Autenticação WiFi empresarial sem Active Directory ou servidor local

Resumo executivo

A maioria das organizações migrou a sua identidade para a nuvem. O Microsoft Entra ID, o Okta e o Google Workspace gerem agora utilizadores, grupos e políticas de acesso para e-mail, aplicações SaaS e gestão de dispositivos. Mas o WiFi empresarial não acompanhou este ritmo. Os pontos de acesso ainda esperam um servidor RADIUS, e esse servidor RADIUS tem sido historicamente o Windows Network Policy Server (NPS) ligado a um controlador de domínio Active Directory local.

Esta incompatibilidade força as equipas de TI a manter uma infraestrutura local redundante apenas para manter o WiFi a funcionar. A solução é o cloud RADIUS: um serviço de autenticação totalmente gerido que comunica em RADIUS com os seus pontos de acesso e em OAuth2, SCIM e SAML com o seu fornecedor de identidade na nuvem. Combine-o com a entrega de certificados EAP-TLS através do seu MDM e terá uma implementação 802.1X completa, sem servidores locais, sem patches de SO e com revogação instantânea de acessos associada diretamente ao seu diretório na nuvem.

A Purple opera cloud RADIUS em mais de 80.000 locais globalmente, com 99,999% de tempo de atividade (dados internos da Purple, 2024) e integrações nativas com o Microsoft Entra ID, Okta e Google Workspace. Pode estar operacional nos seus pontos de acesso existentes Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet em menos de uma hora.

Análise técnica aprofundada

A incompatibilidade de protocolos no cerne do problema

O desafio fundamental é que os fornecedores de identidade na nuvem e os pontos de acesso WiFi comunicam em linguagens totalmente diferentes. O Microsoft Entra ID (anteriormente Azure AD) autentica utilizadores através de SAML, OIDC e OAuth2 - os protocolos que os browsers e as aplicações SaaS utilizam. Os pontos de acesso WiFi utilizam RADIUS (Remote Authentication Dial-In User Service, RFC 2865), um protocolo baseado em UDP concebido na década de 1990 para ligações dial-up e VPN. A Microsoft nunca disponibilizou um endpoint RADIUS nativo para o Entra ID. Não é possível apontar um ponto de acesso Meraki ou Aruba diretamente para o Azure e esperar que o 802.1X funcione.

Este é o obstáculo com que todas as equipas de TI focadas na nuvem se deparam quando tentam proteger o WiFi dos colaboradores com WPA2-Enterprise ou WPA3-Enterprise. Algo tem de fazer a ponte entre o ponto de acesso e o fornecedor de identidade na nuvem. Esse algo é o cloud RADIUS.

Por que razão o PEAP-MSCHAPv2 falha sem o Active Directory

Historicamente, as implementações 802.1X dependiam do PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2). O utilizador introduzia o seu nome de utilizador e palavra-passe, o ponto de acesso reencaminhava o pedido para o servidor RADIUS e o servidor RADIUS validava a palavra-passe em relação a um hash NTLM armazenado no Active Directory.

O Microsoft Entra ID não armazena hashes NTLM. Isto não é uma falha de configuração - é uma decisão arquitetural deliberada. O Entra ID é um fornecedor de identidade em nuvem moderno, não um controlador de domínio. Consequentemente, um servidor RADIUS apontado para o Entra ID não consegue validar um desafio PEAP-MSCHAPv2. A única forma de fazer o PEAP funcionar com o Entra ID é implementar o Entra Domain Services, um Active Directory gerido e pago que sincroniza a partir do Entra ID, e depois executar o NPS contra este. Isto reintroduz a maior parte do que estava a tentar eliminar: VMs de Windows Server, patching de SO, armazenamento de hashes NTLM e gestão manual de certificados.

EAP-TLS: a resposta certa para organizações cloud-first

O EAP-TLS (Extensible Authentication Protocol-Transport Layer Security, RFC 5216) substitui as palavras-passe por certificados digitais X.509. O dispositivo apresenta um certificado ao servidor RADIUS. O servidor RADIUS valida o certificado contra uma Autoridade de Certificação (CA) fidedigna. Como não existe palavra-passe na troca, o servidor RADIUS não necessita de um armazenamento de hashes NTLM. Apenas precisa de confiar na CA e de verificar a pertença a grupos do utilizador no fornecedor de identidade para aplicar a VLAN e a política de acesso corretas.

