Autenticazione WiFi Enterprise senza Active Directory o server on-premise

Questa guida spiega come implementare un'autenticazione WiFi WPA2/3-Enterprise sicura senza Active Directory on-premise, Windows NPS o server RADIUS. Copre la discrepanza di protocollo tra i provider di identità cloud e 802.1X, i vantaggi di EAP-TLS rispetto a PEAP-MSCHAPv2 e come implementare il RADIUS cloud con certificati emessi da MDM per Microsoft Entra ID, Okta o Google Workspace. Scritta per i responsabili IT di organizzazioni cloud-first e con un'alta presenza di Mac/Chromebook pronte a dismettere l'infrastruttura on-premise.

📖 9 minuti di lettura📝 2,219 parole🔧 2 esempi pratici❓ 4 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Ciao e benvenuti a questo briefing tecnico. Oggi affronteremo un problema architetturale molto specifico e comune: come gestire l'autenticazione WiFi aziendale quando si è passati al cloud e non si dispone più di un Active Directory on-premises o di un server Windows NPS.

Se siete IT manager, network architect o CTO in un'organizzazione cloud-first, vi sarete probabilmente scontrati con questo ostacolo. Avete migrato la vostra identità su Microsoft Entra ID, Okta o Google Workspace. Tutto è SaaS. Ma i vostri access point Cisco, Aruba o Meraki si aspettano ancora un server RADIUS. E storicamente, quel server RADIUS era un Windows Server che eseguiva Network Policy Server, o NPS, comunicando con un domain controller.

Quindi, come colmare questo divario senza avviare nuove macchine virtuali solo per il WiFi? Entriamo nei dettagli tecnici.

Il problema principale è una discrepanza di protocollo. Entra ID e Okta parlano protocolli web moderni: SAML, OIDC e OAuth2. I vostri access point parlano RADIUS. Microsoft non fornisce un endpoint RADIUS nativo per Entra ID. Non è possibile semplicemente puntare la dashboard Meraki verso Azure e aspettarsi che funzioni.

Storicamente, le organizzazioni utilizzavano PEAP-MSCHAPv2 per il WiFi. Gli utenti inserivano nome utente e password e il server RADIUS li verificava rispetto a un hash NTLM memorizzato in Active Directory. Ecco il punto critico di rottura: Microsoft Entra ID non memorizza gli hash NTLM. Quindi, anche se si posiziona un server RADIUS cloud davanti a Entra ID, questo non può convalidare una richiesta di password PEAP.

Per risolvere questo problema, è necessario cambiare il metodo di autenticazione. Bisogna passare a EAP-TLS.

EAP-TLS utilizza certificati digitali anziché password. Il dispositivo presenta un certificato X.509 al server RADIUS. Il server RADIUS verifica se tale certificato è stato firmato da una Certificate Authority attendibile. Poiché non sono coinvolte password, il server RADIUS non ha bisogno di un archivio di hash NTLM. Deve solo convalidare il certificato e verificare l'appartenenza dell'utente a un gruppo per assegnare la VLAN corretta.

È qui che si unisce la moderna architettura. Si utilizza un servizio RADIUS cloud - come Purple - che funge da server di autenticazione. Si utilizza la propria piattaforma di Mobile Device Management, come Microsoft Intune o Jamf, come meccanismo di distribuzione.

L'MDM utilizza un protocollo chiamato SCEP, il Simple Certificate Enrollment Protocol, per inviare in modo invisibile i certificati dei dispositivi ai laptop e telefoni gestiti. L'utente non deve fare nulla. Il dispositivo si connette al WiFi, presenta il certificato al cloud RADIUS di Purple, Purple lo convalida, controlla Entra ID o Okta per verificare il gruppo dell'utente e indica all'access point di inserirlo nella VLAN corretta.

Parliamo ora di raccomandazioni di implementazione e potenziali errori da evitare.

Il consiglio principale è quello di adottare il provisioning SCIM. Non affidatevi a sincronizzazioni periodiche della directory. Lo SCIM (System for Cross-domain Identity Management) garantisce che quando l'ufficio HR disabilita un dipendente in Entra ID, tale segnale venga inviato istantaneamente al RADIUS cloud. Il loro accesso WiFi si interrompe nello stesso secondo in cui si interrompe l'accesso alla posta elettronica. Si tratta di un miglioramento significativo della sicurezza.

Un errore comune riguarda la gestione del ciclo di vita dei certificati. Se emettete certificati che scadono in un anno, dovete assicurarvi che il vostro MDM sia configurato per rinnovarli automaticamente al decimo mese. Se un certificato scade, il dispositivo si disconnette dalla rete in modo silenzioso e riceverete un ticket di supporto.

Un altro errore comune è la configurazione del firewall. I vostri punti di accesso devono raggiungere gli endpoint del RADIUS cloud. Assicuratevi che le vostre regole in uscita consentano la porta UDP 1812 o, idealmente, la porta TCP 2083 se i vostri punti di accesso supportano RadSec, che crittografa il traffico RADIUS su Internet.

Facciamo una rapida sessione di domande e risposte basata sulle richieste più comuni che riceviamo.

