Cloud Directories (Azure AD आणि Google Workspace) सोबत RADIUS as a Service समाकलित (Integrate) करणे
हे तांत्रिक संदर्भ मार्गदर्शक एंटरप्राइझ WiFi प्रमाणीकरणासाठी (authentication) क्लाउड डिरेक्टरी - Microsoft Entra ID आणि Google Workspace - सोबत RADIUS as a Service कसे समाकलित करायचे याचे सविस्तर वर्णन करते. यामध्ये ऑन-प्रिमाइसेस NPS वरून क्लाउड-नेटिव्ह RADIUS मधील आर्किटेक्चरल बदल, सर्टिफिकेट-बेस्ड EAP-TLS प्रमाणीकरणाची अंमलबजावणी, आणि हॉस्पिटॅलिटी, रिटेल व सार्वजनिक क्षेत्रातील वातावरणात वायरलेस ऍक्सेस सुरक्षित ठेवण्यासाठीच्या सर्वोत्तम कार्यपद्धतींचा (best practices) समावेश आहे. क्लाउड आयडेंटिटीमध्ये आधीपासूनच गुंतवणूक केलेल्या IT व्यवस्थापकांसाठी आणि नेटवर्क आर्किटेक्ट्ससाठी, हे मार्गदर्शक डिरेक्टरी व्यवस्थापन आणि भौतिक नेटवर्क सुरक्षा यांमधील दरी सांधण्याचे काम करते.
हे मार्गदर्शक ऐका
पॉडकास्ट ट्रान्सक्रिप्ट पहा
Executive summary
For modern enterprises invested in cloud identity ecosystems, bridging cloud directories with physical wireless networks is a critical security imperative. Historically, WiFi authentication relied on on-premise Active Directory Domain Services and Windows Network Policy Server (NPS). As organisations migrate to Microsoft Entra ID and Google Workspace, that on-premise authentication stack becomes a liability - costly to maintain, difficult to scale, and incompatible with zero-trust security models.
RADIUS as a Service (RADIUSaaS) changes the equation. A cloud-hosted RADIUS server integrates directly with your cloud directory, validates authentication requests in real time, and returns access decisions to your access points - with no on-premise servers, no patching cycles, and no single point of failure. Combined with EAP-TLS certificate-based authentication, this architecture eliminates credential theft, supports PCI DSS and GDPR compliance, and delivers a seamless experience for staff across every site.
This guide covers the architectural decision between on-premise NPS and cloud-native RADIUS, the deployment of EAP-TLS via Microsoft Intune and Google Admin Console, and the operational best practices for securing wireless access across hotels, retail estates, stadiums, and public-sector venues. For a broader introduction to network access control, see A Guide to Your Network Access Control System .
Technical deep-dive: architecture and standards
The role of RADIUS and IEEE 802.1X
The foundation of secure enterprise WiFi is the IEEE 802.1X standard, which provides port-based network access control. When a client device (the supplicant) attempts to connect to a WPA2-Enterprise or WPA3-Enterprise network, the Wireless Access Point (the authenticator) blocks all traffic except EAP (Extensible Authentication Protocol) packets. The AP forwards these packets to a RADIUS server. The RADIUS server validates the identity against a directory service and returns an Access-Accept or Access-Reject message. Only then does the AP grant network access.
This three-party model - supplicant, authenticator, authentication server - is the cornerstone of enterprise wireless security and is defined in IEEE 802.1X. It has not fundamentally changed since its introduction. What has changed is where the RADIUS server lives and how it communicates with your directory.
Cloud-native RADIUS architecture
A cloud-native RADIUS architecture eliminates the need for on-premise NPS or FreeRADIUS servers. A third-party Cloud RADIUS provider integrates directly with Microsoft Entra ID via Microsoft Graph API, or with Google Workspace via Google Secure LDAP or SAML/OAuth. Authentication happens entirely in the cloud. This aligns with zero-trust network access principles and significantly reduces operational overhead.
The table below compares the two primary architectural approaches:
| Dimension | Hybrid on-premise (NPS) | Cloud-native (RADIUSaaS) |
|---|---|---|
| Infrastructure | Windows Server VM or bare metal required | No on-premise servers |
| Identity source | AD DS via LDAP/Kerberos | Entra ID or Google Workspace via API |
| Certificate authority | ADCS on-premise + Intune Connector | Cloud PKI from vendor or Microsoft |
| High availability | Manual HA and load balancing | Auto-scaled by provider |
| Setup time | Days to weeks | Hours |
| Best for | Hybrid AD, legacy devices | Cloud-first, MDM-managed organisations |
| Operational complexity | Higher initial and ongoing | Lower operational overhead |
EAP-TLS vs. PEAP-MSCHAPv2: the critical choice
The choice of EAP method is the single most consequential security decision in this deployment. PEAP-MSCHAPv2 relies on users entering their domain credentials. This is vulnerable to credential theft and man-in-the-middle attacks. If a client device does not strictly validate the RADIUS server certificate - and many do not by default - an attacker can deploy a rogue access point with your SSID, intercept the EAP handshake, and capture credentials. This is an Evil Twin attack, and it is well-documented.
EAP-TLS (Transport Layer Security) uses digital certificates installed on the client device for mutual authentication. Both the client and the server prove their identity cryptographically. There are no passwords to type or steal. In a Microsoft environment, certificates deploy silently via Microsoft Intune using SCEP (Simple Certificate Enrollment Protocol) or PKCS profiles. This is the recommended path for all new deployments and is essential for compliance with PCI DSS v4.0 (Requirement 8.3 on strong authentication) and GDPR data protection obligations.
