Migrando de RADIUS On-Premises (NPS) para RADIUS as a Service

Este guia definitivo detalha a arquitetura técnica, a metodologia de implementação e o impacto nos negócios da migração do Microsoft Network Policy Server (NPS) local para um modelo RADIUS as a Service nativo em nuvem. Ele fornece aos líderes de TI e arquitetos de rede estruturas práticas para reduzir a sobrecarga operacional, eliminar pontos únicos de falha e proteger a autenticação corporativa em locais distribuídos.

📖 5 min de leitura📝 1,066 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

PODCAST SCRIPT: Migrando de RADIUS On-Premises (NPS) para RADIUS as a Service
Duração: ~10 minutos | Voz: Português do Brasil, tom de Consultor Sênior

---

SEGMENTO 1: INTRODUÇÃO E CONTEXTO

Bem-vindo à série de briefings técnicos da Purple WiFi. Hoje estamos abordando uma migração que está no roadmap de um número significativo de equipes de TI corporativas agora: a transição do RADIUS local — especificamente o Network Policy Server da Microsoft — para um modelo de RADIUS as a Service hospedado na nuvem.

Se você gerencia a autenticação WiFi em um grupo de hotéis, uma rede de varejo, um estádio ou um campus do setor público, isso é diretamente relevante para você. O modelo NPS local nos atendeu bem por quase duas décadas, mas a sobrecarga operacional, o risco de ponto único de falha e as limitações de escala estão se tornando cada vez mais difíceis de justificar — especialmente quando as alternativas nativas em nuvem agora oferecem confiabilidade de nível corporativo por uma fração do custo total de propriedade.

Nos próximos dez minutos, cobriremos a arquitetura técnica de ambas as abordagens, passaremos por uma metodologia de migração estruturada, analisaremos dois cenários de implementação do mundo real e terminaremos com as estruturas de decisão fundamentais que você precisa para fazer essa escolha com confiança.

Vamos começar.

---

SEGMENTO 2: MERGULHO TÉCNICO PROFUNDO

Primeiro, vamos garantir que estamos alinhados sobre o que o RADIUS realmente faz na sua pilha de rede. O RADIUS — Remote Authentication Dial-In User Service — é o protocolo definido na RFC 2865 que lida com autenticação, autorização e contabilização para acesso à rede. Em um contexto de WiFi, ele é a espinha dorsal do controle de acesso baseado em porta IEEE 802.1X. Quando um dispositivo se conecta a um SSID WPA2-Enterprise ou WPA3-Enterprise, o ponto de acesso atua como um cliente RADIUS — o que chamamos de Network Access Server — e encaminha a solicitação de autenticação para o servidor RADIUS. O servidor valida as credenciais, normalmente contra o Active Directory ou um diretório LDAP, e retorna uma resposta de Access-Accept ou Access-Reject. Esse é o fluxo fundamental.

Agora, no modelo NPS local — o Network Policy Server é a implementação de RADIUS da Microsoft incluída no Windows Server — você está executando essa lógica de autenticação em hardware próprio, em um data center ou sala de servidores que você mantém. O servidor NPS armazena suas políticas de rede, sua infraestrutura de certificados para EAP-TLS ou PEAP-MSCHAPv2 e suas políticas de solicitação de conexão. Funciona. É maduro. Mas vem com uma série de realidades operacionais que se acumulam com o tempo.

A primeira é a dependência de hardware. Seu servidor NPS é uma máquina física ou virtual que requer patches, planejamento de capacidade e eventual atualização de hardware. Em uma implantação de vários sites — por exemplo, um grupo de hotéis com propriedades em todo o país — você está executando um NPS centralizado com dependência de WAN ou implantando instâncias de NPS em cada site e gerenciando-as individualmente. Nenhuma das opções é elegante.

A segunda é a disponibilidade. Uma única instância de NPS é um ponto único de falha para toda a sua infraestrutura de autenticação. Sim, você pode implantar o NPS em um par de failover, mas isso dobra sua sobrecarga de hardware e licenciamento, e ainda não oferece a redundância geográfica que um serviço em nuvem fornece nativamente.

