Integrar o RADIUS as a Service com Diretórios Cloud (Azure AD & Google Workspace)
Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios cloud - Microsoft Entra ID e Google Workspace - para a autenticação de WiFi empresarial. Abrange a transição arquitetónica de NPS on-premise para RADIUS nativo na nuvem, a implementação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fios em ambientes de hotelaria, retalho e setor público. Para gestores de TI e arquitetos de rede que já investem em identidade na nuvem, este guia preenche a lacuna entre a gestão de diretórios e a segurança da rede física.
Ouça este guia
Ver transcrição do podcast
Executive summary
For modern enterprises invested in cloud identity ecosystems, bridging cloud directories with physical wireless networks is a critical security imperative. Historically, WiFi authentication relied on on-premise Active Directory Domain Services and Windows Network Policy Server (NPS). As organisations migrate to Microsoft Entra ID and Google Workspace, that on-premise authentication stack becomes a liability - costly to maintain, difficult to scale, and incompatible with zero-trust security models.
RADIUS as a Service (RADIUSaaS) changes the equation. A cloud-hosted RADIUS server integrates directly with your cloud directory, validates authentication requests in real time, and returns access decisions to your access points - with no on-premise servers, no patching cycles, and no single point of failure. Combined with EAP-TLS certificate-based authentication, this architecture eliminates credential theft, supports PCI DSS and GDPR compliance, and delivers a seamless experience for staff across every site.
This guide covers the architectural decision between on-premise NPS and cloud-native RADIUS, the deployment of EAP-TLS via Microsoft Intune and Google Admin Console, and the operational best practices for securing wireless access across hotels, retail estates, stadiums, and public-sector venues. For a broader introduction to network access control, see A Guide to Your Network Access Control System .
Technical deep-dive: architecture and standards
The role of RADIUS and IEEE 802.1X
The foundation of secure enterprise WiFi is the IEEE 802.1X standard, which provides port-based network access control. When a client device (the supplicant) attempts to connect to a WPA2-Enterprise or WPA3-Enterprise network, the Wireless Access Point (the authenticator) blocks all traffic except EAP (Extensible Authentication Protocol) packets. The AP forwards these packets to a RADIUS server. The RADIUS server validates the identity against a directory service and returns an Access-Accept or Access-Reject message. Only then does the AP grant network access.
This three-party model - supplicant, authenticator, authentication server - is the cornerstone of enterprise wireless security and is defined in IEEE 802.1X. It has not fundamentally changed since its introduction. What has changed is where the RADIUS server lives and how it communicates with your directory.
Cloud-native RADIUS architecture
A cloud-native RADIUS architecture eliminates the need for on-premise NPS or FreeRADIUS servers. A third-party Cloud RADIUS provider integrates directly with Microsoft Entra ID via Microsoft Graph API, or with Google Workspace via Google Secure LDAP or SAML/OAuth. Authentication happens entirely in the cloud. This aligns with zero-trust network access principles and significantly reduces operational overhead.
The table below compares the two primary architectural approaches:
| Dimension | Hybrid on-premise (NPS) | Cloud-native (RADIUSaaS) |
|---|---|---|
| Infrastructure | Windows Server VM or bare metal required | No on-premise servers |
| Identity source | AD DS via LDAP/Kerberos | Entra ID or Google Workspace via API |
| Certificate authority | ADCS on-premise + Intune Connector | Cloud PKI from vendor or Microsoft |
| High availability | Manual HA and load balancing | Auto-scaled by provider |
| Setup time | Days to weeks | Hours |
| Best for | Hybrid AD, legacy devices | Cloud-first, MDM-managed organisations |
| Operational complexity | Higher initial and ongoing | Lower operational overhead |
EAP-TLS vs. PEAP-MSCHAPv2: the critical choice
The choice of EAP method is the single most consequential security decision in this deployment. PEAP-MSCHAPv2 relies on users entering their domain credentials. This is vulnerable to credential theft and man-in-the-middle attacks. If a client device does not strictly validate the RADIUS server certificate - and many do not by default - an attacker can deploy a rogue access point with your SSID, intercept the EAP handshake, and capture credentials. This is an Evil Twin attack, and it is well-documented.