Domanda uno: Posso autenticare il WiFi direttamente con Entra ID?
Risposta: No. Entra ID non supporta il protocollo RADIUS. È necessario un servizio RADIUS cloud nel mezzo.

Domanda due: Ho ancora bisogno di Windows NPS?
Risposta: No. Un servizio RADIUS cloud sostituisce completamente NPS. È possibile dismettere i server Windows.

Domanda tre: In che modo le aziende cloud-only proteggono il WiFi del personale?
Risposta: Utilizzando il proprio MDM per distribuire i certificati e autenticandosi tramite EAP-TLS con un provider RADIUS cloud.

Domanda quattro: Cosa succede all'accesso WiFi quando un dipendente si dimette o viene licenziato?
Risposta: Con il provisioning SCIM, il suo accesso viene revocato nel momento stesso in cui il suo account viene disabilitato nell'identity provider. Non è richiesto alcun intervento manuale.

In sintesi, spostare l'autenticazione WiFi sul cloud è il passo logico successivo dopo aver spostato l'identità sul cloud. Implementando il RADIUS cloud ed EAP-TLS, eliminate i server on-premise, rimuovete le password dall'equazione e collegate l'accesso alla rete direttamente all'identità cloud dell'utente. È più sicuro, più facile da gestire ed è altamente disponibile per impostazione predefinita.

Purple gestisce il RADIUS cloud in oltre 80.000 sedi a livello globale, con un uptime del 99,999% e integrazioni native con Microsoft Entra ID, Okta e Google Workspace. Potete essere operativi sui vostri punti di accesso Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist esistenti in meno di un'ora.

Grazie per aver seguito questo briefing tecnico. Per guide di implementazione più dettagliate e per assistere a una dimostrazione dal vivo, visitate purple dot ai.

Punti chiave

✓Microsoft Entra ID, Okta e Google Workspace non supportano il protocollo RADIUS. È necessario un servizio cloud RADIUS per colmare il divario tra gli access point e i provider di identità cloud.
✓PEAP-MSCHAPv2 non funziona in ambienti esclusivamente cloud perché i provider di identità cloud non memorizzano gli hash delle password NTLM richiesti da RADIUS per la convalida.
✓EAP-TLS sostituisce le password con certificati X.509 emessi da MDM, fornendo un'autenticazione resistente al phishing senza credenziali da sottrarre.
✓Le piattaforme MDM come Microsoft Intune e Jamf Pro distribuiscono i certificati in modo invisibile tramite SCEP, eliminando l'onboarding manuale e sostituendo la Certificate Authority on-premises.
✓Il provisioning SCIM garantisce che l'accesso WiFi venga revocato entro pochi secondi dalla disattivazione di un dipendente nel provider di identità, anziché ore dopo con una sincronizzazione LDAP.
✓Cloud RADIUS elimina la necessità di gestire server Windows NPS, azzerando l'applicazione di patch al sistema operativo, la progettazione dell'alta affidabilità e la dipendenza da Active Directory on-premises.
✓Purple gestisce il cloud RADIUS in oltre 80.000 sedi con un uptime del 99,999%, supportando gli access point Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

📚 Part of our core series: Sicurezza e autenticazione WiFi Enterprise: la guida completa →

Sintesi per l'executive

La maggior parte delle organizzazioni ha spostato la propria gestione delle identità nel cloud. Microsoft Entra ID, Okta e Google Workspace ora gestiscono utenti, gruppi e policy di accesso per e-mail, app SaaS e gestione dei dispositivi. Ma il WiFi aziendale non ha tenuto il passo. Gli access point si aspettano ancora un server RADIUS, e storicamente quel server RADIUS è stato Windows Network Policy Server (NPS) collegato a un domain controller Active Directory on-premises.

Questo disallineamento costringe i team IT a mantenere un'infrastruttura on-premises ridondante al solo scopo di mantenere attivo il WiFi. La soluzione è il cloud RADIUS: un servizio di autenticazione completamente gestito che comunica in RADIUS con i tuoi access point e in OAuth2, SCIM e SAML con il tuo identity provider cloud. Abbinandolo alla distribuzione dei certificati EAP-TLS tramite il tuo MDM, otterrai una distribuzione 802.1X completa senza server on-premises, senza patch del sistema operativo e con revoca immediata dell'accesso collegata direttamente alla tua directory cloud.

Purple gestisce il cloud RADIUS in oltre 80.000 sedi a livello globale, con un uptime del 99,999% (dati interni Purple, 2024) e integrazioni native con Microsoft Entra ID, Okta e Google Workspace. Puoi essere operativo sui tuoi access point esistenti Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet in meno di un'ora.

Approfondimento tecnico

Il disallineamento dei protocolli al centro del problema

La sfida fondamentale è che gli identity provider cloud e gli access point WiFi parlano lingue completamente diverse. Microsoft Entra ID (precedentemente Azure AD) autentica gli utenti tramite SAML, OIDC e OAuth2, ovvero i protocolli utilizzati dai browser e dalle app SaaS. Gli access point WiFi utilizzano RADIUS (Remote Authentication Dial-In User Service, RFC 2865), un protocollo basato su UDP progettato negli anni '90 per le connessioni dial-up e VPN. Microsoft non ha mai rilasciato un endpoint RADIUS nativo per Entra ID. Non è possibile puntare un access point Meraki o Aruba direttamente su Azure e aspettarsi che l'802.1X funzioni.

