מאמר זה הוא חלק מסדרת מאמרים בנושא ניהול זהויות והתקני קצה, ובו נתמקד בניהול הגדרות והקשחת גישה של התקני קצה בתשתית Azure AD.
חשוב להדגיש כי ישנן אפשרויות רבות לחיבור תחנות קצה בתצורת Azure AD Join החל מחיבור ידני ברמת משתמש ועד כלים מובנים שמבצעים אוטומציה.
בתהליך הכנת תשתית Azure AD לחיבור התקני קצה ולאחר שמבצעים את שלב ההגדרות הראשוניות בתשתית Azure AD ישנם שלבים נוספים, כגון הגדרת אינטגרציה מול Intune, ביצוע הגדרות מול Azure B2B, אינטגרציה עם Azure AD App Proxy ועוד רכיבים נוספים.
ניהול התקני קצה (הגדרות נוספות)
מכיוון שישנם מספר אפשרויות לחיבור התקני קצה וכן מספר אפשרויות לניהול התקני קצה, אנו מחויבים לנהל את תחנות הקצה באופן כזה שלא יאפשר לגורם שאינו מורשה לרשום התקני קצה וכן להתחבר אל תשתית Azure AD באופן כלשהו וגם משתמשי קצה אשר מורשים להתחבר יוגדרו לפי מדיניות מוגדרת מראש.
הגדרות אלה יכולות להיות חלק מהכנת תשתית Azure AD ויכולות להתבצע גם לאחר חיבור התקני קצה (רק באופן זהיר יותר).
מכיוון שכל גישה למשאב ענן מסוים רושמת את התקן הקצה בתשתית Azure AD באופן כלשהו לפי האפשרויות הבאות, אנו עלולים לראות בממשק לא מעט התקני קצה כאשר רובם אינן רלוונטיים לסביבה שלנו.
:אפשרויות הרישום של התקני קצה הן
• Azure AD Registered – לרוב מתאים לתרחיש של Bring Your Own Device שבו המשתמש עובד עם מכשיר שהביא מהבית ואותו משתמש צריך גישה למשאב ארגוני כדוגמת Exchange Online. , הפוליסי שניתן להחיל על המשתמש אינו עשיר במיוחד וכלל בין היתר זיהוי ברמת מכשיר לפי Passcode, Pin והגדרת תנאי מבוסס Azure AD Conditional Access.
* במידה וישנה אינטגרציה עם Intune כללי המשחק משתנים ואפשר להחיל אפשרויות נוספות מתוך Intune.
• Azure AD Join – מתאים תרחיש של Bring\Choose Your Own Device. בתרחיש כזה משתמש יחבר התקן קצה אישי או של הארגון לפי תנאים מוגדרים מראש ורק לאחר מכן יהיה ראשי לגשת למשאבי הארגון ולרוב מדובר על גישה למשאבי רבים בארגון בין אם מדובר על משאבי ענן או משאב מקומי. הפוליסי שניתן להחיל הוא עשיר וכולל אפשרויות כדוגמת Bitlocker, ESR, Phone Sign-In.
* במידה וישנה אינטגרציה עם Intune הניהול יכול להתבצע לפי Device Configuration ולפי Device Compliance וכן תנאים מבוססים Azure AD Conditional Access.
* הרישום יכול להיעשות לפי הכנת חבילה מוגדרת Bulk Deployment או Autopilot.
• Hybrid Azure AD joined – תרחיש נוסף של Received\Choose Your Own Device. בתרחיש כזה משתמש מקבל מהארגון Windows 10 עם כלל ההגדרות של חיבור לתשתית Active Directory מקומי, תשתית Azure AD, מנוהל ע"י Intune.
כלומר גם אם המכשיר החכם מתחבר אל הדואר הארגוני גם אז ישנו רישום של התקן הקצה בתשתית Azure AD. (נרשם לפי Registered).
ברירת המחדל של Azure AD מאפשרת לכל משתמש לחבר את התקני הקצה ללא מפריע וללא הגבלה כלשהיא, ולכן ההמלצה היא עדיין לאפשר לכל משתמש לחבר את התקני הקצה ולעשות רישום מסוים לפי מדיניות ארגונית מוגדרת מראש, למשל מגבלת התקני קצה או אכיפת תנאים מבוססים Azure AD Conditional Access וכן הלאה.
