Pular para o conteúdo principal
Português (Brasil)

Como Configurar o Azure Entra ID (Azure AD) para Autenticação WiFi

Este guia definitivo detalha a arquitetura, as etapas de implementação e o impacto nos negócios da integração do Azure Entra ID com 802.1X para autenticação WiFi corporativa. Ele fornece aos arquitetos de rede e gerentes de TI estratégias práticas de implantação, substituindo PSKs legadas por acesso à rede baseado em certificados e zero-trust.

📖 4 min de leitura📝 945 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
[INTRO - 1 MIN] Host: Bem-vindo ao Purple Enterprise Network Briefing. Eu sou o seu host e hoje vamos abordar uma atualização de infraestrutura crítica que está no topo das prioridades dos CTOs e arquitetos de rede: a migração da autenticação do seu WiFi corporativo para o Azure Entra ID — antigo Azure AD. Se você gerencia uma rede de hotéis, um estádio ou uma grande implantação no setor público, conhece a dor de cabeça dos servidores RADIUS locais legados e das PSKs compartilhadas. Hoje, falaremos sobre acesso à rede zero-trust, especificamente sobre como implementar a autenticação baseada em certificado 802.1X usando o Azure Entra ID. Sem enrolação, apenas a realidade técnica de como colocar isso em prática. [TECHNICAL DEEP-DIVE - 5 MIN] Host: Vamos direto para a arquitetura. Os dias de WPA2-Personal com uma senha compartilhada em um post-it acabaram. Em uma empresa moderna, seja para proteger as operações internas em um ambiente de varejo ou as redes da equipe em um hospital, você precisa de acesso baseado em identidade. Quando falamos sobre Azure Entra ID para WiFi, estamos falando fundamentalmente de EAP-TLS. Isso é Extensible Authentication Protocol com Transport Layer Security. É o padrão ouro. Por quê? Porque ele depende de certificados, não de senhas. Senhas podem ser alvo de phishing, compartilhadas ou descobertas por força bruta. Certificados vinculados a um dispositivo gerenciado via Intune não podem. Então, como funciona o fluxo de tráfego? Um dispositivo corporativo — digamos, um notebook gerenciado — tenta se conectar ao SSID corporativo. O Wireless Access Point, agindo como o autenticador, bloqueia o acesso e passa as credenciais via RADIUS para o seu servidor de autenticação. Agora, o Azure Entra ID não fala RADIUS nativamente. Esta é a ponte arquitetônica crítica. Você precisa de um provedor de Cloud RADIUS ou de um Network Policy Server (NPS) local com a extensão do Azure MFA. O dispositivo apresenta seu certificado de cliente. O servidor RADIUS valida esse certificado em sua Autoridade Certificadora — geralmente gerenciada via SCEP no Intune. Se o certificado for válido, o servidor RADIUS consulta o Azure Entra ID para garantir que a conta do usuário esteja ativa, não desativada e em conformidade com as políticas de Conditional Access. Somente então o servidor RADIUS envia uma mensagem de Access-Accept de volta ao AP, colocando o usuário na VLAN correta. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Host: Agora, onde as implantações costumam falhar? Eu vejo três armadilhas comuns. Primeira: Disponibilidade da Lista de Revogação de Certificados (CRL). Se o seu servidor RADIUS não conseguir alcançar a CRL, a autenticação falhará. Garanta que seus endpoints de CRL estejam altamente disponíveis e acessíveis a partir da infraestrutura do RADIUS. Segunda: Configuração do supplicant. Não deixe isso para o usuário final. Use seu MDM — Microsoft Intune, Workspace ONE, o que quer que você use — para enviar o perfil de WiFi. O perfil deve definir explicitamente a CA raiz confiável e especificar que o cliente deve se conectar apenas aos nomes de servidores RADIUS específicos. Se você não fizer isso, estará vulnerável a ataques de Evil Twin. Terceira: Dispositivos legados. Dispositivos IoT, terminais de ponto de venda ou leitores de código de barras mais antigos em um depósito geralmente não suportam 802.1X ou EAP-TLS. Você deve planejar uma estratégia de MAC Authentication Bypass (MAB) ou uma rede dedicada com chave pré-compartilhada e isolamento de rede rigoroso para esses dispositivos. Não comprometa seu SSID corporativo principal por causa de uma impressora legada. [RAPID-FIRE Q&A - 1 MIN] Host: Vamos responder a algumas perguntas rápidas que ouvimos dos arquitetos de rede. Pergunta um: Podemos usar PEAP-MSCHAPv2 com o Azure Entra ID? Resposta: Sim, via NPS, mas a Microsoft está descontinuando ativamente a autenticação baseada em credenciais. Mude para o EAP-TLS. É mais seguro e oferece uma experiência de usuário muito melhor. Pergunta dois: Como isso se integra ao WiFi de convidados da Purple? Resposta: Mantenha-os separados. Sua rede corporativa usa 802.1X vinculado ao Azure Entra ID. Sua rede de convidados usa um SSID aberto com um Captive Portal gerenciado pela Purple para análise de dados, aceitação de termos e captura de dados de marketing. Você pode até usar a autenticação baseada em perfil da Purple para visitas de retorno contínuas dos convidados, mantendo esse tráfego totalmente isolado dos seus dados corporativos. [SUMMARY & NEXT STEPS - 1 MIN] Host: Para resumir: Mudar para o Azure Entra ID para autenticação WiFi é um passo fundamental em direção a uma arquitetura zero-trust. Isso elimina os chamados de suporte para rotação de senhas, mitiga o roubo de credenciais e garante que apenas dispositivos gerenciados e em conformidade acessem sua rede interna. Seu próximo passo? Audite sua infraestrutura RADIUS atual. Se você estiver executando o NPS legado localmente, avalie soluções de Cloud RADIUS que se integram diretamente ao Azure Entra ID e ao Intune. Planeje sua estratégia de implantação de certificados. Obrigado por acompanhar este briefing técnico. Proteja suas redes e nos vemos na próxima.

