Autenticação WiFi empresarial sem Active Directory ou servidor local
Este guia explica como implementar a autenticação WiFi WPA2/3-Enterprise segura sem um Active Directory local, Windows NPS ou servidor RADIUS. Abrange a incompatibilidade de protocolos entre fornecedores de identidade na nuvem e 802.1X, as vantagens do EAP-TLS face ao PEAP-MSCHAPv2 e como implementar o RADIUS na nuvem com certificados emitidos por MDM em conformidade com o Microsoft Entra ID, Okta ou Google Workspace. Escrito para responsáveis de TI em organizações focadas na nuvem e com forte presença de Mac/Chromebook que pretendem descontinuar a infraestrutura local.
Ouça este guia
Ver transcrição do podcast
📚 Parte da nossa série principal: Segurança e autenticação WiFi empresarial: o guia completo →
Executive summary
Most organisations have moved their identity to the cloud. Microsoft Entra ID, Okta, and Google Workspace now manage users, groups, and access policies for email, SaaS apps, and device management. But enterprise WiFi has not kept pace. Access points still expect a RADIUS server, and that RADIUS server has historically been Windows Network Policy Server (NPS) connected to an on-premises Active Directory domain controller.
This mismatch forces IT teams to maintain redundant on-premises infrastructure purely to keep the WiFi running. The solution is cloud RADIUS: a fully managed authentication service that speaks RADIUS to your access points and speaks OAuth2, SCIM, and SAML to your cloud identity provider. Pair it with EAP-TLS certificate delivery via your MDM, and you have a complete 802.1X deployment with no on-premises servers, no OS patching, and instant access revocation tied directly to your cloud directory.
Purple operates cloud RADIUS across 80,000+ venues globally, with 99.999% uptime (Purple internal data, 2024) and native integrations with Microsoft Entra ID, Okta, and Google Workspace. You can be live on your existing Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet access points in under an hour.
Technical deep-dive
The protocol mismatch at the heart of the problem
The fundamental challenge is that cloud identity providers and WiFi access points speak entirely different languages. Microsoft Entra ID (formerly Azure AD) authenticates users via SAML, OIDC, and OAuth2 - the protocols that browsers and SaaS apps use. WiFi access points use RADIUS (Remote Authentication Dial-In User Service, RFC 2865), a UDP-based protocol designed in the 1990s for dial-up and VPN. Microsoft has never shipped a native RADIUS endpoint for Entra ID. You cannot point a Meraki or Aruba access point directly at Azure and expect 802.1X to work.
This is the wall that every cloud-first IT team hits when they try to secure Staff WiFi with WPA2-Enterprise or WPA3-Enterprise. Something has to bridge the gap between the access point and the cloud identity provider. That something is cloud RADIUS.
Why PEAP-MSCHAPv2 fails without Active Directory
Historically, 802.1X deployments relied on PEAP-MSCHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2). The user typed their username and password, the access point forwarded the request to the RADIUS server, and the RADIUS server validated the password against an NTLM hash stored in Active Directory.
Microsoft Entra ID does not store NTLM hashes. This is not a configuration gap - it is a deliberate architectural decision. Entra ID is a modern cloud identity provider, not a domain controller. Consequently, a RADIUS server pointed at Entra ID cannot validate a PEAP-MSCHAPv2 challenge. The only way to make PEAP work with Entra ID is to deploy Entra Domain Services, a paid managed Active Directory that synchronises from Entra ID, and then run NPS against that. This reintroduces most of what you were trying to eliminate: Windows Server VMs, OS patching, NTLM hash storage, and manual certificate management.
EAP-TLS: the right answer for cloud-first organisations
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security, RFC 5216) replaces passwords with X.509 digital certificates. The device presents a certificate to the RADIUS server. The RADIUS server validates the certificate against a trusted Certificate Authority (CA). Because there is no password in the exchange, the RADIUS server does not need an NTLM hash store. It needs only to trust the CA and to check the user's group membership in the identity provider to apply the correct VLAN and access policy.
EAP-TLS is phishing-resistant by design. There is no credential to steal. It satisfies CISA guidance on phishing-resistant multi-factor authentication and aligns with PCI DSS requirements for strong authentication on networks that handle cardholder data. It is the authentication method recommended by IEEE 802.1X for managed device fleets.
Cloud-first 802.1X authentication architecture: devices authenticate via EAP-TLS through Purple's cloud RADIUS, which validates certificates and applies group-based policy from Entra ID, Okta, or Google Workspace.