EAP-TLS (Transport Layer Security) uses digital certificates installed on the client device for mutual authentication. Both the client and the server prove their identity cryptographically. There are no passwords to type or steal. In a Microsoft environment, certificates deploy silently via Microsoft Intune using SCEP (Simple Certificate Enrollment Protocol) or PKCS profiles. This is the recommended path for all new deployments and is essential for compliance with PCI DSS v4.0 (Requirement 8.3 on strong authentication) and GDPR data protection obligations.
Google Workspace: the architectural difference
Microsoft Entra ID and Google Workspace differ in one important way for RADIUS integration. Microsoft NPS integrates natively with Active Directory, and Cloud RADIUS providers connect to Entra ID via Microsoft Graph API. Google, however, does not offer a native RADIUS service. You always need an intermediary.
Google Secure LDAP is the primary integration path. Available on Cloud Identity Premium and Google Workspace Enterprise editions, it provides a traditional LDAP interface to your cloud directory. Your Cloud RADIUS server connects to ldap.google.com on port 636 using client certificates that Google generates for you. From that point, the RADIUS server queries Google's directory to validate credentials or group memberships, just as it would query an on-premise Active Directory.
An alternative path uses SAML-based integration, where the Cloud RADIUS provider registers as a SAML application in Google Admin Console and performs an OAuth lookup at authentication time to verify the user's identity and group memberships in real time.
Implementation guide
Implementing RADIUSaaS with EAP-TLS requires coordinating identity, device management, and network infrastructure. The following five-phase approach applies to both Microsoft Entra ID and Google Workspace environments.
Phase 1: prepare identity and device management infrastructure
For Microsoft Entra ID: verify that your tenant has Microsoft 365 E3/E5 or Enterprise Mobility + Security (EMS) E3/E5 licensing. This includes Microsoft Intune and Conditional Access. Without Intune, automated certificate deployment is not possible.
For Google Workspace: confirm you have Cloud Identity Premium or Google Workspace Enterprise to access Google Secure LDAP. If you plan to use EAP-TLS on managed Chromebooks, ensure the Google Admin Console is configured to manage device certificates.
Establish your Public Key Infrastructure (PKI). For new deployments, a cloud-native PKI provided by your Cloud RADIUS vendor is strongly recommended. Alternatives include Microsoft Cloud PKI (available with Intune Suite licensing) or an existing on-premise ADCS deployment connected via the Microsoft Intune Certificate Connector.
Phase 2: configure certificate deployment
Microsoft Intune path: in the Intune admin centre, create a Trusted Certificate configuration profile. Upload the Root CA certificate and deploy it to your target device groups. This ensures client devices trust the certificate presented by the RADIUS server during the TLS handshake. Next, create a SCEP Certificate profile. For user-based authentication, set the Subject Name to CN={{UserPrincipalName}}. For device-based authentication, use CN={{DeviceName}}. Set the Subject Alternative Name to include the User Principal Name or device ID.
Google Admin Console path: navigate to Devices, then Networks, then Certificates. Upload your Root CA. Configure a certificate issuance mechanism - either a cloud PKI that supports SCEP integration with Google Workspace, or the Google Cloud Certificate Connector which proxies requests to an on-premise Microsoft Certificate Authority. Deploy the Root CA and client certificate profiles to the appropriate Organisational Units.
Phase 3: configure Cloud RADIUS integration
Grant your Cloud RADIUS provider the necessary API permissions in your directory tenant. For Entra ID, this requires at minimum User.Read.All and GroupMember.Read.All via Microsoft Graph API. Some providers also require Device.Read.All for device compliance checks. For Google Workspace via Secure LDAP, download the client certificate and key from Google Admin Console and install them on the RADIUS service.
Define your authentication policies within the Cloud RADIUS management portal. A well-structured policy for a corporate environment: "Allow access if the certificate is issued by [Trusted CA] AND the user is a member of the [Corporate-WiFi-Users] group AND the device is marked Compliant in Intune." This enforces identity, group membership, and device health simultaneously.
Phase 4: configure wireless infrastructure
In your wireless LAN controller or cloud management dashboard - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, or Fortinet - add the Cloud RADIUS server IP addresses and shared secrets as RADIUS authentication servers. Configure primary and secondary servers for redundancy. Set the RADIUS timeout to a minimum of five seconds to accommodate cloud round-trip latency.
Create a new SSID configured for WPA2-Enterprise or WPA3-Enterprise. For Hospitality deployments, ensure the corporate SSID is on a separate VLAN from any Guest WiFi network. For Retail environments, consider deploying the corporate SSID only in back-of-house areas.
