Active Directory या ऑन-प्रिमाइसेस सर्वर के बिना Enterprise WiFi ऑथेंटिकेशन

यह गाइड बताती है कि ऑन-प्रिमाइसेस Active Directory, Windows NPS, या RADIUS सर्वर के बिना सुरक्षित WPA2/3-Enterprise WiFi ऑथेंटिकेशन कैसे तैनात किया जाए। इसमें क्लाउड आइडेंटिटी प्रोवाइडर्स और 802.1X के बीच प्रोटोकॉल विसंगति, PEAP-MSCHAPv2 पर EAP-TLS के लाभ, और Microsoft Entra ID, Okta, या Google Workspace के विरुद्ध MDM-जारी प्रमाणपत्रों के साथ क्लाउड RADIUS को कैसे तैनात किया जाए, शामिल है। यह उन क्लाउड-फर्स्ट और Mac/Chromebook-भारी संगठनों के IT प्रमुखों के लिए लिखा गया है जो ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर को सेवानिवृत्त (retire) करने के लिए तैयार हैं।

📖 9 मिनट का पाठ📝 2,219 शब्द🔧 2 हल किए गए उदाहरण❓ 4 अभ्यास प्रश्न📚 10 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें

नमस्कार और इस तकनीकी ब्रीफिंग में आपका स्वागत है। आज हम एक बहुत ही विशिष्ट, बहुत ही सामान्य आर्किटेक्चरल सिरदर्द से निपट रहे हैं: जब आप क्लाउड पर माइग्रेट कर चुके हैं और अब आपके पास ऑन-प्रिमाइसेस Active Directory या Windows NPS सर्वर नहीं है, तो एंटरप्राइज WiFi ऑथेंटिकेशन कैसे चलाएं।

यदि आप एक क्लाउड-फर्स्ट संगठन में IT मैनेजर, नेटवर्क आर्किटेक्ट या CTO हैं, तो आप शायद इस दीवार से टकराए होंगे। आपने अपनी पहचान को Microsoft Entra ID, Okta, या Google Workspace पर माइग्रेट कर दिया है। सब कुछ SaaS है। लेकिन आपके Cisco, Aruba, या Meraki एक्सेस पॉइंट अभी भी एक RADIUS सर्वर की अपेक्षा करते हैं। और ऐतिहासिक रूप से, वह RADIUS सर्वर एक Windows Server था जो नेटवर्क पॉलिसी सर्वर, या NPS चला रहा था, जो एक डोमेन कंट्रोलर से बात कर रहा था।

तो, केवल WiFi के लिए नए वर्चुअल मशीन शुरू किए बिना आप उस अंतर को कैसे पाटते हैं? आइए तकनीकी विवरणों में गोता लगाएँ।

यहाँ मुख्य मुद्दा प्रोटोकॉल विसंगति है। Entra ID और Okta आधुनिक वेब प्रोटोकॉल बोलते हैं: SAML, OIDC और OAuth2। आपके एक्सेस पॉइंट RADIUS बोलते हैं। Microsoft Entra ID के लिए नेटिव RADIUS एंडपॉइंट प्रदान नहीं करता है। आप केवल अपने Meraki डैशबोर्ड को Azure पर इंगित नहीं कर सकते हैं और इसके काम करने की उम्मीद नहीं कर सकते हैं।

ऐतिहासिक रूप से, संगठन WiFi के लिए PEAP-MSCHAPv2 का उपयोग करते थे। उपयोगकर्ताओं ने अपना उपयोगकर्ता नाम और पासवर्ड टाइप किया, और RADIUS सर्वर ने Active Directory में संग्रहीत NTLM हैश के विरुद्ध उसकी जाँच की। यहाँ महत्वपूर्ण विफलता बिंदु है: Microsoft Entra ID NTLM हैश संग्रहीत नहीं करता है। इसलिए भले ही आप Entra ID के सामने एक क्लाउड RADIUS सर्वर रखें, यह PEAP पासवर्ड चुनौती को सत्यापित नहीं कर सकता है।

इसे ठीक करने के लिए, आपको ऑथेंटिकेशन विधि को बदलना होगा। आपको EAP-TLS पर जाना होगा।

EAP-TLS पासवर्ड के बजाय डिजिटल प्रमाणपत्रों का उपयोग करता है। डिवाइस RADIUS सर्वर को एक X.509 प्रमाणपत्र प्रस्तुत करता है। RADIUS सर्वर जाँच करता है कि क्या वह प्रमाणपत्र किसी विश्वसनीय प्रमाणपत्र प्राधिकरण (Certificate Authority) द्वारा हस्ताक्षरित था। चूंकि इसमें कोई पासवर्ड शामिल नहीं है, इसलिए RADIUS सर्वर को NTLM हैश स्टोर की आवश्यकता नहीं होती है। इसे केवल प्रमाणपत्र को सत्यापित करने और सही VLAN असाइन करने के लिए उपयोगकर्ता की समूह सदस्यता की जांच करने की आवश्यकता होती है।

यहीं पर आधुनिक आर्किटेक्चर एक साथ आता है। आप ऑथेंटिकेशन सर्वर के रूप में कार्य करने के लिए एक क्लाउड RADIUS सेवा - जैसे Purple - का उपयोग करते हैं। आप वितरण तंत्र (delivery mechanism) के रूप में कार्य करने के लिए अपने मोबाइल डिवाइस प्रबंधन (MDM) प्लेटफॉर्म, जैसे Microsoft Intune या Jamf का उपयोग करते हैं।

MDM आपके प्रबंधित लैपटॉप और फोन पर चुपचाप डिवाइस प्रमाणपत्रों को पुश करने के लिए SCEP नामक प्रोटोकॉल का उपयोग करता है। उपयोगकर्ता कुछ नहीं करता है। डिवाइस WiFi से कनेक्ट होता है, Purple के क्लाउड RADIUS को प्रमाणपत्र प्रस्तुत करता है, Purple इसे सत्यापित करता, उपयोगकर्ता के समूह के लिए Entra ID या Okta की जांच करता है, और एक्सेस पॉइंट को उन्हें सही VLAN पर रखने के लिए कहता है।

