous déployez un service RADIUS cloud pour un parc de 200 MacBooks d'entreprise gérés par Jamf Pro. Votre fournisseur d'identité est Okta. Quel est le moyen le plus sécurisé et le plus efficace sur le plan opérationnel pour provisionner les identifiants WiFi sur ces appareils ?

Conseil : Recherchez une méthode qui ne nécessite aucune interaction de l'utilisateur, évite les mots de passe et s'intègre à votre MDM existant.

Voir la réponse type

Configurez Jamf Pro pour utiliser SCEP afin de pousser silencieusement les certificats d'appareil vers les MacBooks. Créez une charge utile SCEP dans un profil de configuration Jamf, pointant vers l'autorité de certification (CA) gérée par votre fournisseur RADIUS cloud. Ciblez le profil sur le groupe d'appareils concerné. Jamf poussera automatiquement le certificat sur chaque MacBook, sans aucune interaction de l'utilisateur. Configurez le profil WiFi dans le même profil de configuration pour utiliser EAP-TLS avec le certificat émis par SCEP. Connectez le service RADIUS cloud à Okta via SCIM pour garantir que lorsqu'un employé est désactivé dans Okta, son accès WiFi soit immédiatement révoqué.

Q3. Un employé est licencié à 9h00 un lundi. Son compte Entra ID est désactivé par les RH à 9h05. À 9h30, une alerte de sécurité indique que l'ordinateur portable de l'employé est toujours connecté au WiFi de l'entreprise depuis le parking. Quelle configuration est manquante et comment y remédier ?

Conseil : Comment le serveur RADIUS apprend-il que le statut de l'utilisateur a changé chez le fournisseur d'identité ?

Voir la réponse type

Le déploiement repose sur des synchronisations LDAP périodiques plutôt que sur le provisionnement SCIM. La synchronisation LDAP n'a pas encore été exécutée depuis la désactivation du compte, de sorte que le service RADIUS cloud considère toujours l'utilisateur comme actif. La solution consiste à activer le provisionnement SCIM entre Entra ID et le service RADIUS cloud. SCIM pousse les changements d'état des utilisateurs en temps réel, de sorte que lorsque le compte est désactivé dans Entra ID à 9h05, le service RADIUS reçoit immédiatement la modification. La prochaine fois que l'appareil tentera de se réauthentifier (contrôlé par le délai d'expiration de la session sur le point d'accès), il recevra un Access-Reject. Définir un délai d'expiration de session court (15 à 30 minutes) sur le point d'accès limite la fenêtre maximale entre la désactivation du compte et l'exclusion du réseau.

Q4. Votre site dispose de 50 appareils IoT - lecteurs d'affichage dynamique, capteurs environnementaux et imprimantes - qui ne prennent pas en charge 802.1X EAP-TLS. Comment sécurisez-vous ces appareils sur la même infrastructure WiFi que votre réseau personnel EAP-TLS ?

Conseil : Considérez quelle méthode d'authentification offre une imputabilité par appareil sans nécessiter de support de certificat.

Voir la réponse type

Utilisez l'iPSK (clés pré-partagées individuelles) pour les appareils IoT. Attribuez une clé pré-partagée unique à chaque appareil dans le tableau de bord du RADIUS cloud, ainsi qu'une attribution de VLAN. Chaque appareil s'authentifie avec sa clé unique, que le serveur RADIUS valide et utilise pour placer l'appareil sur le VLAN IoT, isolé du réseau du personnel. Si un appareil est compromis ou déclassé, vous révoquez uniquement la clé de cet appareil sans affecter les autres. Cette approche offre une imputabilité par appareil et une segmentation du réseau sans nécessiter de support de demandeur 802.1X sur le matériel IoT.

Continuer la lecture de cette série

Trois SSIDs pour régner sur tous : guide de configuration WiFi pour invités, personnel et IoT

Ce guide de référence technique fait autorité et fournit un plan étape par étape pour implémenter une architecture WiFi à trois SSIDs. Il explique comment segmenter le trafic des invités, du personnel et de l'IoT à l'aide de captive portals, de RADIUS 802.1X et de clés partagées par appareil (xPSK) afin d'optimiser les performances et de garantir la conformité PCI DSS.

Comment révoquer l'accès WiFi lors du départ d'un employé

Ce guide détaille comment révoquer l'accès WiFi lors du départ d'un employé, en remplaçant les mots de passe partagés non sécurisés par des certificats 802.1X par utilisateur ou par iPSK. Il traite du déprovisionnement automatisé via SCIM afin de répondre aux exigences d'audit ISO 27001 et SOC 2.

Authentification WiFi Google Workspace : Intégration de Chromebook et LDAP

Une référence technique définitive pour les administrateurs informatiques déployant un WiFi sécurisé dans les environnements Google Workspace. Ce guide couvre le déploiement de certificats 802.1X sur les Chromebooks gérés via la console d'administration Google, l'intégration de Google Secure LDAP en tant que serveur back-end RADIUS, et les décisions d'architecture pour les secteurs de l'éducation, des médias et des entreprises. Il fournit des étapes de mise en œuvre concrètes, des études de cas réels et une comparaison directe des méthodes EAP pour aider les équipes à passer de clés PSK partagées vulnérables à un contrôle d'accès réseau robuste et basé sur l'identité.