Integrando RADIUS as a Service com Diretórios em Nuvem (Azure AD e Google Workspace)
Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios em nuvem - Microsoft Entra ID e Google Workspace - para autenticação WiFi corporativa. Ele aborda a transição arquitetônica do NPS local para o RADIUS nativo da nuvem, a implantação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fio em ambientes de hotelaria, varejo e setor público. Para gerentes de TI e arquitetos de rede que já investem em identidade em nuvem, este guia preenche a lacuna entre o gerenciamento de diretórios e a segurança de rede física.
Ouça este guia
Ver transcrição do podcast
Executive summary
For modern enterprises invested in cloud identity ecosystems, bridging cloud directories with physical wireless networks is a critical security imperative. Historically, WiFi authentication relied on on-premise Active Directory Domain Services and Windows Network Policy Server (NPS). As organisations migrate to Microsoft Entra ID and Google Workspace, that on-premise authentication stack becomes a liability - costly to maintain, difficult to scale, and incompatible with zero-trust security models.
RADIUS as a Service (RADIUSaaS) changes the equation. A cloud-hosted RADIUS server integrates directly with your cloud directory, validates authentication requests in real time, and returns access decisions to your access points - with no on-premise servers, no patching cycles, and no single point of failure. Combined with EAP-TLS certificate-based authentication, this architecture eliminates credential theft, supports PCI DSS and GDPR compliance, and delivers a seamless experience for staff across every site.
This guide covers the architectural decision between on-premise NPS and cloud-native RADIUS, the deployment of EAP-TLS via Microsoft Intune and Google Admin Console, and the operational best practices for securing wireless access across hotels, retail estates, stadiums, and public-sector venues. For a broader introduction to network access control, see A Guide to Your Network Access Control System .
Technical deep-dive: architecture and standards
The role of RADIUS and IEEE 802.1X
The foundation of secure enterprise WiFi is the IEEE 802.1X standard, which provides port-based network access control. When a client device (the supplicant) attempts to connect to a WPA2-Enterprise or WPA3-Enterprise network, the Wireless Access Point (the authenticator) blocks all traffic except EAP (Extensible Authentication Protocol) packets. The AP forwards these packets to a RADIUS server. The RADIUS server validates the identity against a directory service and returns an Access-Accept or Access-Reject message. Only then does the AP grant network access.
This three-party model - supplicant, authenticator, authentication server - is the cornerstone of enterprise wireless security and is defined in IEEE 802.1X. It has not fundamentally changed since its introduction. What has changed is where the RADIUS server lives and how it communicates with your directory.
Cloud-native RADIUS architecture
A cloud-native RADIUS architecture eliminates the need for on-premise NPS or FreeRADIUS servers. A third-party Cloud RADIUS provider integrates directly with Microsoft Entra ID via Microsoft Graph API, or with Google Workspace via Google Secure LDAP or SAML/OAuth. Authentication happens entirely in the cloud. This aligns with zero-trust network access principles and significantly reduces operational overhead.
The table below compares the two primary architectural approaches:
| Dimension | Hybrid on-premise (NPS) | Cloud-native (RADIUSaaS) |
|---|---|---|
| Infrastructure | Windows Server VM or bare metal required | No on-premise servers |
| Identity source | AD DS via LDAP/Kerberos | Entra ID or Google Workspace via API |
| Certificate authority | ADCS on-premise + Intune Connector | Cloud PKI from vendor or Microsoft |
| High availability | Manual HA and load balancing | Auto-scaled by provider |
| Setup time | Days to weeks | Hours |
| Best for | Hybrid AD, legacy devices | Cloud-first, MDM-managed organisations |
| Operational complexity | Higher initial and ongoing | Lower operational overhead |
EAP-TLS vs. PEAP-MSCHAPv2: the critical choice
The choice of EAP method is the single most consequential security decision in this deployment. PEAP-MSCHAPv2 relies on users entering their domain credentials. This is vulnerable to credential theft and man-in-the-middle attacks. If a client device does not strictly validate the RADIUS server certificate - and many do not by default - an attacker can deploy a rogue access point with your SSID, intercept the EAP handshake, and capture credentials. This is an Evil Twin attack, and it is well-documented.
EAP-TLS (Transport Layer Security) uses digital certificates installed on the client device for mutual authentication. Both the client and the server prove their identity cryptographically. There are no passwords to type or steal. In a Microsoft environment, certificates deploy silently via Microsoft Intune using SCEP (Simple Certificate Enrollment Protocol) or PKCS profiles. This is the recommended path for all new deployments and is essential for compliance with PCI DSS v4.0 (Requirement 8.3 on strong authentication) and GDPR data protection obligations.
Google Workspace: the architectural difference
Microsoft Entra ID and Google Workspace differ in one important way for RADIUS integration. Microsoft NPS integrates natively with Active Directory, and Cloud RADIUS providers connect to Entra ID via Microsoft Graph API. Google, however, does not offer a native RADIUS service. You always need an intermediary.
Google Secure LDAP is the primary integration path. Available on Cloud Identity Premium and Google Workspace Enterprise editions, it provides a traditional LDAP interface to your cloud directory. Your Cloud RADIUS server connects to ldap.google.com on port 636 using client certificates that Google generates for you. From that point, the RADIUS server queries Google's directory to validate credentials or group memberships, just as it would query an on-premise Active Directory.
An alternative path uses SAML-based integration, where the Cloud RADIUS provider registers as a SAML application in Google Admin Console and performs an OAuth lookup at authentication time to verify the user's identity and group memberships in real time.
Implementation guide
Implementing RADIUSaaS with EAP-TLS requires coordinating identity, device management, and network infrastructure. The following five-phase approach applies to both Microsoft Entra ID and Google Workspace environments.
Phase 1: prepare identity and device management infrastructure
For Microsoft Entra ID: verify that your tenant has Microsoft 365 E3/E5 or Enterprise Mobility + Security (EMS) E3/E5 licensing. This includes Microsoft Intune and Conditional Access. Without Intune, automated certificate deployment is not possible.
For Google Workspace: confirm you have Cloud Identity Premium or Google Workspace Enterprise to access Google Secure LDAP. If you plan to use EAP-TLS on managed Chromebooks, ensure the Google Admin Console is configured to manage device certificates.
Establish your Public Key Infrastructure (PKI). For new deployments, a cloud-native PKI provided by your Cloud RADIUS vendor is strongly recommended. Alternatives include Microsoft Cloud PKI (available with Intune Suite licensing) or an existing on-premise ADCS deployment connected via the Microsoft Intune Certificate Connector.
Phase 2: configure certificate deployment
Microsoft Intune path: in the Intune admin centre, create a Trusted Certificate configuration profile. Upload the Root CA certificate and deploy it to your target device groups. This ensures client devices trust the certificate presented by the RADIUS server during the TLS handshake. Next, create a SCEP Certificate profile. For user-based authentication, set the Subject Name to CN={{UserPrincipalName}}. For device-based authentication, use CN={{DeviceName}}. Set the Subject Alternative Name to include the User Principal Name or device ID.
Google Admin Console path: navigate to Devices, then Networks, then Certificates. Upload your Root CA. Configure a certificate issuance mechanism - either a cloud PKI that supports SCEP integration with Google Workspace, or the Google Cloud Certificate Connector which proxies requests to an on-premise Microsoft Certificate Authority. Deploy the Root CA and client certificate profiles to the appropriate Organisational Units.
Phase 3: configure Cloud RADIUS integration
Grant your Cloud RADIUS provider the necessary API permissions in your directory tenant. For Entra ID, this requires at minimum User.Read.All and GroupMember.Read.All via Microsoft Graph API. Some providers also require Device.Read.All for device compliance checks. For Google Workspace via Secure LDAP, download the client certificate and key from Google Admin Console and install them on the RADIUS service.
Define your authentication policies within the Cloud RADIUS management portal. A well-structured policy for a corporate environment: "Allow access if the certificate is issued by [Trusted CA] AND the user is a member of the [Corporate-WiFi-Users] group AND the device is marked Compliant in Intune." This enforces identity, group membership, and device health simultaneously.
Phase 4: configure wireless infrastructure
In your wireless LAN controller or cloud management dashboard - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet - add the Cloud RADIUS server IP addresses and shared secrets as RADIUS authentication servers. Configure primary and secondary servers for redundancy. Set the RADIUS timeout to a minimum of five seconds to accommodate cloud round-trip latency.
Create a new SSID configured for WPA2-Enterprise or WPA3-Enterprise. For Hospitality deployments, ensure the corporate SSID is on a separate VLAN from any Guest WiFi network. For Retail environments, consider deploying the corporate SSID only in back-of-house areas.
