חסימת Legacy Authentication באמצעות Azure AD Conditional Access

סופסוף זה הגיע לענן, חסימה של Legacy Authentication באמצעות חוקים המבוססים על Azure AD Conditional Access!
מהיום שבו הושקה הפלטפורמה של Azure AD Conditional Access ועד היום תמיד ישנם השוואות שונות בין הפלטפורמה של ADFS לבין Azure AD Conditional Access ואחת ההשוואות היא חסימה של אפליקציות Legacy ישנות המבוססות על Basic Authentication.
במהלך הזמן יצאו אפשרויות שונות לפלטפורמה של Azure AD Conditional Access שנתנו יכולות מגוונות וארגונים רבים אשר הפעילו Modern Authentication נדרשו לבצע התאמה של התקני קצה ואפליקציות בהם עושים שימוש, החל מגרסאות Office 2013 (שעדיין הצריך ערך ברישום) ועד אפליקציית דואר של Outlook for Mobile וכן הלאה וכל זאת על מנת להיות חלק מתצורת הזדהות חדשה. במצב כזה הארגון עדיין חשוף למשתמש שיכול להגדיר אפליקציה כלשהיא כי Modern Authentication אינו מבטל תצורת הזדהות של Basic Authentication!!!
ישנם ארגונים אשר הגדירו בנוסף לתצורת הזדהות של Modern Authentication גם שכבת הגנה של MFA שסיפקה רובד נוסף ומענה גישה להתקני קמה ואפליקציות Legacy. (במקרים בהם התנאים אינם מוגדרים כנדרש ניתן ואפשר לעקוף את המנגנון הנ”ל ללא בעיות).

בנוסף ליכולת החדשה של חסימת Basic Authentication יצאו מספר יכולות נוספות של Azure AD Conditional Access.

הערה: במקרים מסוימים ניתן להקשיח ולמנוע את הגישה לאפליקציות Legacy והתקני קצה ישנים אך באמצעות שילוב של מספר תנאים וחוקים והפעלת תצורות הזדהות המבוססות על Azure AD. (בקיצור משהו מסובך שכמעט ולא קרה)

הפעלת Azure AD Conditional Access

לבצע חסימה של Basic Authentication היא לא פעולה שמבצעים בסביבת ייצור ללא בדיקה נדרשת ומה הכוונה? כמו בכל יישום צריך לוודא האם ישנם התקני קצה ואפליקציות ישנות המתחברות לשירותי הענן השונים ורק לאחר מכן לבצע את השינוי.בכדי לחסום Basic Authentication צריך לבצע מספר פעולות לא מורכבות.

בדיקת התקני קצה

הוצאת דוח לגבי התקני קצה ואפליקציות ישנות מתוך פורטל Office 365 בממשק Reports ולאחר מכן Usage

דוח לגבי סוגי אפליקציות
image
דוח לגבי גרסאות אפליקציה
image

דוח לגבי מכשירים
image

Get-MobileDevice -RestApi -ResultSize Unlimited | select UserDisplayName,@{n=”User”;e={$_.DistinguishedName.Split(“,”)[2..10] -join “,”}},DeviceType,FirstSyncTime,DeviceAccessState*,ClientType\

לאחר שבוצעה בדיקה לגבי התקנים ישנים בממשק הדוחות של Office 365 או ע”י ממשק PowerShell נוודא שאין התקנים מתוך הרשימה הבאה:

  • גרסאות Office 2010
  • גרסאות Office 2013 ללא ערך EnableADAL
  • מכשירים חכמים עם אפליקציות מייל Native
  • התקני MAC בגרסאות Office 2013 ומטה (כולל Office 2013)
  • אפליקציות מבוססות IMAP, POP3 וגם SMTP

בסיום נבצע הכנה ברמת המשתמשים טרם ביצוע התנאי ברמת Azure AD Conditional Access.

הגדרת תנאי Azure AD Conditional Access

בכדי להגדיר תנאי אשר חוסם Basic Authentication בממשק Azure AD Conditional Access יש לבצע את הפעולות הבאות:

הערה: כמו בכל תנאי מומלץ לבצע על תנאי שאינו שייך לסביבת הייצור.

בתנאי ניגש אל Conditions ונבחר באפשרות CLient Apps
לאחר מכן נבחר באפשרויות הבאות:

image

image
לאחר מכן נוודא באפשרות Access Control שהאפשרויות הבאות מסומנות:

image

בסיום נבצע שמירה ולאחר מכן נמתין שכל אותן הגדרות יתעדכנו.

מודעות פרסומת


:קטגוריותAzure AD, Azure AD Conditional Access

תגים: , ,

2 תגובות

טרקבאקים

  1. חסימת Legacy Authentication ע”י Azure AD | Eli Shlomo Blog
  2. דוחות ונראות Azure AD Conditional Access – הבלוג של אלי שלמה

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: