Intégration de RADIUS as a Service avec les annuaires cloud (Azure AD & Google Workspace)

Ce guide de référence technique détaille comment intégrer RADIUS as a Service avec les annuaires cloud - Microsoft Entra ID et Google Workspace - pour l'authentification WiFi d'entreprise. Il couvre la transition architecturale du NPS sur site vers un RADIUS cloud-native, le déploiement de l'authentification EAP-TLS basée sur des certificats, ainsi que les meilleures pratiques opérationnelles pour sécuriser l'accès sans fil dans les secteurs de l'hôtellerie, du commerce de détail et du secteur public. Pour les responsables informatiques et les architectes réseau déjà investis dans l'identité cloud, ce guide comble le fossé entre la gestion des annuaires et la sécurité du réseau physique.

📖 10 min de lecture📝 2,373 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans cette fiche technique de Purple. Aujourd'hui, nous abordons un sujet à la croisée de la gestion des identités dans le cloud et de la sécurité des réseaux physiques : l'intégration de RADIUS en tant que service avec les annuaires cloud, plus précisément Microsoft Entra ID et Google Workspace.

Si vous gérez le WiFi d'une entreprise dans un hôtel, un parc de points de vente, un stade ou des bâtiments publics, cette présentation concerne directement votre prochaine décision d'infrastructure.

Commençons par le contexte. Au cours des deux dernières décennies, l'authentification WiFi dans les environnements d'entreprise reposait sur une infrastructure assez prévisible. Vous disposiez d'un Active Directory sur site, d'un serveur Windows Network Policy Server faisant office de serveur RADIUS, et du WPA2-Enterprise sur les points d'accès. Cela fonctionnait. Mais cela nécessitait des serveurs sur site, une gestion manuelle des certificats et une équipe dotée de compétences spécialisées pour assurer le fonctionnement.

Le problème est que la plupart des organisations ne privilégient plus le matériel sur site. Elles sont orientées cloud-first. Microsoft Entra ID et Google Workspace sont désormais les annuaires de référence pour des millions d'organisations. Et c'est là que réside le fossé : vos points d'accès sans fil communiquent toujours via RADIUS. Ils ne comprennent pas le protocole SAML. Ils ne comprennent pas OAuth. Ils parlent RADIUS, et il en sera toujours ainsi.

La question est donc la suivante : comment relier votre plateforme d'identité cloud à votre infrastructure réseau physique, sans réintroduire de serveur sur site ?

La réponse est RADIUS en tant que service. Un serveur RADIUS hébergé dans le cloud qui s'intègre directement à votre annuaire cloud, valide les demandes d'authentification en temps réel et renvoie une décision d'accès à votre point d'accès. Pas de serveurs sur site. Pas de correctifs à appliquer. Pas d'urgence de renouvellement de certificat à 2 heures du matin.

La base est la norme IEEE 802.1X. Lorsqu'un appareil tente de se connecter à un réseau WPA2-Enterprise ou WPA3-Enterprise, le point d'accès agit en tant qu'authentificateur. Il intercepte la tentative de connexion et transmet les paquets EAP au serveur RADIUS. Le serveur RADIUS valide l'identité et renvoie un message Access-Accept ou Access-Reject. Ce n'est qu'à ce moment-là que le point d'accès accorde l'accès au réseau.

Désormais, la décision technique la plus importante de tout ce déploiement est le choix de votre méthode EAP.

PEAP-MSCHAPv2 est l'ancienne méthode. Elle utilise des identifiants et des mots de passe. Cela semble sécurisé. Ça ne l'est pas. Si un appareil ne valide pas strictement le certificat du serveur RADIUS, un attaquant peut configurer un point d'accès pirate avec votre SSID, intercepter la négociation et capturer les identifiants. C'est ce qu'on appelle une attaque « Evil Twin » (jumeau malveillant), et c'est une réalité.

EAP-TLS est la bonne réponse. Cette méthode utilise des certificats numériques sur le serveur et sur l'appareil client pour une authentification mutuelle. Aucun mot de passe n'est requis. L'appareil présente son certificat. Le serveur RADIUS le valide par rapport à votre annuaire cloud en temps réel. Pas de vol d'identifiants possible. Pas de vecteur de phishing. Pas de tickets d'assistance lorsque quelqu'un change de mot de passe.

Voyons à présent comment se déroule un déploiement avec Microsoft Entra ID.

Étape une : licences et PKI. Vous avez besoin de Microsoft 365 E3 ou E5 pour accéder à Intune et à l'Accès Conditionnel. Établissez une PKI cloud en utilisant la PKI managée de votre fournisseur Cloud RADIUS ou la PKI cloud de Microsoft.

Étape deux : déploiement de certificats via Intune. Créez un profil de certificat approuvé avec votre CA racine et déployez-le sur des groupes d'appareils. Créez ensuite un profil de certificat SCEP. Pour l'authentification basée sur l'utilisateur, le nom de l'objet utilise l'User Principal Name.

Étape trois : configuration de Cloud RADIUS. Accordez au service RADIUS les autorisations API Microsoft Graph : User.Read.All et GroupMember.Read.All. Définissez vos politiques d'authentification : autorisez l'accès si le certificat est émis par notre CA de confiance, si l'utilisateur est membre du groupe Corporate-WiFi-Users dans Entra ID, et si l'appareil est marqué comme conforme dans Intune.

Étape quatre : infrastructure sans fil. Dans votre contrôleur, qu'il s'agisse de Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist, ajoutez les adresses IP Cloud RADIUS et les secrets partagés. Réglez le délai d'expiration RADIUS sur au moins cinq secondes. Créez votre SSID WPA3-Enterprise.

Étape cinq : déploiement du profil WiFi. Créez un profil de configuration WiFi dans Intune. Définissez le SSID, sélectionnez WPA3-Enterprise, choisissez EAP-TLS, associez le profil de certificat SCEP. Les appareils reçoivent silencieusement le certificat et le profil WiFi lors de leur prochaine synchronisation. Ils se connectent automatiquement. Aucune interaction de l'utilisateur n'est requise.

Examinons maintenant le parcours Google Workspace, car il diffère sur le plan architectural sur un point important.

Google ne propose pas de service RADIUS natif. Il n'existe pas d'équivalent Google à Windows NPS. Vous avez donc toujours besoin d'un intermédiaire : un fournisseur Cloud RADIUS qui se connecte à Google Workspace via Google Secure LDAP ou via une intégration SAML et OAuth.

Google Secure LDAP est disponible sur les éditions Cloud Identity Premium et Google Workspace Enterprise. Il fournit une interface LDAP traditionnelle vers votre annuaire cloud. Votre serveur Cloud RADIUS se connecte à ldap.google.com sur le port 636 à l'aide de certificats clients que Google génère pour vous. À partir de là, le serveur RADIUS peut interroger l'annuaire de Google pour valider les identifiants ou les appartenances aux groupes.

Pour les Chromebooks gérés, le parcours de déploiement utilise la Console d'administration Google. Vous configurez une PKI cloud pour émettre des certificats, déployez la CA racine et les certificats clients sur les Chromebooks, et déployez un profil WiFi spécifiant EAP-TLS. Les Chromebooks se connectent silencieusement. Pour les appareils BYOD et l'accès invité, vous utilisez un Captive Portal associé à l'authentification unique (SSO) Google. C'est la bonne séparation : EAP-TLS pour les appareils gérés, Captive Portal pour tout le reste.

Parlons des pièges à éviter, car c'est là que les déploiements échouent.

Le premier et le plus courant est le blocage des ports du pare-feu. L'authentification RADIUS utilise le port UDP 1812. L'accounting RADIUS utilise le port UDP 1813. Si ces ports ne sont pas ouverts en sortie de votre infrastructure sans fil vers le service Cloud RADIUS, rien ne fonctionne. Vérifiez cela en premier, à chaque fois.

Le deuxième piège est l'expiration des certificats. Si le certificat de votre serveur RADIUS expire, tous les appareils du réseau perdent la connectivité simultanément. Configurez des alertes de surveillance à 90 jours, 30 jours et 7 jours avant l'expiration. Automatisez le renouvellement dans la mesure du possible.

Le troisième est le décalage d'horloge. EAP-TLS s'appuie sur une heure précise pour la validation des certificats. Si l'horloge système d'un appareil est considérablement désynchronisée, la validation du certificat échoue. Assurez-vous que le protocole NTP est correctement configuré sur tous les appareils et infrastructures.

Le quatrième, spécifique aux déploiements PEAP, consiste à ne pas imposer une validation stricte du certificat de serveur sur les appareils clients. Sans cela, les appareils accepteront n'importe quel certificat présenté par n'importe quel point d'accès prétendant être le vôtre. C'est la seule décision de configuration qui sépare un déploiement sécurisé d'un déploiement vulnérable.

Passons maintenant à une séance de questions-réponses rapide.

Puis-je utiliser Cloud RADIUS pour le WiFi du personnel et des invités ? Pour le WiFi du personnel, oui, en utilisant EAP-TLS. Le WiFi des invités doit utiliser un Captive Portal distinct. Mélanger les deux sur un seul SSID crée une complexité et un risque de sécurité inutiles.

Cela fonctionne-t-il avec le WPA3 ? Oui. Le WPA3-Enterprise est entièrement pris en charge et recommandé pour tous les nouveaux déploiements.

Qu'en est-il de la conformité ? EAP-TLS avec Cloud RADIUS prend en charge les exigences PCI DSS pour une authentification forte sur les réseaux de données des titulaires de cartes. Il prend également en charge les obligations du GDPR en permettant une journalisation précise des accès et une révocation instantanée lorsqu'un employé s'en va.

Quel est l'impact sur nos capacités d'analyse ? Positif. En liant l'accès au réseau à une identité cloud vérifiée, des plateformes comme WiFi Analytics de Purple fournissent des données plus riches sur l'utilisation de l'espace. Vous passez d'adresses MAC anonymes à des utilisateurs authentifiés et nommés, ce qui transforme la qualité de vos analyses.

En résumé, voici les points clés à retenir.

Premièrement : Cloud RADIUS élimine les dépendances vis-à-vis des serveurs sur site. Vos points d'accès s'authentifient auprès d'un service hébergé dans le cloud qui s'intègre directement à Entra ID ou Google Workspace.

Deuxièmement : EAP-TLS est la bonne méthode d'authentification. Les certificats remplacent les mots de passe. Pas de vecteur de phishing, pas de vol d'identifiants, pas de surcharge pour le support technique liée aux réinitialisations de mots de passe.

Troisièmement : Microsoft Intune et Google Admin Console automatisent le déploiement des certificats. Les appareils reçoivent les certificats et les profils WiFi de manière transparente, sans aucune intervention de l'utilisateur.

Quatrièmement : L'attribution dynamique de VLAN via les attributs RADIUS permet une segmentation granulaire du réseau basée sur l'appartenance à un groupe d'annuaire. Cela limite les déplacements latéraux et favorise la conformité.

Cinquièmement : Vérifiez toujours que les ports 1812 and 1813 sont ouverts, surveillez l'expiration des certificats et imposez une validation stricte du certificat de serveur.

Si vous planifiez un déploiement ce trimestre, commencez par un groupe pilote de 20 à 50 appareils. Validez le déploiement des certificats, l'authentification RADIUS et l'attribution des VLAN avant de procéder à un déploiement mondial. L'investissement consacré à cette configuration optimale porte ses fruits en réduisant la charge de travail du support technique, en renforçant votre posture de sécurité et en vous permettant d'exploiter vos données réseau pour une véritable business intelligence.