הגדרת Azure AD Devices
בכדי לאפשר למשתמשים לחבר התקני קצה ולבצע רישום אך יחד עם זאת לאכוף מדיניות להקשחת הגישה יש לפעול לפי ההמלצות הבאות:
• מחיקת אובייקטים – הפעולה הראשונה היא מחיקת אובייקטים שאינם בשימוש ע"י הפקודות השונות של Remove-AzureADDevice או לחלופין Remove-MsolDevice.
במצבים בהם ישנם אלפי אובייקטים מסוג התקני קצה אז בשלב ראשון נוציא את כלל האובייקטים לדוח ורק לאחר מכן ניקח את האובייקטים שהם מעל למסגרת זמן מסוים ונסיר אותם מתוך תשתית Azure AD. הפעולות אשר מריצים אותם הם פעולות ברמת תשתית Azure AD ולא מחיקת אובייקטים מתוך תשתית Intune, במידה וישנה אינטגרציה מלאה בין Azure AD לבין Intune המצב הוא מעט שונה ולכן הסקריפט לא נדרש באותו אופן אך עדיין יכול לסייע.
ניתן להיעזר בסקריפט מתוך הקישור הבא RemoveDevicesAzureAD (מותאם למחיקת אובייקטים מול Intune במידה ויש)
• הגדרת Device – בהגדרת Azure AD Device נוודא שכלל ההגדרות נעשות לפי באופן הבא:
• רישום התקני קצה – ברירת המחדל מאפשרת לכלל המשתמשים לחבר התקני קצה אל תשתית Azure AD ולכן יש להגדיר קבוצה מסוימת בלבד אשר יכולה לחבר התקני קצה, בהגדרה זאת ניתן להגדיר קבוצות שונות של משתמשי קצה בין אם מוגדרת בענן או מסונכרנת מתוך AD מקומי.
• הוספת אדמין מקומי – בהגדרת Additional local admin מומלץ ורצוי לשים אדמינים שיתווספו באופן אוטומטי לאחר רישום של התקני קצה.
:הערות
• ניתן תמיד להוסיף אדמינים אחרים ולא אדמין שאיתו בוצעLOG-IN באותו רגע
• ניתן להוסיף רק אובייקטים מסוג אדמינים (משתמשים) ולא אובייקט מסוג קבוצה (יהיה זמין בקרוב)
• חל רק על התקני קצה מסוג Azure AD Join בלבד
• הגבלת מכשירים – כל משתמש קצה יכול לחבר כמות מסוימת של התקני קצה ומומלץ להגביל את הכמות בהתאם למדיניות הארגונית, ארגונים רבים שמים בהגדרה זאת בין 5 התקני קצה או 10 התקני קצה.
• הזדהות נוספת – מכיוון שהזדהות של פרטי משתמש וסיסמה בלבד היא כבר לא רלוונטית כבר יש להגדיר לכל רישום התקן קצה הזדהות נוספת מבוססת MFA.
• Enterprise State Roaming – האפשרויות השונות של ESR מעניינות כי הן מאפשרות למשתמש קצה לסנכרן מידע מסוג אפליקציות והגדרות באופן אוטומטי מול שירותי הענן השונים וע"י כך מאפשר לארגון לבצע הפרדה בין מידע ארגוני לבין מידע פרטי ולבצע ניהול של אפליקציות ושירותי ענן שונים מול התקן הקצה.
גם באפשרות זאת מומלץ מאד להגדיר קבוצת משתמשים ספציפית אשר יכולה לבצע סנכרון של אפליקציות והגדרות
כאשר עובדים עם התקני קצה מול תשתית Azure AD מומלץ להקשיח את הגישה של התקני הקצה לפי כל אותן הגדרות שניתנות לביצוע בממשק במטרה להגביל את הגישה. יחד עם זאת, מומלץ מאוד לתת למשתמשי הקצה את הגישה החופשית והרישום אל שירותי הענן ולא להחמיר.
מה הסיבה להגביל ולהקשיח את הגישה ברמת Devices? בניהול ואבטחת מידע ישנם מצבים רבים בהם אנו מחויבים לנהל את התקני הקצה באופן שיאפשר לנו לדעת מי מתחבר ועם איזה התקן קצה, וחשוב מכך להקטין את שטח המתקפה.
הגדרה והקשחת התקני קצה היא חלק מזערי בכלל ההגדרות הקיימות בתשתית Azure AD וישנן הקשחות נוספות, למשל ברמת משתמשי קצה שבהם נתמקד במאמר הבא.