Google Workspace: the architectural difference
Microsoft Entra ID and Google Workspace differ in one important way for RADIUS integration. Microsoft NPS integrates natively with Active Directory, and Cloud RADIUS providers connect to Entra ID via Microsoft Graph API. Google, however, does not offer a native RADIUS service. You always need an intermediary.
Google Secure LDAP is the primary integration path. Available on Cloud Identity Premium and Google Workspace Enterprise editions, it provides a traditional LDAP interface to your cloud directory. Your Cloud RADIUS server connects to ldap.google.com on port 636 using client certificates that Google generates for you. From that point, the RADIUS server queries Google's directory to validate credentials or group memberships, just as it would query an on-premise Active Directory.
An alternative path uses SAML-based integration, where the Cloud RADIUS provider registers as a SAML application in Google Admin Console and performs an OAuth lookup at authentication time to verify the user's identity and group memberships in real time.
Implementation guide
Implementing RADIUSaaS with EAP-TLS requires coordinating identity, device management, and network infrastructure. The following five-phase approach applies to both Microsoft Entra ID and Google Workspace environments.
Phase 1: prepare identity and device management infrastructure
For Microsoft Entra ID: verify that your tenant has Microsoft 365 E3/E5 or Enterprise Mobility + Security (EMS) E3/E5 licensing. This includes Microsoft Intune and Conditional Access. Without Intune, automated certificate deployment is not possible.
For Google Workspace: confirm you have Cloud Identity Premium or Google Workspace Enterprise to access Google Secure LDAP. If you plan to use EAP-TLS on managed Chromebooks, ensure the Google Admin Console is configured to manage device certificates.
Establish your Public Key Infrastructure (PKI). For new deployments, a cloud-native PKI provided by your Cloud RADIUS vendor is strongly recommended. Alternatives include Microsoft Cloud PKI (available with Intune Suite licensing) or an existing on-premise ADCS deployment connected via the Microsoft Intune Certificate Connector.
Phase 2: configure certificate deployment
Microsoft Intune path: in the Intune admin centre, create a Trusted Certificate configuration profile. Upload the Root CA certificate and deploy it to your target device groups. This ensures client devices trust the certificate presented by the RADIUS server during the TLS handshake. Next, create a SCEP Certificate profile. For user-based authentication, set the Subject Name to CN={{UserPrincipalName}}. For device-based authentication, use CN={{DeviceName}}. Set the Subject Alternative Name to include the User Principal Name or device ID.
Google Admin Console path: navigate to Devices, then Networks, then Certificates. Upload your Root CA. Configure a certificate issuance mechanism - either a cloud PKI that supports SCEP integration with Google Workspace, or the Google Cloud Certificate Connector which proxies requests to an on-premise Microsoft Certificate Authority. Deploy the Root CA and client certificate profiles to the appropriate Organisational Units.
Phase 3: configure Cloud RADIUS integration
Grant your Cloud RADIUS provider the necessary API permissions in your directory tenant. For Entra ID, this requires at minimum User.Read.All and GroupMember.Read.All via Microsoft Graph API. Some providers also require Device.Read.All for device compliance checks. For Google Workspace via Secure LDAP, download the client certificate and key from Google Admin Console and install them on the RADIUS service.
Define your authentication policies within the Cloud RADIUS management portal. A well-structured policy for a corporate environment: "Allow access if the certificate is issued by [Trusted CA] AND the user is a member of the [Corporate-WiFi-Users] group AND the device is marked Compliant in Intune." This enforces identity, group membership, and device health simultaneously.
Phase 4: configure wireless infrastructure
In your wireless LAN controller or cloud management dashboard - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet - add the Cloud RADIUS server IP addresses and shared secrets as RADIUS authentication servers. Configure primary and secondary servers for redundancy. Set the RADIUS timeout to a minimum of five seconds to accommodate cloud round-trip latency.
Create a new SSID configured for WPA2-Enterprise or WPA3-Enterprise. For Hospitality deployments, ensure the corporate SSID is on a separate VLAN from any Guest WiFi network. For Retail environments, consider deploying the corporate SSID only in back-of-house areas.
Phase 5: deploy WiFi profile via MDM
Microsoft Intune: create a WiFi configuration profile. Set the SSID to match your infrastructure configuration exactly. Select WPA2-Enterprise or WPA3-Enterprise. Under EAP settings, select EAP-TLS. Link the SCEP certificate profile as the client certificate and specify the Trusted Root CA profile. Assign this WiFi profile to the same device groups that received the certificate profiles. Devices silently receive the certificate and the WiFi configuration during their next Intune sync.
Google Admin Console: navigate to Devices, then Networks, then Wi-Fi. Create a new WiFi network profile. Set the SSID, select WPA3-Enterprise, choose EAP-TLS, and push the trusted Root CA certificate to the devices. Apply this profile to your Organisational Units. Chromebooks connect silently and securely.
Best practices
Mandate EAP-TLS across all new deployments. Do not deploy new networks using PEAP-MSCHAPv2. The security risks are well-documented and the migration path is straightforward with modern MDM tooling.
Enforce strict server certificate validation. If you must use PEAP for legacy devices, configure the devices to validate the RADIUS server's certificate. In the Intune WiFi profile and in the Google Admin Console WiFi profile, there is a field to specify the trusted CA for server validation. Do not leave this blank. This single configuration decision is the difference between a secure deployment and a vulnerable one.
