Condividi tramite

Configurare l'ispezione di Transport Layer Security (Anteprima)

L'ispezione tls (Transport Layer Security) in Microsoft Entra Internet Access consente di decrittografare e controllare il traffico crittografato in posizioni perimetrali del servizio. Questa funzionalità consente a Global Secure Access di applicare controlli di sicurezza avanzati, ad esempio il rilevamento delle minacce, il filtro del contenuto e i criteri di accesso granulari. Questi criteri di accesso consentono di proteggere dalle minacce che potrebbero essere nascoste nelle comunicazioni crittografate.

Importante

La funzionalità di ispezione di Transport Layer Security è attualmente disponibile in ANTEPRIMA.
Queste informazioni si riferiscono a un prodotto in fase di pre-rilascio che potrebbe essere modificato notevolmente prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, in relazione alle informazioni fornite qui.
Durante l'anteprima, non usare l'ispezione TLS negli ambienti di produzione.

Questo articolo illustra come creare un criterio di ispezione transport Layer Security compatibile con il contesto e assegnarlo agli utenti dell'organizzazione.

Prerequisiti

Per completare i passaggi di questo processo, è necessario disporre dei prerequisiti seguenti:

  • Un servizio PKI (Public Key Infrastructure) per firmare la richiesta di firma del certificato (CSR) e generare un certificato intermedio per l'ispezione TLS. Per gli scenari di test, è anche possibile usare un certificato radice autofirmato creato con OpenSSL.
  • Testare i dispositivi o le macchine virtuali che eseguono Windows che sono aggiunti a Microsoft Entra o aggiunti in modalità ibrida all'ID Microsoft Entra dell'organizzazione.
  • Una licenza di prova per Microsoft Entra Internet Access.
  • Prerequisiti di accesso sicuro globale

Creare un criterio di ispezione TLS compatibile con il contesto

Per creare un criterio di ispezione transport Layer Security compatibile con il contesto e assegnarlo agli utenti dell'organizzazione, completare i passaggi seguenti:

  1. Creare un CSR e caricare il certificato firmato per la terminazione TLS
  2. Creare criteri di ispezione TLS
  3. Collegare i criteri di ispezione TLS a un profilo di sicurezza
  4. Testare la configurazione

Passaggio 1: Amministra l'accesso globale sicuro: creare un CSR e caricare il certificato firmato per la terminazione del TLS

Per creare un CSR (richiesta di firma del certificato) e caricare il certificato firmato per l'interruzione TLS:

  1. Accedi al centro di amministrazione di Microsoft Entra come Amministratore globale per l'accesso sicuro .

  2. Passare a Accesso Globale Sicuro>Ispezione TLS sicura>criteri.

  3. Passare alla scheda Impostazioni di ispezione TLS .

  4. Selezionare + Crea certificato.

  5. Nel riquadro Crea certificato compilare i campi seguenti:

    • Nome certificato: questo nome viene visualizzato nella gerarchia dei certificati quando visualizzato in un browser. Deve essere univoco, non contenere spazi e non contenere più di 12 caratteri. Non è possibile riutilizzare i nomi precedenti.
    • Nome comune (CN): nome comune, ad esempio Contoso TLS ICA, che identifica il certificato intermedio.
    • Unità organizzativa (OU): nome dell'organizzazione, ad esempio, Contoso IT.

  6. Selezionare Crea CSR. Screenshot del riquadro Crea certificato con i campi compilati e il pulsante Crea CSR evidenziato.

  7. Firmare il CSR usando il servizio PKI. Assicurarsi che l'autenticazione del server sia in Uso esteso delle chiavi e che certificate authority (CA)=true, keyUsage=critical,keyCertSign,cRLSign e basicConstraints=critical,CA:TRUE siano in Estensione di base. Salva il certificato firmato in formato .pem.

  8. Selezionare +Carica certificato.

  9. Nel modulo Carica certificato caricare i file certificate.pem e chain.pem.

  10. Selezionare Carica certificato firmato. Screenshot del modulo Carica certificato con file di certificato di esempio e di catena nei campi di caricamento.

  11. Dopo il caricamento del certificato, lo stato diventa Attivo.
    Screenshot della scheda Impostazioni di ispezione TLS con lo stato del certificato impostato su Attivo.

Per una configurazione di test, vedere Testare con un'autorità di certificazione radice autofirmata usando OpenSSL.

Passaggio 2: Amministratore globale dell'accesso sicuro: creare un criterio di ispezione TLS

Per creare un criterio di ispezione TLS:

  1. Nell'interfaccia di amministrazione di Microsoft Entra passare a Proteggere i>criteri di ispezione TLS.
  2. Creare una nuova politica con Azione impostata su Ispeziona.
  3. Seleziona Salva. Questa configurazione abilita la terminazione TLS per tutte le categorie di traffico ad eccezione di Education, Finance, Government e Health and medicine. Screenshot della schermata Crea criteri di ispezione TLS aperta nella scheda Verifica.

