Vai al contenuto principale

Come configurare Microsoft Entra ID (Azure AD) per l'autenticazione WiFi

Questa guida autorevole descrive in dettaglio l'architettura, i passaggi di implementazione e l'impatto aziendale dell'integrazione di Microsoft Entra ID con 802.1X per l'autenticazione WiFi aziendale. Fornisce ad architetti di rete e IT manager strategie di implementazione pratiche, sostituendo le PSK legacy con un accesso alla rete zero-trust basato su certificati.

📖 4 minuti di lettura📝 945 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
[INTRO - 1 MIN] Host: Benvenuti al Purple Enterprise Network Briefing. Sono il vostro ospite e oggi affronteremo un aggiornamento infrastrutturale critico che è in cima ai pensieri di CTO e network architect: la migrazione dell'autenticazione WiFi aziendale a Azure Entra ID - precedentemente noto come Azure AD. Se gestite una catena alberghiera, uno stadio o un'ampia implementazione nel settore pubblico, conoscete bene il mal di testa causato dai server RADIUS on-premise legacy e dalle PSK condivise. Oggi parleremo di zero-trust network access, in particolare di come implementare l'autenticazione basata su certificati 802.1X utilizzando Azure Entra ID. Niente fronzoli, solo la realtà tecnica di questa implementazione. [TECHNICAL DEEP-DIVE - 5 MIN] Host: Entriamo subito nell'architettura. I giorni del WPA2-Personal con una password condivisa su un post-it sono finiti. In un'azienda moderna, che si tratti di proteggere le operazioni di back-office in un ambiente retail o le reti del personale in un ospedale, è necessario un accesso basato sull'identità. Quando parliamo di Azure Entra ID per il WiFi, parliamo fondamentalmente di EAP-TLS. Si tratta dell'Extensible Authentication Protocol con Transport Layer Security. È lo standard di riferimento. Perché? Perché si basa sui certificati, non sulle password. Le password possono essere soggette a phishing, condivise o violate tramite forza bruta. I certificati associati a un dispositivo gestito tramite Intune, invece, no. Quindi, come fluisce il traffico? Un dispositivo aziendale - ad esempio un laptop gestito - tenta di connettersi all'SSID aziendale. L'Access Point Wireless, che funge da autenticatore, blocca l'accesso e trasmette le credenziali tramite RADIUS al server di autenticazione. Ora, Azure Entra ID non supporta nativamente il protocollo RADIUS. Questo è il ponte architetturale critico. È necessario un provider cloud RADIUS o un Network Policy Server (NPS) on-premise con l'estensione Azure MFA. Il dispositivo presenta il proprio certificato client. Il server RADIUS convalida tale certificato rispetto alla Certification Authority - spesso gestita tramite SCEP in Intune. Se il certificato è valido, il server RADIUS interroga Azure Entra ID per verificare che l'account utente sia attivo, non disabilitato e conforme alle policy di accesso condizionale. Solo a quel punto il server RADIUS invia un messaggio di Access-Accept all'AP, inserendo l'utente nella VLAN corretta. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Host: Ora, dove falliscono le implementazioni? Vedo tre errori comuni. Primo: la disponibilità della Certificate Revocation List (CRL). Se il server RADIUS non riesce a raggiungere la CRL, l'autenticazione fallisce. Assicuratevi che i vostri endpoint CRL siano altamente disponibili e accessibili dall'infrastruttura RADIUS. Secondo: la configurazione del supplicant. Non lasciate questo compito all'utente finale. Utilizzate il vostro MDM - Microsoft Intune, Workspace ONE o qualunque cosa utilizziate - per distribuire il profilo WiFi. Il profilo deve definire esplicitamente la CA radice attendibile e specificare che il client deve connettersi solo ai nomi specifici del vostro server RADIUS. Se non lo fate, sarete vulnerabili agli attacchi di tipo Evil Twin. Terzo: Dispositivi legacy. I dispositivi IoT, i terminali point-of-sale o i vecchi scanner di codici a barre in un magazzino spesso non supportano il protocollo 802.1X o EAP-TLS. Per questi dispositivi è necessario pianificare una strategia MAC Authentication Bypass (MAB) o una rete dedicata con chiave pre-condivisa e un rigido isolamento di rete. Non scendete a compromessi sul vostro SSID aziendale principale per una stampante legacy. [D&R A FUOCO RAPIDO - 1 MIN] Presentatore: Rispondiamo ad alcune rapide domande che ci arrivano dai network architect. Domanda uno: Possiamo usare PEAP-MSCHAPv2 con Azure Entra ID? Risposta: Sì, tramite NPS, ma Microsoft sta attivamente deprecando l'autenticazione basata su credenziali. Passate a EAP-TLS. È più sicuro e offre un'esperienza utente migliore. Domanda due: Come si integra tutto questo con il guest WiFi di Purple? Risposta: Teneteli separati. La vostra rete aziendale utilizza il protocollo 802.1X legato a Azure Entra ID. La vostra rete ospiti utilizza un SSID aperto con un Captive Portal gestito da Purple per l'analisi dei dati, l'accettazione dei termini e l'acquisizione di dati di marketing. Potete anche utilizzare l'autenticazione basata sul profilo di Purple per visite di ritorno fluide dei vostri ospiti, mantenendo il traffico completamente isolato dai vostri dati aziendali. [RIASSUNTO E PROSSIMI PASSI - 1 MIN] Presentatore: Per riassumere: il passaggio a Azure Entra ID per l'autenticazione WiFi è un passo fondamentale verso un'architettura zero-trust. Elimina i ticket di helpdesk per la rotazione delle password, riduce il furto di credenziali e garantisce che solo i dispositivi conformi e gestiti accedano alla vostra rete interna. Il vostro prossimo passo? Eseguite un audit della vostra attuale infrastruttura RADIUS. Se utilizzate un NPS legacy on-premise, valutate soluzioni cloud RADIUS che si integrano direttamente con Azure Entra ID e Intune. Pianificate la vostra strategia di distribuzione dei certificati. Grazie per aver partecipato a questo briefing tecnico. Proteggete le vostre reti e alla prossima volta.

