אלי שלמה

ניהול קבוצות מקומיות באמצעות Microsoft Endpoint Manager

by · 23/05/2020

ניהול קבוצות מקומיות ובפרט ניהול קבוצת אדמין מקומית באמצעות Intune או באמצעות Microsoft Endpoint Manager הוא משהו שנשאלתי עליו רבות ונושא שעלה אינספור פעמים בקבוצות ווצאפ וטלגרם ובסשנים של הקהילות הטכנולוגיות, ולכן מעלה מאמר עם כמה דגשים שיעשה קצת סדר בנושא.

ניהול קבוצות מקומיות ובפרט ניהול קבוצות אדמין מקומיות אינו דבר חדש, ואם ניקח לדוגמא את מודל ניהול הקבוצות וההרשאות של Active Directory אשר מנוהל באמצעות Group Policy נוכל לראות כי ישנם אפשרויות רבות לניהול קבוצות מקומיות, ובאופן כללי כל אחד מאיתנו מחזיק סט הגדרות ופוליסי לניהול קבוצות מקומיות ובמיוחד קבוצות אדמין מקומיות.

במקרים מסוימים ישנה עדיפות לנהל קבוצות מקומיות באמצעות SCCM.

קבוצת אדמין מקומית היא אחד הדברים החשובים והנדרשים ביותר כאשר מנהלים תחנות מקומיות, והרבה מוטל על הכף כאשר מדובר על הנושא הזה – עד כה אין חדש וניהול קבוצות מקומיות זה משהו טריוויאלי.

ניהול קבוצות אדמין מתוך Endpoint Manager

עד לתקופה האחרונה ניהול קבוצות מקומיות מול אובייקטים מבוססים Azure AD Device בממשק Intune הישן או בממשק Microsoft Endpoint Manager היה משהו בלתי אפשרי, ואפילו מגבלה קטנה שמנעה מאיתנו לנהל הרשאות מקומיות ובצורה פשוטה.

הדיון לגבי ניהול קבוצות אדמין מקומיות והרשאות סביב Azure AD Device נע בין הקבוצות המוכרות של Azure AD והם מבוססות על Global administrator ועל Device administrator – וחשוב לציין כי מדובר על Azure AD Roles.

שני הרולים של Global administrator ושל Device administrator הם רולים שיכולים לנהל את כלל האובייקטים מסוג Azure AD Device ללא מגבלה, ולכן ברגע שמוסיפים משתמש לאחד מתוך הרולים הנ”ל אותו משתמש יכול לבצע את כלל הפעולות המוכרות בכל התחנות שמנוהלות ע”י Azure AD.

טיפ: קבוצת Global Administrator מקבל באופן דיפולטי הרשאת לקבוצת אדמין (Administrator) המקומית

ישנם מצבים בהם אנו צריכים לנהל קבוצות והרשאות פרטניות בתחנה המקומית ובמיוחד כאשר מדובר בקבוצת אדמין מקומית, ולא פעם נדרשים להוסיף משתמש בעל הרשאות לקבוצת אדמין מקומית רק בשביל פעולות נקודתיות.

טיפ: ככל שיהיו פחות אדמינים בתחנה כך יפחתו הסיכונים והסיכויים לפעולות תקיפה שמתחילות מתוך התחנה המקומית עם הרשאות גבוהות

images

כמובן שרוב האדמינים בארגון אינם מקבלים הרשאת Global Admin, ואם כך המצב מומלץ לבחון את הנושא שכן הרשאת Global Admin היא הרשאה גבוהה מאוד ועלולה לגרום נזק בלתי הפיך כאשר מנהלים תחנות קצה באמצעות Endpoint Manager.

אם כך מה עושים כאשר ישנם תרחישים מסוימים אשר דורשים הסרת משתמשים מתוך קבוצת Administrator מקומית או הוספת אדמין מקומי על תחנה או דורשים באופן כללי ניהול של קבוצות מקומיות? המאמר הנוכחי מתייחס לניהול קבוצת Administrator מקומיות באמצעות Microsoft Endpoint Manager ובאמצעות מנגנון CSP.

לצד זה ניתן להגדיר אדמינים מקומיים באמצעות הגדרת Additional local administrators on Azure AD joined devices מתוך Device Settings.

screenshot_226

אך מה קורה אם אני רוצה להגדיר קבוצות של ממש???

מי אתה מנגנון CSP

מנגנון ניהול מדיניות ועדכונים של Intune לתחנות קצה מבוססות Windows 10  נעשה על גבי מנגנון Configuration Service Provider (בקצרה CSP) מתוך השירות של Intune. רכיב CSP קיים בנוסף בתוך Windows 10, ולכן תצורת העבודה דומה מאוד לרכיב Client Side Extension של Group Policy.

