Pular para o conteúdo principal

Como Configurar Azure Entra ID (Azure AD) para Autenticação WiFi

Este guia de autoridade detalha a arquitetura, as etapas de implementação e o impacto nos negócios da integração do Azure Entra ID com 802.1X para autenticação WiFi corporativa. Ele fornece aos arquitetos de rede e gerentes de TI estratégias práticas de implantação, substituindo PSKs herdadas por acesso à rede baseado em certificado com abordagem zero trust.

📖 4 min de leitura📝 945 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
[INTRO - 1 MIN] Host: Bem-vindo ao Briefing de Rede de Enterprise da Purple. Eu sou o seu anfitrião e hoje estamos abordando uma atualização de infraestrutura crítica que está no topo das prioridades de CTOs e arquitetos de rede: a migração da autenticação de seu WiFi corporativo para o Azure Entra ID - anteriormente Azure AD. Se você gerencia uma rede de hotéis, um estádio ou uma grande implantação no setor público, você conhece a dor de cabeça dos servidores RADIUS locais legados e PSKs compartilhados. Hoje, estamos falando sobre acesso à rede zero-trust, especificamente como implementar a autenticação baseada em certificado 802.1X usando o Azure Entra ID. Sem enrolação, apenas a realidade técnica de colocar isso em prática. [TECHNICAL DEEP-DIVE - 5 MIN] Host: Vamos direto para a arquitetura. Os dias de WPA2-Personal com uma senha compartilhada em um post-it acabaram. Em uma grande empresa moderna, esteja você protegendo operações internas em um ambiente de varejo ou redes de funcionários em um hospital, você precisa de acesso baseado em identidade. Quando falamos de Azure Entra ID para WiFi, estamos fundamentalmente falando de EAP-TLS. Isso é Extensible Authentication Protocol com Transport Layer Security. É o padrão de ouro. Por quê? Porque ele depende de certificados, não de senhas. Senhas podem ser alvo de phishing, compartilhadas ou forçadas por força bruta. Certificados vinculados a um dispositivo gerenciado via Intune não podem. Então, como flui o tráfego? Um dispositivo corporativo - digamos, um notebook gerenciado - tenta se conectar ao SSID corporativo. O Access Point sem fio, agindo como o autenticador, bloqueia o acesso e passa as credenciais via RADIUS para o seu servidor de autenticação. Agora, o Azure Entra ID não fala RADIUS nativamente. Esta é a ponte arquitetônica crítica. Você precisa de um provedor de RADIUS em nuvem ou de um Network Policy Server (NPS) local com a extensão Azure MFA. O dispositivo apresenta seu certificado de cliente. O servidor RADIUS valida esse certificado em sua Autoridade de Certificação - frequentemente gerenciada via SCEP no Intune. Se o certificado for válido, o servidor RADIUS verifica o Azure Entra ID para garantir que a conta do usuário esteja ativa, não desativada e em conformidade com as políticas de Acesso Condicional. Só então o servidor RADIUS envia uma mensagem de Access-Accept de volta ao AP, colocando o usuário na VLAN correta. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Host: Agora, onde as implantações costumam dar errado? Vejo três armadilhas comuns. Primeiro: Disponibilidade da Lista de Revogação de Certificados (CRL). Se o seu servidor RADIUS não conseguir acessar a CRL, a autenticação falhará. Garanta que seus endpoints de CRL estejam altamente disponíveis e acessíveis a partir da infraestrutura RADIUS. Segundo: Configuração do solicitante. Não deixe isso para o usuário final. Use seu MDM - Microsoft Intune, Workspace ONE, o que quer que você use - para implantar o perfil de WiFi. O perfil deve definir explicitamente a CA raiz confiável e especificar que o cliente deve se conectar apenas aos nomes de servidores RADIUS específicos. Se você não fizer isso, estará vulnerável a ataques de Evil Twin. Terceiro: Dispositivos legados. Dispositivos IoT, terminais de ponto de venda ou leitores de código de barras mais antigos em um armazém geralmente não oferecem suporte a 802.1X ou EAP-TLS. Você deve planejar uma estratégia de MAC Authentication Bypass (MAB) ou uma rede dedicada de chave pré-compartilhada com isolamento estrito de rede para esses dispositivos. Não comprometa o SSID corporativo principal por causa de uma impressora legada. [PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MIN] Apresentador: Vamos responder a algumas perguntas rápidas que ouvimos de arquitetos de rede. Pergunta um: Podemos usar PEAP-MSCHAPv2 com Azure Entra ID? Resposta: Sim, via NPS, mas a Microsoft está descontinuando ativamente a autenticação baseada em credenciais. Mude para o EAP-TLS. É mais seguro e oferece uma melhor experiência ao usuário. Pergunta dois: Como isso se integra com o guest WiFi da Purple? Resposta: Mantenha-os separados. Sua rede corporativa usa 802.1X vinculado ao Azure Entra ID. Sua rede de convidados usa um SSID aberto com um Captive Portal impulsionado pela Purple para análises, aceitação de termos e captura de dados de marketing. Você pode até usar a autenticação baseada em perfil da Purple para visitas de retorno contínuas para convidados, mantendo esse tráfego completamente isolado de seus dados corporativos. [RESUMO E PRÓXIMOS PASSOS - 1 MIN] Apresentador: Para encerrar: Mudar para o Azure Entra ID para autenticação WiFi é um passo fundamental em direção a uma arquitetura zero-trust. Isso elimina os chamados de suporte para rotação de senhas, atenua o roubo de credenciais e garante que apenas dispositivos compatíveis e gerenciados acessem sua rede interna. Seu próximo passo? Faça uma auditoria na sua infraestrutura RADIUS atual. Se você estiver executando o NPS legado localmente, avalie as soluções de RADIUS em nuvem que se integram diretamente ao Azure Entra ID e ao Intune. Mapeie sua estratégia de implantação de certificados. Obrigado por participar deste briefing técnico. Proteja suas redes e nos vemos na próxima vez.

