Vai al contenuto principale
Italiano

Come configurare Azure Entra ID (Azure AD) per l'autenticazione WiFi

Questa guida autorevole descrive in dettaglio l'architettura, i passaggi di implementazione e l'impatto aziendale dell'integrazione di Azure Entra ID con 802.1X per l'autenticazione WiFi aziendale. Fornisce ad architetti di rete e IT manager strategie di implementazione pratiche, sostituendo le PSK legacy con un accesso di rete basato su certificati e a filosofia zero-trust.

📖 4 minuti di lettura📝 945 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
[INTRO - 1 MIN] Host: Benvenuti al Purple Enterprise Network Briefing. Sono il vostro host e oggi affronteremo un aggiornamento infrastrutturale critico che rappresenta una priorità per CTO e architetti di rete: la migrazione dell'autenticazione WiFi aziendale a Azure Entra ID, precedentemente noto come Azure AD. Se gestite una catena alberghiera, uno stadio o una grande installazione nel settore pubblico, conoscete bene il grattacapo dei server RADIUS on-premise legacy e delle PSK condivise. Oggi parleremo di accesso alla rete zero-trust, in particolare di come implementare l'autenticazione basata su certificati 802.1X utilizzando Azure Entra ID. Niente fronzoli, solo la realtà tecnica di questa implementazione. [TECHNICAL DEEP-DIVE - 5 MIN] Host: Entriamo subito nel vivo dell'architettura. I giorni del WPA2-Personal con una password condivisa su un post-it sono finiti. In un'azienda moderna, che si tratti di proteggere le operazioni di back-of-house in un ambiente retail o le reti del personale in un ospedale, è necessario un accesso basato sull'identità. Quando parliamo di Azure Entra ID per il WiFi, parliamo fondamentalmente di EAP-TLS. Si tratta dell'Extensible Authentication Protocol con Transport Layer Security. È il gold standard. Perché? Perché si basa su certificati, non su password. Le password possono essere soggette a phishing, condivise o forzate tramite brute-force. I certificati associati a un dispositivo gestito tramite Intune, invece, no. Quindi, come fluisce il traffico? Un dispositivo aziendale, ad esempio un laptop gestito, tenta di connettersi al SSID aziendale. Il Wireless Access Point, fungendo da autenticatore, blocca l'accesso e trasmette le credenziali tramite RADIUS al server di autenticazione. Ora, Azure Entra ID non supporta nativamente RADIUS. Questo è il ponte architetturale critico. È necessario un provider cloud RADIUS o un Network Policy Server (NPS) on-premise con l'estensione Azure MFA. Il dispositivo presenta il proprio certificato client. Il server RADIUS convalida tale certificato confrontandolo con la Certificate Authority, spesso gestita tramite SCEP in Intune. Se il certificato è valido, il server RADIUS verifica Azure Entra ID per assicurarsi che l'account utente sia attivo, non disabilitato e conforme ai criteri di accesso condizionale (Conditional Access). Solo allora il server RADIUS invia un messaggio di Access-Accept all'AP, inserendo l'utente nella VLAN corretta. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Host: Ora, dove falliscono le implementazioni? Vedo tre errori comuni. Primo: disponibilità della Certificate Revocation List (CRL). Se il server RADIUS non riesce a raggiungere la CRL, l'autenticazione non va a buon fine. Assicuratevi che gli endpoint della CRL siano altamente disponibili e accessibili dall'infrastruttura RADIUS. Secondo: configurazione del supplicant. Non lasciate questo compito all'utente finale. Utilizzate il vostro MDM (Microsoft Intune, Workspace ONE o qualunque altra soluzione utilizziate) per distribuire il profilo WiFi. Il profilo deve definire esplicitamente la CA radice attendibile e specificare che il client deve connettersi solo ai nomi dei vostri server RADIUS specifici. Se non lo fate, sarete vulnerabili agli attacchi Evil Twin. Terzo: i dispositivi legacy. I dispositivi IoT, i terminali point-of-sale o i vecchi scanner di codici a barre in un magazzino spesso non supportano 802.1X o EAP-TLS. È necessario pianificare una strategia di MAC Authentication Bypass (MAB) o una rete dedicata con chiave precondivisa e un rigido isolamento di rete per questi dispositivi. Non compromettere l'SSID aziendale principale per una stampante legacy. [D&R RAPIDE - 1 MIN] Host: Rispondiamo ad alcune rapide domande che ci pongono spesso i network architect. Domanda uno: possiamo usare PEAP-MSCHAPv2 con Azure Entra ID? Risposta: Sì, tramite NPS, ma Microsoft sta attivamente deprecando l'autenticazione basata su credenziali. Passa a EAP-TLS. È più sicuro e offre un'esperienza utente migliore. Domanda due: come si integra tutto questo con il guest WiFi di Purple? Risposta: Tienili separati. La tua rete aziendale utilizza 802.1X collegato ad Azure Entra ID. La tua rete guest utilizza un SSID aperto con un Captive Portal gestito da Purple per scopi analitici, accettazione dei termini e acquisizione di dati di marketing. Puoi anche utilizzare l'autenticazione basata sui profili di Purple per consentire visite successive fluide ai tuoi ospiti, mantenendo il traffico completamente isolato dai tuoi dati aziendali. [RIASSUNTO E PROSSIMI PASSI - 1 MIN] Host: Per concludere: il passaggio ad Azure Entra ID per l'autenticazione WiFi è un passo fondamentale verso un'architettura zero-trust. Elimina i ticket di helpdesk per la rotazione delle password, riduce il furto di credenziali e garantisce che solo i dispositivi conformi e gestiti accedano alla tua rete interna. Il tuo prossimo passo? Esegui un audit della tua attuale infrastruttura RADIUS. Se utilizzi un NPS legacy on-premise, valuta soluzioni cloud RADIUS che si integrano direttamente con Azure Entra ID e Intune. Definisci la tua strategia di distribuzione dei certificati. Grazie per aver partecipato a questo briefing tecnico. Proteggi le tue reti e alla prossima.

header_image.png

Executive Summary

Per i CTO e gli architetti di rete che gestiscono ambienti complessi, dalle strutture su larga scala dell' Hospitality agli spazi dinamici del Retail , la sicurezza della rete aziendale non è più solo una questione di password robuste. Le chiavi pre-condivise legacy (PSK) e l'autenticazione basata su credenziali di base sono fondamentalmente incompatibili con le moderne architetture zero-trust.

Questa guida illustra nel dettaglio la transizione all'autenticazione WiFi basata su certificati 802.1X integrata direttamente con Azure Entra ID (precedentemente Azure AD). Passando a EAP-TLS (Extensible Authentication Protocol con Transport Layer Security), le organizzazioni possono eliminare i rischi associati al furto di credenziali, automatizzare l'onboarding dei dispositivi tramite Mobile Device Management (MDM) e garantire che solo i dispositivi conformi e gestiti possano accedere alle VLAN aziendali sensibili. Esploreremo l'architettura tecnica, i passaggi di implementazione e come questa postura di sicurezza aziendale si affianchi alle strategie di rete guest gestite da piattaforme come Purple.

Technical Deep-Dive

Il passaggio dalle credenziali ai certificati

Storicamente, il WiFi aziendale si basava su PEAP-MSCHAPv2, richiedendo agli utenti di inserire le proprie credenziali di dominio. Tuttavia, Microsoft sta attivamente deprecando l'autenticazione basata su credenziali a causa della sua vulnerabilità agli attacchi adversary-in-the-middle (AiTM). Lo standard di settore è ora EAP-TLS, che utilizza l'autenticazione reciproca tramite certificati.

In una distribuzione EAP-TLS, sia il server RADIUS che il dispositivo client presentano certificati digitali. Se un dispositivo non dispone di un certificato valido emesso dalla Certificate Authority (CA) attendibile, il server RADIUS rifiuta la connessione prima ancora che il dispositivo ottenga un indirizzo IP.

architecture_overview.png

Il ponte architetturale: RADIUS e Entra ID

Azure Entra ID è un Identity Provider (IdP) cloud che utilizza protocolli moderni come SAML e OIDC; non supporta nativamente RADIUS, il protocollo utilizzato dai Wireless Access Points (WAP). Per colmare questo divario, gli architetti di rete devono implementare un server RADIUS in grado di comunicare con Entra ID. Questo si ottiene solitamente tramite:

  1. Soluzioni Cloud RADIUS: Piattaforme dedicate (ad es. SecureW2, SCEPman o Portnox) che si integrano direttamente con Entra ID e Intune tramite API.
  2. Network Policy Server (NPS) On-Premises: Utilizzando l'estensione Azure MFA, anche se questo è sempre più considerato un approccio legacy rispetto al RADIUS nativo del cloud.

eap_comparison_chart.png

Guida all'implementazione

L'implementazione di Azure Entra ID per l'autenticazione WiFi richiede il coordinamento tra i team di gestione delle identità, dei dispositivi e dell'infrastruttura di rete.

Passaggio 1: Stabilire l'Infrastruttura a Chiave Pubblica (PKI)

È necessario stabilire una CA per emettere certificati client e server. In un ambiente orientato al cloud, si tratta spesso di una PKI cloud integrata con Microsoft Intune tramite il Simple Certificate Enrollment Protocol (SCEP).

Passaggio 2: Configurare il Server RADIUS

Implementa la tua infrastruttura RADIUS e configurala in associazione al tuo tenant Entra ID. Il server RADIUS necessita di un proprio certificato server, attendibile per i tuoi dispositivi client, per dimostrare la propria identità durante l'handshake EAP.

Passaggio 3: Distribuire i Profili MDM tramite Intune

Non fare affidamento sulla configurazione manuale delle impostazioni WiFi da parte degli utenti. Utilizza Intune per distribuire un profilo WiFi completo che includa:

  • Il certificato della CA radice attendibile.
  • Il profilo SCEP per richiedere il certificato client.
  • La configurazione WiFi stessa, definendo esplicitamente l'SSID e i nomi esatti dei server della tua infrastruttura RADIUS per prevenire attacchi di tipo Evil Twin.

Passaggio 4: Configurare il Wireless LAN Controller (WLC)

Configura i tuoi access point o il WLC per utilizzare WPA2/WPA3-Enterprise (802.1X). Indirizza il traffico di autenticazione e accounting verso gli indirizzi IP del tuo nuovo server RADIUS e configura i segreti RADIUS condivisi.

> "Durante la configurazione di 802.1X, assicurati che i valori di timeout RADIUS sul WLC siano sufficienti per gestire la latenza della convalida dei certificati basata su cloud, aumentandoli in genere da 2 a 5 secondi." [1]

Best Practice

  • Separare il Traffico Aziendale e Ospiti: I dispositivi aziendali dovrebbero utilizzare 802.1X associato a Entra ID. I dispositivi degli ospiti dovrebbero utilizzare un SSID aperto con un Captive Portal. Per un accesso ospiti e un'analitica robusti, sfrutta le soluzioni Guest WiFi . Ciò garantisce il completo isolamento del traffico non attendibile.
  • Implementare il MAC Authentication Bypass (MAB) con Attenzione: I dispositivi IoT e l'hardware legacy (ad esempio, i vecchi scanner negli hub di Trasporto ) spesso non supportano 802.1X. Posiziona questi dispositivi su un SSID separato utilizzando il MAB o una PSK dedicata e limita il loro accesso alla rete tramite ACL rigorose.
  • Dare Priorità alla Revoca dei Certificati: Assicurati che gli endpoint della tua Certificate Revocation List (CRL) o dell'Online Certificate Status Protocol (OCSP) siano altamente disponibili. Se il server RADIUS non può verificare lo stato di revoca, l'autenticazione fallirà.

