Autenticazione WiFi con Azure AD ed Entra ID: Guida all'Integrazione e alla Configurazione

Sintesi Esecutiva

Per le aziende moderne che investono massicciamente nell'ecosistema Microsoft, collegare l'infrastruttura di identità cloud con le reti wireless fisiche è un imperativo di sicurezza fondamentale. Storicamente, l'autenticazione WiFi si basava su Active Directory Domain Services (AD DS) on-premise e Windows Network Policy Server (NPS). Tuttavia, con la migrazione delle organizzazioni a Microsoft Entra ID (precedentemente Azure AD) e l'adozione di modelli di sicurezza zero-trust, l'approccio tradizionale di autenticazione basato su credenziali — PEAP-MSCHAPv2 — non è più sufficiente o sicuro.

Questa guida fornisce a IT manager, architetti di rete e direttori operativi delle sedi una roadmap pratica per implementare l'autenticazione Azure AD WiFi. Esploriamo le differenze architetturali tra il mantenimento di un'impronta NPS on-premise e la migrazione a una soluzione RADIUS cloud-native. In particolare, dettagliamo come sfruttare Microsoft Intune per l'autenticazione basata su certificati (EAP-TLS), che elimina le vulnerabilità legate alle password e offre un'esperienza fluida e senza attriti per gli utenti finali. Che si tratti di gestire un hotel da 500 camere, una catena di negozi o un'ampia implementazione nel settore pubblico, questa guida aiuterà a proteggere il perimetro wireless utilizzando gli investimenti esistenti nelle identità Microsoft. Per una discussione più ampia sui modelli di implementazione, consultare la nostra Guida decisionale per i team IT: Cloud RADIUS vs RADIUS On-Premise .

Approfondimento Tecnico: Architettura e Standard

La base di un WiFi aziendale sicuro è lo standard IEEE 802.1X, che fornisce il controllo dell'accesso alla rete basato su porte. In un ambiente incentrato su Microsoft, l'integrazione di 802.1X con Entra ID richiede un'attenta pianificazione architetturale su tre livelli: l'infrastruttura wireless, il server di autenticazione e la directory delle identità.

Il Ruolo di RADIUS e 802.1X

Quando un dispositivo client (il supplicant) tenta di connettersi a una rete WPA2/WPA3-Enterprise, l'Access Point Wireless (l'authenticator) blocca tutto il traffico ad eccezione dei pacchetti EAP (Extensible Authentication Protocol). L'access point inoltra questi pacchetti a un server RADIUS. Il server RADIUS convalida l'identità dell'utente o del dispositivo tramite un servizio di directory e restituisce un messaggio di Access-Accept o Access-Reject. Questo modello a tre parti — supplicant, authenticator, server di autenticazione — è la pietra miliare della sicurezza wireless aziendale ed è descritto in dettaglio nella nostra Wireless Access Points Definition: Your Ultimate 2026 Guide .

Approcci Architetturali per Ambienti Microsoft

Esistono due architetture principali per integrare l'identità Microsoft con l'autenticazione WiFi, ciascuna con specifici compromessi:

Ibrida On-Premise (Windows NPS + AD DS + Azure AD Connect): Questo è l'approccio tradizionale. Windows NPS funge da server RADIUS, autenticando le richieste a fronte di un Active Directory on-premise. Per collegare questo sistema al cloud, Azure AD Connect sincronizza le identità on-premise con Entra ID. Sebbene robusto, questo approccio richiede la manutenzione dell'infrastruttura server on-premise, la gestione dell'alta affidabilità e l'implementazione di una PKI complessa (ADCS) se si implementa EAP-TLS.

Cloud-Native (Cloud RADIUS + Entra ID + Intune): Questo approccio moderno elimina la necessità di server NPS on-premise. Un provider Cloud RADIUS di terze parti si integra direttamente con Entra ID tramite l'API Microsoft Graph. L'autenticazione avviene interamente nel cloud. Questa architettura si allinea con una strategia cloud-first, riducendo significativamente i costi operativi e allineandosi ai principi di accesso alla rete zero-trust.

