Come configurare Microsoft Entra ID (Azure AD) per l'autenticazione WiFi
Questa guida autorevole descrive in dettaglio l'architettura, i passaggi di implementazione e l'impatto aziendale dell'integrazione di Microsoft Entra ID con 802.1X per l'autenticazione WiFi aziendale. Fornisce ad architetti di rete e IT manager strategie di implementazione pratiche, sostituendo le PSK legacy con un accesso alla rete zero-trust basato su certificati.
Ascolta questa guida
Visualizza trascrizione del podcast
- Sintesi per l'executive
- Approfondimento tecnico
- Il passaggio dalle credenziali ai certificati digitali
- Il ponte architetturale: RADIUS e Entra ID
- Guida all'implementazione
- Passaggio 1: Definire l'infrastruttura a chiave pubblica (PKI)
- Passaggio 2: Configurare il server RADIUS
- Passaggio 3: Distribuire i profili MDM tramite Intune
- Passaggio 4: Configurare il Wireless LAN Controller (WLC)
- Best Practice
- Risoluzione dei problemi e mitigazione dei rischi
- ROI e impatto aziendale
- Riferimenti

Sintesi per l'executive
Per i CTO e gli architetti di rete che gestiscono ambienti complessi - dai grandi spazi del settore hospitality alle dinamiche aree del retail - la sicurezza della rete aziendale non è più una semplice questione di password robuste. Le chiavi pre-condivise (PSK) tradizionali e la convalida delle credenziali di base sono fondamentalmente incompatibili con la moderna architettura zero-trust.
Questa guida illustra dettagliatamente il passaggio all'autenticazione WiFi basata su certificati 802.1X integrata direttamente con Azure Entra ID (precedentemente Azure AD). Passando all'EAP-TLS (Extensible Authentication Protocol con Transport Layer Security), le aziende possono eliminare i rischi associati al furto di credenziali, automatizzare la registrazione dei dispositivi tramite Mobile Device Management (MDM) e garantire che solo i dispositivi conformi e gestiti possano accedere alle VLAN aziendali sensibili. Esamineremo l'architettura tecnica, le fasi di implementazione e il modo in care questa postura di sicurezza aziendale operi in parallelo con le strategie per le reti ospiti gestite da piattaforme come Purple.
Approfondimento tecnico
Il passaggio dalle credenziali ai certificati digitali
Storicamente, il WiFi aziendale si basava su PEAP-MSCHAPv2, che richiede agli utenti di inserire le proprie credenziali di dominio. Tuttavia, a causa della sua vulnerabilità agli attacchi adversary-in-the-middle (AiTM), Microsoft sta attivamente deprecando l'autenticazione basata su credenziali. L'attuale standard di settore è EAP-TLS, che utilizza la convalida reciproca dei certificati.
In un'implementazione EAP-TLS, sia il server RADIUS sia il dispositivo client presentano certificati digitali. Se un dispositivo non dispone di un certificato valido rilasciato dalla propria Autorità di Certificazione (CA) attendibile, il server RADIUS rifiuta la connessione prima ancora che il dispositivo ottenga un indirizzo IP.

Il ponte architetturale: RADIUS e Entra ID
Azure Entra ID è un provider di identità cloud (IdP) che utilizza protocolli moderni come SAML e OIDC; non supporta nativamente il protocollo RADIUS utilizzato dagli access point wireless (WAP). Per colmare questo divario, gli architetti di rete devono implementare un server RADIUS in grado di comunicare con Entra ID. Questo obiettivo viene solitamente raggiunto attraverso:
- Soluzioni Cloud RADIUS: Piattaforme create appositamente (come SecureW2, SCEPman o Portnox) che si integrano direttamente con Entra ID e Intune tramite API.
- Network Policy Server (NPS) on-premises: Utilizzando l'estensione Azure MFA, sebbene questo sia sempre più considerato un approccio legacy rispetto al RADIUS nativo del cloud.

