Autenticação WiFi corporativa sem Active Directory ou servidor local

Este guia explica como implantar a autenticação WiFi WPA2/3-Enterprise segura sem um Active Directory local, Windows NPS ou servidor RADIUS. Ele aborda a incompatibilidade de protocolo entre provedores de identidade em nuvem e 802.1X, os argumentos a favor do EAP-TLS em relação ao PEAP-MSCHAPv2 e como implantar o cloud RADIUS com certificados emitidos por MDM em relação ao Microsoft Entra ID, Okta ou Google Workspace. Escrito para líderes de TI em organizações cloud-first e com forte presença de Mac/Chromebook que estão prontas para aposentar a infraestrutura local.

📖 9 min de leitura📝 2,219 palavras🔧 2 exemplos práticos❓ 4 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

Olá e boas-vindas a este briefing técnico. Hoje estamos abordando uma dor de cabeça arquitetônica muito específica e muito comum: como executar a autenticação de WiFi corporativo quando você migrou para a nuvem e não possui mais um Active Directory local ou um servidor Windows NPS.

Se você é um gerente de TI, um arquiteto de rede ou um CTO em uma organização cloud-first, provavelmente já se deparou com essa barreira. Você migrou sua identidade para o Microsoft Entra ID, Okta ou Google Workspace. Tudo é SaaS. Mas seus pontos de acesso Cisco, Aruba ou Meraki ainda esperam um servidor RADIUS. E, historicamente, esse servidor RADIUS era um Windows Server executando o Network Policy Server, ou NPS, comunicando-se com um controlador de domínio.

Então, como você supera essa lacuna sem criar novas máquinas virtuais apenas para o WiFi? Vamos nos aprofundar nos detalhes técnicos.

A questão central aqui é uma incompatibilidade de protocolo. O Entra ID e o Okta falam protocolos web modernos: SAML, OIDC e OAuth2. Seus pontos de acesso falam RADIUS. A Microsoft não fornece um endpoint RADIUS nativo para o Entra ID. Você não pode simplesmente apontar seu painel Meraki para o Azure e esperar que funcione.

Historicamente, as organizações usavam PEAP-MSCHAPv2 para WiFi. Os usuários digitavam seu nome de usuário e senha, e o servidor RADIUS verificava isso em relação a um hash NTLM armazenado no Active Directory. Aqui está o ponto crítico de falha: o Microsoft Entra ID não armazena hashes NTLM. Portanto, mesmo que você coloque um servidor RADIUS em nuvem na frente do Entra ID, ele não poderá validar um desafio de senha PEAP.

Para corrigir isso, você precisa alterar o método de autenticação. Você precisa migrar para o EAP-TLS.

O EAP-TLS usa certificados digitais em vez de senhas. O dispositivo apresenta um certificado X.509 ao servidor RADIUS. O servidor RADIUS verifica se esse certificado foi assinado por uma Autoridade Certificadora confiável. Como não há senha envolvida, o servidor RADIUS não precisa de um armazenamento de hash NTLM. Ele só precisa validar o certificado e verificar a associação de grupo do usuário para atribuir a VLAN correta.

É aqui que a arquitetura moderna se une. Você usa um serviço de RADIUS em nuvem - como o Purple - para atuar como o servidor de autenticação. Você usa sua plataforma de Gerenciamento de Dispositivos Móveis (MDM), como o Microsoft Intune ou Jamf, para atuar como o mecanismo de entrega.

O MDM usa um protocolo chamado SCEP, o Simple Certificate Enrollment Protocol, para enviar silenciosamente certificados de dispositivo para seus laptops e telefones gerenciados. O usuário não faz nada. O dispositivo se conecta ao WiFi, apresenta o certificado ao RADIUS em nuvem do Purple, o Purple o valida, verifica o Entra ID ou Okta para identificar o grupo do usuário e instrui o ponto de acesso a colocá-lo na VLAN correta.

Vamos falar sobre recomendações de implementação e armadilhas.

A maior recomendação é adotar o provisionamento SCIM. Não dependa de sincronizações periódicas de diretório. O SCIM, que significa System for Cross-domain Identity Management, garante que quando o RH desativa um funcionário no Entra ID, esse sinal é enviado para o RADIUS em nuvem instantaneamente. O acesso WiFi deles é interrompido no mesmo segundo em que o acesso ao e-mail é bloqueado. Isso representa uma melhoria significativa de segurança.

