Mám malého zákazníka z oblasti biotechnologií, který má nastavení pouze s Entra ID (E5) / Intune. Veškeré laboratorní zařízení obsluhují notebooky Windows 10, žádné místní servery (kromě NASu), žádné cloudové virtuální stroje, vše SaaS.
Vědci v laboratoři občas přistupují k notebookům na dálku přes Anydesk, aby zkontrolovali experiment z jiného pokoje nebo o víkendu z domova. Z důvodů, které si dokážete představit, bychom rádi odstranili Anydesk a postavili řešení vzdáleného přístupu.
Obvykle bychom měli Active Directory a buď VPN řešení s Windows NPS Serverem a SSTP připojeními (možná s certifikáty od lokálního CA) nebo několik RDS serverů s bránou atd.
S tímto pouze cloudovým nastavením si nejsem jist, kam bych šel. Nastavit klientskou VPN na firewallu Sophos, doufajíc, že budu moci použít Entra autentizaci nebo nějaký mechanismus Intune? Postavit něco v Azure, jako RDS server (edit: nebo Azure Virtual Desktops) a připojit se odtud přes VPN spojení do místního vybavení laboratoře? Spustit Windows Server VM na NAS (achjo)?
Jako poznámku, plánujeme využít Azure AD Directory Services, protože řešení v laboratoři, které se chystají koupit, vyžaduje starší funkce AD, takže bychom měli možnost připojit Windows Server do AD a autentizovat pomocí Entra uživatelských ID.
Zkontrolujte, zda váš firewall VPN podporuje SAML jako možnost ověřování, pokud ano, můžete ho připojit k Azure AD jako autentizačnímu backendu.
My děláme něco podobného s našimi firewally Palo Alto, kde se připojují přes SAML k naší instanci Okta, když se uživatelé přihlašují, zobrazí se malé okno prohlížeče, které načte přihlašovací stránku Okta (podobně jako když se přihlašujete do Teams nebo jiných aplikací O365).
VPN na váš firewall Sophos, ale NEbude fungovat s Azure AD podle příspěvku, který jsem četl přes Google z května 2023. Pokud používáte AD Sync nebo Entra Cloud Connect (myslím, že to tak nyní nazývají), můžete použít Active Directory jako váš zdroj ověřování. VPN je tedy možnost, ale závislá na použití Active Directory s synchronizací, nikoliv přímo Entra/AAD.
Nejjednodušší a modernější řešení, ale bude stát trochu peněz, je Azure Virtual Desktops s VPN tunelem do vašeho lokálního prostředí. Omezit na VLAN zařízení laboratoře. Nabízí řešení blíže “zero trust”. Uživatelé by se přihlásili přes Entra a mohli by vzdáleně přistupovat k laboratoři přes RDP z virtuálních desktopů. Navíc omezení přístupu pouze na zařízení zaregistrovaná v Intune atd.
Tyto potřeby směrujeme přes centralizovanou instanci ScreenConnect (lišší od naší podpůrné). