Migrando de RADIUS On-Premises (NPS) para RADIUS-as-a-Service
Este guia de autoridade detalha a arquitetura técnica, a metodologia de implementação e o impacto nos negócios da migração do Microsoft Network Policy Server (NPS) on-premises para um modelo RADIUS-as-a-Service nativo em nuvem. Ele fornece aos líderes de TI e arquitetos de rede estruturas práticas para reduzir os custos operacionais, eliminar pontos únicos de falha e proteger a autenticação corporativa em locais distribuídos.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada: Arquitetura e Padrões
- As Limitações do NPS Local
- Arquitetura de Cloud RADIUS
- Guia de Implantação: A Metodologia de 5 Fases
- Fase 1: Auditoria e Inventário
- Fase 2: Implantação Piloto
- Fase 3: Operação em Paralelo (Mitigação de Riscos)
- Fase 4: Migração Definitiva
- Fase 5: Desativação
- Boas Práticas e Conformidade
- Solução de Problemas e Mitigação de Riscos
- ROI e Impacto no Negócio

Resumo Executivo
Por quase duas décadas, o Network Policy Server (NPS) da Microsoft tem sido a implementação padrão de RADIUS para redes corporativas. No entanto, à medida que os operadores de locais se expandem em locais distribuídos - de redes de varejo a grupos globais de hotelaria - a carga operacional de gerenciar a infraestrutura de autenticação local tornou-se um passivo significativo.
A migração para o RADIUS-as-a-Service transforma a autenticação de um componente de hardware gerenciado em um serviço de nuvem consumido. Essa mudança arquitetônica elimina os pontos únicos de falha inerentes às implantações independentes de NPS, remove os ciclos de atualização de hardware e fornece a escalabilidade elástica necessária para ambientes de alta densidade, como estádios e centros de conferências. Para gerentes de TI e arquitetos de rede, este guia fornece uma metodologia estruturada e neutra em relação a fornecedores para migrar a autenticação 802.1X para a nuvem sem impactar o tráfego de produção, garantindo a conformidade com PCI-DSS e GDPR, e reduzindo o OpEx da infraestrutura de autenticação em até 80%.
Análise Técnica Detalhada: Arquitetura e Padrões
Para entender essa migração, devemos primeiro examinar a mudança arquitetônica na forma como o controle de acesso baseado em porta IEEE 802.1X é entregue.
As Limitações do NPS Local
Em uma implantação tradicional, o ponto de acesso atua como o Network Access Server (NAS), encaminhando as solicitações de autenticação para um servidor NPS local. O servidor NPS avalia as políticas de solicitação de conexão, valida as credenciais em relação ao armazenamento de identidade (normalmente o Active Directory via LDAP) e retorna uma mensagem de Access-Accept ou Access-Reject.
Este modelo apresenta três limitações críticas para as redes modernas:
- Dependência de hardware e manutenção: O NPS requer máquinas físicas ou virtuais dedicadas, exigindo patches contínuos, planejamento de capacidade e gerenciamento de ciclo de vida.
- Complexidade de alta disponibilidade: Alcançar a redundância requer a implantação do NPS em pares de failover, o que duplica os custos de licenciamento sem fornecer redundância geográfica real.
- Gargalos de taxa de transferência: Durante os picos de concorrência (como a entrada em estádios ou horários de pico de compras no varejo), uma única instância do NPS pode se tornar um gargalo, causando tempos limite de autenticação e uma experiência de usuário degradada.
Arquitetura de Cloud RADIUS
O RADIUS-as-a-Service abstrai a camada de autenticação. O provedor de nuvem opera clusters distribuídos e geograficamente redundantes de servidores RADIUS. O NAS aponta para esses endpoints em nuvem, e as solicitações são balanceadas de carga automaticamente.

Segurança de transporte: o papel do RadSec Quando o RADIUS migra para a nuvem, o tráfego de autenticação atravessa a internet pública. Enquanto o RADIUS legado depende de segredos compartilhados e hashing MD5, as implantações modernas devem implementar RadSec (RADIUS sobre TLS, RFC 6614). O RadSec encapsula toda a conversa RADIUS em um túnel TLS (normalmente porta TCP 2083), fornecendo criptografia na camada de transporte equivalente ao HTTPS, juntamente com autenticação mútua entre o NAS e o endpoint do RADIUS na nuvem.
Integração de identidade O RADIUS na nuvem não exige que você migre seu diretório de usuários. Os serviços normalmente oferecem suporte a conexões LDAPS de volta ao Active Directory local, ou integração nativa de API com o Azure Active Directory (Entra ID) via SAML ou SCIM. Isso garante que seus processos existentes de gerenciamento de ciclo de vida do usuário permaneçam inalterados.
Para locais que aproveitam uma plataforma de Guest WiFi , o RADIUS na nuvem se integra diretamente, fornecendo um painel de controle unificado tanto para a autenticação corporativa 802.1X quanto para o acesso de rede de convidados, completo com recursos avançados de WiFi Analytics .
Guia de Implantação: A Metodologia de 5 Fases
Executar a migração sem interrupção do serviço requer uma abordagem estruturada e em fases.

Fase 1: Auditoria e Inventário
Antes de fazer qualquer alteração, documente o estado atual:
- Clientes RADIUS: Identifique cada NAS (pontos de acesso sem fio, switches, concentradores VPN).
- Políticas: Documente as políticas de rede e solicitação de conexão NPS existentes, incluindo atributos específicos do fornecedor (VSAs) usados para atribuição de VLAN.
- Métodos EAP: Identifique quais métodos de Extensible Authentication Protocol estão em uso (por exemplo, EAP-TLS, PEAP-MSCHAPv2).
Fase 2: Implantação Piloto
Provisione a instância do RADIUS na nuvem e configure um SSID de não produção ou um único site de teste. Valide a integração do diretório de identidade (por exemplo, sincronização com o Microsoft Entra ID) e confirme se os métodos EAP funcionam corretamente de ponta a ponta.
Fase 3: Operação em Paralelo (Mitigação de Riscos)
Configure os dispositivos NAS de produção para usar os servidores RADIUS na nuvem (principal) e os servidores NPS legados (backup) simultaneamente. Mantenha essa configuração por no mínimo duas semanas. Monitore as taxas de sucesso de autenticação, métricas de latência e fluxos de dados de bilhetagem para identificar quaisquer discrepâncias de política antes da migração definitiva.
Fase 4: Migração Definitiva
Durante uma janela de manutenção programada, remova a configuração de backup do NPS legado dos dispositivos NAS. Faça a transição completa para a infraestrutura de nuvem. Certifique-se de que seu procedimento de rollback esteja documentado e testado.
Fase 5: Desativação
Após 30 dias de operação estável, desative com segurança os servidores NPS legados e recupere os recursos de computação.
Boas Práticas e Conformidade
Siga os seguintes padrões ao projetar sua arquitetura de RADIUS na nuvem:
- Exija RadSec: Se o hardware do seu NAS suportar RadSec (TCP 2083), nunca envie tráfego RADIUS pela internet pública usando o padrão UDP 1812/1813.
- Cadeia de confiança de certificados: Certifique-se de que os dispositivos clientes confiem na Autoridade Certificadora (CA) que emite os certificados do servidor RADIUS em nuvem. Envie a CA raiz para os dispositivos gerenciados via MDM ou Group Policy antes da migração.
- Postura de conformidade: Escolha um provedor de RADIUS em nuvem que mantenha a certificação SOC 2 Type II e ISO 27001. Isso simplifica significativamente suas avaliações anuais de PCI-DSS, especialmente para ambientes de varejo e hotelaria .
Para princípios mais amplos de design de rede, consulte nossos guias: Configurando WiFi para Empresas: Um Guia para 2026 e Entendendo RSSI e Força do Sinal para um Planejamento de Canal Ideal .
Solução de Problemas e Mitigação de Riscos
| Modo de falha | Causa raiz | Estratégia de mitigação |
|---|---|---|
| Timeouts de autenticação | Firewall bloqueando UDP 1812/1813 de saída ou TCP 2083. | Verifique se as regras do firewall de perímetro permitem tráfego de saída para as faixas de IP específicas do provedor de RADIUS em nuvem. |
| Erros de confiança de certificado | CA raiz ausente do repositório de confiança do dispositivo cliente. | Implante a CA raiz via MDM/GPO antes da Fase 3 (execução paralela). |
| Falhas de atribuição de VLAN | Atributos específicos do fornecedor (VSAs) não mapeados corretamente na política de nuvem. | Durante a Fase 1, replique os formatos exatos de string de VSA do NPS no mecanismo de política do RADIUS em nuvem. |
| Impacto de interrupção de WAN | A perda de conectividade com a internet impede o acesso ao RADIUS em nuvem. | Implante links WAN redundantes ou implemente um proxy RADIUS local que armazene em cache as credenciais de dispositivos conhecidos. |
ROI e Impacto no Negócio
A migração para RADIUS-as-a-Service proporciona resultados de negócios mensuráveis:
- Redução de custos: Elimina a aquisição de hardware, o licenciamento do Windows Server e as horas de engenharia gastas em correções e manutenção. As reduções típicas de OpEx são de 60-80%.
