בשעה טובה הגיעה לענן אפשרות חסימה של Legacy Authentication באמצעות חוקים המבוססים על Azure AD Conditional Access!
מהיום שבו הושקה הפלטפורמה של Azure AD Conditional Access ועד היום תמיד ישנן השוואות שונות בין הפלטפורמה של ADFS לבין Azure AD Conditional Access. אחת ההשוואות היא חסימה של אפליקציות Legacy ישנות המבוססות על Basic Authentication.
במהלך הזמן, יצאו אפשרויות שונות לפלטפורמה של Azure AD Conditional Access שנתנו יכולות מגוונות, וארגונים רבים אשר הפעילו Modern Authentication נדרשו לבצע התאמה של התקני קצה ואפליקציות בהם עושים שימוש, החל מגרסאות Office 2013 (שעדיין הצריך ערך ברישום) עד אפליקציית דואר של Outlook for Mobile, וכל זאת על מנת להיות חלק מתצורת הזדהות חדשה. במצב זה, הארגון עדיין חשוף למשתמש שיכול להגדיר אפליקציה כלשהי כי Modern Authentication אינו מבטל תצורת הזדהות של Basic Authentication.
ישנם ארגונים אשר הגדירו בנוסף לתצורת הזדהות של Modern Authentication גם שכבת הגנה של MFA שסיפקה רובד נוסף ומענה גישה להתקני קמה ואפליקציות Legacy (במקרים בהם התנאים אינם מוגדרים כנדרש ניתן ואפשר לעקוף את המנגנון הנ”ל ללא בעיות).
בנוסף ליכולת החדשה של חסימת Basic Authentication יצאו מספר יכולות נוספות של Azure AD Conditional Access.
הערה: במקרים מסוימים ניתן להקשיח ולמנוע את הגישה לאפליקציות Legacy והתקני קצה ישנים אך באמצעות שילוב של מספר תנאים וחוקים והפעלת תצורות הזדהות המבוססות על Azure AD. (בקיצור משהו מסובך שכמעט ולא קרה)
הפעלת Azure AD Conditional Access
לבצע חסימה של Basic Authentication היא לא פעולה שמבצעים בסביבת ייצור ללא בדיקה נדרשת. מה הכוונה? כמו בכל יישום צריך לוודא האם ישנם התקני קצה ואפליקציות ישנות המתחברות לשירותי הענן השונים ורק לאחר מכן לבצע את השינוי. בכדי לחסום Basic Authentication צריך לבצע מספר פעולות פשוטות:
בדיקת התקני קצה
הוצאת דוח לגבי התקני קצה ואפליקציות ישנות מתוך פורטל Office 365 בממשק Reports ולאחר מכן Usage.
דוח לגבי סוגי אפליקציות
דוח לגבי גרסאות אפליקציה
דוח לגבי מכשירים
Get-MobileDevice -RestApi -ResultSize Unlimited | select UserDisplayName,@{n=”User”;e={$_.DistinguishedName.Split(“,”)[2..10] -join “,”}},DeviceType,FirstSyncTime,DeviceAccessState*,ClientType\
לאחר שבוצעה בדיקה לגבי התקנים ישנים בממשק הדוחות של Office 365 או ע”י ממשק PowerShell נוודא שאין התקנים מתוך הרשימה הבאה:
• גרסאות Office 2010
• גרסאות Office 2013 ללא ערך EnableADAL
• מכשירים חכמים עם אפליקציות מייל Native
• התקני MAC בגרסאות Office 2013 ומטה (כולל Office 2013)
• אפליקציות מבוססות IMAP, POP3 וגם SMTP
בסיום נבצע הכנה ברמת המשתמשים טרם ביצוע התנאי ברמת Azure AD Conditional Access.
הגדרת תנאי Azure AD Conditional Access
בכדי להגדיר תנאי אשר חוסם Basic Authentication בממשק Azure AD Conditional Access יש לבצע את הפעולות הבאות:
*הערה: כמו בכל תנאי מומלץ לבצע על תנאי שאינו שייך לסביבת הייצור.
בתנאי ניגש אל Conditions ונבחר באפשרות Client Apps
לאחר מכן נבחר באפשרויות הבאות:
לאחר מכן נוודא באפשרות Access Control שהאפשרויות הבאות מסומנות:
בסיום נבצע שמירה ולאחר מכן נמתין שכל אותן הגדרות יתעדכנו.
