ניהול זהויות והתקני קצה Azure AD (חיבור AD Join)

סדרת מאמרים של ניהול זהויות והתקני קצה, במאמר הנוכחי נתמקד בחיבור התקני קצה בתצורת Azure AD Join מול תשתית Azure AD.

ניהול זהויות והתקני קצה הוא רובד אבטחה חשוב מאוד וכיום ישנם מספר פלטפורמות, כגון: Azure AD, Okta, OneLogin ועוד פלטפורמות נוספות.
מכיוון שניהול זהויות והתקני קצה הם רכיבים אשר משלימים אחד השני אנו חייבים לשלב את הטכנולוגיות השונות שעמם אנו עובדים בכדי לקבל תמונה מלאה ומפורטת ברמת הבורג על זהות מול תחנה קצה.
לאחר בחינה , מעבדות ויישומים של מספר פלטפרומות כגון Azure AD, OneLogin, Okta ניתן לומר שהפלטפורמה "המנצחת" לארגונים היא הפלטפורמה של Azure AD ובגלל הסיבות הבאות:

• ניהול זהויות – תשתית שמאפשרת לנהל זהויות החל משלב סוגי אוטנטיקציות שונות, דרך שיוך שנעשה אוטומטי מול הקתני קצה ועד חיבור ושיום מול אפליקציות צד שלישי ורובדי אבטחה נוספים כגון Azure Information Protection וכן הלאה.
• יישום – יישום מהיר ופשוט של זהויות ושל התקני קצה (לא כולל Intune\MobileIron) בין אם בסביבה היברידית ובין אפ בסביבת ענן בלבד.
• אבטחת מידע – הגנה באמצעות מגנונים שונים החל מסוגי אוטנטיקציות, דרך אפשרויות של Conditional Access ועד מעקב מלא ופרטני אחר פעולות אשר נעשות ברמת אדמין ומשתמש.
• תצורות – ניתן ליישום בתצורה היברידית ושילוב עם יכולות שונות כדוגמת Seamless SSO או בתצורת ענן. בשני המקרים ניתן לשלב עם מערכות MDM כגון Intune\MobileIron.
• ניהול מול התקני קצה – ניתן לשלב את ניהול הזהויות והתקני הקצה יחד עם פלטפרומות כגון Intune וכן MobileIron.
• ניהול יומיומי – אינו מצריך התעסקות יומיומית מכיוון שגם בתצורה היברידית עם Azure AD Connect ושילוב של מערכות MDM התשתית של Azure AD יציבה ומאפשרת להתמקד בדברים החשובים יותר.
• אינטגרציה עם מערכות Security – השילוב מול מערכות Security נוספות הולך והיה פשוט וקל יותר החל מפלטפורמות מבוסססות Microsoft כגון Cloud App Security ועד תשתיות כגון ForcePoint.

הגדרות וניהול זהויות והתקני קצה

כאשר מחברים התקני קצה של Azure AD ישנם מספר תצורות ואפשרויות אך לפני כן חשוב מאוד לוודא שאנו נמצאים כבר במצב של ניהול זהויות באמצעות Azure AD.
הסיבה לניהול זהויות באמצעות Azure AD היא מאותם סיבות שהוסברו לפני כן ובגלל היתרון של ניהול זהויות, ניהול התקני קצה ואינטגרציה עם אפליקציות על גבי Azure AD.

ברמת Azure AD ישנה חלוקה מסוימת לגבי התקני קצה בין אם מכשירים חכמים או תחנות קצה וכל Device אשר מתחבר לענן מחויב בסוג אכיפה ובנוסף מקבל רישום מסוים. כאשר התקן קצה מתחבר אל Azure AD הוא מקבל אחת מהאפשרויות הבאות:

• Join – רישום מלא של התקן הקצה מול Azure AD וכתוצאה מכך מאפשר שליטה וניהול על התקן הקצה מתוך ממשק Azure AD. מתאים לתרחישים בהם מחברים תחנות קצה של הארגון אל תשתית Azure AD לטובת גישה למשאבי הארגון ועל מנת שיתאפשר להחיל פוליסי על תחנת הקצה.
• Register – מאפשר רישום של התקני קצה אל תשתית Azure AD ולאחר מכן מאפשר ניהול של הזהויות של אותו התקן קצה. מתאים יותר לתרחישים של מכשירים חכמים המתחברים למשאב ספציפי של הארגון.

