Come configurare Microsoft Entra CBA usando Foxpass Cloud PKI

Introduzione e contesto

L'autenticazione basata su certificato (CBA) è uno dei modi più efficaci per proteggere l'accesso a Microsoft 365, Azure portal e ad altre applicazioni protette da Entra. Molte organizzazioni vogliono i vantaggi della CBA, come l'autenticazione resistente al phishing, l'eliminazione delle password e una solida identità del dispositivo, ma non vogliono gestire un'autorità di certificazione né pagare costi aggiuntivi per Microsoft Cloud PKI.

Foxpass Cloud PKI offre una PKI privata completamente gestita che funziona su tutte le piattaforme di dispositivi e si integra perfettamente con Entra ID per abilitare CBA con un sovraccarico minimo. Questa guida ti offre una panoramica di:

• L'architettura per Entra CBA che utilizza Foxpass Cloud PKI

• Come Foxpass Cloud PKI emette certificati ClientAuth

• Come distribuire i certificati usando il tuo MDM

• Come configurare Entra CBA

• Come usare lo stesso certificato per Wi-Fi/VPN con Foxpass Cloud RADIUS

Segui questa guida e presto avrai una distribuzione CBA funzionante che usa Foxpass come tua PKI privata.

Architettura di riferimento per Entra CBA con Foxpass Cloud PKI

Un diagramma che mostra come Foxpass Cloud PKI, MDM e Microsoft Entra ID lavorano insieme per l'autenticazione basata su certificati.
Foxpass Cloud PKI rilascia certificati di autenticazione client ai dispositivi tramite l’MDM dell’organizzazione (come Intune, Jamf, Iru/Kandji o Addigy). I dispositivi presentano questi certificati quando accedono a Microsoft Entra ID utilizzando CBA. Entra convalida la catena di certificati, la mappatura utente e l’EKU prima di concedere l’accesso alle app cloud.

Prerequisiti e requisiti

Checklist dei requisiti di Foxpass

• Foxpass Cloud PKI abilitato

• CA client creata ed esportata

• Endpoint SCEP creato

• Integrazione MDM e/o programma di installazione BYOD

Checklist dei requisiti di Microsoft Entra

• Tenant Entra ID

• Autenticazione basata su certificato abilitata

• CA client da Foxpass caricato

• Mappatura SAN (UPN/email) definita

Checklist dei requisiti MDM

• Capacità del profilo SCEP

Guida alla configurazione passo dopo passo

1. Verifica o crea il tuo Client CA in Foxpass

Foxpass Cloud PKI richiede una Client CA (autorità di certificazione emittente) per firmare i certificati dei dispositivi utilizzati per Microsoft Entra CBA e Wi-Fi/VPN EAP-TLS.

1. Accedi alla console Foxpass e vai a RADIUS → EAP-TLS

2. Se non esiste ancora alcuna Client CA, creane una ora:

   1. In "Autorità di certificazione client", fai clic su "Crea nuova CA client"

   2. Modifica il nome della CA, la validità della CA e il periodo di validità del certificato, se desideri, quindi fai clic su "Create CA"

3. In "Autorità di certificazione client," fai clic su "Download CA" per salvarlo per dopo

Una volta creata la CA client, Foxpass emette automaticamente certificati client con EKU di autenticazione (ClientAuth), certificati con estensioni Key Usage appropriate e valori SAN/Subject ricavati dalla registrazione al tuo MDM.

2. Assicurati che esista un endpoint SCEP di Foxpass

Tutti gli MDM supportati usano SCEP per richiedere e rinnovare i certificati da Foxpass.

1. Vai a Foxpass Console → RADIUS → SCEP

2. Se è già visualizzato un URL del server SCEP (endpoint univoco), passa al passaggio 4

3. Fai clic su "Create SCEP Endpoint", quindi assegna un nome, un tipo di verifica, un tipo di autenticazione e seleziona il Client CA dal passaggio 1 precedente

4. Annota "Unique Endpoint" e "Challenge Password" per dopo

3. Distribuisci i certificati tramite il tuo MDM o il programma di installazione dei certificati BYOD di Foxpass

Una volta che la CA client e l'endpoint SCEP sono configurati, il tuo MDM può emettere certificati di dispositivo per Entra CBA.

Foxpass supporta gli MDM compatibili con SCEP (Microsoft Intune, Jamf, Iru (Kandji), Addigy e altri), nonché il Foxpass BYOD Certificate Installer (registrazione basata su OAuth).

Il tuo MDM determina il Subject/SAN (UPN o email), il comportamento di rinnovo e la generazione delle chiavi. Foxpass firma il certificato e gestisce la revoca.

Opzione A: Microsoft Intune

Passaggio A1: crea un profilo certificato SCEP

1. Vai a Intune Admin Center

2. Vai su Dispositivi → Profili di configurazione → Crea profilo

3. Scegli la piattaforma (Windows, iOS/iPadOS, macOS, Android)

4. Tipo di profilo: certificato SCEP

5. Imposta le seguenti impostazioni chiave:

Passaggio A2: configura l'autenticazione SCEP

• Tipo di autenticazione → segreto condiviso

• Segreto → Foxpass SCEP "Challenge Password" (dalla Console Foxpass)

Passaggio A3: Assegna e convalida

Assegna il profilo ai gruppi di utenti/dispositivi e verifica:

• Certificato emesso da Foxpass Client CA

• SAN/Subject corrisponde a UPN o email

• EKU = Autenticazione client

Opzione B: Jamf / Iru (Kandji) / Addigy / Workspace ONE / Mosyle

Entra CBA non richiede Intune per il provisioning dei certificati. Questo significa che puoi usare Entra CBA anche in ambienti non gestiti da Intune, incluse flotte Apple miste, distribuzioni multipiattaforma, ambienti EDU, dispositivi di collaboratori/BYOD e organizzazioni che utilizzano MDM non Microsoft.

Questi MDM seguono la stessa logica di base di Intune, usando SCEP per generare chiavi sul dispositivo e richiedere certificati da Foxpass. Puoi trovare qui le istruzioni complete per ciascuno:

• Configurazione SCEP di Jamf Pro

• Configurazione SCEP di Jamf School

• Configurazione SCEP di Iru (Kandji)

• Configurazione SCEP di Addigy

• Configurazione SCEP di Workspace ONE

• Configurazione SCEP di Mosyle

Opzione C: dispositivi BYOD

Usa il programma di installazione dei certificati BYOD di Foxpass e completa i seguenti passaggi:

• L’utente accede utilizzando OAuth con Microsoft Entra ID (Nota: l’accesso Google del programma di installazione BYOD non può essere utilizzato per Microsoft Entra CBA. CBA richiede certificati che corrispondano alle identità Entra.)

• Foxpass emette un certificato ClientAuth

• Il certificato viene installato localmente (nessun MDM richiesto)

È ideale per i collaboratori esterni, i dispositivi degli studenti (EDU) o gli endpoint non gestiti.

4. Carica la CA client di Foxpass in Microsoft Entra

Per utilizzare questo metodo, Microsoft Entra deve considerare attendibile la CA emittente.

Passaggio 1: scarica il certificato Client CA

• Vai a Foxpass Console → RADIUS → EAP-TLS

• Scarica il certificato Client CA

Passaggio 2: carica il Client CA su Entra

• Vai a Entra Admin Center → Protection → Certificate-Based Authentication → Certificate Authorities

• Carica il certificato CA client di Foxpass

5. Configura l'autenticazione basata su certificati di Microsoft Entra

Nel Centro di amministrazione Entra:

1. Abilita l'autenticazione basata su certificato

2. Scegli le regole di mappatura:

   1. SAN → UPN (consigliato)

   2. SAN → email

3. EKU richiesto → Autenticazione client

4. Facoltativo: limita in base all'autorità di emissione o ai criteri del certificato

Consulta Microsoft Learn per le regole di mapping avanzate, i requisiti EKU, i vincoli dell'autorità emittente e una guida completa alla configurazione di Entra CBA:
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication

6. Applica criteri di accesso condizionale

Crea un criterio di accesso condizionale:

• Utenti: inizia con un gruppo di test

• App: Microsoft 365 o tutte le app cloud

• Concedi: richiedi l'autenticazione basata su certificato

Miglioramenti opzionali:

• Blocca l'accesso con password

• Richiedi dispositivi conformi o aggiunti al dominio

• Aggiungi fallback MFA

7. Testa l'autenticazione basata su certificato

Su un dispositivo con un certificato emesso da Foxpass:

1. Visita https://portal.office.com

2. Inserisci il tuo nome utente

3. Il browser richiede un certificato

4. Seleziona il certificato emesso da Foxpass

5. L'autenticazione riesce senza password

Se riscontri problemi durante l'autenticazione con un certificato, verifica che l'autorità di emissione sia Foxpass Client CA e che il SAN/Subject corrisponda all'UPN/email.

(Facoltativo) Usa lo stesso certificato Foxpass per Wi‑Fi/VPN (EAP-TLS)

Un vantaggio dell'utilizzo di Foxpass Cloud PKI è che lo stesso certificato del dispositivo emesso per Microsoft Entra CBA può essere utilizzato anche per un accesso sicuro a Wi-Fi o VPN tramite EAP-TLS con Foxpass Cloud RADIUS.

Con EAP-TLS, le organizzazioni possono:

• Applica l'accesso alla rete Zero Trust

• Elimina le password per Wi-Fi e VPN

• Assicurati che solo i dispositivi con un certificato valido rilasciato da Foxpass possano connettersi

• Applica l’assegnazione VLAN, le regole di attendibilità dei dispositivi o i criteri basati sull’identità

• Condividi lo stesso ciclo di vita del certificato tra l'autenticazione cloud Entra CBA e l'accesso alla rete

Conclusione

Usando Foxpass Cloud PKI con Microsoft Entra CBA e il tuo MDM ottieni:

• Una PKI privata completamente gestita

• Emissione di certificati multipiattaforma

• Gestione automatizzata del ciclo di vita dei certificati

• Identità certificata unificata per l'accesso SaaS e Wi-Fi/VPN (opzionale)

• Integrazione perfetta con Intune, Jamf, Iru (Kandji), Addigy e BYOD

Questa configurazione offre un approccio moderno, passwordless e basato su certificati per proteggere sia l’identità sia l’accesso alla rete senza dover gestire una tua CA.