Guida all'implementazione
La distribuzione di Azure Entra ID per l'autenticazione WiFi richiede il coordinamento tra i team addetti all'identità, alla gestione dei dispositivi e all'infrastruttura di rete.
Passaggio 1: Definire l'infrastruttura a chiave pubblica (PKI)
È necessario stabilire una CA per emettere certificati client e server. Negli ambienti cloud-first, si tratta tipicamente di una PKI cloud integrata con Microsoft Intune tramite il protocollo SCEP.
Passaggio 2: Configurare il server RADIUS
Distribuisci la tua infrastruttura RADIUS e associala al tuo tenant Entra ID. Il server RADIUS ha bisogno del proprio certificato server - considerato attendibile dai dispositivi client - per dimostrare la propria identità durante l'handshake EAP.
Passaggio 3: Distribuire i profili MDM tramite Intune
Non affidarti agli utenti per configurare manualmente le proprie impostazioni WiFi. Utilizza Intune per distribuire un profilo WiFi completo contenente:
- Il certificato CA radice attendibile.
- Il profilo SCEP utilizzato per richiedere il certificato client.
- La configurazione WiFi stessa, definendo esplicitamente l'SSID e i nomi server esatti dell'infrastruttura RADIUS per prevenire attacchi di tipo Evil Twin.
Passaggio 4: Configurare il Wireless LAN Controller (WLC)
Configura i tuoi access point o il tuo WLC per utilizzare WPA2/WPA3-Enterprise (802.1X). Indirizza il traffico di autenticazione e accounting verso i nuovi indirizzi IP del server RADIUS e imposta il segreto RADIUS condiviso.
> "Quando si configura 802.1X, assicurarsi che i valori di timeout RADIUS sul WLC siano sufficienti per la latenza della convalida dei certificati cloud, solitamente aumentandoli da 2 a 5 secondi." [1]
Best Practice
- Isolare il traffico aziendale e quello ospiti: I dispositivi aziendali dovrebbero utilizzare 802.1X associato a Entra ID. I dispositivi degli ospiti dovrebbero utilizzare un SSID aperto con un captive portal. Per un accesso ospiti e analisi efficaci, sfrutta una soluzione Guest WiFi . Ciò garantisce il completo isolamento del traffico non attendibile.
- Implementare il MAC Authentication Bypass (MAB) con cautela: I dispositivi IoT e l'hardware legacy - come i vecchi scanner negli hub di trasporto - spesso non supportano 802.1X. Posiziona questi dispositivi su un SSID separato utilizzando MAB o una PSK dedicata e limita il loro accesso alla rete con ACL rigorose.
- Dare priorità alla revoca dei certificati: Assicurati che i tuoi endpoint CRL o OCSP siano altamente disponibili. Se il server RADIUS non riesce a verificare lo stato di revoca, l'autenticazione fallirà.
Risoluzione dei problemi e mitigazione dei rischi
Quando le distribuzioni falliscono, la colpa è raramente dell'IdP cloud. I problemi più comuni includono:
- Disallineamento dell'orologio: Il protocollo EAP-TLS è estremamente sensibile al fattore tempo. Assicurati che tutti i componenti dell'infrastruttura - in particolare i WLC e i server RADIUS - siano sincronizzati tramite NTP.
- Latenza di sincronizzazione di Intune: Durante la registrazione di nuovi dispositivi, può verificarsi un ritardo tra l'emissione del certificato SCEP e il tentativo di connessione del dispositivo. Tieni conto di questa latenza durante la fase di onboarding.- Mancata corrispondenza del nome del server RADIUS: se il nome del server definito nel profilo WiFi di Intune non corrisponde esattamente al Common Name (CN) o al Subject Alternative Name (SAN) presente sul certificato del server RADIUS, i client si disconnetteranno silenziosamente per proteggersi da AP dannosi.
Per un'analisi più approfondita sulla sicurezza della tua infrastruttura, consulta la nostra guida su come proteggere la tua rete con un DNS robusto e la sicurezza .
