Autenticazione WiFi Enterprise senza Active Directory o server on-premise

Questa guida spiega come implementare un'autenticazione WiFi WPA2/3-Enterprise sicura senza Active Directory on-premise, Windows NPS o server RADIUS. Copre la discrepanza di protocollo tra i provider di identità cloud e 802.1X, i vantaggi di EAP-TLS rispetto a PEAP-MSCHAPv2 e come implementare il RADIUS cloud con certificati emessi da MDM per Microsoft Entra ID, Okta o Google Workspace. Scritta per i responsabili IT di organizzazioni cloud-first e con un'alta presenza di Mac/Chromebook pronte a dismettere l'infrastruttura on-premise.

📖 9 minuti di lettura📝 2,219 parole🔧 2 esempi pratici❓ 4 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Ciao e benvenuti a questo briefing tecnico. Oggi affronteremo un problema architetturale molto specifico e comune: come gestire l'autenticazione WiFi aziendale quando si è passati al cloud e non si dispone più di un Active Directory on-premises o di un server Windows NPS.

Se siete IT manager, network architect o CTO in un'organizzazione cloud-first, vi sarete probabilmente scontrati con questo ostacolo. Avete migrato la vostra identità su Microsoft Entra ID, Okta o Google Workspace. Tutto è SaaS. Ma i vostri access point Cisco, Aruba o Meraki si aspettano ancora un server RADIUS. E storicamente, quel server RADIUS era un Windows Server che eseguiva Network Policy Server, o NPS, comunicando con un domain controller.

Quindi, come colmare questo divario senza avviare nuove macchine virtuali solo per il WiFi? Entriamo nei dettagli tecnici.

Il problema principale è una discrepanza di protocollo. Entra ID e Okta parlano protocolli web moderni: SAML, OIDC e OAuth2. I vostri access point parlano RADIUS. Microsoft non fornisce un endpoint RADIUS nativo per Entra ID. Non è possibile semplicemente puntare la dashboard Meraki verso Azure e aspettarsi che funzioni.

Storicamente, le organizzazioni utilizzavano PEAP-MSCHAPv2 per il WiFi. Gli utenti inserivano nome utente e password e il server RADIUS li verificava rispetto a un hash NTLM memorizzato in Active Directory. Ecco il punto critico di rottura: Microsoft Entra ID non memorizza gli hash NTLM. Quindi, anche se si posiziona un server RADIUS cloud davanti a Entra ID, questo non può convalidare una richiesta di password PEAP.

Per risolvere questo problema, è necessario cambiare il metodo di autenticazione. Bisogna passare a EAP-TLS.

EAP-TLS utilizza certificati digitali anziché password. Il dispositivo presenta un certificato X.509 al server RADIUS. Il server RADIUS verifica se tale certificato è stato firmato da una Certificate Authority attendibile. Poiché non sono coinvolte password, il server RADIUS non ha bisogno di un archivio di hash NTLM. Deve solo convalidare il certificato e verificare l'appartenenza dell'utente a un gruppo per assegnare la VLAN corretta.

È qui che si unisce la moderna architettura. Si utilizza un servizio RADIUS cloud - come Purple - che funge da server di autenticazione. Si utilizza la propria piattaforma di Mobile Device Management, come Microsoft Intune o Jamf, come meccanismo di distribuzione.

L'MDM utilizza un protocollo chiamato SCEP, il Simple Certificate Enrollment Protocol, per inviare in modo invisibile i certificati dei dispositivi ai laptop e telefoni gestiti. L'utente non deve fare nulla. Il dispositivo si connette al WiFi, presenta il certificato al cloud RADIUS di Purple, Purple lo convalida, controlla Entra ID o Okta per verificare il gruppo dell'utente e indica all'access point di inserirlo nella VLAN corretta.

Parliamo ora di raccomandazioni di implementazione e potenziali errori da evitare.

Il consiglio principale è quello di adottare il provisioning SCIM. Non affidatevi a sincronizzazioni periodiche della directory. Lo SCIM (System for Cross-domain Identity Management) garantisce che quando l'ufficio HR disabilita un dipendente in Entra ID, tale segnale venga inviato istantaneamente al RADIUS cloud. Il loro accesso WiFi si interrompe nello stesso secondo in cui si interrompe l'accesso alla posta elettronica. Si tratta di un miglioramento significativo della sicurezza.

Un errore comune riguarda la gestione del ciclo di vita dei certificati. Se emettete certificati che scadono in un anno, dovete assicurarvi che il vostro MDM sia configurato per rinnovarli automaticamente al decimo mese. Se un certificato scade, il dispositivo si disconnette dalla rete in modo silenzioso e riceverete un ticket di supporto.

Un altro errore comune è la configurazione del firewall. I vostri punti di accesso devono raggiungere gli endpoint del RADIUS cloud. Assicuratevi che le vostre regole in uscita consentano la porta UDP 1812 o, idealmente, la porta TCP 2083 se i vostri punti di accesso supportano RadSec, che crittografa il traffico RADIUS su Internet.

Facciamo una rapida sessione di domande e risposte basata sulle richieste più comuni che riceviamo.

Domanda uno: Posso autenticare il WiFi direttamente con Entra ID?
Risposta: No. Entra ID non supporta il protocollo RADIUS. È necessario un servizio RADIUS cloud nel mezzo.

Domanda due: Ho ancora bisogno di Windows NPS?
Risposta: No. Un servizio RADIUS cloud sostituisce completamente NPS. È possibile dismettere i server Windows.

Domanda tre: In che modo le aziende cloud-only proteggono il WiFi del personale?
Risposta: Utilizzando il proprio MDM per distribuire i certificati e autenticandosi tramite EAP-TLS con un provider RADIUS cloud.

Domanda quattro: Cosa succede all'accesso WiFi quando un dipendente si dimette o viene licenziato?
Risposta: Con il provisioning SCIM, il suo accesso viene revocato nel momento stesso in cui il suo account viene disabilitato nell'identity provider. Non è richiesto alcun intervento manuale.

In sintesi, spostare l'autenticazione WiFi sul cloud è il passo logico successivo dopo aver spostato l'identità sul cloud. Implementando il RADIUS cloud ed EAP-TLS, eliminate i server on-premise, rimuovete le password dall'equazione e collegate l'accesso alla rete direttamente all'identità cloud dell'utente. È più sicuro, più facile da gestire ed è altamente disponibile per impostazione predefinita.

Purple gestisce il RADIUS cloud in oltre 80.000 sedi a livello globale, con un uptime del 99,999% e integrazioni native con Microsoft Entra ID, Okta e Google Workspace. Potete essere operativi sui vostri punti di accesso Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist esistenti in meno di un'ora.

Grazie per aver seguito questo briefing tecnico. Per guide di implementazione più dettagliate e per assistere a una dimostrazione dal vivo, visitate purple dot ai.

Punti chiave

✓Microsoft Entra ID, Okta e Google Workspace non supportano il protocollo RADIUS. È necessario un servizio cloud RADIUS per colmare il divario tra gli access point e i provider di identità cloud.
✓PEAP-MSCHAPv2 non funziona in ambienti esclusivamente cloud perché i provider di identità cloud non memorizzano gli hash delle password NTLM richiesti da RADIUS per la convalida.
✓EAP-TLS sostituisce le password con certificati X.509 emessi da MDM, fornendo un'autenticazione resistente al phishing senza credenziali da sottrarre.
✓Le piattaforme MDM come Microsoft Intune e Jamf Pro distribuiscono i certificati in modo invisibile tramite SCEP, eliminando l'onboarding manuale e sostituendo la Certificate Authority on-premises.
✓Il provisioning SCIM garantisce che l'accesso WiFi venga revocato entro pochi secondi dalla disattivazione di un dipendente nel provider di identità, anziché ore dopo con una sincronizzazione LDAP.
✓Cloud RADIUS elimina la necessità di gestire server Windows NPS, azzerando l'applicazione di patch al sistema operativo, la progettazione dell'alta affidabilità e la dipendenza da Active Directory on-premises.
✓Purple gestisce il cloud RADIUS in oltre 80.000 sedi con un uptime del 99,999%, supportando gli access point Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

📚 Parte della nostra serie principale: Sicurezza e autenticazione WiFi Enterprise: la guida completa →

Executive summary

Most organisations have moved their identity to the cloud. Microsoft Entra ID, Okta, and Google Workspace now manage users, groups, and access policies for email, SaaS apps, and device management. But enterprise WiFi has not kept pace. Access points still expect a RADIUS server, and that RADIUS server has historically been Windows Network Policy Server (NPS) connected to an on-premises Active Directory domain controller.