header_image.png

Resumo Executivo

Para CTOs e arquitetos de rede que gerenciam ambientes complexos - de grandes espaços de hospitalidade a áreas dinâmicas de varejo - proteger a rede corporativa não é mais apenas uma questão de senhas fortes. As chaves pré-compartilhadas (PSKs) tradicionais e a validação básica de credenciais são fundamentalmente incompatíveis com a arquitetura zero-trust moderna.

Este guia detalha a transição para a autenticação WiFi baseada em certificado 802.1X integrada diretamente com o Azure Entra ID (antigo Azure AD). Ao migrar para o EAP-TLS (Extensible Authentication Protocol com Transport Layer Security), as empresas podem eliminar os riscos associados ao roubo de credenciais, automatizar o registro de dispositivos via Gerenciamento de Dispositivos Móveis (MDM) e garantir que apenas dispositivos gerenciados e em conformidade possam acessar VLANs corporativas confidenciais. Exploramos a arquitetura técnica, as etapas de implantação e como essa postura de segurança empresarial opera em paralelo com estratégias de rede de convidados gerenciadas por plataformas como a Purple.

Detalhamento Técnico

A Transição de Credenciais para Certificados Digitais

Historicamente, o WiFi corporativo dependia do PEAP-MSCHAPv2, que exige que os usuários insiram suas credenciais de domínio. No entanto, devido à sua suscetibilidade a ataques de adversário no meio (AiTM), a Microsoft está descontinuando ativamente a autenticação baseada em credenciais. O padrão atual do setor é o EAP-TLS, que usa validação mútua de certificados.

Em uma implantação EAP-TLS, tanto o servidor RADIUS quanto o dispositivo cliente apresentam certificados digitais. Se um dispositivo não possuir um certificado válido emitido por sua Autoridade Certificadora (CA) confiável, o servidor RADIUS rejeitará a conexão antes mesmo que o dispositivo obtenha um endereço IP.

architecture_overview.png

A Ponte Arquitetônica: RADIUS e Entra ID

O Azure Entra ID é um provedor de identidade (IdP) em nuvem que usa protocolos modernos como SAML e OIDC; ele não se comunica nativamente usando o protocolo RADIUS utilizado pelos pontos de acesso sem fio (WAPs). Para preencher essa lacuna, os arquitetos de rede devem implantar um servidor RADIUS capaz de se comunicar com o Entra ID. Isso geralmente é alcançado por meio de:

  1. Soluções Cloud RADIUS: Plataformas desenvolvidas sob medida (como SecureW2, SCEPman ou Portnox) que se integram diretamente com o Entra ID e o Intune via APIs.
  2. Network Policy Server (NPS) local: Usando a extensão Azure MFA, embora isso seja cada vez mais considerado uma abordagem legada em comparação com o RADIUS nativo da nuvem.

eap_comparison_chart.png

Guia de Implementação

A implantação do Microsoft Entra ID para autenticação WiFi exige coordenação entre as equipes de identidade, gerenciamento de dispositivos e infraestrutura de rede.