header_image.png

Resumo Executivo

Para CTOs e arquitetos de rede que gerenciam ambientes complexos — de grandes espaços de Hospitality a ambientes dinâmicos de Retail —, proteger a rede corporativa não se resume mais a senhas fortes. As chaves pré-compartilhadas (PSKs) legadas e a autenticação básica por credenciais são fundamentalmente incompatíveis com as arquiteturas modernas de zero-trust.

Este guia detalha a transição para a autenticação WiFi baseada em certificados 802.1X integrada diretamente ao Azure Entra ID (antigo Azure AD). Ao migrar para o EAP-TLS (Extensible Authentication Protocol com Transport Layer Security), as organizações podem eliminar os riscos associados ao roubo de credenciais, automatizar a integração de dispositivos via Mobile Device Management (MDM) e garantir que apenas dispositivos gerenciados e em conformidade acessem VLANs corporativas confidenciais. Exploraremos a arquitetura técnica, as etapas de implantação e como essa postura de segurança corporativa funciona em paralelo com as estratégias de rede de convidados gerenciadas por plataformas como a Purple.

Análise Técnica Detalhada

A Transição de Credenciais para Certificados

Historicamente, o WiFi corporativo dependia do PEAP-MSCHAPv2, exigindo que os usuários inserissem suas credenciais de domínio. No entanto, a Microsoft está descontinuando ativamente a autenticação baseada em credenciais devido à sua vulnerabilidade a ataques de adversário no meio (AiTM). O padrão do setor agora é o EAP-TLS, que utiliza autenticação mútua por certificado.

Em uma implantação EAP-TLS, tanto o servidor RADIUS quanto o dispositivo cliente apresentam certificados digitais. Se um dispositivo não possuir um certificado válido emitido por sua Autoridade Certificadora (CA) confiável, o servidor RADIUS rejeitará a conexão antes mesmo que o dispositivo obtenha um endereço IP.

architecture_overview.png

A Ponte Arquitetônica: RADIUS e Entra ID

O Azure Entra ID é um Provedor de Identidade (IdP) em nuvem que utiliza protocolos modernos como SAML e OIDC; ele não possui suporte nativo ao RADIUS, o protocolo utilizado pelos Wireless Access Points (WAPs). Para preencher essa lacuna, os arquitetos de rede devem implantar um servidor RADIUS que possa se comunicar com o Entra ID. Isso geralmente é feito por meio de:

  1. Soluções de RADIUS na Nuvem: Plataformas desenvolvidas sob medida (ex: SecureW2, SCEPman ou Portnox) que se integram diretamente ao Entra ID e ao Intune via APIs.
  2. Network Policy Server (NPS) Local: Utilizando a extensão de MFA do Azure, embora isso seja cada vez mais visto como uma abordagem legada em comparação ao RADIUS nativo em nuvem.

eap_comparison_chart.png

Guia de Implementação

A implantação do Azure Entra ID para autenticação WiFi requer coordenação entre as equipes de identidade, gerenciamento de dispositivos e infraestrutura de rede.