Phase 5: deploy WiFi profile via MDM
Microsoft Intune: create a WiFi configuration profile. Set the SSID to match your infrastructure configuration exactly. Select WPA2-Enterprise or WPA3-Enterprise. Under EAP settings, select EAP-TLS. Link the SCEP certificate profile as the client certificate and specify the Trusted Root CA profile. Assign this WiFi profile to the same device groups that received the certificate profiles. Devices silently receive the certificate and the WiFi configuration during their next Intune sync.
Google Admin Console: navigate to Devices, then Networks, then Wi-Fi. Create a new WiFi network profile. Set the SSID, select WPA3-Enterprise, choose EAP-TLS, and push the trusted Root CA certificate to the devices. Apply this profile to your Organisational Units. Chromebooks connect silently and securely.
Best practices
Mandate EAP-TLS across all new deployments. Do not deploy new networks using PEAP-MSCHAPv2. The security risks are well-documented and the migration path is straightforward with modern MDM tooling.
Enforce strict server certificate validation. If you must use PEAP for legacy devices, configure the devices to validate the RADIUS server's certificate. In the Intune WiFi profile and in the Google Admin Console WiFi profile, there is a field to specify the trusted CA for server validation. Do not leave this blank. This single configuration decision is the difference between a secure deployment and a vulnerable one.
Segment your network with dynamic VLAN assignment. Use your RADIUS server to inspect the user's group membership in Entra ID or Google Workspace and dynamically assign them to different VLANs. The RADIUS server returns the Tunnel-Private-Group-Id attribute to the access point, which places the client on the correct VLAN. This limits lateral movement in the event of a compromise and supports PCI DSS network segmentation requirements.
Separate corporate and guest authentication. Use EAP-TLS for corporate-managed devices. Use a captive portal with SSO for BYOD and guest devices. Trying to manually configure EAP-TLS on unmanaged devices creates excessive support overhead. Purple's Guest WiFi platform handles guest onboarding separately, maintaining a clean separation between staff and visitor traffic.
Monitor certificate expiry proactively. Set up monitoring and alerting at 90 days, 30 days, and seven days before certificate expiry. If your RADIUS server certificate expires, all devices lose connectivity simultaneously. Automate renewal where your PKI supports it.
Test RADIUS timeout settings. Cloud RADIUS introduces network round-trip latency that on-premise NPS does not. Set the RADIUS timeout on your access points to at least five seconds. A timeout of two seconds - common in default configurations - will cause intermittent authentication failures.
Troubleshooting and risk mitigation
Blocked firewall ports are the leading cause of initial deployment failure. RADIUS authentication requires UDP port 1812 outbound from your wireless infrastructure to the Cloud RADIUS service. RADIUS accounting requires UDP port 1813. Verify these are open before any other troubleshooting.
Certificate validation failures present as authentication rejections with no obvious cause. Check the following in order: certificate expiry on both the client and the RADIUS server; clock skew between the client device and the RADIUS server (EAP-TLS relies on accurate timekeeping); and whether the Root CA certificate has been successfully deployed to the device via MDM.
Group membership not enforcing is a common issue when RADIUS policies reference Entra ID or Google Workspace groups. Verify that the Cloud RADIUS provider has the correct API permissions to read group memberships. In Entra ID, confirm the service principal has GroupMember.Read.All. In Google Workspace, confirm the Secure LDAP client has permission to read group information.
VLAN assignment not working typically indicates a mismatch between the RADIUS attribute values and the VLAN IDs configured on the wireless infrastructure. Confirm that Tunnel-Type is set to VLAN (value 13), Tunnel-Medium-Type is set to 802 (value 6), and Tunnel-Private-Group-Id matches the VLAN ID configured on the switch or controller.
BYOD devices failing EAP-TLS usually indicates the client certificate was not successfully deployed. For Intune-managed devices, check the device's certificate store in the Intune admin centre. For Google-managed Chromebooks, verify the certificate profile is assigned to the correct Organisational Unit and that the device has synced recently.
ROI and business impact
Moving to Cloud RADIUS delivers measurable operational savings. On-premise RADIUS requires at minimum two servers for high availability, ongoing OS patching, certificate management, and specialist engineering time. A single engineer's time spent on RADIUS maintenance over a year typically exceeds the annual cost of a Cloud RADIUS subscription.
The business case extends beyond cost reduction. By tying network access to verified cloud identities, you gain:
Instant offboarding. Disabling a user in Entra ID or Google Workspace immediately revokes their network access at all sites. There is no lag, no manual process, and no risk of a former employee retaining WiFi access. This directly supports GDPR obligations around data access rights.
Richer analytics. Platforms like Purple's WiFi Analytics provide richer data on space utilisation and visitor journeys when network access is tied to authenticated identities. You move from anonymous MAC addresses to named, authenticated users, which transforms the quality of insight available to operations and marketing teams.
Compliance evidence. EAP-TLS authentication generates detailed access logs - who connected, from which device, at which location, and at what time. This audit trail supports PCI DSS Requirement 10 (logging and monitoring) and GDPR accountability obligations.
Multi-site consistency. A single Cloud RADIUS service authenticates all your sites with consistent policies, managed from one dashboard. Adding a new hotel, store, or venue means adding its access points to the RADIUS configuration - not shipping and configuring another server. For organisations managing large estates, this is a significant operational advantage.
For Transport operators and Healthcare venues where network uptime is operationally critical, Cloud RADIUS providers typically offer 99.999% uptime SLAs with multi-region failover built in. Purple operates at 99.999% uptime across 80,000+ live venues, with 440 million logins processed in 2024 (Purple internal data, 2024).
For further reading on related topics, see WAN Computer Definition: A Practical Guide for 2026 and World WiFi Day 2026: How Your Venue Can Help Bridge the Digital Divide .
Definições principais
RADIUS (Remote Authentication Dial-In User Service)
Um protocolo de rede definido na RFC 2865 que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam a um serviço de rede. O servidor RADIUS atua como o mecanismo de decisão entre seus pontos de acesso e seu diretório de identidade.
Toda rede WiFi corporativa WPA2-Enterprise ou WPA3-Enterprise depende de um servidor RADIUS. Sem ele, a autenticação IEEE 802.1X não funciona.
RADIUS as a Service (RADIUSaaS)
Uma implementação de RADIUS hospedada na nuvem e entregue como um serviço gerenciado. O provedor mantém a infraestrutura, atualizações, alta disponibilidade e integrações com provedores de identidade. Você configura as políticas de autenticação e aponta seus pontos de acesso para os IPs do RADIUS na nuvem.
O RADIUSaaS elimina a necessidade de servidores NPS ou FreeRADIUS locais, removendo a sobrecarga associada de hardware, aplicação de patches no sistema operacional e manutenção especializada.
IEEE 802.1X
Um padrão IEEE para Controle de Acesso à Rede baseado em porta. Ele define o modelo de autenticação de três partes: o solicitante (dispositivo cliente), o autenticador (ponto de acesso ou switch) e o servidor de autenticação (servidor RADIUS). O autenticador bloqueia todo o tráfego até que o servidor RADIUS conceda o acesso.
O padrão fundamental para autenticação WiFi corporativa. Tanto o WPA2-Enterprise quanto o WPA3-Enterprise dependem do 802.1X.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
Um método de autenticação definido na RFC 5216 que usa certificados digitais tanto no servidor RADIUS quanto no dispositivo cliente para autenticação mútua. Nenhuma das partes envia uma senha. O cliente apresenta seu certificado; o servidor o valida em relação ao diretório em tempo real.
O padrão ouro para segurança de WiFi corporativo. Elimina o roubo de credenciais, phishing e a sobrecarga de suporte relacionada a senhas. Necessário para a conformidade com o PCI DSS em redes de dados de portadores de cartão.
PEAP-MSCHAPv2 (Protected EAP - Microsoft Challenge Handshake Authentication Protocol v2)
Um método de autenticação que cria um túnel TLS criptografado e, em seguida, envia o nome de usuário e a senha do usuário por meio dele. Vulnerável a ataques do tipo Evil Twin se o cliente não validar estritamente o certificado do servidor RADIUS.
O padrão legado para WiFi corporativo. Ainda amplamente implantado, mas deve ser migrado para o EAP-TLS em todas as implantações novas e existentes, sempre que possível.
Microsoft Entra ID
O serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft, anteriormente conhecido como Azure Active Directory (Azure AD). Gerencia identidades de usuários, associações a grupos, conformidade de dispositivos e políticas de Acesso Condicional.
A principal fonte de identidade para o Cloud RADIUS em ambientes centrados na Microsoft. Os provedores de Cloud RADIUS se conectam ao Entra ID via Microsoft Graph API.
Google Secure LDAP
Um serviço gerenciado disponível nas edições Cloud Identity Premium e Google Workspace Enterprise que fornece uma interface LDAP tradicional para o diretório em nuvem do Google. Os servidores RADIUS se conectam ao ldap.google.com na porta 636 usando certificados de cliente.
O principal caminho de integração para conectar um servidor Cloud RADIUS ao Google Workspace. O Google não oferece um serviço RADIUS nativo, portanto, o Secure LDAP atua como a ponte.
PKI (Public Key Infrastructure)
O conjunto de funções, políticas, hardware, software, e procedimentos necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais. Uma PKI é necessária para emitir os certificados de cliente e servidor usados na autenticação EAP-TLS.
As opções de PKI nativas da nuvem de fornecedores de RADIUS ou da Microsoft (Cloud PKI) eliminam a necessidade do Active Directory Certificate Services (ADCS) local.
SCEP (Simple Certificate Enrollment Protocol)
Um protocolo que permite que os dispositivos solicitem e recebam certificados digitais de uma Autoridade Certificadora automaticamente. Usado pelo Microsoft Intune e pelo Google Admin Console para implantar certificados de cliente em dispositivos gerenciados sem a interação do usuário.
Os perfis SCEP no Intune são o mecanismo pelo qual os dispositivos corporativos recebem silenciosamente os certificados de cliente necessários para a autenticação EAP-TLS.
Dynamic VLAN assignment
Um recurso do RADIUS que retorna atributos de atribuição de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) para o ponto de acesso com base na associação ao grupo de diretório do usuário autenticado. O AP coloca o cliente na VLAN especificada automaticamente.
Permite a segmentação granular de rede sem a configuração manual de VLAN por dispositivo. Funcionários em diferentes funções ou departamentos caem em diferentes segmentos de rede, limitando o movimento lateral e atendendo aos requisitos de segmentação do PCI DSS.
Exemplos práticos
Um hotel de 200 quartos está migrando a rede de sua equipe de back-of-house de um servidor NPS local antigo para uma solução nativa da nuvem. O hotel mudou recentemente para o Microsoft Entra ID e o Microsoft 365 E5. Os dispositivos da equipe são laptops Windows gerenciados pelo Intune. A infraestrutura sem fio é Cisco Meraki. O hotel precisa que a equipe se conecte automaticamente sem solicitações de senha e exige a revogação instantânea quando um funcionário se desliga.
Implante uma solução Cloud RADIUS com integração ao Entra ID. Passo 1: conceda ao provedor de Cloud RADIUS as permissões da Microsoft Graph API (User.Read.All, GroupMember.Read.All, Device.Read.All) no locatário (tenant) do Entra ID. Passo 2: no Intune, crie um perfil de Certificado Confiável com a CA Raiz do Cloud RADIUS e implante-o no grupo 'All Corporate Devices'. Passo 3: crie um perfil de Certificado SCEP com o Nome do Assunto CN={{UserPrincipalName}} e implante-o no mesmo grupo. Passo 4: configure a política de autenticação do Cloud RADIUS: permita o acesso se o certificado for emitido pela [CA Confiável] E o usuário for membro do grupo do Entra ID [Hotel-Staff-WiFi] E o dispositivo estiver em conformidade com o Intune. Passo 5: no painel do Cisco Meraki, adicione os IPs primário e secundário do Cloud RADIUS como servidores RADIUS no SSID de back-of-house. Defina o tempo limite (timeout) do RADIUS para 5 segundos. Passo 6: no Intune, crie um perfil de WiFi WPA3-Enterprise para o SSID de back-of-house, especificando EAP-TLS e vinculando o perfil de certificado SCEP. Implante no grupo 'All Corporate Devices'. Os dispositivos recebem silenciosamente o certificado e o perfil de WiFi na próxima sincronização do Intune e se conectam automaticamente. Quando um funcionário se desliga, a desativação de sua conta do Entra ID revoga imediatamente o acesso à rede em todas as unidades.
Uma rede de varejo com 50 lojas usa o Google Workspace e gerencia uma frota de 500 Chromebooks usados pelos associados da loja para operações de inventário e ponto de venda. Atualmente, eles usam uma chave WPA2 PSK compartilhada para a rede de operações da loja, o que cria um risco de segurança quando os dispositivos são perdidos ou roubados. Eles desejam migrar para a autenticação 802.1X sem implantar servidores locais em cada loja. A infraestrutura sem fio deles é HPE Aruba.
Implante uma solução Cloud RADIUS com integração ao Google Workspace via Google Secure LDAP. Passo 1: no Google Admin Console, navegue até Apps, depois LDAP e adicione um novo cliente LDAP para o serviço Cloud RADIUS. Configure as permissões de leitura para informações do usuário e associação ao grupo. Baixe o certificado de cliente e a chave gerados. Passo 2: configure o serviço Cloud RADIUS com as credenciais do Google Secure LDAP. Passo 3: configure uma PKI em nuvem para emitir certificados para os Chromebooks. No Google Admin Console, navegue até Dispositivos, depois Redes, depois Certificados e faça o upload da CA Raiz. Configure o perfil de emissão de certificado e aplique-o à Unidade Organizacional Store-Associates. Passo 4: no Google Admin Console, crie um perfil de WiFi WPA3-Enterprise para o SSID de operações da loja. Defina o EAP-TLS, vincule a CA Raiz e aplique à OU Store-Associates. Os Chromebooks recebem o certificado e o perfil de WiFi na próxima sincronização do Admin Console. Passo 5: no HPE Aruba Central, configure o SSID de operações da loja com WPA3-Enterprise e adicione os IPs primário e secundário do Cloud RADIUS. Defina o tempo limite do RADIUS para 5 segundos. Configure a atribuição dinâmica de VLAN para colocar os associados da loja na VLAN 20 (operações da loja) com base em sua associação ao grupo do Google Workspace. Quando um Chromebook é perdido ou roubado, removê-lo da OU Store-Associates revoga imediatamente seu acesso à rede.
Questões práticas
Q1. Sua organização está migrando do Active Directory local para o Microsoft Entra ID. Atualmente, você usa PEAP-MSCHAPv2 para autenticação WiFi em 300 laptops corporativos gerenciados pelo Intune. Você possui licenciamento Microsoft 365 E5. Qual é o caminho mais seguro e operacionalmente eficiente para migrar a autenticação WiFi para uma arquitetura nativa da nuvem?
Dica: Considere as vulnerabilidades da autenticação baseada em credenciais, os recursos do Microsoft Intune para implantação de certificados e a necessidade de evitar dependências de infraestrutura local.
Ver resposta modelo
Implante uma solução Cloud RADIUS com integração ao Entra ID. Use o Microsoft Intune para implantar um perfil de Certificado Confiável (CA Raiz) e um perfil de Certificado SCEP nos 300 laptops. Configure a política de autenticação do Cloud RADIUS para exigir um certificado válido da CA confiável e a associação ao grupo do Entra ID Corporate-WiFi-Users. Crie um perfil de WiFi WPA3-Enterprise no Intune especificando EAP-TLS e vincule o perfil de certificado SCEP. Os dispositivos recebem silenciosamente o certificado e a configuração de WiFi na próxima sincronização do Intune. Isso elimina o risco de roubo de credenciais do PEAP-MSCHAPv2, remove a dependência do NPS local e fornece revogação instantânea quando uma conta do Entra ID é desativada.
Q2. Um usuário em seu hotel relata que não consegue se conectar ao WiFi da equipe de back-of-house após retornar de duas semanas de férias. Outros funcionários estão se conectando sem problemas. A rede usa EAP-TLS com certificados implantados via Intune. Quais são as três causas mais prováveis, em ordem de probabilidade?
Dica: O EAP-TLS depende de ativos criptográficos sensíveis ao tempo e consultas de diretório em tempo real.
Ver resposta modelo
- O certificado de cliente do usuário expirou. Os certificados têm um período de validade definido e, se o dispositivo estava offline durante a janela de renovação, o perfil SCEP pode não tê-lo renovado. Verifique a data de expiração do certificado no repositório de certificados do dispositivo no Intune. 2. O relógio do sistema do dispositivo está significativamente dessincronizado (desvio de relógio), fazendo com que a validação do certificado falhe. O EAP-TLS valida os carimbos de data/hora do certificado; um relógio com mais de cinco minutos de dessincronização causará falhas de autenticação. 3. A conta do Entra ID do usuário foi colocada em um grupo diferente durante sua ausência (forпример, movida de equipe ativa para uma OU diferente), e a política de autenticação RADIUS não corresponde mais à sua associação ao grupo. Verifique as associações de grupo do usuário no Entra ID em relação à política do RADIUS.
