Saltar para o conteúdo principal
Português

Migração de RADIUS Local (NPS) para RADIUS as a Service

Este guia de referência detalha a arquitetura técnica, a metodologia de implementação e o impacto empresarial da migração de um Microsoft Network Policy Server (NPS) local para um modelo RADIUS as a Service nativo na nuvem. Fornece aos líderes de TI e arquitetos de rede estruturas práticas para reduzir os custos operacionais, eliminar pontos únicos de falha e proteger a autenticação empresarial em locais distribuídos.

📖 5 min de leitura📝 1,066 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
GUIÃO DE PODCAST: Migrar de RADIUS On-Premises (NPS) para RADIUS as a Service Duração: ~10 minutos | Voz: Inglês do Reino Unido, Masculino, tom de Consultor Sénior --- SEGMENTO 1: INTRODUÇÃO E CONTEXTO Bem-vindo à série de briefings técnicos da Purple WiFi. Hoje estamos a abordar uma migração que está no roteiro de um número significativo de equipas de TI empresariais neste momento: a transição do RADIUS on-premises — especificamente o Network Policy Server da Microsoft — para um modelo de RADIUS as a Service alojado na nuvem. Se gere a autenticação WiFi numa cadeia de hotéis, numa rede de retalho, num estádio ou num campus do setor público, isto é diretamente relevante para si. O modelo NPS on-premises serviu-nos bem durante a maior parte de duas décadas, mas a sobrecarga operacional, o risco de ponto único de falha e as limitações de escala são cada vez mais difíceis de justificar — especialmente quando as alternativas nativas da nuvem oferecem agora fiabilidade de nível empresarial a uma fração do custo total de propriedade. Nos próximos dez minutos, iremos cobrir a arquitetura técnica de ambas as abordagens, percorrer uma metodologia de migração estruturada, analisar dois cenários de implementação do mundo real e terminar com as principais estruturas de decisão de que necessita para tomar esta decisão com confiança. Vamos a isso. --- SEGMENTO 2: ANÁLISE TÉCNICA DETALHADA Primeiro, vamos garantir que estamos alinhados sobre o que o RADIUS realmente faz na sua pilha de rede. O RADIUS — Remote Authentication Dial-In User Service — é o protocolo definido no RFC 2865 que lida com a autenticação, autorização e contabilização do acesso à rede. Num contexto de WiFi, é a espinha dorsal do controlo de acesso baseado em portas IEEE 802.1X. Quando um dispositivo se liga a um SSID WPA2-Enterprise ou WPA3-Enterprise, o ponto de acesso funciona como um cliente RADIUS — o que chamamos de Network Access Server — e encaminha o pedido de autenticação para o servidor RADIUS. O servidor valida as credenciais, normalmente contra o Active Directory ou um diretório LDAP, e devolve uma resposta Access-Accept ou Access-Reject. Esse é o fluxo fundamental. Agora, no modelo NPS on-premises — o Network Policy Server é a implementação RADIUS da Microsoft incluída no Windows Server — está a executar essa lógica de autenticação em hardware próprio, num centro de dados ou sala de servidores que mantém. O servidor NPS aloja as suas políticas de rede, a sua infraestrutura de certificados para EAP-TLS ou PEAP-MSCHAPv2 e as suas políticas de pedido de ligação. Funciona. É maduro. Mas traz consigo um conjunto de realidades operacionais que se acumulam ao longo do tempo. A primeira é a dependência de hardware. O seu servidor NPS é uma máquina física ou virtual que requer aplicação de patches, planeamento de capacidade e eventual renovação de hardware. Numa implementação multi-site — por exemplo, um grupo hoteleiro com propriedades em todo o Reino Unido — ou está a executar um NPS centralizado com dependência de WAN, ou está a implementar instâncias de NPS em cada local e a geri-las individualmente. Nenhuma das opções é elegante. O segundo é a disponibilidade. Uma única instância NPS é um ponto único de falha para toda a sua infraestrutura de autenticação. Sim, pode implementar o NPS num par de failover, mas isso duplica os seus custos de hardware e licenciamento, e continua a não lhe dar a redundância geográfica que um serviço de nuvem fornece nativamente. O terceiro é a escalabilidade. O NPS foi concebido para ambientes LAN corporativos. Quando está a lidar com milhares de pedidos de autenticação simultâneos durante um evento num estádio ou num pico de um centro de conferências, as limitações de rendimento de uma única instância NPS tornam-se muito evidentes. A latência de autenticação dispara e os utilizadores sofrem falhas de ligação exatamente no momento em que menos se pode dar ao luxo de as ter. O RADIUS as a Service aborda todas estas três restrições a nível de arquitetura. O fornecedor de RADIUS na nuvem executa um cluster distribuído e geo-redundante de servidores RADIUS. Os seus pontos de acesso apontam para endpoints RADIUS alojados na nuvem, em vez de um servidor local. Os pedidos de autenticação são equilibrados em termos de carga em todo o cluster, e o failover é automático e transparente. O fornecedor trata da aplicação de patches, do dimensionamento da capacidade e da gestão de certificados. Do seu ponto de vista como operador de rede, o RADIUS torna-se um serviço consumido em vez de um componente gerido. Os protocolos de autenticação em si não mudam. Continua a executar o IEEE 802.1X com EAP-TLS, PEAP-MSCHAPv2 ou EAP-TTLS, dependendo do seu mix de dispositivos cliente. A diferença reside no local onde o servidor RADIUS reside e em quem é responsável pela sua continuidade operacional. Existe uma consideração de segurança importante aqui que quero abordar diretamente, porque surge em quase todas as conversas com clientes. Mover o RADIUS para a nuvem significa que o seu tráfego de autenticação está a atravessar a internet pública para chegar ao endpoint RADIUS na nuvem. Isto é mitigado através de dois mecanismos. Primeiro, o tráfego RADIUS entre o Network Access Server e o servidor RADIUS é protegido através de um segredo partilhado e de autenticação de mensagens baseada em MD5. Segundo, e mais importante para implementações modernas, deve executar o RadSec — RADIUS sobre TLS, definido no RFC 6614 — que envolve toda a conversa RADIUS num túnel TLS. Isto proporciona-lhe uma encriptação na camada de transporte equivalente a HTTPS, eliminando a vulnerabilidade do MD5 e fornecendo autenticação mútua entre o NAS e o servidor RADIUS. Qualquer fornecedor de RADIUS na nuvem que valha a pena considerar deve suportar o RadSec como padrão. Do lado da integração de identidade, os serviços de RADIUS na nuvem suportam tipicamente ligações LDAP e LDAPS de volta ao seu Active Directory local, ou integração nativa com o Azure Active Directory e Entra ID via SAML ou SCIM. Isto significa que não precisa de migrar o seu diretório de utilizadores — o serviço de RADIUS na nuvem consulta o seu repositório de identidades existente, mantendo os seus processos de gestão de ciclo de vida de utilizadores atuais. Para organizações preocupadas com a conformidade — e isso inclui qualquer pessoa que lide com dados de cartões de pagamento sob o PCI DSS, ou dados pessoais sob o GDPR — os fornecedores de RADIUS na nuvem com certificação SOC 2 Type II e acreditação ISO 27001 oferecem uma postura de conformidade mais forte do que a maioria das organizações consegue alcançar com uma infraestrutura NPS autogerida. --- SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS Muito bem, vamos falar sobre como executar esta migração sem colocar a sua infraestrutura de autenticação offline. A metodologia que recomendo é uma abordagem em cinco fases. A fase um é a auditoria e inventário. Documente cada cliente RADIUS — cada ponto de acesso, cada switch, cada concentrador VPN — juntamente com o seu segredo partilhado atual, o método EAP que está a utilizar e quaisquer atributos específicos do fornecedor nas suas políticas NPS. Este é o trabalho menos glamoroso, mas ignorá-lo é a causa número um de falhas na migração. A fase dois é a implementação piloto. Ative a sua instância de RADIUS na nuvem e aponte um SSID que não seja de produção ou um único site de testes para a mesma. Valide se o seu método EAP funciona de ponta a ponta, se a sua integração de identidade está a funcionar e se os seus dados de accounting estão a fluir corretamente. A fase três é o funcionamento em paralelo. Este é o passo crítico de mitigação de riscos. Configure os seus pontos de acesso com o servidor NPS local e o servidor RADIUS na nuvem como alvos de autenticação, com o