Collegare i criteri di ispezione TLS a un profilo di sicurezza.

Prima di abilitare l'ispezione TLS sul traffico utente, assicurarsi che l'organizzazione abbia stabilito e comunicato le Condizioni per l'utilizzo (ToU) appropriate per gli utenti finali. Questo passaggio consente di mantenere la trasparenza e supporta la conformità ai requisiti di privacy e consenso.

È possibile collegare i criteri TLS a un profilo di sicurezza in due modi:

Con questo metodo, i criteri del profilo di base vengono valutati per ultimo e si applicano a tutto il traffico utente.

  1. Nell'interfaccia di amministrazione di Microsoft Entra passare a Proteggere i>profili di sicurezza.
  2. Passare alla scheda Profilo di base .
  3. Selezionare Modifica profilo.
  4. Nella visualizzazione Criteri di collegamento selezionare + Collega un criterio>Di ispezione TLS esistente.
  5. Nella visualizzazione Collega un criterio di ispezione TLS scegliere un criterio TLS e assegnargli una priorità.
  6. Seleziona Aggiungi.
    Screenshot della schermata Modifica profilo baseline che mostra un elenco di nomi di criteri e le relative priorità.

In alternativa, aggiungere un criterio TLS a un profilo di sicurezza e collegarlo a un criterio di accesso condizionale per un utente o un gruppo specifico. Screenshot del nuovo modulo dei criteri di accesso condizionale con tutti i campi completati con informazioni di esempio.

Passaggio 4: Testare la configurazione

Per testare la configurazione:

  1. Assicurati che nel dispositivo utente sia installato il certificato radice nella cartella Autorità di certificazione radice attendibili. Screenshot della cartella Autorità di certificazione radice attendibili.

  2. Configurare il client Di accesso sicuro globale:

    • Disabilitare DNS sicuro e DNS predefinito.
    • Bloccare il traffico QUIC dal dispositivo. QUIC non è supportato in Microsoft Entra Internet Access. La maggior parte dei siti Web supporta il fallback a TCP quando non è possibile stabilire QUIC. Per un'esperienza utente migliorata, distribuire una regola di Windows Firewall che blocca UDP 443 in uscita: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443.
    • Assicurarsi che l'inoltro del traffico di accesso a Internet sia abilitato. 

  3. Aprire un browser in un dispositivo client e testare vari siti Web. Esaminare le informazioni sul certificato e confermare il certificato di accesso sicuro globale. Screenshot del Visualizzatore certificati con il certificato di accesso sicuro globale evidenziato.

Disabilitare l'ispezione TLS

Per disabilitare l'ispezione TLS:

  1. Rimuovere il collegamento ai criteri dal profilo di sicurezza:
    1. Passare a Accesso globale sicuro>Sicuro>Profili di sicurezza.
    2. Passare alla scheda Profilo di base .
    3. Selezionare Modifica profilo.
    4. Selezionare la visualizzazione Link policies.
    5. Seleziona l'icona Elimina per la politica che stai disabilitando.
    6. Seleziona Elimina per confermare.
  2. Rimuovere i criteri di ispezione TLS:
    1. Passare a Accesso Globale Sicuro>Ispezione TLS sicura>criteri.
    2. Selezionare Azioni.
    3. Selezionare Elimina.
  3. Rimuovere il certificato dei criteri di ispezione TLS:
    1. Passare alla scheda Impostazioni di ispezione TLS .
    2. Selezionare Azioni.
    3. Selezionare Elimina.

Eseguire il test con un'autorità di certificazione radice autofirmata usando OpenSSL

A solo scopo di test, utilizzare un'autorità di certificazione radice autofirmata creata con OpenSSL per firmare il CSR. Per eseguire il test con OpenSSL:

  1. Se non è già disponibile, creare un file openssl.cnf con questa configurazione:
[ rootCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ interCA_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:1
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ signedCA_ext ]
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
extendedKeyUsage = serverAuth

[ server_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:false
keyUsage = critical, digitalSignature
extendedKeyUsage = serverAuth
  1. Creare una nuova autorità di certificazione radice e una nuova chiave privata usando il file di configurazione openssl.cnf seguente:
    openssl req -x509 -new -nodes -newkey rsa:4096 -keyout rootCA.key -sha256 -days 365 -out rootCA.pem -subj "/C=US/ST=US/O=Self Signed/CN=Self Signed Root CA" -config openssl.cnf -extensions rootCA_ext
  2. Firma il CSR usando il comando seguente: openssl x509 -req -in <CSR file> -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out signedcertificate.pem -days 365 -sha256 -extfile openssl.cnf -extensions signedCA_ext
  3. Caricare i certificati firmati in base alla procedura descritta in Creare una richiesta di firma del certificato e caricare il certificato firmato per la terminazione TLS.

Contenuti correlati