如何设置 Azure Entra ID(Azure AD)以进行 WiFi 认证
这份权威指南详细介绍了将Azure Entra ID与802.1X集成以进行企业WiFi认证的架构、实施步骤和业务影响。它为网络架构师和IT经理提供了实用的部署策略,用基于零信任和证书的网络访问取代传统的PSK。
收听本指南
查看播客转录

執行摘要
對於管理複雜環境(從大型 餐旅服務業 場所到動態的 零售 空間)的 CTO 和網路架構師而言,保護企業網路的安全已不再僅僅是強密碼的問題。傳統的預共用金鑰 (PSK) 和基本的憑證驗證,在根本上與現代零信任架構不相容。
本指南詳細介紹了如何過渡到與 Azure Entra ID(前身為 Azure AD)直接整合的 802.1X 憑證式 WiFi 驗證。透過轉向 EAP-TLS(可延伸驗證通訊協定安全傳輸層保障),企業可以消除與憑證竊取相關的風險、透過行動裝置管理 (MDM) 自動進行裝置註冊,並確保只有合規、受管理的裝置才能存取敏感的企業 VLAN。我們將探討技術架構、部署步驟,以及這種企業安全態勢如何與 Purple 等平台管理的訪客網路策略平行運作。
技術深度剖析
從憑證到數位憑證的轉變
歷史上,企業 WiFi 依賴 PEAP-MSCHAPv2,需要使用者輸入其網域憑證。然而,由於其容易受到中間人 (AiTM) 攻擊,Microsoft 正積極淘汰憑證式驗證。目前的業界標準是 EAP-TLS,它使用雙向憑證驗證。
在 EAP-TLS 部署中,RADIUS 伺服器和用戶端裝置都會出示數位憑證。如果裝置缺乏由您的受信任憑證授權單位 (CA) 核發的有效憑證,RADIUS 伺服器甚至會在裝置取得 IP 地址之前,就拒絕該連線。

架構橋樑:RADIUS 與 Entra ID
Azure Entra ID 是一個使用 SAML 和 OIDC 等現代通訊協定的雲端身分識別提供者 (IdP);它原生並不支援無線存取點 (WAP) 所使用的 RADIUS 通訊協定。為了彌補這一差距,網路架構師必須部署一個能夠與 Entra ID 通訊的 RADIUS 伺服器。這通常透過以下方式實現:
- 雲端 RADIUS 解決方案:專為此目的建置的平台(例如 SecureW2、SCEPman 或 Portnox),透過 API 與 Entra ID 和 Intune 直接整合。
- 地端網路原則伺服器 (NPS):使用 Azure MFA 擴充功能,儘管與雲端原生 RADIUS 相比,這越來越被視為一種過時的方法。

實作指南
部署 Azure Entra ID 進行 WiFi 驗證需要協調身分識別、裝置管理以及網路基礎架構團隊。
步驟 1:建立公開金鑰基礎建設 (PKI)
您必須建立 CA 來核發用戶端與伺服器憑證。在雲端優先的環境中,這通常是透過簡單憑證登錄協定 (SCEP) 與 Microsoft Intune 整合的雲端 PKI。
步驟 2:設定 RADIUS 伺服器
部署您的 RADIUS 基礎架構並將其綁定至您的 Entra ID 租戶。RADIUS 伺服器需要自己的伺服器憑證(受您的用戶端裝置信任),以便在 EAP 握手期間證明其身分。
步驟 3:透過 Intune 部署 MDM 設定檔
請勿依賴使用者手動設定其 WiFi 設定。使用 Intune 推送包含以下內容的完整 WiFi 設定檔:
- 信任的根 CA 憑證。
- 用以要求用戶端憑證的 SCEP 設定檔。
- WiFi 設定本身,明確定義 SSID 和 RADIUS 基礎架構的確切伺服器名稱,以防止邪惡雙生 (Evil Twin) 攻擊。
步驟 4:設定無線區域網路控制器 (WLC)
設定您的存取點或 WLC 以使用 WPA2/WPA3-Enterprise (802.1X)。將驗證與計費流量指向您新的 RADIUS 伺服器 IP 位址,並設定共用的 RADIUS 密鑰。
> 「設定 802.1X 時,請確保 WLC 上的 RADIUS 逾時值足夠因應雲端憑證驗證的延遲,通常會從 2 秒增加到 5 秒。」[1]
最佳實踐
- 隔離企業與訪客流量:企業裝置應使用與 Entra ID 綁定的 802.1X。訪客裝置應使用帶有 Captive Portal 的開放式 SSID。若要獲得強健的訪客存取與分析功能,請利用 Guest WiFi 解決方案。這可確保完全隔離不受信任的流量。