בנוסף לסוגי האכיפה והשליטה שיש בתשתית Azure AD לכל התקן קצה ישנו רישום מסוים אשר נחלק לשלושה סוגים:

• Azure AD Registered – לרוב מתאים לתרחיש של Bring Your Own Device שבו המתשמש עובד עם מכשיר שהביא מהבית ואותו משתמש צריך גישה למשאב ארגוני כדוגמת Exchange Online. הפוליסי שניתן להחיל על המשתמש אינו עשיר במיוחד וכלל בין היתר זיהוי ברמת מכשיר לפי Passcode, Pin והגדרת תנאי מבוסס Azure AD Conditional Access.
  *במידה וישנה אינטגרציה עם Intune כללי המשחק משתנים ואפשר להחיל אפשרויות נוספות מתוך Intune.
• Azure AD Join – מתאים תרחיש של Bring\Choose Your Own Device. בתרחיש כזה מתשמש יחבר התקן קצה אישי או של הארגון לפי תנאים מוגדרים מראש ורק לאחר מכן יהיה ראשי לגשת למשאבי הארגוןף ולרוב מדובר על גישה למשאבי רבים בארגון בין אם מדובר על משאבי ענן או משאב מקומי. הפוליסי שניתן להחיל הוא עשיר וכולל אפשרויות כדוגמת Bitlocker, ESR, Phone Sign-In.
  *במידה וישנה אינטגרציה עם Intune הניהול יכול להתבצע לפי Device Configuration ולפי Device Compliance וכן תנאים מבוססים Azure AD Conditional Access.
  *הרישום יכול להיעשות לפי הכנת חבילה מוגדרת Bulk Deployment או Autopilot.
• Hybrid Azure AD joined – תרחיש נוסף של Received\Choose Your Own Device. בתרחיש כזה משתמש מקבל מהארגון Windows 10 עם כלל ההגדרות של חיבור לתשתית Active Directory מקומי, תשתית Azure AD, מנוהל ע"י Intune או SCCM.

דגשים בהגדרת Azure AD Device

בכדי לאפשר למשתמשי קצה לבצע הוספה של התקני קצה מבוססים Windows 10 יש לבצע את הפעולות הבאות בתשתית Azure AD ובהגדרות Devices.
בשלב הראשוני אנו מצבעים הגדרות ברמת אדמין בלבד ולאחר מכן אנו יכולים לאפשר למשתמשי קצה לחבר את תחנות הקצה מבוססות Windows 10 באופן עצמאי וללא מעורבות של אדמינים.

• בפורטל הניהול של Azure AD נוודא את ההגדרות הבאות:
  • הרשאה להוספת התקני קצה – מומלץ להשאיר לכלל המשתמשים
  • הוספת אדמין מקומי אל התקני קצה שהתסוופו ע"י משתמשי קצה ומוגדרים בהתקני Azure AD Joined.
    הערה: אין אפשרות להוסיף את אותו אדמין אשר נמצא בלוגין אל המערכת באותו רגע נתון אלא ע"י אדמין אחר בלבד.
• בסיום יש לבצע שמירה ולוודא שהגדרות נכנסו לתוקף

בסיום ולאחר שהגדרות נכנסו לתוקף נוכל לבצע בדיקה מול התקני קצה מבוסס Windows 10 לפי הפעולות הבאות:

• כניסה לאפשרויות וחשבונות Options > Account
• בחירה באפשרות של Join this device to Azure AD
• רישום באמצעות פרטי הזדנהות ארגונית
• במידה וישנה קטגוריה יש לבחור בקטגוריה הרצויה
• בסיום יש לבצע Join

הערה: ישנם דרכים נוספות להוספת תחנת קצה אל Azure AD בתצורה Join והיא OOBE וכן Package Configurator.
בכדי לראות מהו הסטטוס של תחנת הקצה ולקבל אינפורמציה נוספת ניתן להריץ מתוך CMD את הפקודה הבאה: dsregcmd /status

סיכום

ניהול זהויות והתקני קצה בתצורת Azure AD Join היא פשוטה ויכולה לחסוך זמן יקר בניהול היומיומי בגלל האופן הפושט שהוא עובד, האינטגרציה מול תשתיות נוספות והמעקב אחר כל פעולה.
במאמרים הבאים נבין מהם האפשרויות הנוספות שניתן לחבר תחנות קצה בסיבה היברידית, איך מתממשקים לתשתיות נוספות וחיבור מול מערכות MDM.