Passer au contenu principal

Comment configurer Microsoft Entra ID (Azure AD) pour l'authentification WiFi

Ce guide de référence détaille l'architecture, les étapes de mise en œuvre et l'impact commercial de l'intégration de Microsoft Entra ID avec 802.1X pour l'authentification WiFi d'entreprise. Il fournit aux architectes réseau et aux directeurs IT des stratégies de déploiement pratiques, remplaçant les clés PSK existantes par un accès réseau basé sur des certificats zero-trust.

📖 4 min de lecture📝 945 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
[INTRO - 1 MIN] Hôte : Bienvenue dans ce point d'information sur les réseaux d'entreprise par Purple. Je suis votre hôte, et nous abordons aujourd'hui une mise à niveau d'infrastructure essentielle qui est au cœur des préoccupations des CTO et des architectes réseau : la migration de l'authentification de votre WiFi d'entreprise vers Azure Entra ID - anciennement Azure AD. Si vous gérez une chaîne d'hôtels, un stade ou un grand déploiement dans le secteur public, vous connaissez la complexité des serveurs RADIUS locaux existants et des clés PSK partagées. Aujourd'hui, nous parlons d'accès réseau zero-trust, plus précisément de la manière de mettre en œuvre l'authentification basée sur des certificats 802.1X à l'aide d'Azure Entra ID. Pas de fioritures, juste la réalité technique de ce déploiement. [TECHNICAL DEEP-DIVE - 5 MIN] Hôte : Entrons directement dans le vif du sujet de l'architecture. L'époque du WPA2-Personnel avec un mot de passe partagé sur un post-it est révolue. Dans une entreprise moderne, que vous sécurisiez les opérations d'arrière-guichet dans un environnement de vente au détail ou les réseaux du personnel dans un hôpital, vous avez besoin d'un accès basé sur l'identité. Lorsque nous parlons d'Azure Entra ID pour le WiFi, nous parlons fondamentalement de EAP-TLS. Il s'agit du protocole d'authentification extensible avec sécurité de la couche de transport (Extensible Authentication Protocol with Transport Layer Security). C'est la référence absolue. Pourquoi ? Parce qu'il repose sur des certificats et non sur des mots de passe. Les mots de passe peuvent être hameçonnés, partagés ou piratés par force brute. Les certificats liés à un appareil géré via Intune ne le peuvent pas. Alors, comment s'effectue le flux de trafic ? Un appareil d'entreprise - disons un ordinateur portable géré - tente de se connecter au SSID de l'entreprise. Le point d'accès sans fil, agissant en tant qu'authentificateur, bloque l'accès et transmet les informations d'identification via RADIUS à votre serveur d'authentification. Or, Azure Entra ID ne parle pas nativement le RADIUS. C'est la passerelle architecturale essentielle. Vous avez besoin d'un fournisseur RADIUS cloud ou d'un serveur de politiques réseau (NPS) local avec l'extension MFA d'Azure. L'appareil présente son certificat client. Le serveur RADIUS valide ce certificat par rapport à votre autorité de certification - souvent gérée via SCEP dans Intune. Si le certificat est valide, le serveur RADIUS vérifie Azure Entra ID pour s'assurer que le compte d'utilisateur est actif, non désactivé et conforme aux politiques d'accès conditionnel. Ce n'est qu'alors que le serveur RADIUS renvoie un message Access-Accept au point d'accès, plaçant l'utilisateur sur le bon VLAN. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Hôte : Maintenant, où les déploiements échouent-ils généralement ? Je constate trois pièges courants. Premièrement : la disponibilité de la liste de révocation de certificats (CRL). Si votre serveur RADIUS ne peut pas accéder à la CRL, l'authentification échoue. Assurez-vous que vos points de terminaison CRL sont hautement disponibles et accessibles depuis l'infrastructure RADIUS. Deuxièmement : la configuration du demandeur (supplicant). Ne laissez pas cela à l'utilisateur final. Utilisez votre MDM - Microsoft Intune, Workspace ONE, quel que soit votre outil - pour déployer le profil WiFi. Le profil doit définir explicitement l'autorité de certification racine de confiance et spécifier que le client ne doit se connecter qu'à vos noms de serveurs RADIUS spécifiques. Si vous ne le faites pas, vous êtes vulnérable aux attaques de type Evil Twin. Troisièmement : les appareils hérités. Les appareils IoT, les terminaux de point de vente ou les anciens scanners de codes-barres dans un entrepôt ne prennent souvent pas en charge le 802.1X ou l'EAP-TLS. Vous devez planifier une stratégie de contournement de l'authentification MAC (MAB) ou un réseau dédié à clé pré-partagée avec une isolation réseau stricte pour ces appareils. Ne compromettez pas votre SSID d'entreprise principal pour une imprimante héritée. [QUESTIONS-RÉPONSES RAPIDES - 1 MIN] Animateur : Passons à quelques questions rapides que nous posent souvent les architectes réseau. Question une : Pouvons-nous utiliser PEAP-MSCHAPv2 avec Azure Entra ID (Microsoft Entra ID) ? Réponse : Oui, via NPS, mais Microsoft déprécie activement l'authentification basée sur les identifiants. Passez à l'EAP-TLS. C'est plus sécurisé et cela offre une meilleure expérience utilisateur. Question deux : Comment cela s'intègre-t-il avec le WiFi invité de Purple ? Réponse : Séparez-les. Votre réseau d'entreprise utilise le 802.1X lié à Microsoft Entra ID. Votre réseau invité utilise un SSID ouvert avec un captive portal géré par Purple pour les analyses, l'acceptation des conditions et la capture de données marketing. Vous pouvez même utiliser l'authentification basée sur les profils de Purple pour des visites de retour fluides pour les invités, tout en gardant ce trafic complètement isolé de vos données d'entreprise. [RÉSUMÉ ET PROCHAINES ÉTAPES - 1 MIN] Animateur : Pour conclure : passer à Microsoft Entra ID pour l'authentification WiFi est une étape fondamentale vers une architecture zero-trust. Cela élimine les tickets d'assistance liés au renouvellement des mots de passe, atténue le vol d'identifiants et garantit que seuls les appareils conformes et gérés accèdent à votre réseau interne. Votre prochaine étape ? Auditez votre infrastructure RADIUS actuelle. Si vous exécutez un NPS hérité sur site, évaluez les solutions cloud RADIUS qui s'intègrent directement avec Microsoft Entra ID et Intune. Définissez votre stratégie de déploiement de certificats. Merci d'avoir suivi ce point technique. Sécurisez vos réseaux, et à la prochaine fois.

