ניהול זהויות והתקני קצה Azure AD (הגדרת Hybrid)
סדרת מאמרים של ניהול זהויות והתקני קצה, במאמר הנוכחי נתמקד בחיבור התקני קצה בתצורת Hybrid Azure Active Directory מול תשתית Azure AD.
המאמר הראשון התמקד בהגדרות ראשוניות בתרחיש Azure AD Join
ניהול זהויות והתקני קצה הוא רובד אבטחה חשוב מאוד וכיום ישנם מספר פלטפורמות, כגון: Azure AD, Okta, OneLogin ועוד פלטפורמות נוספות.
מכיוון שניהול זהויות והתקני קצה הם רכיבים אשר משלימים אחד השני אנו חייבים לשלב את הטכנולוגיות השונות שעמם אנו עובדים בכדי לקבל תמונה מלאה ומפורטת ברמת הבורג על זהות מול תחנה קצה.
כאשר מחברים התקני קצה לתשתית Azure AD ישנם כמה תרחישים והתרחיש השני הוא חיבור מול תשתית Active Directory קיימת עם תחנות קצה קיימות עם תרחיש שנקרא Hybrid Azure Active Directory. בתרחיש כזה המצב קצת יותר פשוט כי כל ההגדרות הם ברמת אדמין ואין צורך לערב משתמשי קצה.
מה היתרונות בחיבור כאשר נמצאים בתרחיש של Hybrid Azure Active Directory? ישנם מספר יתרונות:
- חיבור והגדרה ראשונית מהיר וקל ליישום מתוך תשתית Active Directory מקומית
- חיבור כלל התחנות בארגון מול תשתית Azure AD (וללא מעורבות משתמש)
- הכנה לקראת תשתית UEM כדוגמת Intune או MobileIron
הגדרת תצורת Azure AD Hybrid
דרישות
- סנכרון באמצעות AAD Connect
- גרסה עדכנית של AAD Connect
- כתובות URL זמינות מתוך הארגון
- תחנות קצה מבוססות Windows 10
הגדרת Hybrid Azure Active Directory joined devices
- הגדרת רכיב service connection point – רכיב SCP מאפשר להתקני קצה לבצע זיהוי מול תשתית Azure AD מתוך סביבת Active Directory מקומית, ולמעשה מאפשר את הקישוריות בין הסביבות.
"נקודת החיבור" נעשית ברמת Active Directory מקומית אך מצריכה חיבור מול תשתית Azure AD ולכן יש להתחבר באמצעות PowerShell אל MsolService בכדי לבצע את הקישוריות.
הפקודה הראשונית מוודאת האם קיים SCP ברמת ACtive Directory Forest ובמידה ולא קיים יש להרית את הפקודות הנוספות.
$scp = New-Object System.DirectoryServices.DirectoryEntry
$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device RegistrationConfiguration,CN=Services,CN=Configuration,DC=mvplab,DC=cloud"
$scp.Keywords
Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"
$ADAccount = Get-Credential
Initialize-ADSyncDomainJoinedComputerSync –AdConnectorAccount $ADAccount -AzureADCredentials $AzureADCred
- לאחר מכן צריך לוודא ברמת AAD Connect שאותו OU של תחנות הקצה מסונכרן, במידה ולא יש לסמן ואז לבצע סנכרון.
בסיום נוודא שאכן תחנות הקצה הסתנכרנו מול תשתית Azure AD 
סיכום
ניהול זהויות והתקני קצה בתצורת Azure AD Hybrid היא פשוטה ויכולה לחסוך זמן יקר בניהול היומיומי בגלל האופן הפושט שהוא עובד, האינטגרציה מול תשתיות נוספות והמעקב אחר כל פעולה.
במאמרים הבאים נבין מהם האפשרויות הנוספות שניתן לחבר תחנות קצה בסיבה היברידית, איך מתממשקים לתשתיות נוספות וחיבור מול מערכות MDM.
המאמרים של ניהול זהויות מצוינים ואף סייעו לי בארגון, תודה רבה ומקווה למאמרים נוספים.