Integrazione di RADIUS as a Service con directory cloud (Azure AD e Google Workspace)

Questa guida tecnica di riferimento descrive in dettaglio come integrare RADIUS as a Service con le directory cloud - Microsoft Entra ID e Google Workspace - per l'autenticazione WiFi aziendale. Copre il passaggio architetturale da NPS on-premise a RADIUS cloud-native, l'implementazione dell'autenticazione EAP-TLS basata su certificati e le migliori pratiche operative per proteggere l'accesso wireless negli ambienti dell'ospitalità, della vendita al dettaglio e del settore pubblico. Per i responsabili IT e gli architetti di rete che hanno già investito nell'identità cloud, questa guida colma il divario tra la gestione delle directory e la sicurezza della rete fisica.

📖 10 minuti di lettura📝 2,373 parole🔧 2 esempi pratici❓ 4 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti al Technical Briefing di Purple. Oggi tratteremo un argomento che si colloca all'intersezione tra la gestione delle identità in cloud e la sicurezza delle reti fisiche: l'integrazione di RADIUS as a Service con le directory cloud, nello specifico Microsoft Entra ID e Google Workspace.

Se gestite il WiFi aziendale in un hotel, in un'area retail, in uno stadio o in un immobile del settore pubblico, questo briefing è direttamente rilevante per la vostra prossima decisione infrastrutturale.

Partiamo dal contesto. Negli ultimi vent'anni, l'autenticazione WiFi negli ambienti aziendali si è basata su uno stack piuttosto prevedibile. C'era Active Directory on-premise, Windows Network Policy Server che fungeva da server RADIUS e WPA2-Enterprise sugli access point. Funzionava. Ma richiedeva server on-premise, gestione manuale dei certificati e un team con competenze specialistiche per mantenerlo attivo.

Il problema è che la maggior parte delle organizzazioni non è più orientata all'on-premise. Sono orientate al cloud. Microsoft Entra ID e Google Workspace sono ormai le directory di riferimento per milioni di organizzazioni. Ed ecco il divario: i vostri access point wireless parlano ancora RADIUS. Non capiscono SAML. Non capiscono OAuth. Parlano RADIUS, e lo faranno sempre.

Quindi la domanda è: come collegare la piattaforma di identità cloud all'infrastruttura di rete fisica, senza dover reintrodurre un server on-premise?

La risposta è RADIUS as a Service. Un server RADIUS ospitato nel cloud che si integra direttamente con la directory cloud, convalida le richieste di autenticazione in tempo reale e restituisce una decisione di accesso all'access point. Nessun server on-premise. Nessuna patch. Nessuna emergenza per il rinnovo dei certificati alle 2 del mattino.

La base è lo standard IEEE 802.1X. Quando un dispositivo tenta di connettersi a una rete WPA2-Enterprise o WPA3-Enterprise, l'access point funge da autenticatore. Intercetta il tentativo di connessione e inoltra i pacchetti EAP al server RADIUS. Il server RADIUS convalida l'identità e restituisce un Access-Accept o un Access-Reject. Solo allora l'access point concede l'accesso alla rete.

Ora, la decisione tecnica più importante di tutta questa implementazione è la scelta del metodo EAP.

PEAP-MSCHAPv2 è il vecchio metodo. Utilizza nomi utente e password. Sembra sicuro. Non lo è. Se un dispositivo non convalida rigorosamente il certificato del server RADIUS, un utente malintenzionato può configurare un access point fittizio con il vostro SSID, intercettare l'handshake e catturare le credenziali. Questo è noto come attacco Evil Twin, ed è una realtà concreta.

EAP-TLS è la risposta corretta. Utilizza certificati digitali sia sul server che sul dispositivo client per l'autenticazione reciproca. Non sono coinvolte password. Il dispositivo presenta il proprio certificato. Il server RADIUS lo convalida rispetto alla directory cloud in tempo reale. Nessun furto di credenziali possibile. Nessun vettore di phishing. Nessun ticket all'helpdesk quando qualcuno cambia la propria password.

Esaminiamo ora un'implementazione con Microsoft Entra ID.

Fase uno: licenze e PKI. È necessario disporre di Microsoft 365 E3 o E5 per accedere a Intune e Conditional Access. Stabilisci una PKI cloud utilizzando la PKI gestita del tuo fornitore Cloud RADIUS o la Cloud PKI nativa di Microsoft.

Fase due: distribuzione dei certificati tramite Intune. Crea un profilo Certificato attendibile con la tua CA radice e distribuiscilo ai gruppi di dispositivi. Successivamente, crea un profilo di certificato SCEP. Per l'autenticazione basata sull'utente, il nome del soggetto utilizza l'User Principal Name.

Fase tre: configurazione di Cloud RADIUS. Concedi al servizio RADIUS le autorizzazioni Microsoft Graph API: User.Read.All e GroupMember.Read.All. Definisci i tuoi criteri di autenticazione: consenti l'accesso se il certificato è emesso dalla nostra CA attendibile, l'utente è membro del gruppo Corporate-WiFi-Users in Entra ID e il dispositivo è contrassegnato come conforme in Intune.

Fase quattro: infrastruttura wireless. Nel tuo controller, che si tratti di Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist, aggiungi gli indirizzi IP di Cloud RADIUS e le chiavi condivise (shared secrets). Imposta il timeout RADIUS ad almeno cinque secondi. Crea il tuo SSID WPA3-Enterprise.

Fase cinque: distribuzione del profilo WiFi. Crea un profilo di configurazione WiFi in Intune. Imposta l'SSID, seleziona WPA3-Enterprise, scegli EAP-TLS e collega il profilo del certificato SCEP. I dispositivi riceveranno in modo invisibile il certificato e il profilo WiFi alla sincronizzazione successiva, connettendosi automaticamente. Nessuna interazione richiesta da parte dell'utente.

