חסימת Legacy Authentication באמצעות Azure AD

מהיום שבו הושקה הפלטפורמה של Azure AD Conditional Access ועד היום תמיד ישנם השוואות שונות בין הפלטפורמה של ADFS לבין Azure AD Conditional Access ואחת ההשוואות היא חסימה של אפליקציות Legacy ישנות המבוססות על Basic Authentication.

במהלך הזמן יצאו אפשרויות שונות לפלטפורמה של Azure AD Conditional Access שנתנו יכולות מגוונות וארגונים רבים אשר הפעילו Modern Authentication נדרשו לבצע התאמה של התקני קצה ואפליקציות בהם עושים שימוש.

החל מגרסאות Office 2013 (שעדיין הצריך ערך ברישום) ועד אפליקציית דואר של Outlook for Mobile וכן הלאה וכל זאת על מנת להיות חלק מתצורת הזדהות חדשה. במצב כזה הארגון עדיין חשוף למשתמש שיכול להגדיר אפליקציה כלשהיא כי Modern Authentication אינו מבטל תצורת הזדהות של Basic Authentication!!!

ישנם ארגונים אשר הגדירו בנוסף לתצורת הזדהות של Modern Authentication גם שכבת הגנה של MFA שסיפקה רובד נוסף ומענה גישה להתקני קמה ואפליקציות Legacy. (במקרים בהם התנאים אינם מוגדרים כנדרש ניתן ואפשר לעקוף את המנגנון הנ”ל ללא בעיות).

בנוסף ליכולת החדשה של חסימת Basic Authentication יצאו מספר יכולות נוספות של Azure AD Conditional Access.

הערה: במקרים מסוימים ניתן להקשיח ולמנוע את הגישה לאפליקציות Legacy והתקני קצה ישנים אך באמצעות שילוב של מספר תנאים וחוקים והפעלת תצורות הזדהות המבוססות על Azure AD. (בקיצור משהו מסובך שכמעט ולא קרה)

הפעלת Azure AD Conditional Access

לבצע חסימה של Basic Authentication היא לא פעולה שמבצעים בסביבת ייצור ללא בדיקה נדרשת ומה הכוונה? כמו בכל יישום צריך לוודא האם ישנם התקני קצה ואפליקציות ישנות המתחברות לשירותי הענן השונים ורק לאחר מכן לבצע את השינוי.

בדיקת התקני קצה

הוצאת דוח לגבי התקני קצה ואפליקציות ישנות מתוך פורטל Office 365 בממשק Reports ולאחר מכן Usage

דוח לגבי סוגי אפליקציות

דוח לגבי גרסאות אפליקציה

דוח לגבי מכשירים

Get-MobileDevice -RestApi -ResultSize Unlimited | select UserDisplayName,@{n=”User”;e={$_.DistinguishedName.Split(“,”)[2..10] -join “,”}},DeviceType,FirstSyncTime,DeviceAccessState*,ClientType\

לאחר שבוצעו מספר בדיקות לגבי התקנים ישנים בממשק הדוחות של Office 365, ממשק Azure Portal או ע”י ממשק PowerShell נוודא שאין התקנים מתוך הרשימה הבאה:

  • גרסאות Office 2010
  • גרסאות Office 2013 ללא ערך EnableADAL
  • מכשירים חכמים עם אפליקציות מייל Native
  • התקני MAC בגרסאות Office 2013 ומטה (כולל Office 2013)
  • אפליקציות מבוססות IMAP, POP3 וגם SMTP

בסיום נבצע הכנה ברמת המשתמשים טרם ביצוע התנאי ברמת Azure AD Conditional Access.

הגדרת תנאי Azure AD Conditional Access

בכדי להגדיר תנאי אשר חוסם Basic Authentication בממשק Azure AD Conditional Access יש לבצע את הפעולות הבאות:

הערה: כמו בכל תנאי מומלץ לבצע על תנאי שאינו שייך לסביבת הייצור.

בממשק Azure ניגש אל Conditions ונבחר באפשרות CLient Apps
לאחר מכן נבחר באפשרויות הבאות:

לאחר מכן נוודא באפשרות Access Control שהאפשרויות הבאות מסומנות:

בסיום נבצע שמירה ולאחר מכן נמתין שכל אותן הגדרות יתעדכנו.

2 Responses

  1. 14/07/2018

    […] מידע נוסף במאמר המלא חסימת Legacy Authentication באמצעות Azure AD Conditional Access […]

  2. 26/07/2018

    […] שבוע נחשפים עוד ועוד יכולות מעניינות, האחרון בהם היה חסימת Legacy Authentication באמצעות Azure AD Conditional Access. אין ספק שמנגנון Azure AD Conditional Access הוא אחד החזקים בענן […]

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.