Authentification WiFi d'entreprise sans Active Directory ni serveur sur site

Ce guide explique comment déployer une authentification WiFi WPA2/3-Enterprise sécurisée sans Active Directory sur site, sans Windows NPS ni serveur RADIUS. Il aborde l'incompatibilité de protocole entre les fournisseurs d'identité cloud et 802.1X, les arguments en faveur d'EAP-TLS par rapport à PEAP-MSCHAPv2, et comment déployer un RADIUS cloud avec des certificats émis par MDM pour Microsoft Entra ID, Okta ou Google Workspace. Conçu pour les responsables informatiques des organisations cloud-first et à forte composante Mac/Chromebook prêtes à abandonner leur infrastructure sur site.

📖 9 min de lecture📝 2,219 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bonjour et bienvenue dans ce briefing technique. Aujourd'hui, nous nous attaquons à un casse-tête architectural très spécifique et très courant : comment gérer l'authentification WiFi d'entreprise lorsque vous avez migré vers le cloud et que vous ne disposez plus d'un Active Directory sur site ou d'un serveur Windows NPS.

Si vous êtes responsable informatique, architecte réseau ou CTO au sein d'une organisation cloud-first, vous avez probablement déjà été confronté à cet obstacle. Vous avez migré votre identité vers Microsoft Entra ID, Okta ou Google Workspace. Tout est en mode SaaS. Mais vos points d'accès Cisco, Aruba ou Meraki attendent toujours un serveur RADIUS. Et historiquement, ce serveur RADIUS était un serveur Windows exécutant Network Policy Server (NPS), communiquant avec un contrôleur de domaine.

Alors, comment combler cette lacune sans déployer de nouvelles machines virtuelles uniquement pour le WiFi ? Plongeons dans les détails techniques.

Le problème central réside dans une incompatibilité de protocoles. Entra ID et Okta utilisent des protocoles web modernes : SAML, OIDC et OAuth2. Vos points d'accès utilisent RADIUS. Microsoft ne fournit pas de point de terminaison RADIUS natif pour Entra ID. Vous ne pouvez pas simplement pointer votre tableau de bord Meraki vers Azure et vous attendre à ce que cela fonctionne.

Historiquement, les organisations utilisaient PEAP-MSCHAPv2 pour le WiFi. Les utilisateurs saisissaient leur nom d'utilisateur et leur mot de passe, et le serveur RADIUS vérifiait ces informations par rapport à un hachage NTLM stocké dans Active Directory. C'est là que se situe le point de défaillance critique : Microsoft Entra ID ne stocke pas les hachages NTLM. Ainsi, même si vous placez un serveur RADIUS cloud devant Entra ID, il ne peut pas valider un défi de mot de passe PEAP.

Pour résoudre ce problème, vous devez modifier la méthode d'authentification. Vous devez passer à l'EAP-TLS.

L'EAP-TLS utilise des certificats numériques au lieu de mots de passe. L'appareil présente un certificat X.509 au serveur RADIUS. Le serveur RADIUS vérifie si ce certificat a été signé par une autorité de certification de confiance. Comme aucun mot de passe n'est requis, le serveur RADIUS n'a pas besoin d'un stockage de hachages NTLM. Il lui suffit de valider le certificat et de vérifier l'appartenance de l'utilisateur à un groupe pour lui attribuer le bon VLAN.

C'est ici que l'architecture moderne prend tout son sens. Vous utilisez un service RADIUS cloud - comme Purple - pour faire office de serveur d'authentification. Vous utilisez votre plateforme de gestion des appareils mobiles (MDM), comme Microsoft Intune ou Jamf, comme mécanisme de distribution.

Le MDM utilise un protocole appelé SCEP (Simple Certificate Enrollment Protocol) pour déployer de manière transparente des certificats d'appareil sur vos ordinateurs portables et téléphones gérés. L'utilisateur n'a rien à faire. L'appareil se connecte au WiFi, présente le certificat au RADIUS cloud de Purple, Purple le valide, interroge Entra ID ou Okta pour vérifier le groupe de l'utilisateur, et indique au point d'accès de le placer sur le bon VLAN.

Parlons maintenant des recommandations de mise en œuvre et des pièges à éviter.

La recommandation la plus importante est d'adopter le provisionnement SCIM. Ne vous fiez pas aux synchronisations périodiques d'annuaires. Le SCIM (System for Cross-domain Identity Management) garantit que lorsque les RH désactivent un employé dans Entra ID, ce signal est instantanément transmis au RADIUS cloud. Leur accès WiFi s'arrête à la seconde même où leur accès de messagerie s'arrête. Il s'agit d'une amélioration significative de la sécurité.