आइए कार्यान्वयन की सिफारिशों और कमियों के बारे में बात करते हैं।

सबसे बड़ी सिफारिश SCIM प्रोविज़निंग को अपनाने की है। समय-समय पर होने वाले निर्देशिका सिंक पर निर्भर न रहें। SCIM, जिसका अर्थ सिस्टम फॉर क्रॉस-डोमेन आइडेंटिटी मैनेजमेंट है, यह सुनिश्चित करता है कि जब HR Entra ID में किसी कर्मचारी को अक्षम करता है, तो वह सिग्नल तुरंत क्लाउड RADIUS पर पुश हो जाता है। उनकी WiFi एक्सेस उसी सेकंड बंद हो जाती है जिस सेकंड उनकी ईमेल एक्सेस बंद होती है। यह एक महत्वपूर्ण सुरक्षा सुधार है।

एक आम कमी प्रमाणपत्र जीवनचक्र प्रबंधन है। यदि आप एक वर्ष में समाप्त होने वाले प्रमाणपत्र जारी करते हैं, तो आपको यह सुनिश्चित करना होगा कि आपका MDM दसवें महीने में उन्हें ऑटो-नवीनीकृत करने के लिए कॉन्फ़िगर किया गया है। यदि कोई प्रमाणपत्र समाप्त हो जाता है, तो डिवाइस चुपचाप नेटवर्क से बाहर हो जाता है, और आपको एक समर्थन टिकट प्राप्त होगा।

एक और कमी फ़ायरवॉल कॉन्फ़िगरेशन है। आपके एक्सेस पॉइंट्स को क्लाउड RADIUS एंडपॉइंट्स तक पहुंचने की आवश्यकता है। सुनिश्चित करें कि आपके आउटबाउंड नियम UDP पोर्ट 1812 की अनुमति देते हैं, या आदर्श रूप से TCP पोर्ट 2083 की यदि आपके एक्सेस पॉइंट RadSec का समर्थन करते हैं, जो इंटरनेट पर RADIUS ट्रैफ़िक को एन्क्रिप्ट करता है।

आइए हमारे द्वारा देखे जाने वाले सबसे आम प्रश्नों के आधार पर एक रैपिड-फायर प्रश्न और उत्तर सत्र करें।

प्रश्न एक: क्या मैं सीधे Entra ID के विरुद्ध WiFi को प्रमाणित कर सकता हूँ?
उत्तर: नहीं। Entra ID RADIUS नहीं बोलता है। आपको बीच में एक क्लाउड RADIUS सेवा की आवश्यकता है।

प्रश्न दो: क्या मुझे अभी भी Windows NPS की आवश्यकता है?
उत्तर: नहीं। एक क्लाउड RADIUS सेवा पूरी तरह से NPS को प्रतिस्थापित करती है। आप उन Windows Servers को सेवामुक्त (decommission) कर सकते हैं।

प्रश्न तीन: केवल-क्लाउड कंपनियां स्टाफ WiFi को कैसे सुरक्षित करती हैं?
उत्तर: प्रमाणपत्रों को पुश करने के लिए अपने MDM का उपयोग करके और क्लाउड RADIUS प्रदाता के विरुद्ध EAP-TLS के माध्यम से प्रमाणित करके।

प्रश्न चार: जब कोई कर्मचारी नौकरी छोड़ता है तो WiFi एक्सेस का क्या होता है?
उत्तर: SCIM प्रोविज़निंग के साथ, आइडेंटिटी प्रोवाइडर में उनका खाता अक्षम होते ही उनकी एक्सेस रद्द कर दी जाती है। किसी मैन्युअल हस्तक्षेप की आवश्यकता नहीं है।

संक्षेप में, अपनी पहचान को क्लाउड पर ले जाने के बाद अपने WiFi ऑथेंटिकेशन को क्लाउड पर ले जाना अगला तार्किक कदम है। क्लाउड RADIUS और EAP-TLS को तैनात करके, आप ऑन-प्रिमाइसेस सर्वर को समाप्त करते हैं, आप समीकरण से पासवर्ड हटाते हैं, और आप नेटवर्क एक्सेस को सीधे उपयोगकर्ता की क्लाउड पहचान से जोड़ते हैं। यह अधिक सुरक्षित है, इसे प्रबंधित करना आसान है, और यह डिफ़ॉल्ट रूप से अत्यधिक उपलब्ध है।

Purple वैश्विक स्तर पर 80,000 से अधिक स्थानों पर क्लाउड RADIUS संचालित करता है, जिसमें 99.999 प्रतिशत अपटाइम और Microsoft Entra ID, Okta, और Google Workspace के साथ नेटिव एकीकरण शामिल हैं। आप एक घंटे से भी कम समय में अपने मौजूदा Cisco Meraki, HPE Aruba, Ruckus, या Juniper Mist एक्सेस पॉइंट्स पर लाइव हो सकते हैं।

इस तकनीकी ब्रीफिंग को सुनने के लिए धन्यवाद। अधिक विस्तृत परिनियोजन गाइड के लिए और लाइव प्रदर्शन देखने के लिए, purple.ai पर जाएं।

मुख्य निष्कर्ष

✓Microsoft Entra ID, Okta, और Google Workspace RADIUS नहीं बोलते हैं। आपको एक्सेस पॉइंट्स और क्लाउड आइडेंटिटी प्रोवाइडर्स के बीच की खाई को पाटने के लिए एक क्लाउड RADIUS सेवा की आवश्यकता है।
✓PEAP-MSCHAPv2 केवल-क्लाउड वातावरण में विफल हो जाता है क्योंकि क्लाउड आइडेंटिटी प्रोवाइडर उन NTLM पासवर्ड हैश को संग्रहीत नहीं करते हैं जिनकी RADIUS को सत्यापन के लिए आवश्यकता होती है।
✓EAP-TLS पासवर्ड को MDM-जारी X.509 प्रमाणपत्रों से बदल देता है, जिससे चोरी करने के लिए बिना किसी क्रेडेंशियल के फ़िशिंग-प्रतिरोधी ऑथेंटिकेशन मिलता है।
✓Microsoft Intune और Jamf Pro जैसे MDM प्लेटफॉर्म SCEP के माध्यम से चुपचाप प्रमाणपत्र वितरित करते हैं, जिससे मैन्युअल ऑनबोर्डिंग समाप्त हो जाती है और ऑन-प्रिमाइसेस प्रमाणपत्र प्राधिकरण (Certificate Authority) प्रतिस्थापित हो जाता है।
✓SCIM प्रोविज़निंग यह सुनिश्चित करती है कि आइडेंटिटी प्रोवाइडर में किसी कर्मचारी के अक्षम होने के कुछ ही सेकंड के भीतर WiFi एक्सेस रद्द हो जाए - न कि घंटों बाद LDAP सिंक के बाद।
✓क्लाउड RADIUS Windows NPS सर्वर चलाने की आवश्यकता को समाप्त करता है, जिससे OS पैचिंग, उच्च-उपलब्धता डिज़ाइन और ऑन-प्रिमाइसेस Active Directory पर निर्भरता समाप्त हो जाती है।
✓Purple 99.999% अपटाइम के साथ 80,000+ स्थानों पर क्लाउड RADIUS संचालित करता है, जो Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, और Fortinet एक्सेस पॉइंट्स का समर्थन करता है।

📚 हमारी मुख्य श्रृंखला का हिस्सा: एंटरप्राइज WiFi सुरक्षा और ऑथेंटिकेशन: संपूर्ण गाइड →

Executive summary

Most organisations have moved their identity to the cloud. Microsoft Entra ID, Okta, and Google Workspace now manage users, groups, and access policies for email, SaaS apps, and device management. But enterprise WiFi has not kept pace. Access points still expect a RADIUS server, and that RADIUS server has historically been Windows Network Policy Server (NPS) connected to an on-premises Active Directory domain controller.

This mismatch forces IT teams to maintain redundant on-premises infrastructure purely to keep the WiFi running. The solution is cloud RADIUS: a fully managed authentication service that speaks RADIUS to your access points and speaks OAuth2, SCIM, and SAML to your cloud identity provider. Pair it with EAP-TLS certificate delivery via your MDM, and you have a complete 802.1X deployment with no on-premises servers, no OS patching, and instant access revocation tied directly to your cloud directory.

Purple operates cloud RADIUS across 80,000+ venues globally, with 99.999% uptime (Purple internal data, 2024) and native integrations with Microsoft Entra ID, Okta, and Google Workspace. You can be live on your existing Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet access points in under an hour.

Technical deep-dive

The protocol mismatch at the heart of the problem

The fundamental challenge is that cloud identity providers and WiFi access points speak entirely different languages. Microsoft Entra ID (formerly Azure AD) authenticates users via SAML, OIDC, and OAuth2 - the protocols that browsers and SaaS apps use. WiFi access points use RADIUS (Remote Authentication Dial-In User Service, RFC 2865), a UDP-based protocol designed in the 1990s for dial-up and VPN. Microsoft has never shipped a native RADIUS endpoint for Entra ID. You cannot point a Meraki or Aruba access point directly at Azure and expect 802.1X to work.

This is the wall that every cloud-first IT team hits when they try to secure Staff WiFi with WPA2-Enterprise or WPA3-Enterprise. Something has to bridge the gap between the access point and the cloud identity provider. That something is cloud RADIUS.

Why PEAP-MSCHAPv2 fails without Active Directory

Historically, 802.1X deployments relied on PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2). The user typed their username and password, the access point forwarded the request to the RADIUS server, and the RADIUS server validated the password against an NTLM hash stored in Active Directory.

Microsoft Entra ID does not store NTLM hashes. This is not a configuration gap - it is a deliberate architectural decision. Entra ID is a modern cloud identity provider, not a domain controller. Consequently, a RADIUS server pointed at Entra ID cannot validate a PEAP-MSCHAPv2 challenge. The only way to make PEAP work with Entra ID is to deploy Entra Domain Services, a paid managed Active Directory that synchronises from Entra ID, and then run NPS against that. This reintroduces most of what you were trying to eliminate: Windows Server VMs, OS patching, NTLM hash storage, and manual certificate management.

EAP-TLS: the right answer for cloud-first organisations

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security, RFC 5216) replaces passwords with X.509 digital certificates. The device presents a certificate to the RADIUS server. The RADIUS server validates the certificate against a trusted Certificate Authority (CA). Because there is no password in the exchange, the RADIUS server does not need an NTLM hash store. It needs only to trust the CA and to check the user's group membership in the identity provider to apply the correct VLAN and access policy.

EAP-TLS is phishing-resistant by design. There is no credential to steal. It satisfies CISA guidance on phishing-resistant multi-factor authentication and aligns with PCI DSS requirements for strong authentication on networks that handle cardholder data. It is the authentication method recommended by IEEE 802.1X for managed device fleets.

Cloud-first 802.1X authentication architecture: devices authenticate via EAP-TLS through Purple's cloud RADIUS, which validates certificates and applies group-based policy from Entra ID, Okta, or Google Workspace.

How MDM replaces the on-premises CA

In a traditional 802.1X deployment, certificates were issued by an on-premises Certificate Authority running Active Directory Certificate Services (AD CS). In a cloud-first deployment, the MDM takes over this role using SCEP (Simple Certificate Enrollment Protocol). Microsoft Intune, Jamf Pro, and other MDM platforms can request certificates from a cloud-hosted CA and push them silently to managed devices.

The flow works as follows. The IT administrator creates a SCEP certificate profile in the MDM, scoped to the device groups that require WiFi access. The MDM pushes the certificate to Windows, macOS, iOS, iPadOS, Android Enterprise, and ChromeOS devices automatically. The user sees nothing. The certificate is bound to the device identity in the MDM and renews automatically before expiry. When the device connects to the WiFi, it presents the certificate to the cloud RADIUS server, which validates it against the CA and applies the correct network policy.

For organisations using Microsoft Intune, Microsoft Cloud PKI provides a fully managed CA that integrates directly with Intune SCEP profiles, eliminating the need for an on-premises NDES (Network Device Enrollment Service) server. For Jamf-managed Mac and iOS fleets, Jamf's built-in CA or a third-party cloud CA serves the same purpose.