Risoluzione dei Problemi e Mitigazione dei Rischi

Quando le distribuzioni falliscono, raramente la colpa è dell'IdP cloud. I problemi più comuni includono:

  • Disallineamento dell'Orologio (Clock Skew): EAP-TLS è estremamente sensibile all'orario. Assicurati che tutti i componenti dell'infrastruttura, in particolare i WLC e i server RADIUS, siano sincronizzati tramite NTP.
  • Ritardi di Sincronizzazione di Intune: Quando viene registrato un nuovo dispositivo, potrebbe essere necessario del tempo prima che il certificato SCEP venga emesso e che il dispositivo tenti la connessione. Pianifica questa latenza durante l'onboarding.
  • Mancata corrispondenza del nome del server Radius: se il nome del server definito nel profilo WiFi di Intune non corrisponde esattamente al Common Name (CN) o al Subject Alternative Name (SAN) sul certificato del server RADIUS, il client interromperà silenziosamente la connessione per proteggersi da AP non autorizzati.

Per ulteriori approfondimenti sulla sicurezza della tua infrastruttura, consulta la nostra guida su come Proteggere la tua rete con un DNS forte e la sicurezza .

ROI e impatto aziendale

Il passaggio all'autenticazione WiFi di Azure Entra ID offre rendimenti misurabili:

  1. Riduzione dei costi di Helpdesk: l'eliminazione dell'autenticazione basata su password riduce drasticamente i ticket relativi al blocco delle password e agli aggiornamenti delle credenziali WiFi.
  2. Accelerazione della conformità: EAP-TLS fornisce la prova crittografica dell'identità richiesta da framework come PCI DSS e ISO 27001, fondamentale per gli ambienti Healthcare e retail.
  3. Offboarding automatizzato: quando un dipendente lascia l'azienda, la disattivazione del suo account in Entra ID revoca immediatamente il suo accesso alla rete in tutte le sedi, mitigando le minacce interne.

Mettendo in sicurezza la dorsale aziendale, i team IT possono concentrarsi su iniziative che generano ricavi, come l'utilizzo di WiFi Analytics per comprendere il comportamento dei visitatori e promuovere il coinvolgimento.

Riferimenti

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Definizioni chiave

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte, che richiede l'autenticazione dei dispositivi prima di accedere alla LAN o alla WLAN.

Questo è il protocollo sottostante che rende sicuro il WiFi aziendale, andando oltre le semplici password condivise.

EAP-TLS

Extensible Authentication Protocol con Transport Layer Security. Un metodo di autenticazione che richiede certificati digitali sia sul client che sul server.

Considerato il metodo più sicuro per l'autenticazione WiFi, che impedisce il furto di credenziali e gli attacchi AiTM.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce servizi centralizzati di autenticazione, autorizzazione e tracciamento (AAA).

Il protocollo utilizzato dagli Access Point per chiedere al server di autenticazione: "Devo consentire a questo dispositivo di accedere alla rete?"

SCEP

Simple Certificate Enrollment Protocol. Un protocollo utilizzato per emettere certificati in modo sicuro per i dispositivi di rete.

Utilizzato dalle piattaforme MDM come Intune per richiedere e installare in modo invisibile i certificati client su laptop e telefoni aziendali.

MAC Authentication Bypass (MAB)

Un metodo per concedere l'accesso alla rete basato sull'indirizzo MAC del dispositivo anziché su un nome utente o un certificato.

Utilizzato come alternativa per i dispositivi legacy (como vecchie stampanti o sensori IoT) che non dispongono del software per eseguire un handshake 802.1X.

Evil Twin Attack

Un access point non autorizzato che si maschera da SSID aziendale legittimo per intercettare il traffico o rubare credenziali.