Un piège courant est la gestion du cycle de vie des certificats. Si vous émettez des certificats qui expirent dans un an, vous devez vous assurer que votre MDM est configuré pour les renouveler automatiquement à l'échéance des dix mois. Si un certificat expire, l'appareil se déconnecte du réseau silencieusement et vous recevrez un ticket de support.

Un autre piège est la configuration du pare-feu. Vos points d'accès doivent pouvoir atteindre les points de terminaison du RADIUS cloud. Assurez-vous que vos règles sortantes autorisent le port UDP 1812, ou idéalement le port TCP 2083 si vos points d'accès prennent en charge RadSec, qui chiffre le trafic RADIUS sur Internet.

Passons à une session rapide de questions-réponses basée sur les questions les plus fréquentes que nous rencontrons.

Question un : Puis-je authentifier le WiFi directement auprès d'Entra ID ?
Réponse : Non. Entra ID ne parle pas le protocole RADIUS. Vous avez besoin d'un service RADIUS cloud intermédiaire.

Question deux : Ai-je toujours besoin de Windows NPS ?
Réponse : Non. Un service RADIUS cloud remplace complètement NPS. Vous pouvez décommissionner ces serveurs Windows.

Question trois : Comment les entreprises cloud-only sécurisent-elles le WiFi de leur personnel ?
Réponse : En utilisant leur MDM pour déployer des certificats et en s'authentifiant via EAP-TLS auprès d'un fournisseur RADIUS cloud.

Question quatre : Qu'advient-il de l'accès WiFi lorsqu'un employé s'en va ?
Réponse : Grâce au provisionnement SCIM, son accès est révoqué à l'instant même où son compte est désactivé chez le fournisseur d'identité. Aucune intervention manuelle n'est requise.

En résumé, migrer votre authentification WiFi vers le cloud est la suite logique après avoir migré votre identité vers le cloud. En déployant le RADIUS cloud et l'EAP-TLS, vous éliminez les serveurs sur site, vous supprimez les mots de passe de l'équation et vous liez l'accès réseau directement à l'identité cloud de l'utilisateur. C'est plus sécurisé, plus facile à gérer et hautement disponible par défaut.

Purple exploite le RADIUS cloud sur plus de 80 000 sites dans le monde, avec une disponibilité de 99,999 % et des intégrations natives avec Microsoft Entra ID, Okta et Google Workspace. Vous pouvez être opérationnel sur vos points d'accès existants Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist en moins d'une heure.

Merci d'avoir écouté ce briefing technique. Pour des guides de déploiement plus détaillés et pour voir une démonstration en direct, visitez purple dot ai.

Points clés à retenir

✓Microsoft Entra ID, Okta et Google Workspace ne parlent pas le protocole RADIUS. Vous avez besoin d'un service cloud RADIUS pour faire le pont entre les points d'accès et les fournisseurs d'identité cloud.
✓PEAP-MSCHAPv2 échoue dans les environnements 100 % cloud car les fournisseurs d'identité cloud ne stockent pas les hachages de mots de passe NTLM requis par RADIUS pour la validation.
✓EAP-TLS remplace les mots de passe par des certificats X.509 émis par MDM, offrant une authentification résistante au phishing sans aucun identifiant à voler.
✓Les plateformes MDM comme Microsoft Intune et Jamf Pro déploient les certificats de manière transparente via SCEP, éliminant l'intégration manuelle et remplaçant l'Autorité de Certification sur site.
✓Le provisionnement SCIM garantit que l'accès WiFi est révoqué dans les secondes qui suivent la désactivation d'un employé dans le fournisseur d'identité, et non des heures plus tard après une synchronisation LDAP.
✓Le cloud RADIUS élimine le besoin de gérer des serveurs Windows NPS, supprimant ainsi les correctifs d'OS, la conception de haute disponibilité et la dépendance vis-à-vis d'Active Directory sur site.
✓Purple exploite le cloud RADIUS sur plus de 80 000 sites avec une disponibilité de 99,999 %, prenant en charge les points d'accès Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet.

📚 Fait partie de notre série principale : Sécurité et authentification WiFi d'entreprise : le guide complet →

Executive summary

Most organisations have moved their identity to the cloud. Microsoft Entra ID, Okta, and Google Workspace now manage users, groups, and access policies for email, SaaS apps, and device management. But enterprise WiFi has not kept pace. Access points still expect a RADIUS server, and that RADIUS server has historically been Windows Network Policy Server (NPS) connected to an on-premises Active Directory domain controller.