header_image.png

Sintesi per l'executive

Per i CTO e gli architetti di rete che gestiscono ambienti complessi - dai grandi spazi del settore hospitality alle dinamiche aree del retail - la sicurezza della rete aziendale non è più una semplice questione di password robuste. Le chiavi pre-condivise (PSK) tradizionali e la convalida delle credenziali di base sono fondamentalmente incompatibili con la moderna architettura zero-trust.

Questa guida illustra dettagliatamente il passaggio all'autenticazione WiFi basata su certificati 802.1X integrata direttamente con Azure Entra ID (precedentemente Azure AD). Passando all'EAP-TLS (Extensible Authentication Protocol con Transport Layer Security), le aziende possono eliminare i rischi associati al furto di credenziali, automatizzare la registrazione dei dispositivi tramite Mobile Device Management (MDM) e garantire che solo i dispositivi conformi e gestiti possano accedere alle VLAN aziendali sensibili. Esamineremo l'architettura tecnica, le fasi di implementazione e il modo in care questa postura di sicurezza aziendale operi in parallelo con le strategie per le reti ospiti gestite da piattaforme come Purple.

Approfondimento tecnico

Il passaggio dalle credenziali ai certificati digitali

Storicamente, il WiFi aziendale si basava su PEAP-MSCHAPv2, che richiede agli utenti di inserire le proprie credenziali di dominio. Tuttavia, a causa della sua vulnerabilità agli attacchi adversary-in-the-middle (AiTM), Microsoft sta attivamente deprecando l'autenticazione basata su credenziali. L'attuale standard di settore è EAP-TLS, che utilizza la convalida reciproca dei certificati.

In un'implementazione EAP-TLS, sia il server RADIUS sia il dispositivo client presentano certificati digitali. Se un dispositivo non dispone di un certificato valido rilasciato dalla propria Autorità di Certificazione (CA) attendibile, il server RADIUS rifiuta la connessione prima ancora che il dispositivo ottenga un indirizzo IP.

architecture_overview.png

Il ponte architetturale: RADIUS e Entra ID

Azure Entra ID è un provider di identità cloud (IdP) che utilizza protocolli moderni come SAML e OIDC; non supporta nativamente il protocollo RADIUS utilizzato dagli access point wireless (WAP). Per colmare questo divario, gli architetti di rete devono implementare un server RADIUS in grado di comunicare con Entra ID. Questo obiettivo viene solitamente raggiunto attraverso:

  1. Soluzioni Cloud RADIUS: Piattaforme create appositamente (come SecureW2, SCEPman o Portnox) che si integrano direttamente con Entra ID e Intune tramite API.
  2. Network Policy Server (NPS) on-premises: Utilizzando l'estensione Azure MFA, sebbene questo sia sempre più considerato un approccio legacy rispetto al RADIUS nativo del cloud.

eap_comparison_chart.png

Guida all'implementazione

La distribuzione di Azure Entra ID per l'autenticazione WiFi richiede il coordinamento tra i team addetti all'identità, alla gestione dei dispositivi e all'infrastruttura di rete.