מאת: אלי שלמה, MVP Security
בשעה טובה הגיעה לענן אפשרות חסימה של Legacy Authentication באמצעות חוקים המבוססים על Azure AD Conditional Access!
מהיום שבו הושקה הפלטפורמה של Azure AD Conditional Access ועד היום תמיד ישנן השוואות שונות בין הפלטפורמה של ADFS לבין Azure AD Conditional Access. אחת ההשוואות היא חסימה של אפליקציות Legacy ישנות המבוססות על Basic Authentication.
במהלך הזמן, יצאו אפשרויות שונות לפלטפורמה של Azure AD Conditional Access שנתנו יכולות מגוונות, וארגונים רבים אשר הפעילו Modern Authentication נדרשו לבצע התאמה של התקני קצה ואפליקציות בהם עושים שימוש, החל מגרסאות Office 2013 (שעדיין הצריך ערך ברישום) עד אפליקציית דואר של Outlook for Mobile, וכל זאת על מנת להיות חלק מתצורת הזדהות חדשה. במצב זה, הארגון עדיין חשוף למשתמש שיכול להגדיר אפליקציה כלשהי כי Modern Authentication אינו מבטל תצורת הזדהות של Basic Authentication.
ישנם ארגונים אשר הגדירו בנוסף לתצורת הזדהות של Modern Authentication גם שכבת הגנה של MFA שסיפקה רובד נוסף ומענה גישה להתקני קמה ואפליקציות Legacy (במקרים בהם התנאים אינם מוגדרים כנדרש ניתן ואפשר לעקוף את המנגנון הנ”ל ללא בעיות).
בנוסף ליכולת החדשה של חסימת Basic Authentication יצאו מספר יכולות נוספות של Azure AD Conditional Access.
הערה: במקרים מסוימים ניתן להקשיח ולמנוע את הגישה לאפליקציות Legacy והתקני קצה ישנים אך באמצעות שילוב של מספר תנאים וחוקים והפעלת תצורות הזדהות המבוססות על Azure AD. (בקיצור משהו מסובך שכמעט ולא קרה)
הפעלת Azure AD Conditional Access
לבצע חסימה של Basic Authentication היא לא פעולה שמבצעים בסביבת ייצור ללא בדיקה נדרשת. מה הכוונה? כמו בכל יישום צריך לוודא האם ישנם התקני קצה ואפליקציות ישנות המתחברות לשירותי הענן השונים ורק לאחר מכן לבצע את השינוי. בכדי לחסום Basic Authentication צריך לבצע מספר פעולות פשוטות:
בדיקת התקני קצה
הוצאת דוח לגבי התקני קצה ואפליקציות ישנות מתוך פורטל Office 365 בממשק Reports ולאחר מכן Usage.
דוח לגבי סוגי אפליקציות
דוח לגבי גרסאות אפליקציה
דוח לגבי מכשירים
Get-MobileDevice -RestApi -ResultSize Unlimited | select UserDisplayName,@{n=”User”;e={$_.DistinguishedName.Split(“,”)[2..10] -join “,”}},DeviceType,FirstSyncTime,DeviceAccessState*,ClientType\
לאחר שבוצעה בדיקה לגבי התקנים ישנים בממשק הדוחות של Office 365 או ע”י ממשק PowerShell נוודא שאין התקנים מתוך הרשימה הבאה:
• גרסאות Office 2010
• גרסאות Office 2013 ללא ערך EnableADAL
• מכשירים חכמים עם אפליקציות מייל Native
• התקני MAC בגרסאות Office 2013 ומטה (כולל Office 2013)
• אפליקציות מבוססות IMAP, POP3 וגם SMTP
בסיום נבצע הכנה ברמת המשתמשים טרם ביצוע התנאי ברמת Azure AD Conditional Access.
הגדרת תנאי Azure AD Conditional Access
בכדי להגדיר תנאי אשר חוסם Basic Authentication בממשק Azure AD Conditional Access יש לבצע את הפעולות הבאות:
*הערה: כמו בכל תנאי מומלץ לבצע על תנאי שאינו שייך לסביבת הייצור.
בתנאי ניגש אל Conditions ונבחר באפשרות Client Apps
לאחר מכן נבחר באפשרויות הבאות:
לאחר מכן נוודא באפשרות Access Control שהאפשרויות הבאות מסומנות:
בסיום נבצע שמירה ולאחר מכן נמתין שכל אותן הגדרות יתעדכנו.
מאת: אלי שלמה, MVP Security
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
