הגדרת Graph API בתשתית Intune

(סדרת מאמרים קצרים לביצוע הגדרות בשירות Intune)

כאשר מקימים ומבצעים הגדרות בתשתית Intune ישנם מספר הגדרות שאנו מחויבים לבצע וזאת על סמך היכולות שאנו רוצים להפעיל, כלומר ישנו הבדל בביצוע הגדרות בין אם אנו מחברים מכשירים חכמים או רק עובדים עם Intune מול תחנות קצה מבוססות Windows 10.

מאמר זה מתמקד באינטגרציה מול מערכות ואפליקציות צד שלישי.

ניהול התקני קצה UEM

המאמרים הקודמים התמקדו בביצוע הגדרות מסוג Device Enrollment ובעיקר מול רישום תחנות מבוססות Windows 10, סוגי רישום, דגשים ביישום מול סביבה קיימת ועוד המון מידע מעניין.

לצד הרישום של תחנות קצה מבוססות Windows 10 ישנה אפשרות לבצע רישום להתקני קצה המבוססים על הפלטפרומות הבאות:

  • מערכות iOS
  • מערכות Android
  • תחנות מבוססות MacOS
  • תחנות קצה מבוססות Linux (הפצות מסוימות בלבד)

כל הפלטפרומות המוזכרות מעלה ניתנות לרישום באופן ישיר ומבונה כחלק מתשתית Intune, אך ישנה אפשרות לשלב עם פלטפרומות נוספות שיודעות להרחיב את האפשרויות בכל קטגוריה ולעבוד עם ממשק ניהול והגדרות אחד המבוסס על Intune.

כאן עולה השאלה למה להרחיב את האפשרויות לניהול התקני קצה מסוימים כאשר האפשרויות קיימות בתשתית Intune? התשובה לכך היא פשוטה, ישנם מצבים בהם פתרון צד שלישי יודע לתת מענה נקודתי ומותאם לסביבה הארגונית ולכן משלבים פתרון מסוג מול תשתית Intune.

למשל אם נקח את השילוב של תשתית Intune עם MobileIron, תשתית Intune היא עדיפה על כל פני מתחרה בניהול תחנות קצה מבוססות Windows 10, מצד שני ניהול מכשירי iOS נעשה טוב יותר ע"י מערכות כדוגמת MobileIron (בתרחישים מסוימים בלבד), ולכן השילוב של השניים נותן לנו את היתרון של כל מערכת.

למה לשלב זאת מול Intune? במהלך השנה החולפת השיקה Microsoft יכולות API המאפשרות למערכות ואפליקציות צד שלישי להתחבר אליה ולהיפך וע"י כך לאפשר יכולות מתקדמות וניהול ממקום אחד תוך כדי ניצול יכולות אנליטיקה ואוטומציה.intuneAPI.png

מכיוון שהאפשרויות של Intune Graph API הן בלתי נדלות אנו יכולים לקחת את כל המערכות אשר יודעות לבצע אינטגרציה ולחבר אותן מול Intune. תהליך החיבור הוא פשוט מאוד וכזה שמאפשר אינטגרציה תוך דקות ספורות.

כיום ישנן מערכות רבות המאפשרות אינטגרציה מול Intune Graph API, בין היתר ניתן למנות את המערכות הבאות:

  • MobileIron
  • AirWatch
  • Blackberry
  • Jamf
  • Jump
  • Zebra
  • ומערכות נוספות (הרשימה מתעדכנת מידע חודש)

הערה: חשוב להדגיש כי ישנו הבדל מהותי בין אינטגרציה לטובת MDM לבין אינטגרציה לטובת Mobile threat Defense (נדון בו במאמר אחר).

חיבור התקני קצה מול Intune Grap API

הפעולות לביצוע אינטגרציה של Intune מול מערכת צד שלישי הן פשוטות מאוד ובסך הכל דורשות הקמת אפליקציה (App Services) והגדרת הרשאות בין שתי המערכות.

לטובת המאמר נתמקד באפשרויות של הגדרת MobileIron מול Intune לטובת אכיפת מדיניות אבטחה על מכשירים חכמים, לטובת אכיפת אפשרויות MAM של Intune מתוך MobileIron.

הגדרת בתשתית Intune

בכדי לבצע אינטגרציה בין MobileIron לבין Intune יש לבצע את הפעולות הבאות, תחילה דרישות סף, לאחר מכן בתשתית Intune ובסיום בתשתית MobileIron.

דרישות סף

דרישות סף לתשתית Intune:

  • רישוי Office 365
  • רישוי EMS
  • תצורת היברידית של Azure AD (עם AD Connect)
  • אפליקציית Company Portal (חייב להיות מותקן אך לא מוגדר או רשום)

דרישות סף לתשתית MobileIron:

  • רישוי MobileIron
  • תצורת הגדרות עם Label

הגדרת אינטגרציה

אינטגרציה בין התשתיות נעשות לפי הפעולות הבאות:

תשתית Intune

בתשתית Intune צריך לבצע את הפעולות הבאות:

  • יצירת אפליקציה MobileIron
  • הגדרת URL (ניתן לקחת מתוך הגדרת URL של MobileIron)
  • הוספת הרשאה מסוג Microsoft Graph
  • הגדרת הרשאות ספציפיות
    • Read all groups
    • Read all users’ full profiles
    • Read and write Microsoft Intune apps
  • הגדרת ערך לביצוע אוטנטיקציה (יש לשמור את הערך כי לאחר שמירה אין אפשרות לשחזר את הערך, את הערך נצטרך לשים במערכת MobileIron)

2019-04-13_17h20_282019-04-13_17h23_502019-04-13_17h24_102019-04-13_17h26_412019-04-13_17h27_25

הגדרת תשתית MobileIron

בכדי להגדיר את תשתית MobileIrob אנו צריכים לקחת את הנתונים הבאים מתוך Azure AD ומתוך האפליקציה:

  • ערך Tenant ID
  • ערך Application ID
  • ערך Application Secret (אותו Key שיצרנו בתהליך הקודם)

לאחר מכן ניגש לפורטל הניהול של MobileIron ובאפשרות Microsoft Graph ניצור אפליקציה ונבצע מספר הגדרות:

2019-04-13_17h38_38.png

בסיום הגדרות אלה נבצע אוטנטיקציה ונשמור את הגדרות האינטגרציה בין המערכות.

בשלב שלאחר מכן נוכל לבצע הגדרות בין היתר הגדרות Office 365 app protection policies בכדי להקשיח את המכשירים המחוברים אל MobileIron מתוך האפשרויות של Intune.

לסיכום

כמו שניתן לראות, הגדרה של מערכת צד שלישי כדוגמת MobileIron מול תשתית Intune היא פשוטה ואורכת מספר דקות כאשר סיומה אנו מקבלים אפשרויות מקדתמות לניהו ואכיפה של מדיניות אבטחה על מכשירי iOS ומכשיר Android.



:קטגוריותEMS, כללי

תגים: , , , , ,

מה דעתך?

This site uses Akismet to reduce spam. Learn how your comment data is processed.