header_image.png

Synthèse

Pour les CTO et les architectes réseau qui gèrent des environnements complexes - des grands espaces de l' hôtellerie aux surfaces de vente au détail dynamiques - la sécurisation du réseau d'entreprise ne se résume plus à de simples mots de passe robustes. Les clés pré-partagées (PSK) traditionnelles et la validation basique des identifiants sont fondamentalement incompatibles avec une architecture zero-trust moderne.

Ce guide détaille la transition vers une authentification WiFi 802.1X basée sur des certificats, intégrée directement à Azure Entra ID (anciennement Azure AD). En adoptant le protocole EAP-TLS (Extensible Authentication Protocol avec Transport Layer Security), les entreprises peuvent éliminer les risques liés au vol d'identifiants, automatiser l'enregistrement des appareils via la gestion des appareils mobiles (MDM) et s'assurer que seuls les appareils gérés et conformes peuvent accéder aux VLAN d'entreprise sensibles. Nous explorons l'architecture technique, les étapes de déploiement et la manière dont cette posture de sécurité d'entreprise fonctionne en parallèle avec les stratégies de réseau invité gérées par des plateformes telles que Purple.

Analyse Technique Approfondie

Le passage des identifiants aux certificats numériques

Historiquement, le WiFi d'entreprise reposait sur PEAP-MSCHAPv2, qui oblige les utilisateurs à saisir leurs identifiants de domaine. Cependant, en raison de sa vulnérabilité aux attaques de l'homme du milieu (AiTM), Microsoft déprécie activement l'authentification basée sur les identifiants. La norme actuelle du secteur est le protocole EAP-TLS, qui utilise une validation mutuelle des certificats.

Dans un déploiement EAP-TLS, le serveur RADIUS et l'appareil client présentent tous deux des certificats numériques. Si un appareil ne dispose pas d'un certificat valide émis par votre autorité de certification (CA) de confiance, le serveur RADIUS rejette la connexion avant même que l'appareil n'obtienne une adresse IP.

architecture_overview.png

Le pont architectural : RADIUS et Entra ID

Azure Entra ID est un fournisseur d'identité cloud (IdP) qui utilise des protocoles modernes tels que SAML et OIDC ; il ne prend pas en charge nativement le protocole RADIUS utilisé par les points d'accès sans fil (WAP). Pour combler cette lacune, les architectes réseau doivent déployer un serveur RADIUS capable de communiquer avec Entra ID. Cela se fait généralement via :

  1. Des solutions Cloud RADIUS : Des plateformes dédiées (telles que SecureW2, SCEPman ou Portnox) qui s'intègrent directement à Entra ID et Intune via des API.
  2. Un serveur NPS (Network Policy Server) sur site : En utilisant l'extension Azure MFA, bien que cela soit de plus en plus considéré comme une approche héritée par rapport au RADIUS cloud-native.

eap_comparison_chart.png

Guide d'implémentation

Le déploiement de Azure Entra ID pour l'authentification WiFi nécessite une coordination entre les équipes chargées de l'identité, de la gestion des appareils et de l'infrastructure réseau.