How MDM replaces the on-premises CA
In a traditional 802.1X deployment, certificates were issued by an on-premises Certificate Authority running Active Directory Certificate Services (AD CS). In a cloud-first deployment, the MDM takes over this role using SCEP (Simple Certificate Enrollment Protocol). Microsoft Intune, Jamf Pro, and other MDM platforms can request certificates from a cloud-hosted CA and push them silently to managed devices.
The flow works as follows. The IT administrator creates a SCEP certificate profile in the MDM, scoped to the device groups that require WiFi access. The MDM pushes the certificate to Windows, macOS, iOS, iPadOS, Android Enterprise, and ChromeOS devices automatically. The user sees nothing. The certificate is bound to the device identity in the MDM and renews automatically before expiry. When the device connects to the WiFi, it presents the certificate to the cloud RADIUS server, which validates it against the CA and applies the correct network policy.
For organisations using Microsoft Intune, Microsoft Cloud PKI provides a fully managed CA that integrates directly with Intune SCEP profiles, eliminating the need for an on-premises NDES (Network Device Enrollment Service) server. For Jamf-managed Mac and iOS fleets, Jamf's built-in CA or a third-party cloud CA serves the same purpose.
SCIM and instant access revocation
One of the most operationally important aspects of cloud RADIUS is SCIM (System for Cross-domain Identity Management) provisioning. SCIM is an open standard that pushes identity changes from the source of truth - your cloud identity provider - to dependent systems in real time. When an employee is disabled in Entra ID or Okta, SCIM pushes that change to the cloud RADIUS service immediately. The next time the device attempts to authenticate, the RADIUS server returns Access-Reject. With a short session timeout configured on the access point, the device is removed from the network within minutes of the account being disabled.
This is a material security improvement over shared PSK networks, where the only way to revoke access is to change the password across every device, and over legacy RADIUS deployments that rely on periodic LDAP syncs with a window of hours or days.
RadSec: securing RADIUS traffic over the internet
Traditional RADIUS uses UDP and provides only basic message authentication. When your RADIUS server is in the same data centre as your access points, this is acceptable. When your RADIUS server is a cloud service, the authentication traffic traverses the public internet. RadSec (RADIUS over TLS, RFC 6614) encrypts the RADIUS exchange using TLS, providing confidentiality and integrity for authentication traffic. Purple supports RadSec natively, with IPsec fallback for access points that do not yet support RadSec.
Implementation guide
Deploying cloud RADIUS with EAP-TLS requires four coordinated steps. A pilot SSID can be live in under an hour if Entra ID and an MDM are already in place.
Step 1: Connect cloud RADIUS to your identity provider
Connect Purple to your identity provider via OAuth2 admin consent (for Entra ID) or API token (for Okta and Google Workspace). This authorises Purple to read users, groups, and group memberships from the directory. Configure SCIM provisioning to push user state changes to Purple in real time. No service principal credentials are stored on disk. Group changes propagate on the next authentication event, not on a sync schedule.
Step 2: Configure your MDM and SCEP profile
In Microsoft Intune, create a Trusted Certificate Profile for the CA root, then create a SCEP certificate profile pointing at the Purple-managed CA. Scope both profiles to the device groups that require WiFi access. For Jamf, configure a SCEP payload in a configuration profile. The MDM pushes the certificates silently. Verify certificate delivery in the MDM compliance dashboard before proceeding.
Step 3: Define network policies in the cloud RADIUS dashboard
Create RADIUS policies that map identity provider groups to specific VLANs and access controls. For example, map the Entra ID group "Staff-Finance" to VLAN 20 with full internet access, and map "Staff-Contractors" to VLAN 30 with time-limited access that expires automatically. Purple's dashboard applies these policies at the point of authentication, with no firewall changes required.
Step 4: Update access point configuration
Update the SSID configuration on your access points to use WPA2-Enterprise or WPA3-Enterprise with 802.1X. Enter the Purple cloud RADIUS primary and secondary endpoint hostnames or IP addresses, along with the shared secret. Configure the access points to use dynamic VLAN assignment based on the RADIUS attributes returned by Purple. Test with a single SSID on a subset of access points before rolling out across the estate.
Cloud RADIUS vs on-premises RADIUS: a direct comparison across deployment time, Active Directory dependency, high availability, OS patching, identity integration, and certificate lifecycle management.