Um erro comum é o gerenciamento do ciclo de vida dos certificados. Se você emite certificados que expiram em um ano, deve garantir que seu MDM esteja configurado para renová-los automaticamente na marca de dez meses. Se um certificado expirar, o dispositivo perde a conexão com a rede silenciosamente e você receberá um chamado de suporte.

Outro erro comum é a configuração do firewall. Seus pontos de acesso precisam alcançar os endpoints do RADIUS em nuvem. Certifique-se de que suas regras de saída permitam a porta UDP 1812 ou, idealmente, a porta TCP 2083 se seus pontos de acesso suportarem RadSec, que criptografa o tráfego RADIUS pela internet.

Vamos fazer uma sessão rápida de perguntas e respostas baseada nas dúvidas mais comuns que recebemos.

Pergunta um: Posso autenticar o WiFi diretamente no Entra ID?
Resposta: Não. O Entra ID não se comunica via RADIUS. Você precisa de um serviço de RADIUS em nuvem no meio do caminho.

Pergunta dois: Ainda preciso do Windows NPS?
Resposta: Não. Um serviço de RADIUS em nuvem substitui completamente o NPS. Você pode desativar esses servidores Windows.

Pergunta três: Como empresas que operam exclusivamente na nuvem protegem o WiFi da equipe?
Resposta: Utilizando seu MDM para distribuir certificados e autenticando via EAP-TLS contra um provedor de RADIUS em nuvem.

Pergunta quatro: O que acontece com o acesso WiFi quando um funcionário sai da empresa?
Resposta: Com o provisionamento SCIM, o acesso é revogado no exato momento em que a conta é desativada no provedor de identidade. Nenhuma intervenção manual é necessária.

Resumindo, mover a autenticação do seu WiFi para a nuvem é o próximo passo lógico após migrar sua identidade para a nuvem. Ao implantar o RADIUS em nuvem e o EAP-TLS, você elimina servidores locais, remove as senhas da equação e vincula o acesso à rede diretamente à identidade em nuvem do usuário. É mais seguro, mais fácil de gerenciar e altamente disponível por padrão.

A Purple opera RADIUS em nuvem em mais de 80.000 locais globalmente, com 99,999% de uptime e integrações nativas com Microsoft Entra ID, Okta e Google Workspace. Você pode estar ativo em seus pontos de acesso existentes Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist em menos de uma hora.

Obrigado por ouvir este briefing técnico. Para guias de implantação mais detalhados e para ver uma demonstração ao vivo, visite purple dot ai.

Principais conclusões

✓O Microsoft Entra ID, Okta e Google Workspace não falam RADIUS. Você precisa de um serviço de cloud RADIUS para fazer a ponte entre os pontos de acesso e os provedores de identidade em nuvem.
✓O PEAP-MSCHAPv2 falha em ambientes exclusivamente em nuvem porque os provedores de identidade em nuvem não armazenam os hashes de senha NTLM que o RADIUS exige para validação.
✓O EAP-TLS substitui senhas por certificados X.509 emitidos por MDM, fornecendo autenticação resistente a phishing sem credenciais para roubar.
✓Plataformas de MDM como Microsoft Intune e Jamf Pro entregam certificados silenciosamente via SCEP, eliminando a integração manual e substituindo a Autoridade de Certificação local.
✓O provisionamento SCIM garante que o acesso ao WiFi seja revogado em segundos após um funcionário ser desativado no provedor de identidade - e não horas depois, após uma sincronização LDAP.
✓O cloud RADIUS elimina a necessidade de executar servidores Windows NPS, eliminando patches de SO, design de alta disponibilidade e a dependência do Active Directory local.
✓A Purple opera cloud RADIUS em mais de 80.000 locais com 99,999% de tempo de atividade, oferecendo suporte a pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

📚 Parte da nossa série principal: Segurança e autenticação WiFi corporativa: o guia completo →

Executive summary

Most organisations have moved their identity to the cloud. Microsoft Entra ID, Okta, and Google Workspace now manage users, groups, and access policies for email, SaaS apps, and device management. But enterprise WiFi has not kept pace. Access points still expect a RADIUS server, and that RADIUS server has historically been Windows Network Policy Server (NPS) connected to an on-premises Active Directory domain controller.