SCIM and instant access revocation

One of the most operationally important aspects of cloud RADIUS is SCIM (System for Cross-domain Identity Management) provisioning. SCIM is an open standard that pushes identity changes from the source of truth - your cloud identity provider - to dependent systems in real time. When an employee is disabled in Entra ID or Okta, SCIM pushes that change to the cloud RADIUS service immediately. The next time the device attempts to authenticate, the RADIUS server returns Access-Reject. With a short session timeout configured on the access point, the device is removed from the network within minutes of the account being disabled.

This is a material security improvement over shared PSK networks, where the only way to revoke access is to change the password across every device, and over legacy RADIUS deployments that rely on periodic LDAP syncs with a window of hours or days.

RadSec: securing RADIUS traffic over the internet

Traditional RADIUS uses UDP and provides only basic message authentication. When your RADIUS server is in the same data centre as your access points, this is acceptable. When your RADIUS server is a cloud service, the authentication traffic traverses the public internet. RadSec (RADIUS over TLS, RFC 6614) encrypts the RADIUS exchange using TLS, providing confidentiality and integrity for authentication traffic. Purple supports RadSec natively, with IPsec fallback for access points that do not yet support RadSec.

Implementation guide

Deploying cloud RADIUS with EAP-TLS requires four coordinated steps. A pilot SSID can be live in under an hour if Entra ID and an MDM are already in place.

Step 1: Connect cloud RADIUS to your identity provider

Connect Purple to your identity provider via OAuth2 admin consent (for Entra ID) or API token (for Okta and Google Workspace). This authorises Purple to read users, groups, and group memberships from the directory. Configure SCIM provisioning to push user state changes to Purple in real time. No service principal credentials are stored on disk. Group changes propagate on the next authentication event, not on a sync schedule.

Step 2: Configure your MDM and SCEP profile

In Microsoft Intune, create a Trusted Certificate Profile for the CA root, then create a SCEP certificate profile pointing at the Purple-managed CA. Scope both profiles to the device groups that require WiFi access. For Jamf, configure a SCEP payload in a configuration profile. The MDM pushes the certificates silently. Verify certificate delivery in the MDM compliance dashboard before proceeding.

Step 3: Define network policies in the cloud RADIUS dashboard

Create RADIUS policies that map identity provider groups to specific VLANs and access controls. For example, map the Entra ID group "Staff-Finance" to VLAN 20 with full internet access, and map "Staff-Contractors" to VLAN 30 with time-limited access that expires automatically. Purple's dashboard applies these policies at the point of authentication, with no firewall changes required.

Step 4: Update access point configuration

Update the SSID configuration on your access points to use WPA2-Enterprise or WPA3-Enterprise with 802.1X. Enter the Purple cloud RADIUS primary and secondary endpoint hostnames or IP addresses, along with the shared secret. Configure the access points to use dynamic VLAN assignment based on the RADIUS attributes returned by Purple. Test with a single SSID on a subset of access points before rolling out across the estate.

Cloud RADIUS vs on-premises RADIUS: a direct comparison across deployment time, Active Directory dependency, high availability, OS patching, identity integration, and certificate lifecycle management.

Best practices

These recommendations reflect IEEE 802.1X standards, PCI DSS v4.0 requirements, and operational experience across Purple's 80,000+ venue estate.

Mandate EAP-TLS for managed devices. Passwords are susceptible to phishing and credential stuffing. Certificates provide cryptographic proof of identity and device compliance. EAP-TLS is the only 802.1X method that is phishing-resistant by design.

Use SCIM for instant revocation. Periodic LDAP syncs leave a window where a terminated employee retains network access. SCIM ensures access is revoked the moment the account is disabled in the identity provider.

Deploy multi-region RADIUS. Configure your access points with at least two RADIUS endpoints in different geographic regions. Purple provides active-active multi-region failover by default, with failover completing in seconds.

Segment traffic with dynamic VLANs. Use identity provider group memberships to assign users to specific VLANs dynamically. This isolates sensitive traffic and limits the blast radius of a compromised device without requiring manual firewall changes.

Enable RadSec. If your access points support RadSec, enable it to encrypt authentication traffic between the access point and the cloud RADIUS server. This is particularly important for branch offices and venues where the access point is on an untrusted network segment.

Monitor certificate lifecycle. Set MDM auto-renewal to trigger at 80% of the certificate lifetime. For a one-year certificate, renewal begins at the 10-month mark. Alert on devices that fail to renew before the certificate expires.

For a broader treatment of enterprise WiFi security standards and frameworks, see our Enterprise WiFi Security: A Complete Guide for 2026 .

Troubleshooting and risk mitigation

Transitioning to cloud RADIUS introduces new dependencies. Prepare for these common failure modes before they affect production.

Certificate expiration. If a device certificate expires before the MDM renews it, the device fails authentication silently. The user sees a connection error with no explanation. Mitigate by configuring MDM auto-renewal at 80% of certificate lifetime and monitoring the MDM compliance dashboard for devices with expiring certificates.

MDM sync failures. A device that falls out of MDM compliance or fails to check in may not receive a renewed certificate. Implement compliance policies that flag unhealthy devices and alert administrators before the certificate expires.

Firewall blocking RADIUS traffic. The access points must reach the cloud RADIUS endpoints on UDP port 1812 (authentication) and UDP port 1813 (accounting), or TCP port 2083 for RadSec. Outbound firewall rules at branch offices frequently block these ports. Test reachability from the access point management VLAN before deployment.

SCIM provisioning failures. If the SCIM connection between the identity provider and Purple is interrupted, user state changes will not propagate. Monitor SCIM sync status in both the identity provider and the Purple dashboard. Configure alerting for sync failures.

Legacy devices without certificate support. IoT devices, printers, and older hardware may not support EAP-TLS. For these devices, use iPSK (individual pre-shared keys) rather than a shared PSK. Purple supports iPSK natively, assigning a unique key per device and placing each device on the correct VLAN without requiring 802.1X supplicant support.

ROI and business impact

Migrating from on-premises RADIUS to cloud RADIUS delivers measurable value across infrastructure, operations, and security.