Ora esaminiamo il percorso relativo a Google Workspace, poiché differisce dal punto di vista dell'architettura per un aspetto importante.

Google non offre un servizio RADIUS nativo. Non esiste un equivalente Google di Windows NPS. Pertanto, avrai sempre bisogno di un intermediario: un provider Cloud RADIUS che si connetta a Google Workspace tramite Google Secure LDAP o tramite un'integrazione SAML e OAuth.

Google Secure LDAP è disponibile per le edizioni Cloud Identity Premium e Google Workspace Enterprise. Fornisce un'interfaccia LDAP tradizionale alla tua directory cloud. Il tuo server Cloud RADIUS si connette a ldap.google.com sulla porta 636 utilizzando i certificati client generati da Google per te. Da quel momento, il server RADIUS può interrogare la directory di Google per convalidare le credenziali o l'appartenenza ai gruppi.

Per i Chromebook gestiti, il percorso di distribuzione utilizza la Console di amministrazione Google. Configura una PKI cloud per emettere certificati, invia la CA radice e i certificati client ai Chromebook e distribuisci un profilo WiFi specificando EAP-TLS. I Chromebook si connettono in modo invisibile. Per i dispositivi BYOD e l'accesso ospite, si utilizza un Captive Portal associato al Single Sign-On di Google. Questa è la corretta separazione: EAP-TLS per i dispositivi gestiti, Captive Portal per tutto il resto.

Parliamo ora delle insidie, perché è qui che le distribuzioni spesso falliscono.

La prima e più comune è rappresentata dalle porte del firewall bloccate. L'autenticazione RADIUS utilizza la porta UDP 1812. L'accounting RADIUS utilizza la porta UDP 1813. Se queste porte non sono aperte in uscita dalla tua infrastruttura wireless verso il servizio Cloud RADIUS, non funzionerà nulla. Verifica questo aspetto per primo, sempre.

Il secondo errore comune è la scadenza dei certificati. Se il certificato del server RADIUS scade, tutti i dispositivi sulla rete perdono la connettività contemporaneamente. Imposta avvisi di monitoraggio a 90, 30 e 7 giorni prima della scadenza. Automatizza il rinnovo ove possibile.

Il terzo è il disallineamento dell'orologio (clock skew). EAP-TLS si basa su una misurazione precisa del tempo per la convalida dei certificati. Se l'orologio di sistema di un dispositivo è significativamente fuori sincrono, la convalida del certificato fallisce. Assicurati che l'NTP sia configurato correttamente su tutti i dispositivi e sull'infrastruttura.

Il quarto, specifico per le distribuzioni PEAP, consiste nel non imporre una convalida rigorosa del certificato del server sui dispositivi client. Senza di essa, i dispositivi accetteranno qualsiasi certificato presentato da qualsiasi access point che dichiari di essere il tuo. Questa è l'unica decisione di configurazione che separa una distribuzione sicura da una vulnerabile.

Ora passiamo a una rapida sessione di domande e risposte.

Posso usare Cloud RADIUS sia per il personale che per il WiFi degli ospiti? Per il WiFi del personale sì, utilizzando EAP-TLS. Il WiFi degli ospiti dovrebbe utilizzare un Captive Portal separato. Unire i due su un unico SSID crea complessità e rischi di sicurezza non necessari.

Funziona con WPA3? Sì. WPA3-Enterprise è completamente supportato e consigliato per tutte le nuove distribuzioni.

E per quanto riguarda la conformità? EAP-TLS con Cloud RADIUS supporta i requisiti PCI DSS per l'autenticazione forte sulle reti di dati dei titolari di carta. Supporta inoltre gli obblighi GDPR consentendo una registrazione precisa degli accessi e la revoca immediata quando un dipendente lascia l'azienda.

In che modo questo influisce sulle nostre capacità di analytics? In modo positivo. Collegando l'accesso alla rete a un'identità cloud verificata, piattaforme come WiFi Analytics di Purple forniscono dati più ricchi sull'utilizzo dello spazio. Passi da indirizzi MAC anonimi a utenti autenticati e identificati, il che trasforma la qualità dei tuoi insight.

Per riassumere i punti chiave.

Uno: Cloud RADIUS elimina le dipendenze dai server on-premise. I tuoi access point si autenticano rispetto a un servizio ospitato in cloud che si integra direttamente con Entra ID o Google Workspace.

Due: EAP-TLS è il metodo di autenticazione corretto. I certificati sostituiscono le password. Nessun vettore di phishing, nessun furto di credenziali, nessun sovraccarico per l'helpdesk dovuto alla reimpostazione delle password.

Tre: Microsoft Intune e Google Admin Console automatizzano la distribuzione dei certificati. I dispositivi ricevono i certificati e i profili WiFi in modo silenzioso, senza alcuna interazione da parte dell'utente.

Quattro: L'assegnazione dinamica della VLAN tramite gli attributi RADIUS consente una segmentazione granulare della rete in base all'appartenenza ai gruppi di directory. Ciò limita i movimenti laterali e supporta la conformità.

Cinque: Verifica sempre che le porte 1812 e 1813 siano aperte, monitora la scadenza dei certificati e imponi una convalida rigorosa del certificato del server.

Se state pianificando un'implementazione per questo trimestre, iniziate con un gruppo pilota da 20 a 50 dispositivi. Validate l'implementazione dei certificati, l'autenticazione RADIUS e l'assegnazione della VLAN prima di procedere con il roll-out globale. L'investimento per eseguire correttamente questa fase iniziale ripagherà ampiamente riducendo il carico di lavoro dell'helpdesk, rafforzando la postura di sicurezza e offrendo la possibilità di utilizzare i dati di rete per una reale business intelligence.