This mismatch forces IT teams to maintain redundant on-premises infrastructure purely to keep the WiFi running. The solution is cloud RADIUS: a fully managed authentication service that speaks RADIUS to your access points and speaks OAuth2, SCIM, and SAML to your cloud identity provider. Pair it with EAP-TLS certificate delivery via your MDM, and you have a complete 802.1X deployment with no on-premises servers, no OS patching, and instant access revocation tied directly to your cloud directory.

Purple operates cloud RADIUS across 80,000+ venues globally, with 99.999% uptime (Purple internal data, 2024) and native integrations with Microsoft Entra ID, Okta, and Google Workspace. You can be live on your existing Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet access points in under an hour.

Technical deep-dive

The protocol mismatch at the heart of the problem

The fundamental challenge is that cloud identity providers and WiFi access points speak entirely different languages. Microsoft Entra ID (formerly Azure AD) authenticates users via SAML, OIDC, and OAuth2 - the protocols that browsers and SaaS apps use. WiFi access points use RADIUS (Remote Authentication Dial-In User Service, RFC 2865), a UDP-based protocol designed in the 1990s for dial-up and VPN. Microsoft has never shipped a native RADIUS endpoint for Entra ID. You cannot point a Meraki or Aruba access point directly at Azure and expect 802.1X to work.

This is the wall that every cloud-first IT team hits when they try to secure Staff WiFi with WPA2-Enterprise or WPA3-Enterprise. Something has to bridge the gap between the access point and the cloud identity provider. That something is cloud RADIUS.

Why PEAP-MSCHAPv2 fails without Active Directory

Historically, 802.1X deployments relied on PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2). The user typed their username and password, the access point forwarded the request to the RADIUS server, and the RADIUS server validated the password against an NTLM hash stored in Active Directory.

Microsoft Entra ID does not store NTLM hashes. This is not a configuration gap - it is a deliberate architectural decision. Entra ID is a modern cloud identity provider, not a domain controller. Consequently, a RADIUS server pointed at Entra ID cannot validate a PEAP-MSCHAPv2 challenge. The only way to make PEAP work with Entra ID is to deploy Entra Domain Services, a paid managed Active Directory that synchronises from Entra ID, and then run NPS against that. This reintroduces most of what you were trying to eliminate: Windows Server VMs, OS patching, NTLM hash storage, and manual certificate management.

EAP-TLS: the right answer for cloud-first organisations

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security, RFC 5216) replaces passwords with X.509 digital certificates. The device presents a certificate to the RADIUS server. The RADIUS server validates the certificate against a trusted Certificate Authority (CA). Because there is no password in the exchange, the RADIUS server does not need an NTLM hash store. It needs only to trust the CA and to check the user's group membership in the identity provider to apply the correct VLAN and access policy.

EAP-TLS is phishing-resistant by design. There is no credential to steal. It satisfies CISA guidance on phishing-resistant multi-factor authentication and aligns with PCI DSS requirements for strong authentication on networks that handle cardholder data. It is the authentication method recommended by IEEE 802.1X for managed device fleets.

Cloud-first 802.1X authentication architecture: devices authenticate via EAP-TLS through Purple's cloud RADIUS, which validates certificates and applies group-based policy from Entra ID, Okta, or Google Workspace.

How MDM replaces the on-premises CA

In a traditional 802.1X deployment, certificates were issued by an on-premises Certificate Authority running Active Directory Certificate Services (AD CS). In a cloud-first deployment, the MDM takes over this role using SCEP (Simple Certificate Enrollment Protocol). Microsoft Intune, Jamf Pro, and other MDM platforms can request certificates from a cloud-hosted CA and push them silently to managed devices.

The flow works as follows. The IT administrator creates a SCEP certificate profile in the MDM, scoped to the device groups that require WiFi access. The MDM pushes the certificate to Windows, macOS, iOS, iPadOS, Android Enterprise, and ChromeOS devices automatically. The user sees nothing. The certificate is bound to the device identity in the MDM and renews automatically before expiry. When the device connects to the WiFi, it presents the certificate to the cloud RADIUS server, which validates it against the CA and applies the correct network policy.

For organisations using Microsoft Intune, Microsoft Cloud PKI provides a fully managed CA that integrates directly with Intune SCEP profiles, eliminating the need for an on-premises NDES (Network Device Enrollment Service) server. For Jamf-managed Mac and iOS fleets, Jamf's built-in CA or a third-party cloud CA serves the same purpose.