serviço na nuvem como primário e o NPS como fallback. Execute esta configuração durante um mínimo de duas semanas ao longo de um ciclo de negócios completo. Monitorize as taxas de sucesso de autenticação, a latência e quaisquer discrepâncias de políticas. A fase quatro é a transição definitiva (cutover). Remova a configuração de fallback do NPS e assuma o RADIUS na nuvem como a sua única infraestrutura de autenticação. Faça isto durante uma janela de manutenção planeada e tenha um procedimento de reversão (rollback) documentado e testado. A fase cinco é a desativação. Depois de validar o funcionamento estável durante trinta dias após a transição, desative os servidores NPS e recupere os recursos de hardware ou de máquinas virtuais. Os erros que vejo com mais frequência são: problemas na cadeia de confiança de certificados — especificamente, dispositivos de clientes que não confiam no certificado do servidor RADIUS na nuvem porque a CA não está na sua lista de fidedignos. Resolva isto através do seu MDM ou de Políticas de Grupo antes da transição. O segundo erro comum são as regras de firewall. O RADIUS na nuvem requer tráfego de saída UDP 1812 e 1813 dos seus pontos de acesso para os endpoints na nuvem, ou TCP 2083 para RadSec. Certifique-se de que o perímetro da sua rede permite este tráfego. Terceiro: complexidade dos segredos partilhados. Se os seus segredos partilhados do NPS existentes forem fracos, aproveite a migração como uma oportunidade para rodar para segredos criptograficamente fortes ou, melhor ainda, mude para RadSec e elimine totalmente os segredos partilhados. --- SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS Deixe-me passar pelas perguntas que recebo com mais frequência sobre este tema. Podemos manter o Active Directory local? Sim, absolutamente. O RADIUS na nuvem liga-se ao seu AD local via LDAPS. O seu diretório permanece onde está. O que acontece se a nossa ligação à internet falhar? Esta é a principal mudança de dependência. Com o RADIUS na nuvem, a conectividade à internet torna-se uma dependência para a autenticação. Mitigue isto com ligações WAN redundantes ou um proxy RADIUS local que armazene em cache a autenticação de dispositivos conhecidos durante as interrupções. Isto afeta a nossa conformidade com o PCI DSS? A transição para um fornecedor certificado de RADIUS na nuvem melhora, tipicamente, o seu estado de conformidade. Certifique-se de que o seu fornecedor pode fornecer relatórios SOC 2 Type II e que está incluído no âmbito da sua avaliação anual de QSA. Quanto tempo demora uma migração completa? Para um único local, duas a quatro semanas. Para uma infraestrutura multilocal de cinquenta ou mais localizações, planeie de três a seis meses com uma implementação faseada. --- SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS Para concluir: os argumentos a favor da migração do NPS local para o RADIUS como Serviço são convincentes a nível operacional, financeiro e de conformidade. A migração em si é de baixo risco quando executada com uma fase estruturada de funcionamento em paralelo. As principais decisões técnicas são a seleção do seu método EAP, a sua abordagem de integração de identidade e a implementação ou não do RadSec para segurança de transporte — o que eu recomendaria vivamente para qualquer nova implementação. Os seus próximos passos imediatos: realize a auditoria dos seus atuais clientes e políticas RADIUS, contacte o seu fornecedor de RADIUS na nuvem para obter um ambiente piloto e reveja as suas regras de firewall e cadeias de fidedignidade de certificados antes de começar. Para organizações que utilizam a plataforma de acesso de convidados da Purple WiFi, a funcionalidade de RADIUS como Serviço integra-se diretamente com o fluxo de autenticação de WiFi de convidados, proporcionando-lhe um único painel de controlo tanto para a autenticação corporativa 802.1X como para a gestão de acessos à rede de convidados — com análises e relatórios de conformidade integrados. Obrigado por ouvir. O guia de referência técnica completo está disponível no website da Purple, e a nossa equipa de soluções está disponível para uma conversa de definição de âmbito se estiver pronto para avançar. --- FIM DO GUIÃO