This mismatch forces IT teams to maintain redundant on-premises infrastructure purely to keep the WiFi running. The solution is cloud RADIUS: a fully managed authentication service that speaks RADIUS to your access points and speaks OAuth2, SCIM, and SAML to your cloud identity provider. Pair it with EAP-TLS certificate delivery via your MDM, and you have a complete 802.1X deployment with no on-premises servers, no OS patching, and instant access revocation tied directly to your cloud directory.

Purple operates cloud RADIUS across 80,000+ venues globally, with 99.999% uptime (Purple internal data, 2024) and native integrations with Microsoft Entra ID, Okta, and Google Workspace. You can be live on your existing Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet access points in under an hour.

Technical deep-dive

The protocol mismatch at the heart of the problem

The fundamental challenge is that cloud identity providers and WiFi access points speak entirely different languages. Microsoft Entra ID (formerly Azure AD) authenticates users via SAML, OIDC, and OAuth2 - the protocols that browsers and SaaS apps use. WiFi access points use RADIUS (Remote Authentication Dial-In User Service, RFC 2865), a UDP-based protocol designed in the 1990s for dial-up and VPN. Microsoft has never shipped a native RADIUS endpoint for Entra ID. You cannot point a Meraki or Aruba access point directly at Azure and expect 802.1X to work.

This is the wall that every cloud-first IT team hits when they try to secure Staff WiFi with WPA2-Enterprise or WPA3-Enterprise. Something has to bridge the gap between the access point and the cloud identity provider. That something is cloud RADIUS.

Why PEAP-MSCHAPv2 fails without Active Directory

Historically, 802.1X deployments relied on PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2). The user typed their username and password, the access point forwarded the request to the RADIUS server, and the RADIUS server validated the password against an NTLM hash stored in Active Directory.

Microsoft Entra ID does not store NTLM hashes. This is not a configuration gap - it is a deliberate architectural decision. Entra ID is a modern cloud identity provider, not a domain controller. Consequently, a RADIUS server pointed at Entra ID cannot validate a PEAP-MSCHAPv2 challenge. The only way to make PEAP work with Entra ID is to deploy Entra Domain Services, a paid managed Active Directory that synchronises from Entra ID, and then run NPS against that. This reintroduces most of what you were trying to eliminate: Windows Server VMs, OS patching, NTLM hash storage, and manual certificate management.

EAP-TLS: the right answer for cloud-first organisations

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security, RFC 5216) replaces passwords with X.509 digital certificates. The device presents a certificate to the RADIUS server. The RADIUS server validates the certificate against a trusted Certificate Authority (CA). Because there is no password in the exchange, the RADIUS server does not need an NTLM hash store. It needs only to trust the CA and to check the user's group membership in the identity provider to apply the correct VLAN and access policy.

EAP-TLS is phishing-resistant by design. There is no credential to steal. It satisfies CISA guidance on phishing-resistant multi-factor authentication and aligns with PCI DSS requirements for strong authentication on networks that handle cardholder data. It is the authentication method recommended by IEEE 802.1X for managed device fleets.

Cloud-first 802.1X authentication architecture: devices authenticate via EAP-TLS through Purple's cloud RADIUS, which validates certificates and applies group-based policy from Entra ID, Okta, or Google Workspace.

How MDM replaces the on-premises CA

In a traditional 802.1X deployment, certificates were issued by an on-premises Certificate Authority running Active Directory Certificate Services (AD CS). In a cloud-first deployment, the MDM takes over this role using SCEP (Simple Certificate Enrollment Protocol). Microsoft Intune, Jamf Pro, and other MDM platforms can request certificates from a cloud-hosted CA and push them silently to managed devices.

The flow works as follows. The IT administrator creates a SCEP certificate profile in the MDM, scoped to the device groups that require WiFi access. The MDM pushes the certificate to Windows, macOS, iOS, iPadOS, Android Enterprise, and ChromeOS devices automatically. The user sees nothing. The certificate is bound to the device identity in the MDM and renews automatically before expiry. When the device connects to the WiFi, it presents the certificate to the cloud RADIUS server, which validates it against the CA and applies the correct network policy.

For organisations using Microsoft Intune, Microsoft Cloud PKI provides a fully managed CA that integrates directly with Intune SCEP profiles, eliminating the need for an on-premises NDES (Network Device Enrollment Service) server. For Jamf-managed Mac and iOS fleets, Jamf's built-in CA or a third-party cloud CA serves the same purpose.