Merci d'avoir écouté le briefing technique de Purple. Pour obtenir les étapes de déploiement détaillées, des exemples de configuration et des scénarios pratiques, consultez le guide de référence technique complet sur purple.ai.

Points clés à retenir

✓Cloud RADIUS élimine les serveurs NPS et FreeRADIUS sur site. Vos points d'accès s'authentifient auprès d'un service hébergé dans le cloud qui s'intègre directement à Microsoft Entra ID ou Google Workspace.
✓EAP-TLS est la méthode d'authentification correcte pour le WiFi d'entreprise. Elle utilise des certificats numériques au lieu de mots de passe, éliminant ainsi le vol d'identifiants, le phishing et la surcharge du support technique liée aux mots de passe.
✓Microsoft Intune et Google Admin Console automatisent le déploiement de certificats sur les appareils gérés via des profils SCEP. Les appareils reçoivent les certificats et les profils WiFi de manière transparente, sans aucune interaction de l'utilisateur.
✓Google Workspace nécessite un intermédiaire pour l'intégration RADIUS. Google Secure LDAP (disponible sur les éditions Cloud Identity Premium et Enterprise) fournit l'interface LDAP que les serveurs Cloud RADIUS utilisent pour interroger l'annuaire Google.
✓L'attribution dynamique de VLAN via les attributs RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) permet une segmentation granulaire du réseau en fonction de l'appartenance à un groupe d'annuaire, ce qui répond aux exigences de la norme PCI DSS.
✓Vérifiez d'abord les ports UDP 1812 et 1813. Les ports de pare-feu bloqués sont la cause principale des échecs de déploiement initial. Surveillez l'expiration des certificats à 90, 30 et 7 jours. Imposez une validation stricte des certificats de serveur sur tous les déploiements PEAP.
✓La désactivation d'un utilisateur dans Entra ID ou Google Workspace révoque immédiatement son accès WiFi sur tous les sites. C'est le principal avantage de l'offboarding par rapport aux réseaux basés sur PSK, et cela répond directement aux obligations du GDPR.

Executive summary

For modern enterprises invested in cloud identity ecosystems, bridging cloud directories with physical wireless networks is a critical security imperative. Historically, WiFi authentication relied on on-premise Active Directory Domain Services and Windows Network Policy Server (NPS). As organisations migrate to Microsoft Entra ID and Google Workspace, that on-premise authentication stack becomes a liability - costly to maintain, difficult to scale, and incompatible with zero-trust security models.

RADIUS as a Service (RADIUSaaS) changes the equation. A cloud-hosted RADIUS server integrates directly with your cloud directory, validates authentication requests in real time, and returns access decisions to your access points - with no on-premise servers, no patching cycles, and no single point of failure. Combined with EAP-TLS certificate-based authentication, this architecture eliminates credential theft, supports PCI DSS and GDPR compliance, and delivers a seamless experience for staff across every site.

This guide covers the architectural decision between on-premise NPS and cloud-native RADIUS, the deployment of EAP-TLS via Microsoft Intune and Google Admin Console, and the operational best practices for securing wireless access across hotels, retail estates, stadiums, and public-sector venues. For a broader introduction to network access control, see A Guide to Your Network Access Control System .

Technical deep-dive: architecture and standards

The role of RADIUS and IEEE 802.1X

The foundation of secure enterprise WiFi is the IEEE 802.1X standard, which provides port-based network access control. When a client device (the supplicant) attempts to connect to a WPA2-Enterprise or WPA3-Enterprise network, the Wireless Access Point (the authenticator) blocks all traffic except EAP (Extensible Authentication Protocol) packets. The AP forwards these packets to a RADIUS server. The RADIUS server validates the identity against a directory service and returns an Access-Accept or Access-Reject message. Only then does the AP grant network access.

This three-party model - supplicant, authenticator, authentication server - is the cornerstone of enterprise wireless security and is defined in IEEE 802.1X. It has not fundamentally changed since its introduction. What has changed is where the RADIUS server lives and how it communicates with your directory.

Cloud-native RADIUS architecture

A cloud-native RADIUS architecture eliminates the need for on-premise NPS or FreeRADIUS servers. A third-party Cloud RADIUS provider integrates directly with Microsoft Entra ID via Microsoft Graph API, or with Google Workspace via Google Secure LDAP or SAML/OAuth. Authentication happens entirely in the cloud. This aligns with zero-trust network access principles and significantly reduces operational overhead.

The table below compares the two primary architectural approaches:

Dimension	Hybrid on-premise (NPS)	Cloud-native (RADIUSaaS)
Infrastructure	Windows Server VM or bare metal required	No on-premise servers
Identity source	AD DS via LDAP/Kerberos	Entra ID or Google Workspace via API
Certificate authority	ADCS on-premise + Intune Connector	Cloud PKI from vendor or Microsoft
High availability	Manual HA and load balancing	Auto-scaled by provider
Setup time	Days to weeks	Hours
Best for	Hybrid AD, legacy devices	Cloud-first, MDM-managed organisations
Operational complexity	Higher initial and ongoing	Lower operational overhead

EAP-TLS vs. PEAP-MSCHAPv2: the critical choice

The choice of EAP method is the single most consequential security decision in this deployment. PEAP-MSCHAPv2 relies on users entering their domain credentials. This is vulnerable to credential theft and man-in-the-middle attacks. If a client device does not strictly validate the RADIUS server certificate - and many do not by default - an attacker can deploy a rogue access point with your SSID, intercept the EAP handshake, and capture credentials. This is an Evil Twin attack, and it is well-documented.