Passo 1: Estabelecer a Infraestrutura de Chaves Públicas (PKI)

Você deve estabelecer uma CA para emitir certificados de cliente e servidor. Em ambientes que priorizam a nuvem, isso geralmente é uma PKI em nuvem integrada ao Microsoft Intune via Simple Certificate Enrolment Protocol (SCEP).

Passo 2: Configurar o Servidor RADIUS

Implante sua infraestrutura RADIUS e vincule-a ao seu tenant do Entra ID. O servidor RADIUS precisa de seu próprio certificado de servidor - confiável para seus dispositivos clientes - para provar sua identidade durante o handshake EAP.

Passo 3: Implantar Perfis MDM via Intune

Não dependa de os usuários configurarem suas configurações de WiFi manualmente. Use o Intune para enviar um perfil de WiFi completo contendo:

  • O certificado da CA raiz confiável.
  • O perfil SCEP usado para solicitar o certificado do cliente.
  • A própria configuração de WiFi, definindo explicitamente o SSID e os nomes exatos de servidor da infraestrutura RADIUS para evitar ataques do tipo Evil Twin.

Passo 4: Configurar o Wireless LAN Controller (WLC)

Configure seus pontos de acesso ou WLC para usar WPA2/WPA3-Enterprise (802.1X). Direcione o tráfego de autenticação e tarifação para os novos endereços IP do seu servidor RADIUS e defina o segredo compartilhado do RADIUS.

> "Ao configurar o 802.1X, certifique-se de que os valores de timeout do RADIUS no WLC sejam suficientes para a latência da validação de certificados na nuvem, geralmente aumentando de 2 segundos para 5 segundos." [1]

Melhores Práticas

  • Isole o tráfego corporativo e de convidados: Dispositivos corporativos devem usar 802.1X vinculado ao Entra ID. Dispositivos de convidados devem usar um SSID aberto com um Captive Portal. Para um acesso robusto de convidados e análises, utilize uma solução de Guest WiFi . Isso garante o isolamento completo do tráfego não confiável.
  • Implemente o MAC Authentication Bypass (MAB) com cautela: Dispositivos IoT e hardware legado - como scanners mais antigos em hubs de transporte - muitas vezes não conseguem suportar o 802.1X. Coloque esses dispositivos em um SSID separado usando MAB ou uma PSK dedicada e restrinja seu acesso à rede com ACLs rígidas.
  • Priorize a revogação de certificados: Certifique-se de que seus endpoints de Lista de Revogação de Certificados (CRL) ou Online Certificate Status Protocol (OCSP) estejam altamente disponíveis. Se o servidor RADIUS não puder verificar o status de revogação, a autenticação falhará.

Resolução de Problemas e Mitigação de Riscos

Quando as implantações falham, raramente a culpa é do IdP em nuvem. Os modos de falha comuns incluem:

  • Divergência de horário (clock skew): O EAP-TLS é extremamente sensível ao tempo. Certifique-se de que todos os componentes de infraestrutura - particularmente WLCs e servidores RADIUS - estejam sincronizados via NTP.
  • Latência de sincronização do Intune: Ao registrar novos dispositivos, pode haver um atraso entre a emissão do certificado SCEP e a tentativa de conexão do dispositivo. Planeje esse atraso durante o onboarding.
  • Incompatibilidade de nome do servidor RADIUS: Se o nome do servidor definido no perfil de WiFi do Intune não corresponder exatamente ao Common Name (CN) ou ao Subject Alternative Name (SAN) no certificado do servidor RADIUS, os clientes se desconectarão silenciosamente para se proteger contra APs maliciosos.

Para uma análise mais detalhada sobre como proteger sua infraestrutura, consulte nosso guia sobre como proteger sua rede com DNS robusto e segurança .