header_image.png

執行摘要

近二十年來,Microsoft 的網路原則伺服器 (NPS) 一直是企業網路的預設 RADIUS 實作。然而,隨著場域營運商在分散的據點(從零售連鎖店到全球餐旅集團)進行擴充,管理地端驗證基礎架構的營運負擔已成為一項重大責任。

遷移至 RADIUS as a Service 將驗證從受管理的硬體元件轉變為取用的雲端服務。這種架構轉型消除了獨立 NPS 部署中固有的單一故障點,免除了硬體更新週期,並提供了體育場和會議中心等高密度環境所需的彈性擴充能力。對於 IT 經理和網路架構師,本指南提供了一套廠商中立、結構化的方法,可在不影響生產流量的情況下,將 802.1X 驗證遷移至雲端,確保符合 PCI DSS 和 GDPR,並將驗證基礎架構的營運成本 (OpEx) 降低高達 80%。

技術深入探討:架構與標準

要了解此遷移,我們必須首先檢視 IEEE 802.1X 埠型存取控制交付方式的架構轉變。

地端 NPS 的限制

在傳統部署中,存取點充當網路存取伺服器 (NAS),將驗證請求轉發到地端 NPS 伺服器。NPS 伺服器評估連線要求原則,比對身分識別存放區(通常是透過 LDAP 的 Active Directory)驗證憑證,並傳回 Access-Accept 或 Access-Reject 訊息。

此模型對現代網路提出了三個關鍵限制:

  1. 硬體依賴與維護:NPS 需要專用的實體或虛擬機器,需要持續的修補、容量規劃和生命週期管理。
  2. 高可用性複雜度:實現備援需要將 NPS 部署在容錯移轉配對中,這會使授權成本加倍,卻無法提供真正的地理備援。
  3. 吞吐量瓶頸:在尖峰並行期間(例如體育場入場或零售尖峰營業時間),單一 NPS 執行個體可能會成為瓶頸,導致驗證逾時和使用者體驗下降。

雲端 RADIUS 架構

RADIUS as a Service 抽象化了驗證層。雲端供應商營運分散式、地理備援的 RADIUS 伺服器叢集。NAS 指向這些雲端端點,且請求會自動進行負載平衡。

architecture_comparison.png

傳輸安全:RadSec 的角色 當將 RADIUS 移至雲端時,驗證流量會經過公開網路。雖然傳統的 RADIUS 使用共享金鑰和 MD5 雜湊,但現代部署必須實作 RadSec(RADIUS over TLS,RFC 6614)。RadSec 將整個 RADIUS 對話封裝在 TLS 通道中(通常為 TCP 連接埠 2083),提供等同於 HTTPS 的傳輸層加密,以及 NAS 與雲端 RADIUS 端點之間的雙向驗證。

身分整合 雲端 RADIUS 不需要遷移您的使用者目錄。服務通常支援連回本地 Active Directory 的 LDAPS 連線,或透過 SAML 或 SCIM 與 Azure Active Directory (Entra ID) 進行原生 API 整合。這可確保您現有的使用者生命週期管理流程保持不變。

對於利用 Guest WiFi 平台的場域,雲端 RADIUS 可直接整合,為企業 802.1X 驗證和訪客網路存取提供統一的控制介面,並配有先進的 WiFi Analytics

