Integrar o RADIUS as a Service com Diretórios Cloud (Azure AD & Google Workspace)

Resumo Executivo

Para as empresas modernas que investem em ecossistemas de identidade na nuvem, a ligação entre diretórios na nuvem e redes sem fios físicas é um imperativo de segurança crítico. Historicamente, a autenticação WiFi dependia do Active Directory Domain Services local e do Windows Network Policy Server (NPS). À medida que as organizações migram para o Microsoft Entra ID e Google Workspace, essa pilha de autenticação local torna-se um fardo - dispendiosa de manter, difícil de dimensionar e incompatível com modelos de segurança zero-trust.

O RADIUS como Serviço (RADIUSaaS) altera esta equação. Um servidor RADIUS alojado na nuvem integra-se diretamente com o seu diretório na nuvem, valida pedidos de autenticação em tempo real e devolve decisões de acesso aos seus pontos de acesso - sem servidores locais, sem ciclos de atualização e sem pontos únicos de falha. Combinada com a autenticação baseada em certificados EAP-TLS, esta arquitetura elimina o roubo de credenciais, apoia a conformidade com a PCI DSS e o GDPR, e proporciona uma experiência fluida para os colaboradores em todos os locais.

Este guia aborda a decisão de arquitetura entre o NPS local e o RADIUS nativo da nuvem, a implementação de EAP-TLS através do Microsoft Intune e da Consola de Administração do Google, e as melhores práticas operacionais para proteger o acesso sem fios em hotéis, superfícies comerciais, estádios e espaços do setor público. Para uma introdução mais ampla ao controlo de acessos à rede, consulte A Guide to Your Network Access Control System .

Análise Técnica Profunda: Arquitetura e Padrões

O papel do RADIUS e do IEEE 802.1X

A base de um WiFi empresarial seguro é o padrão IEEE 802.1X, que fornece controlo de acesso à rede baseado em portas. Quando um dispositivo cliente (o suplicante) tenta ligar-se a uma rede WPA2-Enterprise ou WPA3-Enterprise, o Ponto de Acesso Sem Fios (o autenticador) bloqueia todo o tráfego exceto os pacotes EAP (Extensible Authentication Protocol). O AP reencaminha estes pacotes para um servidor RADIUS. O servidor RADIUS valida a identidade face a um serviço de diretório e devolve uma mensagem de Access-Accept ou Access-Reject. Só então o AP concede o acesso à rede.

Este modelo de três partes - suplicante, autenticador, servidor de autenticação - é a pedra angular da segurança sem fios empresarial e está definido no IEEE 802.1X. Não mudou fundamentalmente desde a sua introdução. O que mudou foi o local onde o servidor RADIUS reside e a forma como este comunica com o seu diretório.

Arquitetura RADIUS nativa da nuvem

Uma arquitetura RADIUS cloud-native elimina a necessidade de servidores NPS ou FreeRADIUS locais. Um fornecedor de Cloud RADIUS de terceiros integra-se diretamente com o Microsoft Entra ID através da Microsoft Graph API, ou com o Google Workspace através do Google Secure LDAP ou SAML/OAuth. A autenticação ocorre inteiramente na nuvem. Isto alinha-se com os princípios de zero-trust network access e reduz significativamente os custos operacionais.

A tabela abaixo compara as duas principais abordagens arquiteturais:

EAP-TLS vs. PEAP-MSCHAPv2: a decisão crítica

A escolha do método EAP é a decisão de segurança mais consequente nesta implementação. O PEAP-MSCHAPv2 baseia-se na introdução das credenciais de domínio pelos utilizadores. Isto é vulnerável a roubo de credenciais e a ataques man-in-the-middle. Se um dispositivo cliente não validar estritamente o certificado do servidor RADIUS — e muitos não o fazem por predefinição —, um atacante pode implementar um ponto de acesso falso com o seu SSID, intercetar o handshake EAP e capturar credenciais. Trata-se de um ataque Evil Twin, amplamente documentado.

O EAP-TLS (Transport Layer Security) utiliza certificados digitais instalados no dispositivo cliente para autenticação mútua. Tanto o cliente como o servidor provam a sua identidade criptograficamente. Não existem palavras-passe para digitar ou roubar. Num ambiente Microsoft, os certificados são implementados silenciosamente através do Microsoft Intune utilizando perfis SCEP (Simple Certificate Enrollment Protocol) ou PKCS. Este é o caminho recomendado para todas as novas implementações e é essencial para a conformidade com a norma PCI DSS v4.0 (Requisito 8.3 sobre autenticação forte) e as obrigações de proteção de dados do GDPR.