O EAP-TLS é resistente a phishing por design. Não existe nenhuma credencial para roubar. Cumpre as orientações da CISA sobre autenticação multifator resistente a phishing e alinha-se com os requisitos do PCI DSS para autenticação forte em redes que processam dados de titulares de cartões. É o método de autenticação recomendado pelo IEEE 802.1X para frotas de dispositivos geridos.

Arquitetura de autenticação 802.1X cloud-first: os dispositivos autenticam-se via EAP-TLS através do RADIUS em nuvem da Purple, que valida os certificados e aplica políticas baseadas em grupos a partir do Entra ID, Okta ou Google Workspace.

Como o MDM substitui a CA local

Numa implementação tradicional de 802.1X, os certificados eram emitidos por uma Autoridade de Certificação local a executar o Active Directory Certificate Services (AD CS). Numa implementação cloud-first, o MDM assume esta função utilizando o SCEP (Simple Certificate Enrollment Protocol). O Microsoft Intune, o Jamf Pro e outras plataformas de MDM podem solicitar certificados a uma CA alojada na nuvem e enviá-los silenciosamente para os dispositivos geridos.

O fluxo funciona da seguinte forma. O administrador de TI cria um perfil de certificado SCEP no MDM, direcionado para os grupos de dispositivos que necessitam de acesso WiFi. O MDM envia o certificado para dispositivos Windows, macOS, iOS, iPadOS, Android Enterprise e ChromeOS de forma automática. O utilizador não vê nada. O certificado é associado à identidade do dispositivo no MDM e renova-se automaticamente antes de expirar. Quando o dispositivo se liga ao WiFi, apresenta o certificado ao servidor RADIUS em nuvem, que o valida contra a CA e aplica a política de rede correta.

Para organizações que utilizam o Microsoft Intune, o Microsoft Cloud PKI fornece uma CA totalmente gerida que se integra diretamente com os perfis SCEP do Intune, eliminando a necessidade de um servidor NDES (Network Device Enrollment Service) local. Para frotas Mac e iOS geridas pelo Jamf, a CA integrada do Jamf ou uma CA de nuvem de terceiros servem o mesmo propósito.

SCIM e revogação de acesso instantânea

Um dos aspetos operacionalmente mais importantes do cloud RADIUS é o aprovisionamento SCIM (System for Cross-domain Identity Management). O SCIM é um padrão aberto que envia alterações de identidade da fonte de verdade - o seu fornecedor de identidade na nuvem - para os sistemas dependentes em tempo real. Quando um colaborador é desativado no Entra ID ou Okta, o SCIM envia essa alteração para o serviço cloud RADIUS imediatamente. Na próxima vez que o dispositivo tentar autenticar-se, o servidor RADIUS devolve um Access-Reject. Com um tempo limite de sessão curto configurado no ponto de acesso, o dispositivo é removido da rede poucos minutos após a conta ser desativada.

Esta é uma melhoria de segurança material em relação às redes PSK partilhadas, onde a única forma de revogar o acesso é alterar a palavra-passe em todos os dispositivos, e em relação às implementações RADIUS legadas que dependem de sincronizações LDAP periódicas com uma janela de horas ou dias.

RadSec: proteger o tráfego RADIUS através da internet

O RADIUS tradicional utiliza UDP e fornece apenas autenticação de mensagens básica. Quando o seu servidor RADIUS está no mesmo centro de dados que os seus pontos de acesso, isto é aceitável. Quando o seu servidor RADIUS é um serviço de nuvem, o tráfego de autenticação atravessa a internet pública. O RadSec (RADIUS sobre TLS, RFC 6614) encripta a troca RADIUS utilizando TLS, fornecendo confidencialidade e integridade para o tráfego de autenticação. A Purple suporta RadSec nativamente, com fallback IPsec para pontos de acesso que ainda não suportam RadSec.

Guia de implementação

A implementação de cloud RADIUS com EAP-TLS requer quatro passos coordenados. Um SSID piloto pode estar ativo em menos de uma hora se o Entra ID e um MDM já estiverem configurados.

Passo 1: Ligar o cloud RADIUS ao seu fornecedor de identidade

Ligue a Purple ao seu fornecedor de identidade através do consentimento de administrador OAuth2 (para Entra ID) ou token de API (para Okta e Google Workspace). Isto autoriza a Purple a ler utilizadores, grupos e associações de grupos a partir do diretório. Configure o aprovisionamento SCIM para enviar alterações de estado do utilizador para a Purple em tempo real. Nenhumas credenciais de principal de serviço são armazenadas no disco. As alterações de grupo propagam-se no evento de autenticação seguinte, e não num agendamento de sincronização.

Passo 2: Configurar o seu MDM e perfil SCEP

No Microsoft Intune, crie um Perfil de Certificado Fidedigno para a raiz da CA e, em seguida, crie um perfil de certificado SCEP que aponte para a CA gerida pela Purple. Defina o âmbito de ambos os perfis para os grupos de dispositivos que necessitam de acesso WiFi. Para o Jamf, configure um payload SCEP num perfil de configuração. O MDM envia os certificados de forma silenciosa. Verifique a entrega dos certificados no painel de conformidade do MDM antes de prosseguir.

Passo 3: Definir políticas de rede no painel do cloud RADIUS

Crie políticas RADIUS que mapeiem grupos de fornecedores de identidade para VLANs e controlos de acesso específicos. Por exemplo, mapeie o grupo do Entra ID "Staff-Finance" para a VLAN 20 com acesso total à internet, e mapeie "Staff-Contractors" para a VLAN 30 com acesso limitado no tempo que expira automaticamente. O painel da Purple aplica estas políticas no momento da autenticação, sem necessidade de alterações na firewall.

Passo 4: Atualizar a configuração do ponto de acesso

Atualize a configuração do SSID nos seus pontos de acesso para utilizar WPA2-Enterprise ou WPA3-Enterprise com 802.1X. Introduza os nomes de anfitrião ou endereços IP dos endpoints primário e secundário do cloud RADIUS da Purple, juntamente com o segredo partilhado. Configure os pontos de acesso para utilizarem a atribuição dinâmica de VLAN com base nos atributos RADIUS devolvidos pela Purple. Teste com um único SSID num subconjunto de pontos de acesso antes de implementar em toda a infraestrutura.

Cloud RADIUS vs RADIUS local: uma comparação direta entre tempo de implementação, dependência do Active Directory, elevada disponibilidade, aplicação de patches do SO, integração de identidade e gestão do ciclo de vida dos certificados.

Melhores práticas

Estas recomendações refletem as normas IEEE 802.1X, os requisitos PCI DSS v4.0 e a experiência operacional em mais de 80.000 locais da Purple.

Exija EAP-TLS para dispositivos geridos. As palavras-passe são suscetíveis a phishing e credential stuffing. Os certificados fornecem prova criptográfica de identidade e conformidade do dispositivo. O EAP-TLS é o único método 802.1X resistente a phishing por conceção.

Utilize SCIM para revogação instantânea. As sincronizações periódicas de LDAP deixam uma janela temporal em que um funcionário demitido mantém o acesso à rede. O SCIM garante que o acesso é revogado no momento em que a conta é desativada no fornecedor de identidade.

Implemente RADIUS multi-região. Configure os seus pontos de acesso com pelo menos dois endpoints RADIUS em regiões geográficas diferentes. A Purple fornece failover multi-região ativo-ativo por predefinição, com o failover a concluir-se em segundos.

Segmente o tráfego com VLANs dinâmicas. Utilize as associações a grupos do fornecedor de identidade para atribuir utilizadores a VLANs específicas de forma dinâmica. Isto isola o tráfego sensível e limita o raio de impacto de um dispositivo comprometido sem exigir alterações manuais na firewall.

Ative o RadSec. Se os seus pontos de acesso suportarem RadSec, ative-o para encriptar o tráfego de autenticação entre o ponto de acesso e o servidor cloud RADIUS. Isto é particularmente importante para filiais e locais onde o ponto de acesso se encontra num segmento de rede não confiável.