Questo è l'ostacolo contro cui si scontra ogni team IT cloud-first quando cerca di proteggere il WiFi del personale con WPA2-Enterprise o WPA3-Enterprise. Qualcosa deve colmare il divario tra l'access point e l'identity provider cloud. Quel qualcosa è il cloud RADIUS.

Perché PEAP-MSCHAPv2 fallisce senza Active Directory

Storicamente, le distribuzioni 802.1X si affidavano a PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versione 2). L'utente inseriva nome utente e password, l'access point inoltrava la richiesta al server RADIUS e il server RADIUS convalidava la password rispetto a un hash NTLM memorizzato in Active Directory.

Microsoft Entra ID non memorizza gli hash NTLM. Non si tratta di una lacuna di configurazione, ma di una scelta architetturale deliberata. Entra ID è un moderno provider di identità cloud, non un domain controller. Di conseguenza, un server RADIUS puntato su Entra ID non può convalidare una richiesta PEAP-MSCHAPv2. L'unico modo per far funzionare PEAP con Entra ID è distribuire Entra Domain Services, un Active Directory gestito a pagamento che si sincronizza da Entra ID, e poi eseguire NPS su di esso. Questo reintroduce la maggior parte di ciò che si cercava di eliminare: VM Windows Server, patch del sistema operativo, memorizzazione degli hash NTLM e gestione manuale dei certificati.

EAP-TLS: la risposta giusta per le organizzazioni cloud-first

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security, RFC 5216) sostituisce le password con certificati digitali X.509. Il dispositivo presenta un certificato al server RADIUS. Il server RADIUS convalida il certificato rispetto a un'Autorità di Certificazione (CA) fidata. Poiché non vi è alcuna password nello scambio, il server RADIUS non ha bisogno di un archivio di hash NTLM. Deve solo considerare attendibile la CA e verificare l'appartenenza al gruppo dell'utente nel provider di identità per applicare la VLAN e i criteri di accesso corretti.

EAP-TLS è resistente al phishing per progettazione. Non ci sono credenziali da rubare. Soddisfa le linee guida CISA sull'autenticazione a più fattori resistente al phishing e si allinea ai requisiti PCI DSS per l'autenticazione forte sulle reti che gestiscono i dati dei titolari di carta. È il metodo di autenticazione raccomandato da IEEE 802.1X per le flotte di dispositivi gestiti.

Architettura di autenticazione 802.1X cloud-first: i dispositivi si autenticano tramite EAP-TLS attraverso il cloud RADIUS di Purple, che convalida i certificati e applica criteri basati sui gruppi da Entra ID, Okta o Google Workspace.

Come l'MDM sostituisce la CA on-premises

In una distribuzione 802.1X tradizionale, i certificati venivano emessi da un'Autorità di Certificazione on-premises che eseguiva Active Directory Certificate Services (AD CS). In una distribuzione cloud-first, l'MDM assume questo ruolo utilizzando SCEP (Simple Certificate Enrollment Protocol). Microsoft Intune, Jamf Pro e altre piattaforme MDM possono richiedere certificati a una CA ospitata nel cloud e distribuirli in modo invisibile ai dispositivi gestiti.

Il flusso funziona come segue. L'amministratore IT crea un profilo di certificato SCEP nell'MDM, limitato ai gruppi di dispositivi che richiedono l'accesso WiFi. L'MDM distribuisce automaticamente il certificato ai dispositivi Windows, macOS, iOS, iPadOS, Android Enterprise e ChromeOS. L'utente non vede nulla. Il certificato è associato all'identità del dispositivo nell'MDM e si rinnova automaticamente prima della scadenza. Quando il dispositivo si connette al WiFi, presenta il certificato al server cloud RADIUS, che lo convalida rispetto alla CA e applica i criteri di rete corretti.

Per le organizzazioni che utilizzano Microsoft Intune, Microsoft Cloud PKI fornisce una CA completamente gestita che si integra direttamente con i profili SCEP di Intune, eliminando la necessità di un server NDES (Network Device Enrollment Service) on-premises. Per le flotte Mac e iOS gestite da Jamf, la CA integrata di Jamf o una CA cloud di terze parti svolge lo stesso scopo.

SCIM e revoca immediata dell'accesso

Uno degli aspetti operativamente più importanti di cloud RADIUS è il provisioning SCIM (System for Cross-domain Identity Management). SCIM è uno standard aperto che invia le modifiche di identità dalla sorgente di verità - il tuo provider di identità cloud - ai sistemi dipendenti in tempo reale. Quando un dipendente viene disabilitato in Entra ID o Okta, SCIM invia immediatamente tale modifica al servizio cloud RADIUS. Al successivo tentativo di autenticazione del dispositivo, il server RADIUS restituisce un Access-Reject. Con un timeout di sessione breve configurato sull'access point, il dispositivo viene rimosso dalla rete entro pochi minuti dalla disattivazione dell'account.