Phase 5: deploy WiFi profile via MDM
Microsoft Intune: create a WiFi configuration profile. Set the SSID to match your infrastructure configuration exactly. Select WPA2-Enterprise or WPA3-Enterprise. Under EAP settings, select EAP-TLS. Link the SCEP certificate profile as the client certificate and specify the Trusted Root CA profile. Assign this WiFi profile to the same device groups that received the certificate profiles. Devices silently receive the certificate and the WiFi configuration during their next Intune sync.
Google Admin Console: navigate to Devices, then Networks, then Wi-Fi. Create a new WiFi network profile. Set the SSID, select WPA3-Enterprise, choose EAP-TLS, and push the trusted Root CA certificate to the devices. Apply this profile to your Organisational Units. Chromebooks connect silently and securely.
Best practices
Mandate EAP-TLS across all new deployments. Do not deploy new networks using PEAP-MSCHAPv2. The security risks are well-documented and the migration path is straightforward with modern MDM tooling.
Enforce strict server certificate validation. If you must use PEAP for legacy devices, configure the devices to validate the RADIUS server's certificate. In the Intune WiFi profile and in the Google Admin Console WiFi profile, there is a field to specify the trusted CA for server validation. Do not leave this blank. This single configuration decision is the difference between a secure deployment and a vulnerable one.
Segment your network with dynamic VLAN assignment. Use your RADIUS server to inspect the user's group membership in Entra ID or Google Workspace and dynamically assign them to different VLANs. The RADIUS server returns the Tunnel-Private-Group-Id attribute to the access point, which places the client on the correct VLAN. This limits lateral movement in the event of a compromise and supports PCI DSS network segmentation requirements.
Separate corporate and guest authentication. Use EAP-TLS for corporate-managed devices. Use a captive portal with SSO for BYOD and guest devices. Trying to manually configure EAP-TLS on unmanaged devices creates excessive support overhead. Purple's Guest WiFi platform handles guest onboarding separately, maintaining a clean separation between staff and visitor traffic.
Monitor certificate expiry proactively. Set up monitoring and alerting at 90 days, 30 days, and seven days before certificate expiry. If your RADIUS server certificate expires, all devices lose connectivity simultaneously. Automate renewal where your PKI supports it.
Test RADIUS timeout settings. Cloud RADIUS introduces network round-trip latency that on-premise NPS does not. Set the RADIUS timeout on your access points to at least five seconds. A timeout of two seconds - common in default configurations - will cause intermittent authentication failures.
Troubleshooting and risk mitigation
Blocked firewall ports are the leading cause of initial deployment failure. RADIUS authentication requires UDP port 1812 outbound from your wireless infrastructure to the Cloud RADIUS service. RADIUS accounting requires UDP port 1813. Verify these are open before any other troubleshooting.
Certificate validation failures present as authentication rejections with no obvious cause. Check the following in order: certificate expiry on both the client and the RADIUS server; clock skew between the client device and the RADIUS server (EAP-TLS relies on accurate timekeeping); and whether the Root CA certificate has been successfully deployed to the device via MDM.
Group membership not enforcing is a common issue when RADIUS policies reference Entra ID or Google Workspace groups. Verify that the Cloud RADIUS provider has the correct API permissions to read group memberships. In Entra ID, confirm the service principal has GroupMember.Read.All. In Google Workspace, confirm the Secure LDAP client has permission to read group information.
VLAN assignment not working typically indicates a mismatch between the RADIUS attribute values and the VLAN IDs configured on the wireless infrastructure. Confirm that Tunnel-Type is set to VLAN (value 13), Tunnel-Medium-Type is set to 802 (value 6), and Tunnel-Private-Group-Id matches the VLAN ID configured on the switch or controller.
BYOD devices failing EAP-TLS usually indicates the client certificate was not successfully deployed. For Intune-managed devices, check the device's certificate store in the Intune admin centre. For Google-managed Chromebooks, verify the certificate profile is assigned to the correct Organisational Unit and that the device has synced recently.
ROI and business impact
Moving to Cloud RADIUS delivers measurable operational savings. On-premise RADIUS requires at minimum two servers for high availability, ongoing OS patching, certificate management, and specialist engineering time. A single engineer's time spent on RADIUS maintenance over a year typically exceeds the annual cost of a Cloud RADIUS subscription.
