Migrazione da RADIUS (NPS) On-Premises a RADIUS-as-a-Service
Questa guida autorevole descrive dettagliatamente l'architettura tecnica, la metodologia di implementazione e l'impatto aziendale della migrazione da Microsoft Network Policy Server (NPS) on-premises a un modello RADIUS-as-a-Service nativo del cloud. Fornisce ai responsabili IT e agli architetti di rete framework pratici per ridurre i costi operativi, eliminare i singoli punti di vulnerabilità e proteggere l'autenticazione aziendale in sedi distribuite.
Ascolta questa guida
Visualizza trascrizione del podcast
- Sintesi Esecutiva
- Approfondimento Tecnico: Architettura e Standard
- I Limiti dell'NPS On-Premises
- Architettura Cloud RADIUS
- Guida all'implementazione: La metodologia in 5 fasi
- Fase 1: Audit e inventario
- Fase 2: Distribuzione pilota
- Fase 3: Esecuzione in parallelo (mitigazione del rischio)
- Fase 4: Passaggio definitivo (Cutover)
- Fase 5: Dismissione
- Best Practice e conformità
- Risoluzione dei problemi e mitigazione dei rischi
- ROI e impatto aziendale

Sintesi Esecutiva
Per quasi due decenni, il Network Policy Server (NPS) di Microsoft è stato l'implementazione RADIUS predefinita per le reti aziendali. Tuttavia, man mano che gli operatori di grandi spazi si espandono su siti distribuiti - dalle catene di vendita al dettaglio ai gruppi alberghieri globali - l'onere operativo di gestire l'infrastruttura di autenticazione on-premises è diventato un problema significativo.
La migrazione a RADIUS-as-a-Service trasforma l'autenticazione da un componente hardware gestito a un servizio cloud consumabile. Questo cambiamento architetturale elimina i singoli punti di guasto intrinseci nelle distribuzioni NPS autonome, rimuove i cicli di rinnovo dell'hardware e fornisce la scalabilità elastica richiesta per ambienti ad alta densità come stadi e centri congressi. Per i responsabili IT e gli architetti di rete, questa guida fornisce una metodologia strutturata e neutrale rispetto ai fornitori per migrare l'autenticazione 802.1X sul cloud senza influire sul traffico di produzione, garantendo la conformità con PCI-DSS e GDPR, e riducendo l'OpEx dell'infrastruttura di autenticazione fino all'80%.
Approfondimento Tecnico: Architettura e Standard
Per comprendere questa migrazione, dobbiamo prima esaminare il cambiamento architetturale nel modo in cui viene fornito il controllo dell'accesso basato su porta IEEE 802.1X.
I Limiti dell'NPS On-Premises
In una distribuzione tradizionale, l'access point funge da Network Access Server (NAS), inoltrando le richieste di autenticazione a un server NPS on-premises. Il server NPS valuta i criteri di richiesta di connessione, convalida le credenziali rispetto all'archivio di identità (solitamente Active Directory tramite LDAP) e restituisce un messaggio di Access-Accept o Access-Reject.
Questo modello presenta tre limiti critici per le reti moderne:
- Dipendenza dall'hardware e manutenzione: NPS richiede macchine fisiche o virtuali dedicate, che richiedono patch continue, pianificazione della capacità e gestione del ciclo di vita.
- Complessità dell'alta disponibilità: Per ottenere la ridondanza è necessario distribuire NPS in coppie di failover, il che raddoppia i costi di licenza senza fornire una reale ridondanza geografica.
- Colli di bottiglia nel throughput: Durante i picchi di concorrenza (come l'ingresso negli stadi o le ore di punta dello shopping), una singola istanza NPS può diventare un collo di bottiglia, causando timeout di autenticazione e un'esperienza utente degradata.
Architettura Cloud RADIUS
RADIUS-as-a-Service astrae il livello di autenticazione. Il fornitore cloud gestisce cluster distribuiti e geograficamente ridondanti di server RADIUS. Il NAS punta a questi endpoint cloud e le richieste vengono bilanciate automaticamente in base al carico.

Sicurezza del trasporto: il ruolo di RadSec Quando il RADIUS si sposta nel cloud, il traffico di autenticazione attraversa l'internet pubblico. Mentre il RADIUS legacy si affida a segreti condivisi e hashing MD5, le distribuzioni moderne devono implementare RadSec (RADIUS over TLS, RFC 6614). RadSec incapsula l'intera conversazione RADIUS in un tunnel TLS (in genere la porta TCP 2083), fornendo una crittografia a livello di trasporto equivalente a HTTPS, insieme alla mutua autenticazione tra il NAS e l'endpoint RADIUS nel cloud.
Integrazione dell'identità Il cloud RADIUS non richiede la migrazione della directory utenti. I servizi supportano tipicamente connessioni LDAPS verso l'Active Directory on-premises, o l'integrazione API nativa con Azure Active Directory (Entra ID) tramite SAML o SCIM. Questo garantisce che i processi di gestione del ciclo di vita degli utenti esistenti rimangano invariati.
Per le sedi che utilizzano una piattaforma di Guest WiFi , il cloud RADIUS si integra direttamente, fornendo un piano di controllo unificato sia per l'autenticazione aziendale 802.1X sia per l'accesso alla rete ospiti, completo di funzioni avanzate di WiFi Analytics .
Guida all'implementazione: La metodologia in 5 fasi
Eseguire la migrazione senza interruzioni di servizio richiede un approccio strutturato e a fasi.

Fase 1: Audit e inventario
Prima di apportare qualsiasi modifica, documentare lo stato attuale:
- Client RADIUS: Identificare ogni NAS (access point wireless, switch, concentratori VPN).
- Policy: Documentare le policy di rete e di richiesta di connessione NPS esistenti, inclusi gli attributi specifici del fornitore (VSA) utilizzati per l'assegnazione delle VLAN.
- Metodi EAP: Identificare quali metodi Extensible Authentication Protocol sono in uso (es. EAP-TLS, PEAP-MSCHAPv2).
Fase 2: Distribuzione pilota
Configurare l'istanza cloud RADIUS e impostare un SSID non di produzione o un singolo sito di test. Validare l'integrazione con la directory delle identità (es. sincronizzazione con Entra ID) e confermare che i metodi EAP funzionino correttamente end to end.
Fase 3: Esecuzione in parallelo (mitigazione del rischio)
Configurare i dispositivi NAS di produzione per utilizzare contemporaneamente sia i server cloud RADIUS (primario) sia i server NPS legacy (backup). Mantenere questa configurazione per un minimo di due settimane. Monitorare i tassi di successo dell'autenticazione, le metriche di latenza e i flussi di dati di accounting per identificare eventuali discrepanze nelle policy prima del passaggio definitivo.
Fase 4: Passaggio definitivo (Cutover)
Durante una finestra di manutenzione programmata, rimuovere la configurazione di backup NPS legacy dai dispositivi NAS. Passare completamente all'infrastruttura cloud. Assicurarsi che la procedura di rollback sia documentata e testata.
Fase 5: Dismissione
Dopo 30 giorni di funzionamento stabile, dismettere in modo sicuro i server NPS legacy e recuperare le risorse di calcolo.
Best Practice e conformità
Attenersi ai seguenti standard durante la progettazione dell'architettura cloud RADIUS:
- Obbligo RadSec: Se l'hardware NAS supporta RadSec (TCP 2083), non inviare mai traffico RADIUS su internet pubblico utilizzando lo standard UDP 1812/1813.
- Catena di attendibilità del certificato: Assicurati che i dispositivi client considerino attendibile l'Autorità di certificazione (CA) che rilascia i certificati del server RADIUS in cloud. Distribuisci la CA radice ai dispositivi gestiti tramite MDM o Criteri di gruppo prima della migrazione.
- Stato di conformità: Scegli un provider RADIUS in cloud che mantenga l'attestazione SOC 2 Type II e la certificazione ISO 27001. Questo semplifica notevolmente le valutazioni annuali PCI-DSS, in particolare per gli ambienti del settore retail e dell'ora hospitality .
Per principi di progettazione di rete più ampi, consulta le nostre guide: Configurare il WiFi aziendale: Guida 2026 e Comprendere l'RSSI e la potenza del segnale per una pianificazione ottimale dei canali .
Risoluzione dei problemi e mitigazione dei rischi
| Modalità di errore | Causa principale | Strategia di mitigazione |
|---|---|---|
| Timeout di autenticazione | Il firewall blocca il traffico in uscita UDP 1812/1813 o TCP 2083. | Verifica che le regole del firewall perimetrale consentano il traffico in uscita verso gli intervalli IP specifici del provider RADIUS in cloud. |
| Errori di attendibilità del certificato | CA radice mancante dall'archivio dei certificati attendibili del dispositivo client. | Distribuisci la CA radice tramite MDM/GPO prima della Fase 3 (esecuzione parallela). |
| Errori di assegnazione VLAN | Gli attributi specifici del fornitore (VSA) non sono mappati correttamente nei criteri cloud. | Durante la Fase 1, replica gli esatti formati di stringa VSA da NPS nel motore dei criteri RADIUS in cloud. |
| Impatto del disservizio WAN | La perdita di connettività internet impedisce l'accesso al RADIUS in cloud. | Distribuisci collegamenti WAN ridondanti o implementa un proxy RADIUS locale che memorizzi nella cache le credenziali per i dispositivi noti. |
ROI e impatto aziendale
La migrazione a RADIUS-as-a-Service offre risultati aziendali misurabili:
- Riduzione dei costi: Elimina l'acquisto di hardware, le licenze Windows Server e le ore di ingegneria dedicate a patch e manutenzione. Le riduzioni tipiche delle OpEx sono del 60-80%.
