跳至主要内容

如何设置 Azure Entra ID(Azure AD)以进行 WiFi 认证

这份权威指南详细介绍了将Azure Entra ID与802.1X集成以进行企业WiFi认证的架构、实施步骤和业务影响。它为网络架构师和IT经理提供了实用的部署策略,用基于零信任和证书的网络访问取代传统的PSK。

📖 4 分钟阅读📝 945 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
[简介 - 1分钟] 主持人:欢迎来到Purple企业网络简报。我是主持人,今天我们要讨论一项关键的、CTO和网络架构师高度关注的基础设施升级:将企业WiFi认证迁移到Azure Entra ID(原Azure AD)。如果您管理一家连锁酒店、一个体育场馆或大型公共部门部署,您一定了解传统本地RADIUS服务器和共享PSK带来的烦恼。今天,我们将讨论零信任网络访问,具体来说,是如何使用Azure Entra ID实施基于802.1X证书的认证。没有废话,只有部署的技术现实。 [技术深入探讨 - 5分钟] 主持人:让我们直接进入架构。WPA2个人版和便签纸上共享密码的日子已经结束了。在现代企业中,无论是保护零售环境中的后台操作,还是医院里的员工网络,都需要身份驱动的访问。 当我们谈论用于WiFi的Azure Entra ID时,我们本质上是在谈论EAP-TLS。那就是可扩展认证协议-传输层安全。它是黄金标准。为什么?因为它依赖证书,而不是密码。密码可能被钓鱼、共享或暴力破解。而通过Intune绑定到托管设备的证书则不可能。 那么,流量是如何流动的呢?一台企业设备——比如一台受管理的笔记本电脑——尝试连接到企业SSID。无线接入点作为认证器,阻止访问,并通过RADIUS将凭证传递给您的认证服务器。现在,Azure Entra ID本身不支持RADIUS。这就是关键的架构桥梁。您需要一个云RADIUS提供商,或者一个带有Azure MFA扩展的本地网络策略服务器(NPS)。 设备出示其客户端证书。RADIUS服务器根据您的证书颁发机构(通常通过Intune中的SCEP管理)验证该证书。如果证书有效,RADIUS服务器会检查Azure Entra ID,以确保用户账户处于活动状态、未被禁用,并符合条件访问策略。只有到那时,RADIUS服务器才会向AP发送访问接受消息,将用户置于正确的VLAN上。 [实施建议与陷阱 - 2分钟] 主持人:那么,部署在哪里会出问题呢?我看到了三个常见的陷阱。 第一:证书吊销列表(CRL)的可用性。如果您的RADIUS服务器无法访问CRL,认证就会失败。确保您的CRL端点高可用,并且可以从RADIUS基础设施访问。 第二:请求方配置。不要把这个留给最终用户。使用您的MDM——Microsoft Intune、Workspace ONE或任何您使用的工具——来推送WiFi配置文件。该配置文件必须明确定义受信任的根CA,并指定客户端只应连接到您特定的RADIUS服务器名称。如果不这样做,您将容易受到邪恶孪生攻击。 第三:传统设备。物联网设备、销售点终端,或仓库中的旧条形码扫描仪通常不支持802.1X或EAP-TLS。您必须为这些设备规划MAC认证旁路(MAB)策略,或一个具有严格网络隔离的专用预共享密钥网络。不要为了一个传统打印机而损害您的主企业SSID。 [快问快答 - 1分钟] 主持人:让我们来回答几个网络架构师经常提出的问题。 问题一:能否在Azure Entra ID中使用PEAP-MSCHAPv2? 回答:可以,通过NPS,但Microsoft正在积极弃用基于凭证的认证。迁移到EAP-TLS。它更安全,并提供更好的用户体验。 问题二:这如何与Purple的访客WiFi集成? 回答:将它们分开。您的企业网络使用与Azure Entra ID绑定的802.1X。您的访客网络使用一个由Purple驱动的、带有Captive Portal的开放SSID,用于分析、条款接受和营销数据捕获。您甚至可以使用Purple的基于档案的认证,为访客提供无缝的回访体验,同时将这些流量与您的企业数据完全隔离。 [总结与后续步骤 - 1分钟] 主持人:总结一下:将企业WiFi认证迁移到Azure Entra ID是迈向零信任架构的基本步骤。它消除了密码轮换的帮助台工单,减轻了凭证盗窃,并确保只有合规的、受管理的设备才能访问您的内部网络。 您的下一步?审计您当前的RADIUS基础设施。如果您正在运行传统的本地NPS,请评估直接与Azure Entra ID和Intune集成的云RADIUS解决方案。制定您的证书部署策略。 感谢收听本技术简报。保护您的网络,我们下次再见。

