Migração de RADIUS On-Premises (NPS) para RADIUS as a Service
Este guia autoritário detalha a arquitetura técnica, a metodologia de implementação e o impacto comercial da migração do Microsoft Network Policy Server (NPS) on-premises para um modelo de RADIUS as a Service nativo na nuvem. Fornece aos líderes de TI e arquitetos de rede estruturas práticas para reduzir os custos operacionais, eliminar pontos únicos de falha e proteger a autenticação empresarial em locais distribuídos.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Profunda: Arquitetura e Padrões
- As Limitações do NPS Local
- Arquitetura Cloud RADIUS
- Guia de Implementação: A Metodologia de 5 Fases
- Fase 1: Auditoria e Inventário
- Fase 2: Implementação Piloto
- Fase 3: Funcionamento em Paralelo (Mitigação de Riscos)
- Fase 4: Transição Definitiva
- Fase 5: Desativação
- Boas Práticas e Conformidade
- Resolução de Problemas e Mitigação de Riscos
- ROI e Impacto no Negócio

Resumo Executivo
Durante quase duas décadas, o Network Policy Server (NPS) da Microsoft tem sido a implementação RADIUS padrão para redes empresariais. No entanto, à medida que os operadores de espaços expandem as suas operações em locais distribuídos - desde cadeias de retalho a grupos globais de hotelaria - o fardo operacional de gerir infraestruturas de autenticação locais tornou-se um risco significativo.
A migração para RADIUS-as-a-Service transforma a autenticação de um componente de hardware gerido num serviço cloud consumido. Esta mudança arquitetónica elimina os pontos únicos de falha inerentes às implementações NPS autónomas, remove os ciclos de atualização de hardware e fornece a escalabilidade elástica necessária para ambientes de alta densidade, tais como estádios e centros de conferências. Para gestores de TI e arquitetos de rede, este guia fornece uma metodologia estruturada e neutra em termos de fornecedor para migrar a autenticação 802.1X para a cloud sem afetar o tráfego de produção, garantindo a conformidade com PCI-DSS e GDPR, e reduzindo o OpEx da infraestrutura de autenticação em até 80%.
Análise Técnica Profunda: Arquitetura e Padrões
Para compreender esta migração, devemos primeiro examinar a mudança arquitetónica na forma como o controlo de acesso baseado em porta IEEE 802.1X é fornecido.
As Limitações do NPS Local
Numa implementação tradicional, o ponto de acesso funciona como o Network Access Server (NAS), encaminhando os pedidos de autenticação para um servidor NPS local. O servidor NPS avalia as políticas de pedido de ligação, valida as credenciais em relação ao repositório de identidades (normalmente Active Directory através de LDAP) e devolve uma mensagem Access-Accept ou Access-Reject.
Este modelo apresenta três limitações críticas para as redes modernas:
- Dependência e manutenção de hardware: O NPS requer máquinas físicas ou virtuais dedicadas, exigindo patches contínuos, planeamento de capacidade e gestão do ciclo de vida.
- Complexidade de alta disponibilidade: Alcançar a redundância exige a implementação de NPS em pares de failover, o que duplica os custos de licenciamento sem fornecer uma verdadeira redundância geográfica.
- Gargalos de processamento: Durante os picos de concorrência (como a entrada num estádio ou as horas de ponta no retalho), uma única instância NPS pode tornar-se um gargalo, causando tempos de expiração de autenticação e uma experiência de utilizador degradada.
Arquitetura Cloud RADIUS
O RADIUS-as-a-Service abstrai a camada de autenticação. O fornecedor de cloud opera clusters distribuídos e geograficamente redundantes de servidores RADIUS. O NAS aponta para estes endpoints na cloud e os pedidos são balanceados automaticamente.

Segurança de transporte: o papel do RadSec Quando o RADIUS migra para a nuvem, o tráfego de autenticação atravessa a internet pública. Enquanto o RADIUS legado depende de segredos partilhados e hashing MD5, as implementações modernas devem implementar RadSec (RADIUS sobre TLS, RFC 6614). O RadSec encapsula toda a conversação RADIUS num túnel TLS (normalmente porta TCP 2083), fornecendo encriptação na camada de transporte equivalente a HTTPS, juntamente com autenticação mútua entre o NAS e o endpoint cloud RADIUS.