EAP-TLS vs. PEAP-MSCHAPv2: La Scelta Cruciale

La scelta del metodo EAP è la decisione di sicurezza più importante in questa implementazione. PEAP-MSCHAPv2 si basa sull'inserimento delle credenziali di dominio da parte degli utenti. Questo metodo è vulnerabile al furto di credenziali, agli attacchi man-in-the-middle e crea una pessima esperienza utente alla scadenza delle password. La ricerca ha costantemente dimostrato che PEAP-MSCHAPv2 può essere compromesso tramite attacchi con rogue access point.

EAP-TLS (Transport Layer Security) è il gold standard del settore per il WiFi sicuro. Utilizza certificati digitali installati sul dispositivo client per l'autenticazione reciproca: sia il client che il server dimostrano la propria identità. Non ci sono password da digitare e la connessione è crittograficamente forte. In un ambiente Microsoft, i certificati vengono solitamente distribuiti utilizzando Microsoft Intune tramite SCEP (Simple Certificate Enrollment Protocol) o PKCS. Questo è il percorso consigliato per tutte le nuove implementazioni ed è essenziale per la conformità ai requisiti PCI DSS (Requisito 8) e agli obblighi di protezione dei dati del GDPR.

Guida all'implementazione: Distribuzione passo dopo passo

L'implementazione dell'autenticazione Entra ID WiFi tramite EAP-TLS e Intune richiede il coordinamento di diversi componenti tra identità, gestione dei dispositivi e infrastruttura di rete. Per una distribuzione cloud-native si consiglia il seguente approccio in cinque fasi.

Fase 1: Preparare l'infrastruttura di gestione delle identità e dei dispositivi

Inizia verificando che il tuo tenant Entra ID disponga delle licenze appropriate. Microsoft 365 E3/E5 o Enterprise Mobility + Security (EMS) E3/E5 include le funzionalità di gestione dei dispositivi Intune e di accesso condizionale richieste per questa implementazione. Senza Intune, la distribuzione automatizzata dei certificati non è possibile.

Successivamente, stabilisci la tua Public Key Infrastructure (PKI). Hai tre opzioni: una PKI cloud-native fornita dal tuo fornitore Cloud RADIUS, la Cloud PKI di Microsoft (disponibile con la licenza Intune Suite) o una distribuzione ADCS on-premise esistente collegata a Intune tramite il Microsoft Intune Certificate Connector. Per le nuove distribuzioni, si consiglia vivamente una PKI cloud-native per evitare dipendenze on-premise.

Fase 2: Configurare Intune per la distribuzione dei certificati

Nel centro amministrativo di Microsoft Intune, crea un profilo di configurazione Trusted Certificate. Carica il certificato della Root CA della tua PKI e distribuiscilo ai gruppi di dispositivi di destinazione. Questo passaggio è fondamentale: garantisce che i dispositivi client considerino attendibile il certificato presentato dal server RADIUS durante l'handshake TLS, prevenendo attacchi man-in-the-middle.

Successivamente, crea un profilo SCEP Certificate (o PKCS se la tua PKI lo richiede). Configura il formato del Subject Name: per l'autenticazione basata sull'utente, usa CN={{UserPrincipalName}}; per l'autenticazione basata sul dispositivo, usa CN={{DeviceName}} o il numero di serie del dispositivo. Imposta il Subject Alternative Name (SAN) per includere lo User Principal Name o l'ID del dispositivo. Assegna entrambi i profili ai gruppi di utenti o dispositivi Entra ID appropriati.

Fase 3: Configurare l'integrazione con Cloud RADIUS

Assegna al tuo provider Cloud RADIUS le autorizzazioni necessarie per Microsoft Graph API all'interno del tuo tenant Entra ID. Come minimo, il provider richiede User.Read.All e GroupMember.Read.All per convalidare l'appartenenza ai gruppi durante l'autenticazione. Alcuni provider richiedono anche Device.Read.All per le policy basate sui dispositivi.

All'interno del portale di gestione di Cloud RADIUS, definisci le tue policy di autenticazione. Una policy ben strutturata per un ambiente aziendale potrebbe essere: "Consenti l'accesso se il certificato è emesso da [CA attendibile] E l'utente è membro del gruppo Entra ID [Corporate-WiFi-Users] E il dispositivo è contrassegnato come Conforme in Intune." Questa policy a più livelli applica simultaneamente la verifica dell'identità e dello stato di integrità del dispositivo.

Fase 4: Configurare l'infrastruttura wireless

Nel controller LAN wireless o nella dashboard di gestione cloud (come Cisco Meraki, Aruba Central o Juniper Mist), aggiungi gli indirizzi IP del server Cloud RADIUS e i segreti condivisi come server di autenticazione RADIUS. Configura i server primario e secondario per garantire la ridondanza. Imposta il timeout RADIUS a un minimo di 5 secondi per gestire la latenza dei tempi di andata e ritorno del cloud.

Crea un nuovo SSID configurato per WPA2-Enterprise o WPA3-Enterprise. Assegna i server RADIUS a questo SSID. Per le implementazioni nel settore Hospitality , assicurati che questo SSID aziendale si trovi su una VLAN separata rispetto a qualsiasi rete guest. Per gli ambienti Retail , valuta l'opportunità di distribuire l'SSID aziendale solo nelle aree del retrobottega, mantenendo separata la rete dell'area vendita.

Fase 5: Distribuire il profilo WiFi tramite Intune

Crea un profilo di configurazione WiFi in Intune. Imposta l'SSID in modo che corrisponda esattamente a quello configurato sull'infrastruttura wireless. Seleziona WPA2-Enterprise o WPA3-Enterprise come tipo di sicurezza. Nelle impostazioni EAP, seleziona EAP-TLS come metodo di autenticazione. Collega il profilo del certificato SCEP come certificato client e specifica il profilo della CA radice attendibile distribuito nella Fase 2.

Assegna questo profilo WiFi agli stessi gruppi di dispositivi che hanno ricevuto i profili dei certificati. I dispositivi riceveranno in modo invisibile il certificato e la configurazione WiFi durante la successiva sincronizzazione con Intune e si connetteranno automaticamente quando si troveranno nel raggio di copertura dell'SSID, senza richiedere alcuna interazione da parte dell'utente.

Best Practice per ambienti Enterprise

Le seguenti raccomandazioni rappresentano il consenso del settore per implementazioni Microsoft 802.1X sicure e scalabili all'interno di strutture aziendali.

Rendi obbligatorio l'uso di EAP-TLS in tutte le nuove distribuzioni. Non distribuire nuove reti utilizzando PEAP-MSCHAPv2. I rischi di sicurezza del WiFi basato su credenziali sono ampiamente documentati e incompatibili con un approccio di sicurezza zero-trust. EAP-TLS è essenziale per la conformità agli standard PCI DSS, GDPR e ISO 27001.

Automate the certificate lifecycle. Ensure that when a user is disabled in Entra ID or a device is retired in Intune, the corresponding certificate is automatically revoked or the RADIUS policy immediately blocks access. This is particularly important in high-turnover environments such as Hospitality and Retail , where staff changes are frequent.

Implement Entra ID Conditional Access. Leverage Conditional Access policies to enforce device compliance as a condition of network access. Requiring devices to be marked 'Compliant' in Intune before they can authenticate to RADIUS ensures that only patched, policy-compliant devices access the corporate network.

Segment corporate and guest networks rigorously. 802.1X is designed for managed corporate devices. For visitors, contractors, and BYOD, implement a dedicated Guest WiFi solution with a Captive Portal. This can integrate with Entra ID B2B for contractor access, or use social logins and SMS verification for general public access. Never allow unmanaged devices onto the corporate 802.1X SSID.

Plan for legacy and IoT devices. Printers, IoT sensors, and legacy devices that cannot support certificates require a separate strategy. Use MAC Authentication Bypass (MAB) for known devices, or a dedicated WPA2-Personal SSID with a complex, rotated PSK, isolated on a dedicated VLAN. Purple's Sensors platform, for example, can operate on a dedicated IoT VLAN separate from the corporate authentication infrastructure.

Monitor authentication events. Integrate RADIUS logs with your SIEM or use the WiFi Analytics platform to monitor authentication failures, certificate expiry warnings, and unusual access patterns. Proactive monitoring prevents outages before they impact operations.

Troubleshooting & Risk Mitigation

Even well-planned deployments encounter issues. The following are the most common failure modes and their resolutions.

Certificate Deployment Failures. The most common issue in an EAP-TLS deployment is devices failing to receive certificates from Intune. This is typically caused by a misconfigured Intune Certificate Connector (if using on-premise ADCS), incorrect SCEP URL, or devices not syncing with Intune. Always verify the Certificate Connector status in the Intune admin center and check the device sync logs. Ensure the SCEP service account has the necessary permissions on the CA.

