Azure AD and Entra ID WiFi Authentication: Integration and Configuration Guide

Resumo Executivo

Para as empresas modernas com forte investimento no ecossistema Microsoft, a ligação entre a infraestrutura de identidade na nuvem e as redes sem fios físicas é um imperativo de segurança crítico. Historicamente, a autenticação WiFi dependia do Active Directory Domain Services (AD DS) local e do Windows Network Policy Server (NPS). No entanto, à medida que as organizações migram para o Microsoft Entra ID (anteriormente Azure AD) e adotam modelos de segurança zero-trust, a abordagem tradicional de autenticação baseada em credenciais — PEAP-MSCHAPv2 — já não é suficiente ou segura.

Este guia fornece aos gestores de TI, arquitetos de rede e diretores de operações de espaços um roteiro prático para implementar a autenticação Azure AD WiFi. Exploramos as diferenças arquitetónicas entre manter uma infraestrutura NPS local e migrar para uma solução RADIUS nativa na nuvem. Crucialmente, detalhamos como tirar partido do Microsoft Intune para autenticação baseada em certificados (EAP-TLS), o que elimina vulnerabilidades relacionadas com palavras-passe e proporciona uma experiência fluida e sem fricção para os utilizadores finais. Quer esteja a gerir um hotel de 500 quartos, uma cadeia de retalho ou uma grande implementação no setor público, este guia ajudará a proteger a sua infraestrutura sem fios utilizando os seus investimentos existentes em identidade Microsoft. Para uma discussão mais ampla sobre modelos de implementação, consulte o nosso Cloud RADIUS vs On-Premise RADIUS: Decision Guide for IT Teams .

Análise Técnica Detalhada: Arquitetura e Normas

A base do WiFi empresarial seguro é a norma IEEE 802.1X, que fornece controlo de acesso à rede baseado em portas. Num ambiente centrado na Microsoft, a integração do 802.1X com o Entra ID requer um planeamento arquitetónico cuidadoso em três camadas: a infraestrutura sem fios, o servidor de autenticação e o diretório de identidades.

O Papel do RADIUS e do 802.1X

Quando um dispositivo cliente (o suplicante) tenta ligar-se a uma rede WPA2/WPA3-Enterprise, o Ponto de Acesso Sem Fios (o autenticador) bloqueia todo o tráfego, exceto os pacotes EAP (Extensible Authentication Protocol). O ponto de acesso encaminha estes pacotes para um servidor RADIUS. O servidor RADIUS valida a identidade do utilizador ou do dispositivo num serviço de diretório e devolve uma mensagem Access-Accept ou Access-Reject. Este modelo de três partes — suplicante, autenticador, servidor de autenticação — é a pedra angular da segurança sem fios empresarial e é descrito em detalhe no nosso Wireless Access Points Definition: Your Ultimate 2026 Guide .

Abordagens Arquiteturais para Ambientes Microsoft

Existem duas arquiteturas principais para integrar a identidade Microsoft com a autenticação WiFi, cada uma com diferentes vantagens e desvantagens:

Híbrida Local (Windows NPS + AD DS + Azure AD Connect): Esta é a abordagem tradicional. O Windows NPS atua como o servidor RADIUS, autenticando os pedidos num Active Directory local. Para ligar isto à cloud, o Azure AD Connect sincroniza as identidades locais com o Entra ID. Embora robusto, isto exige a manutenção de infraestrutura de servidores locais, a gestão de alta disponibilidade e a implementação de uma PKI complexa (ADCS) se for implementado o EAP-TLS.

Cloud-Native (Cloud RADIUS + Entra ID + Intune): Esta abordagem moderna elimina a necessidade de servidores NPS locais. Um fornecedor de Cloud RADIUS de terceiros integra-se diretamente com o Entra ID através da API Microsoft Graph. A autenticação ocorre inteiramente na cloud. Esta arquitetura alinha-se com uma estratégia cloud-first, reduzindo significativamente a sobrecarga operacional e alinhando-se com os princípios de acesso à rede zero-trust.

EAP-TLS vs. PEAP-MSCHAPv2: A Escolha Crítica

A escolha do método EAP é a decisão de segurança com maior impacto nesta implementação. O PEAP-MSCHAPv2 depende de os utilizadores introduzirem as suas credenciais de domínio. Isto é vulnerável a roubo de credenciais, ataques man-in-the-middle e cria uma má experiência de utilizador quando as palavras-passe expiram. A investigação tem demonstrado consistentemente que o PEAP-MSCHAPv2 pode ser comprometido através de ataques de pontos de acesso falsos.