EAP-TLS (Transport Layer Security) uses digital certificates installed on the client device for mutual authentication. Both the client and the server prove their identity cryptographically. There are no passwords to type or steal. In a Microsoft environment, certificates deploy silently via Microsoft Intune using SCEP (Simple Certificate Enrollment Protocol) or PKCS profiles. This is the recommended path for all new deployments and is essential for compliance with PCI DSS v4.0 (Requirement 8.3 on strong authentication) and GDPR data protection obligations.

Google Workspace: the architectural difference

Microsoft Entra ID and Google Workspace differ in one important way for RADIUS integration. Microsoft NPS integrates natively with Active Directory, and Cloud RADIUS providers connect to Entra ID via Microsoft Graph API. Google, however, does not offer a native RADIUS service. You always need an intermediary.

Google Secure LDAP is the primary integration path. Available on Cloud Identity Premium and Google Workspace Enterprise editions, it provides a traditional LDAP interface to your cloud directory. Your Cloud RADIUS server connects to ldap.google.com on port 636 using client certificates that Google generates for you. From that point, the RADIUS server queries Google's directory to validate credentials or group memberships, just as it would query an on-premise Active Directory.

An alternative path uses SAML-based integration, where the Cloud RADIUS provider registers as a SAML application in Google Admin Console and performs an OAuth lookup at authentication time to verify the user's identity and group memberships in real time.

Implementation guide

Implementing RADIUSaaS with EAP-TLS requires coordinating identity, device management, and network infrastructure. The following five-phase approach applies to both Microsoft Entra ID and Google Workspace environments.

Phase 1: prepare identity and device management infrastructure

For Microsoft Entra ID: verify that your tenant has Microsoft 365 E3/E5 or Enterprise Mobility + Security (EMS) E3/E5 licensing. This includes Microsoft Intune and Conditional Access. Without Intune, automated certificate deployment is not possible.

For Google Workspace: confirm you have Cloud Identity Premium or Google Workspace Enterprise to access Google Secure LDAP. If you plan to use EAP-TLS on managed Chromebooks, ensure the Google Admin Console is configured to manage device certificates.

Establish your Public Key Infrastructure (PKI). For new deployments, a cloud-native PKI provided by your Cloud RADIUS vendor is strongly recommended. Alternatives include Microsoft Cloud PKI (available with Intune Suite licensing) or an existing on-premise ADCS deployment connected via the Microsoft Intune Certificate Connector.

Phase 2: configure certificate deployment

Microsoft Intune path: in the Intune admin centre, create a Trusted Certificate configuration profile. Upload the Root CA certificate and deploy it to your target device groups. This ensures client devices trust the certificate presented by the RADIUS server during the TLS handshake. Next, create a SCEP Certificate profile. For user-based authentication, set the Subject Name to CN={{UserPrincipalName}}. For device-based authentication, use CN={{DeviceName}}. Set the Subject Alternative Name to include the User Principal Name or device ID.

Google Admin Console path: navigate to Devices, then Networks, then Certificates. Upload your Root CA. Configure a certificate issuance mechanism - either a cloud PKI that supports SCEP integration with Google Workspace, or the Google Cloud Certificate Connector which proxies requests to an on-premise Microsoft Certificate Authority. Deploy the Root CA and client certificate profiles to the appropriate Organisational Units.

Phase 3: configure Cloud RADIUS integration

Grant your Cloud RADIUS provider the necessary API permissions in your directory tenant. For Entra ID, this requires at minimum User.Read.All and GroupMember.Read.All via Microsoft Graph API. Some providers also require Device.Read.All for device compliance checks. For Google Workspace via Secure LDAP, download the client certificate and key from Google Admin Console and install them on the RADIUS service.

Define your authentication policies within the Cloud RADIUS management portal. A well-structured policy for a corporate environment: "Allow access if the certificate is issued by [Trusted CA] AND the user is a member of the [Corporate-WiFi-Users] group AND the device is marked Compliant in Intune." This enforces identity, group membership, and device health simultaneously.

Phase 4: configure wireless infrastructure

In your wireless LAN controller or cloud management dashboard - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet - add the Cloud RADIUS server IP addresses and shared secrets as RADIUS authentication servers. Configure primary and secondary servers for redundancy. Set the RADIUS timeout to a minimum of five seconds to accommodate cloud round-trip latency.

Create a new SSID configured for WPA2-Enterprise or WPA3-Enterprise. For Hospitality deployments, ensure the corporate SSID is on a separate VLAN from any Guest WiFi network. For Retail environments, consider deploying the corporate SSID only in back-of-house areas.

Phase 5: deploy WiFi profile via MDM

Microsoft Intune: create a WiFi configuration profile. Set the SSID to match your infrastructure configuration exactly. Select WPA2-Enterprise or WPA3-Enterprise. Under EAP settings, select EAP-TLS. Link the SCEP certificate profile as the client certificate and specify the Trusted Root CA profile. Assign this WiFi profile to the same device groups that received the certificate profiles. Devices silently receive the certificate and the WiFi configuration during their next Intune sync.

Google Admin Console: navigate to Devices, then Networks, then Wi-Fi. Create a new WiFi network profile. Set the SSID, select WPA3-Enterprise, choose EAP-TLS, and push the trusted Root CA certificate to the devices. Apply this profile to your Organisational Units. Chromebooks connect silently and securely.

Best practices

Mandate EAP-TLS across all new deployments. Do not deploy new networks using PEAP-MSCHAPv2. The security risks are well-documented and the migration path is straightforward with modern MDM tooling.

Enforce strict server certificate validation. If you must use PEAP for legacy devices, configure the devices to validate the RADIUS server's certificate. In the Intune WiFi profile and in the Google Admin Console WiFi profile, there is a field to specify the trusted CA for server validation. Do not leave this blank. This single configuration decision is the difference between a secure deployment and a vulnerable one.

