Sono autenticato! Ho il certificato! Riccardo Corna Michele Sensalari

Agenda • Cos’è la Certificate Based Authentication su Azure AD • Com’era, com’è • Benefici • Scenari supportati e non • Deep dive • CBA su altre piattaforme • macOS, iOS, iPadOS • Android • FAQ • DEMO

L'autenticazione basata su certificati di Azure AD permette agli utenti di eseguire l'autenticazione direttamente con certificati X.509 in Azure Active Directory [Azure AD], per le applicazioni e l'accesso al browser.

Com’era… Era già possibile autenticarsi tramite certificato X.509 su Azure AD ma solo passando da Active Directory Federation Services [ADFS].

Com’è Con l'autenticazione basata su certificati di Azure AD, è possibile eseguire direttamente l’autenticazione in Azure AD ed eliminare la necessità di ADFS.

Benefici della Certificate Based Auth

Buona Esperienza Utente One Gli utenti che necessitano dell'autenticazi one basata su certificati possono ora eseguire direttamente l'autenticazione in Azure AD e non devono investire in ADFS federato. Two L’interfaccia del portale permette di mappare facilmente gli attributi del certificate con quelli dell’utenza. Three L’interfaccia del portale permette di distinguere facilmente quali sono i certificati single-factor da quelli multi- factor.

Facile da implementare e amministrare One Azure AD CBA è disponibile anche in Azure AD Free. Non è quindi necessaria alcuna licenza a pagamento di Azure AD per utilizzarla. Two Si semplifica l’implementazio ne, eliminando complesse regole di networking on- premises. Three L’autenticazione avviene direttamente su Azure AD.

Sicura One Le password on-premises non vengono in alcun modo memorizzate. Two La protezione degli account utente avviene senza soluzione di continuità rispetto alle policy di Azure AD, comprese la MFA, i metodi Phishing- resistant e l’accesso condizionale. Three Supporto dell'autenticazio ne avanzata in cui è possibile definire criteri di autenticazione tramite i campi del certificato, ad esempio l'autorità emittente o l’OID, per determinare quali certificati siano single o multi factor. Four La CBA è pienamente compatibile con l’accesso condizionale e con la nuova funzionalità di authentication strength.

Scenari supportati… e non

1 Autenticazione verso applicazioni web, su tutte le piattaforme. 2 Autenticazione sulle applicazioni mobile di Office, incluse OneDrive, Outlook, eccetera. 3 Supporto alla multi factor authentication usando Subject e OID. 4 Binding certificate-to- user con i seguenti campi: • SAN PrincipalName • SAN RFC822Name • Subject Key Identifier • SHA1PublicKey 5 Certificate-to-user binding con I seguenti attributi: • User Principal Name • onPremisesUserPrinc ipalName • CertificateUserIds Scenari supportati 👍

Scenari non supportati 🙅 1 Certificate Authority hints non supportati, quindi non viene segnalato l’ambito di autenticazione nel picker dove si scelgono I certificate. 2 Per ogni CA, solo una CRL supportata. 3 CDP supportato solo come HTTP URL. Non sono supportati OCSP o LDAP URL. 4 Configuring other certificate-to-user account bindings, such as using the Subject, Subject + Issuer or Issuer + Serial Number, aren’t available in this release. 5 Anche se per un certo utente è abilitata la CBA, non può essere disabilitata la possibilità di accedere con password.

Altre piattaforme: macOS ✅ Supportata l’autenticazione su web-application attraverso tutti I browser ✅ Supportata l’autenticazione a tutte le applicazioni native Microsoft ❌ Non supportata l’autenticazione sul dispositivo stesso ✅ Browser supportati

Altre piattaforme: iOS - 1 • Requisiti: • iOS 9 o più recenti • Per autenticarsi sulle app di Office e Outlook richiesto Microsoft Authenticator • Con certificato on device ✅ Office apps e Outlook ✅ Exchange Activesync • Browser

Altre piattaforme: iOS - mobile apps

Altre piattaforme: Android - 1 • Android 5.0 Lollipop o più recente • Piattaforme supportate ✅ App che usano le ultime librerie MSAL or Microsoft Authenticator ✅ Edge con profile autenticato ✅ Microsoft first-party apps with latest MSAL libraries or Microsoft Authenticator can do CBA • PREVIEW: certificato su chiave hardware solo YubiKey per ora • Browser:

Altre piattaforme: Android - Mobile Apps

No content

DEMO

Demo - Configurazione iniziale

CBA as MFA

CBA as SFA

Windows SmartCard Logon

CBA on Android Certificato on device Certificato on Yubikey

Microsoft Security Italian Users Group Volete quotidianamente contenuti come questi? Siete appassiona3 di security e di tecnologie Microso8? SEGUITECI! Microsoft Intune Italian Users Group ITSpecialist.cloud

Bibliografia • Overview of Azure AD certificate-based authentication • Azure AD certificate-based authentication technical deep dive • How to configure Azure AD certificate-based authentication • Azure Active Directory certificate-based authentication on Apple devices • Azure Active Directory certificate-based authentication on Android devices • Azure AD certificate-based authentication CBA FAQ

GRAZIE