Grazie per aver ascoltato il Technical Briefing di Purple. Per i passaggi dettagliati di implementazione, gli esempi di configurazione e gli scenari pratici, consultate la guida di riferimento tecnico completa su purple.ai.

Punti chiave

✓Cloud RADIUS elimina i server NPS e FreeRADIUS on-premise. I tuoi access point si autenticano tramite un servizio ospitato in cloud che si integra direttamente con Microsoft Entra ID o Google Workspace.
✓EAP-TLS è il metodo di autenticazione corretto per il WiFi aziendale. Utilizza certificati digitali anziché password, eliminando il furto di credenziali, il phishing e i costi di assistenza legati alle password.
✓Microsoft Intune e Google Admin Console automatizzano la distribuzione dei certificati sui dispositivi gestiti tramite profili SCEP. I dispositivi ricevono certificati e profili WiFi in modo silenzioso, senza alcuna interazione da parte dell'utente.
✓Google Workspace richiede un intermediario per l'integrazione RADIUS. Google Secure LDAP (disponibile nelle edizioni Cloud Identity Premium ed Enterprise) fornisce l'interfaccia LDAP utilizzata dai server Cloud RADIUS per interrogare la directory di Google.
✓L'assegnazione dinamica della VLAN tramite attributi RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) consente una segmentazione granulare della rete in base all'appartenenza ai gruppi della directory, supportando i requisiti PCI DSS.
✓Verifica prima le porte UDP 1812 e 1813. Le porte del firewall bloccate sono la causa principale del fallimento della distribuzione iniziale. Monitora la scadenza dei certificati a 90, 30 e 7 giorni. Imponi una convalida rigorosa del certificato del server su tutte le distribuzioni PEAP.
✓La disattivazione di un utente in Entra ID o Google Workspace revoca immediatamente il suo accesso WiFi in tutte le sedi. Questo è il principale vantaggio di offboarding rispetto alle reti basate su PSK e supporta direttamente gli obblighi del GDPR.

Executive summary

For modern enterprises invested in cloud identity ecosystems, bridging cloud directories with physical wireless networks is a critical security imperative. Historically, WiFi authentication relied on on-premise Active Directory Domain Services and Windows Network Policy Server (NPS). As organisations migrate to Microsoft Entra ID and Google Workspace, that on-premise authentication stack becomes a liability - costly to maintain, difficult to scale, and incompatible with zero-trust security models.

RADIUS as a Service (RADIUSaaS) changes the equation. A cloud-hosted RADIUS server integrates directly with your cloud directory, validates authentication requests in real time, and returns access decisions to your access points - with no on-premise servers, no patching cycles, and no single point of failure. Combined with EAP-TLS certificate-based authentication, this architecture eliminates credential theft, supports PCI DSS and GDPR compliance, and delivers a seamless experience for staff across every site.

This guide covers the architectural decision between on-premise NPS and cloud-native RADIUS, the deployment of EAP-TLS via Microsoft Intune and Google Admin Console, and the operational best practices for securing wireless access across hotels, retail estates, stadiums, and public-sector venues. For a broader introduction to network access control, see A Guide to Your Network Access Control System .

Technical deep-dive: architecture and standards

The role of RADIUS and IEEE 802.1X

The foundation of secure enterprise WiFi is the IEEE 802.1X standard, which provides port-based network access control. When a client device (the supplicant) attempts to connect to a WPA2-Enterprise or WPA3-Enterprise network, the Wireless Access Point (the authenticator) blocks all traffic except EAP (Extensible Authentication Protocol) packets. The AP forwards these packets to a RADIUS server. The RADIUS server validates the identity against a directory service and returns an Access-Accept or Access-Reject message. Only then does the AP grant network access.

This three-party model - supplicant, authenticator, authentication server - is the cornerstone of enterprise wireless security and is defined in IEEE 802.1X. It has not fundamentally changed since its introduction. What has changed is where the RADIUS server lives and how it communicates with your directory.

Cloud-native RADIUS architecture

A cloud-native RADIUS architecture eliminates the need for on-premise NPS or FreeRADIUS servers. A third-party Cloud RADIUS provider integrates directly with Microsoft Entra ID via Microsoft Graph API, or with Google Workspace via Google Secure LDAP or SAML/OAuth. Authentication happens entirely in the cloud. This aligns with zero-trust network access principles and significantly reduces operational overhead.

The table below compares the two primary architectural approaches:

Dimension	Hybrid on-premise (NPS)	Cloud-native (RADIUSaaS)
Infrastructure	Windows Server VM or bare metal required	No on-premise servers
Identity source	AD DS via LDAP/Kerberos	Entra ID or Google Workspace via API
Certificate authority	ADCS on-premise + Intune Connector	Cloud PKI from vendor or Microsoft
High availability	Manual HA and load balancing	Auto-scaled by provider
Setup time	Days to weeks	Hours
Best for	Hybrid AD, legacy devices	Cloud-first, MDM-managed organisations
Operational complexity	Higher initial and ongoing	Lower operational overhead

EAP-TLS vs. PEAP-MSCHAPv2: the critical choice

The choice of EAP method is the single most consequential security decision in this deployment. PEAP-MSCHAPv2 relies on users entering their domain credentials. This is vulnerable to credential theft and man-in-the-middle attacks. If a client device does not strictly validate the RADIUS server certificate - and many do not by default - an attacker can deploy a rogue access point with your SSID, intercept the EAP handshake, and capture credentials. This is an Evil Twin attack, and it is well-documented.

EAP-TLS (Transport Layer Security) uses digital certificates installed on the client device for mutual authentication. Both the client and the server prove their identity cryptographically. There are no passwords to type or steal. In a Microsoft environment, certificates deploy silently via Microsoft Intune using SCEP (Simple Certificate Enrollment Protocol) or PKCS profiles. This is the recommended path for all new deployments and is essential for compliance with PCI DSS v4.0 (Requirement 8.3 on strong authentication) and GDPR data protection obligations.

Google Workspace: the architectural difference

Microsoft Entra ID and Google Workspace differ in one important way for RADIUS integration. Microsoft NPS integrates natively with Active Directory, and Cloud RADIUS providers connect to Entra ID via Microsoft Graph API. Google, however, does not offer a native RADIUS service. You always need an intermediary.

Google Secure LDAP is the primary integration path. Available on Cloud Identity Premium and Google Workspace Enterprise editions, it provides a traditional LDAP interface to your cloud directory. Your Cloud RADIUS server connects to ldap.google.com on port 636 using client certificates that Google generates for you. From that point, the RADIUS server queries Google's directory to validate credentials or group memberships, just as it would query an on-premise Active Directory.

An alternative path uses SAML-based integration, where the Cloud RADIUS provider registers as a SAML application in Google Admin Console and performs an OAuth lookup at authentication time to verify the user's identity and group memberships in real time.

Implementation guide

Implementing RADIUSaaS with EAP-TLS requires coordinating identity, device management, and network infrastructure. The following five-phase approach applies to both Microsoft Entra ID and Google Workspace environments.

Phase 1: prepare identity and device management infrastructure

For Microsoft Entra ID: verify that your tenant has Microsoft 365 E3/E5 or Enterprise Mobility + Security (EMS) E3/E5 licensing. This includes Microsoft Intune and Conditional Access. Without Intune, automated certificate deployment is not possible.

For Google Workspace: confirm you have Cloud Identity Premium or Google Workspace Enterprise to access Google Secure LDAP. If you plan to use EAP-TLS on managed Chromebooks, ensure the Google Admin Console is configured to manage device certificates.

Establish your Public Key Infrastructure (PKI). For new deployments, a cloud-native PKI provided by your Cloud RADIUS vendor is strongly recommended. Alternatives include Microsoft Cloud PKI (available with Intune Suite licensing) or an existing on-premise ADCS deployment connected via the Microsoft Intune Certificate Connector.

Phase 2: configure certificate deployment

Microsoft Intune path: in the Intune admin centre, create a Trusted Certificate configuration profile. Upload the Root CA certificate and deploy it to your target device groups. This ensures client devices trust the certificate presented by the RADIUS server during the TLS handshake. Next, create a SCEP Certificate profile. For user-based authentication, set the Subject Name to CN={{UserPrincipalName}}. For device-based authentication, use CN={{DeviceName}}. Set the Subject Alternative Name to include the User Principal Name or device ID.

Google Admin Console path: navigate to Devices, then Networks, then Certificates. Upload your Root CA. Configure a certificate issuance mechanism - either a cloud PKI that supports SCEP integration with Google Workspace, or the Google Cloud Certificate Connector which proxies requests to an on-premise Microsoft Certificate Authority. Deploy the Root CA and client certificate profiles to the appropriate Organisational Units.

Phase 3: configure Cloud RADIUS integration

Grant your Cloud RADIUS provider the necessary API permissions in your directory tenant. For Entra ID, this requires at minimum User.Read.All and GroupMember.Read.All via Microsoft Graph API. Some providers also require Device.Read.All for device compliance checks. For Google Workspace via Secure LDAP, download the client certificate and key from Google Admin Console and install them on the RADIUS service.

Define your authentication policies within the Cloud RADIUS management portal. A well-structured policy for a corporate environment: "Allow access if the certificate is issued by [Trusted CA] AND the user is a member of the [Corporate-WiFi-Users] group AND the device is marked Compliant in Intune." This enforces identity, group membership, and device health simultaneously.

Phase 4: configure wireless infrastructure

In your wireless LAN controller or cloud management dashboard - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet - add the Cloud RADIUS server IP addresses and shared secrets as RADIUS authentication servers. Configure primary and secondary servers for redundancy. Set the RADIUS timeout to a minimum of five seconds to accommodate cloud round-trip latency.

Create a new SSID configured for WPA2-Enterprise or WPA3-Enterprise. For Hospitality deployments, ensure the corporate SSID is on a separate VLAN from any Guest WiFi network. For Retail environments, consider deploying the corporate SSID only in back-of-house areas.

Phase 5: deploy WiFi profile via MDM

Microsoft Intune: create a WiFi configuration profile. Set the SSID to match your infrastructure configuration exactly. Select WPA2-Enterprise or WPA3-Enterprise. Under EAP settings, select EAP-TLS. Link the SCEP certificate profile as the client certificate and specify the Trusted Root CA profile. Assign this WiFi profile to the same device groups that received the certificate profiles. Devices silently receive the certificate and the WiFi configuration during their next Intune sync.

Google Admin Console: navigate to Devices, then Networks, then Wi-Fi. Create a new WiFi network profile. Set the SSID, select WPA3-Enterprise, choose EAP-TLS, and push the trusted Root CA certificate to the devices. Apply this profile to your Organisational Units. Chromebooks connect silently and securely.

Best practices

Mandate EAP-TLS across all new deployments. Do not deploy new networks using PEAP-MSCHAPv2. The security risks are well-documented and the migration path is straightforward with modern MDM tooling.

Enforce strict server certificate validation. If you must use PEAP for legacy devices, configure the devices to validate the RADIUS server's certificate. In the Intune WiFi profile and in the Google Admin Console WiFi profile, there is a field to specify the trusted CA for server validation. Do not leave this blank. This single configuration decision is the difference between a secure deployment and a vulnerable one.

Segment your network with dynamic VLAN assignment. Use your RADIUS server to inspect the user's group membership in Entra ID or Google Workspace and dynamically assign them to different VLANs. The RADIUS server returns the Tunnel-Private-Group-Id attribute to the access point, which places the client on the correct VLAN. This limits lateral movement in the event of a compromise and supports PCI DSS network segmentation requirements.

Separate corporate and guest authentication. Use EAP-TLS for corporate-managed devices. Use a captive portal with SSO for BYOD and guest devices. Trying to manually configure EAP-TLS on unmanaged devices creates excessive support overhead. Purple's Guest WiFi platform handles guest onboarding separately, maintaining a clean separation between staff and visitor traffic.

Monitor certificate expiry proactively. Set up monitoring and alerting at 90 days, 30 days, and seven days before certificate expiry. If your RADIUS server certificate expires, all devices lose connectivity simultaneously. Automate renewal where your PKI supports it.

Test RADIUS timeout settings. Cloud RADIUS introduces network round-trip latency that on-premise NPS does not. Set the RADIUS timeout on your access points to at least five seconds. A timeout of two seconds - common in default configurations - will cause intermittent authentication failures.

Troubleshooting and risk mitigation

Blocked firewall ports are the leading cause of initial deployment failure. RADIUS authentication requires UDP port 1812 outbound from your wireless infrastructure to the Cloud RADIUS service. RADIUS accounting requires UDP port 1813. Verify these are open before any other troubleshooting.

Certificate validation failures present as authentication rejections with no obvious cause. Check the following in order: certificate expiry on both the client and the RADIUS server; clock skew between the client device and the RADIUS server (EAP-TLS relies on accurate timekeeping); and whether the Root CA certificate has been successfully deployed to the device via MDM.

Group membership not enforcing is a common issue when RADIUS policies reference Entra ID or Google Workspace groups. Verify that the Cloud RADIUS provider has the correct API permissions to read group memberships. In Entra ID, confirm the service principal has GroupMember.Read.All. In Google Workspace, confirm the Secure LDAP client has permission to read group information.

VLAN assignment not working typically indicates a mismatch between the RADIUS attribute values and the VLAN IDs configured on the wireless infrastructure. Confirm that Tunnel-Type is set to VLAN (value 13), Tunnel-Medium-Type is set to 802 (value 6), and Tunnel-Private-Group-Id matches the VLAN ID configured on the switch or controller.

BYOD devices failing EAP-TLS usually indicates the client certificate was not successfully deployed. For Intune-managed devices, check the device's certificate store in the Intune admin centre. For Google-managed Chromebooks, verify the certificate profile is assigned to the correct Organisational Unit and that the device has synced recently.

ROI and business impact

Moving to Cloud RADIUS delivers measurable operational savings. On-premise RADIUS requires at minimum two servers for high availability, ongoing OS patching, certificate management, and specialist engineering time. A single engineer's time spent on RADIUS maintenance over a year typically exceeds the annual cost of a Cloud RADIUS subscription.

The business case extends beyond cost reduction. By tying network access to verified cloud identities, you gain:

Instant offboarding. Disabling a user in Entra ID or Google Workspace immediately revokes their network access at all sites. There is no lag, no manual process, and no risk of a former employee retaining WiFi access. This directly supports GDPR obligations around data access rights.

Richer analytics. Platforms like Purple's WiFi Analytics provide richer data on space utilisation and visitor journeys when network access is tied to authenticated identities. You move from anonymous MAC addresses to named, authenticated users, which transforms the quality of insight available to operations and marketing teams.

Compliance evidence. EAP-TLS authentication generates detailed access logs - who connected, from which device, at which location, and at what time. This audit trail supports PCI DSS Requirement 10 (logging and monitoring) and GDPR accountability obligations.

Multi-site consistency. A single Cloud RADIUS service authenticates all your sites with consistent policies, managed from one dashboard. Adding a new hotel, store, or venue means adding its access points to the RADIUS configuration - not shipping and configuring another server. For organisations managing large estates, this is a significant operational advantage.

For Transport operators and Healthcare venues where network uptime is operationally critical, Cloud RADIUS providers typically offer 99.999% uptime SLAs with multi-region failover built in. Purple operates at 99.999% uptime across 80,000+ live venues, with 440 million logins processed in 2024 (Purple internal data, 2024).

For further reading on related topics, see WAN Computer Definition: A Practical Guide for 2026 and World WiFi Day 2026: How Your Venue Can Help Bridge the Digital Divide .

Definizioni chiave

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete definito nella RFC 2865 che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA) per gli utenti che si connettono a un servizio di rete. Il server RADIUS funge da motore decisionale tra i punti di accesso e la directory delle identità.

Ogni rete WiFi aziendale WPA2-Enterprise o WPA3-Enterprise dipende da un server RADIUS. Senza di esso, l'autenticazione IEEE 802.1X non funziona.

RADIUS as a Service (RADIUSaaS)

Un'implementazione RADIUS ospitata in cloud e fornita come servizio gestito. Il provider gestisce l'infrastruttura, le patch, l'alta affidabilità e le integrazioni con i provider di identità. L'utente configura i criteri di autenticazione e indirizza i punti di accesso verso gli IP del RADIUS in cloud.

RADIUSaaS elimina la necessità di server NPS o FreeRADIUS on-premise, rimuovendo l'hardware associato, l'applicazione di patch al sistema operativo e i costi di manutenzione specialistica.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte. Definisce il modello di autenticazione a tre parti: il supplicant (dispositivo client), l'authenticator (punto di accesso o switch) e l'authentication server (server RADIUS). L'authenticator blocca tutto il traffico finché il server RADIUS non concede l'accesso.