Segment your network with dynamic VLAN assignment. Use your RADIUS server to inspect the user's group membership in Entra ID or Google Workspace and dynamically assign them to different VLANs. The RADIUS server returns the Tunnel-Private-Group-Id attribute to the access point, which places the client on the correct VLAN. This limits lateral movement in the event of a compromise and supports PCI DSS network segmentation requirements.
Separate corporate and guest authentication. Use EAP-TLS for corporate-managed devices. Use a captive portal with SSO for BYOD and guest devices. Trying to manually configure EAP-TLS on unmanaged devices creates excessive support overhead. Purple's Guest WiFi platform handles guest onboarding separately, maintaining a clean separation between staff and visitor traffic.
Monitor certificate expiry proactively. Set up monitoring and alerting at 90 days, 30 days, and seven days before certificate expiry. If your RADIUS server certificate expires, all devices lose connectivity simultaneously. Automate renewal where your PKI supports it.
Test RADIUS timeout settings. Cloud RADIUS introduces network round-trip latency that on-premise NPS does not. Set the RADIUS timeout on your access points to at least five seconds. A timeout of two seconds - common in default configurations - will cause intermittent authentication failures.
Troubleshooting and risk mitigation
Blocked firewall ports are the leading cause of initial deployment failure. RADIUS authentication requires UDP port 1812 outbound from your wireless infrastructure to the Cloud RADIUS service. RADIUS accounting requires UDP port 1813. Verify these are open before any other troubleshooting.
Certificate validation failures present as authentication rejections with no obvious cause. Check the following in order: certificate expiry on both the client and the RADIUS server; clock skew between the client device and the RADIUS server (EAP-TLS relies on accurate timekeeping); and whether the Root CA certificate has been successfully deployed to the device via MDM.
Group membership not enforcing is a common issue when RADIUS policies reference Entra ID or Google Workspace groups. Verify that the Cloud RADIUS provider has the correct API permissions to read group memberships. In Entra ID, confirm the service principal has GroupMember.Read.All. In Google Workspace, confirm the Secure LDAP client has permission to read group information.
VLAN assignment not working typically indicates a mismatch between the RADIUS attribute values and the VLAN IDs configured on the wireless infrastructure. Confirm that Tunnel-Type is set to VLAN (value 13), Tunnel-Medium-Type is set to 802 (value 6), and Tunnel-Private-Group-Id matches the VLAN ID configured on the switch or controller.
BYOD devices failing EAP-TLS usually indicates the client certificate was not successfully deployed. For Intune-managed devices, check the device's certificate store in the Intune admin centre. For Google-managed Chromebooks, verify the certificate profile is assigned to the correct Organisational Unit and that the device has synced recently.
ROI and business impact
Moving to Cloud RADIUS delivers measurable operational savings. On-premise RADIUS requires at minimum two servers for high availability, ongoing OS patching, certificate management, and specialist engineering time. A single engineer's time spent on RADIUS maintenance over a year typically exceeds the annual cost of a Cloud RADIUS subscription.
The business case extends beyond cost reduction. By tying network access to verified cloud identities, you gain:
Instant offboarding. Disabling a user in Entra ID or Google Workspace immediately revokes their network access at all sites. There is no lag, no manual process, and no risk of a former employee retaining WiFi access. This directly supports GDPR obligations around data access rights.
Richer analytics. Platforms like Purple's WiFi Analytics provide richer data on space utilisation and visitor journeys when network access is tied to authenticated identities. You move from anonymous MAC addresses to named, authenticated users, which transforms the quality of insight available to operations and marketing teams.
Compliance evidence. EAP-TLS authentication generates detailed access logs - who connected, from which device, at which location, and at what time. This audit trail supports PCI DSS Requirement 10 (logging and monitoring) and GDPR accountability obligations.
Multi-site consistency. A single Cloud RADIUS service authenticates all your sites with consistent policies, managed from one dashboard. Adding a new hotel, store, or venue means adding its access points to the RADIUS configuration - not shipping and configuring another server. For organisations managing large estates, this is a significant operational advantage.
For Transport operators and Healthcare venues where network uptime is operationally critical, Cloud RADIUS providers typically offer 99.999% uptime SLAs with multi-region failover built in. Purple operates at 99.999% uptime across 80,000+ live venues, with 440 million logins processed in 2024 (Purple internal data, 2024).
For further reading on related topics, see WAN Computer Definition: A Practical Guide for 2026 and World WiFi Day 2026: How Your Venue Can Help Bridge the Digital Divide .
महत्वाच्या व्याख्या
RADIUS (Remote Authentication Dial-In User Service)
RFC 2865 मध्ये परिभाषित केलेला एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवेशी कनेक्ट होणाऱ्या युजर्ससाठी केंद्रीकृत प्रमाणीकरण (Authentication), अधिकृतता (Authorisation), आणि अकाऊंटिंग (Accounting) (AAA) व्यवस्थापन प्रदान करतो. RADIUS सर्व्हर हा तुमच्या ॲक्सेस पॉइंट्स आणि तुमच्या आयडेंटिटी डिरेक्टरीमधील निर्णय घेणारे इंजिन म्हणून काम करतो.
प्रत्येक एंटरप्राइझ WPA2-Enterprise किंवा WPA3-Enterprise WiFi नेटवर्क RADIUS सर्व्हरवर अवलंबून असते. त्याशिवाय, IEEE 802.1X प्रमाणीकरण (authentication) कार्य करत नाही.
RADIUS as a Service (RADIUSaaS)
मॅनेज्ड सर्व्हिस म्हणून वितरित केलेली क्लाउड-होस्टेड RADIUS अंमलबजावणी. हा प्रोव्हाइडर इन्फ्रास्ट्रक्चर, पॅचिंग, हाय अवेलेबिलिटी आणि आयडेंटिटी प्रोव्हाइडर इंटिग्रेशन्सची देखभाल करतो. तुम्ही प्रमाणीकरण पॉलिसी कॉन्फिगर करता आणि तुमचे ॲक्सेस पॉइंट्स क्लाउड RADIUS IPs कडे निर्देशित करता.
RADIUSaaS मुळे ऑन-प्रिमाइसेस NPS किंवा FreeRADIUS सर्व्हरची गरज उरत नाही, ज्यामुळे संबंधित हार्डवेअर, OS पॅचिंग आणि तज्ञ मेंटेनन्सचा खर्च आणि त्रास दूर होतो.
IEEE 802.1X
पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठीचे एक IEEE मानक. हे तीन-पार्टी प्रमाणीकरण मॉडेल परिभाषित करते: सप्लिकंट (क्लायंट डिव्हाइस), ऑथेंटिकेटर (ॲक्सेस पॉइंट किंवा स्विच), आणि ऑथेंटिकेशन सर्व्हर (RADIUS सर्व्हर). जोपर्यंत RADIUS सर्व्हर प्रवेश मंजूर करत नाही तोपर्यंत ऑथेंटिकेटर सर्व ट्रॅफिक ब्लॉक करतो.
एंटरप्राइझ WiFi प्रमाणीकरणासाठीचा पायाभूत मानक. WPA2-Enterprise आणि WPA3-Enterprise हे दोन्ही 802.1X वर अवलंबून आहेत.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
RFC 5216 मध्ये परिभाषित केलेली एक प्रमाणीकरण पद्धत जी परस्पर प्रमाणीकरणासाठी RADIUS सर्व्हर आणि क्लायंट डिव्हाइस या दोन्हीवर डिजिटल सर्टिफिकेट्सचा वापर करते. कोणतीही पार्टी पासवर्ड पाठवत नाही. क्लायंट त्याचे सर्टिफिकेट सादर करतो; सर्व्हर रिअल टाइममध्ये डिरेक्टरीच्या विरूद्ध त्याचे प्रमाणीकरण करतो.
एंटरप्राइझ WiFi सुरक्षेसाठीचा सुवर्ण मानक. क्रेडेंशियल चोरी, फिशिंग आणि पासवर्ड-संबंधित हेल्पडेस्कचा ताण दूर करतो. कार्डधारक डेटा नेटवर्कवर PCI DSS अनुपालनासाठी आवश्यक.
PEAP-MSCHAPv2 (Protected EAP - Microsoft Challenge Handshake Authentication Protocol v2)
एक प्रमाणीकरण पद्धत जी एनक्रिप्टेड TLS टनेल तयार करते आणि नंतर त्याद्वारे युझरचे युझरनेम आणि पासवर्ड पाठवते. जर क्लायंटने RADIUS सर्व्हर सर्टिफिकेटची काटेकोरपणे पडताळणी केली नाही तर यावर Evil Twin हल्ले होऊ शकतात.
एंटरप्राइझ WiFi साठीचा जुना डीफॉल्ट पर्याय. अजूनही मोठ्या प्रमाणावर वापरला जातो परंतु शक्य असेल तिथे सर्व नवीन आणि विद्यमान डिप्लॉयमेंट्समध्ये EAP-TLS वर स्थलांतरित केला पाहिजे.
Microsoft Entra ID
Microsoft ची क्लाउड-आधारित आयडेंटिटी आणि ॲक्सेस व्यवस्थापन सेवा, ज्याला पूर्वी Azure Active Directory (Azure AD) म्हणून ओळखले जात होते. युझर आयडेंटिटी, ग्रुप मेंबरशिप, डिव्हाइस कंप्लायन्स आणि कंडीशनल ॲक्सेस पॉलिसी व्यवस्थापित करते.
Microsoft-केंद्रित वातावरणात Cloud RADIUS साठीचा प्राथमिक आयडेंटिटी सोर्स. Cloud RADIUS प्रोव्हाइडर्स Microsoft Graph API द्वारे Entra ID शी कनेक्ट होतात.
Google Secure LDAP
Cloud Identity Premium आणि Google Workspace Enterprise एडिशन्सवर उपलब्ध असलेली एक मॅनेज्ड सर्व्हिस जी Google च्या क्लाउड डिरेक्टरीला पारंपारिक LDAP इंटरफेस प्रदान करते. RADIUS सर्व्हर क्लायंट सर्टिफिकेट्स वापरून पोर्ट 636 वर ldap.google.com शी कनेक्ट होतात.
Cloud RADIUS सर्व्हरला Google Workspace शी कनेक्ट करण्यासाठीचा प्राथमिक इंटिग्रेशन मार्ग. Google नेटिव्ह RADIUS सेवा ऑफर करत नाही, त्यामुळे Secure LDAP हा ब्रिज म्हणून काम करतो.
PKI (Public Key Infrastructure)
डिजिटल सर्टिफिकेट्स तयार करणे, व्यवस्थापित करणे, वितरित करणे, वापरणे, स्टोअर करणे आणि रद्द करणे यासाठी आवश्यक असलेल्या भूमिका, पॉलिसी, हार्डवेअर, सॉफ्टवेअर आणि प्रक्रियांचा संच. EAP-TLS प्रमाणीकरणामध्ये वापरले जाणारे क्लायंट आणि सर्व्हर सर्टिफिकेट्स जारी करण्यासाठी PKI आवश्यक आहे.
RADIUS व्हेंडर्स किंवा Microsoft (Cloud PKI) कडून मिळणारे क्लाउड-नेटिव्ह PKI पर्याय ऑन-प्रिमाइसेस Active Directory Certificate Services (ADCS) ची गरज दूर करतात.
SCEP (Simple Certificate Enrollment Protocol)
एक प्रोटोकॉल जो डिव्हाइसेसना सर्टिफिकेट ऑथॉरिटीकडून डिजिटल सर्टिफिकेट्सची विनंती करण्यास आणि ती आपोआप प्राप्त करण्यास सक्षम करतो. युझरच्या हस्तक्षेपाशिवाय व्यवस्थापित डिव्हाइसेसवर क्लायंट सर्टिफिकेट्स तैनात करण्यासाठी Microsoft Intune आणि Google Admin Console द्वारे वापरला जातो.
Intune मधील SCEP प्रोफाइल ही अशी यंत्रणा आहे ज्याद्वारे कॉर्पोरेट डिव्हाइसेसना EAP-TLS प्रमाणीकरणासाठी आवश्यक असलेले क्लायंट सर्टिफिकेट्स आपोआप मिळतात.
Dynamic VLAN assignment
एक RADIUS वैशिष्ट्य जे प्रमाणीकृत युझरच्या डिरेक्टरी ग्रुप मेंबरशिपच्या आधारावर ॲक्सेस पॉइंटला VLAN असाइनमेंट ॲट्रिब्युट्स (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) परत पाठवते. AP क्लायंटला स्वयंचलितपणे निर्दिष्ट VLAN वर ठेवतो.
प्रत्येक डिव्हाइससाठी मॅन्युअल VLAN कॉन्फिगरेशनशिवाय सुटसुटीत नेटवर्क सेगमेंटेशन सक्षम करते. वेगवेगळ्या भूमिका किंवा विभागातील कर्मचारी वेगवेगळ्या नेटवर्क सेगमेंटवर पोहोचतात, ज्यामुळे अनधिकृत हालचालींवर मर्यादा येतात आणि PCI DSS सेगमेंटेशन आवश्यकतांना सपोर्ट मिळतो.
सोडवलेली उदाहरणे
एक २०० खोल्यांचे हॉटेल आपल्या बॅक-ऑफ-हाउस कर्मचारी नेटवर्कचे स्थलांतर एका जुन्या ऑन-प्रिमिस NPS सर्व्हरवरून क्लाउड-नेटिव्ह सोल्यूशनवर करत आहे. हे हॉटेल अलीकडेच Microsoft Entra ID आणि Microsoft 365 E5 वर स्थलांतरित झाले आहे. कर्मचाऱ्यांची डिव्हाइसेस Windows लॅपटॉप आहेत जे Intune द्वारे व्यवस्थापित केले जातात. त्यांची वायरलेस इन्फ्रास्ट्रक्चर Cisco Meraki आहे. हॉटेलला अशी सोय हवी आहे की जेणेकरून कर्मचारी पासवर्ड न टाकता आपोआप कनेक्ट होतील, आणि एखादा कर्मचारी सोडून गेल्यास त्याचे नेटवर्क ॲक्सेस त्वरित रद्द व्हावा.
Entra ID इंटिग्रेशनसह Cloud RADIUS सोल्यूशन तैनात करा. पायरी १: Entra ID टेनंटमध्ये Cloud RADIUS प्रदात्याला Microsoft Graph API परवानग्या (User.Read.All, GroupMember.Read.All, Device.Read.All) द्या. पायरी २: Intune मध्ये, Cloud RADIUS Root CA सह एक Trusted Certificate प्रोफाइल तयार करा आणि ते 'All Corporate Devices' ग्रुपवर तैनात करा. पायरी ३: Subject Name CN={{UserPrincipalName}} सह एक SCEP Certificate प्रोफाइल तयार करा आणि ते त्याच ग्रुपवर तैनात करा. पायरी ४: Cloud RADIUS ऑथेंटिकेशन पॉलिसी कॉन्फिगर करा: जर सर्टिफिकेट [Trusted CA] द्वारे जारी केले असेल आणि वापरकर्ता [Hotel-Staff-WiFi] Entra ID ग्रुपचा सदस्य असेल आणि डिव्हाइस Intune-compliant असेल, तरच प्रवेश मंजूर करा. पायरी ५: Cisco Meraki डॅशबोर्डमध्ये, बॅक-ऑफ-हाउस SSID वर RADIUS सर्व्हर म्हणून Cloud RADIUS चे प्रायमरी आणि सेकंडरी IPs जोडा. RADIUS टाइमआउट ५ सेकंदांवर सेट करा. पायरी ६: Intune मध्ये, बॅक-ऑफ-हाउस SSID साठी एक WPA3-Enterprise WiFi प्रोफाइल तयार करा, ज्यामध्ये EAP-TLS निर्दिष्ट करा आणि SCEP सर्टिफिकेट प्रोफाइल लिंक करा. 'All Corporate Devices' ग्रुपवर तैनात करा. पुढील Intune सिंक्रोनाइझेशनवर डिव्हाइसेसना सर्टिफिकेट आणि WiFi प्रोफाइल कोणतीही सूचना न देता मिळतात आणि ते आपोआप कनेक्ट होतात. जेव्हा एखादा कर्मचारी नोकरी सोडतो, तेव्हा त्यांचे Entra ID खाते निष्क्रिय केल्याने सर्व साइट्सवरील नेटवर्क ॲक्सेस त्वरित रद्द होतो.