A terceira é a escalabilidade. O NPS foi projetado para ambientes de LAN corporativa. Quando você está lidando com milhares de solicitações de autenticação simultâneas durante um evento em um estádio ou um pico em um centro de convenções, as limitações de rendimento de uma única instância de NPS tornam-se muito evidentes. A latência de autenticação aumenta e os usuários experimentam falhas de conexão exatamente no momento em que você menos pode se dar ao luxo.

O RADIUS as a Service aborda todas essas três restrições arquitetonicamente. O provedor de RADIUS em nuvem executa um cluster distribuído e geo-redundante de servidores RADIUS. Seus pontos de acesso apontam para endpoints de RADIUS hospedados na nuvem, em vez de um servidor local. As solicitações de autenticação são balanceadas entre o cluster, e o failover é automático e transparente. O provedor cuida de patches, dimensionamento de capacidade e gerenciamento de certificados. Do seu ponto de vista como operador de rede, o RADIUS se torna um serviço consumido em vez de um componente gerenciado.

Os protocolos de autenticação em si não mudam. Você ainda está executando o IEEE 802.1X com EAP-TLS, PEAP-MSCHAPv2 ou EAP-TTLS, dependendo do mix de dispositivos dos seus clientes. A diferença é onde o servidor RADIUS reside e quem é responsável por sua continuidade operacional.

Há uma consideração de segurança importante aqui que quero abordar diretamente, porque ela surge em quase todas as conversas com clientes. Mover o RADIUS para a nuvem significa que seu tráfego de autenticação está atravessando a internet pública para alcançar o endpoint do RADIUS em nuvem. Isso é mitigado por meio de dois mecanismos. Primeiro, o tráfego RADIUS entre o Network Access Server e o servidor RADIUS é protegido usando um segredo compartilhado e autenticação de mensagem baseada em MD5. Segundo, e mais importante para implantações modernas, você deve executar o RadSec — RADIUS sobre TLS, definido na RFC 6614 — que envolve toda a conversa do RADIUS em um túnel TLS. Isso oferece criptografia na camada de transporte equivalente ao HTTPS, eliminando a vulnerabilidade do MD5 e fornecendo autenticação mútua entre o NAS e o servidor RADIUS. Qualquer provedor de RADIUS em nuvem que valha a pena considerar deve suportar o RadSec como padrão.

No lado da integração de identidade, os serviços de RADIUS em nuvem normalmente suportam conexões LDAP e LDAPS de volta ao seu Active Directory local, ou integração nativa com o Azure Active Directory e Entra ID via SAML ou SCIM. Isso significa que você não precisa migrar seu diretório de usuários — o serviço RADIUS em nuvem consulta seu repositório de identidade existente, mantendo seus processos atuais de gerenciamento de ciclo de vida de usuários.

Para organizações preocupadas com conformidade — e isso inclui qualquer pessoa que lide com dados de cartões de pagamento sob o PCI DSS ou dados pessoais sob a GDPR — os provedores de RADIUS em nuvem que possuem certificação SOC 2 Tipo II e credenciamento ISO 27001 oferecem uma postura de conformidade mais forte do que a maioria das organizações consegue alcançar com uma infraestrutura NPS autogerenciada.

---

SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS

Certo, vamos falar sobre como você realmente executa essa migração sem tirar sua infraestrutura de autenticação do ar.

A metodologia que recomendo é uma abordagem de cinco fases. A fase um é auditoria e inventário. Documente cada cliente RADIUS — cada ponto de acesso, cada switch, cada concentrador de VPN — junto com seu segredo compartilhado atual, o método EAP que está usando e quaisquer atributos específicos do fornecedor em suas políticas de NPS. Este é o trabalho menos glamoroso, mas ignorá-lo é a causa número um de falhas de migração.

A fase dois é a implantação piloto. Configure sua instância de RADIUS em nuvem e aponte um SSID que não seja de produção ou um único site de teste para ela. Valide se o seu método EAP funciona de ponta a ponta, se a sua integração de identidade está funcionando e se os seus dados de contabilização estão fluindo corretamente.

A fase três é a execução paralela. Esta é a etapa crítica de mitigação de risco. Configure seus pontos de acesso com o servidor NPS local e o servidor RADIUS em nuvem como destinos de autenticação, com o serviço em nuvem como primário e o NPS como contingência. Execute nessa configuração por no mínimo duas semanas durante um ciclo de negócios completo. Monitore as taxas de sucesso de autenticação, a latência e quaisquer discrepâncias de política.

A fase quatro é a transição definitiva. Remova a configuração de contingência do NPS e comprometa-se com o RADIUS em nuvem como sua única infraestrutura de autenticação. Faça isso durante uma janela de manutenção planejada e tenha um procedimento de rollback documentado e testado.

A fase cinco é a desativação. Depois de validar a operação estável por trinta dias após a transição, desative os servidores NPS e recupere os recursos de hardware ou de máquina virtual.

As armadilhas que vejo com mais frequência são: problemas na cadeia de confiança de certificados — especificamente, dispositivos clientes que não confiam no certificado do servidor RADIUS em nuvem porque a CA não está em seu repositório confiável. Resolva isso por meio do seu MDM ou Diretiva de Grupo antes da transição. A segunda armadilha comum são as regras de firewall. O RADIUS em nuvem requer UDP 1812 e 1813 de saída dos seus pontos de acesso para os endpoints em nuvem, ou TCP 2083 para RadSec. Certifique-se de que o perímetro da sua rede permita esse tráfego. Terceiro: complexidade do segredo compartilhado. Se os seus segredos compartilhados do NPS existentes forem fracos, use a migração como uma oportunidade para rotacionar para segredos criptograficamente fortes ou, melhor ainda, mude para o RadSec e elimine totalmente os segredos compartilhados.

---

SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS

Deixe-me passar pelas perguntas que recebo com mais frequência sobre este tema.

Podemos manter o Active Directory local? Sim, absolutamente. O RADIUS em nuvem se conecta ao seu AD local via LDAPS. Seu diretório permanece onde está.

O que acontece se nossa conexão de internet cair? Esta é a principal mudança de dependência. Com o RADIUS em nuvem, a conectividade com a internet torna-se uma dependência para a autenticação. Mitigue isso com links WAN redundantes ou um proxy RADIUS local que armazena em cache a autenticação para dispositivos conhecidos durante interrupções.

Isso afeta nossa conformidade com o PCI DSS? Mudar para um provedor de RADIUS em nuvem certificado normalmente melhora sua postura de conformidade. Certifique-se de que seu provedor possa fornecer relatórios SOC 2 Tipo II e que esteja incluído no escopo de sua avaliação anual do QSA.

Quanto tempo leva uma migração completa? Para um único site, de duas a quatro semanas. Para um parque multi-site de cinquenta ou mais locais, planeje de três a seis meses com uma implantação em fases.

---

SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS

Para encerrar: o argumento para migrar do NPS local para o RADIUS as a Service é convincente nos aspectos operacionais, financeiros e de conformidade. A migração em si é de baixo risco quando executada com uma fase estruturada de execução paralela. As principais decisões técnicas são a seleção do seu método EAP, sua abordagem de integração de identidade e se deve implementar o RadSec para segurança de transporte — o que eu recomendaria fortemente para qualquer nova implantação.

Seus próximos passos imediatos: realize a auditoria de seus clientes e políticas de RADIUS atuais, contate seu provedor de RADIUS em nuvem para obter um ambiente piloto e revise suas regras de firewall e cadeias de confiança de certificados antes de começar.

Para organizações que executam a plataforma de acesso de visitantes da Purple WiFi, a capacidade de RADIUS as a Service se integra diretamente com o fluxo de autenticação de WiFi de visitantes, oferecendo a você um único painel de controle tanto para a autenticação corporativa 802.1X quanto para o gerenciamento de acesso à rede de visitantes — com relatórios de análise e conformidade integrados.

Obrigado por ouvir. O guia de referência técnica completo está disponível no site da Purple, e nossa equipe de soluções está à disposição para uma conversa de escopo se você estiver pronto para seguir em frente.

---
FIM DO SCRIPT

Principais conclusões

✓O RADIUS as a Service elimina a dependência de hardware e a sobrecarga de manutenção dos servidores NPS locais.
✓O Cloud RADIUS oferece redundância geográfica nativa e escalabilidade elástica para ambientes de alta densidade.
✓A implementação do RadSec (TCP 2083) é essencial para proteger o tráfego de autenticação pela internet pública.
✓O Cloud RADIUS se integra perfeitamente com repositórios de identidade existentes, como Entra ID e Active Directory via LDAPS/SAML.
✓Uma migração estruturada em 5 fases — incluindo uma fase crítica de execução paralela — garante tempo de inatividade zero durante a transição.
✓A migração para a nuvem normalmente reduz o OpEx da infraestrutura de autenticação em 60% a 80%.
✓O Cloud RADIUS melhora a postura de conformidade para padrões como PCI DSS e GDPR por meio de auditoria centralizada e registro de acessos.

執行摘要

近二十年來，Microsoft 的網路原則伺服器 (NPS) 一直是企業網路的預設 RADIUS 實作。然而，隨著場域營運商在分散的據點（從零售連鎖店到全球餐旅集團）進行擴充，管理地端驗證基礎架構的營運負擔已成為一項重大責任。

遷移至 RADIUS as a Service 將驗證從受管理的硬體元件轉變為取用的雲端服務。這種架構轉型消除了獨立 NPS 部署中固有的單一故障點，免除了硬體更新週期，並提供了體育場和會議中心等高密度環境所需的彈性擴充能力。對於 IT 經理和網路架構師，本指南提供了一套廠商中立、結構化的方法，可在不影響生產流量的情況下，將 802.1X 驗證遷移至雲端，確保符合 PCI DSS 和 GDPR，並將驗證基礎架構的營運成本 (OpEx) 降低高達 80%。

技術深入探討：架構與標準

要了解此遷移，我們必須首先檢視 IEEE 802.1X 埠型存取控制交付方式的架構轉變。

地端 NPS 的限制

在傳統部署中，存取點充當網路存取伺服器 (NAS)，將驗證請求轉發到地端 NPS 伺服器。NPS 伺服器評估連線要求原則，比對身分識別存放區（通常是透過 LDAP 的 Active Directory）驗證憑證，並傳回 Access-Accept 或 Access-Reject 訊息。

此模型對現代網路提出了三個關鍵限制：

硬體依賴與維護：NPS 需要專用的實體或虛擬機器，需要持續的修補、容量規劃和生命週期管理。
高可用性複雜度：實現備援需要將 NPS 部署在容錯移轉配對中，這會使授權成本加倍，卻無法提供真正的地理備援。
吞吐量瓶頸：在尖峰並行期間（例如體育場入場或零售尖峰營業時間），單一 NPS 執行個體可能會成為瓶頸，導致驗證逾時和使用者體驗下降。

雲端 RADIUS 架構

RADIUS as a Service 抽象化了驗證層。雲端供應商營運分散式、地理備援的 RADIUS 伺服器叢集。NAS 指向這些雲端端點，且請求會自動進行負載平衡。

傳輸安全：RadSec 的角色 當將 RADIUS 移至雲端時，驗證流量會經過公開網路。雖然傳統的 RADIUS 使用共享金鑰和 MD5 雜湊，但現代部署必須實作 RadSec（RADIUS over TLS，RFC 6614）。RadSec 將整個 RADIUS 對話封裝在 TLS 通道中（通常為 TCP 連接埠 2083），提供等同於 HTTPS 的傳輸層加密，以及 NAS 與雲端 RADIUS 端點之間的雙向驗證。

身分整合 雲端 RADIUS 不需要遷移您的使用者目錄。服務通常支援連回本地 Active Directory 的 LDAPS 連線，或透過 SAML 或 SCIM 與 Azure Active Directory (Entra ID) 進行原生 API 整合。這可確保您現有的使用者生命週期管理流程保持不變。

對於利用 Guest WiFi 平台的場域，雲端 RADIUS 可直接整合，為企業 802.1X 驗證和訪客網路存取提供統一的控制介面，並配有先進的 WiFi Analytics 。

實作指南：五階段方法論

在不中斷服務的情況下執行遷移，需要結構化、分階段的方法。

第一階段：稽核與盤點

在進行任何變更之前，請記錄目前的狀態：

RADIUS 用戶端：識別每個 NAS（無線基地台、交換器、VPN 集中器）。
原則：記錄現有的 NPS 連線要求和網路原則，包括用於 VLAN 指派的廠商專屬屬性 (VSA)。
EAP 方法：識別正在使用哪些可延伸驗證協定方法（例如 EAP-TLS、PEAP-MSCHAPv2）。

第二階段：試點部署

佈建雲端 RADIUS 執行個體，並設定非生產 SSID 或單一測試站點。驗證身分目錄整合（例如 Entra ID 同步），並確保 EAP 方法端到端正常運作。

第三階段：平行運作（風險緩釋）

將生產環境的 NAS 裝置設定為同時使用雲端 RADIUS 伺服器（主要）和舊版 NPS 伺服器（備用）。維持此設定運作至少兩週。監控驗證成功率、延遲指標和計費資料流，以便在切換前識別任何原則差異。

第四階段：切換

在排定的維護視窗期間，從 NAS 裝置中移除舊版 NPS 備用設定。完全切換至雲端基礎架構。確保您的還原程序已記錄並經過測試。

第五階段：除役

在穩定運作 30 天后，安全地將舊版 NPS 伺服器除役並回收運算資源。

最佳實踐與合規性

在設計您的雲端 RADIUS 架構時，請遵循以下標準：

強制使用 RadSec：如果您的 NAS 硬體支援 RadSec (TCP 2083)，切勿使用標準 UDP 1812/1813 透過公用網際網路傳送 RADIUS 流量。
憑證信任鏈：確保用戶端裝置信任核發雲端 RADIUS 伺服器憑證的憑證授權單位 (CA)。在移轉前，透過 MDM 或群組原則將根 CA 推送至受管理裝置。
合規性態勢：選擇維持 SOC 2 Type II 認證與 ISO 27001 認證的雲端 RADIUS 供應商。這能大幅簡化您的年度 PCI DSS 評估，特別是針對零售與旅宿環境。

如需更廣泛的網路設計原則，請參閱我們的指南：企業 WiFi 設定：2026 年指南以及了解 RSSI 與訊號強度以進行最佳通道規劃。

疑難排解與風險緩釋

故障模式	根本原因	緩釋策略
驗證逾時	防火牆阻擋了連外的 UDP 1812/1813 或 TCP 2083。	驗證周邊防火牆規則是否允許連外流量傳送至雲端 RADIUS 供應商的特定 IP 範圍。
憑證信任錯誤	用戶端裝置的信任存放區中缺少根 CA。	在第 3 階段（平行運作）之前，透過 MDM/GPO 部署根 CA。
VLAN 指派失敗	廠商特定屬性 (VSA) 未在雲端原則中正確對應。	在第 1 階段期間，將 NPS 的確切 VSA 字串格式複製到雲端 RADIUS 原則引擎中。
WAN 中斷影響	失去網際網路連線導致無法存取雲端 RADIUS。	部署備援 WAN 連結，或實作可為已知裝置快取憑證的本機 RADIUS 代理伺服器。

投資報酬率與業務影響

移轉至 RADIUS 即服務 (RADIUS as a Service) 可帶來可衡量的業務成果：

降低成本：免除硬體採購、Windows Server 授權，以及花費在修補和維護上的工程工時。典型的營運費用 (OpEx) 可減少 60-80%。
可靠性 SLA：雲端供應商提供具財務保障的 99.99% 可用性 SLA，而單一站點 NPS 部署的典型可用性僅為 97-98%。
敏捷性：無需配置本機驗證硬體即可立即讓新站點上線，從而縮短交通運輸樞紐與醫療保健機構的部署時程。

歡迎收聽我們的資深顧問團隊在這份 10 分鐘的簡報中討論策略性影響：

Definições principais

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam e utilizam um serviço de rede.

O protocolo principal usado por redes WiFi corporativas para validar as credenciais do usuário antes de conceder acesso à rede.

NPS (Network Policy Server)

A implementação da Microsoft de um servidor e proxy RADIUS, incluída como uma função no Windows Server.

A infraestrutura legada local da qual as organizações estão migrando ativamente para reduzir a sobrecarga de manutenção.

NAS (Network Access Server)

O dispositivo que atua como gateway para a rede e repassa as solicitações de autenticação para o servidor RADIUS.

Em um contexto sem fio, o NAS é normalmente o Ponto de Acesso WiFi ou o Controlador de LAN Sem Fio.

RadSec (RADIUS over TLS)

Um protocolo definido na RFC 6614 que transporta pacotes RADIUS sobre uma conexão TCP criptografada com TLS.

Essencial para implantações de RADIUS em nuvem para garantir que os dados de credenciais sejam criptografados ao trafegar pela internet pública.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente usada em redes sem fio e conexões ponto a ponto.

Determina como o cliente e o servidor trocam credenciais de forma segura (por exemplo, certificados via EAP-TLS ou senhas via PEAP).

VSA (Vendor-Specific Attribute)

Atributos personalizados definidos por fornecedores de hardware dentro do protocolo RADIUS para suportar recursos proprietários.

Crucial durante a migração; as VSAs são frequentemente usadas para atribuir usuários autenticados a VLANs de rede específicas de forma dinâmica.

LDAPS (Lightweight Directory Access Protocol over SSL)

Um protocolo seguro para consultar e modificar serviços de diretório como o Active Directory.

Usado por serviços RADIUS em nuvem para consultar com segurança repositórios de identidade locais sem migrar o diretório de usuários para a nuvem.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta (PNAC).

O padrão subjacente que usa RADIUS para garantir que apenas dispositivos autenticados possam trafegar dados na LAN ou WLAN corporativa.

Exemplos práticos

Um grupo hoteleiro de 200 propriedades atualmente executa servidores NPS locais em cada site para autenticação 802.1X de funcionários. Eles estão migrando para o Entra ID (Azure AD) e desejam desativar os servidores locais. Como devem abordar a migração?

Implante um serviço RADIUS em nuvem que se integre nativamente com o Entra ID via SAML/SCIM.
Configure as políticas do RADIUS em nuvem para mapear grupos do Entra ID (ex: 'Recepção', 'Gerência') para VSAs de VLAN específicas.
Em uma propriedade piloto, configure os pontos de acesso para usar RadSec para conectar-se ao endpoint do RADIUS em nuvem.
Envie a CA Raiz do servidor RADIUS em nuvem para todos os dispositivos dos funcionários via Microsoft Intune.
Execute a autenticação paralela no site piloto e, em seguida, realize uma implantação em fases nas 199 propriedades restantes.

Comentário do examinador: Esta abordagem remove 200 servidores físicos/virtuais do parque tecnológico, reduzindo drasticamente a superfície de ataque e a sobrecarga de manutenção. A integração direta com o Entra ID elimina a necessidade de VPNs site-to-site complexas de volta a um Active Directory central.

Um estádio com capacidade para 50.000 pessoas apresenta falhas de autenticação em seu SSID corporativo durante grandes eventos porque seu servidor NPS local não consegue lidar com o rendimento de milhares de dispositivos em roaming simultâneo.

Realize uma auditoria nas políticas de NPS e métodos EAP existentes.
Provisione um serviço RADIUS em nuvem capaz de realizar auto-scaling para lidar com altas autenticações por segundo (APS).
Estabeleça uma conexão LDAPS do serviço RADIUS em nuvem para o Active Directory local do estádio.
Atualize os controladores de LAN sem fio de alta densidade do estádio para apontar para os endpoints do RADIUS em nuvem como os servidores de autenticação primários.

