Nel nuovo mondo del lavoro flessibile, sempre più digitale, è chiaro quanto siano importanti strumenti e tecnologie orientate alla collaborazione, all'apprendimento, alla condivisione e soprattutto alla sicurezza.

Nel corso dell'ultimo anno abbiamo vissuto un'evoluzione accelerata degli ambienti di lavoro, nonché del nostro stile di vita e vogliamo sensibilizzare tutti, dai decision maker ai dipendenti, all'utilizzo corretto delle tecnologie e alla gestione degli aspetti relativi alla sicurezza informatica.

Azure Active Directory Application Proxy è un servizio che permette in modo semplice la fruizione delle applicazioni ad utenti esterni all'azienda. La protezione degli accessi è un fattore determinante per poter preservare le nostre informazioni e per poter essere sicuri che non siano accessibili da persone non autorizzate. È molto facile pubblicare applicazioni ospitate in server on-premises utilizzando Azure Active Directory Application Proxy, senza che sia necessario aprire alcuna porta in ingresso sul firewall della nostra infrastruttura e utilizzando l'autenticazione di Azure Active Directory per proteggere gli accessi e fornire condivisione business-to business.

Potete scaricare la presentazione della sessione al link https://www.ictpower.it/download/POWERCON2021 - Roberto Tafuri - Nicola Ferrini - Pubblicare applicazioni aziendali utilizzando Azure AD Application Proxy.pdf

Qui di seguito invece c’è la registrazione della sessione:

 

 

Buona visione!

 

Nic

 

Nel nuovo mondo del lavoro flessibile, sempre più digitale, è chiaro quanto siano importanti strumenti e tecnologie orientate alla collaborazione, all'apprendimento, alla condivisione e soprattutto alla sicurezza.

Già nelle precedenti #POWERCON abbiamo trattato questi temi e ancora una volta vogliamo ribadire quali siano gli strumenti giusti per supportare persone e organizzazioni a crescere e migliorare in questo mondo del lavoro in cambiamento. Nel corso dell'ultimo anno abbiamo vissuto un'evoluzione accelerata degli ambienti di lavoro, nonché del nostro stile di vita e vogliamo sensibilizzare tutti, dai decision maker ai dipendenti, all'utilizzo corretto delle tecnologie e alla gestione degli aspetti relativi alla sicurezza informatica.

Durante la prima #POWERCON2021 dell'anno abbiamo deciso quindi di trattare i seguenti temi:

Roberto Tafuri e Nicola Ferrini ci mostreranno come pubblicare applicazioni aziendali utilizzando Azure AD Application Proxy. Azure Active Directory Application Proxy è un servizio che permette in modo semplice la fruizione delle applicazioni ad utenti esterni all'azienda. La protezione degli accessi è un fattore determinante per poter preservare le nostre informazioni e per poter essere sicuri che non siano accessibili da persone non autorizzate. È molto facile pubblicare applicazioni ospitate in server on-premises utilizzando Azure Active Directory Application Proxy, senza che sia necessario aprire alcuna porta in ingresso sul firewall della nostra infrastruttura e utilizzando l'autenticazione di Azure Active Directory per proteggere gli accessi e fornire condivisione business-to business.

 

Raffaele Valensise tratterà il tema della Protezione cloud-to-cloud per Microsoft 365 con Veeam. Veeam Backup for Microsoft Office 365 consente di proteggere i dati di Exchange Online, SharePoint Online, OneDrive for Business e Teams con policy personalizzabili anche dal punto di vista delle modalità di archiviazione, permettendone il ripristino granulare direttamente in produzione. In questa sessione vedrete come si può installare e configurare la soluzione Veeam direttamente in Azure per usufruire di tutti i vantaggi della piattaforma cloud Microsoft, in modo particolare della scalabilità e della convenienza economica degli spazi di archiviazione BLOB.

 

Luca Cavana affronterà il tema delle Microsoft 365 Retention Labels and Policies – Come gestire la conservazione dei dati quando essi lasciano l'on-premises. Lo spostamento verso il Cloud aumenta gli strumenti a disposizione degli utenti, moltiplicando sia le tipologie di dato che le applicazioni in cui i dati possono risiedere. Se da un lato questo rende la collaborazione più efficace ed aumenta la produttività degli utenti, una mancanza di governance può rendere la situazione difficilmente gestibile nel lungo periodo ed esporci a rischi immotivati, sia di sicurezza che di aderenza alle normative. In questa sessione scoprirete come le Retention Labels siano una delle funzionalità offerte da Microsoft 365 per gestire questa crescente complessità.