ROI e Impacto nos Negócios

A transição para a autenticação WiFi do Azure Entra ID traz benefícios significativos:

  1. Redução de custos com suporte (helpdesk): A eliminação da autenticação baseada em senha reduz drasticamente os chamados de suporte relacionados a bloqueios de senha e renovações de credenciais de WiFi.
  2. Conformidade acelerada: O EAP-TLS fornece a prova criptográfica de identidade exigida por frameworks como PCI-DSS e ISO 27001, o que é essencial em ambientes de saúde e varejo.
  3. Desligamento automatizado: Quando um funcionário se desliga, a desativação de sua conta no Entra ID revoga instantaneamente seu acesso à rede em todas as localidades, reduzindo ameaças internas.

Ao proteger a rede corporativa principal, as equipes de TI podem se concentrar em iniciativas que geram receita, como o uso de WiFi Analytics para entender o comportamento dos visitantes e impulsionar o engajamento.


Referências

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Definições principais

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta, exigindo que os dispositivos se autentiquem antes de obter acesso à LAN ou WLAN.

Este é o protocolo subjacente que torna o WiFi corporativo seguro, indo além de simples senhas compartilhadas.

EAP-TLS

Extensible Authentication Protocol com Transport Layer Security. Um método de autenticação que exige certificados digitais tanto no cliente quanto no servidor.

Considerado o método mais seguro para autenticação WiFi, evitando o roubo de credenciais e ataques AiTM.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece Autenticação, Autorização e Auditoria (AAA) centralizadas.

O protocolo que seus Access Points usam para perguntar ao servidor de autenticação, "Devo permitir este dispositivo na rede?"

SCEP

Simple Certificate Enrollment Protocol. Um protocolo usado para emitir certificados de forma segura para dispositivos de rede.

Usado por plataformas de MDM como o Intune para solicitar e instalar silenciosamente certificados de cliente em notebooks e telefones corporativos.

MAC Authentication Bypass (MAB)

Um método de concessão de acesso à rede com base no endereço MAC do dispositivo, em vez de um nome de usuário ou certificado.

Usado como alternativa para dispositivos legados (como impressoras antigas ou sensores de IoT) que não possuem o software para realizar um handshake 802.1X.

Ataque de Evil Twin

Um ponto de acesso não autorizado (rogue) que se passa por um SSID corporativo legítimo para interceptar tráfego ou roubar credenciais.

O EAP-TLS mitiga isso porque o dispositivo cliente é configurado para confiar apenas no certificado específico do servidor RADIUS corporativo legítimo.

Suplicante (Supplicant)

O cliente de software no dispositivo final (por exemplo, o gerenciador WiFi do Windows) que lida com o processo de autenticação 802.1X.

As equipes de TI devem configurar o suplicante via MDM para garantir que ele se comporte de maneira segura e não solicite que os usuários aceitem certificados de servidor não confiáveis.

Acesso Condicional

Políticas do Azure Entra ID que avaliam sinais (usuário, localização, conformidade do dispositivo) para tomar decisões de acesso.

As soluções modernas de Cloud RADIUS podem verificar o Acesso Condicional durante o handshake do WiFi, negando o acesso à rede se o Intune sinalizar o dispositivo como não conforme.

Exemplos práticos

Uma rede de varejo com 500 lojas precisa proteger iPads da área administrativa usados para gerenciamento de estoque. Atualmente, eles usam uma única PSK compartilhada em todas as lojas. Como devem migrar para a autenticação Azure Entra ID?

  1. Cadastre todos os iPads no Microsoft Intune.
  2. Implante uma solução Cloud RADIUS integrada ao tenant corporativo Entra ID.
  3. Configure o Intune para implantar um certificado SCEP em cada iPad.
  4. Publique um perfil de WiFi via Intune que configure os iPads para se conectarem ao SSID 'Corporate-BOH' usando EAP-TLS, validando o certificado do servidor Cloud RADIUS.
  5. Atualize os pontos de acesso Meraki/Aruba em todas as 500 lojas para apontar para os endereços IP do Cloud RADIUS para o SSID 'Corporate-BOH'.
  6. Implantação em fases: ative o novo SSID, verifique a conectividade dos iPads por meio dos relatórios do Intune e desative o SSID com a PSK antiga.
Comentário do examinador: Esta abordagem elimina a PSK compartilhada, que representa um enorme risco de segurança caso um dispositivo seja roubado. Ao usar EAP-TLS e Intune, a autenticação fica vinculada ao estado de gerenciamento do dispositivo. Se um iPad for perdido, a equipe de TI simplesmente revoga o certificado ou limpa o dispositivo no Intune, interrompendo instantaneamente o acesso à rede sem afetar as outras 499 lojas.