Google Workspace: a diferença arquitetural

O Microsoft Entra ID e o Google Workspace diferem num aspeto importante para a integração RADIUS. O Microsoft NPS integra-se nativamente com o Active Directory, e os fornecedores de Cloud RADIUS ligam-se ao Entra ID através da Microsoft Graph API. O Google, no entanto, não oferece um serviço RADIUS nativo. Necessitará sempre de um intermediário.

O Google Secure LDAP é o principal caminho de integração. Disponível nas edições Cloud Identity Premium e Google Workspace Enterprise, fornece uma interface LDAP tradicional para o seu diretório na nuvem. O seu servidor Cloud RADIUS liga-se ao ldap.google.com na porta 636 utilizando certificados de cliente que o Google gera para si. A partir desse ponto, o servidor RADIUS consulta o diretório do Google para validar credenciais ou membros de grupos, tal como consultaria um Active Directory local.

Um caminho alternativo utiliza a integração baseada em SAML, onde o fornecedor de Cloud RADIUS se regista como uma aplicação SAML na Google Admin Console e realiza uma pesquisa OAuth no momento da autenticação para verificar a identidade do utilizador e a filiação em grupos em tempo real.

Guia de implementação

A implementação do RADIUSaaS com EAP-TLS requer a coordenação da identidade, da gestão de dispositivos e da infraestrutura de rede. A seguinte abordagem em cinco fases aplica-se tanto a ambientes Microsoft Entra ID como a Google Workspace.

Fase 1: preparar a infraestrutura de gestão de identidade e dispositivos

Para o Microsoft Entra ID: verifique se o seu inquilino tem licenciamento Microsoft 365 E3/E5 ou Enterprise Mobility + Security (EMS) E3/E5. Isto inclui o Microsoft Intune e o Acesso Condicional. Sem o Intune, a implementação automatizada de certificados não é possível.

Para o Google Workspace: confirme que possui o Cloud Identity Premium ou o Google Workspace Enterprise para aceder ao Google Secure LDAP. Se planeia utilizar EAP-TLS em Chromebooks geridos, certifique-se de que a Google Admin Console está configurada para gerir certificados de dispositivos.

Estabeleça a sua Infraestrutura de Chaves Públicas (PKI). Para novas implementações, recomenda-se vivamente uma PKI nativa da nuvem fornecida pelo seu fornecedor de Cloud RADIUS. As alternativas incluem o Microsoft Cloud PKI (disponível com licenciamento Intune Suite) ou uma implementação ADCS local existente ligada através do Microsoft Intune Certificate Connector.

Fase 2: configurar a implementação de certificados

Caminho do Microsoft Intune: no centro de administração do Intune, crie um perfil de configuração de Certificado Fidedigno. Carregue o certificado da Root CA e implemente-o nos seus grupos de dispositivos de destino. Isto garante que os dispositivos de cliente confiam no certificado apresentado pelo servidor RADIUS durante o handshake TLS. Em seguida, crie um perfil de Certificado SCEP. Para autenticação baseada no utilizador, defina o Nome do Sujeito para CN={{UserPrincipalName}}. Para autenticação baseada no dispositivo, utilize CN={{DeviceName}}. Defina o Nome Alternativo do Sujeito para incluir o User Principal Name ou o ID do dispositivo.

Caminho da Google Admin Console: navegue para Dispositivos, depois Redes, e depois Certificados. Carregue a sua Root CA. Configure um mecanismo de emissão de certificados - seja uma PKI na nuvem que suporte a integração SCEP com o Google Workspace, ou o Google Cloud Certificate Connector que faz o proxy dos pedidos para uma Autoridade de Certificação Microsoft local. Implemente a Root CA e os perfis de certificado de cliente nas Unidades Organizacionais apropriadas.

Fase 3: configurar a integração do Cloud RADIUS

Conceda ao seu fornecedor de Cloud RADIUS as permissões de API necessárias no seu inquilino de diretório. Para o Entra ID, isto requer no mínimo User.Read.All e GroupMember.Read.All via Microsoft Graph API. Alguns fornecedores também requerem Device.Read.All para verificações de conformidade de dispositivos. Para o Google Workspace via Secure LDAP, transfira o certificado e a chave do cliente a partir da Consola do Administrador do Google e instale-os no serviço RADIUS.