 

Infine Vito Macina ci parlerà di Windows 10 – Road to the "Sun". Un ulteriore aggiornamento di funzionalità "rapido" nella prima metà del 2021 per Windows 10, ma è in arrivo il più importante aggiornamento di Windows degli ultimi dieci anni. In questa sessione osserverete le ultime novità e daremo uno sguardo al futuro.

 

AGENDA

14:30 – 15:00

Pubblicare applicazioni aziendali utilizzando Azure AD Application Proxy

(Nicola Ferrini – Microsoft MVP e Roberto Tafuri – Senior Consultant)

15:00 – 15:10

Break

15:10 – 15:40

Protezione cloud-to-cloud per Microsoft 365 con Veeam

(Raffaele Valensise – Senior Systems Engineer)

15:40 – 15:50

Break

15:50 – 16:20

Microsoft 365 Retention Labels and Policies – Come gestire la conservazione dei dati quando essi lasciano l'on-premises

(Luca Cavana – Senior Systems Engineer)

16:20 – 16:30

Break

16:30 – 17:00

Windows 10 – Road to the "Sun"

(Vito Macina, Microsoft MVP)

 

Vi aspettiamo online! La partecipazione al seminario è GRATUITA. Per registrarvi cliccate sull'immagine sotto:

 

Da Windows 10, versione 1709 è possibile utilizzare il Multi-factor device unlock estendendo la funzionalità di Windows Hello con quella di un segnale attendibile, che può essere il bluetooth del cellulare, un dispositivo indossabile, la rete WIFi o la configurazione IP.

 

Ho già avuto altre occasioni di parlarvi di Windows Hello for Business, perché accedere senza password è una delle funzionalità che ultimamente Microsoft sta promuovendo maggiormente. La gestione delle password è sempre stata critica sia per gli utenti e che per gli amministratori di sistema e spesso è causa di accessi da parte di malintenzionati per via della scarsa cura che gli utenti ne hanno oppure della semplicità delle password utilizzate.

 

Attualmente Windows in modo nativo supporta solo l'utilizzo di credenziali singole (password, PIN, impronta digitale, rilevamento del volto e così via) per sbloccare un dispositivo. Pertanto, se una qualsiasi di queste credenziali viene compromessa (shoulder surfing), un utente malintenzionato potrebbe ottenere l'accesso al sistema.

 

Windows 10 offre lo sblocco del dispositivo a più fattori estendendo Windows Hello con segnali attendibili. Gli amministratori possono configurare Windows 10 per richiedere una combinazione di fattori e segnali attendibili per sbloccare i dispositivi.

 

Lo sblocco a più fattori viene abilitato tramite Criteri di gruppo e permette di definire tre componenti:

  • Provider di credenziali del primo fattore di sblocco (che possono essere PIN, impronta digitale, riconoscimento facciale)
  • Provider di credenziali del secondo fattore di sblocco (che possono essere il PIN oppure un segnale attembibile)
  • Regole di segnale per lo sblocco del dispositivo

 

Provider di credenziali GUID
PIN {D6886603-9D2F-4EB2-B667-1971041FA96B}
Impronta digitale {BEC09223-B018-416D-A0AC-523971B639F5}
Riconoscimento facciale {8AF662BF-65A0-4D0A-A540-A338A999D36F}
Segnale attendibile (prossimità telefono, percorso di rete) {27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

 

Il provider di credenziali del secondo fattore di sblocco può essere uno dei fattori mostrati nella tabella seguente:

 

Provider di credenziali GUID
PIN {D6886603-9D2F-4EB2-B667-1971041FA96B}

 

Se volete usare più provider di credenziali è sufficiente aggiungere nella group policy i di versi GUID separati da virgole.

 

Per configurare le regole del segnale per il provider di credenziali del segnale attendibile è necessario invece utilizzare il formato XML.

 

Ad esempio se volete utilizzare il segnale bluetooth dovete utilizzare la notazione:

<rule schemaVersion="1.0">

    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>

</rule>

Trovate maggior informazioni sulle diverse regole permette all’indirizzo Unlock a più fattori - Microsoft 365 Security | Microsoft Docs

 

Distribuzione di Sblocco a più fattori

 

Per distribuire lo sblocco a più fattori è necessario attivare il provisioning di Windows Hello for Business e garantire il rinnovo automatico dei certificati di Windows Hello for Business. In più è bene ricordare che:

  1. Il PIN deve essere in almeno uno dei gruppi.
  2. Non è possibile utilizzare lo stesso fattore di sblocco per soddisfare entrambe le categorie.