SCIM and instant access revocation

One of the most operationally important aspects of cloud RADIUS is SCIM (System for Cross-domain Identity Management) provisioning. SCIM is an open standard that pushes identity changes from the source of truth - your cloud identity provider - to dependent systems in real time. When an employee is disabled in Entra ID or Okta, SCIM pushes that change to the cloud RADIUS service immediately. The next time the device attempts to authenticate, the RADIUS server returns Access-Reject. With a short session timeout configured on the access point, the device is removed from the network within minutes of the account being disabled.

This is a material security improvement over shared PSK networks, where the only way to revoke access is to change the password across every device, and over legacy RADIUS deployments that rely on periodic LDAP syncs with a window of hours or days.

RadSec: securing RADIUS traffic over the internet

Traditional RADIUS uses UDP and provides only basic message authentication. When your RADIUS server is in the same data centre as your access points, this is acceptable. When your RADIUS server is a cloud service, the authentication traffic traverses the public internet. RadSec (RADIUS over TLS, RFC 6614) encrypts the RADIUS exchange using TLS, providing confidentiality and integrity for authentication traffic. Purple supports RadSec natively, with IPsec fallback for access points that do not yet support RadSec.

Implementation guide

Deploying cloud RADIUS with EAP-TLS requires four coordinated steps. A pilot SSID can be live in under an hour if Entra ID and an MDM are already in place.

Step 1: Connect cloud RADIUS to your identity provider

Connect Purple to your identity provider via OAuth2 admin consent (for Entra ID) or API token (for Okta and Google Workspace). This authorises Purple to read users, groups, and group memberships from the directory. Configure SCIM provisioning to push user state changes to Purple in real time. No service principal credentials are stored on disk. Group changes propagate on the next authentication event, not on a sync schedule.

Step 2: Configure your MDM and SCEP profile

In Microsoft Intune, create a Trusted Certificate Profile for the CA root, then create a SCEP certificate profile pointing at the Purple-managed CA. Scope both profiles to the device groups that require WiFi access. For Jamf, configure a SCEP payload in a configuration profile. The MDM pushes the certificates silently. Verify certificate delivery in the MDM compliance dashboard before proceeding.

Step 3: Define network policies in the cloud RADIUS dashboard

Create RADIUS policies that map identity provider groups to specific VLANs and access controls. For example, map the Entra ID group "Staff-Finance" to VLAN 20 with full internet access, and map "Staff-Contractors" to VLAN 30 with time-limited access that expires automatically. Purple's dashboard applies these policies at the point of authentication, with no firewall changes required.

Step 4: Update access point configuration

Update the SSID configuration on your access points to use WPA2-Enterprise or WPA3-Enterprise with 802.1X. Enter the Purple cloud RADIUS primary and secondary endpoint hostnames or IP addresses, along with the shared secret. Configure the access points to use dynamic VLAN assignment based on the RADIUS attributes returned by Purple. Test with a single SSID on a subset of access points before rolling out across the estate.

Cloud RADIUS vs on-premises RADIUS: a direct comparison across deployment time, Active Directory dependency, high availability, OS patching, identity integration, and certificate lifecycle management.

Best practices

These recommendations reflect IEEE 802.1X standards, PCI DSS v4.0 requirements, and operational experience across Purple's 80,000+ venue estate.

Mandate EAP-TLS for managed devices. Passwords are susceptible to phishing and credential stuffing. Certificates provide cryptographic proof of identity and device compliance. EAP-TLS is the only 802.1X method that is phishing-resistant by design.

Use SCIM for instant revocation. Periodic LDAP syncs leave a window where a terminated employee retains network access. SCIM ensures access is revoked the moment the account is disabled in the identity provider.

Deploy multi-region RADIUS. Configure your access points with at least two RADIUS endpoints in different geographic regions. Purple provides active-active multi-region failover by default, with failover completing in seconds.

Segment traffic with dynamic VLANs. Use identity provider group memberships to assign users to specific VLANs dynamically. This isolates sensitive traffic and limits the blast radius of a compromised device without requiring manual firewall changes.

Enable RadSec. If your access points support RadSec, enable it to encrypt authentication traffic between the access point and the cloud RADIUS server. This is particularly important for branch offices and venues where the access point is on an untrusted network segment.

Monitor certificate lifecycle. Set MDM auto-renewal to trigger at 80% of the certificate lifetime. For a one-year certificate, renewal begins at the 10-month mark. Alert on devices that fail to renew before the certificate expires.

For a broader treatment of enterprise WiFi security standards and frameworks, see our Enterprise WiFi Security: A Complete Guide for 2026 .