Monitorize o ciclo de vida dos certificados. Configure a renovação automática do MDM para ser acionada a 80% do tempo de vida do certificado. Para um certificado de um ano, a renovação começa aos 10 meses. Crie alertas para dispositivos que não consigam renovar antes de o certificado expirar. Para uma abordagem mais ampla sobre normas e estruturas de segurança de WiFi empresarial, consulte o nosso Enterprise WiFi Security: A Complete Guide for 2026 .

Resolução de problemas e mitigação de riscos

A transição para o RADIUS na nuvem introduz novas dependências. Prepare-se para estes modos de falha comuns antes que afetem a produção.

Expiração de certificados. Se o certificado de um dispositivo expirar antes de o MDM o renovar, a autenticação do dispositivo falha silenciosamente. O utilizador vê um erro de ligação sem qualquer explicação. Mitigue este problema configurando a renovação automática do MDM a 80% do tempo de vida do certificado e monitorizando o painel de conformidade do MDM para identificar dispositivos com certificados prestes a expirar.

Falhas de sincronização do MDM. Um dispositivo que deixe de estar em conformidade com o MDM ou que não consiga efetuar a verificação pode não receber um certificado renovado. Implemente políticas de conformidade que sinalizem dispositivos problemáticos e alertem os administradores antes que o certificado expire.

Bloqueio de tráfego RADIUS pela firewall. Os pontos de acesso devem conseguir aceder aos endpoints do RADIUS na nuvem através da porta UDP 1812 (autenticação) e da porta UDP 1813 (accounting), ou da porta TCP 2083 para RadSec. As regras de firewall de saída nas filiais bloqueiam frequentemente estas portas. Teste a acessibilidade a partir da VLAN de gestão do ponto de acesso antes da implementação.

Falhas de aprovisionamento SCIM. Se a ligação SCIM entre o fornecedor de identidade e a Purple for interrompida, as alterações de estado do utilizador não serão propagadas. Monitorize o estado de sincronização do SCIM tanto no fornecedor de identidade como no painel da Purple. Configure alertas para falhas de sincronização.

Dispositivos legados sem suporte para certificados. Dispositivos IoT, impressoras e hardware mais antigo podem não suportar EAP-TLS. Para estes dispositivos, utilize iPSK (chaves pré-partilhadas individuais) em vez de uma PSK partilhada. A Purple suporta iPSK nativamente, atribuindo uma chave exclusiva por dispositivo e colocando cada dispositivo na VLAN correta sem necessitar de suporte de suplicante 802.1X.

ROI e impacto empresarial

A migração de um RADIUS local para o RADIUS na nuvem proporciona um valor mensurável em termos de infraestrutura, operações e segurança.

As equipas de TI que utilizam o Staff WiFi da Purple registam tipicamente uma redução de 80% nos pedidos de suporte de WiFi (dados internos da Purple, 2024), impulsionada pela eliminação de reposições de palavras-passe e pela integração manual de dispositivos. A autenticação baseada em certificados também cumpre o requisito 8.3 do PCI DSS para autenticação forte e o controlo A.9.4 da ISO 27001 para controlo de acessos a sistemas e aplicações, reduzindo a carga de auditoria sobre a sua equipa de segurança.

Para organizações no retalho e na hotelaria , a capacidade de gerir o Staff WiFi e o Guest WiFi a partir de um único painel na nuvem - com uma camada de identidade unificada - reduz a complexidade operacional em propriedades multi-site. Para operadores de transportes e prestadores de cuidados de saúde , a capacidade de revogação instantânea e o registo de auditoria completo satisfazem os requisitos regulamentares sem necessidade de ferramentas adicionais.

A camada de WiFi Analytics da Purple adiciona dados de ocupação e de trabalho híbrido sobre a infraestrutura de autenticação, transformando o Staff WiFi de um centro de custos numa fonte de inteligência operacional.

Leitura relacionada: Enterprise WiFi Security: A Complete Guide for 2026 - OpenWrt Custom Firmware Integration with Purple WiFi