ROI e impatto aziendale
Il passaggio all'autenticazione WiFi di Azure Entra ID offre vantaggi significativi:
- Riduzione dei costi di helpdesk: l'eliminazione dell'autenticazione basata su password riduce drasticamente i ticket di supporto relativi al blocco delle password e al rinnovo delle credenziali WiFi.
- Conformità accelerata: EAP-TLS fornisce la prova crittografica dell'identità richiesta da framework come PCI-DSS e ISO 27001, il che è essenziale negli ambienti sanitari e retail.
- Offboarding automatizzato: quando un dipendente lascia l'azienda, la disattivazione del suo account in Entra ID revoca istantaneamente il suo accesso alla rete in tutte le sedi, riducendo le minacce interne.
Proteggendo la rete aziendale principale, i team IT possono concentrarsi su iniziative che generano ricavi, come l'utilizzo di WiFi Analytics per comprendere il comportamento dei visitatori e promuovere il coinvolgimento.
Riferimenti
[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.
Definizioni chiave
802.1X
Uno standard IEEE per il controllo dell'accesso alla rete basato su porte, che richiede ai dispositivi di autenticarsi prima di accedere alla LAN o alla WLAN.
Questo è il protocollo alla base della sicurezza del WiFi aziendale, che va oltre le semplici password condivise.
EAP-TLS
Extensible Authentication Protocol con Transport Layer Security. Un metodo di autenticazione che richiede certificati digitali sia sul client che sul server.
Considerato il metodo più sicuro per l'autenticazione WiFi, previene il furto di credenziali e gli attacchi AiTM.
RADIUS
Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce servizi centralizzati di autenticazione, autorizzazione e tracciamento (AAA).
Il protocollo utilizzato dagli Access Point per chiedere al server di autenticazione: "Devo consentire a questo dispositivo di accedere alla rete?"
SCEP
Simple Certificate Enrollment Protocol. Un protocollo utilizzato per emettere certificati in modo sicuro per i dispositivi di rete.
Utilizzato dalle piattaforme MDM come Intune per richiedere e installare silenziosamente i certificati client su laptop e telefoni aziendali.
MAC Authentication Bypass (MAB)
Un metodo per concedere l'accesso alla rete basato sull'indirizzo MAC del dispositivo anziché su un nome utente o un certificato.
Utilizzato come alternativa per i dispositivi legacy (come vecchie stampanti o sensori IoT) che non dispongono del software per eseguire un handshake 802.1X.
Attacco Evil Twin
Un access point canaglia che si maschera da SSID aziendale legittimo per intercettare il traffico o rubare le credenziali.
EAP-TLS mitiga questo rischio perché il dispositivo client è configurato per considerare attendibile solo lo specifico certificato del server RADIUS aziendale legittimo.
Supplicant
Il client software sul dispositivo endpoint (ad esempio, il gestore WiFi di Windows) che gestisce il processo di autenticazione 802.1X.
I team IT devono configurare il supplicant tramite MDM per garantire che si comporti in modo sicuro e non richieda agli utenti di accettare certificati server non attendibili.
Conditional Access
Criteri di Azure Entra ID che valutano i segnali (utente, posizione, conformità del dispositivo) per prendere decisioni di accesso.
Le moderne soluzioni Cloud RADIUS possono verificare il Conditional Access durante l'handshake WiFi, negando l'accesso alla rete se Intune segnala il dispositivo come non conforme.
Esempi pratici
Una catena retail con 500 punti vendita deve proteggere gli iPad di servizio utilizzati per la gestione dell'inventario. Attualmente utilizzano una singola PSK condivisa in tutti i negozi. Come dovrebbero migrare all'autenticazione Microsoft Entra ID?
- Registrare tutti gli iPad in Microsoft Intune.
- Distribuire una soluzione Cloud RADIUS integrata con il tenant Entra ID aziendale.
- Configurare Intune per distribuire un certificato SCEP su ciascun iPad.