Best practices
These recommendations reflect IEEE 802.1X standards, PCI DSS v4.0 requirements, and operational experience across Purple's 80,000+ venue estate.
Mandate EAP-TLS for managed devices. Passwords are susceptible to phishing and credential stuffing. Certificates provide cryptographic proof of identity and device compliance. EAP-TLS is the only 802.1X method that is phishing-resistant by design.
Use SCIM for instant revocation. Periodic LDAP syncs leave a window where a terminated employee retains network access. SCIM ensures access is revoked the moment the account is disabled in the identity provider.
Deploy multi-region RADIUS. Configure your access points with at least two RADIUS endpoints in different geographic regions. Purple provides active-active multi-region failover by default, with failover completing in seconds.
Segment traffic with dynamic VLANs. Use identity provider group memberships to assign users to specific VLANs dynamically. This isolates sensitive traffic and limits the blast radius of a compromised device without requiring manual firewall changes.
Enable RadSec. If your access points support RadSec, enable it to encrypt authentication traffic between the access point and the cloud RADIUS server. This is particularly important for branch offices and venues where the access point is on an untrusted network segment.
Monitor certificate lifecycle. Set MDM auto-renewal to trigger at 80% of the certificate lifetime. For a one-year certificate, renewal begins at the 10-month mark. Alert on devices that fail to renew before the certificate expires.
For a broader treatment of enterprise WiFi security standards and frameworks, see our Enterprise WiFi Security: A Complete Guide for 2026 .
Troubleshooting and risk mitigation
Transitioning to cloud RADIUS introduces new dependencies. Prepare for these common failure modes before they affect production.
Certificate expiration. If a device certificate expires before the MDM renews it, the device fails authentication silently. The user sees a connection error with no explanation. Mitigate by configuring MDM auto-renewal at 80% of certificate lifetime and monitoring the MDM compliance dashboard for devices with expiring certificates.
MDM sync failures. A device that falls out of MDM compliance or fails to check in may not receive a renewed certificate. Implement compliance policies that flag unhealthy devices and alert administrators before the certificate expires.
Firewall blocking RADIUS traffic. The access points must reach the cloud RADIUS endpoints on UDP port 1812 (authentication) and UDP port 1813 (accounting), or TCP port 2083 for RadSec. Outbound firewall rules at branch offices frequently block these ports. Test reachability from the access point management VLAN before deployment.
SCIM provisioning failures. If the SCIM connection between the identity provider and Purple is interrupted, user state changes will not propagate. Monitor SCIM sync status in both the identity provider and the Purple dashboard. Configure alerting for sync failures.
Legacy devices without certificate support. IoT devices, printers, and older hardware may not support EAP-TLS. For these devices, use iPSK (individual pre-shared keys) rather than a shared PSK. Purple supports iPSK natively, assigning a unique key per device and placing each device on the correct VLAN without requiring 802.1X supplicant support.
ROI and business impact
Migrating from on-premises RADIUS to cloud RADIUS delivers measurable value across infrastructure, operations, and security.
| Dimension | On-premises NPS | Cloud RADIUS (Purple) |
|---|---|---|
| Infrastructure cost | Windows Server licences, VM compute, storage | Per-AP subscription, no server hardware |
| Time to deploy | Days to weeks | Under one hour |
| High availability | Manual - two servers plus replication | Multi-region active-active, default |
| OS patching | Monthly, your team | Vendor-managed |
| WiFi helpdesk tickets | High - password resets, manual onboarding | Down 80% (Purple customer data) |
| Access revocation | Hours to days via LDAP sync | Seconds via SCIM |
IT teams using Purple's Staff WiFi typically see WiFi support tickets drop by 80% (Purple internal data, 2024), driven by the elimination of password resets and manual device onboarding. Certificate-based authentication also satisfies PCI DSS requirement 8.3 for strong authentication and ISO 27001 control A.9.4 for system and application access control, reducing the audit burden on your security team.
For organisations in retail and hospitality , the ability to manage Staff WiFi and Guest WiFi from a single cloud dashboard - with a unified identity layer - reduces operational complexity across multi-site estates. For transport operators and healthcare providers, the instant revocation capability and full audit trail satisfy regulatory requirements without additional tooling.
Purple's WiFi Analytics layer adds occupancy and hybrid working data on top of the authentication infrastructure, turning Staff WiFi from a cost centre into a source of operational intelligence.
Related reading: Enterprise WiFi Security: A Complete Guide for 2026 - OpenWrt Custom Firmware Integration with Purple WiFi
Definições Principais
802.1X
Uma norma IEEE (IEEE 802.1X-2020) para controlo de acesso à rede baseado em portas. Exige que os dispositivos se autentiquem antes de o ponto de acesso conceder acesso à rede, utilizando uma troca EAP mediada por um servidor RADIUS.
As equipas de TI utilizam o 802.1X para garantir que apenas utilizadores e dispositivos autorizados se ligam à rede corporativa. Este fornece encriptação por utilizador, chaves por sessão e um registo de auditoria completo de cada evento de ligação.
RADIUS
Remote Authentication Dial-In User Service (RFC 2865). Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para acesso à rede.
Os pontos de acesso encaminham todos os pedidos de ligação para o servidor RADIUS, que decide se admite o dispositivo e qual a VLAN a atribuir-lhe. O Cloud RADIUS substitui os servidores NPS ou FreeRADIUS locais.
EAP-TLS
Extensible Authentication Protocol-Transport Layer Security (RFC 5216). Um método de autenticação 802.1X que utiliza a troca mútua de certificados X.509 em vez de palavras-passe.
O EAP-TLS é o padrão de excelência para frotas de dispositivos geridos. É resistente a phishing, não requer armazenamento de hashes de palavras-passe e é o único método 802.1X que cumpre as orientações de MFA resistente a phishing da CISA.
PEAP-MSCHAPv2
Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2. Um método 802.1X legado que valida palavras-passe contra hashes NTLM armazenados no Active Directory.
O PEAP-MSCHAPv2 falha em ambientes exclusivamente na nuvem porque o Entra ID não armazena hashes NTLM. As organizações que estão a migrar do AD local devem substituir o PEAP pelo EAP-TLS.
SCEP
Simple Certificate Enrollment Protocol. Um protocolo utilizado por plataformas MDM para solicitar e instalar automaticamente certificados digitais em dispositivos, sem interação do utilizador.
As equipas de TI utilizam o SCEP com o Intune ou o Jamf para aprovisionar silenciosamente certificados WiFi em dispositivos de colaboradores. O SCEP substitui o servidor NDES (Network Device Enrollment Service) local em implementações prioritariamente na nuvem.
SCIM
System for Cross-domain Identity Management (RFC 7644). Uma norma aberta que automatiza a troca em tempo real de informações de identidade de utilizadores entre sistemas de TI.
O SCIM garante que, quando um colaborador é desativado no Entra ID ou Okta, essa alteração é enviada imediatamente para o serviço Cloud RADIUS, revogando o acesso WiFi em segundos em vez de horas.
NPS
Network Policy Server. A implementação de RADIUS da Microsoft, normalmente executada em Windows Server como parte de um ambiente Active Directory local.
As organizações focadas na nuvem estão a descontinuar o NPS para eliminar VMs de Windows Server, atualizações de SO e a dependência do Active Directory local. O Cloud RADIUS é a substituição direta.
RadSec
RADIUS sobre TLS (RFC 6614). Um protocolo que encripta o tráfego de autenticação RADIUS utilizando TLS, substituindo o transporte de texto simples baseado em UDP utilizado pelo RADIUS tradicional.
O RadSec é essencial ao utilizar o Cloud RADIUS, uma vez que o tráfego de autenticação deve atravessar a internet pública entre o ponto de acesso e o serviço de nuvem. O Purple suporta RadSec nativamente.
iPSK
Individual Pre-Shared Key. Uma variante do WPA2-Personal que atribui uma chave pré-partilhada única a cada dispositivo, em vez de uma única chave partilhada para todos os dispositivos.
O iPSK é utilizado para dispositivos IoT, impressoras e outro hardware que não suporta 802.1X EAP-TLS. Fornece responsabilização por dispositivo e atribuição de VLAN sem necessitar de suporte para certificados.
Dynamic VLAN
Uma técnica de segmentação de rede onde o servidor RADIUS devolve um identificador de VLAN na resposta Access-Accept, e o ponto de acesso coloca o dispositivo nessa VLAN automaticamente.
As VLANs dinâmicas permitem que as equipas de TI segmentem funcionários, prestadores de serviços, dispositivos IoT e convidados em segmentos de rede separados com base na pertença a grupos do fornecedor de identidade, sem alterações manuais na firewall.
Exemplos Práticos
Uma cadeia de retalho com 400 lojas precisa de proteger o WiFi dos funcionários em todas as localizações. Utilizam pontos de acesso Cisco Meraki e o Microsoft Entra ID com o Intune para a gestão de dispositivos. Atualmente, utilizam uma PSK WPA2-Personal partilhada porque não têm Active Directory local para executar o NPS. Uma auditoria interna recente sinalizou a PSK partilhada como uma falha de conformidade com a norma PCI DSS.
A cadeia de retalho implementa o RADIUS na nuvem da Purple. Primeiro, ligam a Purple ao Entra ID através do consentimento de administrador OAuth e configuram o aprovisionamento SCIM. No Intune, criam um Perfil de Certificado Fidedigno para a AC raiz da Purple e um perfil de certificado SCEP direcionado ao grupo de dispositivos 'Staff-Retail'. O Intune envia silenciosamente os certificados para todos os terminais de ponto de venda geridos e tablets dos funcionários. No painel da Meraki, atualizam o SSID dos funcionários para WPA2-Enterprise, introduzem os endpoints primário e secundário do RADIUS na nuvem da Purple e ativam a atribuição dinâmica de VLAN. Quando um dispositivo se liga, apresenta o seu certificado emitido pelo Intune, a Purple valida-o face à AC e verifica o grupo do Entra ID, e o dispositivo é colocado na VLAN 10 (rede de funcionários) ou na VLAN 20 (rede de gestão) com base na pertença ao grupo. A PSK partilhada é desativada. A implementação nas 400 lojas demora um fim de semana, uma vez que não é implementado hardware local - apenas alterações de configuração de SSID na Meraki.
Uma universidade com 15.000 estudantes utiliza o Google Workspace como o seu fornecedor de identidade principal. A equipa de TI pretende fornecer WiFi seguro para funcionários e estudantes num parque de dispositivos BYOD composto por MacBooks, Chromebooks e telemóveis Android. Não têm Active Directory local nem interesse em gerir servidores.
A universidade integra o RADIUS na nuvem da Purple com o Google Workspace. Para os Chromebooks geridos, utilizam a Consola de Administração do Google para enviar um perfil de certificado WiFi via SCEP, registando silenciosamente cada dispositivo. Para os MacBooks e telemóveis Android BYOD, implementam uma aplicação de integração leve que autentica o utilizador com as suas credenciais do Google e instala um certificado no dispositivo com um único toque. As ligações subsequentes utilizam EAP-TLS de forma silenciosa. A Purple mapeia as Unidades Organizacionais do Google Workspace para VLANs: os funcionários entram na VLAN 10, os estudantes na VLAN 20 e os visitantes convidados num SSID de Captive Portal. Quando um estudante se licencia e a sua conta Google é suspensa, o SCIM envia a alteração para a Purple e o seu acesso WiFi é revogado em poucos minutos.
Perguntas de Prática
Q1. A sua organização migrou totalmente do Active Directory local para o Microsoft Entra ID. O seu WiFi de funcionários atual utiliza PEAP-MSCHAPv2 contra um servidor NPS que estava associado ao domínio antigo. Após a desativação do controlador de domínio, os funcionários relatam que já não conseguem ligar-se ao WiFi. Qual é a causa raiz e qual é a correção correta a longo prazo?
Dica: Considere o que o PEAP-MSCHAPv2 exige do diretório e se o Entra ID o fornece.
Ver resposta modelo
A causa raiz é que o PEAP-MSCHAPv2 exige que o servidor RADIUS valide a palavra-passe do utilizador contra um hash NTLM armazenado no Active Directory. Com o controlador de domínio desativado, o NPS não tem nenhum diretório contra o qual validar. O Entra ID não armazena hashes NTLM, pelo que o NPS não pode ser redirecionado para o Entra ID. A correção correta a longo prazo é substituir o NPS por um serviço de cloud RADIUS, migrar de PEAP-MSCHAPv2 para EAP-TLS e utilizar o MDM (Intune) para emitir certificados de dispositivo via SCEP. Isto elimina a dependência de qualquer diretório local.
Q2. Está a implementar o cloud RADIUS para uma frota de 200 dispositivos MacBooks corporativos geridos pelo Jamf Pro. O seu fornecedor de identidade é o Okta. Qual é a forma mais segura e operacionalmente eficiente de aprovisionar as credenciais de WiFi para estes dispositivos?
Dica: Procure um método que não exija interação do utilizador, evite palavras-passe e se integre com o seu MDM existente.
