【資安防護線 10】Condition Access with Protection

大家好我是微軟的TSP Jaron Lin好今天來為各位介紹Azure AD上面的條件式存取也就是Condition
Access的防護機制那後面會帶一個簡單的畫面操作讓大家知道在Azure AD上要怎麼來做相關的設定以及它大概會發生什麼樣的效果那我們前面在講述整個原理的時候會帶一些客戶應用的案例讓大家知道Condition Access實際上可以為企業帶來什麼好處在開始之前不免俗的先帶一下Azure AD對於微軟來講的話基本上會把Azure
AD當做是我們在雲端上面一個身份認證的主要機制所以說在這上面不管是使用者、不管是設備和應用程式或者甚至你在這上面各式各樣的服務除了微軟自己的雲端服務以外當然也包含其他一些雲端服務都是可以來跟Azure AD來做帳號身分的驗證那也是因為微軟在地端AD的部分滿多企業都有在做應用所以在地端AD的部分也可以透過hybrid的方式可以把相關的帳號甚至密碼的部分把它同步上來減少IT在導入這些相關雲端服務的時候還要去傷腦筋說這些使用者的帳號是不是需要在各個不同的雲端服務上還要一一的去做建立整個目的是希望企業客戶可以經由這樣的一個架構可以更輕鬆的去使用這些雲端服務那我們可以看一下其實我們可以看到在整個雲端服務上面這個Identity也就是使用者帳號密碼的部分其實是非常非常重要的一環不管是你要去綁定使用者他實際上到底可以存取哪些雲端服務或者說他可能有自己的使用設備甚至說他可能有一些地端的一些身份等等這些其實你會發現說它整個都會把它maping在一起這代表什麼意思?就是今天如果我們要做一個雲端世界雲端服務上面的一個存取控制的話當然很重要的一件事情就是我必須要去識別你這個使用者到底是哪一個人既然我有辦法透過帳號密碼或是其他的多因子驗證的方式可以知道說你是哪一個人的前提下那當然我會去做其他的一些東西的綁定比如說你慣用的這些設備或者說你慣用的這些應用程式甚至你常來存取的IP位置等等這些東西其實我可以透過這些不同資訊的收集我可以去產生出來更多的登入相關的資訊讓我們去做進一步的應用所以我們就可以來看到說因為我們就是透過Azure AD來做統一的控制所以我們會在Azure
AD上build其他更多的控制機制那Azure AD其實我們現在已經在跟客戶在談真正的使用案例所以我們先來看一下Azure AD上面這個所謂的條件式存取它的運作的原理大概是怎麼樣的第一個我們之所以把它稱作是條件式存取的一個重要的原因當然也是說我可以依據很多不同的條件那我可以依照這些資訊去做一些相關的判斷那所謂的條件就是包含使用者的設備、包含他的來源位置以及他所使用的應用程式等等這些好那我們可以更細的去講比如我們講使用者的話我們可以去判斷這個使用者他是屬於一般的使用者或者甚至我可以從組織圖上面知道他所屬的群組如果今天企業的群組要跟公司部門做個maping的話我們從這樣的資訊可以更清楚知道這個使用者所屬的部門那等等這些資訊那甚至我可以從Azure AD上把這些屬性值都寫進去比如說使用者相關的這些資料比如說他的性別或者他的居住地等等這些東西假設是在個資許可的範圍之內的話其實這些資料都可以放到Azure