Lo standard fondamentale per l'autenticazione WiFi aziendale. Sia WPA2-Enterprise che WPA3-Enterprise si basano su 802.1X.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un metodo di autenticazione definito nella RFC 5216 che utilizza certificati digitali sia sul server RADIUS che sul dispositivo client per l'autenticazione reciproca. Nessuna delle due parti invia una password. Il client presenta il proprio certificato; il server lo convalida rispetto alla directory in tempo reale.

Il gold standard per la sicurezza del WiFi aziendale. Elimina il furto di credenziali, il phishing e i costi di helpdesk legati alle password. Richiesto per la conformità PCI DSS sulle reti di dati dei titolari di carta.

PEAP-MSCHAPv2 (Protected EAP - Microsoft Challenge Handshake Authentication Protocol v2)

Un metodo di autenticazione che crea un tunnel TLS crittografato e invia al suo interno il nome utente e la password dell'utente. Vulnerabile agli attacchi Evil Twin se il client non convalida rigorosamente il certificato del server RADIUS.

L'impostazione predefinita legacy per il WiFi aziendale. Ancora ampiamente distribuito, ma dovrebbe essere migrato a EAP-TLS in tutte le nuove ed esistenti distribuzioni, ove possibile.

Microsoft Entra ID

Il servizio di gestione delle identità e degli accessi basato su cloud di Microsoft, precedentemente noto come Azure Active Directory (Azure AD). Gestisce le identità degli utenti, le appartenenze ai gruppi, la conformità dei dispositivi e i criteri di accesso condizionale.

La fonte di identità primaria per Cloud RADIUS negli ambienti incentrati su Microsoft. I provider Cloud RADIUS si connettono a Entra ID tramite Microsoft Graph API.

Google Secure LDAP

Un servizio gestito disponibile sulle edizioni Cloud Identity Premium e Google Workspace Enterprise che fornisce un'interfaccia LDAP tradizionale alla directory cloud di Google. I server RADIUS si connettono a ldap.google.com sulla porta 636 utilizzando certificati client.

Il percorso di integrazione primario per connettere un server Cloud RADIUS a Google Workspace. Google non offre un servizio RADIUS nativo, quindi Secure LDAP funge da ponte.

PKI (Public Key Infrastructure)

L'insieme di ruoli, criteri, hardware, software e procedure necessari per creare, gestire, distribuire, utilizzare, memorizzare e revocare certificati digitali. Una PKI è necessaria per emettere i certificati client e server utilizzati nell'autenticazione EAP-TLS.

Le opzioni PKI cloud-native dei fornitori RADIUS o di Microsoft (Cloud PKI) eliminano la necessità di Active Directory Certificate Services (ADCS) on-premise.

SCEP (Simple Certificate Enrollment Protocol)

Un protocollo che consente ai dispositivi di richiedere e ricevere automaticamente certificati digitali da un'Autorità di Certificazione. Utilizzato da Microsoft Intune e Google Admin Console per distribuire certificati client ai dispositivi gestiti senza l'interazione dell'utente.

I profili SCEP in Intune sono il meccanismo attraverso il quale i dispositivi aziendali ricevono in modo silenzioso i certificati client necessari per l'autenticazione EAP-TLS.

Dynamic VLAN assignment

Una funzionalità RADIUS che restituisce gli attributi di assegnazione della VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) al punto di accesso in base all'appartenenza al gruppo di directory dell'utente autenticato. L'AP inserisce automaticamente il client nella VLAN specificata.

Consente una segmentazione granulare della rete senza configurazione manuale delle VLAN per dispositivo. Il personale con ruoli o reparti diversi accede a segmenti di rete differenti, limitando i movimenti laterali e supportando i requisiti di segmentazione PCI DSS.

Esempi pratici

Un hotel da 200 camere sta migrando la rete del personale di back-of-house da un server NPS on-premise obsoleto a una soluzione cloud-native. L'hotel è passato di recente a Microsoft Entra ID e Microsoft 365 E5. I dispositivi del personale sono laptop Windows gestiti da Intune. L'infrastruttura wireless è Cisco Meraki. L'hotel richiede che il personale si connetta automaticamente senza richieste di password e necessita di una revoca istantanea quando un membro del personale lascia l'azienda.

Implementare una soluzione Cloud RADIUS con integrazione Entra ID. Passaggio 1: concedere al provider Cloud RADIUS le autorizzazioni Microsoft Graph API (User.Read.All, GroupMember.Read.All, Device.Read.All) nel tenant Entra ID. Passaggio 2: in Intune, creare un profilo Certificato attendibile con la CA radice di Cloud RADIUS e distribuirlo al gruppo "Tutti i dispositivi aziendali". Passaggio 3: creare un profilo Certificato SCEP con Nome soggetto CN={{UserPrincipalName}} e distribuirlo allo stesso gruppo. Passaggio 4: configurare il criterio di autenticazione Cloud RADIUS: consentire l'accesso se il certificato è emesso da [CA attendibile] E l'utente è membro del gruppo Entra ID [Hotel-Staff-WiFi] E il dispositivo è conforme a Intune. Passaggio 5: nella dashboard di Cisco Meraki, aggiungere gli IP primario e secondario di Cloud RADIUS come server RADIUS sull'SSID di back-of-house. Impostare il timeout RADIUS a 5 secondi. Passaggio 6: in Intune, creare un profilo WiFi WPA3-Enterprise per l'SSID di back-of-house, specificando EAP-TLS e collegando il profilo del certificato SCEP. Distribuire al gruppo "Tutti i dispositivi aziendali". I dispositivi ricevono silenziosamente il certificato e il profilo WiFi alla successiva sincronizzazione di Intune e si connettono automaticamente. Quando un membro del personale lascia l'azienda, la disattivazione del suo account Entra ID revoca immediatamente l'accesso alla rete in tutte le sedi.