Passaggio 1: Definire l'infrastruttura a chiave pubblica (PKI)

È necessario stabilire una CA per emettere certificati client e server. Negli ambienti cloud-first, si tratta tipicamente di una PKI cloud integrata con Microsoft Intune tramite il protocollo SCEP.

Passaggio 2: Configurare il server RADIUS

Distribuisci la tua infrastruttura RADIUS e associala al tuo tenant Entra ID. Il server RADIUS ha bisogno del proprio certificato server - considerato attendibile dai dispositivi client - per dimostrare la propria identità durante l'handshake EAP.

Passaggio 3: Distribuire i profili MDM tramite Intune

Non affidarti agli utenti per configurare manualmente le proprie impostazioni WiFi. Utilizza Intune per distribuire un profilo WiFi completo contenente:

  • Il certificato CA radice attendibile.
  • Il profilo SCEP utilizzato per richiedere il certificato client.
  • La configurazione WiFi stessa, definendo esplicitamente l'SSID e i nomi server esatti dell'infrastruttura RADIUS per prevenire attacchi di tipo Evil Twin.

Passaggio 4: Configurare il Wireless LAN Controller (WLC)

Configura i tuoi access point o il tuo WLC per utilizzare WPA2/WPA3-Enterprise (802.1X). Indirizza il traffico di autenticazione e accounting verso i nuovi indirizzi IP del server RADIUS e imposta il segreto RADIUS condiviso.

> "Quando si configura 802.1X, assicurarsi che i valori di timeout RADIUS sul WLC siano sufficienti per la latenza della convalida dei certificati cloud, solitamente aumentandoli da 2 a 5 secondi." [1]

Best Practice

  • Isolare il traffico aziendale e quello ospiti: I dispositivi aziendali dovrebbero utilizzare 802.1X associato a Entra ID. I dispositivi degli ospiti dovrebbero utilizzare un SSID aperto con un captive portal. Per un accesso ospiti e analisi efficaci, sfrutta una soluzione Guest WiFi . Ciò garantisce il completo isolamento del traffico non attendibile.
  • Implementare il MAC Authentication Bypass (MAB) con cautela: I dispositivi IoT e l'hardware legacy - come i vecchi scanner negli hub di trasporto - spesso non supportano 802.1X. Posiziona questi dispositivi su un SSID separato utilizzando MAB o una PSK dedicata e limita il loro accesso alla rete con ACL rigorose.
  • Dare priorità alla revoca dei certificati: Assicurati che i tuoi endpoint CRL o OCSP siano altamente disponibili. Se il server RADIUS non riesce a verificare lo stato di revoca, l'autenticazione fallirà.

Risoluzione dei problemi e mitigazione dei rischi

Quando le distribuzioni falliscono, la colpa è raramente dell'IdP cloud. I problemi più comuni includono:

  • Disallineamento dell'orologio: Il protocollo EAP-TLS è estremamente sensibile al fattore tempo. Assicurati che tutti i componenti dell'infrastruttura - in particolare i WLC e i server RADIUS - siano sincronizzati tramite NTP.
  • Latenza di sincronizzazione di Intune: Durante la registrazione di nuovi dispositivi, può verificarsi un ritardo tra l'emissione del certificato SCEP e il tentativo di connessione del dispositivo. Tieni conto di questa latenza durante la fase di onboarding.- Mancata corrispondenza del nome del server RADIUS: se il nome del server definito nel profilo WiFi di Intune non corrisponde esattamente al Common Name (CN) o al Subject Alternative Name (SAN) presente sul certificato del server RADIUS, i client si disconnetteranno silenziosamente per proteggersi da AP dannosi.

Per un'analisi più approfondita sulla sicurezza della tua infrastruttura, consulta la nostra guida su come proteggere la tua rete con un DNS robusto e la sicurezza .