- SLAs de confiabilidade: Os provedores de nuvem oferecem SLAs de disponibilidade de 99,99% garantidos financeiramente, em comparação com a disponibilidade de 97-98% típica de uma implantação NPS em site único.
- Agilidade: Ative novos sites instantaneamente sem provisionar hardware de autenticação local, reduzindo os prazos de implantação para centros de transporte e organizações de saúde .
Ouça nossa equipe de consultores seniores discutir as implicações estratégicas neste briefing de 10 minutos:
Definições principais
RADIUS (Remote Authentication Dial-In User Service)
Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam e usam um serviço de rede.
O protocolo principal usado por redes WiFi corporativas para validar credenciais de usuários antes de conceder acesso à rede.
NPS (Network Policy Server)
A implementação da Microsoft de um servidor e proxy RADIUS, empacotada como uma função no Windows Server.
A infraestrutura legada on-premises da qual as organizações estão migrando ativamente para reduzir os custos de manutenção.
NAS (Network Access Server)
O dispositivo que atua como gateway para a rede e passa as solicitações de autenticação para o servidor RADIUS.
Em um contexto sem fio, o NAS é normalmente o Ponto de Acesso WiFi ou Controlador de LAN Sem Fio.
RadSec (RADIUS over TLS)
Um protocolo definido na RFC 6614 que transporta pacotes RADIUS sobre uma conexão TCP criptografada com TLS.
Essencial para implantações de RADIUS em nuvem para garantir que os dados das credenciais sejam criptografados ao trafegar pela internet pública.
EAP (Extensible Authentication Protocol)
Uma estrutura de autenticação frequentemente usada em redes sem fio e conexões ponto a ponto.
Determina como o cliente e o servidor trocam credenciais de forma segura (por exemplo, certificados via EAP-TLS ou senhas via PEAP).
VSA (Vendor-Specific Attribute)
Atributos personalizados definidos por fornecedores de hardware dentro do protocolo RADIUS para oferecer suporte a recursos proprietários.
Crucial durante a migração; VSAs são frequentemente usados para atribuir usuários autenticados a VLANs de rede específicas de forma dinâmica.
LDAPS (Lightweight Directory Access Protocol over SSL)
Um protocolo seguro para consultar e modificar serviços de diretório como Active Directory.
Usado por serviços de RADIUS na nuvem para consultar com segurança repositórios de identidade locais sem migrar o diretório de usuários para a nuvem.
802.1X
Um padrão IEEE para controle de acesso à rede baseado em porta (PNAC).
O padrão subjacente que usa RADIUS para garantir que apenas dispositivos autenticados possam trafegar dados na LAN ou WLAN corporativa.
Exemplos práticos
Um grupo hoteleiro de 200 propriedades atualmente executa servidores NPS locais em cada local para autenticação 802.1X de funcionários. Eles estão migrando para o Entra ID (Azure AD) e desejam desativar os servidores locais. Como eles devem abordar a migração?
- Implantar um serviço de RADIUS em nuvem que se integre nativamente com o Entra ID via SAML/SCIM.
- Configurar as políticas de RADIUS em nuvem para mapear grupos do Entra ID (por exemplo, 'Front Desk', 'Management') para VSAs de VLAN específicos.
- Em uma propriedade piloto, configurar os pontos de acesso para usar RadSec para se conectar ao endpoint de RADIUS em nuvem.
- Enviar a CA Raiz do servidor RADIUS em nuvem para todos os dispositivos dos funcionários via Microsoft Intune.
- Executar autenticação paralela no local piloto e, em seguida, realizar uma implantação em fases nas 199 propriedades restantes.
Um estádio com capacidade para 50.000 pessoas apresenta falhas de autenticação em seu SSID corporativo durante grandes eventos porque seu servidor NPS on-premises não consegue lidar com o rendimento de milhares de dispositivos em roaming simultâneo.
- Auditar as políticas de NPS e métodos EAP existentes.
- Provisionar um serviço de RADIUS em nuvem capaz de realizar dimensionamento automático para lidar com altas taxas de autenticações por segundo (APS).
- Estabelecer uma conexão LDAPS do serviço de RADIUS em nuvem para o Active Directory on-premises do estádio.
- Atualizar os controladores de LAN sem fio de alta densidade do estádio para apontar para os endpoints de RADIUS em nuvem como os servidores de autenticação primários.
Questões práticas
Q1. Sua organização está migrando para o Cloud RADIUS. A equipe de segurança exige que nenhum tráfego de autenticação possa ser enviado pela internet em texto claro ou usando algoritmos de hash obsoletos como MD5. Qual protocolo você deve configurar em seus controladores de LAN sem fio?
Dica: Procure pelo protocolo que envolve o RADIUS em um túnel TLS.
Ver resposta modelo
Você deve configurar o RadSec (RADIUS sobre TLS). O RadSec estabelece um túnel TLS sobre a porta TCP 2083 entre o NAS e o servidor RADIUS na nuvem, fornecendo criptografia na camada de transporte e autenticação mútua, atendendo aos requisitos da equipe de segurança.
Q2. Durante a Fase 3 (Execução Paralela) da sua migração, você percebe que os usuários estão se autenticando com sucesso no servidor RADIUS na nuvem, mas não estão sendo colocados nos segmentos de rede corretos. Qual é a lacuna de configuração mais provável?
Dica: Como um servidor RADIUS informa a um ponto de acesso qual segmento de rede usar?
Ver resposta modelo
Os Atributos Específicos do Fabricante (VSAs) para atribuição dinâmica de VLAN não foram configurados corretamente nas políticas do RADIUS na nuvem. Você deve garantir que as strings de VSA exatas usadas no servidor NPS herdado sejam replicadas no ambiente de nuvem para que o NAS saiba qual VLAN atribuir ao usuário.
Q3. Um dispositivo cliente está falhando repetidamente na autenticação EAP-TLS contra o novo serviço RADIUS na nuvem, mas funciona perfeitamente contra o servidor NPS herdado. Os logs do dispositivo mostram um erro de "servidor não confiável". Como você resolve isso?
Dica: O EAP-TLS exige que o cliente confie na identidade do servidor.
Ver resposta modelo
O dispositivo cliente não possui a Autoridade Certificadora Raiz (CA) que emitiu o certificado do servidor RADIUS na nuvem em seu repositório de raiz confiável. Você deve implantar a CA Raiz no dispositivo cliente usando uma solução de Gerenciamento de Dispositivos Móveis (MDM) ou Diretiva de Grupo.
Continue a ler esta série
Os Benefícios de Segurança do RADIUS como Serviço para Forças de Trabalho Híbridas
Este guia de referência técnica explica como o RADIUS como Serviço protege o acesso à rede para forças de trabalho híbridas em locais distribuídos. Ele aborda a arquitetura, os benefícios de segurança e as etapas de implantação para substituir a infraestrutura de RADIUS local por um serviço de autenticação gerenciado na nuvem. Para gerentes de TI e arquitetos de rede em hotéis, redes de varejo, estádios e organizações do setor público, este guia fornece as evidências necessárias para avaliar e agir em uma migração para o RADIUS na nuvem neste trimestre.
Integrando RADIUS as a Service com Diretórios em Nuvem (Azure AD e Google Workspace)
Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios em nuvem - Microsoft Entra ID e Google Workspace - para autenticação WiFi corporativa. Ele aborda a transição arquitetônica do NPS local para o RADIUS nativo da nuvem, a implantação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fio em ambientes de hotelaria, varejo e setor público. Para gerentes de TI e arquitetos de rede que já investem em identidade em nuvem, este guia preenche a lacuna entre o gerenciamento de diretórios e a segurança de rede física.
Como Implementar a Autenticação 802.1X com Cloud RADIUS
Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades corporativas distribuídas. Ele detalha a arquitetura, a seleção do método EAP, o sequenciamento de implantação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando a sobrecarga operacional da infraestrutura local.