This mismatch forces IT teams to maintain redundant on-premises infrastructure purely to keep the WiFi running. The solution is cloud RADIUS: a fully managed authentication service that speaks RADIUS to your access points and speaks OAuth2, SCIM, and SAML to your cloud identity provider. Pair it with EAP-TLS certificate delivery via your MDM, and you have a complete 802.1X deployment with no on-premises servers, no OS patching, and instant access revocation tied directly to your cloud directory.

Purple operates cloud RADIUS across 80,000+ venues globally, with 99.999% uptime (Purple internal data, 2024) and native integrations with Microsoft Entra ID, Okta, and Google Workspace. You can be live on your existing Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet access points in under an hour.

Technical deep-dive

The protocol mismatch at the heart of the problem

The fundamental challenge is that cloud identity providers and WiFi access points speak entirely different languages. Microsoft Entra ID (formerly Azure AD) authenticates users via SAML, OIDC, and OAuth2 - the protocols that browsers and SaaS apps use. WiFi access points use RADIUS (Remote Authentication Dial-In User Service, RFC 2865), a UDP-based protocol designed in the 1990s for dial-up and VPN. Microsoft has never shipped a native RADIUS endpoint for Entra ID. You cannot point a Meraki or Aruba access point directly at Azure and expect 802.1X to work.

This is the wall that every cloud-first IT team hits when they try to secure Staff WiFi with WPA2-Enterprise or WPA3-Enterprise. Something has to bridge the gap between the access point and the cloud identity provider. That something is cloud RADIUS.

Why PEAP-MSCHAPv2 fails without Active Directory

Historically, 802.1X deployments relied on PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2). The user typed their username and password, the access point forwarded the request to the RADIUS server, and the RADIUS server validated the password against an NTLM hash stored in Active Directory.

Microsoft Entra ID does not store NTLM hashes. This is not a configuration gap - it is a deliberate architectural decision. Entra ID is a modern cloud identity provider, not a domain controller. Consequently, a RADIUS server pointed at Entra ID cannot validate a PEAP-MSCHAPv2 challenge. The only way to make PEAP work with Entra ID is to deploy Entra Domain Services, a paid managed Active Directory that synchronises from Entra ID, and then run NPS against that. This reintroduces most of what you were trying to eliminate: Windows Server VMs, OS patching, NTLM hash storage, and manual certificate management.

EAP-TLS: the right answer for cloud-first organisations

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security, RFC 5216) replaces passwords with X.509 digital certificates. The device presents a certificate to the RADIUS server. The RADIUS server validates the certificate against a trusted Certificate Authority (CA). Because there is no password in the exchange, the RADIUS server does not need an NTLM hash store. It needs only to trust the CA and to check the user's group membership in the identity provider to apply the correct VLAN and access policy.

EAP-TLS is phishing-resistant by design. There is no credential to steal. It satisfies CISA guidance on phishing-resistant multi-factor authentication and aligns with PCI DSS requirements for strong authentication on networks that handle cardholder data. It is the authentication method recommended by IEEE 802.1X for managed device fleets.

Cloud-first 802.1X authentication architecture: devices authenticate via EAP-TLS through Purple's cloud RADIUS, which validates certificates and applies group-based policy from Entra ID, Okta, or Google Workspace.

How MDM replaces the on-premises CA

In a traditional 802.1X deployment, certificates were issued by an on-premises Certificate Authority running Active Directory Certificate Services (AD CS). In a cloud-first deployment, the MDM takes over this role using SCEP (Simple Certificate Enrollment Protocol). Microsoft Intune, Jamf Pro, and other MDM platforms can request certificates from a cloud-hosted CA and push them silently to managed devices.

The flow works as follows. The IT administrator creates a SCEP certificate profile in the MDM, scoped to the device groups that require WiFi access. The MDM pushes the certificate to Windows, macOS, iOS, iPadOS, Android Enterprise, and ChromeOS devices automatically. The user sees nothing. The certificate is bound to the device identity in the MDM and renews automatically before expiry. When the device connects to the WiFi, it presents the certificate to the cloud RADIUS server, which validates it against the CA and applies the correct network policy.

For organisations using Microsoft Intune, Microsoft Cloud PKI provides a fully managed CA that integrates directly with Intune SCEP profiles, eliminating the need for an on-premises NDES (Network Device Enrollment Service) server. For Jamf-managed Mac and iOS fleets, Jamf's built-in CA or a third-party cloud CA serves the same purpose.

