הפעלה והגדרת זהויות Azure AD (יישום EMS)

סדרת מאמרים ליישום Microsoft EMS וחלק מתוך סדרת מאמרים ליישום Microsoft 365 Enterprise Security. מאמר זה מתמקד ביישום זהויות באמצעות Azure AD.

תכנון זהויות

כאשר מתכננים ניהול זהויותאנו צריכים לענו על מספר שאלות קריטיות

  • האם אנו נמצאים בתצורה היברידית (או צריכים להקים תצורה כזאת)?
  • באיזה אפליקציות אנו משתמשים? מקומיות או ענן?
  • האם ישנו צורך בגישה למשאבי OnPrem?
  • האם ניישם הזדהות חזקה אשר כוללת MFA ואפילו כרטיסים חכמים?
  • האם אנו צריכים ליישם מנגוני הגנה נוספים למניעת גינבת זהויות? למשל זיהוי גישה מתוך מיקום חריג או לקבל התראה במידה והחשבון נגנב
  • האם אנו צריכים ליצור תנאים וחוקים שלפיהם משתמשים יבצעו הזדהות מול הארגון?
  • האם נאו צריכים לבצע אינטגרציה עם מערכות SIEM?
  • מיהו אותו Directory מוביל? אולי Active Directory או אולי Directory אחר
  • האם אנו צריכים לחבר Directory נוסף? למשל AWS
  • האם ישנם ספקי ענן נוספים? Google, Alibaba או AWS
  • מהי חווית המשתמש בגישה אל הארגון?

אחד המאפיינים בתכנון הוא הנגשת אפליקציות ולכן צריך להיעשות מיפוי אפליקציות שהערך הכי חשוב הוא אופן החיבור וצורת הזדהות (Authentication Type)

Product Name Supplier WebSite Priority Number of Users Authentication Type
Office365 www.microsoft.com     WSFED

יישום זהויות

יישום האפשרויות במאמר הם לפי הסדר הבא:

הגדרת AD Connect

בכדי להריץ AAD Connect  אנו צריכים להכין מספר דרישות אשר משתנה בהתאם לטופולוגיה שאנו בוחרים.

דרישות ליישום Express

  • Active Directory דומיין עם FFL מבוסס Windows Server 2003 ומעלה
  • שרת מבוסס Windows Server 2008 R2 ומעלה
  • משתמש מקומי עם הרשאות אדמין אשר חבר בקבוצה Enterprise Admins (לההתקנה ראשונה או שינוי בלבד)
  • משתמש ענן עם הרשאות Global Admin (להתקנה ראשונה בלבד)

שלבים בהתקנה

  • הורדה והתקנת Azure AD Connect
  • לאחר הורדה נתחיל את שלב ההתקנה וכן שלב ההגדרות

image

image

image

בשלב זה יותקנו כל הרכיבים הדרושים שאנו צריכים, כגון:

.NET Framework
Azure Active Directory PowerShell Module
Microsoft Online Services Sign-In Assistant
SQL Express
SQL Native Client

image

לאחר סיום התקנת הרכיבים נקליד את שם המשתמש והסיסמא של שירות הענן עם משתמש בעל הרשאות Global Admin

image

לאחר שיתבצע האימות של המשתמש נוכל לבחור את הטופולוגיה הרצויה, בדוגמא זאת נבחר את היישום הפשוט של Express

imageבמהלך זיהוי המשתמש נקליד את פרטי המשתמש בסביבת Active Directory מקומי

image

לאחר האימות נוכל לבצע את ההתקנה של היישום שנבחר

image

image

image

בסיום נקבל את המסך הבא שההתקנה בוצעה בהצלחה.

הערות

התאמת ערכים – אנו מחויבים להתאים ערכים בין סביבת Active Directory מקומית לבין סביבת הענן ולכן אנו צריכים להגדיר ערך מוביל כגון: UPN או Email. מכיוון שהערך של Email הוא נפוץ מדויק ברוב המקרים מומלץ לעבוד לפיו ולבצע האמה מול הענן. (חוסך המון זמן של התאמות וביצוע Soft Match או Hard match).

