ניהול זהויות והתקני קצה Azure AD (הגדרת Hybrid)

סדרת מאמרים של ניהול זהויות והתקני קצה, במאמר הנוכחי נתמקד בחיבור התקני קצה בתצורת Hybrid Azure Active Directory מול תשתית Azure AD.
המאמר הראשון התמקד בהגדרות ראשוניות בתרחיש Azure AD Join

ניהול זהויות והתקני קצה הוא רובד אבטחה חשוב מאוד וכיום ישנם מספר פלטפורמות, כגון: Azure AD, Okta, OneLogin ועוד פלטפורמות נוספות.
מכיוון שניהול זהויות והתקני קצה הם רכיבים אשר משלימים אחד השני אנו חייבים לשלב את הטכנולוגיות השונות שעמם אנו עובדים בכדי לקבל תמונה מלאה ומפורטת ברמת הבורג על זהות מול תחנה קצה.

כאשר מחברים התקני קצה לתשתית Azure AD ישנם כמה תרחישים והתרחיש השני הוא חיבור מול תשתית Active Directory קיימת עם תחנות קצה קיימות עם תרחיש שנקרא Hybrid Azure Active Directory. בתרחיש כזה המצב קצת יותר פשוט כי כל ההגדרות הם ברמת אדמין ואין צורך לערב משתמשי קצה.
מה היתרונות בחיבור כאשר נמצאים בתרחיש של Hybrid Azure Active Directory? ישנם מספר יתרונות:

  • חיבור והגדרה ראשונית מהיר וקל ליישום מתוך תשתית Active Directory מקומית
  • חיבור כלל התחנות בארגון מול תשתית Azure AD (וללא מעורבות משתמש)
  • הכנה לקראת תשתית UEM כדוגמת Intune או MobileIron

הגדרת תצורת Azure AD Hybrid

דרישות

הגדרת Hybrid Azure Active Directory joined devices

  • הגדרת רכיב service connection point – רכיב SCP מאפשר להתקני קצה לבצע זיהוי מול תשתית Azure AD מתוך סביבת Active Directory מקומית, ולמעשה מאפשר את הקישוריות בין הסביבות.
    "נקודת החיבור" נעשית ברמת Active Directory מקומית אך מצריכה חיבור מול תשתית Azure AD ולכן יש להתחבר באמצעות PowerShell אל MsolService בכדי לבצע את הקישוריות.
    הפקודה הראשונית מוודאת האם קיים SCP ברמת ACtive Directory Forest ובמידה ולא קיים יש להרית את הפקודות הנוספות.

$scp = New-Object System.DirectoryServices.DirectoryEntry
$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device RegistrationConfiguration,CN=Services,CN=Configuration,DC=mvplab,DC=cloud"
$scp.Keywords2018-08-24_17h32_38
2018-08-24_17h29_51Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"
$ADAccount = Get-Credential
Initialize-ADSyncDomainJoinedComputerSync –AdConnectorAccount $ADAccount -AzureADCredentials $AzureADCred
2018-08-24_17h32_382018-08-24_17h32_48

  • לאחר מכן צריך לוודא ברמת AAD Connect שאותו OU של תחנות הקצה מסונכרן, במידה ולא יש לסמן ואז לבצע סנכרון.

בסיום נוודא שאכן תחנות הקצה הסתנכרנו מול תשתית Azure AD 2018-08-24_17h39_29

סיכום

ניהול זהויות והתקני קצה בתצורת Azure AD Hybrid היא פשוטה ויכולה לחסוך זמן יקר בניהול היומיומי בגלל האופן הפושט שהוא עובד, האינטגרציה מול תשתיות נוספות והמעקב אחר כל פעולה.
במאמרים הבאים נבין מהם האפשרויות הנוספות שניתן לחבר תחנות קצה בסיבה היברידית, איך מתממשקים לתשתיות נוספות וחיבור מול מערכות MDM.



:קטגוריותAzure AD, כללי

תגים: ,

תגובה אחת

  1. המאמרים של ניהול זהויות מצוינים ואף סייעו לי בארגון, תודה רבה ומקווה למאמרים נוספים.

    אהבתי

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: