Comment configurer Azure Entra ID (Azure AD) pour l'authentification WiFi

Ce guide de référence détaille l'architecture, les étapes de mise en œuvre et l'impact commercial de l'intégration d'Azure Entra ID avec 802.1X pour l'authentification WiFi d'entreprise. Il fournit aux architectes réseau et aux responsables informatiques des stratégies de déploiement pratiques, remplaçant les clés PSK héritées par un accès réseau basé sur des certificats et reposant sur le zero-trust.

📖 4 min de lecture📝 945 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

[INTRO - 1 MIN]
Host: Bienvenue dans ce briefing sur les réseaux d'entreprise Purple. Je suis votre hôte, et aujourd'hui nous nous attaquons à une mise à niveau critique des infrastructures qui est au cœur des préoccupations des CTO et des architectes réseau : la migration de l'authentification WiFi de votre entreprise vers Azure Entra ID (anciennement Azure AD). Si vous gérez une chaîne d'hôtels, un stade ou un grand déploiement dans le secteur public, vous connaissez le casse-tête des serveurs RADIUS sur site existants et des clés PSK partagées. Aujourd'hui, nous parlons d'accès réseau Zero-Trust, et plus particulièrement de la mise en œuvre de l'authentification par certificat 802.1X à l'aide d'Azure Entra ID. Pas de blabla, juste la réalité technique de ce déploiement.

[TECHNICAL DEEP-DIVE - 5 MIN]
Host: Entrons directement dans l'architecture. L'époque du WPA2-Personnel avec un mot de passe partagé sur un post-it est révolue. Dans une entreprise moderne, que vous sécurisiez les opérations d'arrière-guichet dans un environnement de vente au détail ou les réseaux du personnel dans un hôpital, vous avez besoin d'un accès basé sur l'identité. 

Quand nous parlons d'Azure Entra ID pour le WiFi, nous parlons fondamentalement d'EAP-TLS. C'est-à-dire l'Extensible Authentication Protocol avec Transport Layer Security. C'est la référence absolue. Pourquoi ? Parce qu'il repose sur des certificats, pas sur des mots de passe. Les mots de passe peuvent être hameçonnés, partagés ou piratés par force brute. Les certificats liés à un appareil géré via Intune ne le peuvent pas.

Alors, comment circule le trafic ? Un appareil d'entreprise (disons un ordinateur portable géré) tente de se connecter au SSID de l'entreprise. Le point d'accès sans fil, agissant comme authentificateur, bloque l'accès et transmet les identifiants via RADIUS à votre serveur d'authentification. Or, Azure Entra ID ne parle pas nativement le RADIUS. C'est la passerelle architecturale critique. Vous avez besoin d'un fournisseur RADIUS cloud ou d'un serveur de stratégie réseau (NPS) sur site avec l'extension Azure MFA. 

L'appareil présente son certificat client. Le serveur RADIUS valide ce certificat par rapport à votre autorité de certification (souvent gérée via SCEP dans Intune). Si le certificat est valide, le serveur RADIUS interroge Azure Entra ID pour s'assurer que le compte utilisateur est actif, non désactivé et conforme aux politiques d'accès conditionnel. Ce n'est qu'alors que le serveur RADIUS renvoie un message Access-Accept au point d'accès, plaçant l'utilisateur sur le bon VLAN.

[IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN]
Host: Maintenant, où les déploiements échouent-ils ? Je vois trois pièges courants. 

Premièrement : la disponibilité de la liste de révocation de certificats (CRL). Si votre serveur RADIUS ne peut pas joindre la CRL, l'authentification échoue. Assurez-vous que vos points de terminaison CRL sont hautement disponibles et accessibles depuis l'infrastructure RADIUS.

Deuxièmement : la configuration du demandeur (supplicant). Ne laissez pas cela à l'utilisateur final. Utilisez votre MDM (Microsoft Intune, Workspace ONE, peu importe ce que vous utilisez) pour pousser le profil WiFi. Le profil doit définir explicitement l'autorité de certification racine de confiance et spécifier que le client doit uniquement se connecter aux noms de vos serveurs RADIUS spécifiques. Si vous ne le faites pas, vous êtes vulnérable aux attaques de type Evil Twin.

