Como Configurar o Azure Entra ID (Azure AD) para Autenticação WiFi
Este guia de referência detalha a arquitetura, os passos de implementação e o impacto empresarial da integração do Azure Entra ID com 802.1X para autenticação WiFi corporativa. Fornece aos arquitetos de rede e gestores de TI estratégias de implementação práticas, substituindo as PSKs legadas por um acesso à rede baseado em certificados de confiança zero.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada
- A Transição das Credenciais para os Certificados Digitais
- A Ponte Arquitetónica: RADIUS e Entra ID
- Guia de Implementação
- Passo 1: Estabelecer a Infraestrutura de Chaves Públicas (PKI)
- Passo 2: Configurar o Servidor RADIUS
- Passo 3: Implementar Perfis de MDM via Intune
- Passo 4: Configurar o Wireless LAN Controller (WLC)
- Boas Práticas
- Resolução de Problemas e Mitigação de Riscos
- ROI e Impacto de Negócio
- Referências

Resumo Executivo
Para CTOs e arquitetos de rede que gerem ambientes complexos - desde grandes espaços de hospitalidade a espaços dinâmicos de retalho - a segurança da rede corporativa já não é apenas uma questão de palavras-passe fortes. As chaves pré-partilhadas (PSKs) tradicionais e a validação básica de credenciais são fundamentalmente incompatíveis com a arquitetura zero-trust moderna.
Este guia detalha a transição para a autenticação WiFi baseada em certificados 802.1X integrada diretamente com o Microsoft Entra ID (anteriormente Azure AD). Ao transitar para o EAP-TLS (Extensible Authentication Protocol com Transport Layer Security), as empresas podem eliminar os riscos associados ao roubo de credenciais, automatizar o registo de dispositivos através de Mobile Device Management (MDM) e garantir que apenas dispositivos geridos e em conformidade podem aceder a VLANs corporativas sensíveis. Exploramos a arquitetura técnica, os passos de implementação e como esta postura de segurança empresarial opera em paralelo com as estratégias de redes de convidados geridas por plataformas como a Purple.
Análise Técnica Detalhada
A Transição das Credenciais para os Certificados Digitais
Historicamente, o WiFi empresarial dependia do PEAP-MSCHAPv2, que exige que os utilizadores introduzam as suas credenciais de domínio. No entanto, devido à sua suscetibilidade a ataques de adversário no meio (AiTM), a Microsoft está a descontinuar ativamente a autenticação baseada em credenciais. O padrão de indústria atual é o EAP-TLS, que utiliza validação mútua de certificados.
Numa implementação EAP-TLS, tanto o servidor RADIUS como o dispositivo cliente apresentam certificados digitais. Se um dispositivo não possuir um certificado válido emitido pela sua Autoridade de Certificação (CA) fidedigna, o servidor RADIUS rejeita a ligação antes mesmo de o dispositivo obter um endereço IP.

A Ponte Arquitetónica: RADIUS e Entra ID
O Microsoft Entra ID é um fornecedor de identidade (IdP) na nuvem que utiliza protocolos modernos como SAML e OIDC; não suporta nativamente o protocolo RADIUS utilizado pelos pontos de acesso sem fios (WAPs). Para colmatar esta lacuna, os arquitetos de rede devem implementar um servidor RADIUS capaz de comunicar com o Entra ID. Isto é normalmente alcançado através de:
- Soluções Cloud RADIUS: Plataformas concebidas para o efeito (como SecureW2, SCEPman ou Portnox) que se integram diretamente com o Entra ID e o Intune através de APIs.
- Network Policy Server (NPS) local: Utilizando a extensão Azure MFA, embora esta abordagem seja cada vez mais considerada obsoleta em comparação com o RADIUS nativo na nuvem.

Guia de Implementação
A implementação do Azure Entra ID para autenticação WiFi exige coordenação entre as equipas de identidade, gestão de dispositivos e infraestrutura de rede.