ROI e impatto aziendale

Il passaggio all'autenticazione WiFi di Azure Entra ID offre vantaggi significativi:

  1. Riduzione dei costi di helpdesk: l'eliminazione dell'autenticazione basata su password riduce drasticamente i ticket di supporto relativi al blocco delle password e al rinnovo delle credenziali WiFi.
  2. Conformità accelerata: EAP-TLS fornisce la prova crittografica dell'identità richiesta da framework come PCI-DSS e ISO 27001, il che è essenziale negli ambienti sanitari e retail.
  3. Offboarding automatizzato: quando un dipendente lascia l'azienda, la disattivazione del suo account in Entra ID revoca istantaneamente il suo accesso alla rete in tutte le sedi, riducendo le minacce interne.

Proteggendo la rete aziendale principale, i team IT possono concentrarsi su iniziative che generano ricavi, come l'utilizzo di WiFi Analytics per comprendere il comportamento dei visitatori e promuovere il coinvolgimento.


Riferimenti

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Definizioni chiave

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte, che richiede ai dispositivi di autenticarsi prima di accedere alla LAN o alla WLAN.

Questo è il protocollo alla base della sicurezza del WiFi aziendale, che va oltre le semplici password condivise.

EAP-TLS

Extensible Authentication Protocol con Transport Layer Security. Un metodo di autenticazione che richiede certificati digitali sia sul client che sul server.

Considerato il metodo più sicuro per l'autenticazione WiFi, previene il furto di credenziali e gli attacchi AiTM.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce servizi centralizzati di autenticazione, autorizzazione e tracciamento (AAA).

Il protocollo utilizzato dagli Access Point per chiedere al server di autenticazione: "Devo consentire a questo dispositivo di accedere alla rete?"

SCEP

Simple Certificate Enrollment Protocol. Un protocollo utilizzato per emettere certificati in modo sicuro per i dispositivi di rete.

Utilizzato dalle piattaforme MDM come Intune per richiedere e installare silenziosamente i certificati client su laptop e telefoni aziendali.

MAC Authentication Bypass (MAB)

Un metodo per concedere l'accesso alla rete basato sull'indirizzo MAC del dispositivo anziché su un nome utente o un certificato.

Utilizzato come alternativa per i dispositivi legacy (come vecchie stampanti o sensori IoT) che non dispongono del software per eseguire un handshake 802.1X.

Attacco Evil Twin

Un access point canaglia che si maschera da SSID aziendale legittimo per intercettare il traffico o rubare le credenziali.

EAP-TLS mitiga questo rischio perché il dispositivo client è configurato per considerare attendibile solo lo specifico certificato del server RADIUS aziendale legittimo.

Supplicant

Il client software sul dispositivo endpoint (ad esempio, il gestore WiFi di Windows) che gestisce il processo di autenticazione 802.1X.

I team IT devono configurare il supplicant tramite MDM per garantire che si comporti in modo sicuro e non richieda agli utenti di accettare certificati server non attendibili.

Conditional Access

Criteri di Azure Entra ID che valutano i segnali (utente, posizione, conformità del dispositivo) per prendere decisioni di accesso.

Le moderne soluzioni Cloud RADIUS possono verificare il Conditional Access durante l'handshake WiFi, negando l'accesso alla rete se Intune segnala il dispositivo come non conforme.

Esempi pratici

Una catena retail con 500 punti vendita deve proteggere gli iPad di servizio utilizzati per la gestione dell'inventario. Attualmente utilizzano una singola PSK condivisa in tutti i negozi. Come dovrebbero migrare all'autenticazione Microsoft Entra ID?

  1. Registrare tutti gli iPad in Microsoft Intune.
  2. Distribuire una soluzione Cloud RADIUS integrata con il tenant Entra ID aziendale.
  3. Configurare Intune per distribuire un certificato SCEP su ciascun iPad.
  4. Inviare un profilo WiFi tramite Intune che configuri gli iPad per connettersi all'SSID "Corporate-BOH" utilizzando EAP-TLS, convalidando il certificato del server Cloud RADIUS.
  5. Aggiornare gli access point Meraki/Aruba in tutti i 500 negozi affinché puntino agli indirizzi IP del Cloud RADIUS per l'SSID "Corporate-BOH".
  6. Rollout graduale: abilitare il nuovo SSID, verificare la connettività degli iPad tramite i report di Intune, quindi dismettere l'SSID PSK legacy.
Commento dell'esaminatore: Questo approccio elimina la PSK condivisa, che rappresenta un enorme rischio di sicurezza in caso di furto del dispositivo. Utilizzando EAP-TLS e Intune, l'autenticazione è legata allo stato di gestione del dispositivo. Se un iPad viene smarrito, il team IT si limita a revocare il certificato o a inizializzare il dispositivo in Intune, interrompendo istantaneamente l'accesso alla rete senza influire sugli altri 499 negozi.

