STIL BETINGELSER! Med Conditional Access
Kort intro Søren Egtved Lassen Konsulent
Agenda Conditional Access med ADFS Conditional Access i Cloud Azure Rights Management
Enheder BYOD, CYOD, COD etc. Mange typer enheder Hjemme, firma, hoteller etc. Kontrol over enheder? Alle tidspunkter
Conditional Access betinget adgang til systemer Styring af Hvem? Hvad? Hvorfra? Hvilken enhed? Tilsikring af Rette identitet Rette applikation Rette indhold Kontrol og logning
Identiteter og roller Identiteter hjemme Identiteter i skyen HR In house applikationer Windows Server infrastruktur Active Directory Azure Active Directory Egne applikationer SaaS apps
Hvor skal betingelser stilles? Identity Provider Identitets autentificering og datakilde f.eks. Active Directory/ADFS Generisk Vs. Ressource Applikation eller service f.eks. In house applikation eller Cloud service Specifik
Conditional Access baseret på ADFS Mulighed for at betinge adgang til applikationer igennem ADFS Claims Aware applikationer Andre applikationer (WAP R Proxy eller AAD Proxy) Transparent for applikationer Token Issuance betinget udstedelse af adgangsbilletter
ADFS Conditional Access princip 1. Bruger tilgår ressource 2. Ressource beder bruger om autentifikation 6. Bruger tilgår ressource m. token 5b. Bruger omstilles til ressource m. token 4. 4. Ressource autentifikator omstiller til egen ADFS og validering foretages On Premise 5a. Hvis betingelser ikke er opfyldt token udstedes ikke = logon fejler Ressource, f.eks. Office 365
Eksempler på elementer i betingelser Hvem Navn(e) Grupper Email Hvad Hvilken applikation? Aktiv eller passiv profil? UserAgent streng Hvilken enhed? Hvorfra Intern netværk eller udefra? IP adresse match Hvordan Multifaktor autentificeret? Igennem proxy? Certifikat eller bruger?
Hvad kan vi bruge det til eksempler? Brugere skal kun have adgang til CRM systemet fra det interne netværk, bortset fra medlemmer af Salgsleder gruppen som skal have ekstern adgang også. Adgang til ERP systemet skal kun være muligt eksternt hvis brugeren er medlem af ERP admins gruppen og der gennemføres multifaktor autentificering ved logon. Brugere skal kun have adgang til ERP systemet eksternt via web browser. Installérbar klient skal kun kunne anvendes på det interne netværk. Applikation skal kun tilgås eksternt via specifikke godkendte browsere, f.eks. Chrome og ikke Internet Explorer.
Conditional Access via ADFS
Kend din enhed ADFS kan få mere kendskab til din enhed via Device Registration Service/Workplace Join Udgaver: On Premise ADFS Device Registration Service Cloud Azure AD Join Giver muligheder for at stille betingelser til enhed, f.eks.: Er enheden registreret? Er du ejer? Detaljer om enheden, f.eks. type, OS, navn osv.
DRS Cloud eller On Premise? Der er pt. visse versionsmæssige begrænsninger i forhold til DRS AADConnect Sync Back WS 2012 R2 ADFS Device Registration Service Azure AD/Intune Workplace Join
Conditional Access i Microsoft Cloud AAD Vs. Identity Provider Generisk håndtering af applikationer som federerer med Azure AD Generisk Ressource Indbyggede muligheder for adgangsregler i bl.a. Exchange Specifik
Azure AD Conditional Access MFA & Location Based Sættes pr. applikation Integreret med Azure MFA Kan aktiveres for alle eller per gruppe Regler bestemmer om MFA skal aktiveres
Azure AD Conditional Access Device Based Sættes pr. applikation Kan aktiveres for alle eller per gruppe Dækker mobile platforme og Windows Man skal afgøre om enheden skal være domain joined og/eller styret og compliant med MDM (Intune)
Compliance via Intune
Conditional Access via Azure AD
Windows Server 2016 Masser af nye features i Windows 2016. bl.a. Support for Windows 10 Workplace Join i ADFS/DRS Synkronisering af Device Compliance fra Azure lokalt AD Support for ADFS Conditional Access baseret på Device Compliance ADFS/Web Application Proxy support for flere autentificeringsprotokoller mv. + meget mere
Azure Rights Management
Hvad er Azure RMS? Beskyttelse af data i transit og opbevaring Definition af hvem kan hvad Definition af hvor og hvornår Sporing og rapportering Integreret med Office (365), Exchange, SharePoint, PDF og generiske filer, herunder FCI. Template baseret RMS infrastruktur uden bøvl (RMS servere, PKI infrastruktur, trusts etc.)
Enheder, Cloud og On Premise
Azure Rights Management
Spørgsmål?
Take aways 1. Conditional Access for beskyttelse af systemer 2. Mange har allerede de fornødne teknologier (bl.a. ADFS) 3. Conditional Access er en afgørende element i Cloud sikkerhed 4. Azure RMS er effektiv data beskyttelse for Cloud og On Premise 5. EMS = Windows Intune + AAD Premium + Azure RMS
Kontaktinfo Søren Egtved Lassen Konsulent sla@edgemo.com www.edgemo.com
VENT ET ØJEBLIK! nu er der evaluering og lodtrækning