Site icon

הפעלה והגדרת זהויות Azure AD (יישום EMS)

סדרת מאמרים ליישום Microsoft EMS וחלק מתוך סדרת מאמרים ליישום Microsoft 365 Enterprise Security. מאמר זה מתמקד ביישום זהויות באמצעות Azure AD.

תכנון זהויות

כאשר מתכננים ניהול זהויותאנו צריכים לענו על מספר שאלות קריטיות

אחד המאפיינים בתכנון הוא הנגשת אפליקציות ולכן צריך להיעשות מיפוי אפליקציות שהערך הכי חשוב הוא אופן החיבור וצורת הזדהות (Authentication Type)

Product Name Supplier WebSite Priority Number of Users Authentication Type
Office365 www.microsoft.com     WSFED

יישום זהויות

יישום האפשרויות במאמר הם לפי הסדר הבא:

הגדרת AD Connect

בכדי להריץ AAD Connect  אנו צריכים להכין מספר דרישות אשר משתנה בהתאם לטופולוגיה שאנו בוחרים.

דרישות ליישום Express

שלבים בהתקנה

בשלב זה יותקנו כל הרכיבים הדרושים שאנו צריכים, כגון:

.NET Framework
Azure Active Directory PowerShell Module
Microsoft Online Services Sign-In Assistant
SQL Express
SQL Native Client

לאחר סיום התקנת הרכיבים נקליד את שם המשתמש והסיסמא של שירות הענן עם משתמש בעל הרשאות Global Admin

לאחר שיתבצע האימות של המשתמש נוכל לבחור את הטופולוגיה הרצויה, בדוגמא זאת נבחר את היישום הפשוט של Express

במהלך זיהוי המשתמש נקליד את פרטי המשתמש בסביבת Active Directory מקומי

לאחר האימות נוכל לבצע את ההתקנה של היישום שנבחר

בסיום נקבל את המסך הבא שההתקנה בוצעה בהצלחה.

הערות

התאמת ערכים – אנו מחויבים להתאים ערכים בין סביבת Active Directory מקומית לבין סביבת הענן ולכן אנו צריכים להגדיר ערך מוביל כגון: UPN או Email. מכיוון שהערך של Email הוא נפוץ מדויק ברוב המקרים מומלץ לעבוד לפיו ולבצע האמה מול הענן. (חוסך המון זמן של התאמות וביצוע Soft Match או Hard match).

הגדרת Azure AD Seamless SSO

רכיב Seamless SSO מאפשר למשתמשים לבצע הזדהות ללא סיסמאות אל Office 365 מתוך הסביבה המקומית. בכדי לאפשר Azure AD Seamless SSO אנו צריכים להפעיל מספר הגדרות בסביבה המקומית וכן בסביבת הענן לפי ההגדרות הבאות:

הפעלת Seamless SSO מתוך AD Connect

נוודא שנוצר אובייקט אשר נקרא AzureADSSOACC בתשתית Active Directory מקומי

בפורטל Azure נוודא מתוך Azure AD שהערך של Seamless SSO נמצא במצב מופעל ותקין

לאחר שבוצעו הגדרות ראשוניות נוכל להמשיך אל יתר ההגדרות.

הפעלת Modern Authentication מול Exchange Online

מתוך ממשק PowerShell נבצע את הפעולות הבאות של התחברות לשירות Exchange Online ולאחר מכן הגדרת OAuth:

$cred = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic –AllowRedirection
Import-PSSession $Session

לאחר מכן נגדיר

Set-OrganizationConfig -OAuth2ClientProfileEnabled $true -Verbose

מול שירות SfB Online נבצע את אותה פעולה

Import-Module SkypeOnlineConnector
$credential = Get-Credential
$session = New-CsOnlineSession -Credential $credential
Import-PSSession $session

ונגדיר OAuth באמצעות הפקודה הבאה

Set-CsOAuthConfiguration -ClientAdalAuthOverride Allowed

בטננטים חדשים החל מאפריל 2017 אין צורך לבצע הגדרות OAuth בגלל שהם מוגדרות באופן דיפולטי.

הגדרת URLs מול Intranet

לסיום נבצע הגדרה של כתובות מסוימות השייכות לענן מול הגדרות Intranet באופן הבא ותחילה הגדרת כתובות:

https://autologon.microsoftazuread-sso.com
https://aadg.windows.net.nsatc.net

בנוסף לכך נגדיר Allow Update to status bar via script.

הערות

הגדרת הזדהות חזקה MFA

מגיעים לחלק המרכזי שבו אנו מפעילים הזדהות חזקה למשתמשי קצה מבוססת MFA, מכיוון שאין כאן פדרציה אנו יכולים להפעיל MFA בצורה הדרגתית מול משתמשי הקצה.

הפעלה והגדרת MFA

להפעלת MFA ישנם שתי שיטות, הישנה באמצעות Office 365 אשר חל על כל המשתמשים ללא תנאים כלומר בכל גישה משתמש צריך לבצע אימות באמצעות MFA. וישנה השיטה המועדפת והיא באמצעות Azure AD Premium וזהו מצב שבו ניתן לקבוע לפי תנאים מתי יבוצע MFA על משתמשי הקצה.

הגדרת אופי הזדהות

בשלב ראשון נבצע הגדרות כליות של MFA לפי הדגשים הבאים:

ניגש אל פורטל הניהול של https://account.activedirectory.windowsazure.com

מומלץ לבטל App Password מכיוון שהוא מכיל סיסמה המיועדת לאפליקציה ספציפית ולרוב סיסמה זאת נשמרת בקוץ מקומי, נשלחת במייל וכן הלאה.

לאחר מכן נגדיר Verification Method וכאן זה תלוי בארגון ובמכשירים הקיימים, במידה והמכשירים החכמים חדשים יחסית מומלץ לעבוד עם האפליקציה של מיקרוסופט לביצוע אוטנטיקציה ולהוריד את האפשרות של זיהוי נוסף באמצעות Text.

בנוסף לכך יש להגדיר מספר ימים לשמירת התקן קצה שממנו מבצעים הזדהות, ברוב המקרים מוגדר מספר ימים בודדים.

באופן אישי אני מעדיף שיוגדר יום אחד בלבד.

בסיום נבצע שמירה של הגדרות אלה ונמשיך לממשק הבא.

הגדרת MFA למשתמשים

מכיוון שהגדרת MFA למשתמשי קצה אינה יכולה להיעשות בידי אדמין כי משתמש קצה צריך לבצע רישום ידני וחד פעמי אנו צריכים להכין להם את אפשרויות הרישום אשר כוללות:

הערות

הגדרת תנאי לדרישת MFA באמצעות Azure AD Conditional Access

הרכיב של Azure AD Conditional Access מסייע רבות באכיפת תנאים וחוקים בגישה מול כל משאב בארגון (במידה וחובר אל Azure AD) וחשוב מכך מאפשר אינטגרציה עם תשתיות אבטחה נוספות של EMS.

בכדי להגדיר תנאי בסיסי של דרישת MFA למשתמשי קצה יש לפעול לפי הפעולות הבאות:

בסיום נוודא שהתנאי נמצא במצב Enable ולאחר מכן נפעיל מול משתמשי הקצה.

הערות

Exit mobile version