APK Blog - Virtualization, Services, Datacenter, Infrastructure

معرفی ماشین مجازی احراز هویت Windows از طریق اکتیو دایرکتوری Azure

اخیرا  شرکت مایکروسافت یک سیستم احراز هویت از راه دور برای ماشین‌های مجازی مبتنی بر ویندوز Azure معرفی کرد که از گواهینامه اکتیو دایرکتوری Azure استفاده می‌کند.

ظاهرا، اخیرا این قابلیت که کارشناسان حوزه  IT از آن برای دریافت اعتبارنامه Azure اکتیودایرکتوری‌های Federated یا  Managed، جهت گرفتن دسترسی ماشین مجازی استفاده می‌کردند، موجود نبوده است. این پیش‌نمایش در حال حاضر دارای استفاده محدود با ماشین‌های مجازی Azure است که در سیستم‌های عملیاتی نسخه Windows Server 2019 Datacenter یا Windows 10 version 1809  به بعد درحال اجرا می باشد.

دسترسی مشروط و کنترل‌های RBAC

این پیش‌نمایش ممکن است به افزایش امنیت برخی از عملیات امنیتی کمک کند. به گفته Alex Simons معاون ارشد مدیریت برنامه درMicrosoft Identity Division، احتمالا متخصصان IT متوسل به اشتراک‌ گذاشتن رمز عبور Administrator برای ماشین‌های مجازی Azure شده‌اند که اصلا به لحاظ امنیتی مناسب نیست.

این پیش‌نمایش امکان استفاده از قوانین Azure AD Conditional Access را برای امنیت بیشتر فراهم می‌کند. به عنوان مثال این امکان وجود دارد که بطور خودکار بررسی کرد که آیا کاربر ریسک بالای Sign-In کردن، قبل از اینکه دسترسی به ماشین‌های مجازی  به او داده شود را دارد یا خیر. علاوه بر آن این امکان را به سازمان‌ها می‌دهد احراز هویت چند عاملی را اعمال کنند بطوری که بررسی اعتبار، فارغ از رمز عبور برای تایید هویت کاربر بکار رود.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی شبکه و نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور

همچنین سازمان‌ها می‌توانند با استفاده از قابلیت Azure Role Based Access Control  یا RBAC با پیش نمایش جدید، موانعی برای دسترسی شخصی ایجاد کنند که باعث می‌شود دسترسی ماشین‌های مجازی معین نیز از بین برود.

معرفی راهکار Azure Active Directory مایکروسافت جهت امنیت سازمانها

ویدیوهای بیشتر درباره: Azure

ابزارهای تنظیمات

وقتی که یک ماشین مجازی Azure ایجاد می‌شود، می‌توان قابلیت پیش‌نمایش دسترسی‌های Azure AD را از طریق پورتال Azure تنظیم کرد. به علاوه این ویژگی می‌تواند با استفاده از راهکار Azure Cloud Shell تنظیم شود که طبق مستندات مایکروسافت یک ابزار برای استفاده از  Windows VM قبلی نیز هست.

طی فرآیند تنظیمات واگذاری و تعیین وظایف نقش‌ها باید صورت گیرد. مایکروسافت تنها به دو نقش برای دسترسی ماشین مجازی Azure طبق پالیسی RBAC اجازه می‌دهد. طبق توضیحات ارائه شده در مستندات، نقش Virtual Machine Administrator امتیاز ادمین را داراست درحالی که نقش Virtual Machine User دارای دسترسی کاربر معمولی  است.

اتصال RDP برای تایید اعتبار در ماشین مجازی Azure بکار می‌رود. اگر یک سازمان برای دسترسی ماشین‌های مجازی Azure بخواهد MFA را اعمال کند، MFA باید جزئی از فرآیند احراز هویت کلاینت Windows 10 RDP باشد. درحال حاضر، این امکان تنها هنگام استفاده از Microsoft’s biometric authentication scheme در Windows Hello فعال شده است. به علاوه طبق مستندات Windows 10 نسخه 1809 یا بالاتر مورد نیاز است.

بیشتر بخوانید: ارتقاء امنیت ساختار، بدون استفاده از رمز عبور

در مستندات ارائه شده، اتصالات RDP همچنین باید از PCهای با Windows 10 که عضو اکتیو دایرکتوری Azure  یا hybrid Azure AD  در یک دایرکتوری به عنوان ماشین مجازی هستند استفاده کنند.

احتمالا فرآیند ساده‌تر همراه با ویژگی بروزرسانی شده Windows 10 با عنوان 20H1 خواهد آمد. طبق مستندات مایکروسافت، Windows 10 20H1 پشتیبانی از Azure AD Registered PC را اضافه خواهد کرد تا اتصال ریموت دسکتاپ به ماشین مجازی را آغاز کند.

اشتراک ایمیل