HTTPS-only · zero UDP
Funciona sobre CGNAT/Starlink sem túnel VPN. Imune a perda de pacotes UDP e a bloqueios de operadora.
Governança de identidade para Wi-Fi corporativo
O funcionário sai da empresa.
O acesso à rede sai junto.
Autenticação Wi-Fi corporativa via Microsoft Entra ID (OIDC + MFA) — sem Active Directory on-prem, sem RADIUS, sem NPS, sem PKI. O funcionário faz login uma vez e tem 30 dias de acesso; quando sai do grupo ou da empresa, o acesso à rede é cortado em minutos.
Exclusivo para UniFi. Funciona sobre um UniFi Controller (Ubiquiti) — é nele que o portal autoriza os dispositivos. Não funciona com Intelbras, Cisco, Aruba ou outros APs: se o seu Wi-Fi não é UniFi, este produto não é para você.
Roda na infraestrutura da Winserv · um container por cliente · a Microsoft autentica, nós só orquestramos
O que ele substitui
| Antes | Depois |
|---|---|
| AD on-prem + NPS + RADIUS | 1 container Docker |
| Windows Server (licença + CALs) | Nada — usa o Entra ID que você já paga |
| VPN para a filial alcançar o AD | HTTPS sobre internet (CGNAT/Starlink) |
| Certificado por dispositivo (PKI) | SSID Open + captive portal com MFA nativo |
| Manutenção de Domain Controller | Nada — a Microsoft opera a identidade |
Por que é diferente
MFA e Conditional Access reais
Quem desafia o usuário é o Entra ID: Microsoft Authenticator, Windows Hello, device compliance via Intune. O portal só orquestra o fluxo OIDC.
Login único · 30 dias
Enquanto o funcionário está ativo, o dispositivo fica autorizado por 30 dias com renovação silenciosa — login uma vez e esquece o portal. O prazo acompanha o vínculo: quem é desligado perde o acesso em minutos, não em 30 dias.
Quando alguém sai, o acesso sai junto
A diferença não está no login — está no desligamento. Os 30 dias são conveniência para quem está dentro, não tolerância para quem saiu: a cada poucos minutos o portal reconcilia o grupo autorizado no Entra ID e corta o Wi-Fi de quem deixou de pertencer a ele. Somam-se a revalidação de grupo a cada renovação e a revogação manual por usuário no console, que derruba todos os dispositivos da pessoa na hora. É governança de identidade corporativa, não marketing de convidado.
Como funciona
- Conecta. O dispositivo entra no SSID Open e cai no portal cativo.
- Login Microsoft + MFA. O desafio é do Entra ID, com as suas políticas de Conditional Access.
- Autoriza. O portal libera o dispositivo no controlador UniFi (
authorize-guest). - 30 dias para quem está ativo. Renovação silenciosa, sem novo login. Quem é desligado é cortado em minutos — independentemente do prazo. E se o portal cair, quem já está conectado não cai: o UniFi mantém a tabela de dispositivos.
Planos
Starter
Pequenos escritórios, clínicas
- Até 100 dispositivos ativos
- OIDC + MFA via Entra ID
- Convidados por voucher self-hosted
- Renovação silenciosa (30 dias)
- Revogação de offboarding
- API de pré-registro (Intune)
- Suporte 8×5 comercial
Pro
Empresas médias e grandes
- Dispositivos sem limite
- OIDC + MFA via Entra ID
- Convidados por voucher self-hosted
- Renovação silenciosa (30 dias)
- Revogação de offboarding
- API de pré-registro (Intune)
- Suporte 8×5 comercial
Preço sob consulta — fale com a Winserv.
Perguntas frequentes
Preciso de Active Directory, RADIUS ou Windows Server?
Não. A identidade é o Microsoft Entra ID que você já usa. Nada de domain controller, NPS ou RADIUS.
Funciona em links CGNAT ou Starlink?
Sim. Toda a comunicação é HTTPS — sem UDP, sem VPN. Imune a bloqueios de operadora e perda de pacotes UDP.
Um ex-funcionário fica 30 dias com acesso?
Não. Os 30 dias são a conveniência de não refazer login enquanto a pessoa está ativa. Ao ser removida do grupo ou desligada no Entra ID, o acesso é cortado em minutos pela reconciliação automática — e o operador pode revogar todos os dispositivos dela na hora pelo console.
E se o portal ficar fora do ar?
Quem já está autenticado não percebe. O controlador UniFi mantém os dispositivos autorizados por 30 dias; só novos logins e renovações ficam indisponíveis até a recuperação.
A Winserv vê as senhas dos usuários?
Não. A autenticação acontece na Microsoft; o portal só orquestra o fluxo OIDC e recebe um token. Senhas e MFA nunca passam por nós.
Quais access points e controladores são suportados?
Exclusivamente UniFi Network (Ubiquiti), testado na versão 10.0.162, com SSID Open e captive portal. Não funciona com Intelbras, Cisco, Aruba ou outros controladores. O controlador UniFi permanece do seu lado, acessado via HTTPS.
Pronto para tirar o RADIUS da jogada?
Uma conversa de 20 minutos para ver se faz sentido no seu controlador.