EAP-TLS (Transport Layer Security) é o padrão de excelência do setor para WiFi seguro. Utiliza certificados digitais instalados no dispositivo cliente para autenticação mútua — tanto o cliente como o servidor provam a sua identidade. Não há palavras-passe para introduzir e a ligação é criptograficamente forte. Num ambiente Microsoft, os certificados são normalmente implementados utilizando o Microsoft Intune via SCEP (Simple Certificate Enrollment Protocol) ou PKCS. Este é o caminho recomendado para todas as novas implementações e é essencial para a conformidade com o PCI DSS (Requisito 8) e com as obrigações de proteção de dados do GDPR.

Guia de Implementação: Implementação Passo a Passo

A implementação da autenticação Entra ID WiFi utilizando EAP-TLS e Intune requer a coordenação de vários componentes em termos de identidade, gestão de dispositivos e infraestrutura de rede. Recomenda-se a seguinte abordagem de cinco fases para uma implementação nativa na nuvem.

Fase 1: Preparar a Infraestrutura de Identidade e Gestão de Dispositivos

Comece por verificar se o seu inquilino do Entra ID possui o licenciamento adequado. O Microsoft 365 E3/E5 ou o Enterprise Mobility + Security (EMS) E3/E5 incluem as capacidades de gestão de dispositivos Intune e de Acesso Condicional necessárias para esta implementação. Sem o Intune, a implementação automatizada de certificados não é possível.

Em seguida, estabeleça a sua Infraestrutura de Chaves Públicas (PKI). Tem três opções: uma PKI nativa na nuvem fornecida pelo seu fornecedor de Cloud RADIUS, a própria Cloud PKI da Microsoft (disponível com o licenciamento Intune Suite) ou uma implementação ADCS local existente ligada ao Intune através do Microsoft Intune Certificate Connector. Para novas implementações, recomenda-se vivamente uma PKI nativa na nuvem para evitar dependências locais.

Fase 2: Configurar o Intune para Implementação de Certificados

No centro de administração do Microsoft Intune, crie um perfil de configuração de Certificado Fidedigno. Carregue o certificado da CA Raiz da sua PKI e implemente-o nos seus grupos de dispositivos de destino. Este passo é crítico: garante que os dispositivos cliente confiam no certificado apresentado pelo servidor RADIUS durante o handshake TLS, prevenindo ataques man-in-the-middle.

Em seguida, crie um perfil de Certificado SCEP (ou PKCS, se a sua PKI o exigir). Configure o formato do Nome do Requerente — para autenticação baseada no utilizador, utilize CN={{UserPrincipalName}}; para autenticação baseada no dispositivo, utilize CN={{DeviceName}} ou o número de série do dispositivo. Defina o Nome Alternativo do Requerente (SAN) para incluir o User Principal Name ou o ID do dispositivo. Atribua ambos os perfis aos grupos de utilizadores ou dispositivos do Entra ID adequados.

Fase 3: Configurar a Integração do Cloud RADIUS

Conceda ao seu fornecedor de Cloud RADIUS as permissões necessárias da Microsoft Graph API no seu inquilino do Entra ID. No mínimo, o fornecedor necessita de User.Read.All e GroupMember.Read.All para validar as associações a grupos durante a autenticação. Alguns fornecedores também exigem Device.Read.All para políticas baseadas em dispositivos.

No portal de gestão do Cloud RADIUS, defina as suas políticas de autenticação. Uma política bem estruturada para um ambiente empresarial poderá ser: "Permitir o acesso se o certificado for emitido por [Trusted CA] E o utilizador for membro do grupo do Entra ID [Corporate-WiFi-Users] E o dispositivo estiver marcado como Conforme no Intune." Esta política em camadas aplica simultaneamente a identidade e o estado de integridade do dispositivo.

Fase 4: Configurar a Infraestrutura Wireless

No seu controlador de LAN wireless ou painel de gestão na nuvem (como Cisco Meraki, Aruba Central ou Juniper Mist), adicione os endereços IP e os segredos partilhados do servidor Cloud RADIUS como servidores de autenticação RADIUS. Configure servidores primários e secundários para redundância. Defina o tempo limite do RADIUS para um mínimo de 5 segundos para acomodar a latência de ida e volta da nuvem.