५० स्टोअर्स असलेली एक रिटेल साखळी Google Workspace वापरते आणि स्टोअर असोसिएट्सद्वारे इन्व्हेंटरी आणि पॉइंट-ऑफ-सेल ऑपरेशन्ससाठी वापरल्या जाणाऱ्या ५०० Chromebooks चा संच व्यवस्थापित करते. ते सध्या स्टोअर ऑपरेशन्स नेटवर्कसाठी सामायिक WPA2 PSK वापरतात, ज्यामुळे डिव्हाइसेस हरवल्यास किंवा चोरीला गेल्यास सुरक्षेचा धोका निर्माण होतो. त्यांना प्रत्येक स्टोअरमध्ये स्थानिक सर्व्हर तैनात न करता 802.1X ऑथेंटिकेशनवर स्थलांतरित व्हायचे आहे. त्यांचे वायरलेस इन्फ्रास्ट्रक्चर HPE Aruba आहे.
Google Secure LDAP द्वारे Google Workspace इंटिग्रेशनसह Cloud RADIUS सोल्यूशन तैनात करा. पायरी १: Google Admin Console मध्ये, Apps आणि नंतर LDAP वर जा, आणि Cloud RADIUS सेवेसाठी नवीन LDAP क्लायंट जोडा. वापरकर्ता माहिती आणि ग्रुप सदस्यत्वासाठी रीड परवानग्या कॉन्फिगर करा. जनरेट केलेले क्लायंट सर्टिफिकेट आणि की डाउनलोड करा. पायरी २: Google Secure LDAP क्रेडेंशियल्ससह Cloud RADIUS सेवा कॉन्फिगर करा. पायरी ३: Chromebooks ना सर्टिफिकेट जारी करण्यासाठी क्लाउड PKI कॉन्फिगर करा. Google Admin Console मध्ये, Devices, नंतर Networks, आणि नंतर Certificates वर जा, आणि Root CA अपलोड करा. सर्टिफिकेट इश्यूअन्स प्रोफाइल कॉन्फिगर करा आणि ते Store-Associates ऑर्गनायझेशनल युनिट (OU) वर लागू करा. पायरी ४: Google Admin Console मध्ये, स्टोअर ऑपरेशन्स SSID साठी WPA3-Enterprise WiFi प्रोफाइल तयार करा. EAP-TLS सेट करा, Root CA लिंक करा आणि Store-Associates OU वर लागू करा. पुढील Admin Console सिंक्रोनाइझेशनवर Chromebooks ना सर्टिफिकेट आणि WiFi प्रोफाइल मिळते. पायरी ५: HPE Aruba Central मध्ये, WPA3-Enterprise सह स्टोअर ऑपरेशन्स SSID कॉन्फिगर करा आणि Cloud RADIUS चे प्रायमरी आणि सेकंडरी IPs जोडा. RADIUS टाइमआउट ५ सेकंदांवर सेट करा. स्टोअर असोसिएट्सना त्यांच्या Google Workspace ग्रुप सदस्यतेच्या आधारावर VLAN 20 (स्टोअर ऑपरेशन्स) वर ठेवण्यासाठी डायनॅमिक VLAN असाइनमेंट कॉन्फिगर करा. जेव्हा एखादे Chromebook हरवते किंवा चोरीला जाते, तेव्हा त्याला Store-Associates OU मधून काढून टाकल्याने त्याचा नेटवर्क ॲक्सेस त्वरित रद्द होतो.
सराव प्रश्न
Q1. तुमची संस्था ऑन-प्रिमाइस Active Directory वरून Microsoft Entra ID वर स्थलांतरित होत आहे. तुम्ही सध्या Intune द्वारे व्यवस्थापित केलेल्या ३०० कॉर्पोरेट लॅपटॉपवर WiFi ऑथेंटिकेशनसाठी PEAP-MSCHAPv2 वापरता. तुमच्याकडे Microsoft 365 E5 लायसन्सिंग आहे. WiFi ऑथेंटिकेशनला क्लाउड-नेटिव्ह आर्किटेक्चरवर स्थलांतरित करण्यासाठी सर्वात सुरक्षित आणि ऑपरेशनलदृष्ट्या कार्यक्षम मार्ग कोणता आहे?
टीप: क्रेडेंशियल-आधारित ऑथेंटिकेशनच्या असुरक्षिततेचा, सर्टिफिकेट वितरणासाठी Microsoft Intune च्या क्षमतेचा आणि ऑन-प्रिमाइस इन्फ्रास्ट्रक्चरवरील अवलंबित्व टाळण्याच्या गरजेचा विचार करा.