EAP-TLS attenua questo problema perché il dispositivo client è configurato per considerare attendibile solo lo specifico certificato del server RADIUS aziendale legittimo.

Supplicant

Il client software sul dispositivo endpoint (ad es. il gestore WiFi di Windows) che gestisce il processo di autenticazione 802.1X.

I team IT devono configurare il supplicant tramite MDM per garantire che si comporti in modo sicuro e non richieda agli utenti di accettare certificati server non attendibili.

Conditional Access

Criteri di Azure Entra ID che valutano i segnali (utente, posizione, conformità del dispositivo) per prendere decisioni di accesso.

Le moderne soluzioni Cloud RADIUS possono verificare l'Accesso Condizionale durante l'handshake WiFi, negando l'accesso alla rete se Intune contrassegna il dispositivo come non conforme.

Esempi pratici

Una catena retail con 500 punti vendita deve proteggere gli iPad del retrobottega utilizzati per la gestione dell'inventario. Attualmente utilizzano un'unica PSK condivisa in tutti i negozi. Come dovrebbero migrare all'autenticazione Azure Entra ID?

  1. Registrare tutti gli iPad in Microsoft Intune.
  2. Distribuire una soluzione Cloud RADIUS integrata con il tenant aziendale di Entra ID.
  3. Configurare Intune per distribuire un certificato SCEP su ciascun iPad.
  4. Inviare un profilo WiFi tramite Intune che configuri gli iPad per connettersi all'SSID "Corporate-BOH" utilizzando EAP-TLS, convalidando il certificato del server Cloud RADIUS.
  5. Aggiornare gli access point Meraki/Aruba in tutti i 500 punti vendita per puntare agli indirizzi IP di Cloud RADIUS per l'SSID "Corporate-BOH".
  6. Rollout graduale: abilitare il nuovo SSID, verificare la connettività degli iPad tramite i report di Intune, quindi dismettere il vecchio SSID con PSK.
Commento dell'esaminatore: Questo approccio elimina la PSK condivisa, che rappresenta un enorme rischio per la sicurezza in caso di furto del dispositivo. Utilizzando EAP-TLS e Intune, l'autenticazione è legata allo stato di gestione del dispositivo. Se un iPad viene smarrito, il team IT deve semplicemente revocare il certificato o inizializzare il dispositivo in Intune, interrompendo istantaneamente l'accesso alla rete senza influire sugli altri 499 negozi.

Un campus universitario sta migrando da Active Directory on-premise a Azure Entra ID. Hanno migliaia di laptop BYOD (Bring Your Own Device) degli studenti che attualmente si connettono utilizzando PEAP-MSCHAPv2 (username e password). Come gestiscono il BYOD in un ambiente Entra ID cloud-first?

  1. Distribuire un portale di onboarding (ad es. SecureW2 JoinNow o uno strumento di onboarding BYOD simile).
  2. Gli studenti si connettono a un SSID aperto "Onboarding", che li reindirizza al portale.
  3. Il portale richiede allo studente di autenticarsi con Azure Entra ID (utilizzando l'e-mail universitaria e la MFA).
  4. Una volta completata l'autenticazione con successo, il portale genera un certificato client unico e configura automaticamente il dispositivo dello studente per EAP-TLS.
  5. Il dispositivo si connette automaticamente all'SSID sicuro "Edu-Secure" utilizzando il nuovo certificato.
Commento dell'esaminatore: La gestione dei certificati per i dispositivi BYOD non gestiti è la parte più complessa di 802.1X. Non è possibile utilizzare Intune perché l'università non possiede i laptop. L'utilizzo di un portale di onboarding colma questo divario, consentendo l'uso del protocollo sicuro EAP-TLS senza richiedere all'IT di intervenire manualmente su migliaia di laptop degli studenti.