- Inviare un profilo WiFi tramite Intune che configuri gli iPad per connettersi all'SSID "Corporate-BOH" utilizzando EAP-TLS, convalidando il certificato del server Cloud RADIUS.
- Aggiornare gli access point Meraki/Aruba in tutti i 500 negozi affinché puntino agli indirizzi IP del Cloud RADIUS per l'SSID "Corporate-BOH".
- Rollout graduale: abilitare il nuovo SSID, verificare la connettività degli iPad tramite i report di Intune, quindi dismettere l'SSID PSK legacy.
Un campus universitario sta migrando da Active Directory on-prem a Microsoft Entra ID. Hanno migliaia di laptop di studenti BYOD (Bring Your Own Device) che attualmente si connettono utilizzando PEAP-MSCHAPv2 (nome utente e password). Come gestiscono il BYOD in un ambiente Entra ID cloud-first?
- Distribuire un portale di onboarding (ad esempio, SecureW2 JoinNow o uno strumento di onboarding BYOD simile).
- Gli studenti si connettono a un SSID "Onboarding" aperto, che li reindirizza al portale.
- Il portale richiede allo studente di autenticarsi con Microsoft Entra ID (utilizzando l'e-mail universitaria e l'MFA).
- A seguito dell'avvenuta autenticazione, il portale genera un certificato client unico e configura automaticamente il dispositivo dello studente per EAP-TLS.
- Il dispositivo si connette automaticamente all'SSID sicuro "Edu-Secure" utilizzando il nuovo certificato.
Domande di esercitazione
Q1. La tua organizzazione sta migrando a Azure Entra ID e Intune. Attualmente utilizzi PEAP-MSCHAPv2 per il WiFi. Il team di sicurezza richiede che l'autenticazione WiFi sia resistente al furto di credenziali. Quale metodo EAP dovresti distribuire?
Suggerimento: Quale metodo si basa interamente sui certificati anziché sulle password?
Visualizza risposta modello
Dovresti distribuire EAP-TLS. EAP-TLS utilizza l'autenticazione a certificato reciproco, il che significa che il dispositivo client deve presentare un certificato valido emesso dalla tua PKI. Poiché non utilizza password, è altamente resistente al furto di credenziali e agli attacchi adversary - in - the - middle.
Q2. Dopo aver distribuito EAP-TLS tramite Intune, gli utenti segnalano che non riescono a connettersi al WiFi. Esaminando i log RADIUS, visualizzi il messaggio 'Controllo di revoca del certificato non riuscito'. Qual è la causa più probabile?
Suggerimento: Con quale infrastruttura deve comunicare il server RADIUS per verificare che un certificato non sia stato compromesso?
Visualizza risposta modello
Il server RADIUS non è in grado di raggiungere l'endpoint della Certificate Revocation List (CRL) o OCSP della tua autorità di certificazione. Assicurati che i firewall consentano al server RADIUS l'accesso in uscita agli URL HTTP specificati nei certificati client.
Q3. Un ospedale deve connettere alla rete 50 cardiofrequenzimetri legacy. Questi dispositivi supportano solo WPA2-Personal (Pre-Shared Key) e non possono essere registrati in Intune. Come dovresti proteggerli mantenendo la distribuzione di Entra ID 802.1X per i laptop aziendali?
Suggerimento: Non mischiare tipi di autenticazione sullo stesso SSID.
Visualizza risposta modello
Crea un SSID dedicato e separato specificamente per i dispositivi IoT medici. Utilizza una Pre-Shared Key forte e univoca (o Identity PSK/iPSK se supportata dal tuo fornitore di rete) o il MAC Authentication Bypass (MAB). Aspetto fondamentale, inserisci questo SSID in una VLAN altamente limitata con Access Control List (ACL) rigide che consentano ai monitor solo di comunicare con il loro server medico specifico, bloccando ogni altro accesso laterale alla rete.
Continua a leggere questa serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.
Passpoint and OpenRoaming: Complete Guide
Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.
Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore
Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.