SCIM and instant access revocation

One of the most operationally important aspects of cloud RADIUS is SCIM (System for Cross-domain Identity Management) provisioning. SCIM is an open standard that pushes identity changes from the source of truth - your cloud identity provider - to dependent systems in real time. When an employee is disabled in Entra ID or Okta, SCIM pushes that change to the cloud RADIUS service immediately. The next time the device attempts to authenticate, the RADIUS server returns Access-Reject. With a short session timeout configured on the access point, the device is removed from the network within minutes of the account being disabled.

This is a material security improvement over shared PSK networks, where the only way to revoke access is to change the password across every device, and over legacy RADIUS deployments that rely on periodic LDAP syncs with a window of hours or days.

RadSec: securing RADIUS traffic over the internet

Traditional RADIUS uses UDP and provides only basic message authentication. When your RADIUS server is in the same data centre as your access points, this is acceptable. When your RADIUS server is a cloud service, the authentication traffic traverses the public internet. RadSec (RADIUS over TLS, RFC 6614) encrypts the RADIUS exchange using TLS, providing confidentiality and integrity for authentication traffic. Purple supports RadSec natively, with IPsec fallback for access points that do not yet support RadSec.

Implementation guide

Deploying cloud RADIUS with EAP-TLS requires four coordinated steps. A pilot SSID can be live in under an hour if Entra ID and an MDM are already in place.

Step 1: Connect cloud RADIUS to your identity provider

Connect Purple to your identity provider via OAuth2 admin consent (for Entra ID) or API token (for Okta and Google Workspace). This authorises Purple to read users, groups, and group memberships from the directory. Configure SCIM provisioning to push user state changes to Purple in real time. No service principal credentials are stored on disk. Group changes propagate on the next authentication event, not on a sync schedule.

Step 2: Configure your MDM and SCEP profile

In Microsoft Intune, create a Trusted Certificate Profile for the CA root, then create a SCEP certificate profile pointing at the Purple-managed CA. Scope both profiles to the device groups that require WiFi access. For Jamf, configure a SCEP payload in a configuration profile. The MDM pushes the certificates silently. Verify certificate delivery in the MDM compliance dashboard before proceeding.

Step 3: Define network policies in the cloud RADIUS dashboard

Create RADIUS policies that map identity provider groups to specific VLANs and access controls. For example, map the Entra ID group "Staff-Finance" to VLAN 20 with full internet access, and map "Staff-Contractors" to VLAN 30 with time-limited access that expires automatically. Purple's dashboard applies these policies at the point of authentication, with no firewall changes required.

Step 4: Update access point configuration

Update the SSID configuration on your access points to use WPA2-Enterprise or WPA3-Enterprise with 802.1X. Enter the Purple cloud RADIUS primary and secondary endpoint hostnames or IP addresses, along with the shared secret. Configure the access points to use dynamic VLAN assignment based on the RADIUS attributes returned by Purple. Test with a single SSID on a subset of access points before rolling out across the estate.

Cloud RADIUS vs on-premises RADIUS: a direct comparison across deployment time, Active Directory dependency, high availability, OS patching, identity integration, and certificate lifecycle management.

Best practices

These recommendations reflect IEEE 802.1X standards, PCI DSS v4.0 requirements, and operational experience across Purple's 80,000+ venue estate.

Mandate EAP-TLS for managed devices. Passwords are susceptible to phishing and credential stuffing. Certificates provide cryptographic proof of identity and device compliance. EAP-TLS is the only 802.1X method that is phishing-resistant by design.

Use SCIM for instant revocation. Periodic LDAP syncs leave a window where a terminated employee retains network access. SCIM ensures access is revoked the moment the account is disabled in the identity provider.

Deploy multi-region RADIUS. Configure your access points with at least two RADIUS endpoints in different geographic regions. Purple provides active-active multi-region failover by default, with failover completing in seconds.

Segment traffic with dynamic VLANs. Use identity provider group memberships to assign users to specific VLANs dynamically. This isolates sensitive traffic and limits the blast radius of a compromised device without requiring manual firewall changes.

Enable RadSec. If your access points support RadSec, enable it to encrypt authentication traffic between the access point and the cloud RADIUS server. This is particularly important for branch offices and venues where the access point is on an untrusted network segment.

Monitor certificate lifecycle. Set MDM auto-renewal to trigger at 80% of the certificate lifetime. For a one-year certificate, renewal begins at the 10-month mark. Alert on devices that fail to renew before the certificate expires.