Segment your network with dynamic VLAN assignment. Use your RADIUS server to inspect the user's group membership in Entra ID or Google Workspace and dynamically assign them to different VLANs. The RADIUS server returns the Tunnel-Private-Group-Id attribute to the access point, which places the client on the correct VLAN. This limits lateral movement in the event of a compromise and supports PCI DSS network segmentation requirements.

Separate corporate and guest authentication. Use EAP-TLS for corporate-managed devices. Use a captive portal with SSO for BYOD and guest devices. Trying to manually configure EAP-TLS on unmanaged devices creates excessive support overhead. Purple's Guest WiFi platform handles guest onboarding separately, maintaining a clean separation between staff and visitor traffic.

Monitor certificate expiry proactively. Set up monitoring and alerting at 90 days, 30 days, and seven days before certificate expiry. If your RADIUS server certificate expires, all devices lose connectivity simultaneously. Automate renewal where your PKI supports it.

Test RADIUS timeout settings. Cloud RADIUS introduces network round-trip latency that on-premise NPS does not. Set the RADIUS timeout on your access points to at least five seconds. A timeout of two seconds - common in default configurations - will cause intermittent authentication failures.

Troubleshooting and risk mitigation

Blocked firewall ports are the leading cause of initial deployment failure. RADIUS authentication requires UDP port 1812 outbound from your wireless infrastructure to the Cloud RADIUS service. RADIUS accounting requires UDP port 1813. Verify these are open before any other troubleshooting.

Certificate validation failures present as authentication rejections with no obvious cause. Check the following in order: certificate expiry on both the client and the RADIUS server; clock skew between the client device and the RADIUS server (EAP-TLS relies on accurate timekeeping); and whether the Root CA certificate has been successfully deployed to the device via MDM.

Group membership not enforcing is a common issue when RADIUS policies reference Entra ID or Google Workspace groups. Verify that the Cloud RADIUS provider has the correct API permissions to read group memberships. In Entra ID, confirm the service principal has GroupMember.Read.All. In Google Workspace, confirm the Secure LDAP client has permission to read group information.

VLAN assignment not working typically indicates a mismatch between the RADIUS attribute values and the VLAN IDs configured on the wireless infrastructure. Confirm that Tunnel-Type is set to VLAN (value 13), Tunnel-Medium-Type is set to 802 (value 6), and Tunnel-Private-Group-Id matches the VLAN ID configured on the switch or controller.

BYOD devices failing EAP-TLS usually indicates the client certificate was not successfully deployed. For Intune-managed devices, check the device's certificate store in the Intune admin centre. For Google-managed Chromebooks, verify the certificate profile is assigned to the correct Organisational Unit and that the device has synced recently.

ROI and business impact

Moving to Cloud RADIUS delivers measurable operational savings. On-premise RADIUS requires at minimum two servers for high availability, ongoing OS patching, certificate management, and specialist engineering time. A single engineer's time spent on RADIUS maintenance over a year typically exceeds the annual cost of a Cloud RADIUS subscription.

The business case extends beyond cost reduction. By tying network access to verified cloud identities, you gain:

Instant offboarding. Disabling a user in Entra ID or Google Workspace immediately revokes their network access at all sites. There is no lag, no manual process, and no risk of a former employee retaining WiFi access. This directly supports GDPR obligations around data access rights.

Richer analytics. Platforms like Purple's WiFi Analytics provide richer data on space utilisation and visitor journeys when network access is tied to authenticated identities. You move from anonymous MAC addresses to named, authenticated users, which transforms the quality of insight available to operations and marketing teams.

Compliance evidence. EAP-TLS authentication generates detailed access logs - who connected, from which device, at which location, and at what time. This audit trail supports PCI DSS Requirement 10 (logging and monitoring) and GDPR accountability obligations.

Multi-site consistency. A single Cloud RADIUS service authenticates all your sites with consistent policies, managed from one dashboard. Adding a new hotel, store, or venue means adding its access points to the RADIUS configuration - not shipping and configuring another server. For organisations managing large estates, this is a significant operational advantage.

For Transport operators and Healthcare venues where network uptime is operationally critical, Cloud RADIUS providers typically offer 99.999% uptime SLAs with multi-region failover built in. Purple operates at 99.999% uptime across 80,000+ live venues, with 440 million logins processed in 2024 (Purple internal data, 2024).

For further reading on related topics, see WAN Computer Definition: A Practical Guide for 2026 and World WiFi Day 2026: How Your Venue Can Help Bridge the Digital Divide .

Définitions clés

RADIUS (Remote Authentication Dial-In User Service)

Un protocole de réseau défini dans la RFC 2865 qui fournit une gestion centralisée de l'Authentification, de l'Autorisation et de la Comptabilité (AAA) pour les utilisateurs se connectant à un service réseau. Le serveur RADIUS agit comme le moteur de décision entre vos points d'accès et votre annuaire d'identités.

Chaque réseau WiFi d'entreprise WPA2-Enterprise ou WPA3-Enterprise dépend d'un serveur RADIUS. Sans lui, l'authentification IEEE 802.1X ne fonctionne pas.

RADIUS as a Service (RADIUSaaS)

Une implémentation RADIUS hébergée dans le cloud et fournie en tant que service managé. Le fournisseur assure la maintenance de l'infrastructure, l'application des correctifs, la haute disponibilité et les intégrations avec les fournisseurs d'identité. Vous configurez les politiques d'authentification et pointez vos points d'accès vers les IP du RADIUS cloud.

RADIUSaaS élimine le besoin de serveurs NPS ou FreeRADIUS sur site, supprimant ainsi le matériel associé, les correctifs du système d'exploitation et les coûts de maintenance spécialisée.

IEEE 802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports. Elle définit le modèle d'authentification à trois parties : le suppliant (appareil client), l'authentificateur (point d'accès ou commutateur) et le serveur d'authentification (serveur RADIUS). L'authentificateur bloque tout le trafic jusqu'à ce que le serveur RADIUS accorde l'accès.