Questo rappresenta un miglioramento sostanziale della sicurezza rispetto alle reti PSK condivise, dove l'unico modo per revocare l'accesso è cambiare la password su ogni dispositivo, e rispetto alle distribuzioni RADIUS legacy che si affidano a sincronizzazioni LDAP periodiche con una finestra temporale di ore o giorni.

RadSec: proteggere il traffico RADIUS su Internet

Il RADIUS tradizionale utilizza UDP e fornisce solo un'autenticazione di base dei messaggi. Quando il server RADIUS si trova nello stesso data center degli access point, questo è accettabile. Quando il server RADIUS è un servizio cloud, il traffico di autenticazione attraversa l'Internet pubblica. RadSec (RADIUS su TLS, RFC 6614) crittografa lo scambio RADIUS utilizzando TLS, garantendo riservatezza e integrità al traffico di autenticazione. Purple supporta RadSec nativamente, con fallback IPsec per gli access point che non supportano ancora RadSec.

Guida all'implementazione

La distribuzione di cloud RADIUS con EAP-TLS richiede quattro passaggi coordinati. Un SSID pilota può essere attivo in meno di un'ora se Entra ID e un MDM sono già configurati.

Passaggio 1: Connettere cloud RADIUS al provider di identità

Connetti Purple al tuo provider di identità tramite il consenso amministratore OAuth2 (per Entra ID) o tramite token API (per Okta e Google Workspace). Questo autorizza Purple a leggere utenti, gruppi e appartenenze ai gruppi dalla directory. Configura il provisioning SCIM per inviare le modifiche dello stato dell'utente a Purple in tempo reale. Nessuna credenziale di entità servizio viene memorizzata su disco. Le modifiche ai gruppi si propagano al successivo evento di autenticazione, non in base a una pianificazione di sincronizzazione.

Passaggio 2: Configurare l'MDM e il profilo SCEP

In Microsoft Intune, crea un Profilo Certificato Attendibile per la CA root, quindi crea un profilo certificato SCEP che punti alla CA gestita da Purple. Associa entrambi i profili ai gruppi di dispositivi che richiedono l'accesso WiFi. Per Jamf, configura un payload SCEP in un profilo di configurazione. L'MDM distribuisce i certificati in modo invisibile. Verifica la consegna dei certificati nella dashboard di conformità dell'MDM prima di procedere.

Passaggio 3: Definire i criteri di rete nella dashboard cloud RADIUS

Crea criteri RADIUS che associno i gruppi dell'identity provider a VLAN e controlli di accesso specifici. Ad esempio, associa il gruppo Entra ID "Staff-Finance" alla VLAN 20 con accesso completo a Internet e associa "Staff-Contractors" alla VLAN 30 con un accesso limitato nel tempo che scade automaticamente. La dashboard di Purple applica questi criteri al momento dell'autenticazione, senza richiedere modifiche al firewall.

Passaggio 4: Aggiornare la configurazione degli access point

Aggiorna la configurazione dell'SSID sui tuoi access point per utilizzare WPA2-Enterprise o WPA3-Enterprise con 802.1X. Inserisci gli indirizzi IP o gli hostname degli endpoint primari e secondari del cloud RADIUS di Purple, insieme alla chiave segreta condivisa (shared secret). Configura gli access point per utilizzare l'assegnazione dinamica della VLAN in base agli attributi RADIUS restituiti da Purple. Esegui un test con un singolo SSID su un sottoinsieme di access point prima di estendere la configurazione a tutta l'infrastruttura.

Cloud RADIUS vs RADIUS on-premises: un confronto diretto tra tempi di implementazione, dipendenza da Active Directory, alta disponibilità, patch del sistema operativo, integrazione dell'identità e gestione del ciclo di vita dei certificati.

Best practice

Queste raccomandazioni riflettono gli standard IEEE 802.1X, i requisiti PCI DSS v4.0 e l'esperienza operativa maturata da Purple in oltre 80.000 sedi.

Imporre EAP-TLS per i dispositivi gestiti. Le password sono vulnerabili al phishing e al credential stuffing. I certificati forniscono una prova crittografica dell'identità e della conformità del dispositivo. EAP-TLS è l'unico metodo 802.1X intrinsecamente resistente al phishing.

Utilizzare SCIM per la revoca immediata. Le sincronizzazioni LDAP periodiche lasciano una finestra temporale in cui un dipendente licenziato conserva l'accesso alla rete. SCIM garantisce che l'accesso venga revocato nel momento stesso in cui l'account viene disabilitato nell'identity provider.

Implementare RADIUS multi-regione. Configura i tuoi access point con almeno due endpoint RADIUS in regioni geografiche diverse. Purple fornisce un failover multi-regione attivo-attivo per impostazione predefinita, che si completa in pochi secondi.

Segmentare il traffico con VLAN dinamiche. Utilizza l'appartenenza ai gruppi dell'identity provider per assegnare dinamicamente gli utenti a VLAN specifiche. In questo modo si isola il traffico sensibile e si limita la portata dei danni di un dispositivo compromesso senza richiedere modifiche manuali al firewall.

Abilitare RadSec. Se i tuoi access point supportano RadSec, abilitalo per crittografare il traffico di autenticazione tra l'access point e il server cloud RADIUS. Questo è particolarmente importante per le filiali e le sedi in cui l'access point si trova su un segmento di rete non attendibile.

Monitorare il ciclo di vita dei certificati. Imposta il rinnovo automatico MDM all'80% della durata del certificato. Per un certificato di un anno, il rinnovo inizia al decimo mese. Configura avvisi per i dispositivi che non riescono a effettuare il rinnovo prima della scadenza del certificato. Per una trattazione più ampia degli standard e dei framework di sicurezza WiFi aziendali, consulta la nostra Enterprise WiFi Security: A Complete Guide for 2026 .

Risoluzione dei problemi e mitigazione dei rischi

La transizione a un sistema RADIUS in cloud introduce nuove dipendenze. Preparati a gestire questi scenari di errore comuni prima che abbiano un impatto sulla produzione.

Scadenza dei certificati. Se il certificato di un dispositivo scade prima che l'MDM lo rinnovi, l'autenticazione del dispositivo fallisce in modo silenzioso. L'utente visualizza un errore di connessione senza alcuna spiegazione. Mitiga questo rischio configurando il rinnovo automatico dell'MDM all'80% della durata del certificato e monitorando la dashboard di conformità dell'MDM per individuare i dispositivi con certificati in scadenza.

Errori di sincronizzazione MDM. Un dispositivo che non rispetta più i requisiti di conformità dell'MDM o che non riesce a effettuare il check-in potrebbe non ricevere il certificato rinnovato. Implementa criteri di conformità che segnalino i dispositivi non integri e avvisino gli amministratori prima della scadenza del certificato.

Blocco del traffico RADIUS da parte del firewall. Gli access point devono poter raggiungere gli endpoint RADIUS in cloud sulla porta UDP 1812 (autenticazione) e sulla porta UDP 1813 (accounting), oppure sulla porta TCP 2083 per RadSec. Le regole dei firewall in uscita presso le filiali bloccano frequentemente queste porte. Verifica la raggiungibilità dalla VLAN di gestione degli access point prima della distribuzione.

Errori di provisioning SCIM. Se la connessione SCIM tra l'identity provider e Purple viene interrotta, le modifiche allo stato dell'utente non verranno propagate. Monitora lo stato di sincronizzazione SCIM sia nell'identity provider che nella dashboard di Purple. Configura gli avvisi per gli errori di sincronizzazione.

Dispositivi legacy senza supporto per i certificati. I dispositivi IoT, le stampanti e l'hardware più datato potrebbero non supportare EAP-TLS. Per questi dispositivi, utilizza iPSK (chiavi pre-condivise individuali) anziché una PSK condivisa. Purple supporta iPSK in modo nativo, assegnando una chiave univoca per dispositivo e inserendo ciascun dispositivo nella VLAN corretta senza richiedere il supporto del supplicant 802.1X.

ROI e impatto aziendale

La migrazione da un RADIUS on-premises a un RADIUS in cloud offre un valore misurabile in termini di infrastruttura, operazioni e sicurezza.

Dimensione	NPS on-premises	Cloud RADIUS (Purple)
Costo dell'infrastruttura	Licenze Windows Server, calcolo VM, storage	Abbonamento per AP, nessun hardware server
Tempo di implementazione	Da giorni a settimane	Meno di un'ora
Alta affidabilità	Manuale: due server più replica	Attivo-attivo multi-regione, predefinito
Patching del sistema operativo	Mensile, a carico del tuo team	Gestito dal fornitore
Ticket di assistenza WiFi	Elevati: reimpostazione password, onboarding manuale	Ridotti dell'80% (dati dei clienti Purple)
Revoca dell'accesso	Da ore a giorni tramite sincronizzazione LDAP	Pochi secondi tramite SCIM

I team IT che utilizzano la soluzione Staff WiFi di Purple registrano in genere una riduzione dell'80% dei ticket di supporto relativi al WiFi (dati interni Purple, 2024), grazie all'eliminazione del ripristino delle password e dell'onboarding manuale dei dispositivi. L'autenticazione basata su certificati soddisfa inoltre il requisito PCI DSS 8.3 per l'autenticazione forte e il controllo ISO 27001 A.9.4 per il controllo degli accessi a sistemi e applicazioni, riducendo il carico di audit sul team di sicurezza.

Per le organizzazioni nei settori del retail e dell' hospitality , la possibilità di gestire lo Staff WiFi e il Guest WiFi da un'unica dashboard cloud - con un livello di identità unificato - riduce la complessità operativa in tutte le sedi. Per gli operatori del settore trasporti e i fornitori di servizi sanitari , la funzionalità di revoca istantanea e il registro di controllo completo soddisfano i requisiti normativi senza la necessità di strumenti aggiuntivi.

Il livello di WiFi Analytics di Purple aggiunge dati sull'occupazione e sul lavoro ibrido all'infrastruttura di autenticazione, trasformando lo Staff WiFi da un centro di costo a una fonte di intelligenza operativa.