Integração de identidade O cloud RADIUS não exige que migre o seu diretório de utilizadores. Os serviços suportam tipicamente ligações LDAPS de volta ao Active Directory local, ou integração nativa de API com o Azure Active Directory (Entra ID) via SAML ou SCIM. Isto garante que os seus processos existentes de gestão do ciclo de vida do utilizador permanecem inalterados.
Para locais que aproveitam uma plataforma de Guest WiFi , o cloud RADIUS integra-se diretamente, fornecendo um painel de controlo unificado tanto para a autenticação corporativa 802.1X como para o acesso à rede de convidados, complementado com WiFi Analytics avançado.
Guia de Implementação: A Metodologia de 5 Fases
Executar a migração sem interrupção do serviço requer uma abordagem estruturada e faseada.

Fase 1: Auditoria e Inventário
Antes de fazer qualquer alteração, documente o estado atual:
- Clientes RADIUS: Identifique cada NAS (pontos de acesso wireless, switches, concentradores VPN).
- Políticas: Documente as políticas de rede e de pedidos de ligação NPS existentes, incluindo atributos específicos do fornecedor (VSAs) utilizados para atribuição de VLAN.
- Métodos EAP: Identifique quais os métodos Extensible Authentication Protocol que estão em utilização (por exemplo, EAP-TLS, PEAP-MSCHAPv2).
Fase 2: Implementação Piloto
Provisione a instância cloud RADIUS e configure um SSID de não produção ou um único site de teste. Valide a integração do diretório de identidade (por exemplo, sincronização com o Microsoft Entra ID) e confirme que os métodos EAP funcionam corretamente de ponta a ponta.
Fase 3: Funcionamento em Paralelo (Mitigação de Riscos)
Configure os dispositivos NAS de produção para utilizar os servidores cloud RADIUS (primário) e os servidores NPS legados (cópia de segurança) em simultâneo. Mantenha esta configuração por um período mínimo de duas semanas. Monitorize as taxas de sucesso de autenticação, métricas de latência e fluxos de dados de accounting para identificar quaisquer discrepâncias de política antes da transição definitiva.
Fase 4: Transição Definitiva
Durante uma janela de manutenção agendada, remova a configuração de cópia de segurança do NPS legado dos dispositivos NAS. Transite totalmente para a infraestrutura de nuvem. Garanta que o seu procedimento de rollback está documentado e testado.
Fase 5: Desativação
Após 30 dias de funcionamento estável, desative de forma segura os servidores NPS legados e recupere os recursos de computação.
Boas Práticas e Conformidade
Acompanhe as seguintes normas ao desenhar a sua arquitetura cloud RADIUS:
- Exigir RadSec: Se o seu hardware NAS suportar RadSec (TCP 2083), nunca envie tráfego RADIUS através da internet pública utilizando o padrão UDP 1812/1813.
- Cadeia de confiança de certificados: Certifique-se de que os dispositivos cliente confiam na Autoridade de Certificação (CA) que emite os certificados do servidor RADIUS na nuvem. Distribua a CA raiz para os dispositivos geridos através de MDM ou Política de Grupo antes da migração.
- Postura de conformidade: Escolha um fornecedor de RADIUS na nuvem que mantenha a atestação SOC 2 Tipo II e a certificação ISO 27001. Isto simplifica significativamente as suas avaliações anuais de PCI-DSS, particularmente para ambientes de retalho e hotelaria .
Para princípios de design de rede mais abrangentes, consulte os nossos guias: Como Configurar WiFi para Empresas: Um Guia para 2026 e Compreender o RSSI e a Força do Sinal para o Planeamento Ideal de Canais .
Resolução de Problemas e Mitigação de Riscos
| Modo de falha | Causa raiz | Estratégia de mitigação |
|---|---|---|
| Timeouts de autenticação | Firewall a bloquear o tráfego de saída UDP 1812/1813 ou TCP 2083. | Verifique se as regras da firewall de perímetro permitem o tráfego de saída para as gamas de IP específicas do fornecedor de RADIUS na nuvem. |
| Erros de confiança de certificado | CA raiz em falta no repositório de confiança do dispositivo cliente. | Implemente a CA raiz através de MDM/GPO antes da Fase 3 (execução paralela). |
| Falhas na atribuição de VLAN | Atributos específicos do fornecedor (VSAs) não mapeados corretamente na política de nuvem. | Durante a Fase 1, replique os formatos exatos de string VSA do NPS no motor de políticas do RADIUS na nuvem. |
| Impacto de interrupção da WAN | A perda de conectividade à internet impede o acesso ao RADIUS na nuvem. | Implemente ligações WAN redundantes ou utilize um proxy RADIUS local que armazene em cache as credenciais para dispositivos conhecidos. |
ROI e Impacto no Negócio
A migração para RADIUS-as-a-Service proporciona resultados de negócio mensuráveis:
- Redução de custos: Elimina a aquisição de hardware, o licenciamento de Windows Server e as horas de engenharia dedicadas a atualizações e manutenção. As reduções típicas de OpEx são de 60-80%.
- SLAs de fiabilidade: Os fornecedores de nuvem oferecem SLAs de disponibilidade de 99,99% garantidos financeiramente, em comparação com os 97-98% de disponibilidade típicos de uma implementação NPS num único site.
- Agilidade: Ative novos sites instantaneamente sem provisionar hardware de autenticação local, reduzindo os prazos de implementação para centros de transportes e organizações de saúde .
Oiça a nossa equipa de consultores seniores a debater as implicações estratégicas neste briefing de 10 minutos:
Definições Principais
RADIUS (Remote Authentication Dial-In User Service)
Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores que se ligam e utilizam um serviço de rede.
O protocolo principal utilizado pelas redes WiFi empresariais para validar as credenciais dos utilizadores antes de conceder acesso à rede.
NPS (Network Policy Server)
A implementação da Microsoft de um servidor e proxy RADIUS, incluída como uma função no Windows Server.
A infraestrutura legada on-premises da qual as organizações estão ativamente a migrar para reduzir os custos de manutenção.
NAS (Network Access Server)
O dispositivo que atua como gateway para a rede e passa os pedidos de autenticação para o servidor RADIUS.
Num contexto sem fios, o NAS é normalmente o Ponto de Acesso WiFi ou o Controlador de LAN Sem Fios.
RadSec (RADIUS over TLS)
Um protocolo definido no RFC 6614 que transporta pacotes RADIUS sobre uma ligação TCP encriptada com TLS.
Essencial para implementações de RADIUS na nuvem para garantir que os dados das credenciais são encriptados enquanto atravessam a internet pública.
EAP (Extensible Authentication Protocol)
Uma estrutura de autenticação frequentemente utilizada em redes sem fios e ligações ponto a ponto.
Determina como o cliente e o servidor trocam credenciais de forma segura (por exemplo, certificados via EAP-TLS ou palavras-passe via PEAP).
VSA (Vendor-Specific Attribute)
Atributos personalizados definidos por fabricantes de hardware dentro do protocolo RADIUS para suportar funcionalidades proprietárias.
Crucial durante a migração; as VSAs são frequentemente utilizadas para atribuir utilizadores autenticados a VLANs de rede específicas de forma dinâmica.
LDAPS (Lightweight Directory Access Protocol over SSL)
Um protocolo seguro para consultar e modificar serviços de diretório como o Active Directory.
Utilizado por serviços RADIUS na nuvem para consultar de forma segura repositórios de identidade no local, sem migrar o diretório de utilizadores para a nuvem.
802.1X
Um padrão IEEE para controlo de acesso à rede baseado em portas (PNAC).
O padrão subjacente que utiliza RADIUS para garantir que apenas dispositivos autenticados possam transmitir tráfego para a LAN ou WLAN empresarial.
Exemplos Práticos
Um grupo hoteleiro de 200 propriedades executa atualmente servidores NPS locais em cada local para autenticação 802.1X dos funcionários. Estão a migrar para o Entra ID (Azure AD) e pretendem desativar os servidores locais. Como devem abordar a migração?
- Implementar um serviço RADIUS na nuvem que se integre nativamente com o Entra ID via SAML/SCIM.
- Configurar as políticas do RADIUS na nuvem para mapear grupos do Entra ID (por exemplo, 'Front Desk', 'Management') para VSAs de VLAN específicas.
- Numa propriedade piloto, configurar os pontos de acesso para utilizar RadSec para ligar ao endpoint do RADIUS na nuvem.
- Enviar a Root CA do servidor RADIUS na nuvem para todos os dispositivos dos funcionários através do Microsoft Intune.
- Executar a autenticação em paralelo no local piloto e, em seguida, realizar uma implementação faseada nas restantes 199 propriedades.