For a broader treatment of enterprise WiFi security standards and frameworks, see our Enterprise WiFi Security: A Complete Guide for 2026 .

Troubleshooting and risk mitigation

Transitioning to cloud RADIUS introduces new dependencies. Prepare for these common failure modes before they affect production.

Certificate expiration. If a device certificate expires before the MDM renews it, the device fails authentication silently. The user sees a connection error with no explanation. Mitigate by configuring MDM auto-renewal at 80% of certificate lifetime and monitoring the MDM compliance dashboard for devices with expiring certificates.

MDM sync failures. A device that falls out of MDM compliance or fails to check in may not receive a renewed certificate. Implement compliance policies that flag unhealthy devices and alert administrators before the certificate expires.

Firewall blocking RADIUS traffic. The access points must reach the cloud RADIUS endpoints on UDP port 1812 (authentication) and UDP port 1813 (accounting), or TCP port 2083 for RadSec. Outbound firewall rules at branch offices frequently block these ports. Test reachability from the access point management VLAN before deployment.

SCIM provisioning failures. If the SCIM connection between the identity provider and Purple is interrupted, user state changes will not propagate. Monitor SCIM sync status in both the identity provider and the Purple dashboard. Configure alerting for sync failures.

Legacy devices without certificate support. IoT devices, printers, and older hardware may not support EAP-TLS. For these devices, use iPSK (individual pre-shared keys) rather than a shared PSK. Purple supports iPSK natively, assigning a unique key per device and placing each device on the correct VLAN without requiring 802.1X supplicant support.

ROI and business impact

Migrating from on-premises RADIUS to cloud RADIUS delivers measurable value across infrastructure, operations, and security.

Dimension	On-premises NPS	Cloud RADIUS (Purple)
Infrastructure cost	Windows Server licences, VM compute, storage	Per-AP subscription, no server hardware
Time to deploy	Days to weeks	Under one hour
High availability	Manual - two servers plus replication	Multi-region active-active, default
OS patching	Monthly, your team	Vendor-managed
WiFi helpdesk tickets	High - password resets, manual onboarding	Down 80% (Purple customer data)
Access revocation	Hours to days via LDAP sync	Seconds via SCIM

IT teams using Purple's Staff WiFi typically see WiFi support tickets drop by 80% (Purple internal data, 2024), driven by the elimination of password resets and manual device onboarding. Certificate-based authentication also satisfies PCI DSS requirement 8.3 for strong authentication and ISO 27001 control A.9.4 for system and application access control, reducing the audit burden on your security team.

For organisations in retail and hospitality , the ability to manage Staff WiFi and Guest WiFi from a single cloud dashboard - with a unified identity layer - reduces operational complexity across multi-site estates. For transport operators and healthcare providers, the instant revocation capability and full audit trail satisfy regulatory requirements without additional tooling.

Purple's WiFi Analytics layer adds occupancy and hybrid working data on top of the authentication infrastructure, turning Staff WiFi from a cost centre into a source of operational intelligence.

Définitions clés

802.1X

Une norme IEEE (IEEE 802.1X-2020) pour le contrôle d'accès réseau basé sur les ports. Elle exige que les appareils s'authentifient avant que le point d'accès n'accorde l'accès au réseau, en utilisant un échange EAP géré par un serveur RADIUS.

Les équipes informatiques utilisent le 802.1X pour s'assurer que seuls les utilisateurs et appareils autorisés se connectent au réseau de l'entreprise. Il offre un chiffrement par utilisateur, des clés par session et un historique d'audit complet de chaque événement de connexion.

RADIUS

Remote Authentication Dial-In User Service (RFC 2865). Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA) pour l'accès au réseau.

Les points d'accès transmettent chaque demande de connexion au serveur RADIUS, qui décide d'autoriser l'appareil et de lui attribuer un VLAN. Le Cloud RADIUS remplace les serveurs NPS ou FreeRADIUS sur site.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security (RFC 5216). Une méthode d'authentification 802.1X qui utilise un échange mutuel de certificats X.509 au lieu de mots de passe.

EAP-TLS est la référence absolue pour les flottes d'appareils gérés. Il résiste au phishing, ne nécessite aucun stockage de hachage de mot de passe et constitue la seule méthode 802.1X conforme aux directives de la CISA sur le MFA résistant au phishing.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol avec Microsoft Challenge Handshake Authentication Protocol version 2. Une méthode 802.1X héritée qui valide les mots de passe par rapport aux hachages NTLM stockés dans Active Directory.