Troubleshooting and risk mitigation

Transitioning to cloud RADIUS introduces new dependencies. Prepare for these common failure modes before they affect production.

Certificate expiration. If a device certificate expires before the MDM renews it, the device fails authentication silently. The user sees a connection error with no explanation. Mitigate by configuring MDM auto-renewal at 80% of certificate lifetime and monitoring the MDM compliance dashboard for devices with expiring certificates.

MDM sync failures. A device that falls out of MDM compliance or fails to check in may not receive a renewed certificate. Implement compliance policies that flag unhealthy devices and alert administrators before the certificate expires.

Firewall blocking RADIUS traffic. The access points must reach the cloud RADIUS endpoints on UDP port 1812 (authentication) and UDP port 1813 (accounting), or TCP port 2083 for RadSec. Outbound firewall rules at branch offices frequently block these ports. Test reachability from the access point management VLAN before deployment.

SCIM provisioning failures. If the SCIM connection between the identity provider and Purple is interrupted, user state changes will not propagate. Monitor SCIM sync status in both the identity provider and the Purple dashboard. Configure alerting for sync failures.

Legacy devices without certificate support. IoT devices, printers, and older hardware may not support EAP-TLS. For these devices, use iPSK (individual pre-shared keys) rather than a shared PSK. Purple supports iPSK natively, assigning a unique key per device and placing each device on the correct VLAN without requiring 802.1X supplicant support.

ROI and business impact

Migrating from on-premises RADIUS to cloud RADIUS delivers measurable value across infrastructure, operations, and security.

Dimension	On-premises NPS	Cloud RADIUS (Purple)
Infrastructure cost	Windows Server licences, VM compute, storage	Per-AP subscription, no server hardware
Time to deploy	Days to weeks	Under one hour
High availability	Manual - two servers plus replication	Multi-region active-active, default
OS patching	Monthly, your team	Vendor-managed
WiFi helpdesk tickets	High - password resets, manual onboarding	Down 80% (Purple customer data)
Access revocation	Hours to days via LDAP sync	Seconds via SCIM

IT teams using Purple's Staff WiFi typically see WiFi support tickets drop by 80% (Purple internal data, 2024), driven by the elimination of password resets and manual device onboarding. Certificate-based authentication also satisfies PCI DSS requirement 8.3 for strong authentication and ISO 27001 control A.9.4 for system and application access control, reducing the audit burden on your security team.

For organisations in retail and hospitality , the ability to manage Staff WiFi and Guest WiFi from a single cloud dashboard - with a unified identity layer - reduces operational complexity across multi-site estates. For transport operators and healthcare providers, the instant revocation capability and full audit trail satisfy regulatory requirements without additional tooling.

Purple's WiFi Analytics layer adds occupancy and hybrid working data on top of the authentication infrastructure, turning Staff WiFi from a cost centre into a source of operational intelligence.

Definizioni chiave

802.1X

Uno standard IEEE (IEEE 802.1X-2020) per il controllo dell'accesso alla rete basato su porte. Richiede che i dispositivi si autentichino prima che l'access point conceda l'accesso alla rete, utilizzando uno scambio EAP mediato da un server RADIUS.

I team IT utilizzano l'802.1X per garantire che solo gli utenti e i dispositivi autorizzati si connettano alla rete aziendale. Fornisce crittografia per singolo utente, chiavi per singola sessione e un audit trail completo di ogni evento di connessione.

RADIUS

Remote Authentication Dial-In User Service (RFC 2865). Un protocollo di rete che fornisce una gestione centralizzata di Authentication, Authorization, and Accounting (AAA) per l'accesso alla rete.

Gli access point inoltrano ogni richiesta di connessione al server RADIUS, che decide se ammettere il dispositivo e a quale VLAN assegnarlo. Cloud RADIUS sostituisce i server NPS o FreeRADIUS on-premises.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security (RFC 5216). Un metodo di autenticazione 802.1X che utilizza uno scambio reciproco di certificati X.509 al posto delle password.

EAP-TLS rappresenta il gold standard per le flotte di dispositivi gestiti. È resistente al phishing, non richiede un archivio di hash delle password ed è l'unico metodo 802.1X che soddisfa le linee guida CISA per l'MFA resistente al phishing.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versione 2. Un metodo legacy 802.1X che convalida le password confrontandole con gli hash NTLM memorizzati in Active Directory.

