ניהול זהויות והקשחת התקני קצה Azure AD

סדרת מאמרים של ניהול זהויות והתקני קצה, ובמאמר הנוכחי נתמקד בניהול הגדרות והקשחת גישה של התקני קצה בתשתית Azure AD.

המאמרים הקודמים התמקדו באפשרויות השונות של חיבור התקני קצה מבוססים Windows 10 מול Azure AD בתצורות שונות של Hybrid ושל חיבור בתצורה רגילה על גבי Azure AD Join.
חשוב להדגיש כי ישנם אפשרויות רבות לחיבור תחנות קצה בתצורת Azure AD Join החל מחיבור ידני ברמת משתמש ועד כלים מובנים שמבצעים אוטומציה.

בתהליך הכנת תשתית Azure AD לחיבור התקני קצה ולאחר שמבצעים את שלב ההגדרות הראשוניות בתשתית Azure AD ישנם שלבים נוספים, כגון הגדרת אינטגרציה מול Intune, ביצוע הגדרות מול Azure B2B, אינטגרציה עם Azure AD App Proxy ועוד רכיבים נוספים.

ניהול התקני קצה (הגדרות נוספות)

מכיוון שישנם מספר אפשרויות לחיבור התקני קצה וכן מספר אפשרויות לניהול התקני קצה, אנו מחויבים לנהל את תחנות הקצה באופן כזה שלא יאפשר לגורם שאינו מורשה לרשום התקני קצה וכן להתחבר אל תשתית Azure AD באופן כלשהוא וגם משתמשי קצה אשר מורשים להתחבר יוגדרו לפי מדיניות מוגרת מראש.
הגדרות אלה יכולות להיות חלק מהכנת תשתית Azure AD ויכולות להתבצע גם לאחר חיבור התקני קצה (רק באופן זהיר יותר).

מכיוון שכל גישה למשאב ענן מסוים רושמת את התקן הקצה בתשתית Azure AD באופן כלשהוא לפי האפשרויות הבאות אנו עלולים לראות בממשק לא מעט התקני קצה כאשר רובם אינו רלוונטי לסביבה שלנו.
אפשרויות הרישום של התקני קצה הם:

  • Azure AD Registered – לרוב מתאים לתרחיש של Bring Your Own Device שבו המתשמש עובד עם מכשיר שהביא מהבית ואותו משתמש צריך גישה למשאב ארגוני כדוגמת Exchange Online. הפוליסי שניתן להחיל על המשתמש אינו עשיר במיוחד וכלל בין היתר זיהוי ברמת מכשיר לפי Passcode, Pin והגדרת תנאי מבוסס Azure AD Conditional Access.
    *במידה וישנה אינטגרציה עם Intune כללי המשחק משתנים ואפשר להחיל אפשרויות נוספות מתוך Intune.
  • Azure AD Join – מתאים תרחיש של Bring\Choose Your Own Device. בתרחיש כזה מתשמש יחבר התקן קצה אישי או של הארגון לפי תנאים מוגדרים מראש ורק לאחר מכן יהיה ראשי לגשת למשאבי הארגוןף ולרוב מדובר על גישה למשאבי רבים בארגון בין אם מדובר על משאבי ענן או משאב מקומי. הפוליסי שניתן להחיל הוא עשיר וכולל אפשרויות כדוגמת Bitlocker, ESR, Phone Sign-In.
    *במידה וישנה אינטגרציה עם Intune הניהול יכול להתבצע לפי Device Configuration ולפי Device Compliance וכן תנאים מבוססים Azure AD Conditional Access.
    *הרישום יכול להיעשות לפי הכנת חבילה מוגדרת Bulk Deployment או Autopilot.
  • Hybrid Azure AD joined – תרחיש נוסף של Received\Choose Your Own Device. בתרחיש כזה משתמש מקבל מהארגון Windows 10 עם כלל ההגדרות של חיבור לתשתית Active Directory מקומי, תשתית Azure AD, מנוהל ע"י Intune.

כלומר גם אם המכשיר החכם מתחבר אל הדואר הארגוני גם אז ישנו רישום של התקן הקצה בתשתית Azure AD. (נרשם לפי Registered).

ברירת המחדל של Azure AD מאפשרת לכל משתמש לחבר את התקני הקצה ללא מפריע וללא הגבלה כלשהיא, ולכן ההמלצה היא עדיין לאפשר לכל משתמש לחבר את התקני הקצה ולעשות רישום מסוים אך לפי מדיניות ארגונית מוגדרת מראש, למשל מגבלת התקני קצה או אכיפת תנאים מבוססים Azure AD Conditional Access וכן הלאה.