RADIUS Timeout Issues. If the access point cannot reach the RADIUS server within the configured timeout, clients will fail to connect. Ensure your firewall rules allow UDP ports 1812 (authentication) and 1813 (accounting) outbound to the Cloud RADIUS provider's IP ranges. If using on-premise NPS, deploy a minimum of two NPS servers and configure your access points to failover between them.

Errori di attendibilità del certificato. Se i client ricevono un errore di "certificato del server non attendibile", significa che il profilo della CA radice attendibile non è stato distribuito correttamente sul dispositivo. Verificare l'assegnazione del profilo in Intune e controllare l'archivio certificati del dispositivo. Si tratta di un problema comune con i dispositivi appena registrati che non hanno ancora completato la loro prima sincronizzazione con Intune.

Estensione NPS per Azure MFA. Sebbene sia tecnicamente possibile utilizzare l'estensione NPS per imporre l'autenticazione a più fattori per il WiFi, questa soluzione è fortemente sconsigliata per l'accesso primario. L'esperienza utente che prevede la ricezione di una richiesta MFA ogni volta che un dispositivo si sposta tra i punti di accesso è estremamente fastidiosa. È preferibile affidarsi alla solida autenticazione fornita dal certificato del dispositivo e imporre l'MFA a livello di applicazione.

Conflitti di Criteri di gruppo. Negli ambienti ibridi, gli oggetti Criteri di gruppo (GPO) che configurano il client wireless Windows potrebbero entrare in conflitto con i profili WiFi di Intune. Assicurarsi che i profili di Intune abbiano la precedenza esaminando le impostazioni di registrazione MDM e, se necessario, bloccando la configurazione wireless basata su GPO per i dispositivi gestiti da Intune.

ROI e impatto aziendale

La migrazione a un'architettura RADIUS cloud-native integrata con Entra ID offre un valore misurabile e quantificabile sotto diversi aspetti.

Riduzione dei ticket di assistenza. I problemi relativi al WiFi legati alle password (blocchi, password scadute, supplicant configurati in modo errato) rappresentano una fonte significativa di ticket di supporto IT negli ambienti basati su credenziali. EAP-TLS elimina completamente questi inconvenienti. Le organizzazioni registrano in genere una riduzione del 30-50% del volume di ticket di assistenza relativi al WiFi a seguito della migrazione all'autenticazione basata su certificati.

Risparmio sui costi di infrastruttura. La dismissione dei server NPS on-premise riduce i costi di calcolo, le tariffe di licenza del sistema operativo e i costi operativi di patching e manutenzione dei cluster ad alta disponibilità. Per un'organizzazione di medie dimensioni che gestisce due server NPS, ciò può tradursi in un risparmio di £15.000–£30.000 all'anno in costi infrastrutturali e operativi.

Miglioramento della sicurezza e della conformità. L'abbandono dell'autenticazione basata su credenziali riduce il rischio di furto delle credenziali e di movimento laterale, proteggendo i dati aziendali sensibili. Per le organizzazioni soggette a PCI DSS, questo risponde direttamente ai requisiti di controllo dell'accesso alla rete. Per le organizzazioni del settore Sanitario che gestiscono i dati dei pazienti, supporta la conformità DSPT. Per gli operatori dei Trasporti , si allinea ai requisiti della Direttiva NIS2 per la sicurezza delle reti.

Migliore esperienza utente. Una connessione WiFi automatica e fluida, senza richieste di password, senza blocchi e senza configurazioni manuali, migliora la produttività e riduce gli ostacoli per il personale. Questo ha un impatto particolarmente significativo in ambienti ad alta mobilità come i centri di distribuzione, i reparti ospedalieri e i punti vendita al dettaglio. Trattando la tua rete WiFi come un'estensione della tua strategia di identità cloud, garantisci un accesso sicuro e senza attriti che cresce con la tua organizzazione. Per ulteriori indicazioni sugli aspetti di integrazione SD-WAN delle moderne reti aziendali, consulta The Core SD-WAN Benefits for Modern Businesses . Per considerazioni di implementazione specifiche per il settore dell'ospitalità, fai riferimento a Modern Hospitality WiFi Solutions Your Guests Deserve .