SCIM and instant access revocation

One of the most operationally important aspects of cloud RADIUS is SCIM (System for Cross-domain Identity Management) provisioning. SCIM is an open standard that pushes identity changes from the source of truth - your cloud identity provider - to dependent systems in real time. When an employee is disabled in Entra ID or Okta, SCIM pushes that change to the cloud RADIUS service immediately. The next time the device attempts to authenticate, the RADIUS server returns Access-Reject. With a short session timeout configured on the access point, the device is removed from the network within minutes of the account being disabled.

This is a material security improvement over shared PSK networks, where the only way to revoke access is to change the password across every device, and over legacy RADIUS deployments that rely on periodic LDAP syncs with a window of hours or days.

RadSec: securing RADIUS traffic over the internet

Traditional RADIUS uses UDP and provides only basic message authentication. When your RADIUS server is in the same data centre as your access points, this is acceptable. When your RADIUS server is a cloud service, the authentication traffic traverses the public internet. RadSec (RADIUS over TLS, RFC 6614) encrypts the RADIUS exchange using TLS, providing confidentiality and integrity for authentication traffic. Purple supports RadSec natively, with IPsec fallback for access points that do not yet support RadSec.

Implementation guide

Deploying cloud RADIUS with EAP-TLS requires four coordinated steps. A pilot SSID can be live in under an hour if Entra ID and an MDM are already in place.

Step 1: Connect cloud RADIUS to your identity provider

Connect Purple to your identity provider via OAuth2 admin consent (for Entra ID) or API token (for Okta and Google Workspace). This authorises Purple to read users, groups, and group memberships from the directory. Configure SCIM provisioning to push user state changes to Purple in real time. No service principal credentials are stored on disk. Group changes propagate on the next authentication event, not on a sync schedule.

Step 2: Configure your MDM and SCEP profile

In Microsoft Intune, create a Trusted Certificate Profile for the CA root, then create a SCEP certificate profile pointing at the Purple-managed CA. Scope both profiles to the device groups that require WiFi access. For Jamf, configure a SCEP payload in a configuration profile. The MDM pushes the certificates silently. Verify certificate delivery in the MDM compliance dashboard before proceeding.

Step 3: Define network policies in the cloud RADIUS dashboard

Create RADIUS policies that map identity provider groups to specific VLANs and access controls. For example, map the Entra ID group "Staff-Finance" to VLAN 20 with full internet access, and map "Staff-Contractors" to VLAN 30 with time-limited access that expires automatically. Purple's dashboard applies these policies at the point of authentication, with no firewall changes required.

Step 4: Update access point configuration

Update the SSID configuration on your access points to use WPA2-Enterprise or WPA3-Enterprise with 802.1X. Enter the Purple cloud RADIUS primary and secondary endpoint hostnames or IP addresses, along with the shared secret. Configure the access points to use dynamic VLAN assignment based on the RADIUS attributes returned by Purple. Test with a single SSID on a subset of access points before rolling out across the estate.

Cloud RADIUS vs on-premises RADIUS: a direct comparison across deployment time, Active Directory dependency, high availability, OS patching, identity integration, and certificate lifecycle management.

Best practices

These recommendations reflect IEEE 802.1X standards, PCI DSS v4.0 requirements, and operational experience across Purple's 80,000+ venue estate.

Mandate EAP-TLS for managed devices. Passwords are susceptible to phishing and credential stuffing. Certificates provide cryptographic proof of identity and device compliance. EAP-TLS is the only 802.1X method that is phishing-resistant by design.

Use SCIM for instant revocation. Periodic LDAP syncs leave a window where a terminated employee retains network access. SCIM ensures access is revoked the moment the account is disabled in the identity provider.

Deploy multi-region RADIUS. Configure your access points with at least two RADIUS endpoints in different geographic regions. Purple provides active-active multi-region failover by default, with failover completing in seconds.

Segment traffic with dynamic VLANs. Use identity provider group memberships to assign users to specific VLANs dynamically. This isolates sensitive traffic and limits the blast radius of a compromised device without requiring manual firewall changes.

Enable RadSec. If your access points support RadSec, enable it to encrypt authentication traffic between the access point and the cloud RADIUS server. This is particularly important for branch offices and venues where the access point is on an untrusted network segment.

Monitor certificate lifecycle. Set MDM auto-renewal to trigger at 80% of the certificate lifetime. For a one-year certificate, renewal begins at the 10-month mark. Alert on devices that fail to renew before the certificate expires.

For a broader treatment of enterprise WiFi security standards and frameworks, see our Enterprise WiFi Security: A Complete Guide for 2026 .

Troubleshooting and risk mitigation

Transitioning to cloud RADIUS introduces new dependencies. Prepare for these common failure modes before they affect production.

Certificate expiration. If a device certificate expires before the MDM renews it, the device fails authentication silently. The user sees a connection error with no explanation. Mitigate by configuring MDM auto-renewal at 80% of certificate lifetime and monitoring the MDM compliance dashboard for devices with expiring certificates.

MDM sync failures. A device that falls out of MDM compliance or fails to check in may not receive a renewed certificate. Implement compliance policies that flag unhealthy devices and alert administrators before the certificate expires.

Firewall blocking RADIUS traffic. The access points must reach the cloud RADIUS endpoints on UDP port 1812 (authentication) and UDP port 1813 (accounting), or TCP port 2083 for RadSec. Outbound firewall rules at branch offices frequently block these ports. Test reachability from the access point management VLAN before deployment.

SCIM provisioning failures. If the SCIM connection between the identity provider and Purple is interrupted, user state changes will not propagate. Monitor SCIM sync status in both the identity provider and the Purple dashboard. Configure alerting for sync failures.

Legacy devices without certificate support. IoT devices, printers, and older hardware may not support EAP-TLS. For these devices, use iPSK (individual pre-shared keys) rather than a shared PSK. Purple supports iPSK natively, assigning a unique key per device and placing each device on the correct VLAN without requiring 802.1X supplicant support.

ROI and business impact

Migrating from on-premises RADIUS to cloud RADIUS delivers measurable value across infrastructure, operations, and security.

Dimension	On-premises NPS	Cloud RADIUS (Purple)
Infrastructure cost	Windows Server licences, VM compute, storage	Per-AP subscription, no server hardware
Time to deploy	Days to weeks	Under one hour
High availability	Manual - two servers plus replication	Multi-region active-active, default
OS patching	Monthly, your team	Vendor-managed
WiFi helpdesk tickets	High - password resets, manual onboarding	Down 80% (Purple customer data)
Access revocation	Hours to days via LDAP sync	Seconds via SCIM

IT teams using Purple's Staff WiFi typically see WiFi support tickets drop by 80% (Purple internal data, 2024), driven by the elimination of password resets and manual device onboarding. Certificate-based authentication also satisfies PCI DSS requirement 8.3 for strong authentication and ISO 27001 control A.9.4 for system and application access control, reducing the audit burden on your security team.

For organisations in retail and hospitality , the ability to manage Staff WiFi and Guest WiFi from a single cloud dashboard - with a unified identity layer - reduces operational complexity across multi-site estates. For transport operators and healthcare providers, the instant revocation capability and full audit trail satisfy regulatory requirements without additional tooling.

Purple's WiFi Analytics layer adds occupancy and hybrid working data on top of the authentication infrastructure, turning Staff WiFi from a cost centre into a source of operational intelligence.

Definições principais

802.1X

Um padrão IEEE (IEEE 802.1X-2020) para controle de acesso à rede baseado em porta. Ele exige que os dispositivos se autentiquem antes que o ponto de acesso conceda acesso à rede, usando uma troca EAP mediada por um servidor RADIUS.

As equipes de TI usam o 802.1X para garantir que apenas usuários e dispositivos autorizados se conectem à rede corporativa. Ele fornece criptografia por usuário, chaves por sessão e uma trilha de auditoria completa de cada evento de conexão.

RADIUS

Remote Authentication Dial-In User Service (RFC 2865). Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilidade (AAA) para acesso à rede.

Os pontos de acesso encaminham cada solicitação de conexão para o servidor RADIUS, que decide se permite o dispositivo e qual VLAN atribuir a ele. O Cloud RADIUS substitui os servidores NPS ou FreeRADIUS locais.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security (RFC 5216). Um método de autenticação 802.1X que usa troca mútua de certificados X.509 em vez de senhas.

O EAP-TLS é o padrão ouro para frotas de dispositivos gerenciados. Ele é resistente a phishing, não requer armazenamento de hash de senha e é o único método 802.1X que atende às diretrizes de MFA resistente a phishing da CISA.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2. Um método 802.1X legado que valida senhas em relação a hashes NTLM armazenados no Active Directory.

O PEAP-MSCHAPv2 falha em ambientes exclusivamente em nuvem porque o Entra ID não armazena hashes NTLM. As organizações que estão migrando do AD local devem substituir o PEAP pelo EAP-TLS.

SCEP

Simple Certificate Enrollment Protocol. Um protocolo usado por plataformas MDM para solicitar e instalar certificados digitais em dispositivos de forma automática, sem a interação do usuário.

As equipes de TI usam o SCEP com o Intune ou Jamf para provisionar silenciosamente certificados de WiFi para os dispositivos dos funcionários. O SCEP substitui o servidor NDES (Network Device Enrollment Service) local em implantações voltadas primeiro para a nuvem.

SCIM

System for Cross-domain Identity Management (RFC 7644). Um padrão aberto que automatiza a troca em tempo real de informações de identidade de usuários entre sistemas de TI.

O SCIM garante que, quando um funcionário é desativado no Entra ID ou Okta, essa alteração seja enviada ao serviço de nuvem RADIUS imediatamente, revogando o acesso ao WiFi em segundos, em vez de horas.

NPS

Network Policy Server. A implementação de RADIUS da Microsoft, normalmente executada no Windows Server como parte de um ambiente Active Directory local.

Organizações voltadas primeiro para a nuvem estão desativando o NPS para eliminar VMs do Windows Server, patches de SO e a dependência do Active Directory local. O Cloud RADIUS é a substituição direta.

RadSec

RADIUS sobre TLS (RFC 6614). Um protocolo que criptografa o tráfego de autenticação RADIUS usando TLS, substituindo o transporte em texto simples baseado em UDP usado pelo RADIUS tradicional.

O RadSec é essencial ao usar o cloud RADIUS, pois o tráfego de autenticação deve atravessar a internet pública entre o ponto de acesso e o serviço de nuvem. O Purple oferece suporte nativo ao RadSec.

iPSK

Individual Pre-Shared Key. Uma variante do WPA2-Personal que atribui uma chave pré-compartilhada exclusiva para cada dispositivo, em vez de uma única chave compartilhada para todos os dispositivos.

O iPSK é usado para dispositivos IoT, impressoras e outros hardwares que não suportam 802.1X EAP-TLS. Ele fornece responsabilidade por dispositivo e atribuição de VLAN sem exigir suporte a certificados.

Dynamic VLAN

Uma técnica de segmentação de rede onde o servidor RADIUS retorna um identificador de VLAN na resposta Access-Accept, e o ponto de acesso coloca o dispositivo nessa VLAN automaticamente.

As VLANs dinâmicas permitem que as equipes de TI segmentem funcionários, prestadores de serviços, dispositivos IoT e convidados em segmentos de rede separados com base na associação de grupo do provedor de identidade, sem alterações manuais de firewall.

Exemplos práticos

Uma rede de varejo com 400 lojas precisa proteger o WiFi da equipe em todas as unidades. Eles utilizam pontos de acesso Cisco Meraki e usam o Microsoft Entra ID com o Intune para gerenciamento de dispositivos. Atualmente, eles usam uma PSK WPA2-Personal compartilhada porque não possuem Active Directory local para executar o NPS. Uma auditoria interna recente apontou a PSK compartilhada como uma lacuna de conformidade com o PCI DSS.

A rede implanta o RADIUS em nuvem da Purple. Primeiro, eles conectam a Purple ao Entra ID por meio do consentimento do administrador OAuth e configuram o provisionamento SCIM. No Intune, eles criam um Perfil de Certificado Confiável para a CA raiz da Purple e um perfil de certificado SCEP direcionado ao grupo de dispositivos 'Staff-Retail'. O Intune envia silenciosamente os certificados para todos os terminais de ponto de venda gerenciados e tablets da equipe. No painel do Meraki, eles atualizam o SSID da equipe para WPA2-Enterprise, inserem os endpoints primário e secundário do RADIUS em nuvem da Purple e ativam a atribuição dinâmica de VLAN. Quando um dispositivo se conecta, ele apresenta seu certificado emitido pelo Intune, a Purple o valida em relação à CA e verifica o grupo do Entra ID, e o dispositivo é colocado na VLAN 10 (rede da equipe) ou na VLAN 20 (rede de gerenciamento) com base na associação ao grupo. A PSK compartilhada é desativada. A implantação em 400 lojas leva um único fim de semana, pois nenhum hardware local é implantado - apenas alterações de configuração de SSID no Meraki.