Domande di esercitazione

Q1. La tua organizzazione sta migrando a Azure Entra ID e Intune. Attualmente utilizzi PEAP-MSCHAPv2 per il WiFi. Il team di sicurezza impone che l'autenticazione WiFi debba essere resistente al furto di credenziali. Quale metodo EAP dovresti implementare?

Suggerimento: Quale metodo si basa interamente su certificati anziché su password?

Visualizza risposta modello

Dovresti implementare EAP-TLS. EAP-TLS utilizza l'autenticazione reciproca dei certificati, il che significa che il dispositivo client deve presentare un certificato valido emesso dalla tua PKI. Poiché non utilizza password, è altamente resistente al furto di credenziali e agli attacchi adversary-in-the-middle.

Q2. Dopo aver distribuito EAP-TLS tramite Intune, gli utenti segnalano di non riuscire a connettersi al WiFi. Esaminando i log di RADIUS, noti l'errore "Certificate Revocation Check Failed". Qual è la causa più probabile?

Suggerimento: Con quale infrastruttura deve comunicare il server RADIUS per verificare che un certificato non sia stato compromesso?

Visualizza risposta modello

Il server RADIUS non è in grado di raggiungere la Certificate Revocation List (CRL) o l'endpoint OCSP della tua Certificate Authority. Assicurati che i firewall consentano al server RADIUS l'accesso in uscita agli URL HTTP specificati nei certificati client.

Q3. Un ospedale deve connettere alla rete 50 cardiofrequenzimetri legacy. Questi dispositivi supportano solo WPA2-Personal (Pre-Shared Key) e non possono essere registrati in Intune. Come dovresti proteggerli mantenendo attiva la distribuzione 802.1X di Entra ID per i laptop aziendali?

Suggerimento: Non associare diversi tipi di autenticazione sullo stesso SSID.

Visualizza risposta modello

Crea un SSID dedicato e separato specificamente per i dispositivi IoT medici. Utilizza una chiave pre-condivisa (PSK) complessa e univoca (o Identity PSK/iPSK se supportato dal fornitore di rete) oppure il MAC Authentication Bypass (MAB). Fondamentalmente, inserisci questo SSID in una VLAN altamente limitata con Access Control Lists (ACL) rigide che consentano ai monitor di comunicare solo con il loro server medico specifico, bloccando qualsiasi altro accesso di rete laterale.

Continua a leggere questa serie

PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK (e supporto WPA3)

Un confronto completo delle implementazioni PSK per dispositivo tra Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Scopri come WPA3-SAE influisce sulle strategie delle chiavi per dispositivo e quando distribuire le modalità di transizione rispetto al passaggio a 802.1X.

Leggi la guida →

Metodi di autenticazione del Captive Portal a confronto

Questa guida di riferimento tecnico autorevole valuta i compromessi architetturali, operativi e di conformità di cinque metodi di autenticazione principali per captive portal. Fornisce ad architetti di rete, direttori IT e marketing manager i dati quantitativi e i framework decisionali necessari per bilanciare l'attrito nell'onboarding degli ospiti con i requisiti di raccolta dati all'interno delle sedi aziendali.

Leggi la guida →

Cos'è l'autenticazione tramite indirizzo MAC? Quando usarla e quando evitarla

Questa guida tecnica di riferimento autorevole copre l'autenticazione tramite indirizzo MAC negli ambienti WiFi aziendali: come funziona l'autenticazione MAC basata su RADIUS a livello Layer 2, le sue vulnerabilità di sicurezza intrinseche (incluso il MAC spoofing e l'impatto della randomizzazione MAC a livello di sistema operativo) e i precisi contesti operativi in cui rimane uno strumento valido per la gestione di dispositivi IoT e headless. Fornisce linee guida di implementazione pratiche per responsabili IT e architetti di rete nei settori dell'ospitalità, del retail, della sanità e dei luoghi pubblici, con esempi pratici reali, framework decisionali e contesti di integrazione per la piattaforma di guest WiFi e analytics di Purple.

Leggi la guida →