Dimension	On-premises NPS	Cloud RADIUS (Purple)
Infrastructure cost	Windows Server licences, VM compute, storage	Per-AP subscription, no server hardware
Time to deploy	Days to weeks	Under one hour
High availability	Manual - two servers plus replication	Multi-region active-active, default
OS patching	Monthly, your team	Vendor-managed
WiFi helpdesk tickets	High - password resets, manual onboarding	Down 80% (Purple customer data)
Access revocation	Hours to days via LDAP sync	Seconds via SCIM

IT teams using Purple's Staff WiFi typically see WiFi support tickets drop by 80% (Purple internal data, 2024), driven by the elimination of password resets and manual device onboarding. Certificate-based authentication also satisfies PCI DSS requirement 8.3 for strong authentication and ISO 27001 control A.9.4 for system and application access control, reducing the audit burden on your security team.

For organisations in retail and hospitality , the ability to manage Staff WiFi and Guest WiFi from a single cloud dashboard - with a unified identity layer - reduces operational complexity across multi-site estates. For transport operators and healthcare providers, the instant revocation capability and full audit trail satisfy regulatory requirements without additional tooling.

Purple's WiFi Analytics layer adds occupancy and hybrid working data on top of the authentication infrastructure, turning Staff WiFi from a cost centre into a source of operational intelligence.

मुख्य परिभाषाएं

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस नियंत्रण के लिए एक IEEE मानक (IEEE 802.1X-2020)। इसके लिए आवश्यक है कि एक्सेस पॉइंट द्वारा नेटवर्क एक्सेस प्रदान करने से पहले डिवाइस प्रमाणित हों, जिसमें RADIUS सर्वर द्वारा मध्यस्थता किए गए EAP एक्सचेंज का उपयोग किया जाता है।

IT टीमें यह सुनिश्चित करने के लिए 802.1X का उपयोग करती हैं कि केवल अधिकृत उपयोगकर्ता और डिवाइस ही कॉर्पोरेट नेटवर्क से कनेक्ट हों। यह प्रति-उपयोगकर्ता एन्क्रिप्शन, प्रति-सत्र कुंजियाँ और प्रत्येक कनेक्शन इवेंट का एक पूर्ण ऑडिट ट्रेल प्रदान करता है।

RADIUS

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस (RFC 2865)। एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क एक्सेस के लिए केंद्रीकृत ऑथेंटिकेशन, ऑथराइजेशन और अकाउंटिंग (AAA) प्रबंधन प्रदान करता है।

एक्सेस पॉइंट प्रत्येक कनेक्शन अनुरोध को RADIUS सर्वर पर अग्रेषित करते हैं, जो यह तय करता है कि डिवाइस को प्रवेश देना है या नहीं और इसे कौन सा VLAN असाइन करना है। क्लाउड RADIUS ऑन-प्रिमाइसेस NPS या FreeRADIUS सर्वर को प्रतिस्थापित करता है।

EAP-TLS

एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल-ट्रांसपोर्ट लेयर सिक्योरिटी (RFC 5216)। एक 802.1X ऑथेंटिकेशन विधि जो पासवर्ड के बजाय पारस्परिक X.509 प्रमाणपत्र विनिमय का उपयोग करती है।

प्रबंधित डिवाइस बेड़े के लिए EAP-TLS गोल्ड स्टैंडर्ड है। यह फ़िशिंग-प्रतिरोधी है, इसके लिए किसी पासवर्ड हैश स्टोर की आवश्यकता नहीं होती है, और यह एकमात्र 802.1X विधि है जो CISA फ़िशिंग-प्रतिरोधी MFA मार्गदर्शन को संतुष्ट करती है।

PEAP-MSCHAPv2

प्रोटेक्टेड एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल विद माइक्रोसॉफ्ट चैलेंज हैंडशेक ऑथेंटिकेशन प्रोटोकॉल संस्करण 2। एक विरासत (legacy) 802.1X विधि जो Active Directory में संग्रहीत NTLM हैश के विरुद्ध पासवर्ड को सत्यापित करती है।

PEAP-MSCHAPv2 केवल-क्लाउड वातावरण में विफल हो जाता है क्योंकि Entra ID NTLM हैश संग्रहीत नहीं करता है। ऑन-प्रिमाइसेस AD से माइग्रेट करने वाले संगठनों को PEAP को EAP-TLS से बदलना होगा।

SCEP

सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल। MDM प्लेटफॉर्म द्वारा उपयोगकर्ता के हस्तक्षेप के बिना, उपकरणों पर स्वचालित रूप से डिजिटल प्रमाणपत्रों का अनुरोध करने और स्थापित करने के लिए उपयोग किया जाने वाला एक प्रोटोकॉल।

IT टीमें कर्मचारी उपकरणों पर चुपचाप WiFi प्रमाणपत्रों का प्रावधान करने के लिए Intune या Jamf के साथ SCEP का उपयोग करती हैं। SCEP क्लाउड-फर्स्ट परिनियोजन में ऑन-प्रिमाइसेस NDES (नेटवर्क डिवाइस एनरोलमेंट सर्विस) सर्वर को प्रतिस्थापित करता है।

SCIM

सिस्टम फॉर क्रॉस-डोमेन आइडेंटिटी मैनेजमेंट (RFC 7644)। एक खुला मानक जो IT प्रणालियों के बीच उपयोगकर्ता पहचान जानकारी के वास्तविक समय के आदान-प्रदान को स्वचालित करता है।

SCIM यह सुनिश्चित करता है कि जब किसी कर्मचारी को Entra ID या Okta में अक्षम किया जाता है, तो वह परिवर्तन तुरंत क्लाउड RADIUS सेवा में पुश हो जाता है, जिससे घंटों के बजाय सेकंडों में WiFi एक्सेस रद्द हो जाती है।

NPS

नेटवर्क पॉलिसी सर्वर। Microsoft का RADIUS कार्यान्वयन, आमतौर पर ऑन-प्रिमाइसेस Active Directory वातावरण के हिस्से के रूप में Windows Server पर चलाया जाता है।

क्लाउड-फर्स्ट संगठन Windows Server VMs, OS पैचिंग और ऑन-प्रिमाइसेस Active Directory पर निर्भरता को समाप्त करने के लिए NPS को सेवानिवृत्त कर रहे हैं। क्लाउड RADIUS इसका सीधा प्रतिस्थापन है।

RadSec

RADIUS over TLS (RFC 6614)। एक प्रोटोकॉल जो TLS का उपयोग करके RADIUS ऑथेंटिकेशन ट्रैफ़िक को एन्क्रिप्ट करता है, जो पारंपरिक RADIUS द्वारा उपयोग किए जाने वाले UDP-आधारित क्लियरटेक्स्ट ट्रांसपोर्ट को प्रतिस्थापित करता है।