Troisièmement : les appareils existants. Les appareils IoT, les terminaux de point de vente ou les anciens scanners de codes-barres dans un entrepôt ne prennent souvent pas en charge le 802.1X ou l'EAP-TLS. Vous devez planifier une stratégie de contournement de l'authentification MAC (MAB) ou un réseau dédié à clé pré-partagée avec une isolation réseau stricte pour ces appareils. Ne compromettez pas votre SSID d'entreprise principal pour une imprimante obsolète.

[QUESTIONS-RÉPONSES RAPIDES - 1 MIN]
Animateur : Passons à quelques questions rapides que nous posent souvent les architectes réseau.

Question une : Pouvons-nous utiliser PEAP-MSCHAPv2 avec Azure Entra ID ?
Réponse : Oui, via NPS, mais Microsoft déprécie activement l'authentification basée sur les identifiants. Passez à l'EAP-TLS. C'est plus sécurisé et cela offre une meilleure expérience utilisateur.

Question deux : Comment cela s'intègre-t-il avec le WiFi invité de Purple ?
Réponse : Séparez-les. Votre réseau d'entreprise utilise le 802.1X lié à Azure Entra ID. Votre réseau invité utilise un SSID ouvert avec un Captive Portal géré par Purple pour les analyses, l'acceptation des conditions générales et la capture de données marketing. Vous pouvez même utiliser l'authentification basée sur le profil de Purple pour des visites de retour fluides pour les invités, tout en gardant ce trafic complètement isolé de vos données d'entreprise.

[RÉSUMÉ ET PROCHAINES ÉTAPES - 1 MIN]
Animateur : Pour résumer : passer à Azure Entra ID pour l'authentification WiFi est une étape fondamentale vers une architecture zero-trust. Cela élimine les tickets d'assistance liés au renouvellement des mots de passe, atténue le vol d'identifiants et garantit que seuls les appareils conformes et gérés accèdent à votre réseau interne.

Votre prochaine étape ? Auditez votre infrastructure RADIUS actuelle. Si vous utilisez un NPS existant sur site, évaluez les solutions RADIUS cloud qui s'intègrent directement avec Azure Entra ID et Intune. Définissez votre stratégie de déploiement de certificats.

Merci d'avoir suivi ce briefing technique. Sécurisez vos réseaux, et à la prochaine fois.

Points clés à retenir

✓Azure Entra ID nécessite une passerelle RADIUS (cloud ou sur site) pour authentifier le trafic WiFi.
✓EAP-TLS est la référence absolue pour le WiFi d'entreprise, remplaçant l'authentification vulnérable par mot de passe par des certificats.
✓Utilisez des plateformes MDM comme Microsoft Intune pour déployer silencieusement des certificats et des profils WiFi sur les appareils de l'entreprise.
✓Définissez explicitement les noms des serveurs RADIUS de confiance dans les profils clients pour empêcher les attaques de type Evil Twin.
✓Séparez strictement le trafic 802.1X de l'entreprise des réseaux WiFi invités.
✓Planifiez une stratégie de MAC Authentication Bypass (MAB) ou de PSK isolé pour les appareils IoT existants qui ne peuvent pas prendre en charge les certificats.

Synthèse

Pour les CTO et les architectes réseau gérant des environnements complexes — des grands établissements de l' Hôtellerie aux espaces dynamiques du Retail — la sécurisation du réseau d'entreprise ne se limite plus à des mots de passe robustes. Les clés pré-partagées (PSK) héritées et l'authentification par identifiants basiques sont fondamentalement incompatibles avec les architectures zero-trust modernes.

Ce guide détaille la transition vers l'authentification WiFi basée sur les certificats 802.1X intégrée directement à Azure Entra ID (anciennement Azure AD). En passant à l'EAP-TLS (Extensible Authentication Protocol avec Transport Layer Security), les organisations peuvent éliminer les risques liés au vol d'identifiants, automatiser l'intégration des appareils via la gestion des appareils mobiles (MDM) et garantir que seuls les appareils gérés et conformes peuvent accéder aux VLAN d'entreprise sensibles. Nous explorerons l'architecture technique, les étapes de déploiement et la manière dont cette posture de sécurité d'entreprise s'articule en parallèle avec les stratégies de réseau invité gérées par des plateformes comme Purple.

Analyse Technique Approfondie

Le passage des identifiants aux certificats

Historiquement, le WiFi d'entreprise reposait sur PEAP-MSCHAPv2, obligeant les utilisateurs à saisir leurs identifiants de domaine. Cependant, Microsoft abandonne activement l'authentification basée sur les identifiants en raison de sa vulnérabilité aux attaques de type "adversary-in-the-middle" (AiTM). La norme de l'industrie est désormais l'EAP-TLS, qui utilise l'authentification mutuelle par certificat.

Dans un déploiement EAP-TLS, le serveur RADIUS et l'appareil client présentent tous deux des certificats numériques. Si un appareil ne dispose pas d'un certificat valide émis par votre autorité de certification (CA) de confiance, le serveur RADIUS rejette la connexion avant même que l'appareil n'obtienne une adresse IP.

La passerelle architecturale : RADIUS et Entra ID

Azure Entra ID est un fournisseur d'identité (IdP) cloud utilisant des protocoles modernes tels que SAML et OIDC ; il ne gère pas nativement le protocole RADIUS utilisé par les points d'accès sans fil (WAP). Pour combler cette lacune, les architectes réseau doivent déployer un serveur RADIUS capable de communiquer avec Entra ID. Cela est généralement réalisé via :

Solutions Cloud RADIUS : Des plateformes dédiées (par exemple, SecureW2, SCEPman ou Portnox) qui s'intègrent directement à Entra ID et Intune via des API.
Serveur de politique réseau (NPS) sur site : En utilisant l'extension Azure MFA, bien que cela soit de plus en plus considéré comme une approche héritée par rapport au RADIUS natif dans le cloud.

Guide de Déploiement

Le déploiement d'Azure Entra ID pour l'authentification WiFi nécessite une coordination entre les équipes chargées de l'identité, de la gestion des appareils et de l'infrastructure réseau.

Étape 1 : Établir l'infrastructure à clés publiques (PKI)

Vous devez établir une autorité de certification (CA) pour émettre des certificats clients et serveurs. Dans un environnement cloud-first, il s'agit souvent d'une PKI cloud intégrée à Microsoft Intune via le protocole SCEP (Simple Certificate Enrollment Protocol).

Étape 2 : Configurer le serveur RADIUS

Déployez votre infrastructure RADIUS et liez-la à votre locataire Entra ID. Le serveur RADIUS a besoin de son propre certificat de serveur, approuvé par vos appareils clients, pour prouver son identité lors de la liaison EAP.

Étape 3 : Déployer les profils MDM via Intune

Ne comptez pas sur les utilisateurs pour configurer manuellement leurs paramètres WiFi. Utilisez Intune pour pousser un profil WiFi complet qui comprend :

Le certificat de l'autorité de certification racine (Root CA) de confiance.
Le profil SCEP pour demander le certificat client.
La configuration WiFi elle-même, en définissant explicitement l'SSID et les noms de serveur exacts de votre infrastructure RADIUS afin de prévenir les attaques de type Evil Twin.

Étape 4 : Configurer le contrôleur LAN sans fil (WLC)

Configurez vos points d'accès ou votre WLC pour utiliser WPA2/WPA3-Enterprise (802.1X). Orientez le trafic d'authentification et de comptabilité vers les adresses IP de votre nouveau serveur RADIUS et configurez les secrets RADIUS partagés.

> "Lors de la configuration de 802.1X, assurez-vous que les valeurs de délai d'attente RADIUS sur le WLC sont suffisantes pour gérer la latence de la validation des certificats basés sur le cloud, en passant généralement de 2 secondes à 5 secondes." [1]

Bonnes pratiques

Séparer le trafic d'entreprise et le trafic invité : Les appareils de l'entreprise doivent utiliser le protocole 802.1X lié à Entra ID. Les appareils invités doivent utiliser un SSID ouvert avec un Captive Portal. Pour un accès invité et des analyses robustes, exploitez les solutions Guest WiFi . Cela garantit une isolation complète du trafic non approuvé.
Implémenter le contournement d'authentification MAC (MAB) avec prudence : Les appareils IoT et le matériel hérité (par exemple, les anciens scanners dans les hubs de Transport ) ne peuvent souvent pas prendre en charge le 802.1X. Placez-les sur un SSID distinct utilisant le MAB ou une clé PSK dédiée, et limitez leur accès au réseau via des listes de contrôle d'accès (ACL) strictes.
Prioriser la révocation des certificats : Assurez-vous que vos points de terminaison de liste de révocation de certificats (CRL) ou de protocole d'état de certificat en ligne (OCSP) sont hautement disponibles. Si le serveur RADIUS ne peut pas vérifier le statut de révocation, l'authentification échouera.

Dépannage et atténuation des risques

Lorsque les déploiements échouent, l'IdP cloud est rarement en cause. Les modes de défaillance courants comprennent :

Désalignement de l'horloge : L'EAP-TLS est extrêmement sensible à l'heure. Assurez-vous que tous les composants de l'infrastructure, en particulier le WLC et les serveurs RADIUS, sont synchronisés via NTP.
Délais de synchronisation Intune : Lorsqu'un nouvel appareil est enregistré, l'émission du certificat SCEP et la tentative de connexion de l'appareil peuvent prendre du temps. Prévoyez cette latence lors de l'intégration.
Radius Server Name Mismatch : Si le nom du serveur défini dans le profil WiFi Intune ne correspond pas exactement au Common Name (CN) ou au Subject Alternative Name (SAN) présent sur le certificat du serveur RADIUS, le client interrompra silencieusement la connexion pour se protéger contre les points d'accès malveillants.

Pour en savoir plus sur la sécurisation de votre infrastructure, consultez notre guide sur comment Protéger votre réseau avec un DNS fort et la sécurité .

ROI & Impact Business

La transition vers l'authentification WiFi Azure Entra ID offre des rendements mesurables :

Réduction de la charge du support technique : L'élimination de l'authentification par mot de passe réduit considérablement les tickets liés aux verrouillages de mots de passe et aux mises à jour des identifiants WiFi.
Accélération de la conformité : EAP-TLS fournit la preuve d'identité cryptographique requise par des cadres tels que PCI DSS et ISO 27001, essentiels pour les environnements de la Santé et du commerce de détail.
Offboarding automatisé : Lorsqu'un employé s'en va, la désactivation de son compte dans Entra ID révoque immédiatement son accès au réseau sur tous les sites, atténuant ainsi les menaces internes.

En sécurisant l'infrastructure de l'entreprise, les équipes informatiques peuvent se concentrer sur des initiatives génératrices de revenus, telles que l'exploitation de WiFi Analytics pour comprendre le comportement des visiteurs et stimuler l'engagement.

Références

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, exigeant que les appareils s'authentifient avant d'accéder au LAN ou au WLAN.

Il s'agit du protocole sous-jacent qui sécurise le WiFi d'entreprise, allant au-delà des simples mots de passe partagés.

EAP-TLS

Extensible Authentication Protocol avec Transport Layer Security. Une méthode d'authentification nécessitant des certificats numériques à la fois sur le client et sur le serveur.

Considéré comme la méthode la plus sécurisée pour l'authentification WiFi, empêchant le vol d'identifiants et les attaques de type AiTM.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA).

Le protocole que vos points d'accès utilisent pour demander au serveur d'authentification : « Dois-je laisser cet appareil accéder au réseau ? »

SCEP

Simple Certificate Enrollment Protocol. Un protocole utilisé pour délivrer des certificats de manière sécurisée aux appareils réseau.

Utilisé par les plateformes MDM comme Intune pour demander et installer silencieusement des certificats clients sur les ordinateurs portables et téléphones de l'entreprise.

MAC Authentication Bypass (MAB)

Une méthode d'octroi d'accès réseau basée sur l'adresse MAC de l'appareil plutôt que sur un nom d'utilisateur ou un certificat.

Utilisé comme solution de repli pour les appareils existants (comme les anciennes imprimantes ou les capteurs IoT) qui ne disposent pas du logiciel nécessaire pour effectuer un handshake 802.1X.