Crie um novo SSID configurado para WPA2-Enterprise ou WPA3-Enterprise. Atribua os servidores RADIUS a este SSID. Para implementações em Hospitality , certifique-se de que este SSID corporativo está numa VLAN separada de qualquer rede de convidados. Para ambientes de Retail , considere implementar o SSID corporativo apenas em áreas internas (back-of-house), mantendo a rede da área de vendas separada.

Fase 5: Implementar o Perfil de WiFi através do Intune

Crie um perfil de configuração WiFi no Intune. Defina o SSID para corresponder exatamente ao que configurou na infraestrutura wireless. Selecione WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança. Nas definições de EAP, selecione EAP-TLS como o método de autenticação. Associe o perfil de certificado SCEP como o certificado de cliente e especifique o perfil de Trusted Root CA que implementou na Fase 2.

Atribua este perfil de WiFi aos mesmos grupos de dispositivos que receberam os perfis de certificado. Os dispositivos receberão silenciosamente o certificado e a configuração de WiFi durante a próxima sincronização do Intune, ligando-se automaticamente quando estiverem no alcance do SSID — sem necessidade de qualquer interação do utilizador.

Boas Práticas para Ambientes Empresariais

As seguintes recomendações representam o consenso do setor para implementações seguras e escaláveis de Microsoft 802.1X em espaços empresariais.

Exija EAP-TLS em todas as novas implementações. Não implemente novas redes utilizando PEAP-MSCHAPv2. Os riscos de segurança do WiFi baseado em credenciais estão amplamente documentados e são incompatíveis com uma postura de segurança zero-trust. O EAP-TLS é essencial para a conformidade com o PCI DSS, GDPR e ISO 27001. Automatize o ciclo de vida dos certificados. Garanta que, quando um utilizador é desativado no Entra ID ou um dispositivo é retirado no Intune, o certificado correspondente seja automaticamente revogado ou a política RADIUS bloqueie imediatamente o acesso. Isto é particularmente importante em ambientes com elevada rotatividade, como a Hotelaria e o Retalho , onde as alterações de pessoal são frequentes.

Implemente o Acesso Condicional do Entra ID. Aproveite as políticas de Acesso Condicional para impor a conformidade do dispositivo como condição de acesso à rede. Exigir que os dispositivos sejam marcados como "Em conformidade" no Intune antes de se poderem autenticar no RADIUS garante que apenas dispositivos atualizados e em conformidade com as políticas acedam à rede corporativa.

Segmente rigorosamente as redes corporativas e de convidados. O 802.1X foi concebido para dispositivos corporativos geridos. Para visitantes, prestadores de serviços e BYOD, implemente uma solução dedicada de Guest WiFi com um Captive Portal. Esta pode integrar-se com o Entra ID B2B para acesso de prestadores de serviços, ou utilizar logins sociais e verificação por SMS para acesso do público em geral. Nunca permita dispositivos não geridos no SSID corporativo 802.1X.

Planeie para dispositivos legados e IoT. Impressoras, sensores IoT e dispositivos legados que não suportam certificados requerem uma estratégia separada. Utilize o MAC Authentication Bypass (MAB) para dispositivos conhecidos, ou um SSID WPA2-Personal dedicado com uma PSK complexa e rotativa, isolado numa VLAN dedicada. A plataforma Sensors da Purple, por exemplo, pode operar numa VLAN IoT dedicada, separada da infraestrutura de autenticação corporativa.

Monitorize eventos de autenticação. Integre os registos RADIUS com o seu SIEM ou utilize a plataforma WiFi Analytics para monitorizar falhas de autenticação, avisos de expiração de certificados e padrões de acesso invulgares. A monitorização proativa previne interrupções antes que estas afetem as operações.

Resolução de Problemas e Mitigação de Riscos

Mesmo as implementações bem planeadas encontram problemas. Seguem-se os modos de falha mais comuns e as respetivas resoluções.

Falhas na Implementação de Certificados. O problema mais comum numa implementação EAP-TLS é a falha dos dispositivos em receber certificados do Intune. Isto é normalmente causado por um Intune Certificate Connector mal configurado (se utilizar ADCS local), URL SCEP incorreto ou dispositivos que não sincronizam com o Intune. Verifique sempre o estado do Certificate Connector no centro de administração do Intune e verifique os registos de sincronização do dispositivo. Certifique-se de que a conta de serviço SCEP tem as permissões necessárias na CA.

