חסימת Legacy Authentication באמצעות Azure AD
מהיום שבו הושקה הפלטפורמה של Azure AD Conditional Access ועד היום תמיד ישנם השוואות שונות בין הפלטפורמה של ADFS לבין Azure AD Conditional Access ואחת ההשוואות היא חסימה של אפליקציות Legacy ישנות המבוססות על Basic Authentication.
במהלך הזמן יצאו אפשרויות שונות לפלטפורמה של Azure AD Conditional Access שנתנו יכולות מגוונות וארגונים רבים אשר הפעילו Modern Authentication נדרשו לבצע התאמה של התקני קצה ואפליקציות בהם עושים שימוש.
החל מגרסאות Office 2013 (שעדיין הצריך ערך ברישום) ועד אפליקציית דואר של Outlook for Mobile וכן הלאה וכל זאת על מנת להיות חלק מתצורת הזדהות חדשה. במצב כזה הארגון עדיין חשוף למשתמש שיכול להגדיר אפליקציה כלשהיא כי Modern Authentication אינו מבטל תצורת הזדהות של Basic Authentication!!!
ישנם ארגונים אשר הגדירו בנוסף לתצורת הזדהות של Modern Authentication גם שכבת הגנה של MFA שסיפקה רובד נוסף ומענה גישה להתקני קמה ואפליקציות Legacy. (במקרים בהם התנאים אינם מוגדרים כנדרש ניתן ואפשר לעקוף את המנגנון הנ”ל ללא בעיות).
בנוסף ליכולת החדשה של חסימת Basic Authentication יצאו מספר יכולות נוספות של Azure AD Conditional Access.
הערה: במקרים מסוימים ניתן להקשיח ולמנוע את הגישה לאפליקציות Legacy והתקני קצה ישנים אך באמצעות שילוב של מספר תנאים וחוקים והפעלת תצורות הזדהות המבוססות על Azure AD. (בקיצור משהו מסובך שכמעט ולא קרה)
הפעלת Azure AD Conditional Access
לבצע חסימה של Basic Authentication היא לא פעולה שמבצעים בסביבת ייצור ללא בדיקה נדרשת ומה הכוונה? כמו בכל יישום צריך לוודא האם ישנם התקני קצה ואפליקציות ישנות המתחברות לשירותי הענן השונים ורק לאחר מכן לבצע את השינוי.
בדיקת התקני קצה
הוצאת דוח לגבי התקני קצה ואפליקציות ישנות מתוך פורטל Office 365 בממשק Reports ולאחר מכן Usage
דוח לגבי סוגי אפליקציות
דוח לגבי גרסאות אפליקציה
דוח לגבי מכשירים
Get-MobileDevice -RestApi -ResultSize Unlimited | select UserDisplayName,@{n=”User”;e={$_.DistinguishedName.Split(“,”)[2..10] -join “,”}},DeviceType,FirstSyncTime,DeviceAccessState*,ClientType\
לאחר שבוצעו מספר בדיקות לגבי התקנים ישנים בממשק הדוחות של Office 365, ממשק Azure Portal או ע”י ממשק PowerShell נוודא שאין התקנים מתוך הרשימה הבאה:
- גרסאות Office 2010
- גרסאות Office 2013 ללא ערך EnableADAL
- מכשירים חכמים עם אפליקציות מייל Native
- התקני MAC בגרסאות Office 2013 ומטה (כולל Office 2013)
- אפליקציות מבוססות IMAP, POP3 וגם SMTP
בסיום נבצע הכנה ברמת המשתמשים טרם ביצוע התנאי ברמת Azure AD Conditional Access.
הגדרת תנאי Azure AD Conditional Access
בכדי להגדיר תנאי אשר חוסם Basic Authentication בממשק Azure AD Conditional Access יש לבצע את הפעולות הבאות:
הערה: כמו בכל תנאי מומלץ לבצע על תנאי שאינו שייך לסביבת הייצור.
בממשק Azure ניגש אל Conditions ונבחר באפשרות CLient Apps
לאחר מכן נבחר באפשרויות הבאות:
לאחר מכן נוודא באפשרות Access Control שהאפשרויות הבאות מסומנות:
בסיום נבצע שמירה ולאחר מכן נמתין שכל אותן הגדרות יתעדכנו.
3 Responses
[…] מידע נוסף במאמר המלא חסימת Legacy Authentication באמצעות Azure AD Conditional Access […]
[…] שבוע נחשפים עוד ועוד יכולות מעניינות, האחרון בהם היה חסימת Legacy Authentication באמצעות Azure AD Conditional Access. אין ספק שמנגנון Azure AD Conditional Access הוא אחד החזקים בענן […]
[…] חסימת Legacy Authentication באמצעות Azure AD […]