नमुना उत्तर पहा
Entra ID इंटिग्रेशनसह Cloud RADIUS सोल्यूशन तैनात करा. ३०० लॅपटॉपवर Trusted Certificate प्रोफाइल (Root CA) आणि SCEP Certificate प्रोफाइल तैनात करण्यासाठी Microsoft Intune वापरा. विश्वसनीय CA कडून वैध सर्टिफिकेट आणि Corporate-WiFi-Users Entra ID ग्रुपचे सदस्यत्व आवश्यक असण्यासाठी Cloud RADIUS ऑथेंटिकेशन पॉलिसी कॉन्फिगर करा. Intune मध्ये EAP-TLS निर्दिष्ट करणारे WPA3-Enterprise WiFi प्रोफाइल तयार करा आणि SCEP सर्टिफिकेट प्रोफाइल लिंक करा. पुढील Intune सिंकवर डिव्हाइसेसना शांतपणे सर्टिफिकेट आणि WiFi कॉन्फिगरेशन प्राप्त होईल. हे PEAP-MSCHAPv2 क्रेडेंशियल चोरीचा धोका काढून टाकते, ऑन-प्रिमाइस NPS वरील अवलंबित्व दूर करते आणि जेव्हा एखादे Entra ID खाते निष्क्रिय केले जाते तेव्हा त्वरित रेव्होकेशन (रद्दीकरण) प्रदान करते.
Q2. तुमच्या हॉटेलमधील एक युझर दोन आठवड्यांच्या सुट्टीवरून परत आल्यानंतर बॅक-ऑफ-हाउस स्टाफ WiFi शी कनेक्ट करू शकत नसल्याची तक्रार करतो. इतर कर्मचारी कोणत्याही समस्येशिवाय कनेक्ट होत आहेत. हे नेटवर्क Intune द्वारे तैनात केलेल्या सर्टिफिकेट्ससह EAP-TLS वापरते. संभाव्यतेच्या क्रमाने, तीन सर्वात संभाव्य कारणे कोणती आहेत?
टीप: EAP-TLS वेळेची संवेदनशीलता असलेल्या क्रिप्टोग्राफिक मालमत्तांवर आणि रिअल-टाइम डिरेक्टरी लुकअप्सवर अवलंबून असते.
नमुना उत्तर पहा
१. युझरचे क्लायंट सर्टिफिकेट एक्स्पायर झाले आहे. सर्टिफिकेट्सचा एक निश्चित वैधता कालावधी असतो आणि जर नूतनीकरण विंडो दरम्यान डिव्हाइस ऑफलाइन असेल, तर SCEP प्रोफाइलने त्याचे नूतनीकरण केले नसेल. Intune डिव्हाइस सर्टिफिकेट स्टोअरमध्ये सर्टिफिकेट संपण्याची तारीख तपासा. २. डिव्हाइसचे सिस्टम घड्याळ लक्षणीयरीत्या आउट ऑफ सिंक (क्लॉक स्क्यू) आहे, ज्यामुळे सर्टिफिकेट व्हॅलिडेशन अपयशी ठरत आहे. EAP-TLS सर्टिफिकेट टाईमस्टॅम्प्स व्हॅलिडेट करते; पाच मिनिटांपेक्षा जास्त आउट ऑफ सिंक असलेले घड्याळ ऑथेंटिकेशन अपयशी ठरवेल. ३. युझरच्या अनुपस्थितीत त्यांचे Entra ID खाते वेगळ्या ग्रुपमध्ये ठेवले गेले (उदा. ॲक्टिव्ह स्टाफमधून वेगळ्या OU मध्ये हलवले गेले), आणि RADIUS ऑथेंटिकेशन पॉलिसी त्यांच्या ग्रुप सदस्यत्वासह आता जुळत नाही. RADIUS पॉलिसीच्या विरुद्ध Entra ID मधील युझरचे ग्रुप सदस्यत्व तपासा.
Q3. तुम्ही ८० स्टोअर्स असलेल्या रिटेल चेनचे IT मॅनेजर आहात. तुम्ही Google Workspace वापरता आणि Google Admin Console द्वारे ४०० Chromebooks व्यवस्थापित करता. तुम्हाला स्टोअर ऑपरेशन्स नेटवर्कवरील सध्याचे शेअर्ड WPA2 PSK बदलून 802.1X ऑथेंटिकेशन वापरायचे आहे. तुमच्याकडे कोणत्याही स्टोअरच्या ठिकाणी ऑन-प्रिमाइस सर्व्हर नाहीत. तुम्ही कोणते आर्किटेक्चर तैनात कराल आणि सध्याच्या PSK पद्धतीपेक्षा याचा प्राथमिक सुरक्षा फायदा काय आहे?
टीप: प्रत्येक ऑथेंटिकेशन मॉडेल अंतर्गत Chromebook गहाळ झाल्यास किंवा चोरीला गेल्यास काय होते याचा विचार करा.
नमुना उत्तर पहा
Google Secure LDAP इंटिग्रेशनसह Cloud RADIUS सर्व्हिस तैनात करा. Chromebooks ना सर्टिफिकेट्स जारी करण्यासाठी क्लाउड PKI कॉन्फिगर करा. Google Admin Console मध्ये, Store-Associates ऑर्गनायझेशनल युनिट (OU) मध्ये Root CA आणि SCEP क्लायंट सर्टिफिकेट प्रोफाइल तैनात करा. EAP-TLS निर्दिष्ट करणारे WPA3-Enterprise WiFi प्रोफाइल तयार करा आणि ते त्याच OU वर तैनात करा. प्रत्येक स्टोअरमधील HPE Aruba (किंवा समतुल्य) ॲक्सेस पॉइंट्स Cloud RADIUS सर्व्हिसकडे निर्देशित करण्यासाठी कॉन्फिगर करा. प्राथमिक सुरक्षा फायदा: सध्याच्या शेअर्ड PSK अंतर्गत, गहाळ झालेला किंवा चोरीला गेलेला Chromebook जोपर्यंत सर्व ८० स्टोअर्समध्ये PSK बदलला जात नाही तोपर्यंत WiFi ॲक्सेस ठेवतो - जी एक त्रासदायक आणि वेळखाऊ प्रक्रिया आहे. EAP-TLS सह, Google Admin Console मधील Store-Associates OU मधून डिव्हाइस काढून टाकल्यास त्याचे सर्टिफिकेट आणि नेटवर्क ॲक्सेस त्वरित रद्द होतो, ज्याचा इतर कोणत्याही डिव्हाइसवर कोणताही परिणाम होत नाही.