實作指南:五階段方法論

在不中斷服務的情況下執行遷移,需要結構化、分階段的方法。

migration_checklist.png

第一階段:稽核與盤點

在進行任何變更之前,請記錄目前的狀態:

  • RADIUS 用戶端:識別每個 NAS(無線基地台、交換器、VPN 集中器)。
  • 原則:記錄現有的 NPS 連線要求和網路原則,包括用於 VLAN 指派的廠商專屬屬性 (VSA)。
  • EAP 方法:識別正在使用哪些可延伸驗證協定方法(例如 EAP-TLS、PEAP-MSCHAPv2)。

第二階段:試點部署

佈建雲端 RADIUS 執行個體,並設定非生產 SSID 或單一測試站點。驗證身分目錄整合(例如 Entra ID 同步),並確保 EAP 方法端到端正常運作。

第三階段:平行運作(風險緩釋)

將生產環境的 NAS 裝置設定為同時使用雲端 RADIUS 伺服器(主要)和舊版 NPS 伺服器(備用)。維持此設定運作至少兩週。監控驗證成功率、延遲指標和計費資料流,以便在切換前識別任何原則差異。

第四階段:切換

在排定的維護視窗期間,從 NAS 裝置中移除舊版 NPS 備用設定。完全切換至雲端基礎架構。確保您的還原程序已記錄並經過測試。

第五階段:除役

在穩定運作 30 天后,安全地將舊版 NPS 伺服器除役並回收運算資源。

最佳實踐與合規性

在設計您的雲端 RADIUS 架構時,請遵循以下標準:

  • 強制使用 RadSec:如果您的 NAS 硬體支援 RadSec (TCP 2083),切勿使用標準 UDP 1812/1813 透過公用網際網路傳送 RADIUS 流量。
  • 憑證信任鏈:確保用戶端裝置信任核發雲端 RADIUS 伺服器憑證的憑證授權單位 (CA)。在移轉前,透過 MDM 或群組原則將根 CA 推送至受管理裝置。
  • 合規性態勢:選擇維持 SOC 2 Type II 認證與 ISO 27001 認證的雲端 RADIUS 供應商。這能大幅簡化您的年度 PCI DSS 評估,特別是針對 零售旅宿 環境。

如需更廣泛的網路設計原則,請參閱我們的指南: 企業 WiFi 設定:2026 年指南 以及 了解 RSSI 與訊號強度以進行最佳通道規劃

疑難排解與風險緩釋

故障模式 根本原因 緩釋策略
驗證逾時 防火牆阻擋了連外的 UDP 1812/1813 或 TCP 2083。 驗證周邊防火牆規則是否允許連外流量傳送至雲端 RADIUS 供應商的特定 IP 範圍。
憑證信任錯誤 用戶端裝置的信任存放區中缺少根 CA。 在第 3 階段(平行運作)之前,透過 MDM/GPO 部署根 CA。
VLAN 指派失敗 廠商特定屬性 (VSA) 未在雲端原則中正確對應。 在第 1 階段期間,將 NPS 的確切 VSA 字串格式複製到雲端 RADIUS 原則引擎中。
WAN 中斷影響 失去網際網路連線導致無法存取雲端 RADIUS。 部署備援 WAN 連結,或實作可為已知裝置快取憑證的本機 RADIUS 代理伺服器。

投資報酬率與業務影響

移轉至 RADIUS 即服務 (RADIUS as a Service) 可帶來可衡量的業務成果:

  • 降低成本:免除硬體採購、Windows Server 授權,以及花費在修補和維護上的工程工時。典型的營運費用 (OpEx) 可減少 60-80%。
  • 可靠性 SLA:雲端供應商提供具財務保障的 99.99% 可用性 SLA,而單一站點 NPS 部署的典型可用性僅為 97-98%。
  • 敏捷性:無需配置本機驗證硬體即可立即讓新站點上線,從而縮短 交通運輸 樞紐與 醫療保健 機構的部署時程。

歡迎收聽我們的資深顧問團隊在這份 10 分鐘的簡報中討論策略性影響:

Definições Principais

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores que se ligam e utilizam um serviço de rede.

O protocolo principal utilizado pelas redes WiFi empresariais para validar as credenciais dos utilizadores antes de conceder acesso à rede.

NPS (Network Policy Server)

A implementação da Microsoft de um servidor e proxy RADIUS, incluída como uma função no Windows Server.

A infraestrutura local (on-premises) legada da qual as organizações estão ativamente a migrar para reduzir os custos de manutenção.

NAS (Network Access Server)

O dispositivo que atua como gateway para a rede e encaminha os pedidos de autenticação para o servidor RADIUS.

Num contexto sem fios, o NAS é normalmente o Ponto de Acesso WiFi ou o Controlador de LAN Sem Fios.

RadSec (RADIUS over TLS)

Um protocolo definido no RFC 6614 que transporta pacotes RADIUS através de uma ligação TCP encriptada com TLS.

Essencial para implementações de RADIUS na nuvem para garantir que os dados das credenciais são encriptados enquanto atravessam a internet pública.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente utilizada em redes sem fios e ligações ponto a ponto.

Determina como o cliente e o servidor trocam credenciais de forma segura (por exemplo, certificados via EAP-TLS ou palavras-passe via PEAP).

VSA (Vendor-Specific Attribute)

Atributos personalizados definidos pelos fornecedores de hardware dentro do protocolo RADIUS para suportar funcionalidades proprietárias.

Crucial durante a migração; os VSAs são frequentemente utilizados para atribuir utilizadores autenticados a VLANs de rede específicas de forma dinâmica.

LDAPS (Lightweight Directory Access Protocol over SSL)

Um protocolo seguro para consultar e modificar serviços de diretório como o Active Directory.

Utilizado por serviços RADIUS na nuvem para consultar de forma segura repositórios de identidade locais sem migrar o diretório de utilizadores para a nuvem.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas (PNAC).

O padrão subjacente que utiliza RADIUS para garantir que apenas dispositivos autenticados possam transmitir tráfego na LAN ou WLAN empresarial.

Exemplos Práticos

Um grupo hoteleiro com 200 propriedades executa atualmente servidores NPS locais em cada local para a autenticação 802.1X dos funcionários. Estão a migrar para o Entra ID (Azure AD) e pretendem desativar os servidores locais. Como devem abordar a migração?

  1. Implementar um serviço RADIUS na nuvem que se integre nativamente com o Entra ID via SAML/SCIM.
  2. Configurar as políticas do RADIUS na nuvem para mapear grupos do Entra ID (ex. 'Front Desk', 'Management') para VSAs de VLAN específicas.
  3. Numa propriedade piloto, configurar os pontos de acesso para utilizarem RadSec para ligar ao endpoint do RADIUS na nuvem.
  4. Distribuir a Root CA do servidor RADIUS na nuvem para todos os dispositivos dos funcionários através do Microsoft Intune.
  5. Executar a autenticação em paralelo no local piloto e, em seguida, realizar uma implementação faseada nas restantes 199 propriedades.
Comentário do Examinador: Esta abordagem remove 200 servidores físicos/virtuais da infraestrutura, reduzindo drasticamente a superfície de ataque e os custos de manutenção. A integração direta com o Entra ID elimina a necessidade de VPNs site-to-site complexas de volta a um Active Directory central.

Um estádio com capacidade para 50.000 pessoas regista falhas de autenticação no seu SSID corporativo durante grandes eventos, porque o seu servidor NPS local não consegue processar o volume de milhares de dispositivos em roaming em simultâneo.

  1. Auditar as políticas de NPS e os métodos EAP existentes.
  2. Provisionar um serviço RADIUS na nuvem capaz de efetuar escalonamento automático para processar um elevado número de autenticações por segundo (APS).
  3. Estabelecer uma ligação LDAPS do serviço RADIUS na nuvem para o Active Directory local do estádio.
  4. Atualizar os controladores de LAN sem fios de alta densidade do estádio para apontarem para os endpoints do RADIUS na nuvem como os servidores de autenticação primários.
Comentário do Examinador: Ao descarregar o processamento do RADIUS para um cluster na nuvem, o estádio tira partido de recursos de computação elásticos que escalam dinamicamente durante a entrada de público no evento, resolvendo o estrangulamento sem exigir que o local sobredimensione hardware local dispendioso.

