Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Quinto Evento 08-03-2023 Sono autenticato! Ho i...

Intune Italian User Group
March 10, 2023
Technology
0
33

Quinto Evento 08-03-2023 Sono autenticato! Ho il certificato!

Come utilizzare i certificati in congiunzione con Azure AD e chiavi FIDO 2.0 per autenticare gli utenti su dispositivi Windows/mac e mobile.

Speakers:
- Riccardo Corna (MVP)
- Michele Sensalari (MVP)

Intune Italian User Group

March 10, 2023
Tweet

More Decks by Intune Italian User Group

See All by Intune Italian User Group
Windows 365 What’s New
memiug
0
45
Introducing The Microsoft Intune Suite Remote Help
memiug
0
110
Quinto Evento 08-03-2023 Di Mam ce n'è uno solo...
memiug
0
35
Quarto Evento 07-06-2022 MEM Zero-Touch
memiug
0
82
Quarto Evento 07-06-2022 Gestire server con MEM
memiug
0
40
Terzo Evento 09-02-2022 Windows 365 Security
memiug
0
45
Terzo Evento 09-02-2022 MacOS Management
memiug
0
41
Secondo Evento 12-10-2021 Azure AD Join Bias
memiug
0
68
Primo evento 09-06-2021 Translate existing GPOs in the cloud with Microsoft Endpoint Manager
memiug
0
43

Other Decks in Technology

See All in Technology
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
880
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
770
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
130
組織成長を加速させるオンボーディングの取り組み
sudoakiy
2
220
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
150
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
140
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
2
470
これまでの計測・開発・デプロイ方法全部見せます! / Findy ISUCON 2024-11-14
tohutohu
3
370
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
260
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
Application Development WG Intro at AppDeveloperCon
salaboy
0
200

Featured

See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
How to Ace a Technical Interview
jacobian
276
23k
Testing 201, or: Great Expectations
jmmastey
38
7.1k
Site-Speed That Sticks
csswizardry
0
33
The Invisible Side of Design
smashingmag
298
50k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Embracing the Ebb and Flow
colly
84
4.5k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Six Lessons from altMBA
skipperchong
27
3.5k

Transcript

  1. Sono autenticato! Ho il certificato! Riccardo Corna Michele Sensalari

  2. Agenda • Cos’è la Certificate Based Authentication su Azure AD

    • Com’era, com’è • Benefici • Scenari supportati e non • Deep dive • CBA su altre piattaforme • macOS, iOS, iPadOS • Android • FAQ • DEMO

  3. L'autenticazione basata su certificati di Azure AD permette agli utenti

    di eseguire l'autenticazione direttamente con certificati X.509 in Azure Active Directory [Azure AD], per le applicazioni e l'accesso al browser.

  4. Com’era… Era già possibile autenticarsi tramite certificato X.509 su Azure

    AD ma solo passando da Active Directory Federation Services [ADFS].

  5. Com’è Con l'autenticazione basata su certificati di Azure AD, è

    possibile eseguire direttamente l’autenticazione in Azure AD ed eliminare la necessità di ADFS.

  6. Benefici della Certificate Based Auth

  7. Buona Esperienza Utente One Gli utenti che necessitano dell'autenticazi one

    basata su certificati possono ora eseguire direttamente l'autenticazione in Azure AD e non devono investire in ADFS federato. Two L’interfaccia del portale permette di mappare facilmente gli attributi del certificate con quelli dell’utenza. Three L’interfaccia del portale permette di distinguere facilmente quali sono i certificati single-factor da quelli multi- factor.

  8. Facile da implementare e amministrare One Azure AD CBA è

    disponibile anche in Azure AD Free. Non è quindi necessaria alcuna licenza a pagamento di Azure AD per utilizzarla. Two Si semplifica l’implementazio ne, eliminando complesse regole di networking on- premises. Three L’autenticazione avviene direttamente su Azure AD.

  9. Sicura One Le password on-premises non vengono in alcun modo

    memorizzate. Two La protezione degli account utente avviene senza soluzione di continuità rispetto alle policy di Azure AD, comprese la MFA, i metodi Phishing- resistant e l’accesso condizionale. Three Supporto dell'autenticazio ne avanzata in cui è possibile definire criteri di autenticazione tramite i campi del certificato, ad esempio l'autorità emittente o l’OID, per determinare quali certificati siano single o multi factor. Four La CBA è pienamente compatibile con l’accesso condizionale e con la nuova funzionalità di authentication strength.

  10. Scenari supportati… e non

  11. 1 Autenticazione verso applicazioni web, su tutte le piattaforme. 2

    Autenticazione sulle applicazioni mobile di Office, incluse OneDrive, Outlook, eccetera. 3 Supporto alla multi factor authentication usando Subject e OID. 4 Binding certificate-to- user con i seguenti campi: • SAN PrincipalName • SAN RFC822Name • Subject Key Identifier • SHA1PublicKey 5 Certificate-to-user binding con I seguenti attributi: • User Principal Name • onPremisesUserPrinc ipalName • CertificateUserIds Scenari supportati 👍

  12. Scenari non supportati 🙅 1 Certificate Authority hints non supportati,

    quindi non viene segnalato l’ambito di autenticazione nel picker dove si scelgono I certificate. 2 Per ogni CA, solo una CRL supportata. 3 CDP supportato solo come HTTP URL. Non sono supportati OCSP o LDAP URL. 4 Configuring other certificate-to-user account bindings, such as using the Subject, Subject + Issuer or Issuer + Serial Number, aren’t available in this release. 5 Anche se per un certo utente è abilitata la CBA, non può essere disabilitata la possibilità di accedere con password.

  13. Altre piattaforme: macOS ✅ Supportata l’autenticazione su web-application attraverso tutti

    I browser ✅ Supportata l’autenticazione a tutte le applicazioni native Microsoft ❌ Non supportata l’autenticazione sul dispositivo stesso ✅ Browser supportati

  14. Altre piattaforme: iOS - 1 • Requisiti: • iOS 9

    o più recenti • Per autenticarsi sulle app di Office e Outlook richiesto Microsoft Authenticator • Con certificato on device ✅ Office apps e Outlook ✅ Exchange Activesync • Browser

  15. Altre piattaforme: iOS - mobile apps

  16. Altre piattaforme: Android - 1 • Android 5.0 Lollipop o

    più recente • Piattaforme supportate ✅ App che usano le ultime librerie MSAL or Microsoft Authenticator ✅ Edge con profile autenticato ✅ Microsoft first-party apps with latest MSAL libraries or Microsoft Authenticator can do CBA • PREVIEW: certificato su chiave hardware solo YubiKey per ora • Browser:

  17. Altre piattaforme: Android - Mobile Apps

  18. None

  19. DEMO

  20. Demo - Configurazione iniziale

  21. CBA as MFA

  22. CBA as SFA

  23. Windows SmartCard Logon

  24. CBA on Android Certificato on device Certificato on Yubikey

  25. Microsoft Security Italian Users Group Volete quotidianamente contenuti come questi?

    Siete appassiona3 di security e di tecnologie Microso8? SEGUITECI! Microsoft Intune Italian Users Group ITSpecialist.cloud

  26. Bibliografia • Overview of Azure AD certificate-based authentication • Azure

    AD certificate-based authentication technical deep dive • How to configure Azure AD certificate-based authentication • Azure Active Directory certificate-based authentication on Apple devices • Azure Active Directory certificate-based authentication on Android devices • Azure AD certificate-based authentication CBA FAQ

  27. GRAZIE