PEAP-MSCHAPv2 échoue dans les environnements 100 % cloud car Entra ID ne stocke pas les hachages NTLM. Les organisations qui migrent depuis un AD sur site doivent remplacer PEAP par EAP-TLS.

SCEP

Simple Certificate Enrollment Protocol. Un protocole utilisé par les plateformes MDM pour demander et installer automatiquement des certificats numériques sur les appareils, sans intervention de l'utilisateur.

Les équipes informatiques utilisent SCEP avec Intune ou Jamf pour déployer silencieusement des certificats WiFi sur les appareils des employés. SCEP remplace le serveur NDES (Network Device Enrollment Service) sur site dans les déploiements axés sur le cloud.

SCIM

System for Cross-domain Identity Management (RFC 7644). Un standard ouvert qui automatise l'échange en temps réel d'informations d'identité utilisateur entre les systèmes informatiques.

SCIM garantit que lorsqu'un employé est désactivé dans Entra ID ou Okta, ce changement est immédiatement transmis au service cloud RADIUS, révoquant l'accès WiFi en quelques secondes plutôt qu'en quelques heures.

NPS

Network Policy Server. L'implémentation RADIUS de Microsoft, généralement exécutée sur Windows Server dans le cadre d'un environnement Active Directory sur site.

Les organisations axées sur le cloud abandonnent NPS pour éliminer les machines virtuelles Windows Server, les correctifs du système d'exploitation et la dépendance vis-à-vis d'Active Directory sur site. Le Cloud RADIUS en est le remplacement direct.

RadSec

RADIUS sur TLS (RFC 6614). Un protocole qui chiffre le trafic d'authentification RADIUS à l'aide de TLS, remplaçant le transport en texte clair basé sur UDP utilisé par le RADIUS traditionnel.

RadSec est essentiel lors de l'utilisation du cloud RADIUS, car le trafic d'authentification doit traverser l'internet public entre le point d'accès et le service cloud. Purple prend en charge RadSec nativement.

iPSK

Individual Pre-Shared Key. Une variante de WPA2-Personal qui attribue une clé pré-partagée unique à chaque appareil, plutôt qu'une seule clé partagée pour tous les appareils.

L'iPSK est utilisé pour les appareils IoT, les imprimantes et autres matériels qui ne peuvent pas prendre en charge le protocole 802.1X EAP-TLS. Il permet de responsabiliser chaque appareil et d'attribuer des VLAN sans nécessiter de support de certificat.

Dynamic VLAN

Une technique de segmentation réseau où le serveur RADIUS renvoie un identifiant de VLAN dans la réponse Access-Accept, et le point d'accès place automatiquement l'appareil sur ce VLAN.

Les VLAN dynamiques permettent aux équipes informatiques de segmenter le personnel, les sous-traitants, les appareils IoT et les invités sur des segments de réseau distincts en fonction de l'appartenance à un groupe de fournisseurs d'identité, sans modification manuelle du pare-feu.

Exemples concrets

Une chaîne de vente au détail de 400 sites doit sécuriser le WiFi du personnel dans tous ses points de vente. Elle utilise des points d'accès Cisco Meraki et Microsoft Entra ID avec Intune pour la gestion des appareils. Elle utilise actuellement une clé partagée WPA2-Personal PSK car elle ne dispose pas d'Active Directory sur site pour exécuter NPS. Un récent audit interne a signalé cette clé PSK partagée comme une faille de conformité PCI DSS.

La chaîne déploie le RADIUS cloud de Purple. Tout d'abord, elle connecte Purple à Entra ID via le consentement administrateur OAuth et configure le provisionnement SCIM. Dans Intune, elle crée un profil de certificat approuvé pour la CA racine de Purple et un profil de certificat SCEP ciblé sur le groupe d'appareils "Staff-Retail". Intune pousse silencieusement les certificats vers tous les terminaux de point de vente gérés et les tablettes du personnel. Dans le tableau de bord Meraki, elle met à jour l'SSID du personnel en WPA2-Enterprise, saisit les points de terminaison primaire et secondaire du RADIUS cloud de Purple, et active l'attribution dynamique de VLAN. Lorsqu'un appareil se connecte, il présente son certificat émis par Intune, Purple le valide par rapport à la CA et vérifie le groupe Entra ID, puis l'appareil est placé sur le VLAN 10 (réseau du personnel) ou le VLAN 20 (réseau de gestion) en fonction de son appartenance au groupe. La clé PSK partagée est retirée. Le déploiement sur les 400 sites prend un week-end, car aucun matériel sur site n'est déployé - seules des modifications de configuration SSID dans Meraki sont nécessaires.