AD上來做一個參照這是第一點第二點是針對設備的部分我們可以去偵測比如說一台Windows的電腦是不是屬於有join到公司或者join到Azure AD的一台電腦如果說你沒有join到這個網域的話你這個設備可能就不在納管的範圍之內那沒有納管的這些設備我可能就可以去做一些存儲的一些線索那另外針對位置的部分的話這個也是現在滿多客戶會拿着這樣的一個條件來做運用比如說我們講的更直白一點就是說客戶他經由這個IP位置可以去判定說現在使用者他是屬於在公司的內網在存取相關的服務還是說今天這個使用者他已經到了公司的外網也就是在外部的網絡在做連線那當然我們都知道說公司內網的環境跟網絡的環境當然實際上它的一個安全性對企業主來說是有差別的那甚至說有些所謂的雲端服務上面會放一些比較敏感的資料包含客戶資料、包含員工自己本身的資料等等這些那這時候對於網絡連線的話就有一些疑慮所以位置的部分其實是很多客戶現在會拿來做參照的條件之一好那最後一個是屬於應用程式因為大家都知道應用程式是不是有經過適當的控管其實滿重要比如說今天使用者用一個非公司控管的郵件程式來收發Email那這時候是不是會經由這樣的途徑產生一個對內網的攻擊行為這個其實會有些疑慮的所以說這個應用程式也可以是整個條件的其中一環那經由這些條件的組合我們可以經由一個比較智能的機制去做判斷那這個機制的判斷其實它背後是有各式各樣的資料也就是在Microsoft Graph上面的一個判斷資料它可以去trigger相關的這些存取行為那這上面當然對於IT來講的話也可以手動去設定一些policy去表列我們的存取規則好那這些結果的話都會去作為一個風險評分如果說今天這個使用者的連線是屬於高風險性的一個連線行為這時候或許我們就可以經由一些控制的一個行為可以控制這個使用者的存取比如說這個使用者他是在外網環境的話我們剛有提到說或許可以去限制他只能去存取一些外部我們允許他存取的類似像Office 365的一些應用程式可能讓使用者可以去做使用但如果說對於一些企業比較敏感的資料比如說ERP的資料或者HR的資料或許我們就可以做一個限制不讓員工在外部的環境做存取或者我們對這樣的一個存取行為有疑慮的話我們也可以去要求再多做一次多因子驗證以確保這的確是你本人在做存取的動作而不是一個駭客的攻擊行為等等我們有這些控制行為可以來做那它的標的可以是地端的一個應用系統當然也可以是網站的一個應用程式那這個是它整個運作的原理那待會可以帶大家來看一下Azure
AD上的一個設定畫面大家對整個條件式存取的做法可能會更有感覺這是Azure AD的一個portal那我們從Azure AD portal上可以去點選到Azure
AD因為我們現在討論的條件式存取它是屬於Azure AD上的一個可以設定的功能所以我們點到Azure AD這邊來那Azure AD我相信說大家有在用微軟的雲端服務的話其實大家應該都對這個介面滿熟悉你可以從這邊去管理你的使用者OK那你也可以從這邊去管理Azure
AD上面的群組等等這些各式各樣的管理可以從這邊來進行那這樣的一個選單你往下面拉一點你可以從Security這個區段裏面看到有一個Conditional access然後你到這邊來點進來之後這邊預設它會帶出Policies的畫面對管理人員來講的話可以從這邊去做一個policy的新增那我這邊就做新增讓大家來看一下說它的設定方面是怎麼樣好那我們點開了新的policy之後它會在左手邊出來幾個區塊那我們帶大家快速來瀏覽一下第一個我剛有提到說可以依照不同的使用者和不同的群組去做相關的條件設定或者說今天有一些比較細微的部分我們可以從這邊來做那對於使用者要存取不同服務的話其實我們也可以去做指定比如我們可以從這邊去設定說假設使用者要存取Exchange Online的話那他大概是什麼樣的一個情況我們可以去做控制那當你新增另外一個policy是說假設這個使用者他今天要存取的是One DriveOK那我們可以設定另外一條規則給他所以我們帶大家來看一下這樣一整個動作比如說我們從使用者這邊來看的話可以看說我們現在這樣的一個rule、一個policy到底是要指定給全部的使用者還是說我們今天要選擇性的針對某些使用者來做設定OK那比如說我們點按所有使用者跟群組的話從這邊的話可以再去做一個點選的動作OK從這個地方的話你可以去這邊有一個box可以做人名的搜尋那這邊搜尋篩選出來的時候它會直接把你所輸入的條件把它做過濾之後顯示出來給你看那你可以這邊做選擇的動作那剛這個畫面如果說你已經選擇是群組的話當然也可以用這種方式去達成好那我們可以看到說這個時候就把這個使用者點選進來那這邊可能再提醒大家注意一下在設定的時候可能要特別注意到的是管理者就是Azure