מנגנון CSP מאפשר לשירות Intune לשלוח מדיניות המבוססת על קובץ XML בצד השני, המאפשרים לרענן הגדרות וליישם פוליסי על התקני קצה, אך חשוב להדגיש כי לא כל המערכות תומכות במנגנון CSP באופן מלא, ולכן ישנם הבדלים בשליחת מדיניות והגדרות אל התקני הקצה מסוגים שונים.

עוד על מנגנון CSP בקישור הבא רענון ועדכון פוליסי Intune

מנגנון CSP לטובת ניהול קבוצות מקומיות מתבטא באפשרויות של Groups או ספציפית להגדרות שאנו מעוניינים לבצע הוא RestrictedGroups, ואם נביט על הענפים של הגדרת קוצות מתוך Policy CSP נוכל לראות כי זה יושב בנתיב הבא כאשר ConfigureGroupMembership הוא הערך שאותו אנו מגדירים.

הנתיב של הפוליסי נראה כך /Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership

איך מגדירים קבוצות Administartor

בשביל לנהל קבוצת Administrator מקומית יש לבצע את הפעולות הבאות מתוך ממשק Microsoft Endpoint Manager לטובת יצירת פרופיל Custom OMA-URI עם הגדרת CSP ברמת Device עם הגדרת RestrictedGroups/ConfigureGroupMembership ועם המשתמשים הנדרשים והקבוצה הנדרשת.

  • בממשק Endpoint Manager ניצור Configuration profiles לתחנות Windows 10
  • הפרופיל צריך להיות מבוסס פרופיל Custom

screenshot_228screenshot_229screenshot_230

בהגדרת OMR-URI נגדיר את הערך המלא של הגדרת הקבוצה לפי הנתיב הבא

./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership

לאחר מכן נגדיר את ערך בשדה Value עם הנתונים הבאים:

 

<groupmembership>
<accessgroup desc = “Administrators” >
<member name = “Administrator” />
<member name = “AzureAD\test2@cyberint.co” />
<member name = “AzureAD\eshlomo@cyberint.co ” />
</accessgroup>
</groupmembership>

screenshot_231screenshot_232screenshot_233

בסיום נסכרנן את התחנה ונוודא שקבוצת Administrator המקומית מתעדכנת.

דגשים

כמה דגשים שיכולים למנוע בעיות שונות בהגדרה הספציפית של קבוצת Adminsitrator מקומית יחד עם הגדרות פרופיל Endpoint Manager עם Azure AD.

  • גרסאות Windows 10 1803 ומטה צריכות להיות מוגדרות ללא הערך של </groupmembership> בהגדרת Custom OMA-URI
  • ניתן להחיל את הגדרת הקבוצה פעם אחת בלבד על תחנה
  • ניתן להגדיר את ערך OMA-URI ללא הנתון של ./Device כלומר לפי הערך הבא – ./Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
  • הגדרת Additional local administrators on Azure AD joined devices היא ברמת Tenant
  • אין אפשרות להסיר את משתמש Adminsitrator המקומי
  • הסרת משתמש משתמש Adminsitrator המקומי אינה תחיל את הפרופיל כלל
  • מכיוון שמדובר על הגדרת RestrictedGroups ניתן לעבוד עם קבוצות מקומיות נוספות
  • ניתן להגדיר מספר OMA-URI שונים (לקבוצות שונות) על פרופיל בודד
  • אין לשים רווחים בין UPN ושמות משתמשים
  • ניתן לבדוק תקינות מתוך לוג MDM Diagnostic Information מקומי
  • ניתן לבדוק את הפוליסי המקומי מתוך CimInstance באמצעות הפקודה הבאה
(Get-CimInstance -Namespace “root\cimv2\mdm\dmmap” -ClassName “MDM_Policy_Result01_RestrictedGroups02”).ConfigureGroupMembership

לסיכום

הגדרת אדמין או משתמש לקבוצות מקומיות יכולה להיעשות באמצעות Custom OMA-URI לטובת הוספה של משתמשים, הסרה של משתמשים מתוך קבוצות מקומיות או לתרחישים אחרים בהם ישנו צורך בהגדרת משתמש Azure AD לקבוצה מקומית.

חשוב לפעול לפי הדגשים בכדי למנוע בעיות ולהיתקל במגבלות שונות של גרסאות Windows 10.

Tags:

You may also like...

השאר תגובה