La norme fondamentale pour l'authentification WiFi d'entreprise. WPA2-Enterprise et WPA3-Enterprise reposent tous deux sur la norme 802.1X.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Une méthode d'authentification définie dans la RFC 5216 qui utilise des certificats numériques à la fois sur le serveur RADIUS et sur l'appareil client pour une authentification mutuelle. Aucune des deux parties n'envoie de mot de passe. Le client présente son certificat ; le serveur le valide en temps réel par rapport à l'annuaire.

La référence absolue en matière de sécurité WiFi d'entreprise. Élimine le vol d'identifiants, le phishing et les frais de support technique liés aux mots de passe. Requis pour la conformité PCI DSS sur les réseaux de données de titulaires de cartes.

PEAP-MSCHAPv2 (Protected EAP - Microsoft Challenge Handshake Authentication Protocol v2)

Une méthode d'authentification qui crée un tunnel TLS chiffré puis y envoie le nom d'utilisateur et le mot de passe de l'utilisateur. Vulnérable aux attaques de type "Evil Twin" si le client ne valide pas strictement le certificat du serveur RADIUS.

La valeur par défaut héritée pour le WiFi d'entreprise. Encore largement déployée, elle devrait être migrée vers EAP-TLS dans tous les nouveaux déploiements et ceux existants lorsque cela est possible.

Microsoft Entra ID

Le service de gestion des identités et des accès basé sur le cloud de Microsoft, anciennement connu sous le nom d'Azure Active Directory (Azure AD). Gère les identités des utilisateurs, les appartenances aux groupes, la conformité des appareils et les politiques d'accès conditionnel.

La principale source d'identité pour le Cloud RADIUS dans les environnements centrés sur Microsoft. Les fournisseurs de Cloud RADIUS se connectent à Entra ID via l'API Microsoft Graph.

Google Secure LDAP

Un service managé disponible sur les éditions Cloud Identity Premium et Google Workspace Enterprise qui fournit une interface LDAP traditionnelle pour l'annuaire cloud de Google. Les serveurs RADIUS se connectent à ldap.google.com sur le port 636 à l'aide de certificats clients.

La principale voie d'intégration pour connecter un serveur Cloud RADIUS à Google Workspace. Google ne proposant pas de service RADIUS natif, Secure LDAP sert de passerelle.

PKI (Public Key Infrastructure)

L'ensemble des rôles, politiques, matériels, logiciels et procédures nécessaires pour créer, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques. Une PKI est requise pour émettre les certificats clients et serveurs utilisés dans l'authentification EAP-TLS.

Les options PKI cloud natives des fournisseurs RADIUS ou de Microsoft (Cloud PKI) éliminent le besoin de services de certificats Active Directory (ADCS) sur site.

SCEP (Simple Certificate Enrollment Protocol)

Un protocole qui permet aux appareils de demander et de recevoir automatiquement des certificats numériques de la part d'une autorité de certification. Utilisé par Microsoft Intune et la console d'administration Google pour déployer des certificats clients sur des appareils gérés sans intervention de l'utilisateur.

Les profils SCEP dans Intune sont le mécanisme par lequel les appareils de l'entreprise reçoivent de manière transparente les certificats clients nécessaires à l'authentification EAP-TLS.

Dynamic VLAN assignment

Une fonctionnalité RADIUS qui renvoie des attributs d'attribution de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) au point d'accès en fonction de l'appartenance de l'utilisateur authentifié à un groupe d'annuaire. Le point d'accès place automatiquement le client sur le VLAN spécifié.

Permet une segmentation granulaire du réseau sans configuration manuelle des VLAN par appareil. Les employés ayant des rôles ou départements différents atterrissent sur des segments de réseau distincts, limitant les déplacements latéraux et répondant aux exigences de segmentation PCI DSS.

Exemples concrets

Un hôtel de 200 chambres migre le réseau de son personnel d'arrière-guichet d'un serveur NPS sur site vieillissant vers une solution cloud-native. L'hôtel a récemment migré vers Microsoft Entra ID et Microsoft 365 E5. Les appareils du personnel sont des ordinateurs portables Windows gérés par Intune. L'infrastructure sans fil est Cisco Meraki. L'hôtel a besoin que le personnel se connecte automatiquement sans saisie de mot de passe, et exige une révocation instantanée lorsqu'un membre du personnel quitte l'entreprise.

Déployez une solution Cloud RADIUS avec intégration Entra ID. Étape 1 : accordez au fournisseur Cloud RADIUS les autorisations de l'API Microsoft Graph (User.Read.All, GroupMember.Read.All, Device.Read.All) dans le locataire Entra ID. Étape 2 : dans Intune, créez un profil de certificat approuvé (Trusted Certificate) avec l'autorité de certification racine (Root CA) du Cloud RADIUS et déployez-le sur le groupe « Tous les appareils d'entreprise ». Étape 3 : créez un profil de certificat SCEP avec le nom de sujet CN={{UserPrincipalName}} et déployez-le sur le même groupe. Étape 4 : configurez la politique d'authentification Cloud RADIUS : autorisez l'accès si le certificat est émis par [Trusted CA] ET que l'utilisateur est membre du groupe Entra ID [Hotel-Staff-WiFi] ET que l'appareil est conforme à Intune. Étape 5 : dans le tableau de bord Cisco Meraki, ajoutez les adresses IP principale et secondaire du Cloud RADIUS en tant que serveurs RADIUS sur le SSID d'arrière-guichet. Définissez le délai d'expiration RADIUS sur 5 secondes. Étape 6 : dans Intune, créez un profil WiFi WPA3-Enterprise pour le SSID d'arrière-guichet, en spécifiant EAP-TLS et en liant le profil de certificat SCEP. Déployez sur le groupe « Tous les appareils d'entreprise ». Les appareils reçoivent silencieusement le certificat et le profil WiFi lors de la prochaine synchronisation Intune et se connectent automatiquement. Lorsqu'un membre du personnel s'en va, la désactivation de son compte Entra ID révoque immédiatement l'accès au réseau sur tous les sites.