AD自己本身的管理者帳號盡量避免設定policy起來之後可能因為設定的太過嚴謹了連管理者的帳號密碼在做輸入的時候導致自己被鎖在門外了那這樣就不太好這時候可能就要call微軟support從後端幫你做解除的動作OK那這是提醒的部分那可以看到這個使用者我們已經把他選進來那接下來我們要針對那個實際上要存取的標的來做一個設定那這邊的話我們可以去選擇針對全部的cloud apps各式各樣透過Azure AD來做身分驗證的這些雲端服務是不是全部都要受這個policy的控管還是說我可以去選擇特定的一個雲端服務才做納管那我們可以看到如果是選擇你所標定的這些應用程式的話你可以從這一個選單裏面去做選擇比如從右手邊這個選單我們可以看到說假設我們要針對.這邊選擇Office
365 Yammer這樣的雲端服務我們做一個選擇OK選到了之後基本上這樣應用程式的一個標的就選進來了接下來的話是針對其他條件的部分我們再來做一次設定OK比如說我們可以針對設備的部分去設定我們是不是要做相關的一個約束比如說我們可以限制它是可以用手機也就是從Android或iOS的手機上面來做存取那從Windows或是macOS上面來做存取那如果都允許的話基本上這邊都可以把它打通起來那另外在location的部分這邊你可以去選擇是不是要做一個設定如果要的話你這邊就是把它選成要進行設定接下來可以存取的這些IP你可以把它設在受信任的location裏面然後這邊選擇受信任的location之後那接下來就只有這個IP裏面的使用者才能夠來做存取的動作另外還有一些比較細微的控制比如說我們可以針對應用程式做一些指定但這裏面的話有些功能還在preview還在跟各個應用程式做一些相容性的測試所以這一部分可以先做參考可以做一些應用測試好那如果說我們今天設定的就是剛剛這兩個條件我們可以看到這個條件你把它設進來然後最後就是說滿足以上這些條件的一個存取我們到底是要給它一個存取權還是說要直接把它block掉你是可以把它做個設定那在做存取權就是說我們允許存取的一個前提下我們還可以多加一些條件就是說好我允許你可以來做存取但是我限定有一些條件比如說使用者一定要再經過多因子驗證我才能夠讓你做存取那或者是否是要求你這個設備本身一定是要合規的狀態比如說你這個電腦本身是沒有中毒的疑慮或是說你這個手機本身是沒有被JB或是root過的這些狀態其實都可以經由合規裝置那邊的設定去做一個標示那另外就是說如果有啓用行動裝置的MMS的話甚至我們可以去設定說你今天來存取的這個APP是不是屬於企業控管如果沒有的話我就不讓你存取OK這是我們有很多不同的條件可以來做設定那底下這邊還有兩個選項讓我們來做選擇這邊指的意思是說我們以上設定的這些控制項全部都要滿足還是說我們只要滿足其中一樣就可以了這個是在設定部分的一些小技巧那我們把它選擇進來之後那我們可以再去看其他一些比較細微的設定我們可以選擇去做設定那如果說設定都OK的話最後一個動作就是把policy啟用那這樣一個policy.不好意思名稱的部份我們給它一個test1那這樣設定好了policy就可以把它建立出來建立出來之後我們看到policy就出現在選單上面是啟用的狀態那這時候對使用者來講就可以嘗試去try設定起來的條件是不是可以做到我們所設定的一個結果這大概是Azure AD上面條件式存取設定方式的demo讓大家參考一下,謝謝