Ver resposta modelo
Configure o Jamf Pro para utilizar SCEP para enviar silenciosamente certificados de dispositivo para os MacBooks. Crie um payload SCEP num perfil de configuração do Jamf, apontando para a CA gerida pelo seu fornecedor de cloud RADIUS. Defina o âmbito do perfil para o grupo de dispositivos relevante. O Jamf enviará o certificado para cada MacBook automaticamente, sem qualquer interação do utilizador. Configure o perfil de WiFi no mesmo perfil de configuração para utilizar EAP-TLS com o certificado emitido por SCEP. Ligue o serviço de cloud RADIUS ao Okta via SCIM para garantir que, quando um funcionário for desativado no Okta, o seu acesso ao WiFi seja revogado imediatamente.
Q3. Um funcionário é despedido às 9:00 de uma segunda-feira. A sua conta do Entra ID é desativada pelos RH às 9:05. Às 9:30, um alerta de segurança mostra que o portátil do funcionário ainda está ligado ao WiFi corporativo a partir do parque de estacionamento. Que configuração está em falta e como a resolve?
Dica: Como é que o servidor RADIUS sabe que o estado do utilizador foi alterado no fornecedor de identidade?
Ver resposta modelo
A implementação está a depender de sincronizações LDAP periódicas em vez de aprovisionamento SCIM. A sincronização LDAP ainda não foi executada desde que a conta foi desativada, pelo que o serviço de cloud RADIUS ainda considera o utilizador ativo. A solução é ativar o aprovisionamento SCIM entre o Entra ID e o serviço de cloud RADIUS. O SCIM envia as alterações de estado do utilizador em tempo real, pelo que, quando a conta é desativada no Entra ID às 9:05, o serviço RADIUS recebe a alteração imediatamente. Na próxima vez que o dispositivo tentar reautenticar-se (controlado pelo tempo limite da sessão no ponto de acesso), receberá um Access-Reject. Definir um tempo limite de sessão curto (15 a 30 minutos) no ponto de acesso limita a janela máxima entre a desativação da conta e a expulsão da rede.
Q4. O seu espaço tem 50 dispositivos IoT - leitores de sinalização digital, sensores ambientais e impressoras - que não suportam 802.1X EAP-TLS. Como protege estes dispositivos na mesma infraestrutura de WiFi que a sua rede de funcionários EAP-TLS?
Dica: Considere qual o método de autenticação que fornece responsabilidade por dispositivo sem exigir suporte a certificados.
Ver resposta modelo
Utilize iPSK (chaves pré-partilhadas individuais) para os dispositivos IoT. Atribua uma chave pré-partilhada única a cada dispositivo no painel do cloud RADIUS, juntamente com uma atribuição de VLAN. Cada dispositivo autentica-se com a sua chave única, que o servidor RADIUS valida e utiliza para colocar o dispositivo na VLAN de IoT, isolada da rede de funcionários. Se um dispositivo for comprometido ou desativado, revoga apenas a chave desse dispositivo sem afetar nenhum outro. Esta abordagem fornece responsabilidade por dispositivo e segmentação de rede sem exigir suporte a suplicante 802.1X no hardware IoT.
Continue a ler esta série
Três SSIDs para governar todos: guia de configuração de WiFi para convidados, Passpoint e IoT
Este guia técnico fornece um modelo definitivo para implementar o design de três SSIDs WiFi em recintos empresariais. Detalha a configuração de um portal de Guest WiFi aberto, adesão automatizada ao Passpoint e autenticação xPSK por dispositivo para obter uma segmentação VLAN completa e acesso à rede zero-trust.
Três SSIDs para a todos governar: guia de configuração de WiFi para convidados, funcionários e IoT
Este guia de referência técnica autoritário fornece um plano passo a passo para implementar uma arquitetura de três SSIDs de WiFi. Explica como segmentar o tráfego de convidados, funcionários e IoT utilizando Captive Portals, 802.1X RADIUS e PSK por dispositivo (xPSK) para otimizar o desempenho e garantir a conformidade com o PCI DSS.
Como revogar o acesso WiFi quando um colaborador sai
Este guia detalha como revogar o acesso WiFi quando um colaborador sai, substituindo palavras-passe partilhadas inseguras por certificados 802.1X por utilizador ou iPSK. Abrange o desaprovisionamento automatizado via SCIM para cumprir os requisitos de auditoria ISO 27001 e SOC 2.