Commentaire de l'examinateur : Cette approche élimine la clé PSK partagée, offrant une traçabilité par appareil et des clés de chiffrement par session. Chaque événement d'authentification est enregistré avec l'utilisateur, l'appareil, le point d'accès et l'SSID, répondant ainsi à l'exigence 10.2 de la norme PCI DSS concernant les journaux d'audit. En s'appuyant sur Intune SCEP et le RADIUS cloud, la chaîne obtient une sécurité 802.1X sans déployer de serveurs sur site dans aucun de ses 400 emplacements. L'alternative - déployer des machines virtuelles NPS sur chaque site ou dans une topologie en étoile - nécessiterait des semaines de travail d'infrastructure et des correctifs continus.

Une université de 15 000 étudiants utilise Google Workspace comme principal fournisseur d'identité. L'équipe informatique souhaite fournir un WiFi sécurisé pour le personnel et les étudiants sur un parc d'appareils personnels (BYOD) composé de MacBooks, de Chromebooks et de téléphones Android. Elle ne dispose d'aucun Active Directory sur site et ne souhaite pas gérer de serveurs.

L'université intègre le RADIUS cloud de Purple avec Google Workspace. Pour les Chromebooks gérés, elle utilise Google Admin pour pousser un profil de certificat WiFi via SCEP, enregistrant silencieusement chaque appareil. Pour les MacBooks et téléphones Android personnels, elle déploie une application d'intégration légère qui authentifie l'utilisateur avec ses identifiants Google et installe un certificat sur l'appareil en un seul clic. Les connexions suivantes utilisent EAP-TLS de manière transparente. Purple associe les unités d'organisation de Google Workspace aux VLAN : le personnel est dirigé vers le VLAN 10, les étudiants vers le VLAN 20, et les visiteurs invités vers un SSID avec Captive Portal. Lorsqu'un étudiant obtient son diplôme et que son compte Google est suspendu, SCIM transmet le changement à Purple et son accès WiFi est révoqué en quelques minutes.

Commentaire de l'examinateur : Cette solution fournit un accès 802.1X sécurisé pour un parc mixte d'appareils gérés et personnels sans nécessiter d'Active Directory. L'application d'intégration gère la complexité du provisionnement des certificats pour les appareils personnels, qui ne peuvent pas être gérés via un MDM. L'intégration SCIM de Google Workspace garantit que le parc WiFi reste aligné avec l'annuaire de l'université sans intervention manuelle. Ce modèle est en production à l'Université de Sheffield, à l'Université de Leeds et à l'Université des Arts de Londres, tous clients de Purple.

Questions d'entraînement

Q1. Votre organisation a entièrement migré d'Active Directory sur site vers Microsoft Entra ID. Votre WiFi personnel actuel utilise PEAP-MSCHAPv2 par rapport à un serveur NPS qui était joint à l'ancien domaine. Après le déclassement du contrôleur de domaine, le personnel signale qu'il ne peut plus se connecter au WiFi. Quelle est la cause profonde et quel est le correctif à long terme approprié ?

Conseil : Considérez ce que PEAP-MSCHAPv2 exige de l'annuaire, et si Entra ID le fournit.

Voir la réponse type

La cause profonde est que PEAP-MSCHAPv2 exige que le serveur RADIUS valide le mot de passe de l'utilisateur par rapport à un hachage NTLM stocké dans Active Directory. Le contrôleur de domaine étant déclassé, NPS n'a plus d'annuaire par rapport auquel valider. Entra ID ne stocke pas les hachages NTLM, NPS ne peut donc pas être redirigé vers Entra ID. Le correctif à long terme approprié consiste à remplacer NPS par un service RADIUS cloud, à migrer de PEAP-MSCHAPv2 vers EAP-TLS, et à utiliser le MDM (Intune) pour émettre des certificats d'appareil via SCEP. Cela élimine la dépendance vis-à-vis de tout annuaire sur site.

Q2. Vous déployez un service RADIUS cloud pour un parc de 200 MacBooks d'entreprise gérés par Jamf Pro. Votre fournisseur d'identité est Okta. Quel est le moyen le plus sécurisé et le plus efficace sur le plan opérationnel pour provisionner les identifiants WiFi sur ces appareils ?

Conseil : Recherchez une méthode qui ne nécessite aucune interaction de l'utilisateur, évite les mots de passe et s'intègre à votre MDM existant.