Commento dell'esaminatore: Questo approccio elimina completamente la dipendenza da NPS on-premise. EAP-TLS rimuove il vettore di phishing dell'autenticazione basata su credenziali. Intune automatizza la gestione del ciclo di vita dei certificati, eliminando il sovraccarico manuale che causava il ritardo nei rinnovi dei certificati nella precedente implementazione NPS. I criteri di gruppo di Entra ID implicano che quando le risorse umane disabilitano un account, l'accesso alla rete viene revocato in tempo reale, senza richiedere alcun aggiornamento manuale dei criteri RADIUS. L'integrazione con Cisco Meraki è semplice: Cloud RADIUS è indipendente dall'hardware e funziona con qualsiasi infrastruttura compatibile con 802.1X.

Una catena di negozi con 50 punti vendita utilizza Google Workspace e gestisce una flotta di 500 Chromebook utilizzati dagli addetti alla vendita per le operazioni di inventario e punto vendita. Attualmente utilizzano una chiave WPA2 PSK condivisa per la rete operativa dei negozi, il che comporta un rischio per la sicurezza in caso di smarrimento o furto dei dispositivi. Desiderano passare all'autenticazione 802.1X senza implementare server locali in ciascun negozio. La loro infrastruttura wireless è HPE Aruba.

Implementare una soluzione Cloud RADIUS con integrazione Google Workspace tramite Google Secure LDAP. Passaggio 1: nella Console di amministrazione Google, accedere ad App, quindi a LDAP e aggiungere un nuovo client LDAP per il servizio Cloud RADIUS. Configurare le autorizzazioni di lettura per le informazioni utente e l'appartenenza ai gruppi. Scaricare il certificato client e la chiave generati. Passaggio 2: configurare il servizio Cloud RADIUS con le credenziali Google Secure LDAP. Passaggio 3: configurare una PKI cloud per emettere certificati per i Chromebook. Nella Console di amministrazione Google, accedere a Dispositivi, quindi a Reti, quindi a Certificati e caricare la CA radice. Configurare il profilo di emissione del certificato e applicarlo all'Unità organizzativa Store-Associates. Passaggio 4: nella Console di amministrazione Google, creare un profilo WiFi WPA3-Enterprise per l'SSID operativo del negozio. Impostare EAP-TLS, collegare la CA radice e applicare all'UO Store-Associates. I Chromebook ricevono il certificato e il profilo WiFi alla successiva sincronizzazione della Console di amministrazione. Passaggio 5: in HPE Aruba Central, configurare l'SSID operativo del negozio con WPA3-Enterprise e aggiungere gli IP primario e secondario di Cloud RADIUS. Impostare il timeout RADIUS a 5 secondi. Configurare l'assegnazione dinamica della VLAN per inserire gli addetti alla vendita sulla VLAN 20 (operazioni del negozio) in base alla loro appartenenza al gruppo Google Workspace. Quando un Chromebook viene smarrito o rubato, la sua rimozione dall'UO Store-Associates revoca immediatamente il suo accesso alla rete.

Commento dell'esaminatore: Questa implementazione elimina il rischio associato alla chiave PSK condivisa. Un Chromebook smarrito o rubato con una PSK condivisa consente a un utente malintenzionato di accedere in modo permanente alla rete fino a quando la PSK non viene modificata in tutti i 50 negozi. Con EAP-TLS, il certificato sul dispositivo smarrito può essere revocato immediatamente. L'integrazione con Google Secure LDAP è la strada corretta per gli ambienti Google Workspace: fornisce un'interfaccia stabile e basata su standard che il servizio Cloud RADIUS può interrogare senza richiedere un'integrazione API personalizzata. L'assegnazione dinamica della VLAN garantisce che gli addetti alla vendita si trovino sul segmento di rete corretto, supportando i requisiti di segmentazione della rete PCI DSS per gli ambienti di vendita al dettaglio.

Domande di esercitazione

Q1. La tua organizzazione sta migrando da Active Directory on-premise a Microsoft Entra ID. Attualmente utilizzi PEAP-MSCHAPv2 per l'autenticazione WiFi su 300 laptop aziendali gestiti da Intune. Disponi di licenze Microsoft 365 E5. Qual è il percorso più sicuro ed efficiente dal punto di vista operativo per migrare l'autenticazione WiFi a un'architettura cloud-native?

Suggerimento: Considera le vulnerabilità dell'autenticazione basata su credenziali, le funzionalità di Microsoft Intune per la distribuzione dei certificati e la necessità di evitare dipendenze da infrastrutture on-premise.

Visualizza risposta modello

Distribuisci una soluzione Cloud RADIUS integrata con Entra ID. Utilizza Microsoft Intune per distribuire un profilo di certificato attendibile (Root CA) e un profilo di certificato SCEP ai 300 laptop. Configura i criteri di autenticazione Cloud RADIUS per richiedere un certificato valido dalla CA attendibile e l'appartenenza al gruppo Entra ID Corporate-WiFi-Users. Crea un profilo WiFi WPA3-Enterprise in Intune specificando EAP-TLS e collegalo al profilo del certificato SCEP. I dispositivi riceveranno in modo trasparente il certificato e la configurazione WiFi al successivo ciclo di sincronizzazione di Intune. Questo elimina il rischio di furto di credenziali PEAP-MSCHAPv2, rimuove la dipendenza da NPS on-premise e garantisce la revoca immediata quando un account Entra ID viene disabilitato.

Q2. Un utente del tuo hotel riferisce di non riuscire a connettersi alla WiFi riservata al personale di servizio dopo essere rientrato da due settimane di ferie. Gli altri dipendenti si connettono senza problemi. La rete utilizza EAP-TLS con certificati distribuiti tramite Intune. Quali sono le tre cause più probabili, in ordine di probabilità?