Passo 1: Estabelecer a Infraestrutura de Chaves Públicas (PKI)

Você deve estabelecer uma CA para emitir certificados de cliente e servidor. Em um ambiente prioritariamente em nuvem, isso geralmente é uma PKI em nuvem integrada ao Microsoft Intune via Simple Certificate Enrollment Protocol (SCEP).

Passo 2: Configurar o Servidor RADIUS

Implante sua infraestrutura RADIUS e vincule-a ao seu locatário do Entra ID. O servidor RADIUS precisa de seu próprio certificado de servidor, confiável para seus dispositivos clientes, para comprovar sua identidade durante o handshake EAP.

Passo 3: Implantar Perfis de MDM via Intune

Não dependa dos usuários para configurar manualmente suas definições de WiFi. Use o Intune para distribuir um perfil de WiFi abrangente que inclua:

  • O certificado da CA Raiz confiável.
  • O perfil SCEP para solicitar o certificado do cliente.
  • A própria configuração de WiFi, definindo explicitamente o SSID e os nomes exatos dos servidores de sua infraestrutura RADIUS para evitar ataques do tipo Evil Twin.

Passo 4: Configurar o Wireless LAN Controller (WLC)

Configure seus access points ou WLC para usar WPA2/WPA3-Enterprise (802.1X). Direcione o tráfego de autenticação e tarifação para os novos endereços IP do seu servidor RADIUS e configure os segredos compartilhados do RADIUS.

> "Ao configurar o 802.1X, certifique-se de que os valores de timeout do RADIUS no WLC sejam suficientes para lidar com a latência da validação de certificados baseada em nuvem, geralmente aumentando de 2 para 5 segundos." [1]

Melhores Práticas

  • Separar o Tráfego Corporativo e de Convidados: Os dispositivos corporativos devem usar 802.1X vinculado ao Entra ID. Os dispositivos de convidados devem usar um SSID aberto com um Captive Portal. Para um acesso de convidados robusto e análises detalhadas, utilize soluções de Guest WiFi . Isso garante o isolamento completo do tráfego não confiável.
  • Implementar o MAC Authentication Bypass (MAB) com Cuidado: Dispositivos IoT e hardware legado (ex: scanners antigos em hubs de Transport ) geralmente não suportam 802.1X. Coloque-os em um SSID separado usando MAB ou uma PSK dedicada e restrinja seu acesso à rede por meio de ACLs rígidas.
  • Priorizar a Revogação de Certificados: Garanta que seus endpoints de Lista de Revogação de Certificados (CRL) ou Online Certificate Status Protocol (OCSP) estejam altamente disponíveis. Se o servidor RADIUS não puder verificar o status de revogação, a autenticação falhará.

Solução de Problemas e Mitigação de Riscos

Quando as implantações falham, raramente a culpa é do IdP em nuvem. Os modos de falha comuns incluem:

  • Desvio de Relógio (Clock Skew): O EAP-TLS é extremamente sensível ao tempo. Certifique-se de que todos os componentes da infraestrutura, especialmente o WLC e os servidores RADIUS, estejam sincronizados via NTP.
  • Atrasos de Sincronização do Intune: Quando um novo dispositivo é registrado, pode levar algum tempo para que o certificado SCEP seja emitido e o dispositivo tente a conexão. Planeje essa latência durante o processo de integração.
  • Divergência no Nome do Servidor Radius: Se o nome do servidor definido no perfil de WiFi do Intune não corresponder exatamente ao Common Name (CN) ou Subject Alternative Name (SAN) no certificado do servidor RADIUS, o cliente interromperá silenciosamente a conexão para se proteger contra APs maliciosos.

Para obter mais informações sobre como proteger sua infraestrutura, consulte nosso guia sobre como Proteger sua Rede com DNS Forte e Segurança .

ROI e Impacto nos Negócios

A transição para a autenticação WiFi do Azure Entra ID oferece retornos mensuráveis:

  1. Redução de Custos de Helpdesk: A eliminação da autenticação baseada em senha reduz drasticamente os chamados relacionados a bloqueios de senha e atualizações de credenciais de WiFi.
  2. Aceleração de Conformidade: O EAP-TLS fornece a prova criptográfica de identidade exigida por frameworks como PCI DSS e ISO 27001, crucial para ambientes de Saúde e varejo.
  3. Desligamento Automatizado: Quando um funcionário sai, a desativação de sua conta no Entra ID revoga imediatamente seu acesso à rede em todos os locais, mitigando ameaças internas.