Letture correlate: Enterprise WiFi Security: A Complete Guide for 2026 - OpenWrt Custom Firmware Integration with Purple WiFi

Definizioni chiave

802.1X

Uno standard IEEE (IEEE 802.1X-2020) per il controllo dell'accesso alla rete basato su porte. Richiede che i dispositivi si autentichino prima che l'access point conceda l'accesso alla rete, utilizzando uno scambio EAP mediato da un server RADIUS.

I team IT utilizzano l'802.1X per garantire che solo gli utenti e i dispositivi autorizzati si connettano alla rete aziendale. Fornisce crittografia per singolo utente, chiavi per singola sessione e un audit trail completo di ogni evento di connessione.

RADIUS

Remote Authentication Dial-In User Service (RFC 2865). Un protocollo di rete che fornisce una gestione centralizzata di Authentication, Authorization, and Accounting (AAA) per l'accesso alla rete.

Gli access point inoltrano ogni richiesta di connessione al server RADIUS, che decide se ammettere il dispositivo e a quale VLAN assegnarlo. Cloud RADIUS sostituisce i server NPS o FreeRADIUS on-premises.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security (RFC 5216). Un metodo di autenticazione 802.1X che utilizza uno scambio reciproco di certificati X.509 al posto delle password.

EAP-TLS rappresenta il gold standard per le flotte di dispositivi gestiti. È resistente al phishing, non richiede un archivio di hash delle password ed è l'unico metodo 802.1X che soddisfa le linee guida CISA per l'MFA resistente al phishing.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versione 2. Un metodo legacy 802.1X che convalida le password confrontandole con gli hash NTLM memorizzati in Active Directory.

PEAP-MSCHAPv2 non funziona in ambienti esclusivamente cloud perché Entra ID non memorizza gli hash NTLM. Le organizzazioni che migrano da AD on-premises devono sostituire PEAP con EAP-TLS.

SCEP

Simple Certificate Enrollment Protocol. Un protocollo utilizzato dalle piattaforme MDM per richiedere e installare automaticamente certificati digitali sui dispositivi, senza alcuna interazione da parte dell'utente.

I team IT utilizzano SCEP con Intune o Jamf per distribuire in modo silenzioso i certificati WiFi ai dispositivi dei dipendenti. SCEP sostituisce il server NDES (Network Device Enrollment Service) on-premises nelle distribuzioni cloud-first.

SCIM

System for Cross-domain Identity Management (RFC 7644). Uno standard aperto che automatizza lo scambio in tempo reale di informazioni sull'identità degli utenti tra i sistemi IT.

SCIM garantisce che quando un dipendente viene disabilitato in Entra ID o Okta, tale modifica venga inviata immediatamente al servizio cloud RADIUS, revocando l'accesso WiFi nel giro di pochi secondi anziché di ore.

NPS

Network Policy Server. L'implementazione RADIUS di Microsoft, solitamente eseguita su Windows Server come parte di un ambiente Active Directory on-premises.

Le organizzazioni cloud-first stanno dismettendo NPS per eliminare le VM Windows Server, l'applicazione delle patch del sistema operativo e la dipendenza da Active Directory on-premises. Cloud RADIUS è il sostituto diretto.

RadSec

RADIUS over TLS (RFC 6614). Un protocollo che crittografa il traffico di autenticazione RADIUS utilizzando TLS, sostituendo il trasporto in chiaro basato su UDP utilizzato dal RADIUS tradizionale.

RadSec è essenziale quando si utilizza il cloud RADIUS, poiché il traffico di autenticazione deve attraversare l'internet pubblica tra l'access point e il servizio cloud. Purple supporta RadSec nativamente.

iPSK

Individual Pre-Shared Key. Una variante di WPA2-Personal che assegna una chiave precondivisa univoca a ciascun dispositivo, anziché un'unica chiave condivisa per tutti i dispositivi.

L'iPSK viene utilizzato per i dispositivi IoT, le stampanti e altri componenti hardware che non supportano l'802.1X EAP-TLS. Fornisce tracciabilità per singolo dispositivo e assegnazione della VLAN senza richiedere il supporto dei certificati.

Dynamic VLAN

Una tecnica di segmentazione della rete in cui il server RADIUS restituisce un identificatore VLAN nella risposta Access-Accept e l'access point inserisce automaticamente il dispositivo in quella VLAN.

Le VLAN dinamiche consentono ai team IT di segmentare il personale, i collaboratori esterni, i dispositivi IoT e gli ospiti in segmenti di rete separati in base all'appartenenza ai gruppi dell'identity provider, senza modifiche manuali al firewall.

Esempi pratici

Una catena di vendita al dettaglio con 400 punti vendita deve proteggere il WiFi del personale in tutte le sedi. Utilizza access point Cisco Meraki e Microsoft Entra ID con Intune per la gestione dei dispositivi. Attualmente utilizza una chiave PSK WPA2-Personal condivisa perché non dispone di un Active Directory on-premises per eseguire NPS. Un recente audit interno ha segnalato la PSK condivisa come una lacuna di conformità PCI DSS.