הגדרת Azure AD Devices

בכדי לאפשר למשתמשים לחבר התקני קצה ולבצע רישום אך יחד עם זאת לאכוף מדיניות להקשחת הגישה יש לפעול לפי ההמלצות הבאות:

  • מחיקת אובייקטים – הפעולה הראשונה היא מחיקת אובייקטים שאינם בשימוש ע"י הפקודות השונות של Remove-AzureADDevice או לחלופין Remove-MsolDevice.
    במצבים בהם ישנם אלפי אובייקטים מסוג התקני קצה אז בשלב ראשון נוציא את כלל האובייקטים לדוח ורק לאחר מכן נקח את האובייקטים שהם מעל למסגרת זמן מסוים ונסיר אותם מתוך תשתית Azure AD. הפעולות אשר מריצים אותם הם פעולות ברמת תשתית Azure AD ולא מחיקת אובייקטים מתוך תשתית Intune, במידה וישנה אינטגרציה מלאה בין Azure AD לבין Intune המצב הוא מעט שונה ולכן הסקריפט לא נדרש באותו אופן אך עדיין יכול לסייע.
    ניתן להיעזר בסקריפט מתוך הקישור הבא RemoveDevicesAzureAD (מותאם למחיקת אובייקטים מול Intune במידה ויש)
  • הגדרת Device – בהגדרת Azure AD Device נוודא שכלל ההגדרות נעשות לפי באופן הבא:
    • רישום התקני קצה – ברירת המחדל מאפשרת לכלל המשתמשים לחבר התקני קצה אל תשתית Azure AD ולכן יש להגדיר קבוצה מסוימת בלבד אשר יכולה לחבר התקני קצה, בהגדרה זאת ניתן להגדיר קבוצות שונות של משתמשי קצה בין אם מוגדרת בענן או מסונכרנת מתוך AD מקומי.
      2018-09-18_09h26_30.png
  • הוספת אדמין מקומי – בהגדרת Additional local admin מומלץ ורצוי לשים אדמינים שיתווספו באופן אוטומטי לאחר רישום של התקני קצה.
    הערות:

    • ניתן תמיד להוסיף אדמינים אחרים ולא אדמין שאיתו בוצע לוגין באותו רגע
    • ניתן להוסיף רק אובייקטים מסוג אדמינים (משתמשים) ולא אובייקט מסוג קבוצה (יהיה זמין בקרוב)
    • חל רק על התקני קצה מסוג Azure AD Join בלבד
      2018-09-18_09h30_52
  • הגבלת מכשירים – כל משתמש קצה יכול לחבר כמות מסוימת של התקני קצה ומומלץ להגביל את הכמות בהתאם למדיניות הארגונית, ארגונים רבים שמים בהגדרה זאת בין 5 התקני קצה או 10 התקני קצה.
  • הזדהות נוספת – מכיוון שהזדהות של פרטי משתמש וסיסמה בלבד היא כבר לא רלוונטית כבר יש להגדיר לכל רישום התקן קצה הזדהות נוספת מבוססת MFA.
    2018-09-18_09h35_32
  • Enterprise State Roaming – האפשרויות השונות של ESR עניינות כי הם מאפשרות למשתמש קצה לסנכרן מידע מסוג אפליקציות והגדרות באופן אוטומטי מול שירותי הענן השונים וע"י כך מאפשר לארגון לבצע הפרדה בין מידע ארגוני לבין מידע פרטי ולבצע ניהול של אפליקציות ושירותי ענן שונים מול התקן הקצה.
    גם באפשרות זאת מומלץ מאד להגדיר קבוצת משתמשים ספציפית אשר יכולה לבצע סנכרון של אפליקציות והגדרות
    2018-09-18_09h47_45

לסיכום

כאשר עובדים עם התקני קצה מול תשתית Azure AD מומלץ להקשיח את הגישה של התקני הקצה לפי כל אותן הגדרות שניתנות לביצוע בממשק וכל זאת במטרה להגביל את הגישה, יחד עם זאת מומלץ מאוד לתת למשתמשי הקצה את הגישה החופשית והרישום אל שירותי הענן ולא להחמיר עם הגישה.
מה הסיבה להגביל ולהקשיח את הגישה ברמת Devices? ניהול ואבטחת מידע ישנם מצבים רבים בהם אנו מחויבים לנהל את התקני הקצה באופן כזה שיאפשר לנו לדעת מי מתחבר ועם איזה התקן קצה וחשוב מכך להקטין את שטח המתקפה.
הגדרה והקשחת התקני קצה היא חלק מזערי בכלל ההגדרות הקיימות בתשתית Azure AD וישנם הקשחות נוספות למשל ברמת משתמשי קצה שבהם נתמקד במאמר הבא.

מודעות פרסומת


:קטגוריותAzure AD, כללי

תגים: , ,

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: