Azure AD and Entra ID WiFi Authentication: Integration and Configuration Guide

Resumo Executivo

Para empresas modernas com grandes investimentos no ecossistema Microsoft, conectar a infraestrutura de identidade em nuvem com as redes sem fio físicas é um imperativo de segurança crítico. Historicamente, a autenticação WiFi dependia do Active Directory Domain Services (AD DS) local e do Windows Network Policy Server (NPS). No entanto, à medida que as organizações migram para o Microsoft Entra ID (antigo Azure AD) e adotam modelos de segurança zero-trust, a abordagem tradicional de autenticação baseada em credenciais — PEAP-MSCHAPv2 — não é mais suficiente ou segura.

Este guia fornece a gerentes de TI, arquitetos de rede e diretores de operações de locais físicos um roteiro prático para implementar a autenticação Azure AD WiFi. Exploramos as diferenças arquitetônicas entre manter uma estrutura de NPS local e migrar para uma solução RADIUS nativa em nuvem. Fundamentalmente, detalhamos como aproveitar o Microsoft Intune para autenticação baseada em certificados (EAP-TLS), o que elimina vulnerabilidades relacionadas a senhas e proporciona uma experiência fluida e sem atritos para os usuários finais. Quer você esteja gerenciando um hotel de 500 quartos, uma rede de varejo ou uma grande implantação no setor público, este guia ajudará a proteger sua borda sem fio usando seus investimentos existentes em identidade Microsoft. Para uma discussão mais ampla sobre modelos de implantação, consulte nosso Cloud RADIUS vs On-Premise RADIUS: Guia de Decisão para Equipes de TI .

Análise Técnica Detalhada: Arquitetura e Padrões

A base do WiFi corporativo seguro é o padrão IEEE 802.1X, que fornece controle de acesso à rede baseado em porta. Em um ambiente centrado na Microsoft, a integração do 802.1X com o Entra ID exige um planejamento arquitetônico cuidadoso em três camadas: a infraestrutura sem fio, o servidor de autenticação e o diretório de identidade.

O Papel do RADIUS e do 802.1X

Quando um dispositivo cliente (o suplicante) tenta se conectar a uma rede WPA2/WPA3-Enterprise, o Ponto de Acesso Sem Fio (o autenticador) bloqueia todo o tráfego, exceto os pacotes EAP (Extensible Authentication Protocol). O ponto de acesso encaminha esses pacotes para um servidor RADIUS. O servidor RADIUS valida a identidade do usuário ou do dispositivo em um serviço de diretório e retorna uma mensagem de Access-Accept ou Access-Reject. Este modelo de três partes — suplicante, autenticador, servidor de autenticação — é a base da segurança sem fio corporativa e é descrito em detalhes em nosso Wireless Access Points Definition: Your Ultimate 2026 Guide .

Abordagens Arquiteturais para Ambientes Microsoft

Existem duas arquiteturas principais para integrar a identidade Microsoft com a autenticação WiFi, cada uma com vantagens e desvantagens distintas:

Híbrida Local (Windows NPS + AD DS + Azure AD Connect): Esta é a abordagem tradicional. O Windows NPS atua como o servidor RADIUS, autenticando requisições em um Active Directory local. Para vincular isso à nuvem, o Azure AD Connect sincroniza as identidades locais com o Entra ID. Embora robusto, isso exige a manutenção de infraestrutura de servidores locais, gerenciamento de alta disponibilidade e a implantação de uma PKI complexa (ADCS) caso o EAP-TLS seja implementado.

Nativa em Nuvem (Cloud RADIUS + Entra ID + Intune): Esta abordagem moderna elimina a necessidade de servidores NPS locais. Um provedor de Cloud RADIUS de terceiros se integra diretamente ao Entra ID via Microsoft Graph API. A autenticação ocorre inteiramente na nuvem. Esta arquitetura se alinha com uma estratégia cloud-first, reduzindo significativamente a sobrecarga operacional e alinhando-se aos princípios de acesso à rede zero-trust.

EAP-TLS vs. PEAP-MSCHAPv2: A Escolha Crítica

A escolha do método EAP é a decisão de segurança mais consequente nesta implantação. O PEAP-MSCHAPv2 depende de os usuários inserirem suas credenciais de domínio. Isso é vulnerável ao roubo de credenciais, a ataques man-in-the-middle e cria uma experiência de usuário ruim quando as senhas expiram. Pesquisas têm demonstrado consistentemente que o PEAP-MSCHAPv2 pode ser comprometido por meio de ataques de pontos de acesso falsos.

O EAP-TLS (Transport Layer Security) é o padrão ouro do setor para WiFi seguro. Ele usa certificados digitais instalados no dispositivo cliente para autenticação mútua — tanto o cliente quanto o servidor provam sua identidade. Não há senhas para digitar e a conexão é criptograficamente forte. Em um ambiente Microsoft, os certificados são normalmente implantados usando o Microsoft Intune via SCEP (Simple Certificate Enrollment Protocol) ou PKCS. Este é o caminho recomendado para todas as novas implantações e é essencial para a conformidade com o PCI DSS (Requisito 8) e com as obrigações de proteção de dados do GDPR.

Guia de Implementação: Implantação Passo a Passo

A implementação da autenticação Entra ID WiFi usando EAP-TLS e Intune requer a coordenação de vários componentes em toda a infraestrutura de identidade, gerenciamento de dispositivos e rede. A abordagem de cinco fases a seguir é recomendada para uma implantação nativa em nuvem.

Fase 1: Preparar a Infraestrutura de Identidade e Gerenciamento de Dispositivos

Comece verificando se o seu locatário do Entra ID possui o licenciamento apropriado. O Microsoft 365 E3/E5 ou o Enterprise Mobility + Security (EMS) E3/E5 inclui os recursos de gerenciamento de dispositivos do Intune e de Acesso Condicional necessários para esta implantação. Sem o Intune, a implantação automatizada de certificados não é possível.

Em seguida, estabeleça sua Infraestrutura de Chaves Públicas (PKI). Você tem três opções: uma PKI nativa em nuvem fornecida pelo seu fornecedor de Cloud RADIUS, a própria Cloud PKI da Microsoft (disponível com o licenciamento do Intune Suite) ou uma implantação ADCS local existente conectada ao Intune por meio do Microsoft Intune Certificate Connector. Para novas implantações, uma PKI nativa em nuvem é fortemente recomendada para evitar dependências locais.

Fase 2: Configurar o Intune para Implantação de Certificados

No centro de administração do Microsoft Intune, crie um perfil de configuração de Certificado Confiável. Carregue o certificado da CA Raiz da sua PKI e implante-o nos grupos de dispositivos de destino. Esta etapa é crítica: ela garante que os dispositivos clientes confiem no certificado apresentado pelo servidor RADIUS durante o handshake TLS, evitando ataques man-in-the-middle.

Em seguida, crie um perfil de Certificado SCEP (ou PKCS, se a sua PKI exigir). Configure o formato do Nome do Assunto — para autenticação baseada em usuário, use CN={{UserPrincipalName}}; para autenticação baseada em dispositivo, use CN={{DeviceName}} ou o número de série do dispositivo. Defina o Nome Alternativo do Assunto (SAN) para incluir o User Principal Name ou o ID do dispositivo. Atribua ambos os perfis aos grupos de usuários ou dispositivos do Entra ID apropriados.

Fase 3: Configurar a Integração com o Cloud RADIUS

Conceda ao seu provedor de Cloud RADIUS as permissões necessárias da Microsoft Graph API no seu locatário do Entra ID. No mínimo, o provedor requer User.Read.All e GroupMember.Read.All para validar as associações de grupo durante a autenticação. Alguns provedores também exigem Device.Read.All para políticas baseadas em dispositivos.

No portal de gerenciamento do Cloud RADIUS, defina suas políticas de autenticação. Uma política bem estruturada para um ambiente corporativo pode ser: "Permitir acesso se o certificado for emitido por [CA Confiável] E o usuário for membro do grupo [Corporate-WiFi-Users] do Entra ID E o dispositivo estiver marcado como Compatível no Intune." Essa política em camadas impõe simultaneamente a identidade e a integridade do dispositivo.

Fase 4: Configurar a Infraestrutura de Rede Sem Fio

No seu controlador de LAN sem fio ou painel de gerenciamento em nuvem (como Cisco Meraki, Aruba Central ou Juniper Mist), adicione os endereços IP e os segredos compartilhados do servidor Cloud RADIUS como servidores de autenticação RADIUS. Configure servidores primários e secundários para redundância. Defina o tempo limite do RADIUS para no mínimo 5 segundos para acomodar a latência de ida e volta da nuvem.