Comentário do examinador: Ao descarregar o processamento do RADIUS para um cluster em nuvem, o estádio aproveita recursos de computação elástica que escalam dinamicamente durante a entrada do evento, resolvendo o gargalo sem exigir que o local superprovisione hardware local caro.

Questões práticas

Q1. Sua organização está migrando para o Cloud RADIUS. A equipe de segurança exige que nenhum tráfego de autenticação seja enviado pela internet em texto simples ou usando algoritmos de hash obsoletos como o MD5. Qual protocolo você deve configurar em seus controladores de LAN sem fio?

Dica: Procure pelo protocolo que envolve o RADIUS em um túnel TLS.

Ver resposta modelo

Você deve configurar o RadSec (RADIUS over TLS). O RadSec estabelece um túnel TLS sobre a porta TCP 2083 entre o NAS e o servidor RADIUS em nuvem, fornecendo criptografia na camada de transporte e autenticação mútua, atendendo aos requisitos da equipe de segurança.

Q2. Durante a Fase 3 (Execução Paralela) da sua migração, você percebe que os usuários estão se autenticando com sucesso no servidor RADIUS em nuvem, mas não estão sendo colocados nos segmentos de rede corretos. Qual é a lacuna de configuração mais provável?

Dica: Como um servidor RADIUS informa a um ponto de acesso qual segmento de rede usar?

Ver resposta modelo

Os Atributos Específicos do Fornecedor (VSAs) para atribuição dinâmica de VLAN não foram configurados corretamente nas políticas do RADIUS em nuvem. Você deve garantir que as strings exatas de VSA usadas no servidor NPS legado sejam replicadas no ambiente em nuvem para que o NAS saiba qual VLAN atribuir ao usuário.

Q3. Um dispositivo cliente está falhando repetidamente na autenticação EAP-TLS no novo serviço RADIUS em nuvem, mas funciona normalmente no servidor NPS legado. Os logs do dispositivo mostram um erro de 'servidor não confiável'. Como você resolve isso?

Dica: O EAP-TLS exige que o cliente confie na identidade do servidor.

Ver resposta modelo

O dispositivo cliente não possui a Autoridade Certificadora (CA) Raiz que emitiu o certificado do servidor RADIUS em nuvem em seu repositório de raízes confiáveis. Você deve implantar a CA Raiz no dispositivo cliente usando uma solução de Gerenciamento de Dispositivos Móveis (MDM) ou Diretiva de Grupo.

Continue a ler esta série

Os Benefícios de Segurança do RADIUS como Serviço para Forças de Trabalho Híbridas

Este guia de referência técnica explica como o RADIUS como Serviço protege o acesso à rede para forças de trabalho híbridas em locais distribuídos. Ele aborda a arquitetura, os benefícios de segurança e as etapas de implantação para substituir a infraestrutura de RADIUS local por um serviço de autenticação gerenciado na nuvem. Para gerentes de TI e arquitetos de rede em hotéis, redes de varejo, estádios e organizações do setor público, este guia fornece as evidências necessárias para avaliar e agir em uma migração para o RADIUS na nuvem neste trimestre.

Integrando RADIUS as a Service com Diretórios em Nuvem (Azure AD e Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios em nuvem - Microsoft Entra ID e Google Workspace - para autenticação WiFi corporativa. Ele aborda a transição arquitetônica do NPS local para o RADIUS nativo da nuvem, a implantação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fio em ambientes de hotelaria, varejo e setor público. Para gerentes de TI e arquitetos de rede que já investem em identidade em nuvem, este guia preenche a lacuna entre o gerenciamento de diretórios e a segurança de rede física.

Como Implementar a Autenticação 802.1X com Cloud RADIUS

Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades corporativas distribuídas. Ele detalha a arquitetura, a seleção do método EAP, o sequenciamento de implantação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando a sobrecarga operacional da infraestrutura local.