Um campus universitário está migrando do Active Directory local para o Azure Entra ID. Eles têm milhares de notebooks de estudantes no modelo BYOD (Bring Your Own Device) que atualmente se conectam usando PEAP-MSCHAPv2 (usuário e senha). Como eles devem lidar com BYOD em um ambiente Entra ID prioritariamente em nuvem?

  1. Implante um portal de integração (por exemplo, SecureW2 JoinNow ou ferramenta de integração BYOD semelhante).
  2. Os alunos se conectam a um SSID 'Onboarding' aberto, que os redireciona para o portal.
  3. O portal solicita que o aluno se autentique no Azure Entra ID (usando o e-mail universitário e MFA).
  4. Após a autenticação bem-sucedida, o portal gera um certificado de cliente exclusivo e configura automaticamente o dispositivo do aluno para EAP-TLS.
  5. O dispositivo se conecta automaticamente ao SSID seguro 'Edu-Secure' usando o novo certificado.
Comentário do examinador: Gerenciar certificados para dispositivos BYOD não gerenciados é a parte mais difícil do 802.1X. Não é possível usar o Intune porque a universidade não é dona dos notebooks. O uso de um portal de integração preenche essa lacuna, permitindo o uso do seguro EAP-TLS sem exigir que a TI configure manualmente milhares de notebooks de alunos.

Questões práticas

Q1. Sua organização está migrando para o Azure Entra ID e Intune. Atualmente, você usa PEAP-MSCHAPv2 para WiFi. A equipe de segurança exige que a autenticação WiFi seja resistente ao roubo de credenciais. Qual método EAP você deve implantar?

Dica: Qual método depende inteiramente de certificados em vez de senhas?

Ver resposta modelo

Você deve implantar o EAP-TLS. O EAP-TLS usa autenticação mútua por certificado, o que significa que o dispositivo cliente deve apresentar um certificado válido emitido por sua PKI. Como não utiliza senhas, é altamente resistente ao roubo de credenciais e a ataques de adversário no meio (Adversary-in-the-Middle).

Q2. Após implantar o EAP-TLS via Intune, os usuários relatam que não conseguem se conectar ao WiFi. Olhando os logs do RADIUS, você vê "Falha na Verificação de Revogação de Certificado". Qual é a causa mais provável?

Dica: Com qual infraestrutura o servidor RADIUS deve se comunicar para verificar se um certificado não foi comprometido?

Ver resposta modelo

O servidor RADIUS não consegue acessar a Lista de Revogação de Certificados (CRL) ou o endpoint OCSP de sua Autoridade Certificadora. Certifique-se de que os firewalls permitam ao servidor RADIUS acesso de saída para as URLs HTTP especificadas nos certificados dos clientes.

Q3. Um hospital precisa conectar 50 monitores cardíacos antigos à rede. Esses dispositivos suportam apenas WPA2-Personal (Chave Pré-Compartilhada) e não podem ser registrados no Intune. Como você deve protegê-los enquanto mantém sua implantação do Entra ID 802.1X para notebooks corporativos?

Dica: Não misture tipos de autenticação no mesmo SSID.

Ver resposta modelo

Crie um SSID dedicado e separado especificamente para os dispositivos IoT médicos. Use uma Chave Pré-Compartilhada forte e exclusiva (ou Identity PSK/iPSK, se compatível com o fornecedor da sua rede) ou MAC Authentication Bypass (MAB). Fundamentalmente, posicione este SSID em uma VLAN altamente restrita com Listas de Controle de Acesso (ACLs) rígidas que apenas permitam que os monitores se comuniquem com seu servidor médico específico, bloqueando qualquer outro acesso lateral à rede.

Continue a ler esta série

Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários

Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.

Ler o guia →

Passpoint and OpenRoaming: Complete Guide

Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.

Ler o guia →