Perguntas de Prática

Q1. A sua organização está a migrar para o Cloud RADIUS. A equipa de segurança exige que nenhum tráfego de autenticação possa ser enviado pela internet em texto simples ou utilizando algoritmos de hashing obsoletos como o MD5. Que protocolo deve configurar nos seus controladores de LAN sem fios?

Dica: Procure o protocolo que envolve o RADIUS num túnel TLS.

Ver resposta modelo

Deve configurar o RadSec (RADIUS sobre TLS). O RadSec estabelece um túnel TLS sobre a porta TCP 2083 entre o NAS e o servidor RADIUS na nuvem, fornecendo encriptação na camada de transporte e autenticação mútua, cumprindo os requisitos da equipa de segurança.

Q2. Durante a Fase 3 (Execução Paralela) da sua migração, nota que os utilizadores se estão a autenticar com sucesso no servidor RADIUS na nuvem, mas não estão a ser colocados nos segmentos de rede corretos. Qual é a falha de configuração mais provável?

Dica: Como é que um servidor RADIUS indica a um ponto de acesso qual o segmento de rede a utilizar?

Ver resposta modelo

Os Atributos Específicos do Fornecedor (VSAs) para atribuição dinâmica de VLAN não foram configurados corretamente nas políticas do RADIUS na nuvem. Deve garantir que as strings VSA exatas utilizadas no servidor NPS legado são replicadas no ambiente de nuvem para que o NAS saiba qual VLAN atribuir ao utilizador.

Q3. Um dispositivo cliente está a falhar repetidamente a autenticação EAP-TLS no novo serviço RADIUS na nuvem, mas funciona corretamente no servidor NPS legado. Os registos do dispositivo mostram um erro de 'servidor não confiável'. Como resolve este problema?

Dica: O EAP-TLS exige que o cliente confie na identidade do servidor.

Ver resposta modelo

O dispositivo cliente não tem a Autoridade de Certificação (CA) Raiz que emitiu o certificado do servidor RADIUS na nuvem no seu repositório de raiz confiável. Deve implementar a CA Raiz no dispositivo cliente utilizando uma solução de Gestão de Dispositivos Móveis (MDM) ou Política de Grupo.

Continue a ler esta série

Os Benefícios de Segurança do RADIUS as a Service para Equipas de Trabalho Híbridas

Este guia de referência técnica explica como o RADIUS as a Service protege o acesso à rede para equipas de trabalho híbridas em locais distribuídos. Abrange a arquitetura, os benefícios de segurança e as etapas de implementação para substituir a infraestrutura RADIUS local por um serviço de autenticação gerido na nuvem. Para gestores de TI e arquitetos de rede em hotéis, cadeias de retalho, estádios e organizações do setor público, este guia fornece as provas necessárias para avaliar e agir sobre uma migração para RADIUS na nuvem este trimestre.

Ler o guia →

Integrar o RADIUS as a Service com Diretórios Cloud (Azure AD & Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios cloud - Microsoft Entra ID e Google Workspace - para a autenticação de WiFi empresarial. Abrange a transição arquitetónica de NPS on-premise para RADIUS nativo na nuvem, a implementação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fios em ambientes de hotelaria, retalho e setor público. Para gestores de TI e arquitetos de rede que já investem em identidade na nuvem, este guia preenche a lacuna entre a gestão de diretórios e a segurança da rede física.

Ler o guia →

Como Implementar a Autenticação 802.1X com Cloud RADIUS

Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades empresariais distribuídas. Detalha a arquitetura, a seleção do método EAP, a sequência de implementação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando simultaneamente os custos operacionais da infraestrutura local.

Ler o guia →