FIDO2 su dispositivi Entra ID-joined con accesso alle risorse on-prem: benvenuto, Cloud Kerberos Trust
Vuoi eliminare le password sui PC aziendali restando però libero di usare file server, stampanti e applicazioni interne? La soluzione si chiama Cloud Kerberos Trust (CKT). Con CKT puoi accedere al device tramite FIDO2/Passkey (ad esempio YubiKey 5 NFC) e ottenere SSO verso Active Directory senza ibridazioni complicate.
L’implementazione di FIDO2 con Cloud Kerberos Trust ti permette di:
- Accedere a Windows senza password
- Continuare a usare risorse on-premises
- Semplificare la gestione della sicurezza in azienda
Se vuoi capire subito come funziona il collegamento tra FIDO2 e risorse locali Active Directory, sei nel posto giusto.
Cos’è il Cloud Kerberos Trust (CKT) e che problema risolve
Vuoi fare login a Windows con passkey/FIDO2 o Windows Hello su PC Entra ID joined e continuare a usare file server, stampanti e siti interni IIS con SSO?
Cloud Kerberos Trust è la soluzione: agisce come un proxy tra Entra ID e i Domain Controller on-premises.
Funzionamento essenziale:
- Entra ID rilascia un TGT parziale (un ticket Kerberos incompleto)
- Il TGT parziale viene scambiato con un TGT completo dal Domain Controller locale
- Risultato: accesso passwordless e SSO verso le risorse Active Directory
Primo step: autenticazione con FIDO2 o Windows Hello
Quando usi FIDO2 (ad esempio una YubiKey 5 NFC) o il lettore biometrico:
- Non stai solo sbloccando il PC
- Parte la comunicazione con Microsoft Entra ID (ex Azure AD)
- Vengono rilasciati due elementi fondamentali:
- Primary Refresh Token (PRT) → pass per i servizi cloud Microsoft
- Ticket Granting Ticket (TGT) parziale → biglietto d’ingresso incompleto
Vantaggio: niente password complicate, il tuo hardware o la biometria fanno tutto il lavoro.
Collegamento con i Domain Controller locali
Il PC deve “parlare” con un Domain Controller on-premises per completare il processo.
Il TGT parziale viene presentato al server locale:
- Il Domain Controller verifica i permessi
- Rilascia un TGT completo
- L’utente ottiene accesso a file server, applicazioni SAP e servizi di rete secondo le ACL di Active Directory
Questo garantisce che ogni utente veda solo ciò che è autorizzato a vedere.
Requisiti per implementare l’autenticazione FIDO2 in ambiente ibrido
Sistemi client: versioni Windows supportate
- Windows 10 versione 2004 o successive
- Windows 11 (qualsiasi versione)
Se hai macchine più vecchie, pianifica subito gli aggiornamenti.
Domain Controller: configurazione server
- Windows Server 2016 o successivo
- Patch di sicurezza aggiornate
- Crittografia AES-256 abilitata per Kerberos
Senza AES-256, l’autenticazione moderna non funziona correttamente.
Sincronizzazione directory con Entra Connect
Attribuiti da sincronizzare:
- accountName
- domainFQDN
- objectSID
Verifica che siano sincronizzati correttamente se hai configurazioni personalizzate.
Permessi amministrativi necessari
- On-premises: Domain Admin / Enterprise Admin (foresta multi-dominio)
- Cloud: Hybrid Identity Administrator in Entra ID
Connettività di rete
- La prima autenticazione richiede connessione diretta a un Domain Controller con privilegi di scrittura.
- Successivamente, l’uso diventa più flessibile, anche da remoto.
Scenari non supportati
Limitazioni delle security key FIDO2:
- Non funzionano con RDP o ambienti VDI
- Incompatibili con “Esegui come”
- Non supportate per login diretto sui server
Alternative:
- Certificati smart card per RDP/VDI
- Windows Hello for Business senza security key
- Soluzioni di Privileged Access Management
Guida passo-passo per configurare Cloud Kerberos Trust
Creazione dell’oggetto AzureADKerberos
Oggetto speciale simile a un Read-Only Domain Controller, che pubblica la chiave Kerberos su Microsoft Entra ID.
Installazione modulo PowerShell
Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber
$domain = $env:USERDNSDOMAIN
$cloudCred = Get-Credential # Hybrid Identity Administrator
$domainCred = Get-Credential # Domain Admin
Set-AzureADKerberosServer -Domain $domain `
-CloudCredential $cloudCred `
-DomainCredential $domainCred
Configurazione policy client
Intune:
- Use Windows Hello for Business = Enabled
- Use Cloud Trust For On Prem Auth = Enabled
- Require Security Device = True
GPO tradizionali:
- Use Windows Hello for Business = Enabled
- Use cloud Kerberos trust for on-premises authentication = Enabled
- Use a hardware security device = Enabled (opzionale)
Manutenzione
- Rotazione chiavi Kerberos periodica:
Set-AzureADKerberosServer -Domain $domain `
-CloudCredential $cloudCred `
-DomainCredential $domainCred `
-RotateServerKey
Limitazioni da considerare
- Utenti membri di gruppi privilegiati built-in non possono usare CKT per default
- Non modificare la Password Replication Policy degli account privilegiati
Conclusione: pronto a modernizzare la sicurezza aziendale
FIDO2 con Cloud Kerberos Trust rappresenta il futuro dell’autenticazione aziendale:
- Sicura, senza password
- Semplice da usare
- Integrata con risorse locali e cloud
Nexsys ti supporta in questo percorso:
- Consulenza IT strategica
- Implementazione soluzioni Microsoft avanzate
- Monitoraggio e gestione della sicurezza informatica
Non lasciare la sicurezza dei tuoi dati al caso. Richiedi subito una consulenza personalizzata e scopri come rendere più sicura e produttiva la tua organizzazione.