PEAP-MSCHAPv2 non funziona in ambienti esclusivamente cloud perché Entra ID non memorizza gli hash NTLM. Le organizzazioni che migrano da AD on-premises devono sostituire PEAP con EAP-TLS.

SCEP

Simple Certificate Enrollment Protocol. Un protocollo utilizzato dalle piattaforme MDM per richiedere e installare automaticamente certificati digitali sui dispositivi, senza alcuna interazione da parte dell'utente.

I team IT utilizzano SCEP con Intune o Jamf per distribuire in modo silenzioso i certificati WiFi ai dispositivi dei dipendenti. SCEP sostituisce il server NDES (Network Device Enrollment Service) on-premises nelle distribuzioni cloud-first.

SCIM

System for Cross-domain Identity Management (RFC 7644). Uno standard aperto che automatizza lo scambio in tempo reale di informazioni sull'identità degli utenti tra i sistemi IT.

SCIM garantisce che quando un dipendente viene disabilitato in Entra ID o Okta, tale modifica venga inviata immediatamente al servizio cloud RADIUS, revocando l'accesso WiFi nel giro di pochi secondi anziché di ore.

NPS

Network Policy Server. L'implementazione RADIUS di Microsoft, solitamente eseguita su Windows Server come parte di un ambiente Active Directory on-premises.

Le organizzazioni cloud-first stanno dismettendo NPS per eliminare le VM Windows Server, l'applicazione delle patch del sistema operativo e la dipendenza da Active Directory on-premises. Cloud RADIUS è il sostituto diretto.

RadSec

RADIUS over TLS (RFC 6614). Un protocollo che crittografa il traffico di autenticazione RADIUS utilizzando TLS, sostituendo il trasporto in chiaro basato su UDP utilizzato dal RADIUS tradizionale.

RadSec è essenziale quando si utilizza il cloud RADIUS, poiché il traffico di autenticazione deve attraversare l'internet pubblica tra l'access point e il servizio cloud. Purple supporta RadSec nativamente.

iPSK

Individual Pre-Shared Key. Una variante di WPA2-Personal che assegna una chiave precondivisa univoca a ciascun dispositivo, anziché un'unica chiave condivisa per tutti i dispositivi.

L'iPSK viene utilizzato per i dispositivi IoT, le stampanti e altri componenti hardware che non supportano l'802.1X EAP-TLS. Fornisce tracciabilità per singolo dispositivo e assegnazione della VLAN senza richiedere il supporto dei certificati.

Dynamic VLAN

Una tecnica di segmentazione della rete in cui il server RADIUS restituisce un identificatore VLAN nella risposta Access-Accept e l'access point inserisce automaticamente il dispositivo in quella VLAN.

Le VLAN dinamiche consentono ai team IT di segmentare il personale, i collaboratori esterni, i dispositivi IoT e gli ospiti in segmenti di rete separati in base all'appartenenza ai gruppi dell'identity provider, senza modifiche manuali al firewall.

Esempi pratici

Una catena di vendita al dettaglio con 400 punti vendita deve proteggere il WiFi del personale in tutte le sedi. Utilizza access point Cisco Meraki e Microsoft Entra ID con Intune per la gestione dei dispositivi. Attualmente utilizza una chiave PSK WPA2-Personal condivisa perché non dispone di un Active Directory on-premises per eseguire NPS. Un recente audit interno ha segnalato la PSK condivisa come una lacuna di conformità PCI DSS.

La catena implementa il cloud RADIUS di Purple. Innanzitutto, collega Purple a Entra ID tramite il consenso amministratore OAuth e configura il provisioning SCIM. In Intune, crea un Profilo certificato attendibile per la CA root di Purple e un profilo certificato SCEP associato al gruppo di dispositivi "Staff-Retail". Intune distribuisce silenziosamente i certificati a tutti i terminali POS gestiti e ai tablet del personale. Nella dashboard Meraki, aggiorna l'SSID del personale a WPA2-Enterprise, inserisce gli endpoint primario e secondario del cloud RADIUS di Purple e abilita l'assegnazione dinamica della VLAN. Quando un dispositivo si connette, presenta il certificato emesso da Intune, Purple lo convalida rispetto alla CA e controlla il gruppo Entra ID, e il dispositivo viene inserito nella VLAN 10 (rete del personale) o nella VLAN 20 (rete di gestione) in base all'appartenenza al gruppo. La PSK condivisa viene dismessa. Il roll-out su 400 siti richiede un solo fine settimana, poiché non viene distribuito alcun hardware in loco, ma solo modifiche alla configurazione dell'SSID in Meraki.