La catena implementa il cloud RADIUS di Purple. Innanzitutto, collega Purple a Entra ID tramite il consenso amministratore OAuth e configura il provisioning SCIM. In Intune, crea un Profilo certificato attendibile per la CA root di Purple e un profilo certificato SCEP associato al gruppo di dispositivi "Staff-Retail". Intune distribuisce silenziosamente i certificati a tutti i terminali POS gestiti e ai tablet del personale. Nella dashboard Meraki, aggiorna l'SSID del personale a WPA2-Enterprise, inserisce gli endpoint primario e secondario del cloud RADIUS di Purple e abilita l'assegnazione dinamica della VLAN. Quando un dispositivo si connette, presenta il certificato emesso da Intune, Purple lo convalida rispetto alla CA e controlla il gruppo Entra ID, e il dispositivo viene inserito nella VLAN 10 (rete del personale) o nella VLAN 20 (rete di gestione) in base all'appartenenza al gruppo. La PSK condivisa viene dismessa. Il roll-out su 400 siti richiede un solo fine settimana, poiché non viene distribuito alcun hardware in loco, ma solo modifiche alla configurazione dell'SSID in Meraki.

Commento dell'esaminatore: Questo approccio elimina la PSK condivisa, fornendo responsabilità per singolo dispositivo e chiavi di crittografia per singola sessione. Ogni evento di autenticazione viene registrato con utente, dispositivo, AP e SSID, soddisfacendo il requisito PCI DSS 10.2 per i registri di controllo. Sfruttando Intune SCEP e il cloud RADIUS, la catena ottiene la sicurezza 802.1X senza distribuire server on-premises in nessuna delle sue 400 sedi. L'alternativa, ovvero la distribuzione di VM NPS in ogni sito o in una topologia hub-and-spoke, richiederebbe settimane di lavoro sull'infrastruttura e patch continue.

Un'università con 15.000 studenti utilizza Google Workspace come provider di identità principale. Il team IT desidera fornire un WiFi sicuro per il personale e gli studenti su un parco dispositivi BYOD composto da MacBook, Chromebook e telefoni Android. Non hanno un Active Directory on-premises e non hanno intenzione di gestire server.

L'università integra il cloud RADIUS di Purple con Google Workspace. Per i Chromebook gestiti, utilizza Google Admin per distribuire un profilo di certificato WiFi tramite SCEP, registrando silenziosamente ogni dispositivo. Per i MacBook e i telefoni Android BYOD, distribuisce un'applicazione di onboarding leggera che autentica l'utente con le sue credenziali Google e installa un certificato sul dispositivo con un solo tocco. Le connessioni successive utilizzano EAP-TLS in modo silenzioso. Purple mappa le unità organizzative di Google Workspace sulle VLAN: il personale atterra sulla VLAN 10, gli studenti sulla VLAN 20 e i visitatori ospiti su un SSID con Captive Portal. Quando uno studente si laurea e il suo account Google viene sospeso, SCIM invia la modifica a Purple e il suo accesso WiFi viene revocato nel giro di pochi minuti.

Commento dell'esaminatore: Questa soluzione fornisce un accesso 802.1X sicuro per un parco dispositivi misto, gestito e BYOD, senza richiedere Active Directory. L'applicazione di onboarding gestisce la complessità del provisioning dei certificati per i dispositivi BYOD, che non possono essere gestiti tramite MDM. L'integrazione SCIM di Google Workspace garantisce che l'infrastruttura WiFi rimanga allineata con la directory dell'università senza interventi manuali. Questo modello è in produzione presso l'Università di Sheffield, l'Università di Leeds e l'University of the Arts London, tutti clienti Purple.

Domande di esercitazione

Q1. La tua organizzazione è migrata completamente da Active Directory on-premises a Microsoft Entra ID. La tua attuale WiFi per il personale utilizza PEAP-MSCHAPv2 tramite un server NPS associato al vecchio dominio. Dopo la disattivazione del controller di dominio, il personale segnala di non riuscire più a connettersi alla WiFi. Qual è la causa principale e quale la corretta soluzione a lungo termine?

Suggerimento: Considera ciò che PEAP-MSCHAPv2 richiede alla directory e se Entra ID lo fornisce.

Visualizza risposta modello

La causa principale è che PEAP-MSCHAPv2 richiede al server RADIUS di convalidare la password dell'utente rispetto a un hash NTLM memorizzato in Active Directory. Con il controller di dominio disattivato, NPS non ha una directory con cui effettuare la convalida. Entra ID non memorizza gli hash NTLM, quindi NPS non può essere reindirizzato a Entra ID. La soluzione corretta a lungo termine consiste nel sostituire NPS con un servizio cloud RADIUS, migrare da PEAP-MSCHAPv2 a EAP-TLS e utilizzare l'MDM (Intune) per emettere certificati di dispositivo tramite SCEP. Questo elimina la dipendenza da qualsiasi directory on-premises.

Q2. Stai distribuendo il cloud RADIUS per una flotta di 200 MacBook aziendali gestiti da Jamf Pro. Il tuo identity provider è Okta. Qual è il modo più sicuro ed efficiente dal punto di vista operativo per fornire le credenziali WiFi a questi dispositivi?

