Microsoft Intune שמשדרגת את הגנת ה- MFA

  1. ראשי
  2. בלוג
  3. Microsoft Intune שמשדרגת את הגנת ה- MFA

שיטת הגישה המותנית של Microsoft Intune משדרגת את הגנת ה-MFA

אחד מהכלים החשובים ביותר לאבטחת מידע ומניעת מתקפות בארגון הוא אימות רב-שלבי (MFA). על מנת להגיע לשימוש מיטבי בשיטת הגנה זו, חשוב להכיר כלים כמו Microsoft Intune, המספק הגנת MFA מתקדמת במיוחד, יחד עם ניהול הרשאות חכם. מה הופך את הכלי לפתרון המתאים ביותר לארגונים בסביבת עבודה של Microsoft?

מכיוון שארגונים תומכים בכוח עבודה היברידי ומרוחק, הם מאותגרים בניהול המכשירים השונים שניגשים למשאבי הארגון. עובדים צריכים לעבוד מכל מקום ולגשת בצורה מאובטחת למשאבים האלה ולהתחבר אליהם. מנהלי מערכת צריכים להגן על נתוני הארגון, לנהל גישת משתמשי קצה ולתמוך במשתמשים מכל מקום שהם עובדים.

Microsoft Intune הוא כלי המאפשר ניהול זהויות בצורה מאובטחת, ניהול אפליקציות ומכשירים ניידים (מחשבים טלפונים וטאבלטים).

Microsoft Intune מאפשר למנהלי ה-IT של החברה להגן על נקודות הקצה ולנהל אותן במקום אחד. באמצעות הניהול המרוכז, עומסי העבודה של צוותי ה-IT ואבטחת המידע פוחתים. ניהול נקודות הקצה יכול להתבצע למכשירים עם מערכות הפעלה מסוגים כמו Android, iOS, Mac, Linux ובנוסף גם מחשבים ושרתים של Windows.

 

תכונות ויתרונות מרכזיים של Intune

Microsoft Intune מציע ניהול כלל משתמשים ומכשירים, כולל מכשירים בבעלות הארגון שלכם ומכשירים בבעלות אישית. Microsoft Intune תומך ב-Android, Android, iOS/iPadOS, Linux Ubuntu Desktop, macOS ו-Windows Client. עם Intune, אפשר להשתמש במכשירים אלה כדי לגשת בצורה מאובטחת למשאבי הארגון באמצעות מדיניות שאתם יוצרים.

 

 

עוד יתרון המרכזי של Microsoft Intune הוא ההתאמה המוחלטת לאקוסיסטם של Microsoft, לרבות הכלים ושירותי הענן שלה. עבור ארגונים המנהלים רשת Windows וכבר משתמשים ב-Azure Active Directory, השילוב של Azure AD ו-Intune יכולים להוות תוספת חכמה לארגון.

Intune מחזק את האבטחה, מפחית את האיומים על המכשירים השונים, מגן על נתוני החברה ומשפר את התאימות באמצעות תכונות אבטחה מתקדמות כגון ארכיטקטורת אבטחה באמצעות גישת ‘אפס אמון’, עם פתרון ניהול שמספק גמישות ומרכז את האבטחה של נקודות הקצה ותאימות מכשירים על בסיס הזדהות, במכשירים של החברה ובמכשירים שהעובדים מביאים מהבית.

 

שדרוג הגנת אימות רב-גורמי (MFA)

עבור ארגונים העובדים בסביבת עבודה של Microsoft ומשתמשים ב-Azure Active Directory, הפתרון של Microsoft Intune מהווה חומת הגנה איכותית ומותאמת לתפעול היום-יומי של הארגון.

 

Intune מוסיף שכבת הגנה לתהליך הכניסה הכוללת הגנת MFA (אימות רב-גורמי), באמצעות מדיניות גישה מותנית של Azure Active Directory (Azure AD) כדי לדרוש אימות רב-גורמי (MFA) במהלך רישום המכשיר.

באופן שכזה, הגנת ה-MFA דורשת לבצע אימות באמצעות שתיים או יותר משיטות האימות הבאות:

– מידע שהמשתמש יודע, כמו סיסמה או PIN.

– מידע שיש למשתמש ולא ניתן לשכפל אותו, כמו מכשיר מהימן או טלפון.

– זיהוי ביומטרי כמו טביעת אצבע או סריקת פנים.