Commento dell'esaminatore: Questo approccio elimina la PSK condivisa, fornendo responsabilità per singolo dispositivo e chiavi di crittografia per singola sessione. Ogni evento di autenticazione viene registrato con utente, dispositivo, AP e SSID, soddisfacendo il requisito PCI DSS 10.2 per i registri di controllo. Sfruttando Intune SCEP e il cloud RADIUS, la catena ottiene la sicurezza 802.1X senza distribuire server on-premises in nessuna delle sue 400 sedi. L'alternativa, ovvero la distribuzione di VM NPS in ogni sito o in una topologia hub-and-spoke, richiederebbe settimane di lavoro sull'infrastruttura e patch continue.

Un'università con 15.000 studenti utilizza Google Workspace come provider di identità principale. Il team IT desidera fornire un WiFi sicuro per il personale e gli studenti su un parco dispositivi BYOD composto da MacBook, Chromebook e telefoni Android. Non hanno un Active Directory on-premises e non hanno intenzione di gestire server.

L'università integra il cloud RADIUS di Purple con Google Workspace. Per i Chromebook gestiti, utilizza Google Admin per distribuire un profilo di certificato WiFi tramite SCEP, registrando silenziosamente ogni dispositivo. Per i MacBook e i telefoni Android BYOD, distribuisce un'applicazione di onboarding leggera che autentica l'utente con le sue credenziali Google e installa un certificato sul dispositivo con un solo tocco. Le connessioni successive utilizzano EAP-TLS in modo silenzioso. Purple mappa le unità organizzative di Google Workspace sulle VLAN: il personale atterra sulla VLAN 10, gli studenti sulla VLAN 20 e i visitatori ospiti su un SSID con Captive Portal. Quando uno studente si laurea e il suo account Google viene sospeso, SCIM invia la modifica a Purple e il suo accesso WiFi viene revocato nel giro di pochi minuti.

Commento dell'esaminatore: Questa soluzione fornisce un accesso 802.1X sicuro per un parco dispositivi misto, gestito e BYOD, senza richiedere Active Directory. L'applicazione di onboarding gestisce la complessità del provisioning dei certificati per i dispositivi BYOD, che non possono essere gestiti tramite MDM. L'integrazione SCIM di Google Workspace garantisce che l'infrastruttura WiFi rimanga allineata con la directory dell'università senza interventi manuali. Questo modello è in produzione presso l'Università di Sheffield, l'Università di Leeds e l'University of the Arts London, tutti clienti Purple.

Domande di esercitazione

Q1. La tua organizzazione è migrata completamente da Active Directory on-premises a Microsoft Entra ID. La tua attuale WiFi per il personale utilizza PEAP-MSCHAPv2 tramite un server NPS associato al vecchio dominio. Dopo la disattivazione del controller di dominio, il personale segnala di non riuscire più a connettersi alla WiFi. Qual è la causa principale e quale la corretta soluzione a lungo termine?

Suggerimento: Considera ciò che PEAP-MSCHAPv2 richiede alla directory e se Entra ID lo fornisce.

Visualizza risposta modello

La causa principale è che PEAP-MSCHAPv2 richiede al server RADIUS di convalidare la password dell'utente rispetto a un hash NTLM memorizzato in Active Directory. Con il controller di dominio disattivato, NPS non ha una directory con cui effettuare la convalida. Entra ID non memorizza gli hash NTLM, quindi NPS non può essere reindirizzato a Entra ID. La soluzione corretta a lungo termine consiste nel sostituire NPS con un servizio cloud RADIUS, migrare da PEAP-MSCHAPv2 a EAP-TLS e utilizzare l'MDM (Intune) per emettere certificati di dispositivo tramite SCEP. Questo elimina la dipendenza da qualsiasi directory on-premises.

Q2. Stai distribuendo il cloud RADIUS per una flotta di 200 MacBook aziendali gestiti da Jamf Pro. Il tuo identity provider è Okta. Qual è il modo più sicuro ed efficiente dal punto di vista operativo per fornire le credenziali WiFi a questi dispositivi?

Suggerimento: Cerca un metodo che non richieda alcuna interazione da parte dell'utente, eviti le password e si integri con il tuo MDM esistente.

Visualizza risposta modello

Configura Jamf Pro per utilizzare SCEP per inviare in modo invisibile i certificati di dispositivo ai MacBook. Crea un payload SCEP in un profilo di configurazione Jamf, puntando alla CA gestita dal tuo provider cloud RADIUS. Associa il profilo al gruppo di dispositivi pertinente. Jamf invierà automaticamente il certificato a ciascun MacBook, senza alcuna interazione da parte dell'utente. Configura il profilo WiFi nello stesso profilo di configurazione per utilizzare EAP-TLS con il certificato emesso tramite SCEP. Connetti il servizio cloud RADIUS a Okta tramite SCIM per garantire che, quando un dipendente viene disattivato in Okta, il suo accesso alla WiFi venga revocato immediatamente.

Q3. Un dipendente viene licenziato alle 9:00 di lunedì. Il suo account Entra ID viene disattivato dalle Risorse Umane alle 9:05. Alle 9:30, un avviso di sicurezza mostra che il laptop del dipendente è ancora connesso alla WiFi aziendale dal parcheggio. Quale configurazione manca e come si risolve il problema?

Suggerimento: In che modo il server RADIUS viene a conoscenza del fatto che lo stato dell'utente è cambiato nell'identity provider?

Visualizza risposta modello

La distribuzione si affida a sincronizzazioni LDAP periodiche anziché al provisioning SCIM. La sincronizzazione LDAP non è ancora stata eseguita da quando l'account è stato disattivato, quindi il servizio cloud RADIUS considera l'utente ancora attivo. La soluzione consiste nell'abilitare il provisioning SCIM tra Entra ID e il servizio cloud RADIUS. SCIM invia le modifiche dello stato dell'utente in tempo reale, quindi quando l'account viene disattivato in Entra ID alle 9:05, il servizio RADIUS riceve immediatamente la modifica. Al successivo tentativo di riautenticazione del dispositivo (controllato dal timeout di sessione sull'access point), questo riceverà un Access-Reject. L'impostazione di un timeout di sessione breve (da 15 a 30 minuti) sull'access point limita la finestra temporale massima tra la disattivazione dell'account e l'espulsione dalla rete.

Q4. La tua sede ha 50 dispositivi IoT (lettori di segnaletica digitale, sensori ambientali e stampanti) che non supportano 802.1X EAP-TLS. Come puoi proteggere questi dispositivi sulla stessa infrastruttura WiFi della rete del personale EAP-TLS?

Suggerimento: Considera quale metodo di autenticazione fornisce una responsabilità per singolo dispositivo senza richiedere il supporto dei certificati.

Visualizza risposta modello

Utilizza iPSK (chiavi pre-condivise individuali) per i dispositivi IoT. Assegna una chiave pre-condivisa univoca a ciascun dispositivo nella dashboard del cloud RADIUS, insieme a un'assegnazione VLAN. Ciascun dispositivo si autentica con la sua chiave univoca, che il server RADIUS convalida e utilizza per collocare il dispositivo nella VLAN IoT, isolata dalla rete del personale. Se un dispositivo viene compromesso o disattivato, revochi solo la chiave di quel dispositivo senza influire su nessun altro. Questo approccio garantisce la responsabilità per singolo dispositivo e la segmentazione della rete senza richiedere il supporto del supplicant 802.1X sull'hardware IoT.

Continua a leggere questa serie

Tre SSID per domarli tutti: guida alla configurazione di WiFi guest, Passpoint e IoT

Questa guida tecnica fornisce un progetto definitivo per l'implementazione del design a tre SSID WiFi nelle strutture aziendali. Dettaglia la configurazione di un Captive Portal Guest aperto, l'onboarding automatizzato di Passpoint e l'autenticazione xPSK per dispositivo per ottenere una segmentazione VLAN completa e un accesso di rete zero-trust.

Tre SSID per domarli tutti: guida alla configurazione del WiFi per ospiti, personale e IoT

Questa guida tecnica autorevole fornisce un piano d'azione passo-passo per implementare un'architettura WiFi a tre SSID. Spiega come segmentare il traffico di ospiti, personale e IoT utilizzando Captive Portals, 802.1X RADIUS e PSK per singolo dispositivo (xPSK) per ottimizzare le prestazioni e garantire la conformità PCI DSS.

Come revocare l'accesso WiFi quando un dipendente lascia l'azienda

Questa guida spiega in dettaglio come revocare l'accesso WiFi quando un dipendente lascia l'azienda, sostituendo le password condivise non sicure con certificati 802.1X per singolo utente o iPSK. Copre il deprovisioning automatizzato tramite SCIM per soddisfare i requisiti di audit ISO 27001 e SOC 2.