Saltar para o conteúdo principal

Como Configurar o Azure Entra ID (Azure AD) para Autenticação WiFi

Este guia de referência detalha a arquitetura, os passos de implementação e o impacto empresarial da integração do Azure Entra ID com 802.1X para autenticação WiFi corporativa. Fornece aos arquitetos de rede e gestores de TI estratégias de implementação práticas, substituindo as PSKs legadas por um acesso à rede baseado em certificados de confiança zero.

📖 4 min de leitura📝 945 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
[INTRO - 1 MIN] Host: Bem-vindo ao Purple Enterprise Network Briefing. Sou o seu anfitrião e hoje vamos abordar uma atualização de infraestrutura crítica que está no topo das prioridades dos CTOs e arquitetos de rede: a migração da autenticação do WiFi corporativo para o Azure Entra ID - anteriormente Azure AD. Se gere uma cadeia de hotéis, um estádio ou uma grande implementação do setor público, conhece a dor de cabeça dos servidores RADIUS locais legados e das PSKs partilhadas. Hoje, falamos de acesso à rede com base em zero-trust, especificamente sobre como implementar a autenticação baseada em certificados 802.1X utilizando o Azure Entra ID. Sem rodeios, apenas a realidade técnica de colocar isto em funcionamento. [TECHNICAL DEEP-DIVE - 5 MIN] Host: Vamos directos à arquitetura. Os dias do WPA2-Personal com uma palavra-passe partilhada num post-it acabaram. Numa empresa moderna, quer esteja a proteger operações de bastidores num ambiente de retalho ou redes de funcionários num hospital, precisa de um acesso orientado pela identidade. Quando falamos de Azure Entra ID para WiFi, estamos fundamentalmente a falar de EAP-TLS. Ou seja, Extensible Authentication Protocol com Transport Layer Security. É o padrão de excelência. Porquê? Porque se baseia em certificados, não em palavras-passe. As palavras-passe podem ser alvo de phishing, partilhadas ou forçadas. Os certificados associados a um dispositivo gerido através do Intune não podem. Então, como flui o tráfego? Um dispositivo corporativo - por exemplo, um portátil gerido - tenta ligar-se ao SSID corporativo. O Ponto de Acesso Sem Fios, agindo como o autenticador, bloqueia o acesso e transmite as credenciais via RADIUS para o seu servidor de autenticação. Agora, o Azure Entra ID não comunica nativamente em RADIUS. Esta é a ponte arquitetónica crítica. Precisa de um fornecedor de RADIUS na nuvem ou de um Network Policy Server (NPS) local com a extensão Azure MFA. O dispositivo apresenta o seu certificado de cliente. O servidor RADIUS valida esse certificado face à sua Autoridade de Certificação - frequentemente gerida via SCEP no Intune. Se o certificado for válido, o servidor RADIUS consulta o Azure Entra ID para garantir que a conta de utilizador está ativa, não desativada e em conformidade com as políticas de Acesso Condicional. Só então o servidor RADIUS envia uma mensagem de Access-Accept de volta para o AP, colocando o utilizador na VLAN correta. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS - 2 MIN] Host: Agora, onde é que as implementações correm mal? Vejo três armadilhas comuns. Primeira: Disponibilidade da Lista de Revogação de Certificados (CRL). Se o seu servidor RADIUS não conseguir aceder à CRL, a autenticação falha. Certifique-se de que os seus endpoints de CRL estão altamente disponíveis e acessíveis a partir da infraestrutura RADIUS. Segunda: Configuração do suplicante. Não deixe isto para o utilizador final. Utilize o seu MDM - Microsoft Intune, Workspace ONE, o que quer que utilize - para enviar o perfil de WiFi. O perfil deve definir explicitamente a CA raiz fidedigna e especificar que o cliente apenas se deve ligar aos nomes de servidores RADIUS específicos. Se não o fizer, estará vulnerável a ataques do tipo Evil Twin. Terceiro: Dispositivos legados. Dispositivos IoT, terminais de ponto de venda ou leitores de códigos de barras mais antigos num armazém muitas vezes não suportam 802.1X ou EAP-TLS. Deve planear uma estratégia de MAC Authentication Bypass (MAB) ou uma rede de chave pré-partilhada dedicada com isolamento de rede rigoroso para estes dispositivos. Não comprometa o seu SSID corporativo principal por causa de uma impressora legada. [PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MIN] Anfitrião: Vamos a algumas perguntas rápidas que ouvimos dos arquitetos de rede. Pergunta um: Podemos utilizar PEAP-MSCHAPv2 com o Azure Entra ID? Resposta: Sim, através do NPS, mas a Microsoft está ativamente a descontinuar a autenticação baseada em credenciais. Mude para EAP-TLS. É mais seguro e proporciona uma melhor experiência de utilizador. Pergunta dois: Como é que isto se integra com o guest WiFi da Purple? Resposta: Mantenha-os separados. A sua rede corporativa utiliza 802.1X associado ao Azure Entra ID. A sua rede de convidados utiliza um SSID aberto com um captive portal gerido pela Purple para análises, aceitação de termos e captura de dados de marketing. Pode inclusivamente utilizar a autenticação baseada em perfis da Purple para visitas de regresso perfeitas para os convidados, mantendo esse tráfego completamente isolado dos seus dados corporativos. [RESUMO E PRÓXIMOS PASSOS - 1 MIN] Anfitrião: Para concluir: a transição para o Azure Entra ID para autenticação WiFi é um passo fundamental em direção a uma arquitetura zero-trust. Elimina os pedidos de suporte de alteração de palavras-passe, mitiga o roubo de credenciais e garante que apenas dispositivos geridos e conformes acedem à sua rede interna. O seu próximo passo? Auditar a sua infraestrutura RADIUS atual. Se estiver a executar NPS legado no local, avalie soluções de RADIUS na nuvem que se integrem diretamente com o Azure Entra ID e o Intune. Desenhe a sua estratégia de implementação de certificados. Obrigado por se juntar a esta sessão técnica. Proteja as suas redes e vemo-nos na próxima.

