Saltar al contenido
Inicio / Seguridad / Microsoft Defender for Cloud Apps / Microsoft Defender for Cloud Apps: Autenticación con Certificado de Usuario

Microsoft Defender for Cloud Apps: Autenticación con Certificado de Usuario

Siguiendo con la serie de artículos sobre Microsoft Defender for Cloud Apps, hoy voy a mostrarnos como darle continuidad a las cosas bien hechas en el pasado a la hora de desplegar nuevas configuraciones. Este artículo es súper sencillo, básicamente os voy a mostrar como podemos forzar la autenticación vía certificados digitales (de usuario) con directivas de Acceso Condicional vía Cloud App. La configuración es básicamente una directiva sencilla que nos llevará 1 min crearla y habremos dado un plus de seguridad a los inicio de sesión de nuestros usuarios en las aplicaciones registradas en Cloud App.

Que ocurre, que para que sea 1 min esta configuración de seguridad debemos tener adapta previamente nuestra infraestructura (“darle continuidad a las cosas bien hechas en el pasado“), porque realmente debemos invertir algún tiempo previo para configurar todo lo necesario para que luego solo sean hacer dos o tres clics. No me voy a cansar de repetir que no debemos escatimar en esfuerzos por hacer las bien, dedicarle el tiempo necesario a aprender las diferentes tecnologías con las que deberíamos estar familiarizados para que luego todo ocurran según lo esperado. No digo que si se hace todo bien no se tengan problema, sino que si nos preocupamos de hacer la cosas bien, seguro que tenemos muchas probabilidades de que las cosas funcionen mejor. Que el adoptar un servicio adicional en nuestra infraestructura no sea una tortura, que no demos nada por sabido y que siempre vayamos con ganas e ilusión de aprender cosas nuevas.

Pues bien, hoy voy a mostrar como crear una directiva que obligue a los usuario a autenticarse con su certificado digital personal emitido por nuestra CA privada (aquí un trabajo previo, el desplegar correctamente nuestra CA) y sino se tiene el certificado correspondiente que bloquee la conexión. En la siguiente infografía voy a poner un ejemplo sencillo, si alguien se conecta desde algún país que no queremos  o no lo hace desde el que permitimos y no tiene un certificado de usuario correcto, que bloquee la conexión automáticamente:

Los equipos están unidos a AzureAD en esta configuración que estoy mostrando

Por aclararlo, la idea es utilizar los certificados emitidos por nuestra CA privada para nuestros usuarios, los cuales luego ellos presentarán a la hora de autenticarse en diferentes servicios que también podríamos haber desplegado (Wifi, VPN, etc..). Dicho esto, aquí os dejo los requisitos previos que deberíamos ya tener disponibles:

  • Instalación del conector de certificados de Intune: aquí os dejo  un artículo que había publicado en su momento, solo que luego la creación de la plantilla de certificados es para dispositivos (no nos sirve esa plantilla para este artículo): Microsoft Endpoint Manager: Conectores de certificado para Microsoft Intune. Pero aquí os dejo un enlace de MSFT donde explica como debemos configurar la plantilla de usuario para que la podamos utilizar desde Intune: Configure and use PKCS certificates with Intune.
  • Creación de un perfil de Intune para la importación del certificado raíz de nuestra CA: como he comentado justo de bajo de la infografia, yo estoy desplegando esta configuración a equipos 100% Cloud, vamos, equipos unidos a AzureAD directamente (no tienen contacto con el ADDS donde tenemos nuestra CA desplegada). Es por ello que tenemos que enviarle a los equipos el certificado raíz de nuestra CA vía Intune
  • Creación de un perfil de Intune para la solicitud de certificado de usuario: este perfil permitirá que todos los usuarios tengan su certificados emitido por nuestra CA
  • Política de Acceso Condicional: debemos contar con una directiva de Acceso Condicional que fuerce a enviar las sesiones de los usuarios a Microsoft Defender for Cloud Apps y que se les apliquen las directiva correspondiente.

Voy a mostraros la configuración básica de los perfiles de Intune para la importación de la CA para los equipos y luego la de certificados de usuarios, dando por hecho ya que sabemos exportar un certificado raíz, etc.. sino es así, dejar un comentario y os responderé sin problema.

Importación del certificado raíz en los equipos unidos a AzureAD:

Solicitud del certificado de usuario para los usuarios con equipos unidos a AzureAD:

Por último, os muestro la configuración básica de la política de Acceso Condicional para Cloud App:

Ahora ya tenemos todo lo que se supone que deberíamos tener para empezar la configuración de certificados en Microsoft Defender for Cloud Apps, por lo menos a nivel de dispositivo y usuario. Nos queda una cosilla sencilla ahora ya en Microsoft Defender for Cloud Apps antes de poder crear la directiva o más bien de que funcione, básicamente es subir el certificado raíz a Microsoft Defender for Cloud AppsSettingsConditional Access App ControlDevice Indentification (en formato PEM):

Y ahora si, ya podemos crear nuestra directiva de acceso condicional en Microsoft Defender for Cloud Apps. Mi directiva hará lo siguiente, si te conectas desde Portugal al Exchange Online tienes que hacerlo autenticando con tu certificado digital de usuario, sino .. se le deniega el acceso al usuario. Aquí va la definición de la directiva, ya no explico como hacerlo con más detalle porque entiendo que habéis visto los artículos anteriores donde lo he ido detallando más:

Y ahora toca probarlo, como en otras ocasiones vamos a simular que estoy en otro país con TunnelBear, de tal forma que podemos forzar a que se aplique la directiva de acceso condicional en Microsoft Defender for Cloud App y ver que funciona bien. Pues lo primero es conectar TunnelBear a Portugal y probar a conectarnos a Teams por ejemplo y veis que conecta sin problema:

Si ahora pruebo a conectarme a Exchange Online .. ya nos solicita el certificado digital, si lo tenemos bien configurado ya debemos ver el certificado de usuario de nuestra CA y simplemente lo seleccionamos (se puede configurar que lo seleccione de forma automática): 

Y listo, ya hemos accedido a Exchange Online autenticando con nuestro certificado de usuario emitido mediante el conector de Intune para certificados:

Si ahora vuelvo a probar a iniciar sesión pero no elegimos el certificado correcto, como vemos se nos bloquea el acceso:

Si ahora desconectamos el TunnelBear y volvemos a probar el acceso al Exchange Online veréis que ya podéis acceder porque no se cumple la condición de la directiva que hemos creado previamente:

Si ahora revisamos las alertas sobre la directiva recientemente creada vemos que ya tenemos algunos eventos:

Si entramos en el detalle de cada alerta se ve claramente que queríamos acceder a Exchange Online desde Portugal pero no se ha cumplido la autenticación:

Como veis es súper sencilla la configuración, pero claro, ya deberíamos tener el resto de configuración desplegada para que esto sea así de sencillo y potente :-). Por favor, tener siempre los servicios bien configurados y no escatiméis en esfuerzos, al final si queremos tener un plus de seguridad hay algunos servicios que siempre deberíamos tener configurados y así que todo vaya de corrido.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Comparte!