MVP Security ,מאת: אלי שלמה
מאמר זה הוא חלק מסדרת מאמרים בנושא ניהול זהויות והתקני קצה, ובו נתמקד בניהול הגדרות והקשחת גישה של התקני קצה בתשתית Azure AD.
חשוב להדגיש כי ישנן אפשרויות רבות לחיבור תחנות קצה בתצורת Azure AD Join החל מחיבור ידני ברמת משתמש ועד כלים מובנים שמבצעים אוטומציה.
בתהליך הכנת תשתית Azure AD לחיבור התקני קצה ולאחר שמבצעים את שלב ההגדרות הראשוניות בתשתית Azure AD ישנם שלבים נוספים, כגון הגדרת אינטגרציה מול Intune, ביצוע הגדרות מול Azure B2B, אינטגרציה עם Azure AD App Proxy ועוד רכיבים נוספים.
ניהול התקני קצה (הגדרות נוספות)
מכיוון שישנם מספר אפשרויות לחיבור התקני קצה וכן מספר אפשרויות לניהול התקני קצה, אנו מחויבים לנהל את תחנות הקצה באופן כזה שלא יאפשר לגורם שאינו מורשה לרשום התקני קצה וכן להתחבר אל תשתית Azure AD באופן כלשהו וגם משתמשי קצה אשר מורשים להתחבר יוגדרו לפי מדיניות מוגדרת מראש.
הגדרות אלה יכולות להיות חלק מהכנת תשתית Azure AD ויכולות להתבצע גם לאחר חיבור התקני קצה (רק באופן זהיר יותר).
מכיוון שכל גישה למשאב ענן מסוים רושמת את התקן הקצה בתשתית Azure AD באופן כלשהו לפי האפשרויות הבאות, אנו עלולים לראות בממשק לא מעט התקני קצה כאשר רובם אינן רלוונטיים לסביבה שלנו.
:אפשרויות הרישום של התקני קצה הן
• Azure AD Registered – לרוב מתאים לתרחיש של Bring Your Own Device שבו המשתמש עובד עם מכשיר שהביא מהבית ואותו משתמש צריך גישה למשאב ארגוני כדוגמת Exchange Online. , הפוליסי שניתן להחיל על המשתמש אינו עשיר במיוחד וכלל בין היתר זיהוי ברמת מכשיר לפי Passcode, Pin והגדרת תנאי מבוסס Azure AD Conditional Access.
* במידה וישנה אינטגרציה עם Intune כללי המשחק משתנים ואפשר להחיל אפשרויות נוספות מתוך Intune.
• Azure AD Join – מתאים תרחיש של Bring\Choose Your Own Device. בתרחיש כזה משתמש יחבר התקן קצה אישי או של הארגון לפי תנאים מוגדרים מראש ורק לאחר מכן יהיה ראשי לגשת למשאבי הארגון ולרוב מדובר על גישה למשאבי רבים בארגון בין אם מדובר על משאבי ענן או משאב מקומי. הפוליסי שניתן להחיל הוא עשיר וכולל אפשרויות כדוגמת Bitlocker, ESR, Phone Sign-In.
* במידה וישנה אינטגרציה עם Intune הניהול יכול להתבצע לפי Device Configuration ולפי Device Compliance וכן תנאים מבוססים Azure AD Conditional Access.
* הרישום יכול להיעשות לפי הכנת חבילה מוגדרת Bulk Deployment או Autopilot.
• Hybrid Azure AD joined – תרחיש נוסף של Received\Choose Your Own Device. בתרחיש כזה משתמש מקבל מהארגון Windows 10 עם כלל ההגדרות של חיבור לתשתית Active Directory מקומי, תשתית Azure AD, מנוהל ע"י Intune.
כלומר גם אם המכשיר החכם מתחבר אל הדואר הארגוני גם אז ישנו רישום של התקן הקצה בתשתית Azure AD. (נרשם לפי Registered).
ברירת המחדל של Azure AD מאפשרת לכל משתמש לחבר את התקני הקצה ללא מפריע וללא הגבלה כלשהיא, ולכן ההמלצה היא עדיין לאפשר לכל משתמש לחבר את התקני הקצה ולעשות רישום מסוים לפי מדיניות ארגונית מוגדרת מראש, למשל מגבלת התקני קצה או אכיפת תנאים מבוססים Azure AD Conditional Access וכן הלאה.