क्लाउड RADIUS का उपयोग करते समय RadSec आवश्यक है, क्योंकि ऑथेंटिकेशन ट्रैफ़िक को एक्सेस पॉइंट और क्लाउड सेवा के बीच सार्वजनिक इंटरनेट से गुजरना होगा। Purple मूल रूप से RadSec का समर्थन करता है।

iPSK

इंडिविजुअल प्री-शेयर्ड की। WPA2-Personal का एक प्रकार जो सभी उपकरणों के लिए एकल साझा कुंजी के बजाय प्रत्येक डिवाइस को एक अद्वितीय प्री-शेयर्ड कुंजी असाइन करता है।

iPSK का उपयोग IoT उपकरणों, प्रिंटरों और अन्य हार्डवेयर के लिए किया जाता है जो 802.1X EAP-TLS का समर्थन नहीं कर सकते हैं। यह प्रमाणपत्र समर्थन की आवश्यकता के बिना प्रति-डिवाइस जवाबदेही और VLAN असाइनमेंट प्रदान करता है।

Dynamic VLAN

एक नेटवर्क सेगमेंटेशन तकनीक जहां RADIUS सर्वर Access-Accept प्रतिक्रिया में एक VLAN पहचानकर्ता लौटाता है, और एक्सेस पॉइंट डिवाइस को स्वचालित रूप से उस VLAN पर रख देता है।

डायनेमिक VLAN IT टीमों को मैन्युअल फ़ायरवॉल परिवर्तनों के बिना, आइडेंटिटी प्रोवाइडर समूह सदस्यता के आधार पर कर्मचारियों, ठेकेदारों, IoT उपकरणों और मेहमानों को अलग-अलग नेटवर्क सेगमेंट में विभाजित करने की अनुमति देते हैं।

हल किए गए उदाहरण

एक 400-साइट रिटेल चेन को सभी स्थानों पर स्टाफ WiFi को सुरक्षित करने की आवश्यकता है। वे Cisco Meraki एक्सेस पॉइंट्स चलाते हैं और डिवाइस प्रबंधन के लिए Intune के साथ Microsoft Entra ID का उपयोग करते हैं। वे वर्तमान में एक साझा WPA2-Personal PSK का उपयोग करते हैं क्योंकि उनके पास NPS चलाने के लिए कोई ऑन-प्रिमाइसेस Active Directory नहीं है। हाल ही में एक आंतरिक ऑडिट ने साझा PSK को PCI-DSS अनुपालन अंतर (compliance gap) के रूप में चिह्नित किया है।

यह चेन Purple के क्लाउड RADIUS को तैनात करती है। सबसे पहले, वे OAuth एडमिन सहमति के माध्यम से Purple को Entra ID से जोड़ते हैं और SCIM प्रोविज़निंग को कॉन्फ़िगर करते हैं। Intune में, वे Purple CA रूट के लिए एक विश्वसनीय प्रमाणपत्र प्रोफ़ाइल (Trusted Certificate Profile) और 'Staff-Retail' डिवाइस समूह तक सीमित एक SCEP प्रमाणपत्र प्रोफ़ाइल बनाते हैं। Intune चुपचाप सभी प्रबंधित पॉइंट-ऑफ-सेल टर्मिनलों और स्टाफ टैबलेट पर प्रमाणपत्रों को पुश करता है। Meraki डैशबोर्ड में, वे स्टाफ SSID को WPA2-Enterprise में अपडेट करते हैं, Purple क्लाउड RADIUS प्राथमिक और द्वितीयक एंडपॉइंट दर्ज करते हैं, और डायनेमिक VLAN असाइनमेंट सक्षम करते हैं। जब कोई डिवाइस कनेक्ट होता है, तो यह अपना Intune-जारी प्रमाणपत्र प्रस्तुत करता है, Purple इसे CA के विरुद्ध सत्यापित करता है और Entra ID समूह की जांच करता है, और डिवाइस को समूह सदस्यता के आधार पर VLAN 10 (स्टाफ नेटवर्क) या VLAN 20 (प्रबंधन नेटवर्क) पर रखा जाता है। साझा PSK को सेवानिवृत्त कर दिया जाता है। 400 साइटों पर रोलआउट में एक सप्ताहांत (weekend) लगता है, क्योंकि कोई ऑन-साइट हार्डवेयर तैनात नहीं किया जाता है - केवल Meraki में SSID कॉन्फ़िगरेशन परिवर्तन किए जाते हैं।

परीक्षक की टिप्पणी: यह दृष्टिकोण साझा PSK को समाप्त करता है, जिससे प्रति-डिवाइस जवाबदेही और प्रति-सत्र एन्क्रिप्शन कुंजियाँ मिलती हैं। प्रत्येक ऑथेंटिकेशन इवेंट को उपयोगकर्ता, डिवाइस, AP और SSID के साथ लॉग किया जाता है, जो ऑडिट लॉग के लिए PCI-DSS आवश्यकता 10.2 को पूरा करता है। Intune SCEP और क्लाउड RADIUS का लाभ उठाकर, यह चेन अपने 400 स्थानों में से किसी पर भी ऑन-प्रिमाइसेस सर्वर तैनात किए बिना 802.1X सुरक्षा प्राप्त करती है। इसका विकल्प - प्रत्येक साइट पर या हब-एंड-स्पोक टोपोलॉजी में NPS VMs को तैनात करना - के लिए हफ्तों के इन्फ्रास्ट्रक्चर कार्य और निरंतर पैचिंग की आवश्यकता होगी।

एक 15,000 छात्रों वाला विश्वविद्यालय Google Workspace का उपयोग अपने प्राथमिक आइडेंटिटी प्रोवाइडर के रूप में करता है। IT टीम MacBooks, Chromebooks और Android फोन के BYOD परिसर में कर्मचारियों और छात्रों के लिए सुरक्षित WiFi प्रदान करना चाहती है। उनके पास कोई ऑन-प्रिमाइसेस Active Directory नहीं है और सर्वर चलाने की कोई इच्छा नहीं है।