Commentaire de l'examinateur : Cette approche élimine complètement la dépendance au serveur NPS sur site. L'EAP-TLS supprime le vecteur de phishing lié à l'authentification par identifiants. Intune automatise la gestion du cycle de vie des certificats, éliminant la charge de travail manuelle qui entraînait des retards dans le renouvellement des certificats avec l'ancien déploiement NPS. La politique de groupe Entra ID signifie que lorsque les RH désactivent un compte, l'accès au réseau est révoqué en temps réel, sans qu'aucune mise à jour manuelle de la politique RADIUS ne soit nécessaire. L'intégration Cisco Meraki est simple : Cloud RADIUS est indépendant du matériel et fonctionne avec toute infrastructure compatible 802.1X.

Une chaîne de magasins de détail comptant 50 points de vente utilise Google Workspace et gère une flotte de 500 Chromebooks utilisés par les vendeurs pour l'inventaire et les opérations de point de vente. Ils utilisent actuellement une clé WPA2 PSK partagée pour le réseau opérationnel des magasins, ce qui présente un risque de sécurité en cas de perte ou de vol d'appareils. Ils souhaitent passer à l'authentification 802.1X sans déployer de serveurs locaux dans chaque magasin. Leur infrastructure sans fil est HPE Aruba.

Déployez une solution Cloud RADIUS avec intégration Google Workspace via Google Secure LDAP. Étape 1 : dans la console d'administration Google, accédez à Applications, puis LDAP, et ajoutez un nouveau client LDAP pour le service Cloud RADIUS. Configurez les autorisations de lecture pour les informations utilisateur et l'appartenance aux groupes. Téléchargez le certificat client et la clé générés. Étape 2 : configurez le service Cloud RADIUS avec les identifiants Google Secure LDAP. Étape 3 : configurez une PKI cloud pour émettre des certificats aux Chromebooks. In la console d'administration Google, accédez à Appareils, puis Réseaux, puis Certificats, et importez la Root CA. Configurez le profil d'émission de certificat et appliquez-le à l'unité organisationnelle Store-Associates. Étape 4 : dans la console d'administration Google, créez un profil WiFi WPA3-Enterprise pour le SSID opérationnel des magasins. Définissez EAP-TLS, liez la Root CA, et appliquez à l'unité organisationnelle Store-Associates. Les Chromebooks reçoivent le certificat et le profil WiFi lors de la prochaine synchronisation de la console d'administration. Étape 5 : dans HPE Aruba Central, configurez le SSID des opérations du magasin avec WPA3-Enterprise et ajoutez les IP principale et secondaire du Cloud RADIUS. Définissez le délai d'expiration RADIUS sur 5 secondes. Configurez l'attribution dynamique de VLAN pour placer les vendeurs sur le VLAN 20 (opérations du magasin) en fonction de leur appartenance au groupe Google Workspace. Lorsqu'un Chromebook est perdu ou volé, le retirer de l'unité organisationnelle Store-Associates révoque immédiatement son accès au réseau.

Commentaire de l'examinateur : Ce déploiement élimine le risque lié à la clé PSK partagée. Un Chromebook perdu ou volé configuré avec une clé PSK partagée offre à un attaquant un accès réseau permanent jusqu'à ce que la clé PSK soit modifiée dans l'ensemble des 50 magasins. Avec EAP-TLS, le certificat de l'appareil perdu peut être révoqué immédiatement. L'intégration Google Secure LDAP est la voie idéale pour les environnements Google Workspace ; elle fournit une interface standardisée et stable que le service Cloud RADIUS peut interroger sans nécessiter d'intégration API personnalisée. L'attribution dynamique de VLAN garantit que les vendeurs accèdent au bon segment de réseau, répondant ainsi aux exigences de segmentation réseau de la norme PCI DSS pour les environnements de vente au détail.

Questions d'entraînement

Q1. Votre organisation migre d'Active Directory sur site vers Microsoft Entra ID. Vous utilisez actuellement PEAP-MSCHAPv2 pour l'authentification WiFi sur 300 ordinateurs portables d'entreprise gérés par Intune. Vous disposez de licences Microsoft 365 E5. Quelle est la voie la plus sécurisée et la plus efficace sur le plan opérationnel pour migrer l'authentification WiFi vers une architecture cloud native ?

Conseil : Considérez les vulnérabilités de l'authentification par identifiants, les capacités de Microsoft Intune pour le déploiement de certificats, et la nécessité d'éviter les dépendances vis-à-vis d'une infrastructure sur site.

Voir la réponse type

Déployez une solution Cloud RADIUS intégrée à Entra ID. Utilisez Microsoft Intune pour déployer un profil de certificat de confiance (Root CA) et un profil de certificat SCEP sur les 300 ordinateurs portables. Configurez la politique d'authentification Cloud RADIUS pour exiger un certificat valide de l'autorité de certification de confiance et l'appartenance au groupe Entra ID Corporate-WiFi-Users. Créez un profil WiFi WPA3-Enterprise dans Intune en spécifiant EAP-TLS et associez-le au profil de certificat SCEP. Les appareils reçoivent silencieusement le certificat et la configuration WiFi lors de la prochaine synchronisation Intune. Cela élimine le risque de vol d'identifiants PEAP-MSCHAPv2, supprime la dépendance NPS sur site et permet une révocation instantanée lorsqu'un compte Entra ID est désactivé.

Q2. Un utilisateur de votre hôtel signale qu'il ne peut pas se connecter au WiFi du personnel de l'arrière-guichet après son retour de deux semaines de vacances. Les autres membres du personnel se connectent sans problème. Le réseau utilise EAP-TLS avec des certificats déployés via Intune. Quelles sont les trois causes les plus probables, par ordre de probabilité ?