Crie um novo SSID configurado para WPA2-Enterprise ou WPA3-Enterprise. Atribua os servidores RADIUS a este SSID. Para implantações em Hospitalidade , certifique-se de que este SSID corporativo esteja em uma VLAN separada de qualquer rede de convidados. Para ambientes de Varejo , considere implantar o SSID corporativo apenas em áreas internas de suporte, mantendo a rede do salão de vendas separada.

Fase 5: Implantar o Perfil de WiFi via Intune

Crie um perfil de configuração de WiFi no Intune. Defina o SSID para corresponder exatamente ao que você configurou na infraestrutura de rede sem fio. Selecione WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança. Nas configurações de EAP, selecione EAP-TLS como o método de autenticação. Vincule o perfil de certificado SCEP como o certificado do cliente e especifique o perfil de CA Raiz Confiável que você implantou na Fase 2.

Atribua este perfil de WiFi aos mesmos grupos de dispositivos que receberam os perfis de certificado. Os dispositivos receberão silenciosamente o certificado e a configuração de WiFi durante a próxima sincronização do Intune e se conectarão automaticamente quando estiverem no alcance do SSID — sem necessidade de interação do usuário.

Melhores Práticas para Ambientes Corporativos

As recomendações a seguir representam o consenso do setor para implantações seguras e escaláveis do Microsoft 802.1X em ambientes corporativos.

Exija EAP-TLS em todas as novas implantações. Não implante novas redes usando PEAP-MSCHAPv2. Os riscos de segurança do WiFi baseado em credenciais são bem documentados e incompatíveis com uma postura de segurança zero-trust. O EAP-TLS é essencial para a conformidade com PCI DSS, GDPR e ISO 27001.

Automatize o ciclo de vida dos certificados. Garanta que, quando um usuário for desativado no Entra ID ou um dispositivo for desativado no Intune, o certificado correspondente seja revogado automaticamente ou a política RADIUS bloqueie o acesso imediatamente. Isso é particularmente importante em ambientes com alta rotatividade, como Hospitality e Varejo , onde as mudanças de equipe são frequentes.

Implemente o Acesso Condicional do Entra ID. Aproveite as políticas de Acesso Condicional para impor a conformidade do dispositivo como uma condição de acesso à rede. Exigir que os dispositivos sejam marcados como 'Em conformidade' no Intune antes de poderem se autenticar no RADIUS garante que apenas dispositivos corrigidos e em conformidade com as políticas acessem a rede corporativa.

Segmente rigorosamente as redes corporativas e de convidados. O 802.1X foi projetado para dispositivos corporativos gerenciados. Para visitantes, prestadores de serviços e BYOD, implemente uma solução dedicada de Guest WiFi com um Captive Portal. Isso pode ser integrado ao Entra ID B2B para acesso de prestadores de serviços ou usar logins de redes sociais e verificação por SMS para acesso do público em geral. Nunca permita dispositivos não gerenciados no SSID corporativo 802.1X.

Planeje para dispositivos legados e IoT. Impressoras, sensores IoT e dispositivos legados que não suportam certificados exigem uma estratégia separada. Use o MAC Authentication Bypass (MAB) para dispositivos conhecidos ou um SSID WPA2-Personal dedicado com uma PSK complexa e rotacionada, isolada em uma VLAN dedicada. A plataforma Sensors da Purple, por exemplo, pode operar em uma VLAN IoT dedicada, separada da infraestrutura de autenticação corporativa.

Monitore eventos de autenticação. Integre os logs do RADIUS ao seu SIEM ou use a plataforma WiFi Analytics para monitorar falhas de autenticação, avisos de expiração de certificados e padrões de acesso incomuns. O monitoramento proativo evita interrupções antes que elas afetem as operações.

Solução de Problemas e Mitigação de Riscos

Mesmo implantações bem planejadas enfrentam problemas. A seguir estão os modos de falha mais comuns e suas resoluções.

Falhas na Implantação de Certificados. O problema mais comum em uma implantação EAP-TLS é a falha dos dispositivos em receber certificados do Intune. Isso geralmente é causado por um Intune Certificate Connector configurado incorretamente (se estiver usando ADCS local), URL SCEP incorreta ou dispositivos que não estão sincronizando com o Intune. Sempre verifique o status do Certificate Connector no centro de administração do Intune e verifique os logs de sincronização do dispositivo. Certifique-se de que a conta de serviço SCEP tenha as permissões necessárias na CA.