विश्वविद्यालय Purple के क्लाउड RADIUS को Google Workspace के साथ एकीकृत करता है। प्रबंधित Chromebooks के लिए, वे SCEP के माध्यम से WiFi प्रमाणपत्र प्रोफ़ाइल को पुश करने के लिए Google Admin का उपयोग करते हैं, जिससे प्रत्येक डिवाइस चुपचाप नामांकित हो जाता है। BYOD MacBooks और Android फोन के लिए, वे एक लाइटवेट ऑनबोर्डिंग एप्लिकेशन तैनात करते हैं जो उपयोगकर्ता को उनके Google क्रेडेंशियल के साथ प्रमाणित करता है और एक सिंगल टैप में डिवाइस पर प्रमाणपत्र स्थापित करता है। बाद के कनेक्शन चुपचाप EAP-TLS का उपयोग करते हैं। Purple Google Workspace संगठनात्मक इकाइयों (Organisational Units) को VLAN से मैप करता है: कर्मचारी VLAN 10 पर, छात्र VLAN 20 पर, और अतिथि आगंतुक एक कैप्टिव पोर्टल SSID पर आते हैं। जब कोई छात्र स्नातक होता है और उसका Google खाता निलंबित कर दिया जाता है, तो SCIM परिवर्तन को Purple पर पुश कर देता है और उनका WiFi एक्सेस कुछ ही मिनटों में रद्द कर दिया जाता है।

परीक्षक की टिप्पणी: यह समाधान Active Directory की आवश्यकता के बिना एक मिश्रित प्रबंधित और BYOD परिसर के लिए सुरक्षित 802.1X प्रदान करता है। ऑनबोर्डिंग एप्लिकेशन BYOD उपकरणों के लिए प्रमाणपत्र प्रोविज़निंग जटिलता को संभालता है, जिन्हें MDM के माध्यम से प्रबंधित नहीं किया जा सकता है। Google Workspace SCIM एकीकरण यह सुनिश्चित करता है कि WiFi परिसर बिना किसी मैन्युअल हस्तक्षेप के विश्वविद्यालय की निर्देशिका के साथ संरेखित रहे। यह पैटर्न University of Sheffield, University of Leeds, और University of the Arts London में उत्पादन में है, जो सभी Purple के ग्राहक हैं।

अभ्यास प्रश्न

Q1. आपका संगठन ऑन-प्रिमाइसेस Active Directory से Microsoft Entra ID पर पूरी तरह से माइग्रेट हो गया है। आपका वर्तमान स्टाफ WiFi पुराने डोमेन से जुड़े NPS सर्वर के विरुद्ध PEAP-MSCHAPv2 का उपयोग करता है। डोमेन कंट्रोलर को बंद करने के बाद, कर्मचारी रिपोर्ट करते हैं कि वे अब WiFi से कनेक्ट नहीं हो पा रहे हैं। इसका मूल कारण क्या है, और सही दीर्घकालिक समाधान क्या है?

संकेत: विचार करें कि PEAP-MSCHAPv2 को निर्देशिका (directory) से क्या आवश्यकता होती है, और क्या Entra ID इसे प्रदान करता है।

मॉडल उत्तर देखें

मूल कारण यह है कि PEAP-MSCHAPv2 के लिए RADIUS सर्वर को Active Directory में संग्रहीत NTLM हैश के विरुद्ध उपयोगकर्ता के पासवर्ड को सत्यापित करने की आवश्यकता होती है। डोमेन कंट्रोलर के बंद होने के साथ, NPS के पास सत्यापित करने के लिए कोई निर्देशिका नहीं है। Entra ID NTLM हैश संग्रहीत नहीं करता है, इसलिए NPS को Entra ID पर पुनर्निर्देशित नहीं किया जा सकता है। सही दीर्घकालिक समाधान NPS को क्लाउड RADIUS सेवा से बदलना, PEAP-MSCHAPv2 से EAP-TLS पर माइग्रेट करना और SCEP के माध्यम से डिवाइस प्रमाणपत्र जारी करने के लिए MDM (Intune) का उपयोग करना है। यह किसी भी ऑन-प्रिमाइसेस निर्देशिका पर निर्भरता को समाप्त करता है।

Q2. आप Jamf Pro द्वारा प्रबंधित कॉर्पोरेट MacBooks के 200-डिवाइस बेड़े के लिए क्लाउड RADIUS तैनात कर रहे हैं। आपका आइडेंटिटी प्रोवाइडर Okta है। इन उपकरणों के लिए WiFi क्रेडेंशियल प्रदान करने का सबसे सुरक्षित और परिचालन रूप से कुशल तरीका क्या है?

संकेत: एक ऐसी विधि की तलाश करें जिसमें उपयोगकर्ता के हस्तक्षेप की आवश्यकता न हो, पासवर्ड से बचा जा सके और आपके मौजूदा MDM के साथ एकीकृत हो।

मॉडल उत्तर देखें

MacBooks पर चुपचाप डिवाइस प्रमाणपत्रों को पुश करने के लिए SCEP का उपयोग करने के लिए Jamf Pro को कॉन्फ़िगर करें। अपने क्लाउड RADIUS प्रदाता द्वारा प्रबंधित CA की ओर इशारा करते हुए, Jamf कॉन्फ़िगरेशन प्रोफ़ाइल में एक SCEP पेलोड बनाएं। प्रोफ़ाइल को प्रासंगिक डिवाइस समूह तक सीमित करें। Jamf बिना किसी उपयोगकर्ता हस्तक्षेप के प्रत्येक MacBook पर स्वचालित रूप से प्रमाणपत्र पुश करेगा। SCEP-जारी प्रमाणपत्र के साथ EAP-TLS का उपयोग करने के लिए उसी कॉन्फ़िगरेशन प्रोफ़ाइल में WiFi प्रोफ़ाइल को कॉन्फ़िगर करें। यह सुनिश्चित करने के लिए कि जब Okta में किसी कर्मचारी को अक्षम किया जाता है, तो उनकी WiFi एक्सेस तुरंत रद्द कर दी जाए, क्लाउड RADIUS सेवा को SCIM के माध्यम से Okta से कनेक्ट करें।

Q3. एक कर्मचारी को सोमवार को सुबह 9 बजे नौकरी से निकाल दिया जाता है। HR द्वारा सुबह 9:05 बजे उनका Entra ID खाता अक्षम कर दिया जाता है। सुबह 9:30 बजे, एक सुरक्षा अलर्ट दिखाता है कि कर्मचारी का लैपटॉप अभी भी कार पार्क से कॉर्पोरेट WiFi से जुड़ा हुआ है। कौन सा कॉन्फ़िगरेशन गायब है, और आप इसे कैसे ठीक करते हैं?

