Skip to main content
简体中文

如何设置 Azure Entra ID(Azure AD)以进行 WiFi 认证

这份权威指南详细介绍了将Azure Entra ID与802.1X集成以进行企业WiFi认证的架构、实施步骤和业务影响。它为网络架构师和IT经理提供了实用的部署策略,用基于零信任和证书的网络访问取代传统的PSK。

📖 4 min read📝 945 words🔧 2 worked examples3 practice questions📚 8 key definitions

Listen to this guide

View podcast transcript
[简介 - 1分钟] 主持人:欢迎来到Purple企业网络简报。我是主持人,今天我们要讨论一项关键的、CTO和网络架构师高度关注的基础设施升级:将企业WiFi认证迁移到Azure Entra ID(原Azure AD)。如果您管理一家连锁酒店、一个体育场馆或大型公共部门部署,您一定了解传统本地RADIUS服务器和共享PSK带来的烦恼。今天,我们将讨论零信任网络访问,具体来说,是如何使用Azure Entra ID实施基于802.1X证书的认证。没有废话,只有部署的技术现实。 [技术深入探讨 - 5分钟] 主持人:让我们直接进入架构。WPA2个人版和便签纸上共享密码的日子已经结束了。在现代企业中,无论是保护零售环境中的后台操作,还是医院里的员工网络,都需要身份驱动的访问。 当我们谈论用于WiFi的Azure Entra ID时,我们本质上是在谈论EAP-TLS。那就是可扩展认证协议-传输层安全。它是黄金标准。为什么?因为它依赖证书,而不是密码。密码可能被钓鱼、共享或暴力破解。而通过Intune绑定到托管设备的证书则不可能。 那么,流量是如何流动的呢?一台企业设备——比如一台受管理的笔记本电脑——尝试连接到企业SSID。无线接入点作为认证器,阻止访问,并通过RADIUS将凭证传递给您的认证服务器。现在,Azure Entra ID本身不支持RADIUS。这就是关键的架构桥梁。您需要一个云RADIUS提供商,或者一个带有Azure MFA扩展的本地网络策略服务器(NPS)。 设备出示其客户端证书。RADIUS服务器根据您的证书颁发机构(通常通过Intune中的SCEP管理)验证该证书。如果证书有效,RADIUS服务器会检查Azure Entra ID,以确保用户账户处于活动状态、未被禁用,并符合条件访问策略。只有到那时,RADIUS服务器才会向AP发送访问接受消息,将用户置于正确的VLAN上。 [实施建议与陷阱 - 2分钟] 主持人:那么,部署在哪里会出问题呢?我看到了三个常见的陷阱。 第一:证书吊销列表(CRL)的可用性。如果您的RADIUS服务器无法访问CRL,认证就会失败。确保您的CRL端点高可用,并且可以从RADIUS基础设施访问。 第二:请求方配置。不要把这个留给最终用户。使用您的MDM——Microsoft Intune、Workspace ONE或任何您使用的工具——来推送WiFi配置文件。该配置文件必须明确定义受信任的根CA,并指定客户端只应连接到您特定的RADIUS服务器名称。如果不这样做,您将容易受到邪恶孪生攻击。 第三:传统设备。物联网设备、销售点终端,或仓库中的旧条形码扫描仪通常不支持802.1X或EAP-TLS。您必须为这些设备规划MAC认证旁路(MAB)策略,或一个具有严格网络隔离的专用预共享密钥网络。不要为了一个传统打印机而损害您的主企业SSID。 [快问快答 - 1分钟] 主持人:让我们来回答几个网络架构师经常提出的问题。 问题一:能否在Azure Entra ID中使用PEAP-MSCHAPv2? 回答:可以,通过NPS,但Microsoft正在积极弃用基于凭证的认证。迁移到EAP-TLS。它更安全,并提供更好的用户体验。 问题二:这如何与Purple的访客WiFi集成? 回答:将它们分开。您的企业网络使用与Azure Entra ID绑定的802.1X。您的访客网络使用一个由Purple驱动的、带有Captive Portal的开放SSID,用于分析、条款接受和营销数据捕获。您甚至可以使用Purple的基于档案的认证,为访客提供无缝的回访体验,同时将这些流量与您的企业数据完全隔离。 [总结与后续步骤 - 1分钟] 主持人:总结一下:将企业WiFi认证迁移到Azure Entra ID是迈向零信任架构的基本步骤。它消除了密码轮换的帮助台工单,减轻了凭证盗窃,并确保只有合规的、受管理的设备才能访问您的内部网络。 您的下一步?审计您当前的RADIUS基础设施。如果您正在运行传统的本地NPS,请评估直接与Azure Entra ID和Intune集成的云RADIUS解决方案。制定您的证书部署策略。 感谢收听本技术简报。保护您的网络,我们下次再见。