Comentário do examinador: Essa abordagem elimina a PSK compartilhada, fornecendo responsabilidade por dispositivo e chaves de criptografia por sessão. Cada evento de autenticação é registrado com usuário, dispositivo, AP e SSID, atendendo ao requisito 10.2 do PCI DSS para logs de auditoria. Ao aproveitar o Intune SCEP e o RADIUS em nuvem, a rede alcança a segurança 802.1X sem implantar nenhum servidor local em nenhuma de suas 400 filiais. A alternativa - implantar VMs NPS em cada local ou em uma topologia hub-and-spoke - exigiria semanas de trabalho de infraestrutura e atualizações contínuas.

Uma universidade de 15.000 alunos usa o Google Workspace como seu provedor de identidade principal. A equipe de TI deseja fornecer WiFi seguro para funcionários e alunos em um parque de dispositivos BYOD composto por MacBooks, Chromebooks e telefones Android. Eles não têm Active Directory local e nenhum interesse em gerenciar servidores.

A universidade integra o RADIUS em nuvem da Purple com o Google Workspace. Para Chromebooks gerenciados, eles usam o Google Admin para enviar um perfil de certificado WiFi via SCEP, registrando silenciosamente cada dispositivo. Para MacBooks e telefones Android BYOD, eles implantam um aplicativo de integração leve que autentica o usuário com suas credenciais do Google e instala um certificado no dispositivo com um único toque. As conexões subsequentes usam EAP-TLS de forma silenciosa. A Purple mapeia as Unidades Organizacionais do Google Workspace para VLANs: funcionários entram na VLAN 10, alunos na VLAN 20 e visitantes convidados em um SSID de Captive Portal. Quando um aluno se forma e sua conta do Google é suspensa, o SCIM envia a alteração para a Purple e seu acesso ao WiFi é revogado em minutos.

Comentário do examinador: Esta solução oferece 802.1X seguro para um ambiente misto de dispositivos gerenciados e BYOD sem a necessidade de Active Directory. O aplicativo de integração lida com a complexidade do provisionamento de certificados para dispositivos BYOD, que não podem ser gerenciados via MDM. A integração SCIM do Google Workspace garante que o ambiente de WiFi permaneça alinhado com o diretório da universidade sem intervenção manual. Este padrão está em produção na University of Sheffield, University of Leeds e University of the Arts London, todas clientes da Purple.

Questões práticas

Q1. Sua organização migrou totalmente do Active Directory local para o Microsoft Entra ID. Seu WiFi de funcionários atual usa PEAP-MSCHAPv2 contra um servidor NPS que estava associado ao antigo domínio. Após a desativação do controlador de domínio, os funcionários relatam que não conseguem mais se conectar ao WiFi. Qual é a causa raiz e qual é a correção correta de longo prazo?

Dica: Considere o que o PEAP-MSCHAPv2 exige do diretório e se o Entra ID fornece isso.

Ver resposta modelo

A causa raiz é que o PEAP-MSCHAPv2 exige que o servidor RADIUS valide a senha do usuário em relação a um hash NTLM armazenado no Active Directory. Com o controlador de domínio desativado, o NPS não tem diretório para validar. O Entra ID não armazena hashes NTLM, portanto o NPS não pode ser redirecionado para o Entra ID. A correção correta de longo prazo é substituir o NPS por um serviço de RADIUS em nuvem, migrar do PEAP-MSCHAPv2 para o EAP-TLS e usar o MDM (Intune) para emitir certificados de dispositivo via SCEP. Isso elimina a dependência de qualquer diretório local.

Q2. Você está implantando o RADIUS em nuvem para uma frota de 200 dispositivos MacBooks corporativos gerenciados pelo Jamf Pro. Seu provedor de identidade é o Okta. Qual é a maneira mais segura e operacionalmente eficiente de provisionar as credenciais de WiFi para esses dispositivos?

Dica: Procure um método que não exija interação do usuário, evite senhas e se integre ao seu MDM existente.