Suggerimento: Cerca un metodo che non richieda alcuna interazione da parte dell'utente, eviti le password e si integri con il tuo MDM esistente.

Visualizza risposta modello

Configura Jamf Pro per utilizzare SCEP per inviare in modo invisibile i certificati di dispositivo ai MacBook. Crea un payload SCEP in un profilo di configurazione Jamf, puntando alla CA gestita dal tuo provider cloud RADIUS. Associa il profilo al gruppo di dispositivi pertinente. Jamf invierà automaticamente il certificato a ciascun MacBook, senza alcuna interazione da parte dell'utente. Configura il profilo WiFi nello stesso profilo di configurazione per utilizzare EAP-TLS con il certificato emesso tramite SCEP. Connetti il servizio cloud RADIUS a Okta tramite SCIM per garantire che, quando un dipendente viene disattivato in Okta, il suo accesso alla WiFi venga revocato immediatamente.

Q3. Un dipendente viene licenziato alle 9:00 di lunedì. Il suo account Entra ID viene disattivato dalle Risorse Umane alle 9:05. Alle 9:30, un avviso di sicurezza mostra che il laptop del dipendente è ancora connesso alla WiFi aziendale dal parcheggio. Quale configurazione manca e come si risolve il problema?

Suggerimento: In che modo il server RADIUS viene a conoscenza del fatto che lo stato dell'utente è cambiato nell'identity provider?

Visualizza risposta modello

La distribuzione si affida a sincronizzazioni LDAP periodiche anziché al provisioning SCIM. La sincronizzazione LDAP non è ancora stata eseguita da quando l'account è stato disattivato, quindi il servizio cloud RADIUS considera l'utente ancora attivo. La soluzione consiste nell'abilitare il provisioning SCIM tra Entra ID e il servizio cloud RADIUS. SCIM invia le modifiche dello stato dell'utente in tempo reale, quindi quando l'account viene disattivato in Entra ID alle 9:05, il servizio RADIUS riceve immediatamente la modifica. Al successivo tentativo di riautenticazione del dispositivo (controllato dal timeout di sessione sull'access point), questo riceverà un Access-Reject. L'impostazione di un timeout di sessione breve (da 15 a 30 minuti) sull'access point limita la finestra temporale massima tra la disattivazione dell'account e l'espulsione dalla rete.

Q4. La tua sede ha 50 dispositivi IoT (lettori di segnaletica digitale, sensori ambientali e stampanti) che non supportano 802.1X EAP-TLS. Come puoi proteggere questi dispositivi sulla stessa infrastruttura WiFi della rete del personale EAP-TLS?

Suggerimento: Considera quale metodo di autenticazione fornisce una responsabilità per singolo dispositivo senza richiedere il supporto dei certificati.

Visualizza risposta modello

Utilizza iPSK (chiavi pre-condivise individuali) per i dispositivi IoT. Assegna una chiave pre-condivisa univoca a ciascun dispositivo nella dashboard del cloud RADIUS, insieme a un'assegnazione VLAN. Ciascun dispositivo si autentica con la sua chiave univoca, che il server RADIUS convalida e utilizza per collocare il dispositivo nella VLAN IoT, isolata dalla rete del personale. Se un dispositivo viene compromesso o disattivato, revochi solo la chiave di quel dispositivo senza influire su nessun altro. Questo approccio garantisce la responsabilità per singolo dispositivo e la segmentazione della rete senza richiedere il supporto del supplicant 802.1X sull'hardware IoT.

Continua a leggere questa serie

Tre SSID per domarli tutti: guida alla configurazione del WiFi per ospiti, personale e IoT

Questa guida tecnica autorevole fornisce un piano d'azione passo-passo per implementare un'architettura WiFi a tre SSID. Spiega come segmentare il traffico di ospiti, personale e IoT utilizzando Captive Portals, 802.1X RADIUS e PSK per singolo dispositivo (xPSK) per ottimizzare le prestazioni e garantire la conformità PCI DSS.

Come revocare l'accesso WiFi quando un dipendente lascia l'azienda

Questa guida spiega in dettaglio come revocare l'accesso WiFi quando un dipendente lascia l'azienda, sostituendo le password condivise non sicure con certificati 802.1X per singolo utente o iPSK. Copre il deprovisioning automatizzato tramite SCIM per soddisfare i requisiti di audit ISO 27001 e SOC 2.

Autenticazione WiFi Google Workspace: integrazione Chromebook e LDAP

Un riferimento tecnico definitivo per gli amministratori IT che distribuiscono WiFi sicuro in ambienti Google Workspace. Questa guida copre la distribuzione dei certificati 802.1X sui Chromebook gestiti tramite Google Admin Console, l'integrazione di Google Secure LDAP come backend RADIUS e le decisioni di architettura per ambienti didattici, media e aziendali. Fornisce passaggi di implementazione pratici, casi di studio reali e un confronto diretto dei metodi EAP per aiutare i team a passare da chiavi PSK condivise vulnerabili a un controllo degli accessi di rete robusto e basato sull'identità.