הגדרת Azure AD Seamless SSO

רכיב Seamless SSO מאפשר למשתמשים לבצע הזדהות ללא סיסמאות אל Office 365 מתוך הסביבה המקומית. בכדי לאפשר Azure AD Seamless SSO אנו צריכים להפעיל מספר הגדרות בסביבה המקומית וכן בסביבת הענן לפי ההגדרות הבאות:

  • הפעלת Seamless SSO ברכיב AAD Connect – מתוך רכיב Azure AD Connect נאפשר את הגדרת Enable Single Sign on במטרה להפעילת את הרכיב ברמת Azure
  • נגדיר Modern Authentication מול תפקידים מסוימים בענן כדוגמת Exchange Online ונוספים
  • נגדיר כתובות URL's מסוימים מול Group Policy בכדי לאפשר Auto Logon

הפעלת Seamless SSO מתוך AD Connect

2019-03-31_18h24_50

2019-03-31_18h24_582019-03-31_18h25_13

נוודא שנוצר אובייקט אשר נקרא AzureADSSOACC בתשתית Active Directory מקומי

2019-03-31_18h26_58.png

בפורטל Azure נוודא מתוך Azure AD שהערך של Seamless SSO נמצא במצב מופעל ותקין

2019-03-31_18h28_03.png

לאחר שבוצעו הגדרות ראשוניות נוכל להמשיך אל יתר ההגדרות.

הפעלת Modern Authentication מול Exchange Online

מתוך ממשק PowerShell נבצע את הפעולות הבאות של התחברות לשירות Exchange Online ולאחר מכן הגדרת OAuth:

$cred = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic –AllowRedirection
Import-PSSession $Session

לאחר מכן נגדיר

Set-OrganizationConfig -OAuth2ClientProfileEnabled $true -Verbose

מול שירות SfB Online נבצע את אותה פעולה

Import-Module SkypeOnlineConnector
$credential = Get-Credential
$session = New-CsOnlineSession -Credential $credential
Import-PSSession $session

ונגדיר OAuth באמצעות הפקודה הבאה

Set-CsOAuthConfiguration -ClientAdalAuthOverride Allowed

2019-03-31_18h24_39

בטננטים חדשים החל מאפריל 2017 אין צורך לבצע הגדרות OAuth בגלל שהם מוגדרות באופן דיפולטי.

הגדרת URLs מול Intranet

לסיום נבצע הגדרה של כתובות מסוימות השייכות לענן מול הגדרות Intranet באופן הבא ותחילה הגדרת כתובות:

https://autologon.microsoftazuread-sso.com
https://aadg.windows.net.nsatc.net

screenshot_54.png

בנוסף לכך נגדיר Allow Update to status bar via script.

הערות

  • חשוב לוודא כי כתובות IP וכן URL's של Office 365 פתוחות מתוך שרת AD Connect
  • בנוסף לכך כתובות IP וכן אותם URL's צריכים להיות פתוחים בפורט 443 מתוך רשת המשתמשים אל הענן (בכיוון אחד בלבד)
  • הגדרות אלה מתעדכנות עד 45 דקות מרגע הפעלתן

הגדרת הזדהות חזקה MFA

מגיעים לחלק המרכזי שבו אנו מפעילים הזדהות חזקה למשתמשי קצה מבוססת MFA, מכיוון שאין כאן פדרציה אנו יכולים להפעיל MFA בצורה הדרגתית מול משתמשי הקצה.

הפעלה והגדרת MFA

להפעלת MFA ישנם שתי שיטות, הישנה באמצעות Office 365 אשר חל על כל המשתמשים ללא תנאים כלומר בכל גישה משתמש צריך לבצע אימות באמצעות MFA. וישנה השיטה המועדפת והיא באמצעות Azure AD Premium וזהו מצב שבו ניתן לקבוע לפי תנאים מתי יבוצע MFA על משתמשי הקצה.

