הקשחת רישום וגישה Azure AD
תנאים, חוקים והרשאות בגישה חיצונית מאפשרים לנו לנהל טוב יותר את הגורמים אשר צריכים גישה למשאבים והנכסים השונים של הארגון, והפלטפורמה שמסייעת לנו לאכוף את כולם אותם דרישות הוא Azure AD Conditional Access.
אחת האפשרויות מתוך Azure AD Conditional Access היא Register Security Information, המאפשרת לאכוף רישום של משתמש על תנאי וחוק מסוים, כלומר האפשרויות שלנו לאכוף על משתמשים רישום אל מידע מתוך מקום מסוים בלבד (או לפי תנאי/פרמטר אחר) למשל רישום MFA רק בתנאי מסוים, למשל מתוך הרשת הארגונית.
למה זה טוב? במידה וחשבון נפרץ והמשתמש צריך לבצע רישום מחדש של מידע, הרישום של המידע יתבצע אך ורק עפ"י תנאי מסוים, למשל רק מכתובות Trusted של הארגון.
הגדרת תנאי Azure AD Conditional Access
התנאי יוגדר לפי המאפיינים הבאים:
- Users and Groups – בחירת משתמש או כלל המשתמשים
- Cloud Apps and Actions – בחירת האפשרות של רישום לפי Register security information
- Conditions – הגדרת כלל המיקומים Any Locations והחרגת מיקום Trusted Location
- Access Controls – חסימת הגישה עם הגדרת Block
טיפ: במידה ומיישמים את התנאי על כלל המשתמשים יש להחריג את משתמש Break Glass או SOS (אותו משתמש חירום שאינו מקבל MFA או את רוב התנאים)
טיפ:מכיוון שמדובר על תנאי עם Block Access יש לוודא בזמן הבדיקה שבוחרים משתמשי פילוט בכדי למנוע בעיות
טיפ: במידה ואין הגדרות של Trusted Location יש להגדיר זאת לפני כן מתוך אפשרות Named Location
טיפ: אפשר לבחור באפשרות Block Access או בכל הקשחה אחרת למשל Device Compliant
לאחר מכן נשמור את התנאי ונבצע בדיקה מתוך רשת שאינה מוגדרת Trusted, על מנת שנוכל לקבל הודעה שאינה מאפשרת גישה למשאבים בארגון.
מאמרים נוספים לגבי Azure AD Conditional Access