header_image.png

执行摘要

对于管理复杂环境的 CTO 和网络架构师——从大型 Hospitality 场所到动态 Retail 空间——保护企业网络不再仅仅是强密码的问题。传统的预共享密钥(PSK)和基本的凭证认证与现代零信任架构根本不相容。

本指南详细介绍了向直接与Azure Entra ID(原 Azure AD)集成的基于802.1X证书的WiFi认证过渡的过程。通过转向EAP-TLS(可扩展认证协议-传输层安全),组织可以消除凭证盗窃相关风险,通过移动设备管理(MDM)自动化设备上线,并确保只有合规的、受管理的设备才能访问敏感的企业VLAN。我们将探讨技术架构、部署步骤,以及这种企业安全态势如何与像Purple这样的平台管理的访客网络策略并行运行。

architecture_overview.png

技术深入探讨

从凭证到证书的转变

过去,企业WiFi依赖PEAP-MSCHAPv2,要求用户输入其域凭据。然而,由于易受中间人攻击(AiTM)的影响,Microsoft正在积极弃用基于凭证的认证。目前的行业标准是EAP-TLS,它使用双向证书认证。

在EAP-TLS部署中,RADIUS服务器和客户端设备都出示数字证书。如果设备没有由您信任的证书颁发机构(CA)颁发的有效证书,RADIUS服务器甚至会在设备获得IP地址之前就拒绝连接。

architecture_overview.png

架构桥梁:RADIUS与Entra ID

Azure Entra ID 是一个云身份提供商(IdP),使用像SAML和OIDC这样的现代协议;它不能原生支持RADIUS,RADIUS是无线接入点(WAP)使用的协议。为了弥合这一差距,网络架构师必须部署一个能够与Entra ID通信的RADIUS服务器。通常通过以下方式实现:

  1. 云RADIUS解决方案:专门构建的平台(例如,SecureW2、SCEPman或Portnox),通过API直接与Entra ID和Intune集成。
  2. 本地网络策略服务器(NPS):使用Azure MFA扩展,尽管与云原生RADIUS相比,这种方法越来越被视为传统方法。

eap_comparison_chart.png

实施指南

部署Azure Entra ID进行WiFi认证需要身份、设备管理和网络基础设施团队之间的协调。

步骤1:建立公钥基础设施(PKI)

您必须建立一个CA来颁发客户端和服务器证书。在云优先的环境中,这通常是一个通过简单证书注册协议(SCEP)与Microsoft Intune集成的云PKI。

步骤2:配置RADIUS服务器

部署您的RADIUS基础设施并将其绑定到您的Entra ID租户。RADIUS服务器需要自己的服务器证书,该证书受客户端设备信任,以便在EAP握手期间证明其身份。

步骤3:通过Intune部署MDM配置文件

不要依赖用户手动配置他们的WiFi设置。使用Intune推送一个全面的WiFi配置文件,其中包含:

  • 受信任的根CA证书。
  • 用于请求客户端证书的SCEP配置文件。
  • WiFi配置本身,明确指定SSID和RADIUS基础设施的精确服务器名称,以防止邪恶孪生攻击。

步骤4:配置无线局域网控制器(WLC)

将您的接入点或WLC配置为使用WPA2/WPA3-企业级(802.1X)。将认证和计费流量指向新的RADIUS服务器IP地址,并配置共享的RADIUS密钥。

> “在配置802.1X时,请确保WLC上的RADIUS超时值足以处理基于云的证书验证的延迟,通常从2秒增加到5秒。” [1]

最佳实践

  • 分离企业流量和访客流量:企业设备应使用与Entra ID绑定的802.1X。访客设备应使用带有Captive Portal的开放SSID。为了强大的访客访问和分析,请利用 Guest WiFi 解决方案。这确保了不受信任流量的完全隔离。
  • 谨慎实施MAC认证旁路(MAB):物联网设备和其他传统硬件(例如, Transport 枢纽中的旧扫描仪)通常无法支持802.1X。将这些设备放在使用MAB或专用PSK的单独SSID上,并通过严格的ACL限制其网络访问。
  • 优先考虑证书吊销:确保证书吊销列表(CRL)或在线证书状态协议(OCSP)端点的高可用性。如果RADIUS服务器无法验证吊销状态,认证将失败。

故障排除与风险缓解

当部署失败时,很少是云IdP的错。常见的故障模式包括:

  • 时钟偏差:EAP-TLS对时间高度敏感。确保所有基础设施组件,特别是WLC和RADIUS服务器,通过NTP同步。
  • Intune同步延迟:当新设备注册时,SCEP证书的颁发和设备尝试连接可能需要时间。在上线期间,为这种延迟做好计划。
  • Radius服务器名称不匹配:如果Intune WiFi配置文件中定义的服务器名称与RADIUS服务器证书上的通用名称(CN)或主题备用名称(SAN)不完全匹配,客户端将静默断开连接以防范恶意AP。

有关保护基础设施的更多见解,请参阅我们的指南,了解如何 使用强DNS和安全保护您的网络

投资回报率与业务影响

过渡到Azure Entra ID WiFi认证可带来可衡量的回报:

  1. 减少帮助台负担:消除基于密码的认证大大减少了与密码锁定和WiFi凭证更新相关的工单。
  2. 加速合规性:EAP-TLS提供了PCI DSS和ISO 27001等框架所要求的身份加密证明,对 Healthcare 和零售环境至关重要。
  3. 自动化离职处理:当员工离开时,禁用其在Entra ID中的账户会立即撤销其在所有位置的网络访问权限,从而减轻内部威胁。

通过保护企业骨干网,IT团队可以专注于创收计划,例如利用 WiFi Analytics 了解访客行为并推动参与。

参考资料

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

Key Definitions

802.1X

一种用于基于端口的网络访问控制的IEEE标准,要求设备在获得LAN或WLAN访问权限之前进行认证。

这是使企业WiFi安全的基础协议,超越了简单的共享密码。

EAP-TLS

可扩展认证协议-传输层安全。一种要求客户端和服务器都提供数字证书的认证方法。

被认为是WiFi认证中最安全的方法,可防止凭证盗窃和中间人攻击。

RADIUS

远程认证拨入用户服务。一种提供集中认证、授权和计费(AAA)的网络协议。

您的接入点用来询问认证服务器“我是否应该让这台设备接入网络?”的协议。

SCEP

简单证书注册协议。一种用于向网络设备安全颁发证书的协议。

被Intune等MDM平台用来静默请求和安装客户端证书到公司笔记本电脑和手机上。

MAC Authentication Bypass (MAB)

一种基于设备MAC地址而非用户名或证书来授予网络访问权限的方法。

用作无法执行802.1X握手的传统设备(如旧打印机或物联网传感器)的回退方案。

Evil Twin Attack

一种冒充合法企业SSID以拦截流量或窃取凭证的恶意接入点。

EAP-TLS可以缓解这种攻击,因为客户端设备配置为仅信任合法企业RADIUS服务器的特定证书。

Supplicant

端点设备上的软件客户端(例如,Windows WiFi管理器),负责处理802.1X认证过程。

IT团队必须通过MDM配置请求方,以确保其行为安全,并且不会提示用户接受不受信任的服务器证书。

Conditional Access

Azure Entra ID策略,用于评估信号(用户、位置、设备合规性)以做出访问决策。

现代云RADIUS解决方案可以在WiFi握手期间检查条件访问,如果Intune将设备标记为不符合,则拒绝网络访问。

Worked Examples

一家拥有500个门店的零售连锁店需要保护用于库存管理的后台iPad。目前,他们在所有门店使用同一个共享PSK。他们应该如何迁移到Azure Entra ID认证?

  1. 将所有iPad注册到Microsoft Intune中。
  2. 部署与企业Entra ID租户集成的云RADIUS解决方案。
  3. 配置Intune为每个iPad部署一个SCEP证书。
  4. 通过Intune推送一个WiFi配置文件,将iPad配置为使用EAP-TLS连接到“Corporate-BOH” SSID,并验证云RADIUS服务器的证书。
  5. 在所有500个门店中更新Meraki/Aruba接入点,使其将“Corporate-BOH” SSID的认证指向云RADIUS IP地址。
  6. 分阶段推广:启用新的SSID,通过Intune报告验证iPad连接性,然后淘汰原有的PSK SSID。
Examiner's Commentary: 这种方法消除了共享PSK,如果设备被盗,这会带来巨大的安全风险。通过使用EAP-TLS和Intune,认证与设备的管理状态相关联。如果iPad丢失,IT团队只需在Intune中吊销证书或擦除设备,就可以立即切断网络访问,而不会影响其他499个门店。

一所大学校园正在从本地Active Directory迁移到Azure Entra ID。他们有数千台BYOD(自带设备)学生笔记本电脑,目前使用PEAP-MSCHAPv2(用户名和密码)连接。他们如何在云优先的Entra ID环境中处理BYOD?

  1. 部署一个入网门户(例如,SecureW2 JoinNow或类似的BYOD入网工具)。
  2. 学生连接到一个开放的“Onboarding” SSID,该SSID将他们重定向到门户。
  3. 门户提示学生针对Azure Entra ID进行认证(使用他们的大学电子邮件和MFA)。
  4. 认证成功后,门户生成一个唯一的客户端证书,并自动配置学生的设备以使用EAP-TLS。
  5. 设备自动使用新证书连接到安全的“Edu-Secure” SSID。
Examiner's Commentary: 管理非托管BYOD设备的证书是802.1X中最困难的部分。您不能使用Intune,因为大学不拥有这些笔记本电脑。使用入网门户弥合了这一差距,允许使用安全的EAP-TLS,而不需要IT人员手动操作数千台学生笔记本电脑。

Practice Questions

Q1. 您的组织正在迁移到Azure Entra ID和Intune。您目前使用PEAP-MSCHAPv2进行WiFi认证。安全团队要求WiFi认证必须能够抵御凭证盗窃。您应该部署哪种EAP方法?

Hint: 哪种方法完全依赖证书而不是密码?

View model answer

您应该部署EAP-TLS。EAP-TLS使用双向证书认证,这意味着客户端设备必须出示由您的PKI颁发的有效证书。由于它不使用密码,因此对凭证盗窃和中间人攻击具有很高的抵抗力。

Q2. 通过Intune部署EAP-TLS后,用户报告无法连接到WiFi。查看RADIUS日志,您看到“证书吊销检查失败”。最可能的原因是什么?

Hint: RADIUS服务器必须与什么基础设施通信以验证证书未被泄露?

View model answer

RADIUS服务器无法访问您的证书颁发机构的证书吊销列表(CRL)或OCSP端点。确保防火墙允许RADIUS服务器出站访问客户端证书中指定的HTTP URL。

Q3. 一家医院需要将50台传统心率监测器连接到网络。这些设备仅支持WPA2-个人版(预共享密钥),且无法注册到Intune中。在维持企业笔记本电脑的Entra ID 802.1X部署的同时,您应该如何保护这些设备?

Hint: 不要在同一个SSID上混合使用认证类型。

View model answer

为医疗物联网设备创建一个专用的、单独的SSID。使用一个强而唯一的预共享密钥(或如果您的网络供应商支持,使用Identity PSK/iPSK)或MAC认证旁路(MAB)。关键是要将此SSID置于一个高度受限的VLAN上,并设置严格的访问控制列表(ACL),仅允许监测器与其特定的医疗服务器通信,阻止所有其他横向网络访问。

如何设置 Azure Entra ID(Azure AD)以进行 WiFi 认证 | Technical Guides | Purple