- 謹慎實施 MAC 驗證繞過 (MAB):IoT 裝置與舊型硬體(例如 運輸 樞紐中的舊型掃描器)通常無法支援 802.1X。請使用 MAB 或專用 PSK 將這些裝置放置在獨立的 SSID 上,並透過嚴格的 ACL 限制其網路存取。
- 優先處理憑證撤銷:確保您的憑證撤銷清單 (CRL) 或線上憑證狀態協定 (OCSP) 端點具有高可用性。如果 RADIUS 伺服器無法驗證撤銷狀態,驗證將會失敗。
疑難排解與風險緩釋
當部署失敗時,極少是雲端 IdP 的問題。常見的失敗模式包括:
- 時鐘偏差:EAP-TLS 對時間極為敏感。確保所有基礎架構元件(特別是 WLC 和 RADIUS 伺服器)皆透過 NTP 進行同步。
- Intune 同步延遲:當註冊新裝置時,核發 SCEP 憑證與裝置嘗試連線可能需要一些時間。請在新手引導期間規劃此延遲時間。
- Radius 伺服器名稱不符:若 Intune WiFi 設定檔中定義的伺服器名稱與 RADIUS 伺服器憑證上的通用名稱 (CN) 或主體替代名稱 (SAN) 未完全一致,用戶端將會靜默中斷連線,以防止惡意 AP 的攻擊。
如需更多關於保護基礎設施安全的深入分析,請參閱我們的指南: 如何利用強大的 DNS 與安全性保護您的網路 。
投資報酬率與商業影響
轉移至 Azure Entra ID WiFi 驗證可帶來顯著的效益:
- 減少技術支援支出:消除基於密碼的驗證可大幅減少與密碼鎖定和 WiFi 憑證更新相關的支援工單。
- 加速合規進程:EAP-TLS 提供 PCI DSS 和 ISO 27001 等框架所需的密碼學身分證明,這對於 醫療保健 和零售環境至關重要。
- 自動化離職流程:當員工離職時,在 Entra ID 中停用其帳戶會立即撤銷其在所有地點的網路存取權限,從而降低內部威脅。
藉由保護企業核心網路,IT 團隊可以專注於創造營收的計畫,例如利用 WiFi Analytics 來了解訪客行為並提升參與度。
參考資料
[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.
关键定义
802.1X
一种用于基于端口的网络访问控制的IEEE标准,要求设备在获得LAN或WLAN访问权限之前进行认证。
这是使企业WiFi安全的基础协议,超越了简单的共享密码。
EAP-TLS
可扩展认证协议-传输层安全。一种要求客户端和服务器都提供数字证书的认证方法。
被认为是WiFi认证中最安全的方法,可防止凭证盗窃和中间人攻击。
RADIUS
远程认证拨入用户服务。一种提供集中认证、授权和计费(AAA)的网络协议。
您的接入点用来询问认证服务器“我是否应该让这台设备接入网络?”的协议。
SCEP
简单证书注册协议。一种用于向网络设备安全颁发证书的协议。
被Intune等MDM平台用来静默请求和安装客户端证书到公司笔记本电脑和手机上。
MAC Authentication Bypass (MAB)
一种基于设备MAC地址而非用户名或证书来授予网络访问权限的方法。
用作无法执行802.1X握手的传统设备(如旧打印机或物联网传感器)的回退方案。
Evil Twin Attack
一种冒充合法企业SSID以拦截流量或窃取凭证的恶意接入点。
EAP-TLS可以缓解这种攻击,因为客户端设备配置为仅信任合法企业RADIUS服务器的特定证书。
Supplicant
端点设备上的软件客户端(例如,Windows WiFi管理器),负责处理802.1X认证过程。
IT团队必须通过MDM配置请求方,以确保其行为安全,并且不会提示用户接受不受信任的服务器证书。
Conditional Access
Azure Entra ID策略,用于评估信号(用户、位置、设备合规性)以做出访问决策。
现代云RADIUS解决方案可以在WiFi握手期间检查条件访问,如果Intune将设备标记为不符合,则拒绝网络访问。
应用实例
一家拥有500个门店的零售连锁店需要保护用于库存管理的后台iPad。目前,他们在所有门店使用同一个共享PSK。他们应该如何迁移到Azure Entra ID认证?