 

Create quindi una nuova Group Policy e in Computer Configuration à Administrative Templates à Windows Component à Windows Hello for Business abilitate Configure device unlock factors.

 

In maniera predefinita vi verrà proposto di utilizzare il PIN come primo fattore, il Segnale attendibile come secondo fattore e il Bluetooth come Trusted Signal Credential Provider.

 

 

 

Figura 1: Configurazione del fattori per lo sblocco del dispositivo

 

 

 

Figura 2: Abilitazione di Windows Hello for Business

 

Se a questo punto provate a loggarvi su una macchina che subisce la GPO appena creata, riceverete il messaggio mostrato in figura, che vi avvisa che la vostra organizzazione richiede che è configurato il Windows Hello for Business.

 

 

 

Figura 3: Richiesta di configurazione di Windows Hello for Business

 

Nel pannello delle Sign-In options noterete anche che ci sarà un messaggio di avviso che vi notifica che l'organizzazione richiede che configuriate diverse opzioni per il Sign-In. Come prima operazione configurate il Windows Hello PIN.

 

 

 

Figura 4: Aggiunta del Windows Hello Pin

 

 

 

 

Figura 5: Creazione del Windows Hello PIN

 

 

 

 

Figura 6: Aggiunta del Windows Hello PIN

 

Potete quindi aggiungere il dispositivo bluetooth che volete utilizzare. Nel mio caso ho utilizzato lo smartphone.

 

 

 

Figura 7: Aggiunta di un nuovo dispositivo a Windows 10

 

 

 

 

Figura 8: Ricerca deli dispositivi bluetooth

 

 

 

 

Figura 9: Selezione dello smartphone

 

 

 

 

Figura 10: Smartphone aggiunto a Windows 10

 

 

Test di accesso con lo sblocco a due fattori

Dopo la disconnessione, al successivo tentativo di accedere al vostro PC windows 10, vi verrà chiesto il Windows Hello PIN e verrà effettuata la verifica della presenza del secondo fattore di autenticazione, cioè il bluetooth del vostro smartphone.

 

 

 

Figura 11: Accesso a Windows 10 con Windows Hello PIN

 

 

 

 

Figura 12: Verifica della presenza del secondo fattore di sblocco

 

Se invece avete il bluetooth dello smartphone spento o non avete il cellulare nelle vicinanze, non sarà possibile effettuare il logon a Windows 10.

 

 

 

Figura 13: In mancanza del segnale bluetooth non è possibile fare il logon a Windows 10

 

 

Abilitare Windows 10 Dynamic Lock

A partire da Windows 10, versione 1703 (Creators Update) è disponibile una funzionalità interessante chiamata Dynamic Lock. Questa funzionalità permette, dopo aver collegato il PC al proprio smartphone tramite collegamento bluetooth, di poter bloccare il computer.

La funzionalità, chiamata anche Windows Goodbye in contrapposizione a Windows Hello, è interessante perché permette di aumentare il livello di sicurezza quando si lavora su postazioni di lavoro sensibili. Basta infatti allontanarsi col proprio smartphone dalla postazione e in circa 30 secondi Windows si bloccherà automaticamente.

Per abilitare la funzionalità è prima di tutto necessario collegare il proprio smartphone al PC utilizzando una connessione bluetooth. Dopo aver abilitato il pairing andate nell’app Settings  > Accounts > Sign-in options e scorrete fino a trovare la voce Dynamic lock. Selezionate Allow Windows to automatically lock your device when you're away per abilitare la funzionalità.

Allontanatevi dal PC portando con voi lo smartphone e dopo circa 30 secondi vedrete che il computer si bloccherà automaticamente.

Maggiori informazioni su questa funzionalità sono disponibili nella mia guida NicolaFerrini.it - Abilitare Windows 10 Dynamic Lock

 

 

 

Figura 14: Abilitazione di Windows 10 Dynamic Lock

 

 

Conclusioni

Windows 10 offre lo sblocco del dispositivo a più fattori estendendo Windows Hello con segnali attendibili. Gli amministratori possono configurare Windows 10 per richiedere una combinazione di fattori e segnali attendibili per sbloccare i dispositivi. Questo di fatto risolve il problema che Windows Hello PIN da solo non soddisfa le esigenze di sicurezza di diverse aziende e in più è possibile impedire agli utenti di condividere le credenziali di accesso.

Per maggiori informazioni vi invito a visitare la pagina Unlock a più fattori - Microsoft 365 Security | Microsoft Docs