Passo 1: Estabelecer a Infraestrutura de Chaves Públicas (PKI)
Deve estabelecer uma CA para emitir certificados de cliente e servidor. Em ambientes que priorizam a nuvem, trata-se normalmente de uma PKI na nuvem integrada com o Microsoft Intune através do Simple Certificate Enrolment Protocol (SCEP).
Passo 2: Configurar o Servidor RADIUS
Implemente a sua infraestrutura RADIUS e associe-a ao seu inquilino do Entra ID. O servidor RADIUS necessita do seu próprio certificado de servidor - fidedigno para os seus dispositivos de cliente - para provar a sua identidade durante o handshake EAP.
Passo 3: Implementar Perfis de MDM via Intune
Não dependa dos utilizadores para configurar manualmente as definições de WiFi. Utilize o Intune para enviar um perfil de WiFi completo contendo:
- O certificado da CA de raiz fidedigna.
- O perfil SCEP utilizado para solicitar o certificado de cliente.
- A própria configuração de WiFi, definindo explicitamente o SSID e os nomes exatos de servidor da infraestrutura RADIUS para evitar ataques Evil Twin.
Passo 4: Configurar o Wireless LAN Controller (WLC)
Configure os seus pontos de acesso ou WLC para utilizar WPA2/WPA3-Enterprise (802.1X). Direcione o tráfego de autenticação e faturação para os novos endereços IP do seu servidor RADIUS e defina o segredo partilhado do RADIUS.
> "Ao configurar o 802.1X, certifique-se de que os valores de timeout do RADIUS no WLC são suficientes para a latência da validação de certificados na nuvem, aumentando tipicamente de 2 segundos para 5 segundos." [1]
Boas Práticas
- Isole o tráfego corporativo e de convidados: Os dispositivos corporativos devem utilizar 802.1X associado ao Entra ID. Os dispositivos de convidados devem utilizar um SSID aberto com um captive portal. Para um acesso de convidados e análises robustos, aproveite uma solução de Guest WiFi . Isto garante o isolamento total do tráfego não fidedigno.
- Implemente o MAC Authentication Bypass (MAB) com precaução: Os dispositivos IoT e o hardware legado - como leitores mais antigos em centros de transporte - frequentemente não suportam 802.1X. Coloque estes dispositivos num SSID separado utilizando MAB ou uma PSK dedicada, e restrinja o seu acesso à rede com ACLs rigorosas.
- Priorize a revogação de certificados: Certifique-se de que os seus pontos de extremidade de Certificate Revocation List (CRL) ou Online Certificate Status Protocol (OCSP) estão altamente disponíveis. Se o servidor RADIUS não conseguir verificar o estado de revogação, a autenticação irá falhar.
Resolução de Problemas e Mitigação de Riscos
Quando as implementações falham, raramente a culpa é do IdP na nuvem. Os modos de falha comuns incluem:
- Desvio de relógio (Clock skew): O EAP-TLS é extremamente sensível ao tempo. Certifique-se de que todos os componentes da infraestrutura - particularmente os WLCs e os servidores RADIUS - estão sincronizados via NTP.
- Latência de sincronização do Intune: Ao registar novos dispositivos, pode haver um atraso entre a emissão do certificado SCEP e a tentativa de ligação do dispositivo. Planeie este desfasamento durante a integração.
- Incompatibilidade de nome de servidor RADIUS: se o nome do servidor definido no perfil de WiFi do Intune não corresponder exatamente ao Common Name (CN) ou ao Subject Alternative Name (SAN) no certificado do servidor RADIUS, os clientes irão desligar-se silenciosamente para proteção contra APs maliciosos.
Para uma análise mais aprofundada sobre a segurança da sua infraestrutura, consulte o nosso guia sobre como proteger a sua rede com DNS e segurança robustos .
