Seguro que muchos de vosotros aún tenéis la necesidad de conectar vía VPN a vuestros usuarios, algo que es más común de lo que parece a día de hoy. Además, también es posible que tengas la autenticación de tus usuarios en su cliente VPN via AzureAD, identidades externas o servicios como radius, tacacs+, etc… Sino lo tenéis así, deberíais poneros ya con ello, es muy importante que en vuestro hardening de vuestra solución de VPN, la autenticación se realice externamente a vuestro dispositivo de VPN. Si esta configuración la queréis realizar en AzureAD y con vuestro cliente VPN de Fortinet, aquí os dejo un enlace de como hacerlo:

• Autenticación AzureAD SSO para clientes VPN de Fortinet

Una vez que hayáis integrado vuestro firewall con Azure AD, ya podéis disfrutar de las configuraciones del acceso condicional:

• Autenticación doble factor
• Restricciones por ubicaciones
• Restricciones por plataformas
• Autenticación vía FIDO2, Certificados
• Estado de cumplimiento de vuestro dispositivos (necesario disponer de Intune)

En este artículo voy a mostraros como podemos integrar nuestra aplicación de Azure AD SSO para Fortinet con Microsoft Defender for Cloud App, lo que como os he ido mostrando estas semanas podemos realizar múltiples configuraciones muy chulas:

• Microsoft Defender for Cloud Apps: Políticas de Acceso Condicional
• Microsoft Defender for Cloud Apps: Autenticación con Certificado de Usuario
• Microsoft Azure: Configurar Contexto de Autenticación para Controlar las Sesiones en Aplicaciones desde Microsoft Defender for Cloud App

Siguiendo con la serie de artículos sobre Microsoft Defender for Cloud App, voy a mostraros como podéis integrarlo con el contexto de autenticación configurado desde el acceso condicional. Para los que nos conozcáis que es el contexto de autenticación, esto nos permite proteger y controlar las acciones de nuestros usuarios en las aplicaciones de negocio. En ejemplo os voy a mostrar como podemos conectarnos a Exchange Online vía WEB (OWA) pero si lo haces desde un equipo NO administrado no se te permite la descarga de documentos o copiar/pegar texto de los correos.

Para no extenderme demasiado, previamente debéis tener configurada una directiva de acceso condicional el control de sesión habilitada mediante la opción Utilizar el Control de aplicaciones de acceso condicional/Usar directiva personalizada.. A continuación os dejo un enlace del artículo donde explico esto:  Microsoft Defender for Cloud Apps: Acceso Condicional para Bloquear Descargas – Blog Santiago Buitrago (santiagobuitragoreis.com).

La configuración consta de tres sencillos pasos:

1. Crear un contexto de autenticación
2. Crear directiva de acceso condicional
3. Crear directiva de control de sesión en Microsoft Defender for Cloud App

Siguiendo con la serie de artículos sobre Microsoft Defender for Cloud Apps, hoy voy a mostrarnos como darle continuidad a las cosas bien hechas en el pasado a la hora de desplegar nuevas configuraciones. Este artículo es súper sencillo, básicamente os voy a mostrar como podemos forzar la autenticación vía certificados digitales (de usuario) con directivas de Acceso Condicional vía Cloud App. La configuración es básicamente una directiva sencilla que nos llevará 1 min crearla y habremos dado un plus de seguridad a los inicio de sesión de nuestros usuarios en las aplicaciones registradas en Cloud App.

Que ocurre, que para que sea 1 min esta configuración de seguridad debemos tener adapta previamente nuestra infraestructura (“darle continuidad a las cosas bien hechas en el pasado“), porque realmente debemos invertir algún tiempo previo para configurar todo lo necesario para que luego solo sean hacer dos o tres clics. No me voy a cansar de repetir que no debemos escatimar en esfuerzos por hacer las bien, dedicarle el tiempo necesario a aprender las diferentes tecnologías con las que deberíamos estar familiarizados para que luego todo ocurran según lo esperado. No digo que si se hace todo bien no se tengan problema, sino que si nos preocupamos de hacer la cosas bien, seguro que tenemos muchas probabilidades de que las cosas funcionen mejor. Que el adoptar un servicio adicional en nuestra infraestructura no sea una tortura, que no demos nada por sabido y que siempre vayamos con ganas e ilusión de aprender cosas nuevas.

Para este artículo debemos tener configurado el conector de certificados de Intune, aquí os dejo un artículo que había publicado en su momento: Microsoft Endpoint Manager: Conectores de certificado para Microsoft Intune. Aunque la configuración del certificados es por dispositivos, tendréis que configurar una plantilla de certificados para usuarios, aquí os dejo un enlace os muestra como se tiene que hacer: Configure and use PKCS certificates with Intune

Algo súper esperado por todos los que administramos entornos Windows y, concretamente en entornos híbridos o 100% Cloud era la “integración nativa de LAPS” en Azure. Hasta la fecha esa integración como tal la teníamos en entornos On-Premises [Configurar Local Administrator Password Solution (LAPS) vía GPO en nuestro Directorio Activo], pero en Cloud acaba de liberarse en versión preview pero creo que se podría implementar en producción sin asumir muchos riesgos.

Para los que no conozcáis LAPS (espero seáis muy poquitos o ninguno), es la posibilidad de gestionar las contraseñas de los administradores locales de nuestros equipos unidos a un dominio ADDS, evitando así tener la misma contraseña en todas las cuentas de administrador local de nuestros equipos de la red. “Básicamente” disponer de un “servicio” de cambios de contraseña del administrador local de los equipos del dominio y tener su contraseña almacenada en un atributo de cada equipo. Ahora, LAPS es vital para los siguientes escenarios:

• Hacer una copia de seguridad de las contraseñas de cuenta de administrador local en Azure Active Directory (para dispositivos unidos a Azure Active Directory)
• Hacer una copia de seguridad de las contraseñas de cuenta de administrador local para Windows Server Active Directory (para clientes y servidores unidos a Windows Server Active Directory)
• Hacer una copia de seguridad de las contraseñas de cuenta de DSRM en Windows Server Active Directory (para controladores de dominio de Windows Server Active Directory)
• Hacer una copia de seguridad de las contraseñas de cuenta de administrador local en Windows Server Active Directory mediante Microsoft LAPS heredado

Si queréis más info sobre un entorno de LAPS antes de esta nueva versión, aquí os dejo este artículo que había publicado en su momento: [Configurar Local Administrator Password Solution (LAPS) vía GPO en nuestro Directorio Activo].