संकेत: RADIUS सर्वर को कैसे पता चलता है कि आइडेंटिटी प्रोवाइडर में उपयोगकर्ता की स्थिति बदल गई है?

मॉडल उत्तर देखें

परिनियोजन SCIM प्रोविज़निंग के बजाय समय-समय पर होने वाले LDAP सिंक पर निर्भर है। खाता अक्षम होने के बाद से LDAP सिंक अभी तक नहीं चला है, इसलिए क्लाउड RADIUS सेवा अभी भी उपयोगकर्ता को सक्रिय मानती है। इसका समाधान Entra ID और क्लाउड RADIUS सेवा के बीच SCIM प्रोविज़निंग को सक्षम करना है। SCIM वास्तविक समय में उपयोगकर्ता की स्थिति में बदलाव को पुश करता है, इसलिए जब सुबह 9:05 बजे Entra ID में खाता अक्षम किया जाता है, तो RADIUS सेवा को तुरंत परिवर्तन प्राप्त हो जाता है। अगली बार जब डिवाइस फिर से प्रमाणित करने का प्रयास करता है (एक्सेस पॉइंट पर सत्र टाइमआउट द्वारा नियंत्रित), तो उसे Access-Reject प्राप्त होता है। एक्सेस पॉइंट पर एक संक्षिप्त सत्र टाइमआउट (15 से 30 मिनट) सेट करने से खाता अक्षम होने और नेटवर्क से बाहर निकालने के बीच की अधिकतम अवधि सीमित हो जाती है।

Q4. आपके स्थान पर 50 IoT डिवाइस हैं - डिजिटल साइनेज प्लेयर, पर्यावरण सेंसर और प्रिंटर - जो 802.1X EAP-TLS का समर्थन नहीं करते हैं। आप इन उपकरणों को अपने EAP-TLS स्टाफ नेटवर्क के समान WiFi इन्फ्रास्ट्रक्चर पर कैसे सुरक्षित करते हैं?

संकेत: विचार करें कि कौन सी ऑथेंटिकेशन विधि प्रमाणपत्र समर्थन की आवश्यकता के बिना प्रति-डिवाइस जवाबदेही प्रदान करती है।

मॉडल उत्तर देखें

IoT उपकरणों के लिए iPSK (व्यक्तिगत प्री-शेयर्ड कीज़) का उपयोग करें। क्लाउड RADIUS डैशबोर्ड में प्रत्येक डिवाइस को एक अद्वितीय प्री-शेयर्ड कुंजी असाइन करें, साथ ही एक VLAN असाइनमेंट भी दें। प्रत्येक डिवाइस अपनी अनूठी कुंजी के साथ प्रमाणित होता है, जिसे RADIUS सर्वर सत्यापित करता है और डिवाइस को IoT VLAN पर रखने के लिए उपयोग करता है, जो स्टाफ नेटवर्क से अलग होता है। यदि कोई डिवाइस प्रभावित (compromised) या बंद हो जाता है, तो आप किसी अन्य डिवाइस को प्रभावित किए बिना केवल उस डिवाइस की कुंजी को रद्द करते हैं। यह दृष्टिकोण IoT हार्डवेयर पर 802.1X सप्लीकेंट समर्थन की आवश्यकता के बिना प्रति-डिवाइस जवाबदेही और नेटवर्क सेगमेंटेशन प्रदान करता है।

इस श्रृंखला में आगे पढ़ें

तीनों पर शासन करने के लिए तीन SSIDs: अतिथि, Passpoint, और IoT WiFi सेटअप गाइड

यह तकनीकी गाइड एंटरप्राइज वेन्यू में तीन-SSID WiFi डिज़ाइन को लागू करने के लिए एक निश्चित ब्लूप्रिंट प्रदान करती है। इसमें पूर्ण VLAN सेगमेंटेशन और जीरो-ट्रस्ट नेटवर्क एक्सेस प्राप्त करने के लिए एक ओपन गेस्ट WiFi पोर्टल, ऑटोमेटेड Passpoint ऑनबोर्डिंग, और प्रति-डिवाइस xPSK ऑथेंटिकेशन के कॉन्फ़िगरेशन का विवरण दिया गया है।

कर्मचारी के नौकरी छोड़ने पर WiFi एक्सेस को कैसे निरस्त करें

यह गाइड विस्तार से बताती है कि कर्मचारी के जाने पर WiFi एक्सेस को कैसे निरस्त किया जाए, और असुरक्षित साझा पासवर्ड को प्रति-उपयोगकर्ता 802.1X सर्टिफिकेट या iPSK से कैसे बदला जाए। इसमें ISO 27001 और SOC 2 ऑडिट आवश्यकताओं को पूरा करने के लिए SCIM के माध्यम से स्वचालित डीप्रोविज़निंग को शामिल किया गया है।

Google Workspace WiFi प्रमाणीकरण: Chromebook और LDAP एकीकरण

Google Workspace परिवेशों में सुरक्षित WiFi परिनियोजित करने वाले IT प्रशासकों के लिए एक निश्चित तकनीकी संदर्भ। यह गाइड Google Admin Console के माध्यम से प्रबंधित Chromebooks पर 802.1X प्रमाणपत्र परिनियोजन, RADIUS बैकएंड के रूप में Google Secure LDAP एकीकरण, और शिक्षा, मीडिया और एंटरप्राइज़ स्थानों के लिए आर्केटेक्चर निर्णयों को कवर करती है। यह टीमों को संवेदनशील साझा PSKs से मजबूत, पहचान-आधारित नेटवर्क एक्सेस कंट्रोल की ओर बढ़ने में मदद करने के लिए व्यावहारिक कार्यान्वयन चरण, वास्तविक दुनिया के केस स्टडीज और EAP विधियों की प्रत्यक्ष तुलना प्रदान करती है।