Ao proteger a infraestrutura corporativa, as equipes de TI podem se concentrar em iniciativas geradoras de receita, como o aproveitamento do WiFi Analytics para entender o comportamento do visitante e impulsionar o engajamento.

Referências

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Definições principais

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta, exigindo que os dispositivos se autentiquem antes de obter acesso à LAN ou WLAN.

Este é o protocolo subjacente que torna o WiFi corporativo seguro, indo além de simples senhas compartilhadas.

EAP-TLS

Extensible Authentication Protocol com Transport Layer Security. Um método de autenticação que exige certificados digitais tanto no cliente quanto no servidor.

Considerado o método mais seguro para autenticação WiFi, evitando o roubo de credenciais e ataques AiTM.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece Autenticação, Autorização e Contabilidade (AAA) centralizadas.

O protocolo que seus Access Points usam para perguntar ao servidor de autenticação: 'Devo permitir este dispositivo na rede?'

SCEP

Simple Certificate Enrollment Protocol. Um protocolo usado para emitir certificados de forma segura para dispositivos de rede.

Usado por plataformas MDM como o Intune para solicitar e instalar silenciosamente certificados de cliente em notebooks e telefones corporativos.

MAC Authentication Bypass (MAB)

Um método de concessão de acesso à rede baseado no endereço MAC do dispositivo, em vez de um nome de usuário ou certificado.

Usado como alternativa para dispositivos legados (como impressoras antigas ou sensores IoT) que não possuem o software para realizar o handshake 802.1X.

Evil Twin Attack

Um ponto de acesso não autorizado que se passa por um SSID corporativo legítimo para interceptar tráfego ou roubar credenciais.

O EAP-TLS mitiga isso porque o dispositivo cliente é configurado para confiar apenas no certificado específico do servidor RADIUS corporativo legítimo.

Supplicant

O cliente de software no dispositivo final (por exemplo, o gerenciador de WiFi do Windows) que lida com o processo de autenticação 802.1X.

As equipes de TI devem configurar o supplicant via MDM para garantir que ele se comporte de forma segura e não solicite que os usuários aceitem certificados de servidor não confiáveis.

Conditional Access

Políticas do Azure Entra ID que avaliam sinais (usuário, localização, conformidade do dispositivo) para tomar decisões de acesso.

As soluções modernas de Cloud RADIUS podem verificar o Conditional Access durante o handshake do WiFi, negando o acesso à rede se o Intune sinalizar o dispositivo como não conforme.

Exemplos práticos

Uma rede de varejo com 500 lojas precisa proteger os iPads de uso interno utilizados para gerenciamento de estoque. Atualmente, eles usam uma única PSK compartilhada em todas as lojas. Como eles devem migrar para a autenticação do Azure Entra ID?

  1. Registre todos os iPads no Microsoft Intune.
  2. Implante uma solução Cloud RADIUS integrada ao tenant corporativo do Entra ID.
  3. Configure o Intune para implantar um certificado SCEP em cada iPad.
  4. Envie um perfil de WiFi via Intune que configure os iPads para se conectarem ao SSID 'Corporate-BOH' usando EAP-TLS, validando o certificado do servidor Cloud RADIUS.
  5. Atualize os pontos de acesso Meraki/Aruba em todas as 500 lojas para apontar para os endereços IP do Cloud RADIUS para o SSID 'Corporate-BOH'.
  6. Implantação em fases: Ative o novo SSID, verifique a conectividade dos iPads por meio dos relatórios do Intune e, em seguida, desative o SSID com a PSK legada.
Comentário do examinador: Essa abordagem elimina a PSK compartilhada, que representa um enorme risco de segurança caso um dispositivo seja roubado. Ao usar EAP-TLS e Intune, a autenticação fica vinculada ao estado de gerenciamento do dispositivo. Se um iPad for perdido, a equipe de TI simplesmente revoga o certificado ou limpa o dispositivo no Intune, cortando instantaneamente o acesso à rede sem afetar as outras 499 lojas.

Um campus universitário está migrando do Active Directory local para o Azure Entra ID. Eles têm milhares de notebooks de estudantes BYOD (Bring Your Own Device) que atualmente se conectam usando PEAP-MSCHAPv2 (nome de usuário e senha). Como eles lidam com BYOD em um ambiente Entra ID cloud-first?