הגדרת Azure AD Devices
בכדי לאפשר למשתמשים לחבר התקני קצה ולבצע רישום אך יחד עם זאת לאכוף מדיניות להקשחת הגישה יש לפעול לפי ההמלצות הבאות:
• מחיקת אובייקטים – הפעולה הראשונה היא מחיקת אובייקטים שאינם בשימוש ע"י הפקודות השונות של Remove-AzureADDevice או לחלופין Remove-MsolDevice.
במצבים בהם ישנם אלפי אובייקטים מסוג התקני קצה אז בשלב ראשון נוציא את כלל האובייקטים לדוח ורק לאחר מכן ניקח את האובייקטים שהם מעל למסגרת זמן מסוים ונסיר אותם מתוך תשתית Azure AD. הפעולות אשר מריצים אותם הם פעולות ברמת תשתית Azure AD ולא מחיקת אובייקטים מתוך תשתית Intune, במידה וישנה אינטגרציה מלאה בין Azure AD לבין Intune המצב הוא מעט שונה ולכן הסקריפט לא נדרש באותו אופן אך עדיין יכול לסייע.
ניתן להיעזר בסקריפט מתוך הקישור הבא RemoveDevicesAzureAD (מותאם למחיקת אובייקטים מול Intune במידה ויש)
• הגדרת Device – בהגדרת Azure AD Device נוודא שכלל ההגדרות נעשות לפי באופן הבא:
• רישום התקני קצה – ברירת המחדל מאפשרת לכלל המשתמשים לחבר התקני קצה אל תשתית Azure AD ולכן יש להגדיר קבוצה מסוימת בלבד אשר יכולה לחבר התקני קצה, בהגדרה זאת ניתן להגדיר קבוצות שונות של משתמשי קצה בין אם מוגדרת בענן או מסונכרנת מתוך AD מקומי.
• הוספת אדמין מקומי – בהגדרת Additional local admin מומלץ ורצוי לשים אדמינים שיתווספו באופן אוטומטי לאחר רישום של התקני קצה.
:הערות
• ניתן תמיד להוסיף אדמינים אחרים ולא אדמין שאיתו בוצעLOG-IN באותו רגע
• ניתן להוסיף רק אובייקטים מסוג אדמינים (משתמשים) ולא אובייקט מסוג קבוצה (יהיה זמין בקרוב)
• חל רק על התקני קצה מסוג Azure AD Join בלבד
• הגבלת מכשירים – כל משתמש קצה יכול לחבר כמות מסוימת של התקני קצה ומומלץ להגביל את הכמות בהתאם למדיניות הארגונית, ארגונים רבים שמים בהגדרה זאת בין 5 התקני קצה או 10 התקני קצה.
• הזדהות נוספת – מכיוון שהזדהות של פרטי משתמש וסיסמה בלבד היא כבר לא רלוונטית כבר יש להגדיר לכל רישום התקן קצה הזדהות נוספת מבוססת MFA.
• Enterprise State Roaming – האפשרויות השונות של ESR מעניינות כי הן מאפשרות למשתמש קצה לסנכרן מידע מסוג אפליקציות והגדרות באופן אוטומטי מול שירותי הענן השונים וע"י כך מאפשר לארגון לבצע הפרדה בין מידע ארגוני לבין מידע פרטי ולבצע ניהול של אפליקציות ושירותי ענן שונים מול התקן הקצה.
גם באפשרות זאת מומלץ מאד להגדיר קבוצת משתמשים ספציפית אשר יכולה לבצע סנכרון של אפליקציות והגדרות
כאשר עובדים עם התקני קצה מול תשתית Azure AD מומלץ להקשיח את הגישה של התקני הקצה לפי כל אותן הגדרות שניתנות לביצוע בממשק במטרה להגביל את הגישה. יחד עם זאת, מומלץ מאוד לתת למשתמשי הקצה את הגישה החופשית והרישום אל שירותי הענן ולא להחמיר.
מה הסיבה להגביל ולהקשיח את הגישה ברמת Devices? בניהול ואבטחת מידע ישנם מצבים רבים בהם אנו מחויבים לנהל את התקני הקצה באופן שיאפשר לנו לדעת מי מתחבר ועם איזה התקן קצה, וחשוב מכך להקטין את שטח המתקפה.
הגדרה והקשחת התקני קצה היא חלק מזערי בכלל ההגדרות הקיימות בתשתית Azure AD וישנן הקשחות נוספות, למשל ברמת משתמשי קצה שבהם נתמקד במאמר הבא.
MVP Security ,מאת: אלי שלמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