header_image.png

Resumo Executivo

Para CTOs e arquitetos de rede que gerem ambientes complexos - desde grandes espaços de hospitalidade a espaços dinâmicos de retalho - a segurança da rede corporativa já não é apenas uma questão de palavras-passe fortes. As chaves pré-partilhadas (PSKs) tradicionais e a validação básica de credenciais são fundamentalmente incompatíveis com a arquitetura zero-trust moderna.

Este guia detalha a transição para a autenticação WiFi baseada em certificados 802.1X integrada diretamente com o Microsoft Entra ID (anteriormente Azure AD). Ao transitar para o EAP-TLS (Extensible Authentication Protocol com Transport Layer Security), as empresas podem eliminar os riscos associados ao roubo de credenciais, automatizar o registo de dispositivos através de Mobile Device Management (MDM) e garantir que apenas dispositivos geridos e em conformidade podem aceder a VLANs corporativas sensíveis. Exploramos a arquitetura técnica, os passos de implementação e como esta postura de segurança empresarial opera em paralelo com as estratégias de redes de convidados geridas por plataformas como a Purple.

Análise Técnica Detalhada

A Transição das Credenciais para os Certificados Digitais

Historicamente, o WiFi empresarial dependia do PEAP-MSCHAPv2, que exige que os utilizadores introduzam as suas credenciais de domínio. No entanto, devido à sua suscetibilidade a ataques de adversário no meio (AiTM), a Microsoft está a descontinuar ativamente a autenticação baseada em credenciais. O padrão de indústria atual é o EAP-TLS, que utiliza validação mútua de certificados.

Numa implementação EAP-TLS, tanto o servidor RADIUS como o dispositivo cliente apresentam certificados digitais. Se um dispositivo não possuir um certificado válido emitido pela sua Autoridade de Certificação (CA) fidedigna, o servidor RADIUS rejeita a ligação antes mesmo de o dispositivo obter um endereço IP.

architecture_overview.png

A Ponte Arquitetónica: RADIUS e Entra ID

O Microsoft Entra ID é um fornecedor de identidade (IdP) na nuvem que utiliza protocolos modernos como SAML e OIDC; não suporta nativamente o protocolo RADIUS utilizado pelos pontos de acesso sem fios (WAPs). Para colmatar esta lacuna, os arquitetos de rede devem implementar um servidor RADIUS capaz de comunicar com o Entra ID. Isto é normalmente alcançado através de:

  1. Soluções Cloud RADIUS: Plataformas concebidas para o efeito (como SecureW2, SCEPman ou Portnox) que se integram diretamente com o Entra ID e o Intune através de APIs.
  2. Network Policy Server (NPS) local: Utilizando a extensão Azure MFA, embora esta abordagem seja cada vez mais considerada obsoleta em comparação com o RADIUS nativo na nuvem.

eap_comparison_chart.png

Guia de Implementação

A implementação do Azure Entra ID para autenticação WiFi exige coordenação entre as equipas de identidade, gestão de dispositivos e infraestrutura de rede.

Passo 1: Estabelecer a Infraestrutura de Chaves Públicas (PKI)

Deve estabelecer uma CA para emitir certificados de cliente e servidor. Em ambientes que priorizam a nuvem, trata-se normalmente de uma PKI na nuvem integrada com o Microsoft Intune através do Simple Certificate Enrolment Protocol (SCEP).

Passo 2: Configurar o Servidor RADIUS

Implemente a sua infraestrutura RADIUS e associe-a ao seu inquilino do Entra ID. O servidor RADIUS necessita do seu próprio certificado de servidor - fidedigno para os seus dispositivos de cliente - para provar a sua identidade durante o handshake EAP.

Passo 3: Implementar Perfis de MDM via Intune

Não dependa dos utilizadores para configurar manualmente as definições de WiFi. Utilize o Intune para enviar um perfil de WiFi completo contendo:

  • O certificado da CA de raiz fidedigna.
  • O perfil SCEP utilizado para solicitar o certificado de cliente.
  • A própria configuração de WiFi, definindo explicitamente o SSID e os nomes exatos de servidor da infraestrutura RADIUS para evitar ataques Evil Twin.

Passo 4: Configurar o Wireless LAN Controller (WLC)

Configure os seus pontos de acesso ou WLC para utilizar WPA2/WPA3-Enterprise (802.1X). Direcione o tráfego de autenticação e faturação para os novos endereços IP do seu servidor RADIUS e defina o segredo partilhado do RADIUS.

> "Ao configurar o 802.1X, certifique-se de que os valores de timeout do RADIUS no WLC são suficientes para a latência da validação de certificados na nuvem, aumentando tipicamente de 2 segundos para 5 segundos." [1]

Boas Práticas

  • Isole o tráfego corporativo e de convidados: Os dispositivos corporativos devem utilizar 802.1X associado ao Entra ID. Os dispositivos de convidados devem utilizar um SSID aberto com um captive portal. Para um acesso de convidados e análises robustos, aproveite uma solução de Guest WiFi . Isto garante o isolamento total do tráfego não fidedigno.
  • Implemente o MAC Authentication Bypass (MAB) com precaução: Os dispositivos IoT e o hardware legado - como leitores mais antigos em centros de transporte - frequentemente não suportam 802.1X. Coloque estes dispositivos num SSID separado utilizando MAB ou uma PSK dedicada, e restrinja o seu acesso à rede com ACLs rigorosas.
  • Priorize a revogação de certificados: Certifique-se de que os seus pontos de extremidade de Certificate Revocation List (CRL) ou Online Certificate Status Protocol (OCSP) estão altamente disponíveis. Se o servidor RADIUS não conseguir verificar o estado de revogação, a autenticação irá falhar.

Resolução de Problemas e Mitigação de Riscos

Quando as implementações falham, raramente a culpa é do IdP na nuvem. Os modos de falha comuns incluem:

  • Desvio de relógio (Clock skew): O EAP-TLS é extremamente sensível ao tempo. Certifique-se de que todos os componentes da infraestrutura - particularmente os WLCs e os servidores RADIUS - estão sincronizados via NTP.
  • Latência de sincronização do Intune: Ao registar novos dispositivos, pode haver um atraso entre a emissão do certificado SCEP e a tentativa de ligação do dispositivo. Planeie este desfasamento durante a integração.
  • Incompatibilidade de nome de servidor RADIUS: se o nome do servidor definido no perfil de WiFi do Intune não corresponder exatamente ao Common Name (CN) ou ao Subject Alternative Name (SAN) no certificado do servidor RADIUS, os clientes irão desligar-se silenciosamente para proteção contra APs maliciosos.

Para uma análise mais aprofundada sobre a segurança da sua infraestrutura, consulte o nosso guia sobre como proteger a sua rede com DNS e segurança robustos .