Suggerimento: EAP-TLS si basa su risorse crittografiche sensibili al fattore tempo e su ricerche in tempo reale nella directory.

Visualizza risposta modello

Il certificato client dell'utente è scaduto. I certificati hanno un periodo di validità definito e, se il dispositivo era offline durante la finestra di rinnovo, il profilo SCEP potrebbe non averlo rinnovato. Verifica la data di scadenza del certificato nell'archivio certificati del dispositivo in Intune. 2. L'orologio di sistema del dispositivo è notevolmente fuori sincronizzazione (disallineamento temporale), impedendo la convalida del certificato. EAP-TLS convalida i timestamp dei certificati; un orologio sfasato di oltre cinque minuti causerà errori di autenticazione. 3. L'account Entra ID dell'utente è stato inserito in un gruppo diverso durante la sua assenza (ad esempio, spostato dal personale attivo a una OU diversa) e i criteri di autenticazione RADIUS non corrispondono più alla sua appartenenza al gruppo. Verifica le appartenenze ai gruppi dell'utente in Entra ID rispetto ai criteri RADIUS.

Q3. Sei l'IT manager di una catena di vendita al dettaglio con 80 negozi. Utilizzi Google Workspace e gestisci 400 Chromebook tramite Google Admin Console. Desideri sostituire l'attuale chiave WPA2 PSK condivisa sulla rete operativa dei negozi con l'autenticazione 802.1X. Non disponi di server on-premise in nessuna delle sedi dei negozi. Quale architettura decidi di implementare e qual è il principale vantaggio in termini di sicurezza rispetto all'attuale approccio PSK?

Suggerimento: Considera cosa accade quando un Chromebook viene smarrito o rubato in ciascun modello di autenticazione.

Visualizza risposta modello

Distribuisci un servizio Cloud RADIUS integrato con Google Secure LDAP. Configura una PKI cloud per emettere certificati per i Chromebook. Nella Google Admin Console, distribuisci la Root CA e un profilo di certificato client SCEP all'Unità Organizzativa Store-Associates. Crea un profilo WiFi WPA3-Enterprise specificando EAP-TLS e distribuiscilo alla stessa OU. Configura gli access point HPE Aruba (o equivalenti) in ciascun negozio per puntare al servizio Cloud RADIUS. Il principale vantaggio in termini di sicurezza: con l'attuale PSK condivisa, un Chromebook smarrito o rubato mantiene l'accesso alla WiFi fino a quando la PSK non viene modificata in tutti gli 80 negozi, un processo complesso e dispendioso in termini di tempo. Con EAP-TLS, la rimozione del dispositivo dall'OU Store-Associates nella Google Admin Console revoca immediatamente il suo certificato e l'accesso alla rete, senza alcun impatto sugli altri dispositivi.

Q4. Durante la distribuzione di Cloud RADIUS, configuri l'SSID sugli access point Cisco Meraki e distribuisci il profilo WiFi di Intune a un gruppo pilota di 20 dispositivi. Nessuno dei dispositivi riesce a connettersi. Lo stato del dispositivo in Intune mostra che il certificato e il profilo WiFi sono stati distribuiti correttamente. Qual è la prima cosa da verificare?

Suggerimento: La causa più comune del fallimento di una distribuzione iniziale non è un errore di configurazione nei criteri RADIUS o nel certificato.

Visualizza risposta modello

Verifica che le porte UDP 1812 e 1813 siano aperte in uscita dagli access point Cisco Meraki (o dall'infrastruttura cloud Meraki) verso gli indirizzi IP del server Cloud RADIUS. Le porte bloccate sul firewall sono la causa principale del fallimento delle distribuzioni iniziali. Il fatto che i certificati e i profili WiFi siano stati distribuiti correttamente esclude problemi di configurazione di Intune. Le verifiche successive sono: mancata corrispondenza della chiave segreta condivisa RADIUS tra Meraki e il servizio Cloud RADIUS; timeout RADIUS impostato su un valore troppo basso (aumentalo ad almeno 5 secondi); e se gli IP del server Cloud RADIUS sono inseriti correttamente nella configurazione dell'SSID Meraki.

Continua a leggere questa serie

I vantaggi in termini di sicurezza di RADIUS as a Service per la forza lavoro ibrida

Questa guida di riferimento tecnico spiega come RADIUS as a Service protegga l'accesso alla rete per la forza lavoro ibrida all'interno di sedi distribuite. Copre l'architettura, i vantaggi in termini di sicurezza e i passaggi di implementazione per sostituire l'infrastruttura RADIUS on-premise con un servizio di autenticazione gestito in cloud. Per i responsabili IT e gli architetti di rete di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico, questa guida fornisce gli elementi necessari per valutare e avviare la migrazione a un servizio RADIUS cloud in questo trimestre.

Come implementare l'autenticazione 802.1X con Cloud RADIUS

Questa guida di riferimento tecnico fornisce un framework completo per l'implementazione dell'autenticazione 802.1X con Cloud RADIUS in infrastrutture aziendali distribuite. Descrive in dettaglio l'architettura, la selezione del metodo EAP, la sequenza di implementazione e le strategie di mitigazione del rischio necessarie per proteggere l'accesso alla rete eliminando al contempo i costi operativi dell'infrastruttura on-premises.

Cos'è Cloud RADIUS? Una guida completa a RADIUS as a Service

Questa guida completa esplora Cloud RADIUS (RADIUS as a Service), descrivendone in dettaglio l'architettura, i metodi EAP e le strategie di implementazione. Fornisce ai responsabili IT informazioni utili per migrare dai server on-premise a un modello di autenticazione basato su cloud scalabile, sicuro e conforme.