Ver resposta modelo

Configure o Jamf Pro para usar SCEP para enviar silenciosamente certificados de dispositivo para os MacBooks. Crie um payload SCEP em um perfil de configuração do Jamf, apontando para a CA gerenciada pelo seu provedor de RADIUS em nuvem. Defina o escopo do perfil para o grupo de dispositivos relevante. O Jamf enviará o certificado para cada MacBook automaticamente, sem interação do usuário. Configure o perfil de WiFi no mesmo perfil de configuração para usar EAP-TLS com o certificado emitido por SCEP. Conecte o serviço de RADIUS em nuvem ao Okta via SCIM para garantir que, quando um funcionário for desativado no Okta, seu acesso ao WiFi seja revogado imediatamente.

Q3. Um funcionário é desligado às 9h de uma segunda-feira. Sua conta do Entra ID é desativada pelo RH às 9h05. Às 9h30, um alerta de segurança mostra que o laptop do funcionário ainda está conectado ao WiFi corporativo a partir do estacionamento. Qual configuração está faltando e como você resolve isso?

Dica: Como o servidor RADIUS descobre que o status do usuário mudou no provedor de identidade?

Ver resposta modelo

A implantação está dependendo de sincronizações LDAP periódicas em vez de provisionamento SCIM. A sincronização LDAP ainda não foi executada desde que a conta foi desativada, portanto o serviço de RADIUS em nuvem ainda considera o usuário ativo. A correção é habilitar o provisionamento SCIM entre o Entra ID e o serviço de RADIUS em nuvem. O SCIM envia alterações de status do usuário em tempo real, de modo que, quando a conta é desativada no Entra ID às 9h05, o serviço RADIUS recebe a alteração imediatamente. Na próxima vez que o dispositivo tentar se autenticar novamente (controlado pelo timeout de sessão no ponto de acesso), ele receberá um Access-Reject. Definir um timeout de sessão curto (15 a 30 minutos) no ponto de acesso limita a janela máxima entre a desativação da conta e a expulsão da rede.

Q4. Seu local possui 50 dispositivos IoT - players de sinalização digital, sensores ambientais e impressoras - que não suportam 802.1X EAP-TLS. Como você protege esses dispositivos na mesma infraestrutura de WiFi que a rede de funcionários EAP-TLS?

Dica: Considere qual método de autenticação fornece responsabilidade por dispositivo sem exigir suporte a certificados.

Ver resposta modelo

Use iPSK (chaves pré-compartilhadas individuais) para os dispositivos IoT. Atribua uma chave pré-compartilhada exclusiva para cada dispositivo no painel do RADIUS em nuvem, junto com uma atribuição de VLAN. Cada dispositivo se autentica com sua chave exclusiva, que o servidor RADIUS valida e usa para colocar o dispositivo na VLAN de IoT, isolada da rede de funcionários. Se um dispositivo for comprometido ou desativado, você revoga apenas a chave desse dispositivo, sem afetar nenhum outro. Essa abordagem fornece responsabilidade por dispositivo e segmentação de rede sem exigir suporte a suplicante 802.1X no hardware IoT.

Continue a ler esta série

Três SSIDs para controlar todos: guia de configuração de WiFi para convidados, Passpoint e IoT

Este guia técnico fornece um modelo definitivo para implementar o design de três SSIDs de WiFi em locais corporativos. Ele detalha a configuração de um Captive Portal de WiFi de convidados aberto, integração automatizada de Passpoint e autenticação xPSK por dispositivo para obter segmentação de VLAN completa e acesso à rede zero-trust.

Três SSIDs para a todos governar: guia de configuração de WiFi para convidados, equipe e IoT

Este guia de referência técnica autoritativo fornece um modelo passo a passo para a implementação de uma arquitetura de três SSIDs de WiFi. Ele explica como segmentar o tráfego de convidados, equipe e IoT usando captive portals, RADIUS 802.1X e PSK por dispositivo (xPSK) para otimizar o desempenho e garantir a conformidade com o PCI DSS.

Como revogar o acesso WiFi quando um funcionário sai

Este guia detalha como revogar o acesso WiFi quando um funcionário sai, substituindo senhas compartilhadas inseguras por certificados 802.1X por usuário ou iPSK. Ele aborda o desprovisionamento automatizado via SCIM para atender aos requisitos de auditoria ISO 27001 e SOC 2.