Conseil : EAP-TLS repose sur des ressources cryptographiques sensibles au temps et sur des recherches d'annuaire en temps réel.

Voir la réponse type

Le certificat client de l'utilisateur a expiré. Les certificats ont une période de validité définie, et si l'appareil était hors ligne pendant la fenêtre de renouvellement, le profil SCEP peut ne pas l'avoir renouvelé. Vérifiez la date d'expiration du certificat dans le magasin de certificats d'appareil d'Intune. 2. L'horloge système de l'appareil est considérablement désynchronisée (dérive de l'horloge), ce qui entraîne l'échec de la validation du certificat. EAP-TLS valide les horodatages des certificats ; une horloge désynchronisée de plus de cinq minutes entraînera des échecs d'authentification. 3. Le compte Entra ID de l'utilisateur a été placé dans un groupe différent pendant son absence (par exemple, déplacé du personnel actif vers une autre OU), et la politique d'authentification RADIUS ne correspond plus à son appartenance de groupe. Vérifiez les appartenances de groupe de l'utilisateur dans Entra ID par rapport à la politique RADIUS.

Q3. Vous êtes le responsable informatique d'une chaîne de vente au détail de 80 magasins. Vous utilisez Google Workspace et gérez 400 Chromebooks via la console d'administration Google. Vous souhaitez remplacer la clé WPA2 PSK partagée actuelle sur le réseau opérationnel des magasins par une authentification 802.1X. Vous n'avez aucun serveur sur site dans aucun magasin. Quelle architecture déployez-vous, et quel est le principal avantage de sécurité par rapport à l'approche PSK actuelle ?

Conseil : Considérez ce qui se passe lorsqu'un Chromebook est perdu ou volé sous chaque modèle d'authentification.

Voir la réponse type

Déployez un service Cloud RADIUS avec intégration Google Secure LDAP. Configurez une PKI cloud pour délivrer des certificats aux Chromebooks. Dans la console d'administration Google, déployez l'autorité de certification racine (Root CA) et un profil de certificat client SCEP sur l'unité organisationnelle Store-Associates. Créez un profil WiFi WPA3-Enterprise spécifiant EAP-TLS et déployez-le sur la même OU. Configurez les points d'accès HPE Aruba (ou équivalents) de chaque magasin pour qu'ils pointent vers le service Cloud RADIUS. Le principal avantage en matière de sécurité : avec la clé PSK partagée actuelle, un Chromebook perdu ou volé conserve l'accès au WiFi jusqu'à ce que la clé PSK soit modifiée dans les 80 magasins - un processus perturbateur et fastidieux. Avec EAP-TLS, la suppression de l'appareil de l'OU Store-Associates dans la console d'administration Google révoque immédiatement son certificat et son accès au réseau, sans aucun impact sur les autres appareils.

Q4. Lors d'un déploiement Cloud RADIUS, vous configurez l'SSID sur des points d'accès Cisco Meraki et déployez le profil WiFi Intune sur un groupe pilote de 20 appareils. Aucun des appareils ne peut se connecter. Le statut de l'appareil dans Intune indique que le certificat et le profil WiFi ont été déployés avec succès. Quelle est la première chose à vérifier ?

Conseil : La cause la plus fréquente d'un échec de déploiement initial n'est pas une erreur de configuration dans la politique RADIUS ou le certificat.

Voir la réponse type

Vérifiez que les ports UDP 1812 et 1813 sont ouverts en sortie depuis les points d'accès Cisco Meraki (ou l'infrastructure cloud Meraki) vers les adresses IP du serveur Cloud RADIUS. Les ports de pare-feu bloqués sont la cause principale des échecs de déploiement initial. Le fait que les certificats et les profils WiFi soient déployés avec succès exclut les problèmes de configuration d'Intune. Les vérifications suivantes sont : une incompatibilité de clé secrète partagée RADIUS entre Meraki et le service Cloud RADIUS ; un délai d'expiration RADIUS configuré trop bas (augmentez-le à au soit 5 secondes) ; et si les IP du serveur Cloud RADIUS sont correctement saisies dans la configuration du SSID Meraki.

Continuer la lecture de cette série

Les avantages de sécurité de RADIUS as a Service pour les effectifs hybrides

Ce guide de référence technique explique comment RADIUS as a Service sécurise l'accès au réseau pour les effectifs hybrides au sein des sites distribués. Il présente l'architecture, les avantages de sécurité et les étapes de déploiement pour remplacer une infrastructure RADIUS sur site par un service d'authentification géré dans le cloud. Destiné aux responsables informatiques et aux architectes réseau des hôtels, chaînes de magasins, stades et organisations du secteur public, ce guide fournit les éléments requis pour évaluer et mettre en œuvre une migration vers le RADIUS cloud dès ce trimestre.

Comment implémenter l'authentification 802.1X avec Cloud RADIUS

Ce guide de référence technique fournit un cadre complet pour implémenter l'authentification 802.1X avec Cloud RADIUS sur l'ensemble des parcs d'entreprises distribués. Il détaille l'architecture, la sélection de la méthode EAP, le séquençage du déploiement et les stratégies de réduction des risques nécessaires pour sécuriser l'accès au réseau tout en éliminant les coûts opérationnels de l'infrastructure sur site.

Qu'est-ce que Cloud RADIUS ? Le guide complet du RADIUS as a Service

Ce guide complet explore Cloud RADIUS (RADIUS as a Service), en détaillant son architecture, ses méthodes EAP et ses stratégies de déploiement. Il fournit aux responsables informatiques des conseils pratiques pour migrer de serveurs sur site vers un modèle d'authentification cloud évolutif, sécurisé et conforme.