The business case extends beyond cost reduction. By tying network access to verified cloud identities, you gain:
Instant offboarding. Disabling a user in Entra ID or Google Workspace immediately revokes their network access at all sites. There is no lag, no manual process, and no risk of a former employee retaining WiFi access. This directly supports GDPR obligations around data access rights.
Richer analytics. Platforms like Purple's WiFi Analytics provide richer data on space utilisation and visitor journeys when network access is tied to authenticated identities. You move from anonymous MAC addresses to named, authenticated users, which transforms the quality of insight available to operations and marketing teams.
Compliance evidence. EAP-TLS authentication generates detailed access logs - who connected, from which device, at which location, and at what time. This audit trail supports PCI DSS Requirement 10 (logging and monitoring) and GDPR accountability obligations.
Multi-site consistency. A single Cloud RADIUS service authenticates all your sites with consistent policies, managed from one dashboard. Adding a new hotel, store, or venue means adding its access points to the RADIUS configuration - not shipping and configuring another server. For organisations managing large estates, this is a significant operational advantage.
For Transport operators and Healthcare venues where network uptime is operationally critical, Cloud RADIUS providers typically offer 99.999% uptime SLAs with multi-region failover built in. Purple operates at 99.999% uptime across 80,000+ live venues, with 440 million logins processed in 2024 (Purple internal data, 2024).
For further reading on related topics, see WAN Computer Definition: A Practical Guide for 2026 and World WiFi Day 2026: How Your Venue Can Help Bridge the Digital Divide .
Definições Principais
RADIUS (Remote Authentication Dial-In User Service)
Um protocolo de rede definido no RFC 2865 que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores que se ligam a um serviço de rede. O servidor RADIUS atua como o motor de decisão entre os seus pontos de acesso e o seu diretório de identidade.
Todas as redes WiFi empresariais WPA2-Enterprise ou WPA3-Enterprise dependem de um servidor RADIUS. Sem ele, a autenticação IEEE 802.1X não funciona.
RADIUS as a Service (RADIUSaaS)
Uma implementação RADIUS alojada na nuvem e fornecida como um serviço gerido. O fornecedor mantém a infraestrutura, a aplicação de patches, a alta disponibilidade e as integrações com fornecedores de identidade. O cliente configura as políticas de autenticação e aponta os seus pontos de acesso para os IPs do RADIUS na nuvem.
O RADIUSaaS elimina a necessidade de servidores NPS ou FreeRADIUS locais, removendo o hardware associado, a aplicação de patches do sistema operativo e os custos de manutenção especializada.
IEEE 802.1X
Um padrão IEEE para Controlo de Acesso à Rede baseado em portas. Define o modelo de autenticação de três partes: o requerente (dispositivo do cliente), o autenticador (ponto de acesso ou switch) e o servidor de autenticação (servidor RADIUS). O autenticador bloqueia todo o tráfego até que o servidor RADIUS conceda o acesso.
O padrão fundamental para a autenticação WiFi empresarial. O WPA2-Enterprise e o WPA3-Enterprise dependem ambos do 802.1X.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
Um método de autenticação definido no RFC 5216 que utiliza certificados digitais tanto no servidor RADIUS como no dispositivo do cliente para autenticação mútua. Nenhuma das partes envia uma palavra-passe. O cliente apresenta o seu certificado; o servidor valida-o em tempo real com o diretório.
O padrão de excelência para a segurança WiFi empresarial. Elimina o roubo de credenciais, o phishing e os custos de suporte técnico relacionados com palavras-passe. Necessário para a conformidade com o PCI DSS em redes de dados de titulares de cartões.
PEAP-MSCHAPv2 (Protected EAP - Microsoft Challenge Handshake Authentication Protocol v2)
Um método de autenticação que cria um túnel TLS encriptado e depois envia o nome de utilizador e a palavra-passe do utilizador através do mesmo. Vulnerável a ataques Evil Twin se o cliente não validar estritamente o certificado do servidor RADIUS.
A predefinição herdada para WiFi empresarial. Ainda é amplamente implementada, mas deve ser migrada para EAP-TLS em todas as novas e existentes implementações, sempre que possível.
Microsoft Entra ID
O serviço de gestão de identidades e acessos baseado na nuvem da Microsoft, anteriormente conhecido como Azure Active Directory (Azure AD). Gere identidades de utilizadores, associações a grupos, conformidade de dispositivos e políticas de Acesso Condicional.
A principal fonte de identidade para Cloud RADIUS em ambientes centrados na Microsoft. Os fornecedores de Cloud RADIUS ligam-se ao Entra ID através da Microsoft Graph API.
Google Secure LDAP
Um serviço gerido disponível nas edições Cloud Identity Premium e Google Workspace Enterprise que fornece uma interface LDAP tradicional para o diretório na nuvem da Google. Os servidores RADIUS ligam-se a ldap.google.com na porta 636 utilizando certificados de cliente.
O principal caminho de integração para ligar um servidor Cloud RADIUS ao Google Workspace. A Google não oferece um serviço RADIUS nativo, pelo que o Secure LDAP funciona como ponte.
PKI (Public Key Infrastructure)
O conjunto de funções, políticas, hardware, software e procedimentos necessários para criar, gerir, distribuir, utilizar, armazenar e revogar certificados digitais. É necessária uma PKI para emitir os certificados de cliente e de servidor utilizados na autenticação EAP-TLS.
As opções de PKI nativas da nuvem de fornecedores RADIUS ou da Microsoft (Cloud PKI) eliminam a necessidade de Active Directory Certificate Services (ADCS) locais.
SCEP (Simple Certificate Enrollment Protocol)
Um protocolo que permite aos dispositivos solicitar e receber certificados digitais de uma Autoridade de Certificação de forma automática. Utilizado pelo Microsoft Intune e pela Google Admin Console para implementar certificados de cliente em dispositivos geridos sem a interação do utilizador.
Os perfis SCEP no Intune são o mecanismo através do qual os dispositivos corporativos recebem silenciosamente os certificados de cliente necessários para a autenticação EAP-TLS.
Dynamic VLAN assignment
Uma funcionalidade RADIUS que devolve atributos de atribuição de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) ao ponto de acesso com base na pertença a grupos de diretório do utilizador autenticado. O AP coloca o cliente na VLAN especificada de forma automática.
Permite uma segmentação de rede granular sem configuração manual de VLAN por dispositivo. Os colaboradores com diferentes funções ou departamentos ficam em segmentos de rede distintos, limitando a movimentação lateral e apoiando os requisitos de segmentação do PCI DSS.
Exemplos Práticos
Um hotel de 200 quartos está a migrar a rede de funcionários do back-of-house de um servidor NPS on-premise antigo para uma solução cloud-native. O hotel mudou recentemente para o Microsoft Entra ID e Microsoft 365 E5. Os dispositivos dos funcionários são portáteis Windows geridos pelo Intune. A infraestrutura wireless é Cisco Meraki. O hotel necessita que os funcionários se liguem automaticamente sem pedidos de palavra-passe e exige a revogação instantânea quando um funcionário sai da empresa.
Implementar uma solução Cloud RADIUS com integração Entra ID. Passo 1: conceder permissões de Microsoft Graph API (User.Read.All, GroupMember.Read.All, Device.Read.All) ao fornecedor de Cloud RADIUS no inquilino do Entra ID. Passo 2: no Intune, criar um perfil de Certificado Fidedigno com a Root CA do Cloud RADIUS e implementá-lo no grupo 'All Corporate Devices'. Passo 3: criar um perfil de Certificado SCEP com o Subject Name CN={{UserPrincipalName}} e implementá-lo no mesmo grupo. Passo 4: configurar a política de autenticação do Cloud RADIUS: permitir o acesso se o certificado for emitido pela [Trusted CA] E o utilizador for membro do grupo do Entra ID [Hotel-Staff-WiFi] E o dispositivo estiver em conformidade com o Intune. Passo 5: no painel da Cisco Meraki, adicionar os IPs primário e secundário do Cloud RADIUS como servidores RADIUS no SSID de back-of-house. Definir o timeout do RADIUS para 5 segundos. Passo 6: no Intune, criar um perfil de WiFi WPA3-Enterprise para o SSID de back-of-house, especificando EAP-TLS e associando o perfil de certificado SCEP. Implementar no grupo 'All Corporate Devices'. Os dispositivos recebem silenciosamente o certificado e o perfil de WiFi na próxima sincronização do Intune e ligam-se automaticamente. Quando um funcionário sai, a desativação da sua conta do Entra ID revoga imediatamente o acesso à rede em todos os locais.