הגדרת אופי הזדהות

בשלב ראשון נבצע הגדרות כליות של MFA לפי הדגשים הבאים:

ניגש אל פורטל הניהול של https://account.activedirectory.windowsazure.com

מומלץ לבטל App Password מכיוון שהוא מכיל סיסמה המיועדת לאפליקציה ספציפית ולרוב סיסמה זאת נשמרת בקוץ מקומי, נשלחת במייל וכן הלאה.

screenshot_46

לאחר מכן נגדיר Verification Method וכאן זה תלוי בארגון ובמכשירים הקיימים, במידה והמכשירים החכמים חדשים יחסית מומלץ לעבוד עם האפליקציה של מיקרוסופט לביצוע אוטנטיקציה ולהוריד את האפשרות של זיהוי נוסף באמצעות Text.

בנוסף לכך יש להגדיר מספר ימים לשמירת התקן קצה שממנו מבצעים הזדהות, ברוב המקרים מוגדר מספר ימים בודדים.

באופן אישי אני מעדיף שיוגדר יום אחד בלבד.

screenshot_48

בסיום נבצע שמירה של הגדרות אלה ונמשיך לממשק הבא.

הגדרת MFA למשתמשים

מכיוון שהגדרת MFA למשתמשי קצה אינה יכולה להיעשות בידי אדמין כי משתמש קצה צריך לבצע רישום ידני וחד פעמי אנו צריכים להכין להם את אפשרויות הרישום אשר כוללות:

  • מסמך משתמשים לביצוע רישום מול MFA
  • לעבוד עם רישום מול הקישור http://aka.ms/mfasetup

הערות

  • ישנו דף רישום חדש המרכז בתוכו את רישום לאיפוס סיסמאות וכן רישום MFA שניתן להשתמש בו גם כן
  • ניתן לבדוק את רישום המשתמשים מתוך ממשק PowerShell
  • בדרך כלל נותנים למשתמשי הקצה פרק זמן מסוים לביצוע רישום
  • הפעלה ודרישת MFA נעשית לאחר שעבר פרק הזמן שהוקצב למשתמשי הקצה ולפי אחזו וכמות רישום משתמשים (ניתן לבדוק באמצעות PowerShell)
  • בסיום מגדירים תנאים מבוססים Azure AD Conditional Access בכדי לחייב משתמשיפ אשר נמצאים מחוץ לרשת הארגונית לצרוך אפליקציות או משאבים רק באמצעות MFA

הגדרת תנאי לדרישת MFA באמצעות Azure AD Conditional Access

הרכיב של Azure AD Conditional Access מסייע רבות באכיפת תנאים וחוקים בגישה מול כל משאב בארגון (במידה וחובר אל Azure AD) וחשוב מכך מאפשר אינטגרציה עם תשתיות אבטחה נוספות של EMS.

בכדי להגדיר תנאי בסיסי של דרישת MFA למשתמשי קצה יש לפעול לפי הפעולות הבאות:

  • יצירת Named Location לטובת הגדרת אתרים לפי External\Nat IP
  • הגדרת תנאי לפי הערכים הבאים:
    • בחירת משתמשים
    • הגדרת דרישה לביצוע אכיפה מכל מקום (Any Location)
    • החרגת Trusted Site\IP (בכדי לא יבקש MFA מתוך הארגון)
    • בחירת מזהה נדרש

screenshot_49

screenshot_50screenshot_51screenshot_52screenshot_53

בסיום נוודא שהתנאי נמצא במצב Enable ולאחר מכן נפעיל מול משתמשי הקצה.

הערות

  • בשלב ראשון (בדיקות) מומלץ להפעיל על משספר משתמשים בודדים
  • במידה ומפעילים על כל הארגון ועל כל האפליקציות יש ליצור משתמש מסוג SOS או Break Glass (כולל הרשאות ספציפיות וללא MFA)


:קטגוריותEMS

תגים: , , ,

2 תגובות

  1. עזרו לי כמה הגדרות של SSO תודה נסיך

  2. אלי כל הכבוד על שיתוף הידע והמאמרים ממתין למדריכים הבאים

מה דעתך?

This site uses Akismet to reduce spam. Learn how your comment data is processed.