ROI e Impacto de Negócio
A transição para a autenticação WiFi do Azure Entra ID oferece benefícios significativos:
- Redução de custos com suporte: a eliminação da autenticação baseada em palavra-passe reduz drasticamente os pedidos de suporte relacionados com bloqueios de palavras-passe e renovações de credenciais de WiFi.
- Conformidade acelerada: o EAP-TLS fornece a prova criptográfica de identidade exigida por quadros de referência como a PCI-DSS e a ISO 27001, o que é essencial em ambientes de cuidados de saúde e retalho.
- Desativação automatizada de acessos: quando um colaborador sai, a desativação da sua conta no Entra ID revoga instantaneamente o seu acesso à rede em todas as localizações, reduzindo o risco de ameaças internas.
Ao proteger a rede empresarial principal, as equipas de TI podem concentrar-se em iniciativas geradoras de receita, como a utilização de WiFi Analytics para compreender o comportamento dos visitantes e impulsionar o envolvimento.
Referências
[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.
Definições Principais
802.1X
Um padrão IEEE para controlo de acesso à rede baseado em portas, que exige que os dispositivos se autentiquem antes de obterem acesso à LAN ou WLAN.
Este é o protocolo subjacente que torna o WiFi corporativo seguro, indo além das simples palavras-passe partilhadas.
EAP-TLS
Extensible Authentication Protocol com Transport Layer Security. Um método de autenticação que exige certificados digitais tanto no cliente como no servidor.
Considerado o método mais seguro para autenticação WiFi, prevenindo o roubo de credenciais e ataques AiTM.
RADIUS
Remote Authentication Dial-In User Service. Um protocolo de rede que fornece Autenticação, Autorização e Auditoria (AAA) centralizadas.
O protocolo que os seus pontos de acesso utilizam para perguntar ao servidor de autenticação: "Devo permitir que este dispositivo entre na rede?"
SCEP
Simple Certificate Enrollment Protocol. Um protocolo utilizado para emitir certificados de forma segura para dispositivos de rede.
Utilizado por plataformas MDM como o Intune para solicitar e instalar silenciosamente certificados de cliente em portáteis e telemóveis corporativos.
MAC Authentication Bypass (MAB)
Um método de concessão de acesso à rede baseado no endereço MAC do dispositivo e não num nome de utilizador ou certificado.
Utilizado como alternativa para dispositivos legados (como impressoras antigas ou sensores IoT) que não possuem o software necessário para realizar o handshake 802.1X.
Ataque Evil Twin
Um ponto de acesso não autorizado que se disfarça como um SSID corporativo legítimo para intercetar tráfego ou roubar credenciais.
O EAP-TLS atenua esta ameaça porque o dispositivo cliente é configurado para confiar apenas no certificado específico do servidor RADIUS corporativo legítimo.
Suplicante
O cliente de software no dispositivo final (por exemplo, o gestor de WiFi do Windows) que gere o processo de autenticação 802.1X.
As equipas de TI devem configurar o suplicante via MDM para garantir que este se comporta de forma segura e não solicita aos utilizadores que aceitem certificados de servidor não fidedignos.
Acesso Condicional
Políticas do Azure Entra ID que avaliam sinais (utilizador, localização, conformidade do dispositivo) para tomar decisões de acesso.
As soluções modernas de Cloud RADIUS podem verificar o Acesso Condicional durante o handshake de WiFi, negando o acesso à rede se o Intune marcar o dispositivo como não conforme.
Exemplos Práticos
Uma cadeia de retalho com 500 lojas precisa de proteger os iPads de suporte das lojas utilizados para a gestão de inventário. Atualmente, utilizam uma única PSK partilhada em todas as lojas. Como devem migrar para a autenticação Azure Entra ID?
- Registe todos os iPads no Microsoft Intune.
- Implemente uma solução Cloud RADIUS integrada com o tenant Entra ID corporativo.
- Configure o Intune para implementar um certificado SCEP em cada iPad.
- Aloque um perfil de WiFi através do Intune que configure os iPads para se ligarem ao SSID "Corporate-BOH" utilizando EAP-TLS, validando o certificado do servidor Cloud RADIUS.
- Atualize os pontos de acesso Meraki/Aruba em todas as 500 lojas para apontarem para os endereços IP do Cloud RADIUS para o SSID "Corporate-BOH".
- Implementação faseada: Ative o novo SSID, verifique a conectividade dos iPads através dos relatórios do Intune e, em seguida, desative o SSID com a PSK legada.
O campus de uma universidade está a migrar do Active Directory local para o Azure Entra ID. Têm milhares de portáteis de estudantes BYOD (Bring Your Own Device) que atualmente se ligam utilizando PEAP-MSCHAPv2 (nome de utilizador e palavra-passe). Como gerem o BYOD num ambiente Entra ID prioritariamente na cloud?
- Implemente um portal de integração (por exemplo, SecureW2 JoinNow ou uma ferramenta de integração BYOD semelhante).
- Os estudantes ligam-se a um SSID "Onboarding" aberto, que os redireciona para o portal.
- O portal solicita ao estudante que se autentique no Azure Entra ID (utilizando o seu email universitário e MFA).
- Após a autenticação bem-sucedida, o portal gera um certificado de cliente exclusivo e configura automaticamente o dispositivo do estudante para EAP-TLS.
- O dispositivo liga-se automaticamente ao SSID seguro "Edu-Secure" utilizando o novo certificado.
Perguntas de Prática
Q1. A sua organização está a migrar para o Azure Entra ID e o Intune. Atualmente utiliza PEAP-MSCHAPv2 para WiFi. A equipa de segurança exige que a autenticação WiFi seja resistente ao roubo de credenciais. Qual método EAP deve implementar?
Dica: Qual o método que depende inteiramente de certificados em vez de palavras-passe?
Ver resposta modelo
Deve implementar o EAP-TLS. O EAP-TLS utiliza autenticação mútua por certificado, o que significa que o dispositivo cliente deve apresentar um certificado válido emitido pela sua PKI. Como não utiliza palavras-passe, é altamente resistente ao roubo de credenciais e a ataques de adversário no meio (adversary-in-the-middle).
Q2. Após a implementação do EAP-TLS via Intune, os utilizadores relatam que não conseguem ligar-se ao WiFi. Ao analisar os registos do RADIUS, depara-se com a mensagem 'Falha na Verificação de Revogação de Certificado'. Qual é a causa mais provável?
Dica: Com que infraestrutura deve o servidor RADIUS comunicar para verificar se um certificado não foi comprometido?
Ver resposta modelo
O servidor RADIUS não consegue aceder à Lista de Revogação de Certificados (CRL) ou ao endpoint OCSP da sua Autoridade de Certificação. Certifique-se de que as firewalls permitem o acesso de saída do servidor RADIUS aos URLs HTTP especificados nos certificados dos clientes.
Q3. Um hospital precisa de ligar 50 monitores de ritmo cardíaco antigos à rede. Estes dispositivos apenas suportam WPA2-Personal (Pre-Shared Key) e não podem ser registados no Intune. Como deve protegê-los enquanto mantém a sua implementação de Entra ID 802.1X para portáteis corporativos?
Dica: Não misture tipos de autenticação no mesmo SSID.
Ver resposta modelo
Crie um SSID dedicado e separado especificamente para os dispositivos IoT médicos. Utilize uma Pre-Shared Key forte e exclusiva (ou Identity PSK/iPSK se for suportado pelo seu fornecedor de rede) ou o MAC Authentication Bypass (MAB). Fundamentalmente, coloque este SSID numa VLAN altamente restrita com Listas de Controlo de Acesso (ACLs) rigorosas que apenas permitam aos monitores comunicar com o seu servidor médico específico, bloqueando qualquer outro acesso lateral à rede.
Continue a ler esta série
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.
Passpoint e OpenRoaming: Guia Completo
Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.
Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.