Evil Twin Attack

Un point d'accès malveillant se faisant passer pour un SSID d'entreprise légitime afin d'intercepter le trafic ou de voler des identifiants.

EAP-TLS atténue ce risque car l'appareil client est configuré pour ne faire confiance qu'au certificat spécifique du serveur RADIUS d'entreprise légitime.

Supplicant

Le client logiciel sur l'appareil final (par exemple, le gestionnaire WiFi de Windows) qui gère le processus d'authentification 802.1X.

Les équipes informatiques doivent configurer le supplicant via MDM pour s'assurer qu'il se comporte de manière sécurisée et ne demande pas aux utilisateurs d'accepter des certificats de serveur non approuvés.

Conditional Access

Politiques Azure Entra ID qui évaluent des signaux (utilisateur, emplacement, conformité de l'appareil) pour prendre des décisions d'accès.

Les solutions Cloud RADIUS modernes peuvent vérifier le Conditional Access lors du handshake WiFi, refusant l'accès au réseau si Intune signale l'appareil comme non conforme.

Exemples concrets

Une chaîne de vente au détail de 500 points de vente doit sécuriser les iPads d'arrière-boutique utilisés pour la gestion des stocks. Actuellement, ils utilisent une seule clé PSK partagée dans tous les magasins. Comment doivent-ils migrer vers l'authentification Azure Entra ID ?

Enrôler tous les iPads dans Microsoft Intune.
Déployer une solution Cloud RADIUS intégrée au tenant Entra ID de l'entreprise.
Configurer Intune pour déployer un certificat SCEP sur chaque iPad.
Pousser un profil WiFi via Intune qui configure les iPads pour se connecter au SSID "Corporate-BOH" en utilisant EAP-TLS, en validant le certificat du serveur Cloud RADIUS.
Mettre à jour les points d'accès Meraki/Aruba dans les 500 magasins pour pointer vers les adresses IP du Cloud RADIUS pour le SSID "Corporate-BOH".
Déploiement progressif : Activer le nouveau SSID, vérifier la connectivité des iPads via les rapports Intune, puis mettre hors service l'ancien SSID PSK.

Commentaire de l'examinateur : Cette approche élimine la clé PSK partagée, qui représente un risque de sécurité majeur en cas de vol d'un appareil. En utilisant EAP-TLS et Intune, l'authentification est liée à l'état de gestion de l'appareil. Si un iPad est perdu, l'équipe informatique révoque simplement le certificat ou efface l'appareil dans Intune, coupant instantanément l'accès au réseau sans affecter les 499 autres magasins.

Un campus universitaire migre d'Active Directory sur site vers Azure Entra ID. Ils ont des milliers d'ordinateurs portables d'étudiants en mode BYOD (Bring Your Own Device) qui se connectent actuellement via PEAP-MSCHAPv2 (identifiant et mot de passe). Comment gèrent-ils le BYOD dans un environnement Entra ID cloud-first ?

Déployer un portail d'intégration (par exemple, SecureW2 JoinNow ou un outil d'intégration BYOD similaire).
Les étudiants se connectent à un SSID ouvert "Onboarding", qui les redirige vers le portail.
Le portail invite l'étudiant à s'authentifier auprès d'Azure Entra ID (en utilisant son adresse e-mail universitaire et l'authentification multifacteur MFA).
Une fois l'authentification réussie, le portail génère un certificat client unique et configure automatiquement l'appareil de l'étudiant pour EAP-TLS.
L'appareil se connecte automatiquement au SSID sécurisé "Edu-Secure" à l'aide du nouveau certificat.

Commentaire de l'examinateur : La gestion des certificats pour les appareils BYOD non gérés est la partie la plus difficile du 802.1X. Vous ne pouvez pas utiliser Intune car l'université ne possède pas les ordinateurs portables. L'utilisation d'un portail d'intégration comble cette lacune, permettant l'utilisation d'un protocole EAP-TLS sécurisé sans nécessiter d'intervention manuelle du service informatique sur des milliers d'ordinateurs portables d'étudiants.

Questions d'entraînement

Q1. Votre organisation migre vers Azure Entra ID et Intune. Vous utilisez actuellement PEAP-MSCHAPv2 pour le WiFi. L'équipe de sécurité exige que l'authentification WiFi soit résistante au vol d'identifiants. Quel protocole EAP devez-vous déployer ?

Conseil : Quelle méthode repose entièrement sur des certificats plutôt que sur des mots de passe ?

Voir la réponse type

Vous devez déployer EAP-TLS. EAP-TLS utilise une authentification mutuelle par certificat, ce qui signifie que l'appareil client doit présenter un certificat valide émis par votre PKI. Comme il n'utilise pas de mots de passe, il est hautement résistant au vol d'identifiants et aux attaques de type "adversary-in-the-middle".

Q2. Après avoir déployé EAP-TLS via Intune, les utilisateurs signalent qu'ils ne peuvent pas se connecter au WiFi. En consultant les journaux RADIUS, vous constatez l'erreur "Certificate Revocation Check Failed". Quelle est la cause la plus probable ?

Conseil : Avec quelle infrastructure le serveur RADIUS doit-il communiquer pour vérifier qu'un certificat n'a pas été compromis ?

Voir la réponse type

Le serveur RADIUS ne parvient pas à joindre la liste de révocation de certificats (CRL) ou le point de terminaison OCSP de votre autorité de certification. Assurez-vous que les pare-feu autorisent le serveur RADIUS à accéder en sortie aux URL HTTP spécifiées dans les certificats clients.

Q3. Un hôpital doit connecter 50 moniteurs de fréquence cardiaque existants au réseau. Ces appareils ne prennent en charge que le WPA2-Personal (clé pré-partagée) et ne peuvent pas être enregistrés dans Intune. Comment devez-vous les sécuriser tout en maintenant votre déploiement 802.1X Entra ID pour les ordinateurs portables de l'entreprise ?

Conseil : Ne mélangez pas les types d'authentification sur le même SSID.

Voir la réponse type

Créez un SSID dédié et distinct spécifiquement pour les appareils IoT médicaux. Utilisez une clé pré-partagée forte et unique (ou Identity PSK/iPSK si votre fournisseur réseau le prend en charge) ou le MAC Authentication Bypass (MAB). Surtout, placez ce SSID sur un VLAN hautement restreint avec des listes de contrôle d'accès (ACL) strictes qui permettent uniquement aux moniteurs de communiquer avec leur serveur médical spécifique, bloquant tout autre accès réseau latéral.

Continuer la lecture de cette série

Per-Device PSK par constructeur : iPSK, DPSK, MPSK et PPSK comparés (et support de WPA3)

Une comparaison complète des implémentations de per-device PSK chez Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet et Ubiquiti UniFi. Découvrez comment le WPA3-SAE impacte les stratégies de clés par appareil et quand déployer des modes de transition par rapport à une migration vers le 802.1X.

Comparatif des méthodes d'authentification par Captive Portal

Ce guide de référence technique et d'autorité évalue les compromis architecturaux, opérationnels et de conformité des cinq principales méthodes d'authentification par captive portal. Il fournit aux architectes réseau, directeurs informatiques et responsables marketing les données quantitatives et les cadres de décision nécessaires pour équilibrer la friction d'intégration des invités avec les exigences de collecte de données au sein des sites d'entreprise.

Qu'est-ce que l'authentification par adresse MAC ? Quand l'utiliser et quand l'éviter

Ce guide de référence technique faisant autorité couvre l'authentification par adresse MAC dans les environnements WiFi d'entreprise — comment fonctionne l'authentification MAC basée sur RADIUS au niveau de la couche 2, ses vulnérabilités de sécurité inhérentes (y compris le spoofing MAC et l'impact de la randomisation MAC au niveau du système d'exploitation), et les contextes opérationnels précis où elle reste un outil valable pour gérer l'IoT et les appareils sans écran (headless). Il fournit des conseils de déploiement exploitables pour les responsables informatiques et les architectes réseau dans les secteurs de l'hôtellerie, du commerce de détail, de la santé et des espaces publics, avec des exemples concrets, des cadres de décision et le contexte d'intégration pour le WiFi invité et la plateforme d'analyse de Purple.