Microsoft Intune – Windows Enrollment Attestation
La Windows Enrollment Attestation in Microsoft Intune è una funzionalità di sicurezza progettata per garantire che i dispositivi Windows soddisfino standard di sicurezza rigorosi durante il processo di registrazione. Utilizzando la tecnologia Trusted Platform Module (TPM) 2.0, questa funzionalità verifica che i dispositivi siano autentici e non compromessi, migliorando la difesa contro potenziali minacce.
La funzionalità di Windows Enrollment Attestation è stata introdotta come parte delle funzionalità di Microsoft Intune a partire da ottobre 2023, con miglioramenti successivi nei mesi seguenti. È stata pensata per dispositivi Windows 10 (versione 22H2 e successive) e Windows 11, con il requisito fondamentale del TPM 2.0.
Vantaggi principali
I vantaggi principali offerti da questa funzionalità sono:
- Miglioramento della sicurezza: L’attestazione TPM aiuta a rilevare e affrontare vulnerabilità o dispositivi compromessi, riducendo il rischio di accessi non autorizzati o incidenti di sicurezza.
- Conformità agli standard normativi: L’attestazione durante la registrazione aiuta le organizzazioni a dimostrare l’adozione di misure di sicurezza rigorose, essenziali per soddisfare requisiti normativi e di conformità del settore.
- Protezione dei Dati: L’attestazione riduce il rischio di violazioni dei dati derivanti da dispositivi compromessi.
Requisiti per la Windows Enrollment Attestation
Per utilizzare la Windows Enrollment Attestation è necessario rispettare i seguenti prerequisiti:
- Windows 10 versione 10.0.19045.3996 o successiva
- Windows 11 versioni 10.0.22000.2713, 10.0.22621.2792 o successive
- TPM 2.0 minimo sui dispositivi
- Solo dispositivi fisici sono supportati; le macchine virtuali, anche con vTPM, non possono eseguire l’attestazione.
La device attestation è un processo che verifica l’integrità e l’autenticità di un dispositivo, assicurando che non sia stato compromesso. Questo viene realizzato utilizzando tecnologie di sicurezza hardware, come il TPM (Trusted Platform Module), che memorizza chiavi crittografiche e registra lo stato dei componenti critici del sistema, come il BIOS e il sistema operativo. Durante l’attestazione, il dispositivo genera un report firmato digitalmente che riporta queste misurazioni. Un’entità esterna, come un server, verifica il report confrontando le misurazioni con i valori attesi e confermando che la firma digitale è autentica. Questo processo è usato per migliorare la sicurezza delle reti, garantire l’integrità dei dispositivi nei servizi cloud e nei dispositivi IoT, assicurando che solo i dispositivi non compromessi possano accedere a risorse sensibili. Questo è il motivo per cui non si possono utilizzare le macchine virtuali.
Come Funziona
Quando un dispositivo Windows si registra in Intune, viene utilizzata l’attestazione TPM per verificare l’integrità del dispositivo. Durante questo processo:
- Chiavi di sicurezza: Le chiavi private associate al certificato MDM e il token di accesso vengono archiviati nel chip TPM del dispositivo.
- Verifica dell’integrità: Microsoft Intune verifica che il TPM sia autentico, attivo e in grado di attestare che il dispositivo non sia stato compromesso.
- Filtro di sicurezza: Attraverso proprietà come device.IsTpmAttested, è possibile consentire o negare l’accesso a dispositivi che non soddisfano i criteri di sicurezza.
Verifica dello stato di attestazione
Microsoft Intune offre un report dettagliato sullo stato di attestazione dei dispositivi. Questo report è accessibile dal portale di amministrazione di Intune in Reports > Device management > Device attestation status e mostra informazioni quali:
- Modello del dispositivo
- Identificativo del dispositivo
- Versione del sistema operativo
- Stato dell’attestazione (Failed, Not Started, In Progress, Completed)
- Dettagli sullo stato dell’attestazione (Feature non supported, AIK (Attestation Identity Key) certificate was not provided by client, ecc.)
Figura 1: Report dettagliato sullo stato di attestazione dei dispositivi
Azioni remote per l’attestazione
Se un dispositivo non supera l’attestazione, è possibile avviare un’azione remota dal report di attestazione. Questa azione, denominata initiateMobileDeviceManagementKeyRecovery, avvia un processo di recupero chiave e attestazione TPM direttamente sul dispositivo. L’intero processo può essere monitorato attraverso lo stato delle azioni remote.
Figura 2: Azioni remote per l’Attestazione
Filtri basati sull’attestazione
Grazie all’uso della proprietà IsTpmAttested è possibile creare filtri per bloccare la registrazione di dispositivi non attestati.
Per configurare un filtro che blocchi la registrazione di dispositivi non attestati utilizzando la proprietà IsTpmAttested, dovete accedere al portale di amministrazione di Microsoft Intune e navigare in Tenant administration > Filters. Una volta lì, create un nuovo filtro specificando Managed Devices. Durante la configurazione, definite una regola utilizzando la sintassi device.IsTpmAttested -eq “False”, che permette di identificare i dispositivi non conformi.
Figura 3: Creazione del filtro
Figura 4: Sintassi della regola del filtro
Figura 5: Schermata finale del wizard per la creazione del filtro
Figura 6: Filtro creato con successo
Adesso potete applicare questo filtro alle restrizioni di enrollment in Microsoft Intune per impedire l’accesso a dispositivi che non soddisfano i requisiti di sicurezza.
Andate in Devices > Enrollment > Device Platform restrictions e all’interno della pagina scegliete una restrizione di enrollment già configurata o create una nuova restrizione cliccando su Create restriction. Io ho deciso di creare una nuova restriction e nelle schermate successive sono mostrati tutti i passaggi:
Figura 7: Creazione di una nuova regola di Enrollment restriction
Figura 8: Configurazione del blocco MDM
Figura 9: Assegnazione dell’enrollment restriction ad un gruppo di utenti ed utilizzo del filtro creato in precedenza
Figura 10: Schermata di riepilogo della creazione della Enrollment restriction
Figura 11: Enrollment restriction creata con successo
Test di funzionamento
Nel momento in cui cercherete di effettuare l’enrollment per un dispositivo che non è stato attestato, riceverete un messaggio di errore come quello mostrato nella figura sotto. Si tratta dell’errore 8018014, riferito al problema che il dispositivo non può fare enrollment in Microsoft Intune.
Figura 12: Messaggio di errore durante l’enrollment del dispositivo
Figura 13: Messaggio di errore quando il dispositivo viene aggiunto a Microsoft Entra ID dopo l’OOBE
Il ruolo del TPM in Microsoft Intune
Il TPM (Trusted Platform Module) gioca un ruolo cruciale in Microsoft Intune, specialmente per garantire sicurezza e affidabilità nei processi di gestione dei dispositivi e protezione dei dati. Microsoft Intune utilizza certificati di gestione per autenticare e proteggere i dispositivi registrati nel servizio. Questi certificati svolgono un ruolo essenziale per consentire la comunicazione sicura tra i dispositivi gestiti e i servizi Intune. Il TPM (Trusted Platform Module) aggiunge un ulteriore livello di sicurezza in questo contesto. Vi invito a leggere il mio articolo Il ruolo del TPM in Entra ID: sicurezza hardware e gestione delle identità aziendali per maggiori approfondimenti.
Quando un dispositivo viene registrato in Microsoft Intune, viene generato e distribuito un certificato di gestione. Questo certificato è emesso da una Microsoft Intune MDM Device CA (Certificate Authority). Il certificato consente al dispositivo di autenticarsi e comunicare in modo sicuro con il servizio Intune per:
- Applicare policy di configurazione.
- Eseguire aggiornamenti software.
- Monitorare lo stato di conformità.
- Distribuire app aziendali.
Grazie alla Windows Enrollment Attestation (WEA) e al coinvolgimento del TPM (Trusted Platform Module), il certificato di gestione emesso durante la registrazione del dispositivo in Microsoft Intune è protetto da esportazione e utilizzi non autorizzati. La chiave privata non viene mai esposta al sistema operativo o al software. Viene generata e rimane confinata all’interno del TPM
Figura 14: La chiave privata del certificato di gestione messo da Microsoft Intune viene protetta dal chipst TPM
Figura 15: La chiave privata del certificato di gestione messo da Microsoft Intune non può essere esportata
Conclusioni
La Windows Enrollment Attestation rappresenta un miglioramento significativo nella gestione della sicurezza dei dispositivi. Attraverso il TPM e le funzionalità offerte da Intune, è possibile garantire che solo dispositivi fidati accedano agli ambienti aziendali, riducendo il rischio di compromissione dei dati e migliorando la conformità ai requisiti di sicurezza. Grazie ai filtri e ai report dettagliati, gli amministratori hanno a disposizione strumenti avanzati per monitorare e gestire i dispositivi registrati. L’integrazione di queste misure rafforza il controllo sulle infrastrutture IT, assicurando una maggiore affidabilità operativa e protezione delle risorse aziendali.