header_image.png

執行摘要

對於管理複雜環境(從大型 餐旅服務業 場所到動態的 零售 空間)的 CTO 和網路架構師而言,保護企業網路的安全已不再僅僅是強密碼的問題。傳統的預共用金鑰 (PSK) 和基本的憑證驗證,在根本上與現代零信任架構不相容。

本指南詳細介紹了如何過渡到與 Azure Entra ID(前身為 Azure AD)直接整合的 802.1X 憑證式 WiFi 驗證。透過轉向 EAP-TLS(可延伸驗證通訊協定安全傳輸層保障),企業可以消除與憑證竊取相關的風險、透過行動裝置管理 (MDM) 自動進行裝置註冊,並確保只有合規、受管理的裝置才能存取敏感的企業 VLAN。我們將探討技術架構、部署步驟,以及這種企業安全態勢如何與 Purple 等平台管理的訪客網路策略平行運作。

技術深度剖析

從憑證到數位憑證的轉變

歷史上,企業 WiFi 依賴 PEAP-MSCHAPv2,需要使用者輸入其網域憑證。然而,由於其容易受到中間人 (AiTM) 攻擊,Microsoft 正積極淘汰憑證式驗證。目前的業界標準是 EAP-TLS,它使用雙向憑證驗證。

在 EAP-TLS 部署中,RADIUS 伺服器和用戶端裝置都會出示數位憑證。如果裝置缺乏由您的受信任憑證授權單位 (CA) 核發的有效憑證,RADIUS 伺服器甚至會在裝置取得 IP 地址之前,就拒絕該連線。

architecture_overview.png

架構橋樑:RADIUS 與 Entra ID

Azure Entra ID 是一個使用 SAML 和 OIDC 等現代通訊協定的雲端身分識別提供者 (IdP);它原生並不支援無線存取點 (WAP) 所使用的 RADIUS 通訊協定。為了彌補這一差距,網路架構師必須部署一個能夠與 Entra ID 通訊的 RADIUS 伺服器。這通常透過以下方式實現:

  1. 雲端 RADIUS 解決方案:專為此目的建置的平台(例如 SecureW2、SCEPman 或 Portnox),透過 API 與 Entra ID 和 Intune 直接整合。
  2. 地端網路原則伺服器 (NPS):使用 Azure MFA 擴充功能,儘管與雲端原生 RADIUS 相比,這越來越被視為一種過時的方法。

eap_comparison_chart.png

實作指南

部署 Azure Entra ID 進行 WiFi 驗證需要協調身分識別、裝置管理以及網路基礎架構團隊。

步驟 1:建立公開金鑰基礎建設 (PKI)

您必須建立 CA 來核發用戶端與伺服器憑證。在雲端優先的環境中,這通常是透過簡單憑證登錄協定 (SCEP) 與 Microsoft Intune 整合的雲端 PKI。

步驟 2:設定 RADIUS 伺服器

部署您的 RADIUS 基礎架構並將其綁定至您的 Entra ID 租戶。RADIUS 伺服器需要自己的伺服器憑證(受您的用戶端裝置信任),以便在 EAP 握手期間證明其身分。

步驟 3:透過 Intune 部署 MDM 設定檔

請勿依賴使用者手動設定其 WiFi 設定。使用 Intune 推送包含以下內容的完整 WiFi 設定檔:

  • 信任的根 CA 憑證。
  • 用以要求用戶端憑證的 SCEP 設定檔。
  • WiFi 設定本身,明確定義 SSID 和 RADIUS 基礎架構的確切伺服器名稱,以防止邪惡雙生 (Evil Twin) 攻擊。

步驟 4:設定無線區域網路控制器 (WLC)

設定您的存取點或 WLC 以使用 WPA2/WPA3-Enterprise (802.1X)。將驗證與計費流量指向您新的 RADIUS 伺服器 IP 位址,並設定共用的 RADIUS 密鑰。

