Como Configurar Azure Entra ID (Azure AD) para Autenticação WiFi
Este guia de autoridade detalha a arquitetura, as etapas de implementação e o impacto nos negócios da integração do Azure Entra ID com 802.1X para autenticação WiFi corporativa. Ele fornece aos arquitetos de rede e gerentes de TI estratégias práticas de implantação, substituindo PSKs herdadas por acesso à rede baseado em certificado com abordagem zero trust.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Detalhamento Técnico
- A Transição de Credenciais para Certificados Digitais
- A Ponte Arquitetônica: RADIUS e Entra ID
- Guia de Implementação
- Passo 1: Estabelecer a Infraestrutura de Chaves Públicas (PKI)
- Passo 2: Configurar o Servidor RADIUS
- Passo 3: Implantar Perfis MDM via Intune
- Passo 4: Configurar o Wireless LAN Controller (WLC)
- Melhores Práticas
- Resolução de Problemas e Mitigação de Riscos
- ROI e Impacto nos Negócios
- Referências

Resumo Executivo
Para CTOs e arquitetos de rede que gerenciam ambientes complexos - de grandes espaços de hospitalidade a áreas dinâmicas de varejo - proteger a rede corporativa não é mais apenas uma questão de senhas fortes. As chaves pré-compartilhadas (PSKs) tradicionais e a validação básica de credenciais são fundamentalmente incompatíveis com a arquitetura zero-trust moderna.
Este guia detalha a transição para a autenticação WiFi baseada em certificado 802.1X integrada diretamente com o Azure Entra ID (antigo Azure AD). Ao migrar para o EAP-TLS (Extensible Authentication Protocol com Transport Layer Security), as empresas podem eliminar os riscos associados ao roubo de credenciais, automatizar o registro de dispositivos via Gerenciamento de Dispositivos Móveis (MDM) e garantir que apenas dispositivos gerenciados e em conformidade possam acessar VLANs corporativas confidenciais. Exploramos a arquitetura técnica, as etapas de implantação e como essa postura de segurança empresarial opera em paralelo com estratégias de rede de convidados gerenciadas por plataformas como a Purple.
Detalhamento Técnico
A Transição de Credenciais para Certificados Digitais
Historicamente, o WiFi corporativo dependia do PEAP-MSCHAPv2, que exige que os usuários insiram suas credenciais de domínio. No entanto, devido à sua suscetibilidade a ataques de adversário no meio (AiTM), a Microsoft está descontinuando ativamente a autenticação baseada em credenciais. O padrão atual do setor é o EAP-TLS, que usa validação mútua de certificados.
Em uma implantação EAP-TLS, tanto o servidor RADIUS quanto o dispositivo cliente apresentam certificados digitais. Se um dispositivo não possuir um certificado válido emitido por sua Autoridade Certificadora (CA) confiável, o servidor RADIUS rejeitará a conexão antes mesmo que o dispositivo obtenha um endereço IP.

A Ponte Arquitetônica: RADIUS e Entra ID
O Azure Entra ID é um provedor de identidade (IdP) em nuvem que usa protocolos modernos como SAML e OIDC; ele não se comunica nativamente usando o protocolo RADIUS utilizado pelos pontos de acesso sem fio (WAPs). Para preencher essa lacuna, os arquitetos de rede devem implantar um servidor RADIUS capaz de se comunicar com o Entra ID. Isso geralmente é alcançado por meio de:
- Soluções Cloud RADIUS: Plataformas desenvolvidas sob medida (como SecureW2, SCEPman ou Portnox) que se integram diretamente com o Entra ID e o Intune via APIs.
- Network Policy Server (NPS) local: Usando a extensão Azure MFA, embora isso seja cada vez mais considerado uma abordagem legada em comparação com o RADIUS nativo da nuvem.

Guia de Implementação
A implantação do Microsoft Entra ID para autenticação WiFi exige coordenação entre as equipes de identidade, gerenciamento de dispositivos e infraestrutura de rede.
Passo 1: Estabelecer a Infraestrutura de Chaves Públicas (PKI)
Você deve estabelecer uma CA para emitir certificados de cliente e servidor. Em ambientes que priorizam a nuvem, isso geralmente é uma PKI em nuvem integrada ao Microsoft Intune via Simple Certificate Enrolment Protocol (SCEP).
Passo 2: Configurar o Servidor RADIUS
Implante sua infraestrutura RADIUS e vincule-a ao seu tenant do Entra ID. O servidor RADIUS precisa de seu próprio certificado de servidor - confiável para seus dispositivos clientes - para provar sua identidade durante o handshake EAP.
Passo 3: Implantar Perfis MDM via Intune
Não dependa de os usuários configurarem suas configurações de WiFi manualmente. Use o Intune para enviar um perfil de WiFi completo contendo:
- O certificado da CA raiz confiável.
- O perfil SCEP usado para solicitar o certificado do cliente.
- A própria configuração de WiFi, definindo explicitamente o SSID e os nomes exatos de servidor da infraestrutura RADIUS para evitar ataques do tipo Evil Twin.
Passo 4: Configurar o Wireless LAN Controller (WLC)
Configure seus pontos de acesso ou WLC para usar WPA2/WPA3-Enterprise (802.1X). Direcione o tráfego de autenticação e tarifação para os novos endereços IP do seu servidor RADIUS e defina o segredo compartilhado do RADIUS.
> "Ao configurar o 802.1X, certifique-se de que os valores de timeout do RADIUS no WLC sejam suficientes para a latência da validação de certificados na nuvem, geralmente aumentando de 2 segundos para 5 segundos." [1]
Melhores Práticas
- Isole o tráfego corporativo e de convidados: Dispositivos corporativos devem usar 802.1X vinculado ao Entra ID. Dispositivos de convidados devem usar um SSID aberto com um Captive Portal. Para um acesso robusto de convidados e análises, utilize uma solução de Guest WiFi . Isso garante o isolamento completo do tráfego não confiável.
- Implemente o MAC Authentication Bypass (MAB) com cautela: Dispositivos IoT e hardware legado - como scanners mais antigos em hubs de transporte - muitas vezes não conseguem suportar o 802.1X. Coloque esses dispositivos em um SSID separado usando MAB ou uma PSK dedicada e restrinja seu acesso à rede com ACLs rígidas.
- Priorize a revogação de certificados: Certifique-se de que seus endpoints de Lista de Revogação de Certificados (CRL) ou Online Certificate Status Protocol (OCSP) estejam altamente disponíveis. Se o servidor RADIUS não puder verificar o status de revogação, a autenticação falhará.
Resolução de Problemas e Mitigação de Riscos
Quando as implantações falham, raramente a culpa é do IdP em nuvem. Os modos de falha comuns incluem:
- Divergência de horário (clock skew): O EAP-TLS é extremamente sensível ao tempo. Certifique-se de que todos os componentes de infraestrutura - particularmente WLCs e servidores RADIUS - estejam sincronizados via NTP.
- Latência de sincronização do Intune: Ao registrar novos dispositivos, pode haver um atraso entre a emissão do certificado SCEP e a tentativa de conexão do dispositivo. Planeje esse atraso durante o onboarding.
- Incompatibilidade de nome do servidor RADIUS: Se o nome do servidor definido no perfil de WiFi do Intune não corresponder exatamente ao Common Name (CN) ou ao Subject Alternative Name (SAN) no certificado do servidor RADIUS, os clientes se desconectarão silenciosamente para se proteger contra APs maliciosos.
Para uma análise mais detalhada sobre como proteger sua infraestrutura, consulte nosso guia sobre como proteger sua rede com DNS robusto e segurança .
ROI e Impacto nos Negócios
A transição para a autenticação WiFi do Azure Entra ID traz benefícios significativos:
- Redução de custos com suporte (helpdesk): A eliminação da autenticação baseada em senha reduz drasticamente os chamados de suporte relacionados a bloqueios de senha e renovações de credenciais de WiFi.
- Conformidade acelerada: O EAP-TLS fornece a prova criptográfica de identidade exigida por frameworks como PCI-DSS e ISO 27001, o que é essencial em ambientes de saúde e varejo.
- Desligamento automatizado: Quando um funcionário se desliga, a desativação de sua conta no Entra ID revoga instantaneamente seu acesso à rede em todas as localidades, reduzindo ameaças internas.
Ao proteger a rede corporativa principal, as equipes de TI podem se concentrar em iniciativas que geram receita, como o uso de WiFi Analytics para entender o comportamento dos visitantes e impulsionar o engajamento.
Referências
[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.
Definições principais
802.1X
Um padrão IEEE para controle de acesso à rede baseado em porta, exigindo que os dispositivos se autentiquem antes de obter acesso à LAN ou WLAN.
Este é o protocolo subjacente que torna o WiFi corporativo seguro, indo além de simples senhas compartilhadas.
EAP-TLS
Extensible Authentication Protocol com Transport Layer Security. Um método de autenticação que exige certificados digitais tanto no cliente quanto no servidor.
Considerado o método mais seguro para autenticação WiFi, evitando o roubo de credenciais e ataques AiTM.
RADIUS
Remote Authentication Dial-In User Service. Um protocolo de rede que fornece Autenticação, Autorização e Auditoria (AAA) centralizadas.
O protocolo que seus Access Points usam para perguntar ao servidor de autenticação, "Devo permitir este dispositivo na rede?"
SCEP
Simple Certificate Enrollment Protocol. Um protocolo usado para emitir certificados de forma segura para dispositivos de rede.
Usado por plataformas de MDM como o Intune para solicitar e instalar silenciosamente certificados de cliente em notebooks e telefones corporativos.
MAC Authentication Bypass (MAB)
Um método de concessão de acesso à rede com base no endereço MAC do dispositivo, em vez de um nome de usuário ou certificado.
Usado como alternativa para dispositivos legados (como impressoras antigas ou sensores de IoT) que não possuem o software para realizar um handshake 802.1X.
Ataque de Evil Twin
Um ponto de acesso não autorizado (rogue) que se passa por um SSID corporativo legítimo para interceptar tráfego ou roubar credenciais.
O EAP-TLS mitiga isso porque o dispositivo cliente é configurado para confiar apenas no certificado específico do servidor RADIUS corporativo legítimo.
Suplicante (Supplicant)
O cliente de software no dispositivo final (por exemplo, o gerenciador WiFi do Windows) que lida com o processo de autenticação 802.1X.
As equipes de TI devem configurar o suplicante via MDM para garantir que ele se comporte de maneira segura e não solicite que os usuários aceitem certificados de servidor não confiáveis.
Acesso Condicional
Políticas do Azure Entra ID que avaliam sinais (usuário, localização, conformidade do dispositivo) para tomar decisões de acesso.
As soluções modernas de Cloud RADIUS podem verificar o Acesso Condicional durante o handshake do WiFi, negando o acesso à rede se o Intune sinalizar o dispositivo como não conforme.
Exemplos práticos
Uma rede de varejo com 500 lojas precisa proteger iPads da área administrativa usados para gerenciamento de estoque. Atualmente, eles usam uma única PSK compartilhada em todas as lojas. Como devem migrar para a autenticação Azure Entra ID?
- Cadastre todos os iPads no Microsoft Intune.
- Implante uma solução Cloud RADIUS integrada ao tenant corporativo Entra ID.
- Configure o Intune para implantar um certificado SCEP em cada iPad.
- Publique um perfil de WiFi via Intune que configure os iPads para se conectarem ao SSID 'Corporate-BOH' usando EAP-TLS, validando o certificado do servidor Cloud RADIUS.
- Atualize os pontos de acesso Meraki/Aruba em todas as 500 lojas para apontar para os endereços IP do Cloud RADIUS para o SSID 'Corporate-BOH'.
- Implantação em fases: ative o novo SSID, verifique a conectividade dos iPads por meio dos relatórios do Intune e desative o SSID com a PSK antiga.
Um campus universitário está migrando do Active Directory local para o Azure Entra ID. Eles têm milhares de notebooks de estudantes no modelo BYOD (Bring Your Own Device) que atualmente se conectam usando PEAP-MSCHAPv2 (usuário e senha). Como eles devem lidar com BYOD em um ambiente Entra ID prioritariamente em nuvem?
- Implante um portal de integração (por exemplo, SecureW2 JoinNow ou ferramenta de integração BYOD semelhante).
- Os alunos se conectam a um SSID 'Onboarding' aberto, que os redireciona para o portal.
- O portal solicita que o aluno se autentique no Azure Entra ID (usando o e-mail universitário e MFA).
- Após a autenticação bem-sucedida, o portal gera um certificado de cliente exclusivo e configura automaticamente o dispositivo do aluno para EAP-TLS.
- O dispositivo se conecta automaticamente ao SSID seguro 'Edu-Secure' usando o novo certificado.
Questões práticas
Q1. Sua organização está migrando para o Azure Entra ID e Intune. Atualmente, você usa PEAP-MSCHAPv2 para WiFi. A equipe de segurança exige que a autenticação WiFi seja resistente ao roubo de credenciais. Qual método EAP você deve implantar?
Dica: Qual método depende inteiramente de certificados em vez de senhas?
Ver resposta modelo
Você deve implantar o EAP-TLS. O EAP-TLS usa autenticação mútua por certificado, o que significa que o dispositivo cliente deve apresentar um certificado válido emitido por sua PKI. Como não utiliza senhas, é altamente resistente ao roubo de credenciais e a ataques de adversário no meio (Adversary-in-the-Middle).
Q2. Após implantar o EAP-TLS via Intune, os usuários relatam que não conseguem se conectar ao WiFi. Olhando os logs do RADIUS, você vê "Falha na Verificação de Revogação de Certificado". Qual é a causa mais provável?
Dica: Com qual infraestrutura o servidor RADIUS deve se comunicar para verificar se um certificado não foi comprometido?
Ver resposta modelo
O servidor RADIUS não consegue acessar a Lista de Revogação de Certificados (CRL) ou o endpoint OCSP de sua Autoridade Certificadora. Certifique-se de que os firewalls permitam ao servidor RADIUS acesso de saída para as URLs HTTP especificadas nos certificados dos clientes.
Q3. Um hospital precisa conectar 50 monitores cardíacos antigos à rede. Esses dispositivos suportam apenas WPA2-Personal (Chave Pré-Compartilhada) e não podem ser registrados no Intune. Como você deve protegê-los enquanto mantém sua implantação do Entra ID 802.1X para notebooks corporativos?
Dica: Não misture tipos de autenticação no mesmo SSID.
Ver resposta modelo
Crie um SSID dedicado e separado especificamente para os dispositivos IoT médicos. Use uma Chave Pré-Compartilhada forte e exclusiva (ou Identity PSK/iPSK, se compatível com o fornecedor da sua rede) ou MAC Authentication Bypass (MAB). Fundamentalmente, posicione este SSID em uma VLAN altamente restrita com Listas de Controle de Acesso (ACLs) rígidas que apenas permitam que os monitores se comuniquem com seu servidor médico específico, bloqueando qualquer outro acesso lateral à rede.
Continue a ler esta série
Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários
Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.
Passpoint and OpenRoaming: Complete Guide
Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.
Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.