Problemas de Timeout do RADIUS. Se o ponto de acesso não conseguir contactar o servidor RADIUS dentro do tempo limite configurado, os clientes não conseguirão ligar-se. Certifique-se de que as suas regras de firewall permitem as portas UDP 1812 (autenticação) e 1813 (accounting) de saída para as gamas de IP do fornecedor de Cloud RADIUS. Se utilizar NPS local, implemente no mínimo dois servidores NPS e configure os seus pontos de acesso para failover entre eles.

Falhas de Confiança no Certificado. Se os clientes receberem um erro de "certificado de servidor não confiável", o perfil da CA de Raiz Confiável não foi implementado corretamente no dispositivo. Verifique a atribuição do perfil no Intune e verifique o armazenamento de certificados do dispositivo. Este é um problema comum com dispositivos recém-registados que ainda não concluíram a sua primeira sincronização do Intune.

Extensão NPS para Azure MFA. Embora seja tecnicamente possível utilizar a Extensão NPS para impor a Autenticação de Dois Fatores para WiFi, isso é fortemente desaconselhado para o acesso principal. A experiência do utilizador de receber um pedido de MFA sempre que um dispositivo faz roaming entre pontos de acesso é extremamente disruptiva. Confie na autenticação forte fornecida pelo certificado do dispositivo e, em vez disso, imponha o MFA na camada de aplicação.

Conflitos de Política de Grupo. Em ambientes híbridos, os Objetos de Política de Grupo (GPOs) que configuram o cliente sem fios do Windows podem entrar em conflito com os perfis de WiFi do Intune. Certifique-se de que os perfis do Intune têm precedência, revendo as definições de registo de MDM e, sempre que necessário, bloqueando a configuração sem fios baseada em GPO para dispositivos geridos pelo Intune.

ROI e Impacto no Negócio

A migração para uma arquitetura RADIUS nativa da nuvem integrada com o Entra ID proporciona um valor mensurável e quantificável em várias dimensões.

Redução de Pedidos de Suporte. Os problemas de WiFi relacionados com palavras-passe — bloqueios, palavras-passe expiradas, suplicantes mal configurados — são uma fonte significativa de pedidos de suporte de TI em ambientes baseados em credenciais. O EAP-TLS elimina-os por completo. As organizações reportam normalmente uma redução de 30 a 50% no volume de suporte relacionado com WiFi após a migração para a autenticação baseada em certificados.

Poupança de Custos de Infraestrutura. A desativação de servidores NPS locais reduz os custos de computação, as taxas de licenciamento do SO e as despesas operacionais de aplicação de patches e manutenção de clusters de alta disponibilidade. Para uma organização de média dimensão que execute dois servidores NPS, isto pode representar uma poupança de £15.000 a £30.000 por ano em custos operacionais e de infraestrutura.

Melhoria da Postura de Segurança e Conformidade. Afastar-se da autenticação baseada em credenciais mitiga o risco de roubo de credenciais e movimento lateral, protegendo os dados corporativos confidenciais. Para organizações sujeitas ao PCI DSS, isto aborda diretamente os requisitos de controlo de acesso à rede. Para organizações de Saúde que lidam com dados de doentes, apoia a conformidade com o DSPT. Para operadores de Transportes , alinha-se com os requisitos da Diretiva NIS2 para a segurança da rede.

Experiência do Utilizador Melhorada. A ligação WiFi automática e contínua — sem pedidos de palavra-passe, sem bloqueios e sem configuração manual — melhora a produtividade e reduz o atrito para a equipa. Isto é particularmente impactante em ambientes de alta mobilidade, tais como centros de distribuição, enfermarias de hospitais e lojas de retalho. Ao tratar a sua rede WiFi como uma extensão da sua estratégia de identidade na nuvem, garante um acesso seguro e sem fricção que escala com a sua organização. Para mais orientações sobre os aspetos de integração de SD-WAN em redes empresariais modernas, consulte The Core SD-WAN Benefits for Modern Businesses . Para considerações de implementação específicas para o setor da hotelaria, consulte Modern Hospitality WiFi Solutions Your Guests Deserve .