Azure Active Directory Rakendused

Oma eelmises postituses sai lähemalt räägitud erinevatest Azure Active Directory ehk Azure AD identiteedi kontseptsioonidest. Selles postituses vaatame aga ühte väga huvitavat teenust mida Azure AD pakub. Azure AD kaudu on Teil võimalik kasutajatele välja jagada Software as a Service ehk SaaS rakendusi. See tähendab, et Te saate kasutajatele välja anda erinevaid pilvepõhiseid rakendusi nagu näiteks Twitter, Facebook, Salesforce jne. Lisaks eelnevale on ka võimalus välja anda asutuse siseseid rakendusi ilma igasuguse VPNi ja RDP ühenduseta. Kuna me elame identiteedi põhises maailmas, siis RDP ja VPNi vajadus jääb järjest väiksemaks.

Tänase seisuga on Azure AD rakenduste kataloogis ligi 3000 rakendust!

Läbi Azure AD erinevate rakenduste välja jagamine annab meile eelise, et kui uus töötaja tuleb meile tööle, seadistatakse kõik vajalikud rakendused koheselt ära. Juhul kui töötaja peaks lahkuma, siis automaatselt jääb see töötaja määratud õigustest ilma.

Kui Te annate ettevõtte sotsiaalmeedia või mõne muu teenuse kontosid välja ilma Azure AD´d kasutamata, siis iga töötaja lahkudes, kes omas nt Facebooki või Twitteri konto parooli, tuleb see koheselt ära vahetada. Kui neid erinevaid teenuseid on palju, siis võib tekkida küsimus, et kus ja mis kontosid tuleb täpselt lasta kinni panna või milles parool vahetada. Halduse võtmes on see äärmiselt mahukas.

PS! Kõige sellega käib kaasas ka väga hea telemeetria. Palju keegi rakendusi on kasutanud jne.

Suurtes asutustes hoiab taoline funktsionaalsus palju aega kokku ja teeb kogu identiteediga seotud elutsükli tunduvalt lihtsamaks.

Teiseks miks erinevaid rakendusi läbi Azure AD välja anda on see, et Salesforce puhul on võimalik kontosid seadistada läbi Azure AD. Sellise funktsionaalsuse kaudu ei ole vaja Salesforce portaali kaudu ise käsitsi kasutajaid luua. Kindlasti on olemas ka teisi tootjaid kes sarnast funktsioonalust pakub aga kui Te juba Microsofti pilvelahendusi kasutate, siis on see väga mugav võimalus. Kindlasti enne teenuse ostmist tasuks see üle kontrollida.

Kolmandaks põhjuseks miks seda teha on see, et meil on võimalik ka seadistada tingimuslik ligipääs ehk Conditional Access. Tingimusliku ligipääsu seadistamisel on Teil võimalik väga täpselt ära defineerida, et mis juhtumite puhul lõppkasutaja saab oma seadmega konkreetsele rakendusele ligi või mitte. Teil on võimalik seadistada:

  • Kasutajad ja grupid kellele poliitika rakendatakse
  • Rakendus(ed) millele poliitika rakendatakse
  • Mis tingimustel rakendusele ligi saab
    • Kasutaja riski indeks.
      • Seda on võimalik kasutada ainult siis kui Teil on olemas Azure AD P2 või EM+S E5 pakett
    • Seadme platvorm
      • Android, iOS, Windows Phone, Windows, MacOS
    • Seadme asukoht
      • Sisevõrk, välisvõrk või konkreetsed lubatud IP aadressid
    • Kliendi rakendus
      • Veebibrauser, nutiseadme rakendus või PC rakendus
    • Mitme faktori autentimine
    • Seade peab vastama teatud reeglitele, mis on seadistatud läbi Intune või Configuration Manageri kaudu
      • Nt Device Health Attestion
    • Seade peab olema domeeni liidetud
    • Cloud App Security integratsioon.
      • Tegemist on uue funktsionaalsusega Microsoftilt. Võimalik on proksida kõik kasutaja ühendused läbi Cloud App Secrurity teenuse ja veenduda, et kuskilt ei läheks andmeid lekkima. See konkreetne funktsionaalsus nõuab EM+S E5 litsentsi paketti.

Tingimusliku ligipääsu seadistamine läbi Azure AD portaali.

Tingimuslik ligipääs on alati üks nendest teenustest, mis seadistatakse Exchange Online või kogu Office 365 teenustele. Selle kaudu saab väga hea kaitse, et kasutaja ei saa igasse suvalisse seadmesse oma emaili profiili seadistada. Tingimuslikust ligipääsust räägime pikemalt teine kord.

Peale kõige selle saate Te oma asutuse siseseid rakendusi majast välja anda ilma VPNi ja RDP ühenduste nagu ma ka eelnevalt mainisin. Viimastel aastatel on nutiseadmete osakaal järjest suurenenud ja paljud asutused lubavad töötada ka kodust. Sellisel juhul on see hea viis kuidas asutuse sisest rakendust turvaliselt välja anda. Taolist funktsionaalust Teile kindlasti VPN ei paku. Kui Teil juba  on olemas EM+S litsentsid, siis selle kaudu on võimalik raha kokku hoida VPNi kliendi litsentside pealt.

Azure Active Directory Application Proxy

Tunnuspilt on võetud siit