Voir la réponse type

Configurez Jamf Pro pour utiliser SCEP afin de pousser silencieusement les certificats d'appareil vers les MacBooks. Créez une charge utile SCEP dans un profil de configuration Jamf, pointant vers l'autorité de certification (CA) gérée par votre fournisseur RADIUS cloud. Ciblez le profil sur le groupe d'appareils concerné. Jamf poussera automatiquement le certificat sur chaque MacBook, sans aucune interaction de l'utilisateur. Configurez le profil WiFi dans le même profil de configuration pour utiliser EAP-TLS avec le certificat émis par SCEP. Connectez le service RADIUS cloud à Okta via SCIM pour garantir que lorsqu'un employé est désactivé dans Okta, son accès WiFi soit immédiatement révoqué.

Q3. Un employé est licencié à 9h00 un lundi. Son compte Entra ID est désactivé par les RH à 9h05. À 9h30, une alerte de sécurité indique que l'ordinateur portable de l'employé est toujours connecté au WiFi de l'entreprise depuis le parking. Quelle configuration est manquante et comment y remédier ?

Conseil : Comment le serveur RADIUS apprend-il que le statut de l'utilisateur a changé chez le fournisseur d'identité ?

Voir la réponse type

Le déploiement repose sur des synchronisations LDAP périodiques plutôt que sur le provisionnement SCIM. La synchronisation LDAP n'a pas encore été exécutée depuis la désactivation du compte, de sorte que le service RADIUS cloud considère toujours l'utilisateur comme actif. La solution consiste à activer le provisionnement SCIM entre Entra ID et le service RADIUS cloud. SCIM pousse les changements d'état des utilisateurs en temps réel, de sorte que lorsque le compte est désactivé dans Entra ID à 9h05, le service RADIUS reçoit immédiatement la modification. La prochaine fois que l'appareil tentera de se réauthentifier (contrôlé par le délai d'expiration de la session sur le point d'accès), il recevra un Access-Reject. Définir un délai d'expiration de session court (15 à 30 minutes) sur le point d'accès limite la fenêtre maximale entre la désactivation du compte et l'exclusion du réseau.

Q4. Votre site dispose de 50 appareils IoT - lecteurs d'affichage dynamique, capteurs environnementaux et imprimantes - qui ne prennent pas en charge 802.1X EAP-TLS. Comment sécurisez-vous ces appareils sur la même infrastructure WiFi que votre réseau personnel EAP-TLS ?

Conseil : Considérez quelle méthode d'authentification offre une imputabilité par appareil sans nécessiter de support de certificat.

Voir la réponse type

Utilisez l'iPSK (clés pré-partagées individuelles) pour les appareils IoT. Attribuez une clé pré-partagée unique à chaque appareil dans le tableau de bord du RADIUS cloud, ainsi qu'une attribution de VLAN. Chaque appareil s'authentifie avec sa clé unique, que le serveur RADIUS valide et utilise pour placer l'appareil sur le VLAN IoT, isolé du réseau du personnel. Si un appareil est compromis ou déclassé, vous révoquez uniquement la clé de cet appareil sans affecter les autres. Cette approche offre une imputabilité par appareil et une segmentation du réseau sans nécessiter de support de demandeur 802.1X sur le matériel IoT.

Continuer la lecture de cette série

Trois SSIDs pour régner sur tous : guide de configuration WiFi pour invités, Passpoint et IoT

Ce guide technique fournit un plan d'action définitif pour implémenter la conception à trois SSIDs au sein des entreprises. Il détaille la configuration d'un Captive Portal ouvert pour les invités, l'intégration automatisée de Passpoint et l'authentification xPSK par appareil afin d'obtenir une segmentation VLAN complète et un accès réseau zero-trust.

Trois SSIDs pour régner sur tous : guide de configuration WiFi pour invités, personnel et IoT

Ce guide de référence technique fait autorité et fournit un plan étape par étape pour implémenter une architecture WiFi à trois SSIDs. Il explique comment segmenter le trafic des invités, du personnel et de l'IoT à l'aide de captive portals, de RADIUS 802.1X et de clés partagées par appareil (xPSK) afin d'optimiser les performances et de garantir la conformité PCI DSS.

Comment révoquer l'accès WiFi lors du départ d'un employé

Ce guide détaille comment révoquer l'accès WiFi lors du départ d'un employé, en remplaçant les mots de passe partagés non sécurisés par des certificats 802.1X par utilisateur ou par iPSK. Il traite du déprovisionnement automatisé via SCIM afin de répondre aux exigences d'audit ISO 27001 et SOC 2.