Q3. Você é o gerente de TI de uma rede de varejo com 80 lojas. Você usa o Google Workspace e gerencia 400 Chromebooks via Google Admin Console. Você deseja substituir a PSK WPA2 compartilhada atual na rede de operações da loja pela autenticação 802.1X. Você não tem servidores locais em nenhuma loja. Qual arquitetura você implanta e qual é o principal benefício de segurança em relação à abordagem PSK atual?
Dica: Considere o que acontece quando um Chromebook é perdido ou roubado em cada modelo de autenticação.
Ver resposta modelo
Implante um serviço Cloud RADIUS com integração ao Google Secure LDAP. Configure uma PKI em nuvem para emitir certificados para os Chromebooks. No Google Admin Console, implante a CA Raiz e um perfil de certificado de cliente SCEP na Unidade Organizacional Store-Associates. Crie um perfil de WiFi WPA3-Enterprise especificando EAP-TLS e implante-o na mesma OU. Configure os pontos de acesso HPE Aruba (or equivalent) em cada loja para apontar para o serviço Cloud RADIUS. O principal benefício de segurança: sob a PSK compartilhada atual, um Chromebook perdido ou roubado mantém o acesso ao WiFi até que a PSK seja rotacionada em todas as 80 lojas — um processo disruptivo e demorado. Com o EAP-TLS, remover o dispositivo da OU Store-Associates no Google Admin Console revoga imediatamente seu certificado e acesso à rede, sem impacto em nenhum outro dispositivo.
Q4. Durante uma implantação do Cloud RADIUS, você configura o SSID nos pontos de acesso Cisco Meraki e implanta o perfil de WiFi do Intune em um grupo piloto de 20 dispositivos. Nenhum dos dispositivos consegue se conectar. O status do dispositivo no Intune mostra o certificado e o perfil de WiFi como implantados com sucesso. Qual é a primeira coisa que você verifica?
Dica: A causa mais comum de falha na implantação inicial não é um erro de configuração na política do RADIUS ou no certificado.
Ver resposta modelo
Verifique se as portas UDP 1812 and 1813 estão abertas para saída dos pontos de acesso Cisco Meraki (ou da infraestrutura de nuvem Meraki) para os endereços IP do servidor Cloud RADIUS. Portas de firewall bloqueadas são a principal causa de falha na implantação inicial. O fato de os certificados e perfis de WiFi terem sido implantados com sucesso descarta problemas de configuração do Intune. As próximas verificações são: incompatibilidade de segredo compartilhado (shared secret) do RADIUS entre o Meraki e o serviço Cloud RADIUS; tempo limite (timeout) do RADIUS definido como muito baixo (aumente para pelo menos 5 segundos); e se os IPs do servidor Cloud RADIUS foram inseridos corretamente na configuração do SSID do Meraki.
Continue a ler esta série
Os Benefícios de Segurança do RADIUS como Serviço para Forças de Trabalho Híbridas
Este guia de referência técnica explica como o RADIUS como Serviço protege o acesso à rede para forças de trabalho híbridas em locais distribuídos. Ele aborda a arquitetura, os benefícios de segurança e as etapas de implantação para substituir a infraestrutura de RADIUS local por um serviço de autenticação gerenciado na nuvem. Para gerentes de TI e arquitetos de rede em hotéis, redes de varejo, estádios e organizações do setor público, este guia fornece as evidências necessárias para avaliar e agir em uma migração para o RADIUS na nuvem neste trimestre.
Como Implementar a Autenticação 802.1X com Cloud RADIUS
Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades corporativas distribuídas. Ele detalha a arquitetura, a seleção do método EAP, o sequenciamento de implantação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando a sobrecarga operacional da infraestrutura local.
O que é Cloud RADIUS? Um Guia Completo sobre RADIUS como Serviço
Este guia completo explora o Cloud RADIUS (RADIUS como Serviço), detalhando sua arquitetura, métodos EAP e estratégias de implementação. Ele oferece aos líderes de TI insights práticos sobre a migração de servidores locais para um modelo de autenticação baseado em nuvem escalável, seguro e em conformidade.