Uma cadeia de lojas de retalho com 50 estabelecimentos utiliza o Google Workspace e gere uma frota de 500 Chromebooks utilizados pelos colaboradores de loja para operações de inventário e ponto de venda. Atualmente, utilizam uma chave partilhada WPA2 PSK para a rede de operações de loja, o que cria um risco de segurança em caso de perda ou roubo de dispositivos. Pretendem migrar para a autenticação 802.1X sem implementar servidores locais em cada loja. A infraestrutura wireless é HPE Aruba.
Implementar uma solução Cloud RADIUS com integração Google Workspace através do Google Secure LDAP. Passo 1: na Consola de Administração Google, navegar até Apps, depois LDAP, e adicionar um novo cliente LDAP para o serviço Cloud RADIUS. Configurar permissões de leitura para informações de utilizador e pertença a grupos. Descarregar o certificado de cliente e a chave gerados. Passo 2: configurar o serviço Cloud RADIUS com as credenciais do Google Secure LDAP. Passo 3: configurar uma PKI na cloud para emitir certificados para os Chromebooks. Na Consola de Administração Google, navegar até Dispositivos, depois Redes, depois Certificados, e carregar a Root CA. Configurar o perfil de emissão de certificados e aplicá-lo à Unidade Organizativa Store-Associates. Passo 4: na Consola de Administração Google, criar um perfil de WiFi WPA3-Enterprise para o SSID de operações de loja. Definir EAP-TLS, associar a Root CA e aplicar à OU Store-Associates. Os Chromebooks recebem o certificado e o perfil de WiFi na sincronização seguinte com a Consola de Administração. Passo 5: no HPE Aruba Central, configurar o SSID de operações de loja com WPA3-Enterprise e adicionar os IPs primário e secundário do Cloud RADIUS. Definir o timeout do RADIUS para 5 segundos. Configurar a atribuição dinâmica de VLAN para colocar os colaboradores de loja na VLAN 20 (operações de loja) com base na sua pertença a grupos do Google Workspace. Quando um Chromebook é perdido ou roubado, a sua remoção da OU Store-Associates revoga imediatamente o seu acesso à rede.
Perguntas de Prática
Q1. A sua organização está a migrar do Active Directory on-premise para o Microsoft Entra ID. Atualmente, utiliza PEAP-MSCHAPv2 para autenticação WiFi em 300 portáteis corporativos geridos pelo Intune. Possui licenciamento Microsoft 365 E5. Qual é o caminho mais seguro e operacionalmente eficiente para migrar a autenticação WiFi para uma arquitetura cloud-native?
Dica: Considere as vulnerabilidades da autenticação baseada em credenciais, as capacidades do Microsoft Intune para a implementação de certificados e a necessidade de evitar dependências de infraestrutura on-premise.
Ver resposta modelo
Implemente uma solução Cloud RADIUS com integração com o Entra ID. Utilize o Microsoft Intune para implementar um perfil de Certificado Fidedigno (Root CA) e um perfil de Certificado SCEP nos 300 portáteis. Configure a política de autenticação do Cloud RADIUS para exigir um certificado válido da CA fidedigna e a associação ao grupo do Entra ID Corporate-WiFi-Users. Crie um perfil de WiFi WPA3-Enterprise no Intune especificando EAP-TLS e associe-o ao perfil de certificado SCEP. Os dispositivos recebem silenciosamente o certificado e a configuração de WiFi na sincronização seguinte do Intune. Isto elimina o risco de roubo de credenciais PEAP-MSCHAPv2, remove a dependência de NPS on-premise e oferece revogação instantânea quando uma conta do Entra ID é desativada.
Q2. Um utilizador do seu hotel relata que não consegue ligar-se ao WiFi da equipa de back-of-house após regressar de duas semanas de férias. Outros membros da equipa estão a ligar-se sem problemas. A rede utiliza EAP-TLS com certificados implementados via Intune. Quais são as três causas mais prováveis, por ordem de probabilidade?
Dica: O EAP-TLS depende de ativos criptográficos sensíveis ao tempo e de consultas de diretório em tempo real.
Ver resposta modelo
- O certificado de cliente do utilizador expirou. Os certificados têm um período de validade definido e, se o dispositivo esteve offline durante a janela de renovação, o perfil SCEP poderá não tê-lo renovado. Verifique a data de expiração do certificado no armazenamento de certificados do dispositivo no Intune. 2. O relógio do sistema do dispositivo está significativamente desfasado (desvio de relógio), fazendo com que a validação do certificado falhe. O EAP-TLS valida os carimbos de data/hora do certificado; um relógio desfasado em mais de cinco minutos causará falhas de autenticação. 3. A conta do Entra ID do utilizador foi colocada num grupo diferente durante a sua ausência (por exemplo, movida de pessoal ativo para uma OU diferente), e a política de autenticação RADIUS já não corresponde à sua associação de grupo. Verifique as associações de grupo do utilizador no Entra ID face à política RADIUS.
Q3. É o gestor de TI de uma cadeia de retalho com 80 lojas. Utiliza o Google Workspace e gere 400 Chromebooks através da Google Admin Console. Pretende substituir o atual WPA2 PSK partilhado na rede de operações das lojas por autenticação 802.1X. Não tem servidores on-premise em nenhuma localização de loja. Que arquitetura deve implementar e qual é o principal benefício de segurança em relação à abordagem PSK atual?
Dica: Considere o que acontece quando um Chromebook é perdido ou roubado em cada modelo de autenticação.
Ver resposta modelo
Implemente um serviço Cloud RADIUS com integração do Google Secure LDAP. Configure uma PKI na cloud para emitir certificados para os Chromebooks. Na Google Admin Console, implemente a Root CA e um perfil de certificado de cliente SCEP na Unidade Organizacional Store-Associates. Crie um perfil de WiFi WPA3-Enterprise especificando EAP-TLS e implemente-o na mesma OU. Configure os pontos de acesso HPE Aruba (or equivalente) em cada loja para apontar para o serviço Cloud RADIUS. O principal benefício de segurança: sob o atual PSK partilhado, um Chromebook perdido ou roubado mantém o acesso ao WiFi até que o PSK seja alterado em todas as 80 lojas - um processo disruptivo e demorado. Com o EAP-TLS, a remoção do dispositivo da OU Store-Associates na Google Admin Console revoga imediatamente o seu certificado e acesso à rede, sem qualquer impacto em qualquer outro dispositivo.
Q4. Durante uma implementação de Cloud RADIUS, configura o SSID nos pontos de acesso Cisco Meraki e implementa o perfil de WiFi do Intune num grupo piloto de 20 dispositivos. Nenhum dos dispositivos consegue ligar-se. O estado do dispositivo no Intune mostra o certificado e o perfil de WiFi como implementados com sucesso. Qual é a primeira coisa que deve verificar?
Dica: A causa mais comum de falha na implementação inicial não é um erro de configuração na política RADIUS ou no certificado.
Ver resposta modelo
Verifique se as portas UDP 1812 e 1813 estão abertas na saída dos pontos de acesso Cisco Meraki (ou da infraestrutura de cloud Meraki) para os endereços IP do servidor Cloud RADIUS. As portas de firewall bloqueadas são a principal causa de falhas na implementação inicial. O facto de os certificados e perfis de WiFi estarem implementados com sucesso descarta problemas de configuração do Intune. As verificações seguintes são: incompatibilidade do segredo partilhado do RADIUS entre o Meraki e o serviço Cloud RADIUS; timeout do RADIUS definido com um valor demasiado baixo (aumentar para pelo menos 5 segundos); e se os IPs do servidor Cloud RADIUS estão introduzidos corretamente na configuração do SSID do Meraki.
Continue a ler esta série
Os Benefícios de Segurança do RADIUS as a Service para Equipas de Trabalho Híbridas
Este guia de referência técnica explica como o RADIUS as a Service protege o acesso à rede para equipas de trabalho híbridas em locais distribuídos. Abrange a arquitetura, os benefícios de segurança e as etapas de implementação para substituir a infraestrutura RADIUS local por um serviço de autenticação gerido na nuvem. Para gestores de TI e arquitetos de rede em hotéis, cadeias de retalho, estádios e organizações do setor público, este guia fornece as provas necessárias para avaliar e agir sobre uma migração para RADIUS na nuvem este trimestre.
Como Implementar a Autenticação 802.1X com Cloud RADIUS
Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades empresariais distribuídas. Detalha a arquitetura, a seleção do método EAP, a sequência de implementação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando simultaneamente os custos operacionais da infraestrutura local.
O que é o Cloud RADIUS? Um Guia Completo sobre RADIUS as a Service
Este guia completo explora o Cloud RADIUS (RADIUS as a Service), detalhando a sua arquitetura, métodos EAP e estratégias de implementação. Fornece aos líderes de TI informações práticas sobre a migração de servidores locais para um modelo de autenticação baseado na nuvem, escalável, seguro e em conformidade.