Étape 1 : Établir l'infrastructure à clés publiques (PKI)

Vous devez établir une autorité de certification (CA) pour émettre les certificats clients et serveurs. Dans les environnements basés sur le cloud, il s'agit généralement d'une PKI cloud intégrée à Microsoft Intune via le protocole SCEP (Simple Certificate Enrolment Protocol).

Étape 2 : Configurer le serveur RADIUS

Déployez votre infrastructure RADIUS et associez-la à votre tenant Entra ID. Le serveur RADIUS a besoin de son propre certificat de serveur - approuvé par vos appareils clients - pour prouver son identité lors de la phase de handshake EAP.

Étape 3 : Déployer les profils MDM via Intune

Ne comptez pas sur les utilisateurs pour configurer manuellement leurs paramètres WiFi. Utilisez Intune pour envoyer un profil WiFi complet contenant :

  • Le certificat de la CA racine de confiance.
  • Le profil SCEP utilisé pour demander le certificat client.
  • La configuration WiFi elle-même, définissant explicitement l'SSID et les noms de serveur exacts de l'infrastructure RADIUS afin d'éviter les attaques de type Evil Twin.

Étape 4 : Configurer le contrôleur LAN sans fil (WLC)

Configurez vos points d'accès ou votre WLC pour utiliser WPA2/WPA3-Enterprise (802.1X). Orientez le trafic d'authentification et de comptabilité vers les adresses IP de votre nouveau serveur RADIUS, et définissez le secret partagé RADIUS.

> "Lors de la configuration de 802.1X, assurez-vous que les valeurs de délai d'expiration RADIUS sur le WLC sont suffisantes pour la latence de la validation des certificats cloud, en passant généralement de 2 secondes à 5 secondes." [1]

Bonnes pratiques

  • Isoler le trafic d'entreprise et le trafic invité : Les appareils d'entreprise doivent utiliser le 802.1X lié à Entra ID. Les appareils invités doivent utiliser un SSID ouvert avec un captive portal. Pour un accès invité et des analyses robustes, exploitez une solution de Guest WiFi . Cela garantit une isolation complète du trafic non approuvé.
  • Implémenter le bypass d'authentification MAC (MAB) avec prudence : Les appareils IoT et le matériel hérité - comme les anciens scanners dans les hubs de transport - ne peuvent souvent pas prendre en charge le 802.1X. Placez ces appareils sur un SSID distinct utilisant le MAB ou un PSK dédié, et limitez leur accès réseau avec des ACL strictes.
  • Prioriser la révocation des certificats : Assurez-vous que vos points de terminaison de liste de révocation de certificats (CRL) ou de protocole OCSP (Online Certificate Status Protocol) sont hautement disponibles. Si le serveur RADIUS ne peut pas vérifier le statut de révocation, l'authentification échouera.

Dépannage et atténuation des risques

Lorsque les déploiements échouent, le fournisseur d'identité cloud est rarement en cause. Les modes de défaillance courants comprennent :

  • La dérive horlogère : Le protocole EAP-TLS est extrêmement sensible au temps. Assurez-vous que tous les composants de l'infrastructure - en particulier les WLC et les serveurs RADIUS - sont synchronisés via NTP.
  • La latence de synchronisation Intune : Lors de l'enregistrement de nouveaux appareils, il peut y avoir un délai entre l'émission du certificat SCEP et la tentative de connexion de l'appareil. Prévoyez ce décalage lors de la phase d'intégration.- Incompatibilité du nom du serveur RADIUS : si le nom du serveur défini dans le profil WiFi Intune ne correspond pas exactement au Common Name (CN) ou au Subject Alternative Name (SAN) présent sur le certificat du serveur RADIUS, les clients se déconnecteront silencieusement pour se protéger contre les AP malveillants.

Pour une analyse plus approfondie de la sécurisation de votre infrastructure, consultez notre guide sur comment protéger votre réseau avec un DNS robuste et la sécurité .

ROI et impact commercial

Le passage à l'authentification WiFi Azure Entra ID offre des avantages significatifs :

  1. Réduction des dépenses de support : l'élimination de l'authentification par mot de passe réduit considérablement les tickets de support liés aux blocages de mots de passe et au renouvellement des identifiants WiFi.
  2. Conformité accélérée : EAP-TLS fournit la preuve d'identité cryptographique requise par les frameworks tels que PCI-DSS et ISO 27001, ce qui est essentiel dans les secteurs de la santé et du commerce de détail.
  3. Désinscription automatisée : lorsqu'un employé s'en va, la désactivation de son compte dans Entra ID révoque instantanément son accès au réseau sur tous les sites, réduisant ainsi les menaces internes.

En sécurisant le cœur du réseau de l'entreprise, les équipes informatiques peuvent se concentrer sur des initiatives génératrices de revenus, telles que l'utilisation de WiFi Analytics pour comprendre le comportement des visiteurs et stimuler l'engagement.


Références

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Définitions clés

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, exigeant que les appareils s'authentifient avant d'accéder au LAN ou au WLAN.

Il s'agit du protocole sous-jacent qui sécurise le WiFi d'entreprise, allant au-delà des simples mots de passe partagés.

EAP-TLS

Extensible Authentication Protocol avec Transport Layer Security. Une méthode d'authentification nécessitant des certificats numériques tant sur le client que sur le serveur.

Considéré comme la méthode la plus sécurisée pour l'authentification WiFi, empêchant le vol d'identifiants et les attaques de type "adversary-in-the-middle".

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la traçabilité (AAA).

Le protocole que vos points d'accès utilisent pour demander au serveur d'authentification : "Dois-je laisser cet appareil accéder au réseau ?"

SCEP

Simple Certificate Enrollment Protocol. Un protocole utilisé pour délivrer de manière sécurisée des certificats aux équipements réseau.

Utilisé par les plateformes MDM comme Intune pour demander et installer silencieusement des certificats clients sur les ordinateurs portables et téléphones de l'entreprise.

MAC Authentication Bypass (MAB)

Une méthode d'octroi d'accès au réseau basée sur l'adresse MAC de l'appareil plutôt que sur un nom d'utilisateur ou un certificat.

Utilisé comme solution de repli pour les anciens équipements (comme les vieilles imprimantes ou les capteurs IoT) qui ne disposent pas du logiciel nécessaire pour effectuer un échange 802.1X.

Attaque Evil Twin

Un point d'accès pirate se faisant passer pour un SSID d'entreprise légitime afin d'intercepter le trafic ou de voler des identifiants.

EAP-TLS atténue ce risque car l'appareil client est configuré pour faire uniquement confiance au certificat spécifique du serveur RADIUS d'entreprise légitime.

Supplicant

Le client logiciel sur l'appareil final (par exemple, le gestionnaire WiFi de Windows) qui gère le processus d'authentification 802.1X.

Les équipes IT doivent configurer le supplicant via MDM pour s'assurer qu'il se comporte de manière sécurisée et ne propose pas aux utilisateurs d'accepter des certificats de serveur non approuvés.

Accès Conditionnel

Politiques Azure Entra ID qui évaluent les signaux (utilisateur, emplacement, conformité de l'appareil) pour prendre des décisions d'accès.

Les solutions Cloud RADIUS modernes peuvent vérifier l'Accès Conditionnel lors de la négociation WiFi, refusant l'accès au réseau si Intune signale l'appareil comme non conforme.

Exemples concrets

Une chaîne de vente au détail de 500 magasins doit sécuriser les iPads d'arrière-boutique utilisés pour la gestion des stocks. Actuellement, ils utilisent une seule clé PSK partagée sur l'ensemble des magasins. Comment doivent-ils migrer vers l'authentification Microsoft Entra ID ?

  1. Enrôler tous les iPads dans Microsoft Intune.
  2. Déployer une solution Cloud RADIUS intégrée au tenant d'entreprise Microsoft Entra ID.
  3. Configurer Intune pour déployer un certificat SCEP sur chaque iPad.
  4. Pousser un profil WiFi via Intune qui configure les iPads pour se connecter au SSID 'Corporate-BOH' à l'aide d'EAP-TLS, en validant le certificat du serveur Cloud RADIUS.
  5. Mettre à jour les points d'accès Meraki/Aruba dans les 500 magasins pour pointer vers les adresses IP du Cloud RADIUS pour le SSID 'Corporate-BOH'.
  6. Déploiement progressif : Activer le nouveau SSID, vérifier la connectivité des iPads via les rapports Intune, puis mettre hors service l'ancien SSID PSK.
Commentaire de l'examinateur : Cette approche élimine la clé PSK partagée, qui représente un risque de sécurité majeur si un appareil est volé. En utilisant EAP-TLS et Intune, l'authentification est liée à l'état de gestion de l'appareil. Si un iPad est perdu, l'équipe IT révoque simplement le certificat ou efface l'appareil dans Intune, coupant instantanément l'accès au réseau sans affecter les 499 autres magasins.