Problemas de Timeout do RADIUS. Se o ponto de acesso não conseguir alcançar o servidor RADIUS dentro do tempo limite configurado, os clientes não conseguirão se conectar. Certifique-se de que suas regras de firewall permitam as portas UDP 1812 (autenticação) e 1813 (accounting) de saída para as faixas de IP do provedor de Cloud RADIUS. Se estiver usando NPS local, implante no mínimo dois servidores NPS e configure seus pontos de acesso para fazer failover entre eles.

Falhas de Confiança no Certificado. Se os clientes receberem um erro de "certificado de servidor não confiável", o perfil da CA Raiz Confiável não foi implantado corretamente no dispositivo. Verifique a atribuição do perfil no Intune e verifique o repositório de certificados do dispositivo. Este é um problema comum com dispositivos recém-registrados que ainda não concluíram sua primeira sincronização do Intune.

Extensão NPS para Azure MFA. Embora seja tecnicamente possível usar a Extensão NPS para impor a Autenticação de Múltiplos Fatores para WiFi, isso é fortemente desaconselhado para o acesso primário. A experiência do usuário de receber uma solicitação de MFA toda vez que um dispositivo faz roaming entre pontos de acesso é extremamente disruptiva. Confie na autenticação forte fornecida pelo certificado do dispositivo e, em vez disso, imponha o MFA na camada de aplicação.

Conflitos de Diretiva de Grupo. Em ambientes híbridos, os Objetos de Diretiva de Grupo (GPOs) que configuram o cliente sem fio do Windows podem entrar em conflito com os perfis de WiFi do Intune. Garanta que os perfis do Intune tenham precedência revisando as configurações de registro do MDM e, quando necessário, bloqueando a configuração sem fio baseada em GPO para dispositivos gerenciados pelo Intune.

ROI e Impacto nos Negócios

A migração para uma arquitetura RADIUS nativa da nuvem integrada ao Entra ID oferece valor mensurável e quantificável em várias dimensões.

Redução de Chamados no Helpdesk. Problemas de WiFi relacionados a senhas — bloqueios, senhas expiradas, suplicantes configurados incorretamente — são uma fonte significativa de chamados de suporte de TI em ambientes baseados em credenciais. O EAP-TLS elimina isso completamente. As organizações normalmente relatam uma redução de 30% a 50% no volume de helpdesk relacionado ao WiFi após a migração para a autenticação baseada em certificado.

Economia de Custos de Infraestrutura. A desativação dos servidores NPS locais reduz os custos de computação, as taxas de licenciamento do sistema operacional e a sobrecarga operacional de aplicação de patches e manutenção de clusters de alta disponibilidade. Para uma organização de médio porte que executa dois servidores NPS, isso pode representar uma economia de £15.000 a £30.000 por ano em custos operacionais e de infraestrutura.

Melhoria da Postura de Segurança e Conformidade. Afastar-se da autenticação baseada em credenciais mitiga o risco de roubo de credenciais e movimentação lateral, protegendo dados corporativos confidenciais. Para organizações sujeitas ao PCI DSS, isso atende diretamente aos requisitos de controle de acesso à rede. Para organizações de Saúde que lidam com dados de pacientes, apoia a conformidade com o DSPT. Para operadores de Transporte , alinha-se com os requisitos da Diretiva NIS2 para segurança de rede.

Melhoria na Experiência do Usuário. A conexão WiFi automática e contínua — sem solicitações de senha, sem bloqueios e sem configuração manual — melhora a produtividade e reduz o atrito para a equipe. Isso é particularmente impactante em ambientes de alta mobilidade, como centros de distribuição, enfermarias de hospitais e lojas de varejo. Ao tratar sua rede WiFi como uma extensão de sua estratégia de identidade em nuvem, você garante um acesso seguro e sem atritos que acompanha o crescimento de sua organização. Para obter mais orientações sobre os aspectos de integração de SD-WAN em redes corporativas modernas, consulte The Core SD-WAN Benefits for Modern Businesses . Para considerações de implantação específicas para o setor de hospitalidade, consulte Modern Hospitality WiFi Solutions Your Guests Deserve .