Q4. Cloud RADIUS उपयोजनादरम्यान, तुम्ही Cisco Meraki ॲक्सेस पॉइंट्सवर SSID कॉन्फिगर करता आणि २० डिव्हाइसेसच्या पायलट ग्रुपवर Intune WiFi प्रोफाइल तैनात करता. कोणतेही डिव्हाइस कनेक्ट करू शकत नाही. Intune डिव्हाइस स्टेटस सर्टिफिकेट आणि WiFi प्रोफाइल यशस्वीरित्या तैनात झाल्याचे दर्शवते. तुम्ही सर्वात आधी काय तपासाल?
टीप: सुरुवातीच्या उपयोजनातील अपयशाचे सर्वात सामान्य कारण म्हणजे RADIUS पॉलिसी किंवा सर्टिफिकेटमधील कॉन्फिगरेशन एरर नसणे.
नमुना उत्तर पहा
Cisco Meraki ॲक्सेस पॉइंट्सवरून (किंवा Meraki क्लाउड इन्फ्रास्ट्रक्चरवरून) Cloud RADIUS सर्व्हर IP ॲड्रेसवर UDP पोर्ट्स १८१२ आणि १८१३ आउटबाउंड उघडे आहेत का ते तपासा. ब्लॉक केलेले फायरवॉल पोर्ट्स हे सुरुवातीच्या उपयोजनातील अपयशाचे मुख्य कारण आहेत. सर्टिफिकेट्स आणि WiFi प्रोफाइल यशस्वीरित्या तैनात झाल्यामुळे Intune कॉन्फिगरेशनच्या समस्या बाद होतात. पुढील तपासण्या आहेत: Meraki आणि Cloud RADIUS सर्व्हिसमधील RADIUS शेअर्ड सिक्रेट न जुळणे; RADIUS टाईमआउट खूप कमी सेट केले असणे (किमान ५ सेकंदांपर्यंत वाढवा); आणि Cloud RADIUS सर्व्हर IPs Meraki SSID कॉन्फिगरेशनमध्ये योग्यरित्या प्रविष्ट केले आहेत की नाही.
या मालिकेमध्ये पुढे वाचा
हायब्रिड वर्कफोर्ससाठी RADIUS as a Service चे सुरक्षा फायदे
हे तांत्रिक संदर्भ मार्गदर्शक स्पष्ट करते की कशा प्रकारे RADIUS as a Service विखुरलेल्या ठिकाणी हायब्रिड वर्कफोर्ससाठी नेटवर्क ऍक्सेस सुरक्षित करते. यामध्ये ऑन-प्रिमाइसेस RADIUS इन्फ्रास्ट्रक्चरच्या जागी क्लाउड-मॅनेज्ड ऑथेंटिकेशन सर्व्हिस वापरण्यासाठीचे आर्किटेक्चर, सुरक्षा फायदे आणि डिप्लॉयमेंट स्टेप्स समाविष्ट आहेत. हॉटेल्स, रिटेल चेन्स, स्टेडियम्स आणि सार्वजनिक क्षेत्रातील संस्थांमधील IT मॅनेजर्स आणि नेटवर्क आर्किटेक्ट्ससाठी, हे मार्गदर्शक या तिमाहीत क्लाउड RADIUS मायग्रेशनचे मूल्यमापन करण्यासाठी आणि त्यावर कृती करण्यासाठी आवश्यक पुरावे प्रदान करते.
Cloud RADIUS सह 802.1X प्रमाणीकरण (Authentication) कसे लागू करावे
हे तांत्रिक संदर्भ मार्गदर्शक वितरित एंटरप्राइझ इस्टेट्समध्ये Cloud RADIUS सह 802.1X प्रमाणीकरण लागू करण्यासाठी एक व्यापक फ्रेमवर्क प्रदान करते. हे ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चरचा ऑपरेशनल ओव्हरहेड काढून टाकून नेटवर्क ॲक्सेस सुरक्षित करण्यासाठी आवश्यक असलेले आर्किटेक्चर, EAP पद्धत निवड, डिप्लॉयमेंट सिक्वेन्सिंग आणि जोखीम कमी करण्याच्या धोरणांचे तपशील देते.
Cloud RADIUS म्हणजे काय? RADIUS as a Service ची सविस्तर माहिती
हे सविस्तर मार्गदर्शक Cloud RADIUS (RADIUS as a Service) चे विश्लेषण करते, ज्यामध्ये त्याचे आर्किटेक्चर, EAP पद्धती आणि अंमलबजावणीच्या धोरणांचा तपशील दिला आहे. हे IT प्रमुखांना ऑन-प्रिमाइसेस सर्व्हरवरून स्केलेबल, सुरक्षित आणि सुसंगत क्लाउड-आधारित ऑथेंटिकेशन मॉडेलवर स्थलांतरित करण्यासाठी व्यावहारिक धोरणे प्रदान करते.