התקני קצה ורישום Azure AD

סדרת מאמרים של מעבר לענן ויישום Cloud Security.

תשתית Azure AD כוללת בין היתר את המנגנון של Azure AD Conditional Access המספק מענה והגנה על זהויות וגישה. לפני שמחברים התקני קצה אל שירות Azure AD מומלץ להבין את סוגי התקני הקצה הקיימים, איך מבצעים רישום לכל סוג, מה למעשה מציג כל סוג וכן הלאה.

תשתית Azure AD מאפשרת לנהל (יחד עם Intune) התקני קצה לכל דבר ובתרחישי ענן מסוימים הרבה יותר טוב מאשר Active Directory מקומי, אבל לפני רגע לפני שמערבים את Intune חשוב לדעת מהו הניהול האפשרי ברמת Azure AD.

סוגי התקני קצה Azure AD Device

ברמת Azure AD ישנה חלוקה מסוימת לגבי התקני קצה בין אם מכשירים חכמים או תחנות קצה וכל Device אשר מתחבר לענן מחויב בסוג אכיפה ובנוסף מקבל רישום מסוים. כאשר התקן קצה מתחבר אל Azure AD הוא מקבל אחת מהאפשרויות הבאות:

  • Join – רישום מלא של התקן הקצה מול Azure AD וכתוצאה מכך מאפשר שליטה וניהול על התקן הקצה מתוך ממשק Azure AD. מתאים לתרחישים בהם מחברים תחנות קצה של הארגון אל תשתית Azure AD לטובת גישה למשאבי הארגון ועל מנת שיתאפשר להחיל פוליסי על תחנת הקצה.
  • Register – מאפשר רישום של התקני קצה אל תשתית Azure AD ולאחר מכן מאפשר ניהול של הזהויות של אותו התקן קצה. מתאים יותר לתרחישים של מכשירים חכמים המתחברים למשאב ספציפי של הארגון.

בנוסף לסוגי האכיפה והשליטה שיש בתשתית Azure AD לכל התקן קצה ישנו רישום מסוים אשר נחלק לשלושה סוגים:

  • Azure AD Registered – לרוב מתאים לתרחיש של Bring Your Own Device שבו המתשמש עובד עם מכשיר שהביא מהבית ואותו משתמש צריך גישה למשאב ארגוני כדוגמת Exchange Online. הפוליסי שניתן להחיל על המשתמש אינו עשיר במיוחד וכלל בין היתר זיהוי ברמת מכשיר לפי Passcode, Pin והגדרת תנאי מבוסס Azure AD Conditional Access.
    *במידה וישנה אינטגרציה עם Intune כללי המשחק משתנים ואפשר להחיל אפשרויות נוספות מתוך Intune.
  • Azure AD Join – מתאים תרחיש של Bring\Choose Your Own Device. בתרחיש כזה מתשמש יחבר התקן קצה אישי או של הארגון לפי תנאים מוגדרים מראש ורק לאחר מכן יהיה ראשי לגשת למשאבי הארגוןף ולרוב מדובר על גישה למשאבי רבים בארגון בין אם מדובר על משאבי ענן או משאב מקומי. הפוליסי שניתן להחיל הוא עשיר וכולל אפשרויות כדוגמת Bitlocker, ESR, Phone Sign-In.
    *במידה וישנה אינטגרציה עם Intune הניהול יכול להתבצע לפי Device Configuration ולפי Device Compliance וכן תנאים מבוססים Azure AD Conditional Access.
    *הרישום יכול להיעשות לפי הכנת חבילה מוגדרת Bulk Deployment או Autopilot.
  • Hybrid Azure AD joined – תרחיש נוסף של Received\Choose Your Own Device. בתרחיש כזה משתמש מקבל מהארגון Windows 10 עם כלל ההגדרות של חיבור לתשתית Active Directory מקומי, תשתית Azure AD, מנוהל ע"י Intune או SCCM.

2018-07-31_00h19_38

הגדרת Azure AD Join

(תרחיש שלרוב נקרא KSP Mode)
מכיוון שאפשרות Azure AD Join היא לרוב בתרחישים שבהם מחברים תחנת קצה באופן ידני אל תשתית Azure AD החיבור הראשוני ייעשה ע"י משתמש לפי הפעולות הבאות (Self Service):

  • כניסה לחשבון בתחנת Windows 10
  • רישום מול Azure Ad Join
  • הגדרה לפי משתמש ואמצעי זיהוי נוספים

מצגת זאת דורשת JavaScript.

 

מודעות פרסומת


:קטגוריותAzure AD, Azure AD Conditional Access, כללי

תגים: , ,

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: