Condividi tramite

VPN e accesso condizionale

Il client VPN può ora essere integrato con la piattaforma di accesso condizionale basato sul cloud per fornire un'opzione di conformità dei dispositivi per i client remoti. L'accesso condizionale è un motore di valutazione basato su criteri che consente di creare regole di accesso per qualsiasi applicazione connessa Microsoft Entra.

Nota

L'accesso condizionale è una funzionalità Microsoft Entra ID P1 o P2.

I componenti della piattaforma di accesso condizionale per la conformità dei dispositivi includono i servizi basati sul cloud seguenti:

  • Framework di accesso condizionale
  • Microsoft Entra Connect Health
  • Servizio di attestazione dell'integrità di Windows (facoltativo)
  • Microsoft Entra Autorità di certificazione: è un requisito che il certificato client usato per la soluzione di conformità dei dispositivi basata sul cloud venga emesso da un'autorità di certificazione (CA) basata su Microsoft Entra ID. Una CA Microsoft Entra è essenzialmente un tenant cloud mini-CA in Azure. L'autorità di certificazione Microsoft Entra non può essere configurata come parte di una CA aziendale locale. Vedere anche Always On distribuzione VPN per Windows Server e Windows 10.
  • Microsoft Entra ID certificati di breve durata rilasciati: quando viene effettuato un tentativo di connessione VPN, l'Microsoft Entra Token Broker nel dispositivo locale comunica con Microsoft Entra ID, verificando quindi l'integrità in base alle regole di conformità. Se conforme, Microsoft Entra ID invia un certificato di breve durata usato per autenticare la VPN. Tieni presente che si possono usare i metodi di autenticazione dei certificati, come EAP-TLS. Quando il client si riconnette e determina che il certificato è scaduto, il client verificherà nuovamente con Microsoft Entra ID per la convalida dell'integrità prima che venga emesso un nuovo certificato.
  • Microsoft Intune criteri di conformità dei dispositivi: la conformità dei dispositivi basata sul cloud usa Microsoft Intune criteri di conformità, che sono in grado di eseguire query sullo stato del dispositivo e definire le regole di conformità per gli elementi seguenti, tra le altre cose.
    • Stato dell'antivirus
    • Stato degli aggiornamenti automatici e conformità degli aggiornamenti
    • Conformità dei criteri per le password
    • Conformità della crittografia
    • Stato dell'attestazione dell'integrità dei dispositivi (convalidato con il servizio di attestazione dopo la query)

Sono necessari anche i componenti sul lato client seguenti:

Conformità dei dispositivi VPN

Al momento, i certificati Microsoft Entra rilasciati agli utenti non contengono un punto di distribuzione CRL (CDP) e non sono adatti ai centri di distribuzione chiavi (KDC) per rilasciare token Kerberos. Per consentire agli utenti di accedere alle risorse locali, ad esempio i file in una condivisione di rete, è necessario distribuire i certificati di autenticazione client nei profili Windows degli utenti e i profili VPNv2 devono contenere la <sezione SSO> .

I requisiti dell'infrastruttura sul lato server per il supporto della conformità dei dispositivi VPN includono:

  • Il server VPN deve essere configurato per l'autenticazione del certificato
  • Il server VPN deve considerare attendibile la CA Microsoft Entra specifica del tenant.
  • Per l'accesso client tramite Kerberos/NTLM, un certificato attendibile per il dominio viene distribuito nel dispositivo client e configurato per l'uso per l'accesso Single Sign-On (SSO).

Dopo aver configurato il lato server, gli amministratori della VPN possono aggiungere impostazioni dei criteri per l'accesso condizionale al profilo VPN usando il nodo DeviceCompliance del CSP VPNv2.

Per la conformità dei dispositivi VPN vengono usati due provider di servizi di configurazione sul lato client.

  • Impostazioni di conformità del dispositivo CSP VPNv2:
    • Enabled: abilita il flusso di conformità dei dispositivi dal client. Se contrassegnato come true, il client VPN tenta di comunicare con Microsoft Entra ID per ottenere un certificato da usare per l'autenticazione. La VPN deve essere configurata per l'uso dell'autenticazione del certificato e il server VPN deve considerare attendibile il server restituito da Microsoft Entra ID.
    • Sso: le voci in SSO devono essere usate per indicare al client VPN di usare un certificato diverso dal certificato di autenticazione VPN quando si accede alle risorse che richiedono l'autenticazione Kerberos.
    • Sso/Enabled: se questo campo è impostato su true, il client VPN cerca un certificato separato per l'autenticazione Kerberos.
    • Sso/IssuerHash: hash per il client VPN per la ricerca del certificato corretto per l'autenticazione Kerberos.
    • Sso/Eku: elenco delimitato da virgole delle estensioni EKU (Extended Key Usage) per il client VPN per cercare il certificato corretto per l'autenticazione Kerberos.
  • CSP HealthAttestation (non un requisito) - le funzioni eseguite dal CSP HealthAttestation includono:
    • Raccolta dei dati TPM usati per verificare gli stati di integrità
    • Inoltro dei dati al servizio di attestazione dell'integrità
    • Provisioning del certificato di attestazione dell'integrità ricevuto dal servizio di attestazione dell'integrità
    • Su richiesta, inoltrare il certificato di attestazione dell'integrità (ricevuto da HAS) e le informazioni di runtime correlate al server MDM per la verifica

Nota

È necessario che i certificati usati per ottenere i ticket Kerberos vengano emessi da una CA locale e che l'accesso SSO sia abilitato nel profilo VPN dell'utente. In questo modo l'utente potrà accedere alle risorse locali. Nel caso di dispositivi aggiunti solo ad AzureAD (non dispositivi aggiunti ibridi), se il certificato utente emesso dalla CA locale ha l'UPN utente di AzureAD in Soggetto e SAN (Nome alternativo soggetto), il profilo VPN deve essere modificato per garantire che il client non memorizza nella cache le credenziali usate per l'autenticazione VPN. A tale scopo, dopo aver distribuito il profilo VPN nel client, modificare Rasphone.pbk nel client modificando la voce UseRasCredentials da 1 (impostazione predefinita) a 0 (zero).

Flusso di connessione client

Il flusso di connessione lato client VPN funziona come segue:

Flusso di lavoro di conformità del dispositivo quando il client VPN tenta di connettersi.

Quando un profilo VPNv2 è configurato con <DeviceCompliance><Enabled>true</Enabled> , il client VPN usa questo flusso di connessione:

  1. Il client VPN chiama Microsoft Entra Token Broker di Windows 10 o di Windows 11, identificandosi come client VPN.
  2. Il Microsoft Entra Token Broker esegue l'autenticazione in Microsoft Entra ID e fornisce informazioni sul dispositivo che tenta di connettersi. Il server Microsoft Entra controlla se il dispositivo è conforme ai criteri.
  3. Se conforme, Microsoft Entra ID richiede un certificato di breve durata.
  4. Microsoft Entra ID esegue il push di un certificato di breve durata nell'archivio certificati tramite Token Broker. Token Broker restituisce quindi il controllo al client VPN per un'ulteriore elaborazione della connessione.
  5. Il client VPN usa il certificato emesso dal Microsoft Entra ID per eseguire l'autenticazione con il server VPN.

Configurare l'accesso condizionale

Vedi Opzioni del profilo VPN e CSP VPNv2 per la configurazione XML.

Altre informazioni sull'accesso condizionale e sull'integrità Microsoft Entra