- SLA di affidabilità: I provider cloud offrono SLA di disponibilità del 99,99% supportati finanziariamente, rispetto alla disponibilità tipica del 97-98% di una distribuzione NPS a sito singolo.
- Agilità: Attiva istantaneamente nuovi siti senza dover predisporre hardware di autenticazione locale, abbreviando i tempi di implementazione per gli hub di trasporto e le organizzazioni di sanità .
Ascolta il nostro team di consulenti senior discutere le implicazioni strategiche in questo briefing di 10 minuti:
Definizioni chiave
RADIUS (Remote Authentication Dial-In User Service)
Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.
Il protocollo fondamentale utilizzato dalle reti WiFi aziendali per convalidare le credenziali degli utenti prima di concedere l'accesso alla rete.
NPS (Network Policy Server)
L'implementazione Microsoft di un server e proxy RADIUS, fornito come ruolo in Windows Server.
L'infrastruttura legacy on-premises da cui le organizzazioni stanno attivamente migrando per ridurre i costi di manutenzione.
NAS (Network Access Server)
Il dispositivo che funge da gateway per la rete e inoltra le richieste di autenticazione al server RADIUS.
In un contesto wireless, il NAS è tipicamente l'Access Point WiFi o il Wireless LAN Controller.
RadSec (RADIUS over TLS)
Un protocollo definito nella RFC 6614 che trasporta pacchetti RADIUS su una connessione TCP crittografata con TLS.
Essenziale per le distribuzioni cloud RADIUS per garantire che i dati delle credenziali siano crittografati durante il transito sulla rete internet pubblica.
EAP (Extensible Authentication Protocol)
Un framework di autenticazione frequentemente utilizzato nelle reti wireless e nelle connessioni point-to-point.
Determina il modo in care il client e il server scambiano in modo sicuro le credenziali (ad es. certificati tramite EAP-TLS o password tramite PEAP).
VSA (Vendor-Specific Attribute)
Attributi personalizzati definiti dai fornitori di hardware all'interno del protocollo RADIUS per supportare funzionalità proprietarie.
Cruciale durante la migrazione; le VSA sono spesso utilizzate per assegnare dinamicamente gli utenti autenticati a specifiche VLAN di rete.
LDAPS (Lightweight Directory Access Protocol over SSL)
Un protocollo sicuro per interrogare e modificare i servizi di directory come Active Directory.
Utilizzato dai servizi cloud RADIUS per interrogare in modo sicuro gli identity store locali senza migrare la directory degli utenti nel cloud.
802.1X
Uno standard IEEE per il controllo dell'accesso alla rete basato su porta (PNAC).
Lo standard sottostante che utilizza RADIUS per garantire che solo i dispositivi autenticati possano trasmettere traffico sulla LAN o WLAN aziendale.
Esempi pratici
Un gruppo alberghiero con 200 strutture utilizza attualmente server NPS locali in ogni sito per l'autenticazione 802.1X del personale. Sta migrando a Entra ID (Azure AD) e desidera dismettere i server locali. Come dovrebbe impostare la migrazione?
- Distribuire un servizio RADIUS in cloud che si integri nativamente con Microsoft Entra ID tramite SAML/SCIM.
- Configurare i criteri del cloud RADIUS per mappare i gruppi Microsoft Entra ID (ad es. "Front Desk", "Management") a specifiche VSA VLAN.
- Presso una struttura pilota, configurare gli access point per utilizzare RadSec per la connessione all'endpoint cloud RADIUS.
- Distribuire la CA radice del server cloud RADIUS a tutti i dispositivi del personale tramite Microsoft Intune.
- Eseguire l'autenticazione parallela nel sito pilota, quindi procedere a un roll-out graduale nelle restanti 199 strutture.
Uno stadio con una capienza di 50.000 persone riscontra errori di autenticazione sul proprio SSID aziendale durante i grandi eventi, poiché il server NPS on-premises non è in grado di gestire il volume di migliaia di dispositivi in roaming simultaneo.