Un campus universitario sta migrando da Active Directory on-prem a Microsoft Entra ID. Hanno migliaia di laptop di studenti BYOD (Bring Your Own Device) che attualmente si connettono utilizzando PEAP-MSCHAPv2 (nome utente e password). Come gestiscono il BYOD in un ambiente Entra ID cloud-first?

  1. Distribuire un portale di onboarding (ad esempio, SecureW2 JoinNow o uno strumento di onboarding BYOD simile).
  2. Gli studenti si connettono a un SSID "Onboarding" aperto, che li reindirizza al portale.
  3. Il portale richiede allo studente di autenticarsi con Microsoft Entra ID (utilizzando l'e-mail universitaria e l'MFA).
  4. A seguito dell'avvenuta autenticazione, il portale genera un certificato client unico e configura automaticamente il dispositivo dello studente per EAP-TLS.
  5. Il dispositivo si connette automaticamente all'SSID sicuro "Edu-Secure" utilizzando il nuovo certificato.
Commento dell'esaminatore: La gestione dei certificati per i dispositivi BYOD non gestiti è la parte più complessa di 802.1X. Non è possibile utilizzare Intune perché l'università non possiede i laptop. L'utilizzo di un portale di onboarding colma questo divario, consentendo l'uso del protocollo sicuro EAP-TLS senza richiedere all'IT di intervenire manualmente su migliaia di laptop degli studenti.

Domande di esercitazione

Q1. La tua organizzazione sta migrando a Azure Entra ID e Intune. Attualmente utilizzi PEAP-MSCHAPv2 per il WiFi. Il team di sicurezza richiede che l'autenticazione WiFi sia resistente al furto di credenziali. Quale metodo EAP dovresti distribuire?

Suggerimento: Quale metodo si basa interamente sui certificati anziché sulle password?

Visualizza risposta modello

Dovresti distribuire EAP-TLS. EAP-TLS utilizza l'autenticazione a certificato reciproco, il che significa che il dispositivo client deve presentare un certificato valido emesso dalla tua PKI. Poiché non utilizza password, è altamente resistente al furto di credenziali e agli attacchi adversary - in - the - middle.

Q2. Dopo aver distribuito EAP-TLS tramite Intune, gli utenti segnalano che non riescono a connettersi al WiFi. Esaminando i log RADIUS, visualizzi il messaggio 'Controllo di revoca del certificato non riuscito'. Qual è la causa più probabile?

Suggerimento: Con quale infrastruttura deve comunicare il server RADIUS per verificare che un certificato non sia stato compromesso?

Visualizza risposta modello

Il server RADIUS non è in grado di raggiungere l'endpoint della Certificate Revocation List (CRL) o OCSP della tua autorità di certificazione. Assicurati che i firewall consentano al server RADIUS l'accesso in uscita agli URL HTTP specificati nei certificati client.

Q3. Un ospedale deve connettere alla rete 50 cardiofrequenzimetri legacy. Questi dispositivi supportano solo WPA2-Personal (Pre-Shared Key) e non possono essere registrati in Intune. Come dovresti proteggerli mantenendo la distribuzione di Entra ID 802.1X per i laptop aziendali?

Suggerimento: Non mischiare tipi di autenticazione sullo stesso SSID.

Visualizza risposta modello

Crea un SSID dedicato e separato specificamente per i dispositivi IoT medici. Utilizza una Pre-Shared Key forte e univoca (o Identity PSK/iPSK se supportata dal tuo fornitore di rete) o il MAC Authentication Bypass (MAB). Aspetto fondamentale, inserisci questo SSID in una VLAN altamente limitata con Access Control List (ACL) rigide che consentano ai monitor solo di comunicare con il loro server medico specifico, bloccando ogni altro accesso laterale alla rete.

Continua a leggere questa serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.

Leggi la guida →

Passpoint and OpenRoaming: Complete Guide

Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.

Leggi la guida →

Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore

Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.

Leggi la guida →