ROI e Impacto de Negócio

A transição para a autenticação WiFi do Azure Entra ID oferece benefícios significativos:

  1. Redução de custos com suporte: a eliminação da autenticação baseada em palavra-passe reduz drasticamente os pedidos de suporte relacionados com bloqueios de palavras-passe e renovações de credenciais de WiFi.
  2. Conformidade acelerada: o EAP-TLS fornece a prova criptográfica de identidade exigida por quadros de referência como a PCI-DSS e a ISO 27001, o que é essencial em ambientes de cuidados de saúde e retalho.
  3. Desativação automatizada de acessos: quando um colaborador sai, a desativação da sua conta no Entra ID revoga instantaneamente o seu acesso à rede em todas as localizações, reduzindo o risco de ameaças internas.

Ao proteger a rede empresarial principal, as equipas de TI podem concentrar-se em iniciativas geradoras de receita, como a utilização de WiFi Analytics para compreender o comportamento dos visitantes e impulsionar o envolvimento.


Referências

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Definições Principais

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas, que exige que os dispositivos se autentiquem antes de obterem acesso à LAN ou WLAN.

Este é o protocolo subjacente que torna o WiFi corporativo seguro, indo além das simples palavras-passe partilhadas.

EAP-TLS

Extensible Authentication Protocol com Transport Layer Security. Um método de autenticação que exige certificados digitais tanto no cliente como no servidor.

Considerado o método mais seguro para autenticação WiFi, prevenindo o roubo de credenciais e ataques AiTM.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece Autenticação, Autorização e Auditoria (AAA) centralizadas.

O protocolo que os seus pontos de acesso utilizam para perguntar ao servidor de autenticação: "Devo permitir que este dispositivo entre na rede?"

SCEP

Simple Certificate Enrollment Protocol. Um protocolo utilizado para emitir certificados de forma segura para dispositivos de rede.

Utilizado por plataformas MDM como o Intune para solicitar e instalar silenciosamente certificados de cliente em portáteis e telemóveis corporativos.

MAC Authentication Bypass (MAB)

Um método de concessão de acesso à rede baseado no endereço MAC do dispositivo e não num nome de utilizador ou certificado.

Utilizado como alternativa para dispositivos legados (como impressoras antigas ou sensores IoT) que não possuem o software necessário para realizar o handshake 802.1X.

Ataque Evil Twin

Um ponto de acesso não autorizado que se disfarça como um SSID corporativo legítimo para intercetar tráfego ou roubar credenciais.

O EAP-TLS atenua esta ameaça porque o dispositivo cliente é configurado para confiar apenas no certificado específico do servidor RADIUS corporativo legítimo.

Suplicante

O cliente de software no dispositivo final (por exemplo, o gestor de WiFi do Windows) que gere o processo de autenticação 802.1X.

As equipas de TI devem configurar o suplicante via MDM para garantir que este se comporta de forma segura e não solicita aos utilizadores que aceitem certificados de servidor não fidedignos.

Acesso Condicional

Políticas do Azure Entra ID que avaliam sinais (utilizador, localização, conformidade do dispositivo) para tomar decisões de acesso.

As soluções modernas de Cloud RADIUS podem verificar o Acesso Condicional durante o handshake de WiFi, negando o acesso à rede se o Intune marcar o dispositivo como não conforme.

Exemplos Práticos

Uma cadeia de retalho com 500 lojas precisa de proteger os iPads de suporte das lojas utilizados para a gestão de inventário. Atualmente, utilizam uma única PSK partilhada em todas as lojas. Como devem migrar para a autenticação Azure Entra ID?

  1. Registe todos os iPads no Microsoft Intune.
  2. Implemente uma solução Cloud RADIUS integrada com o tenant Entra ID corporativo.
  3. Configure o Intune para implementar um certificado SCEP em cada iPad.
  4. Aloque um perfil de WiFi através do Intune que configure os iPads para se ligarem ao SSID "Corporate-BOH" utilizando EAP-TLS, validando o certificado do servidor Cloud RADIUS.
  5. Atualize os pontos de acesso Meraki/Aruba em todas as 500 lojas para apontarem para os endereços IP do Cloud RADIUS para o SSID "Corporate-BOH".
  6. Implementação faseada: Ative o novo SSID, verifique a conectividade dos iPads através dos relatórios do Intune e, em seguida, desative o SSID com a PSK legada.
Comentário do Examinador: Esta abordagem elimina a PSK partilhada, que representa um enorme risco de segurança caso um dispositivo seja roubado. Ao utilizar EAP-TLS e o Intune, a autenticação fica vinculada ao estado de gestão do dispositivo. Se um iPad for perdido, a equipa de TI simplesmente revoga o certificado ou limpa o dispositivo no Intune, cortando instantaneamente o acesso à rede sem afetar as restantes 499 lojas.

O campus de uma universidade está a migrar do Active Directory local para o Azure Entra ID. Têm milhares de portáteis de estudantes BYOD (Bring Your Own Device) que atualmente se ligam utilizando PEAP-MSCHAPv2 (nome de utilizador e palavra-passe). Como gerem o BYOD num ambiente Entra ID prioritariamente na cloud?

  1. Implemente um portal de integração (por exemplo, SecureW2 JoinNow ou uma ferramenta de integração BYOD semelhante).
  2. Os estudantes ligam-se a um SSID "Onboarding" aberto, que os redireciona para o portal.
  3. O portal solicita ao estudante que se autentique no Azure Entra ID (utilizando o seu email universitário e MFA).
  4. Após a autenticação bem-sucedida, o portal gera um certificado de cliente exclusivo e configura automaticamente o dispositivo do estudante para EAP-TLS.
  5. O dispositivo liga-se automaticamente ao SSID seguro "Edu-Secure" utilizando o novo certificado.
Comentário do Examinador: A gestão de certificados para dispositivos BYOD não geridos é a parte mais difícil do 802.1X. Não é possível utilizar o Intune porque a universidade não é proprietária dos portáteis. A utilização de um portal de integração resolve esta lacuna, permitindo a utilização de EAP-TLS seguro sem exigir que a equipa de TI intervenha manualmente em milhares de portáteis de estudantes.

Perguntas de Prática

Q1. A sua organização está a migrar para o Azure Entra ID e o Intune. Atualmente utiliza PEAP-MSCHAPv2 para WiFi. A equipa de segurança exige que a autenticação WiFi seja resistente ao roubo de credenciais. Qual método EAP deve implementar?

Dica: Qual o método que depende inteiramente de certificados em vez de palavras-passe?

Ver resposta modelo

Deve implementar o EAP-TLS. O EAP-TLS utiliza autenticação mútua por certificado, o que significa que o dispositivo cliente deve apresentar um certificado válido emitido pela sua PKI. Como não utiliza palavras-passe, é altamente resistente ao roubo de credenciais e a ataques de adversário no meio (adversary-in-the-middle).

Q2. Após a implementação do EAP-TLS via Intune, os utilizadores relatam que não conseguem ligar-se ao WiFi. Ao analisar os registos do RADIUS, depara-se com a mensagem 'Falha na Verificação de Revogação de Certificado'. Qual é a causa mais provável?

Dica: Com que infraestrutura deve o servidor RADIUS comunicar para verificar se um certificado não foi comprometido?

Ver resposta modelo

O servidor RADIUS não consegue aceder à Lista de Revogação de Certificados (CRL) ou ao endpoint OCSP da sua Autoridade de Certificação. Certifique-se de que as firewalls permitem o acesso de saída do servidor RADIUS aos URLs HTTP especificados nos certificados dos clientes.

Q3. Um hospital precisa de ligar 50 monitores de ritmo cardíaco antigos à rede. Estes dispositivos apenas suportam WPA2-Personal (Pre-Shared Key) e não podem ser registados no Intune. Como deve protegê-los enquanto mantém a sua implementação de Entra ID 802.1X para portáteis corporativos?

Dica: Não misture tipos de autenticação no mesmo SSID.

Ver resposta modelo

Crie um SSID dedicado e separado especificamente para os dispositivos IoT médicos. Utilize uma Pre-Shared Key forte e exclusiva (ou Identity PSK/iPSK se for suportado pelo seu fornecedor de rede) ou o MAC Authentication Bypass (MAB). Fundamentalmente, coloque este SSID numa VLAN altamente restrita com Listas de Controlo de Acesso (ACLs) rigorosas que apenas permitam aos monitores comunicar com o seu servidor médico específico, bloqueando qualquer outro acesso lateral à rede.

Continue a ler esta série

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.

Ler o guia →

Passpoint e OpenRoaming: Guia Completo

Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.

Ler o guia →