- Verificare i criteri NPS e i metodi EAP esistenti.
- Predisporre un servizio cloud RADIUS in grado di scalare automaticamente per gestire un numero elevato di autenticazioni al secondo (APS).
- Stabilire una connessione LDAPS dal servizio cloud RADIUS all'Active Directory on-premises dello stadio.
- Aggiornare i controller LAN wireless ad alta densità dello stadio per puntare agli endpoint cloud RADIUS come server di autenticazione primari.
Domande di esercitazione
Q1. La tua organizzazione sta migrando a Cloud RADIUS. Il team di sicurezza impone che nessun traffico di autenticazione possa essere inviato su Internet in chiaro o utilizzando algoritmi di hashing deprecati come MD5. Quale protocollo devi configurare sui tuoi controller wireless LAN?
Suggerimento: Cerca il protocollo che racchiude RADIUS in un tunnel TLS.
Visualizza risposta modello
È necessario configurare RadSec (RADIUS su TLS). RadSec stabilisce un tunnel TLS sulla porta TCP 2083 tra il NAS e il server cloud RADIUS, fornendo crittografia a livello di trasporto e autenticazione reciproca, soddisfacendo così i requisiti del team di sicurezza.
Q2. Durante la Fase 3 (Esecuzione Parallela) della migrazione, noti che gli utenti si autenticano correttamente sul server cloud RADIUS, ma non vengono inseriti nei segmenti di rete corretti. Qual è la lacuna di configurazione più probabile?
Suggerimento: In quale modo un server RADIUS comunica a un access point quale segmento di rete utilizzare?
Visualizza risposta modello
I Vendor-Specific Attributes (VSA) per l'assegnazione dinamica della VLAN non sono stati configurati correttamente nelle policy del cloud RADIUS. È necessario assicurarsi che le stringhe VSA esatte utilizzate nel server NPS legacy siano replicate nell'ambiente cloud in modo che il NAS sappia quale VLAN assegnare all'utente.
Q3. Un dispositivo client fallisce ripetutamente l'autenticazione EAP-TLS con il nuovo servizio cloud RADIUS, ma funziona correttamente con il server NPS legacy. I log del dispositivo mostrano un errore "untrusted server". Come risolvi il problema?
Suggerimento: EAP-TLS richiede che il client si fidi dell'identità del server.
Visualizza risposta modello
Il dispositivo client non ha l'Autorità di Certificazione Radice (CA Root) che ha emesso il certificato del server cloud RADIUS nel suo archivio radice attendibile. È necessario distribuire la CA Root al dispositivo client utilizzando una soluzione di Mobile Device Management (MDM) o una Group Policy.
Continua a leggere questa serie
I vantaggi in termini di sicurezza di RADIUS as a Service per la forza lavoro ibrida
Questa guida di riferimento tecnico spiega come RADIUS as a Service protegga l'accesso alla rete per la forza lavoro ibrida all'interno di sedi distribuite. Copre l'architettura, i vantaggi in termini di sicurezza e i passaggi di implementazione per sostituire l'infrastruttura RADIUS on-premise con un servizio di autenticazione gestito in cloud. Per i responsabili IT e gli architetti di rete di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico, questa guida fornisce gli elementi necessari per valutare e avviare la migrazione a un servizio RADIUS cloud in questo trimestre.
Integrazione di RADIUS as a Service con directory cloud (Azure AD e Google Workspace)
Questa guida tecnica di riferimento descrive in dettaglio come integrare RADIUS as a Service con le directory cloud - Microsoft Entra ID e Google Workspace - per l'autenticazione WiFi aziendale. Copre il passaggio architetturale da NPS on-premise a RADIUS cloud-native, l'implementazione dell'autenticazione EAP-TLS basata su certificati e le migliori pratiche operative per proteggere l'accesso wireless negli ambienti dell'ospitalità, della vendita al dettaglio e del settore pubblico. Per i responsabili IT e gli architetti di rete che hanno già investito nell'identità cloud, questa guida colma il divario tra la gestione delle directory e la sicurezza della rete fisica.
Come implementare l'autenticazione 802.1X con Cloud RADIUS
Questa guida di riferimento tecnico fornisce un framework completo per l'implementazione dell'autenticazione 802.1X con Cloud RADIUS in infrastrutture aziendali distribuite. Descrive in dettaglio l'architettura, la selezione del metodo EAP, la sequenza di implementazione e le strategie di mitigazione del rischio necessarie per proteggere l'accesso alla rete eliminando al contempo i costi operativi dell'infrastruttura on-premises.