  1. Implante um portal de integração (por exemplo, SecureW2 JoinNow ou ferramenta de integração BYOD semelhante).
  2. Os alunos se conectam a um SSID de 'Integração' aberto, que os redireciona para o portal.
  3. O portal solicita que o aluno se autentique no Azure Entra ID (usando o e-mail da universidade e MFA).
  4. Após a autenticação bem-sucedida, o portal gera um certificado de cliente exclusivo e configura automaticamente o dispositivo do aluno para EAP-TLS.
  5. O dispositivo se conecta automaticamente ao SSID seguro 'Edu-Secure' usando o novo certificado.
Comentário do examinador: Gerenciar certificados para dispositivos BYOD não gerenciados é a parte mais difícil do 802.1X. Você não pode usar o Intune porque a universidade não é proprietária dos notebooks. O uso de um portal de integração preenche essa lacuna, permitindo o uso de EAP-TLS seguro sem exigir que a TI configure manualmente milhares de notebooks de alunos.

Questões práticas

Q1. Sua organização está migrando para o Azure Entra ID e o Intune. Atualmente, você usa PEAP-MSCHAPv2 para WiFi. A equipe de segurança exige que a autenticação WiFi seja resistente ao roubo de credenciais. Qual método EAP você deve implantar?

Dica: Qual método depende inteiramente de certificados em vez de senhas?

Ver resposta modelo

Você deve implantar o EAP-TLS. O EAP-TLS usa autenticação mútua por certificado, o que significa que o dispositivo cliente deve apresentar um certificado válido emitido pela sua PKI. Como não utiliza senhas, é altamente resistente ao roubo de credenciais e a ataques de adversary-in-the-middle.

Q2. Após implantar o EAP-TLS via Intune, os usuários relatam que não conseguem se conectar ao WiFi. Ao analisar os logs do RADIUS, você vê 'Certificate Revocation Check Failed'. Qual é a causa mais provável?

Dica: Com qual infraestrutura o servidor RADIUS deve se comunicar para verificar se um certificado não foi comprometido?

Ver resposta modelo

O servidor RADIUS não consegue alcançar a Lista de Revogação de Certificados (CRL) ou o endpoint OCSP da sua Autoridade Certificadora. Certifique-se de que os firewalls permitam o acesso de saída do servidor RADIUS às URLs HTTP especificadas nos certificados dos clientes.

Q3. Um hospital precisa conectar 50 monitores cardíacos legados à rede. Esses dispositivos suportam apenas WPA2-Personal (Pre-Shared Key) e não podem ser registrados no Intune. Como você deve protegê-los e, ao mesmo tempo, manter sua implantação do Entra ID 802.1X para notebooks corporativos?

Dica: Não misture tipos de autenticação no mesmo SSID.

Ver resposta modelo

Crie um SSID dedicado e separado especificamente para os dispositivos IoT médicos. Use uma Pre-Shared Key forte e exclusiva (ou Identity PSK/iPSK, se compatível com o seu fornecedor de rede) ou MAC Authentication Bypass (MAB). Fundamentalmente, coloque esse SSID em uma VLAN altamente restrita com Listas de Controle de Acesso (ACLs) rígidas que permitam apenas que os monitores se comuniquem com seu servidor médico específico, bloqueando qualquer outro acesso lateral à rede.

Continue a ler esta série

Per-Device PSK por Vendor: Comparativo de iPSK, DPSK, MPSK e PPSK (e Suporte a WPA3)

Uma comparação abrangente das implementações de PSK por dispositivo no Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE impacta as estratégias de chaves por dispositivo e quando implantar modos de transição em vez de migrar para o 802.1X.

Ler o guia →

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica definitivo avalia as compensações arquitetônicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Ele fornece a arquitetos de rede, diretores de TI e gerentes de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no onboarding de convidados com os requisitos de coleta de dados em locais corporativos.

Ler o guia →

O que é autenticação por endereço MAC? Quando usar e quando evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi corporativos — como a autenticação MAC baseada em RADIUS funciona na Camada 2, suas vulnerabilidades de segurança inerentes (incluindo spoofing de MAC e o impacto da randomização de MAC no nível do SO) e os contextos operacionais precisos onde ela continua sendo uma ferramenta válida para gerenciar IoT e dispositivos headless. Ele fornece orientações de implantação práticas para gerentes de TI e arquitetos de rede em setores como hotelaria, varejo, saúde e locais públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.

Ler o guia →