Un campus universitaire migre d'un Active Directory sur site vers Microsoft Entra ID. Ils ont des milliers d'ordinateurs portables d'étudiants BYOD (Bring Your Own Device) qui se connectent actuellement via PEAP-MSCHAPv2 (nom d'utilisateur et mot de passe). Comment gèrent-ils le BYOD dans un environnement Microsoft Entra ID cloud-first ?

  1. Déployer un portail d'intégration (par exemple, SecureW2 JoinNow ou un outil d'intégration BYOD similaire).
  2. Les étudiants se connectent à un SSID 'Onboarding' ouvert, qui les redirige vers le portail.
  3. Le portail invite l'étudiant à s'authentifier auprès de Microsoft Entra ID (en utilisant son e-mail universitaire et l'authentification multifacteur).
  4. Une fois l'authentification réussie, le portail génère un certificat client unique et configure automatiquement l'appareil de l'étudiant pour EAP-TLS.
  5. L'appareil se connecte automatiquement au SSID sécurisé 'Edu-Secure' à l'aide du nouveau certificat.
Commentaire de l'examinateur : La gestion des certificats pour les appareils BYOD non managés est la partie la plus difficile du 802.1X. Vous ne pouvez pas utiliser Intune car l'université ne possède pas les ordinateurs portables. L'utilisation d'un portail d'intégration comble cette lacune, permettant l'utilisation d'un protocole EAP-TLS sécurisé sans nécessiter d'intervention manuelle du service informatique sur des milliers d'ordinateurs portables d'étudiants.

Questions d'entraînement

Q1. Votre organisation migre vers Azure Entra ID et Intune. Vous utilisez actuellement PEAP-MSCHAPv2 pour le WiFi. L'équipe de sécurité exige que l'authentification WiFi soit résistante au vol d'identifiants. Quel protocole EAP devez-vous déployer ?

Conseil : Quelle méthode repose entièrement sur des certificats plutôt que sur des mots de passe ?

Voir la réponse type

Vous devez déployer EAP-TLS. EAP-TLS utilise une authentification mutuelle par certificat, ce qui signifie que l'appareil client doit présenter un certificat valide émis par votre PKI. Comme il n'utilise pas de mots de passe, il est hautement résistant au vol d'identifiants et aux attaques de type d'interposition (adversary-in-the-middle).

Q2. Après avoir déployé EAP-TLS via Intune, les utilisateurs signalent qu'ils ne peuvent pas se connecter au WiFi. En examinant les journaux RADIUS, vous voyez "Échec de la vérification de révocation du certificat". Quelle est la cause la plus probable ?

Conseil : Avec quelle infrastructure le serveur RADIUS doit-il communiquer pour vérifier qu'un certificat n'a pas été compromis ?

Voir la réponse type

Le serveur RADIUS ne parvient pas à joindre la liste de révocation de certificats (CRL) ou le point de terminaison OCSP de votre autorité de certification. Assurez-vous que les pare-feu autorisent le serveur RADIUS à accéder en sortie aux URL HTTP spécifiées dans les certificats clients.

Q3. Un hôpital doit connecter 50 moniteurs de fréquence cardiaque existants au réseau. Ces appareils ne prennent en charge que le WPA2-Personal (clé pré-partagée) et ne peuvent pas être enregistrés dans Intune. Comment devez-vous les sécuriser tout en maintenant votre déploiement Entra ID 802.1X pour les ordinateurs portables de l'entreprise ?

Conseil : Ne mélangez pas les types d'authentification sur le même SSID.

Voir la réponse type

Créez un SSID dédié et séparé spécifiquement pour les appareils IoT médicaux. Utilisez une clé pré-partagée forte et unique (ou une clé iPSK si votre fournisseur réseau le prend en charge) ou le contournement d'authentification MAC (MAB). De manière cruciale, placez ce SSID sur un VLAN hautement restreint avec des listes de contrôle d'accès (ACL) strictes qui autorisent uniquement les moniteurs à communiquer avec leur serveur médical spécifique, bloquant tout autre accès réseau latéral.

Continuer la lecture de cette série

Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs

Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.

Lire le guide →

Passpoint et OpenRoaming : Le Guide Complet

Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.

Lire le guide →

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →