Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

Quinto Evento 08-03-2023 Sono autenticato! Ho i...

Quinto Evento 08-03-2023 Sono autenticato! Ho il certificato!

Come utilizzare i certificati in congiunzione con Azure AD e chiavi FIDO 2.0 per autenticare gli utenti su dispositivi Windows/mac e mobile.

Speakers:
- Riccardo Corna (MVP)
- Michele Sensalari (MVP)

Intune Italian User Group

March 10, 2023
Tweet

More Decks by Intune Italian User Group

Other Decks in Technology

Transcript

  1. Agenda • Cos’è la Certificate Based Authentication su Azure AD

    • Com’era, com’è • Benefici • Scenari supportati e non • Deep dive • CBA su altre piattaforme • macOS, iOS, iPadOS • Android • FAQ • DEMO
  2. L'autenticazione basata su certificati di Azure AD permette agli utenti

    di eseguire l'autenticazione direttamente con certificati X.509 in Azure Active Directory [Azure AD], per le applicazioni e l'accesso al browser.
  3. Com’era… Era già possibile autenticarsi tramite certificato X.509 su Azure

    AD ma solo passando da Active Directory Federation Services [ADFS].
  4. Com’è Con l'autenticazione basata su certificati di Azure AD, è

    possibile eseguire direttamente l’autenticazione in Azure AD ed eliminare la necessità di ADFS.
  5. Buona Esperienza Utente One Gli utenti che necessitano dell'autenticazi one

    basata su certificati possono ora eseguire direttamente l'autenticazione in Azure AD e non devono investire in ADFS federato. Two L’interfaccia del portale permette di mappare facilmente gli attributi del certificate con quelli dell’utenza. Three L’interfaccia del portale permette di distinguere facilmente quali sono i certificati single-factor da quelli multi- factor.
  6. Facile da implementare e amministrare One Azure AD CBA è

    disponibile anche in Azure AD Free. Non è quindi necessaria alcuna licenza a pagamento di Azure AD per utilizzarla. Two Si semplifica l’implementazio ne, eliminando complesse regole di networking on- premises. Three L’autenticazione avviene direttamente su Azure AD.
  7. Sicura One Le password on-premises non vengono in alcun modo

    memorizzate. Two La protezione degli account utente avviene senza soluzione di continuità rispetto alle policy di Azure AD, comprese la MFA, i metodi Phishing- resistant e l’accesso condizionale. Three Supporto dell'autenticazio ne avanzata in cui è possibile definire criteri di autenticazione tramite i campi del certificato, ad esempio l'autorità emittente o l’OID, per determinare quali certificati siano single o multi factor. Four La CBA è pienamente compatibile con l’accesso condizionale e con la nuova funzionalità di authentication strength.
  8. 1 Autenticazione verso applicazioni web, su tutte le piattaforme. 2

    Autenticazione sulle applicazioni mobile di Office, incluse OneDrive, Outlook, eccetera. 3 Supporto alla multi factor authentication usando Subject e OID. 4 Binding certificate-to- user con i seguenti campi: • SAN PrincipalName • SAN RFC822Name • Subject Key Identifier • SHA1PublicKey 5 Certificate-to-user binding con I seguenti attributi: • User Principal Name • onPremisesUserPrinc ipalName • CertificateUserIds Scenari supportati 👍
  9. Scenari non supportati 🙅 1 Certificate Authority hints non supportati,

    quindi non viene segnalato l’ambito di autenticazione nel picker dove si scelgono I certificate. 2 Per ogni CA, solo una CRL supportata. 3 CDP supportato solo come HTTP URL. Non sono supportati OCSP o LDAP URL. 4 Configuring other certificate-to-user account bindings, such as using the Subject, Subject + Issuer or Issuer + Serial Number, aren’t available in this release. 5 Anche se per un certo utente è abilitata la CBA, non può essere disabilitata la possibilità di accedere con password.
  10. Altre piattaforme: macOS ✅ Supportata l’autenticazione su web-application attraverso tutti

    I browser ✅ Supportata l’autenticazione a tutte le applicazioni native Microsoft ❌ Non supportata l’autenticazione sul dispositivo stesso ✅ Browser supportati
  11. Altre piattaforme: iOS - 1 • Requisiti: • iOS 9

    o più recenti • Per autenticarsi sulle app di Office e Outlook richiesto Microsoft Authenticator • Con certificato on device ✅ Office apps e Outlook ✅ Exchange Activesync • Browser
  12. Altre piattaforme: Android - 1 • Android 5.0 Lollipop o

    più recente • Piattaforme supportate ✅ App che usano le ultime librerie MSAL or Microsoft Authenticator ✅ Edge con profile autenticato ✅ Microsoft first-party apps with latest MSAL libraries or Microsoft Authenticator can do CBA • PREVIEW: certificato su chiave hardware solo YubiKey per ora • Browser:
  13. Microsoft Security Italian Users Group Volete quotidianamente contenuti come questi?

    Siete appassiona3 di security e di tecnologie Microso8? SEGUITECI! Microsoft Intune Italian Users Group ITSpecialist.cloud
  14. Bibliografia • Overview of Azure AD certificate-based authentication • Azure

    AD certificate-based authentication technical deep dive • How to configure Azure AD certificate-based authentication • Azure Active Directory certificate-based authentication on Apple devices • Azure Active Directory certificate-based authentication on Android devices • Azure AD certificate-based authentication CBA FAQ