 

Microsoft Intune מאפשרת הגדרת גישה מותנית מבוססת-מכשיר וגישה מותנית מבוססת-יישום. גישה מותנית מבוססת מכשיר מוודאות כי רק מכשירים מנוהלים העומדים בתנאים יכולים לגשת ליישומיים הארגוניים הרלוונטיים. ניתן לאפשר רק למחשבים עם חיבור ב-domain או מכשירים ניידים הרשומים ב-Intune לקבל גישה לשירותי מיקרוסופט 365. בעזרת Intune, ניתן להגדיר מהם התנאים שהמכשיר צריך לעמוד בהם מבחינת אבטחה ותצורה, כדי לקבל גישה. ניתן להגדיר גישה מותנית על בסיס שליטה בגישה לרשת, בעזרת שיתוף פעולה עם שותפים כמו Cisco ISE, Aruba Clear Pass ו-Citrix NetScaler. בנוסף, ניתן לאפשר גישה מותנית על בסיס רמת הסיכון של המכשיר, או השאלה האם מדובר במכשיר של החברה או מכשיר של העובד מהבית, וגם גישה מותנית על בסיס יישום.

 

כניסה יחידה (SSO) והגנה על נתונים בכל מכשיר

כאשר מפעילים SSO, משתמשים יכולים להיכנס אוטומטית לאפליקציות ולשירותים באמצעות חשבון זיהוי ארגוני.

עם Intune, ניתן להגן על נתונים במכשירים מנוהלים (רשומים ב-Intune) ולהגן על נתונים במכשירים לא מנוהלים (לא רשומים ב-Intune). Intune יכולה לבודד נתוני ארגון מנתונים אישיים. ההגנה על המידע של החברה נעשית על ידי שליטה בדרך שבה משתמשים ניגשים למידע ומשתפים אותו.

עבור מכשירים בבעלות ארגון, השאיפה היא לקבל שליטה מלאה על המכשירים, כאשר מכשירים נרשמים, הם מקבלים את כללי האבטחה וההגדרות שלכם.

במכשירים הרשומים ב-Intune, ניתן:

  • ליצור ולפרוס מדיניות המגדירה הגדרות אבטחה, הגדרת דרישות סיסמה, פריסת אישורים ועוד.
  • שירותי הגנה מפני איומים ניידים כדי לסרוק מכשירים, לזהות איומים ולתקן איומים.
  • הצגת נתונים ודוחות המודדים עמידה בהגדרות ובכללי האבטחה שלכם.
  • שימוש בגישה מותנית כדי לאפשר רק למכשירים מנוהלים ותואמים גישה למשאבי ארגון, אפליקציות ונתונים.
  • הסרת נתוני ארגון אם מכשיר אבד או נגנב.

עבור מכשירים אישיים, ייתכן שמשתמשים לא ירצו שלמנהלי ה-IT שלהם תהיה שליטה מלאה על המכשיר הפרטי שלהם, כדי לתמוך בסביבת עבודה היברידית, ניתן להגן על נתוני הארגון במכשירי הקצה ובמקרה אבטחה להסיר את המידע הארגוני בלבד מהמכשיר.

 

ניהול משתמשים חכם עם RBAC של Microsoft Intune

בקרת גישה מבוססת תפקידים (RBAC) ב-Intune מאפשרת לארגון לנהל גישת משתמשים למשאבי הארגון. על פי הגדרת התפקיד (role), מוענקות הרשאות למשתמשים, כאשר ניתן ליצור תפקידים מותאמים אישית עם הרשאות ספציפיות. הקצאת תפקידים מגדירה אילו משתמשים מקבלים גישה, מה הם יכולים לראות ומה הם יכולים לשנות. RBAC מאפשר גם הקצאות של מספר תפקידים למשתמש והקצאה של תפקיד למספר משתמשים.

המערכת כוללת תפקידים מובנים עם סט הרשאות קבוע מראש, אותם אפשר לאסוף לקבוצות מבלי לעשות שינויים של התצורה. בין התפקידים המובנים: מנהל יישום, מנהל פריבילגיות לנקודות קצה, מנהל אבטחת נקודות קצה, מפעיל דסק תמיכה, מנהל תפקידים, מנהל פרופילים ומדיניות, מנהל הודעות ארגוני ועוד. בנוסף, ניתן לבנות תפקידים מותאמים אישית, עם הרשאות מסוימות.

בשורה תחתונה, RBAC מספק בקרת גישה מפורטת על ידי הגדרת תפקידים עם הרשאות ספציפיות, הקצאת התפקידים הללו למשתמשים וקביעת המשאבים שהם יכולים לגשת אליהם. תפקידים מותאמים אישית מאפשרים הגדרת גישה מדויקת.