Defina as suas políticas de autenticação no portal de gestão do Cloud RADIUS. Uma política bem estruturada para um ambiente empresarial: "Permitir acesso se o certificado for emitido por [Trusted CA] E o utilizador for membro do grupo [Corporate-WiFi-Users] E o dispositivo estiver marcado como Conforme no Intune." Isto impõe simultaneamente a identidade, a pertença a grupos e a integridade do dispositivo.

Fase 4: configurar a infraestrutura sem fios

No seu controlador LAN sem fios ou painel de gestão na cloud - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet - adicione os endereços IP do servidor Cloud RADIUS e os segredos partilhados como servidores de autenticação RADIUS. Configure servidores primários e secundários para redundância. Defina o tempo limite (timeout) do RADIUS para um mínimo de cinco segundos para acomodar a latência de ida e volta da cloud.

Crie um novo SSID configurado para WPA2-Enterprise ou WPA3-Enterprise. Para implementações em Hotelaria , certifique-se de que o SSID corporativo está numa VLAN separada de qualquer rede de Guest WiFi . Para ambientes de Retalho , considere a implementação do SSID corporativo apenas em áreas reservadas.

Fase 5: implementar perfil de WiFi via MDM

Microsoft Intune: crie um perfil de configuração de WiFi. Defina o SSID para corresponder exatamente à configuração da sua infraestrutura. Selecione WPA2-Enterprise ou WPA3-Enterprise. Nas definições de EAP, selecione EAP-TLS. Associe o perfil de certificado SCEP como o certificado do cliente e especifique o perfil da CA de Raiz Fidedigna. Atribua este perfil de WiFi aos mesmos grupos de dispositivos que receberam os perfis de certificado. Os dispositivos recebem silenciosamente o certificado e a configuração de WiFi durante a próxima sincronização do Intune.

Consola do Administrador do Google: navegue para Dispositivos, depois Redes e, em seguida, Wi-Fi. Crie um novo perfil de rede WiFi. Defina o SSID, selecione WPA3-Enterprise, escolha EAP-TLS e envie o certificado da CA de Raiz fidedigna para os dispositivos. Aplique este perfil às suas Unidades Organizacionais. Os Chromebooks ligam-se de forma silenciosa e segura.

Melhores práticas

Exija EAP-TLS em todas as novas implementações. Não implemente novas redes utilizando PEAP-MSCHAPv2. Os riscos de segurança estão bem documentados e o caminho de migração é simples com as ferramentas modernas de MDM.

Imponha uma validação rigorosa do certificado do servidor. Se tiver de utilizar PEAP para dispositivos legados, configure os dispositivos para validar o certificado do servidor RADIUS. No perfil de WiFi do Intune e no perfil de WiFi do Google Admin Console, existe um campo para especificar a CA fidedigna para a validação do servidor. Não deixe este campo em branco. Esta única decisão de configuração é a diferença entre uma implementação segura e uma vulnerável.

Segmente a sua rede com atribuição dinâmica de VLAN. Utilize o seu servidor RADIUS para inspecionar a filiação em grupos do utilizador no Entra ID ou no Google Workspace e atribua-os dinamicamente a diferentes VLANs. O servidor RADIUS devolve o atributo Tunnel-Private-Group-Id ao ponto de acesso, que coloca o cliente na VLAN correta. Isto limita o movimento lateral no caso de uma quebra de segurança e suporta os requisitos de segmentação de rede PCI DSS.

Separe a autenticação corporativa da de convidados. Utilize EAP-TLS para dispositivos geridos pela empresa. Utilize um Captive Portal com SSO para dispositivos BYOD e de convidados. Tentar configurar manualmente o EAP-TLS em dispositivos não geridos cria uma sobrecarga de suporte excessiva. A plataforma de Guest WiFi da Purple lida com a integração de convidados separadamente, mantendo uma separação limpa entre o tráfego de funcionários e o de visitantes.

Monitorize a expiração de certificados proativamente. Configure a monitorização e os alertas para 90 dias, 30 dias e sete dias antes da expiração do certificado. Se o certificado do seu servidor RADIUS expirar, todos os dispositivos perdem a conectividade em simultâneo. Automatize a renovação sempre que a sua PKI o suporte.

Teste as definições de timeout do RADIUS. O Cloud RADIUS introduz uma latência de ida e volta na rede que o NPS local não introduz. Defina o timeout do RADIUS nos seus pontos de acesso para, pelo menos, cinco segundos. Um timeout de dois segundos - comum em configurações padrão - causará falhas de autenticação intermitentes.

Resolução de problemas e mitigação de riscos

Portas de firewall bloqueadas são a principal causa de falhas na implementação inicial. A autenticação RADIUS requer a porta UDP 1812 de saída da sua infraestrutura sem fios para o serviço Cloud RADIUS. A monitorização de acessos (accounting) RADIUS requer a porta UDP 1813. Verifique se estas portas estão abertas antes de qualquer outra resolução de problemas.

Falhas na validação de certificados apresentam-se como rejeições de autenticação sem causa óbvia. Verifique o seguinte por ordem: expiração do certificado tanto no cliente como no servidor RADIUS; desvio de hora (clock skew) entre o dispositivo cliente e o servidor RADIUS (o EAP-TLS depende de uma marcação de hora precisa); e se o certificado de CA Raiz foi implementado com sucesso no dispositivo via MDM.

Não aplicação da filiação em grupos é um problema comum quando as políticas de RADIUS referenciam grupos do Entra ID ou do Google Workspace. Verifique se o fornecedor de Cloud RADIUS tem as permissões de API corretas para ler as filiações em grupos. No Entra ID, confirme que o principal de serviço tem GroupMember.Read.All. No Google Workspace, confirme que o cliente Secure LDAP tem permissão para ler informações de grupo.

A atribuição de VLAN não está a funcionar indica tipicamente uma incompatibilidade entre os valores dos atributos RADIUS e os IDs de VLAN configurados na infraestrutura sem fios. Confirme se o Tunnel-Type está definido como VLAN (valor 13), o Tunnel-Medium-Type está definido como 802 (valor 6) e o Tunnel-Private-Group-Id corresponde ao ID de VLAN configurado no switch ou controlador.

Os dispositivos BYOD a falhar no EAP-TLS indicam habitualmente que o certificado de cliente não foi implementado com sucesso. Para dispositivos geridos pelo Intune, verifique o repositório de certificados do dispositivo no centro de administração do Intune. Para Chromebooks geridos pela Google, verifique se o perfil de certificado está atribuído à Unidade Organizacional correta e se o dispositivo sincronizou recentemente.

Retorno do Investimento (ROI) e impacto empresarial

A transição para o Cloud RADIUS proporciona poupanças operacionais mensuráveis. O RADIUS local requer, no mínimo, dois servidores para alta disponibilidade, atualizações contínuas de segurança do SO, gestão de certificados e tempo de engenharia especializada. O tempo de um único engenheiro dedicado à manutenção do RADIUS ao longo de um ano excede tipicamente o custo anual de uma subscrição de Cloud RADIUS.

O caso de negócio vai além da redução de custos. Ao associar o acesso à rede a identidades na cloud verificadas, obtém:

Desativação imediata de acessos. Desativar um utilizador no Entra ID ou Google Workspace revoga imediatamente o seu acesso à rede em todos os locais. Não há atrasos, processos manuais ou riscos de um ex-colaborador manter o acesso ao WiFi. Isto apoia diretamente as obrigações do GDPR relativas aos direitos de acesso a dados.

Análise de dados mais rica. Plataformas como a da Purple WiFi Analytics fornecem dados mais detalhados sobre a utilização do espaço e os percursos dos visitantes quando o acesso à rede está associado a identidades autenticadas. Passa de endereços MAC anónimos para utilizadores nomeados e autenticados, o que transforma a qualidade dos dados analíticos disponíveis para as equipas de operações e marketing.

Prova de conformidade. A autenticação EAP-TLS gera registos de acesso detalhados - quem se ligou, a partir de que dispositivo, em que local e a que horas. Este registo de auditoria apoia o Requisito 10 do PCI DSS (registo e monitorização) e as obrigações de prestação de contas do GDPR.

Consistência multi-site. Um único serviço Cloud RADIUS autentica todos os seus locais com políticas consistentes, geridas a partir de um único painel. Adicionar um novo hotel, loja ou espaço significa apenas adicionar os seus pontos de acesso à configuração do RADIUS - e não enviar e configurar outro servidor. Para organizações que gerem grandes portfólios de propriedades, esta é uma vantagem operacional significativa.

Para operadores de Transportes e espaços de Saúde onde a disponibilidade da rede é operacionalmente crítica, os fornecedores de Cloud RADIUS oferecem tipicamente SLAs de 99,999% de tempo de atividade com redundância multi-região integrada. A Purple opera com 99,999% de tempo de atividade em mais de 80.000 espaços ativos, com 440 milhões de inícios de sessão processados em 2024 (dados internos da Purple, 2024).

Para leituras adicionais sobre tópicos relacionados, consulte WAN Computer Definition: A Practical Guide for 2026 e World WiFi Day 2026: How Your Venue Can Help Bridge the Digital Divide .