> 「設定 802.1X 時,請確保 WLC 上的 RADIUS 逾時值足夠因應雲端憑證驗證的延遲,通常會從 2 秒增加到 5 秒。」[1]

最佳實踐

  • 隔離企業與訪客流量:企業裝置應使用與 Entra ID 綁定的 802.1X。訪客裝置應使用帶有 Captive Portal 的開放式 SSID。若要獲得強健的訪客存取與分析功能,請利用 Guest WiFi 解決方案。這可確保完全隔離不受信任的流量。
  • 謹慎實施 MAC 驗證繞過 (MAB):IoT 裝置與舊型硬體(例如 運輸 樞紐中的舊型掃描器)通常無法支援 802.1X。請使用 MAB 或專用 PSK 將這些裝置放置在獨立的 SSID 上,並透過嚴格的 ACL 限制其網路存取。
  • 優先處理憑證撤銷:確保您的憑證撤銷清單 (CRL) 或線上憑證狀態協定 (OCSP) 端點具有高可用性。如果 RADIUS 伺服器無法驗證撤銷狀態,驗證將會失敗。

疑難排解與風險緩釋

當部署失敗時,極少是雲端 IdP 的問題。常見的失敗模式包括:

  • 時鐘偏差:EAP-TLS 對時間極為敏感。確保所有基礎架構元件(特別是 WLC 和 RADIUS 伺服器)皆透過 NTP 進行同步。
  • Intune 同步延遲:當註冊新裝置時,核發 SCEP 憑證與裝置嘗試連線可能需要一些時間。請在新手引導期間規劃此延遲時間。
  • Radius 伺服器名稱不符:若 Intune WiFi 設定檔中定義的伺服器名稱與 RADIUS 伺服器憑證上的通用名稱 (CN) 或主體替代名稱 (SAN) 未完全一致,用戶端將會靜默中斷連線,以防止惡意 AP 的攻擊。

如需更多關於保護基礎設施安全的深入分析,請參閱我們的指南: 如何利用強大的 DNS 與安全性保護您的網路

投資報酬率與商業影響

轉移至 Azure Entra ID WiFi 驗證可帶來顯著的效益:

  1. 減少技術支援支出:消除基於密碼的驗證可大幅減少與密碼鎖定和 WiFi 憑證更新相關的支援工單。
  2. 加速合規進程:EAP-TLS 提供 PCI DSS 和 ISO 27001 等框架所需的密碼學身分證明,這對於 醫療保健 和零售環境至關重要。
  3. 自動化離職流程:當員工離職時,在 Entra ID 中停用其帳戶會立即撤銷其在所有地點的網路存取權限,從而降低內部威脅。

藉由保護企業核心網路,IT 團隊可以專注於創造營收的計畫,例如利用 WiFi Analytics 來了解訪客行為並提升參與度。


參考資料

[1] Microsoft Learn. (2023). Secure Wi-Fi access with Intune and EAP-TLS.

关键定义

802.1X

一种用于基于端口的网络访问控制的IEEE标准,要求设备在获得LAN或WLAN访问权限之前进行认证。

这是使企业WiFi安全的基础协议,超越了简单的共享密码。

EAP-TLS

可扩展认证协议-传输层安全。一种要求客户端和服务器都提供数字证书的认证方法。

被认为是WiFi认证中最安全的方法,可防止凭证盗窃和中间人攻击。

RADIUS

远程认证拨入用户服务。一种提供集中认证、授权和计费(AAA)的网络协议。

您的接入点用来询问认证服务器“我是否应该让这台设备接入网络?”的协议。

SCEP

简单证书注册协议。一种用于向网络设备安全颁发证书的协议。

被Intune等MDM平台用来静默请求和安装客户端证书到公司笔记本电脑和手机上。

MAC Authentication Bypass (MAB)

一种基于设备MAC地址而非用户名或证书来授予网络访问权限的方法。

用作无法执行802.1X握手的传统设备(如旧打印机或物联网传感器)的回退方案。

Evil Twin Attack

一种冒充合法企业SSID以拦截流量或窃取凭证的恶意接入点。

EAP-TLS可以缓解这种攻击,因为客户端设备配置为仅信任合法企业RADIUS服务器的特定证书。

Supplicant

端点设备上的软件客户端(例如,Windows WiFi管理器),负责处理802.1X认证过程。

IT团队必须通过MDM配置请求方,以确保其行为安全,并且不会提示用户接受不受信任的服务器证书。

Conditional Access

Azure Entra ID策略,用于评估信号(用户、位置、设备合规性)以做出访问决策。

现代云RADIUS解决方案可以在WiFi握手期间检查条件访问,如果Intune将设备标记为不符合,则拒绝网络访问。

应用实例

一家拥有500个门店的零售连锁店需要保护用于库存管理的后台iPad。目前,他们在所有门店使用同一个共享PSK。他们应该如何迁移到Azure Entra ID认证?

  1. 将所有iPad注册到Microsoft Intune中。
  2. 部署与企业Entra ID租户集成的云RADIUS解决方案。
  3. 配置Intune为每个iPad部署一个SCEP证书。
  4. 通过Intune推送一个WiFi配置文件,将iPad配置为使用EAP-TLS连接到“Corporate-BOH” SSID,并验证云RADIUS服务器的证书。
  5. 在所有500个门店中更新Meraki/Aruba接入点,使其将“Corporate-BOH” SSID的认证指向云RADIUS IP地址。
  6. 分阶段推广:启用新的SSID,通过Intune报告验证iPad连接性,然后淘汰原有的PSK SSID。
考官评语: 这种方法消除了共享PSK,如果设备被盗,这会带来巨大的安全风险。通过使用EAP-TLS和Intune,认证与设备的管理状态相关联。如果iPad丢失,IT团队只需在Intune中吊销证书或擦除设备,就可以立即切断网络访问,而不会影响其他499个门店。

一所大学校园正在从本地Active Directory迁移到Azure Entra ID。他们有数千台BYOD(自带设备)学生笔记本电脑,目前使用PEAP-MSCHAPv2(用户名和密码)连接。他们如何在云优先的Entra ID环境中处理BYOD?

  1. 部署一个入网门户(例如,SecureW2 JoinNow或类似的BYOD入网工具)。
  2. 学生连接到一个开放的“Onboarding” SSID,该SSID将他们重定向到门户。
  3. 门户提示学生针对Azure Entra ID进行认证(使用他们的大学电子邮件和MFA)。
  4. 认证成功后,门户生成一个唯一的客户端证书,并自动配置学生的设备以使用EAP-TLS
  5. 设备自动使用新证书连接到安全的“Edu-Secure” SSID。
考官评语: 管理非托管BYOD设备的证书是802.1X中最困难的部分。您不能使用Intune,因为大学不拥有这些笔记本电脑。使用入网门户弥合了这一差距,允许使用安全的EAP-TLS,而不需要IT人员手动操作数千台学生笔记本电脑。

练习题

Q1. 您的组织正在迁移到Azure Entra ID和Intune。您目前使用PEAP-MSCHAPv2进行WiFi认证。安全团队要求WiFi认证必须能够抵御凭证盗窃。您应该部署哪种EAP方法?

提示:哪种方法完全依赖证书而不是密码?

查看标准答案

您应该部署EAP-TLS。EAP-TLS使用双向证书认证,这意味着客户端设备必须出示由您的PKI颁发的有效证书。由于它不使用密码,因此对凭证盗窃和中间人攻击具有很高的抵抗力。

Q2. 通过Intune部署EAP-TLS后,用户报告无法连接到WiFi。查看RADIUS日志,您看到“证书吊销检查失败”。最可能的原因是什么?

提示:RADIUS服务器必须与什么基础设施通信以验证证书未被泄露?

查看标准答案

RADIUS服务器无法访问您的证书颁发机构的证书吊销列表(CRL)或OCSP端点。确保防火墙允许RADIUS服务器出站访问客户端证书中指定的HTTP URL。

Q3. 一家医院需要将50台传统心率监测器连接到网络。这些设备仅支持WPA2-个人版(预共享密钥),且无法注册到Intune中。在维持企业笔记本电脑的Entra ID 802.1X部署的同时,您应该如何保护这些设备?

提示:不要在同一个SSID上混合使用认证类型。

查看标准答案

为医疗物联网设备创建一个专用的、单独的SSID。使用一个强而唯一的预共享密钥(或如果您的网络供应商支持,使用Identity PSK/iPSK)或MAC认证旁路(MAB)。关键是要将此SSID置于一个高度受限的VLAN上,并设置严格的访问控制列表(ACL),仅允许监测器与其特定的医疗服务器通信,阻止所有其他横向网络访问。