- 将所有iPad注册到Microsoft Intune中。
- 部署与企业Entra ID租户集成的云RADIUS解决方案。
- 配置Intune为每个iPad部署一个SCEP证书。
- 通过Intune推送一个WiFi配置文件,将iPad配置为使用EAP-TLS连接到“Corporate-BOH” SSID,并验证云RADIUS服务器的证书。
- 在所有500个门店中更新Meraki/Aruba接入点,使其将“Corporate-BOH” SSID的认证指向云RADIUS IP地址。
- 分阶段推广:启用新的SSID,通过Intune报告验证iPad连接性,然后淘汰原有的PSK SSID。
一所大学校园正在从本地Active Directory迁移到Azure Entra ID。他们有数千台BYOD(自带设备)学生笔记本电脑,目前使用PEAP-MSCHAPv2(用户名和密码)连接。他们如何在云优先的Entra ID环境中处理BYOD?
- 部署一个入网门户(例如,SecureW2 JoinNow或类似的BYOD入网工具)。
- 学生连接到一个开放的“Onboarding” SSID,该SSID将他们重定向到门户。
- 门户提示学生针对Azure Entra ID进行认证(使用他们的大学电子邮件和MFA)。
- 认证成功后,门户生成一个唯一的客户端证书,并自动配置学生的设备以使用EAP-TLS。
- 设备自动使用新证书连接到安全的“Edu-Secure” SSID。
练习题
Q1. 您的组织正在迁移到Azure Entra ID和Intune。您目前使用PEAP-MSCHAPv2进行WiFi认证。安全团队要求WiFi认证必须能够抵御凭证盗窃。您应该部署哪种EAP方法?
提示:哪种方法完全依赖证书而不是密码?
查看标准答案
您应该部署EAP-TLS。EAP-TLS使用双向证书认证,这意味着客户端设备必须出示由您的PKI颁发的有效证书。由于它不使用密码,因此对凭证盗窃和中间人攻击具有很高的抵抗力。
Q2. 通过Intune部署EAP-TLS后,用户报告无法连接到WiFi。查看RADIUS日志,您看到“证书吊销检查失败”。最可能的原因是什么?
提示:RADIUS服务器必须与什么基础设施通信以验证证书未被泄露?
查看标准答案
RADIUS服务器无法访问您的证书颁发机构的证书吊销列表(CRL)或OCSP端点。确保防火墙允许RADIUS服务器出站访问客户端证书中指定的HTTP URL。
Q3. 一家医院需要将50台传统心率监测器连接到网络。这些设备仅支持WPA2-个人版(预共享密钥),且无法注册到Intune中。在维持企业笔记本电脑的Entra ID 802.1X部署的同时,您应该如何保护这些设备?
提示:不要在同一个SSID上混合使用认证类型。
查看标准答案
为医疗物联网设备创建一个专用的、单独的SSID。使用一个强而唯一的预共享密钥(或如果您的网络供应商支持,使用Identity PSK/iPSK)或MAC认证旁路(MAB)。关键是要将此SSID置于一个高度受限的VLAN上,并设置严格的访问控制列表(ACL),仅允许监测器与其特定的医疗服务器通信,阻止所有其他横向网络访问。
继续阅读本系列
如何面向高等教育机构实施 SCEP 以实现安全的 BYOD 和网络注册
本技术指南为网络架构师和 IT 经理提供了一个与厂商无关的蓝图,用于部署基于 SCEP 的证书注册,以保障高等教育校园网络的安全。它详细介绍了如何从基于密码的 PEAP 迁移到 802.1X EAP-TLS、自动执行 BYOD 引导以及实施强大的 VLAN 细分。
Server RADIUS:面向企业的全面指南
本指南为 IT 经理、网络架构师和 CTO 提供关于企业 WiFi 的 server RADIUS 身份验证的权威技术参考。它涵盖了 AAA 框架、802.1X 架构、EAP 方法选择、云端与本地部署的权衡以及动态 VLAN 分配。酒店、零售、活动和公共部门的场所运营商将获得可行的实施指导、真实案例研究以及从不安全的预共享密钥迁移到安全的、身份驱动的网络访问控制架构所需的决策框架。
Aruba ClearPass vs. Purple WiFi: 比较功能与协同部署
一份全面的技术指南,详细介绍了 Aruba ClearPass 和 Purple WiFi 的协同部署架构。内容涵盖 RADIUS 代理配置、动态 VLAN 分配,以及在企业级 NAC 旁部署安全且由数据分析驱动的访客网络的最佳实践。