Um estádio com capacidade para 50.000 pessoas regista falhas de autenticação no seu SSID corporativo durante grandes eventos porque o seu servidor NPS on-premises não consegue lidar com o rendimento de milhares de dispositivos em roaming em simultâneo.
- Auditar as políticas NPS e os métodos EAP existentes.
- Provisionar um serviço RADIUS na nuvem capaz de realizar auto-scaling para processar elevados volumes de autenticações por segundo (APS).
- Estabelecer uma ligação LDAPS do serviço RADIUS na nuvem para o Active Directory on-premises do estádio.
- Atualizar os controladores de LAN sem fios de alta densidade do estádio para apontarem para os endpoints do RADIUS na nuvem como servidores de autenticação primários.
Perguntas de Prática
Q1. A sua organização está a migrar para o Cloud RADIUS. A equipa de segurança exige que nenhum tráfego de autenticação possa ser enviado pela internet em texto simples ou utilizando algoritmos de hashing obsoletos como o MD5. Que protocolo deve configurar nos seus controladores de LAN sem fios?
Dica: Procure o protocolo que envolve o RADIUS num túnel TLS.
Ver resposta modelo
Deve configurar o RadSec (RADIUS sobre TLS). O RadSec estabelece um túnel TLS sobre a porta TCP 2083 entre o NAS e o servidor RADIUS na nuvem, fornecendo encriptação na camada de transporte e autenticação mútua, satisfazendo os requisitos da equipa de segurança.
Q2. Durante a Fase 3 (Execução Paralela) da sua migração, nota que os utilizadores se estão a autenticar com sucesso no servidor RADIUS na nuvem, mas não estão a ser colocados nos segmentos de rede corretos. Qual é a falha de configuração mais provável?
Dica: Como é que um servidor RADIUS indica a um ponto de acesso que segmento de rede deve utilizar?
Ver resposta modelo
Os Atributos Específicos do Fabricante (VSAs) para atribuição dinâmica de VLAN não foram configurados corretamente nas políticas do RADIUS na nuvem. Deve garantir que as strings de VSA exatas utilizadas no servidor NPS legado sejam replicadas no ambiente de nuvem para que o NAS saiba qual VLAN deve atribuir ao utilizador.
Q3. Um dispositivo cliente está a falhar repetidamente na autenticação EAP-TLS no novo serviço RADIUS na nuvem, mas funciona perfeitamente no servidor NPS legado. Os registos do dispositivo mostram um erro de 'servidor não confiável'. Como resolve isto?
Dica: O EAP-TLS exige que o cliente confie na identidade do servidor.
Ver resposta modelo
O dispositivo cliente não tem a Autoridade de Certificação (CA) Raiz que emitiu o certificado do servidor RADIUS na nuvem no seu repositório de raiz fidedigna. Deve implementar a CA Raiz no dispositivo cliente utilizando uma solução de Gestão de Dispositivos Móveis (MDM) ou Política de Grupo.
Continue a ler esta série
Os Benefícios de Segurança do RADIUS as a Service para Equipas de Trabalho Híbridas
Este guia de referência técnica explica como o RADIUS as a Service protege o acesso à rede para equipas de trabalho híbridas em locais distribuídos. Abrange a arquitetura, os benefícios de segurança e as etapas de implementação para substituir a infraestrutura RADIUS local por um serviço de autenticação gerido na nuvem. Para gestores de TI e arquitetos de rede em hotéis, cadeias de retalho, estádios e organizações do setor público, este guia fornece as provas necessárias para avaliar e agir sobre uma migração para RADIUS na nuvem este trimestre.
Integrar o RADIUS as a Service com Diretórios Cloud (Azure AD & Google Workspace)
Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios cloud - Microsoft Entra ID e Google Workspace - para a autenticação de WiFi empresarial. Abrange a transição arquitetónica de NPS on-premise para RADIUS nativo na nuvem, a implementação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fios em ambientes de hotelaria, retalho e setor público. Para gestores de TI e arquitetos de rede que já investem em identidade na nuvem, este guia preenche a lacuna entre a gestão de diretórios e a segurança da rede física.
Como Implementar a Autenticação 802.1X com Cloud RADIUS
Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades empresariais distribuídas. Detalha a arquitetura, a seleção do método EAP, a sequência de implementação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando simultaneamente os custos operacionais da infraestrutura local.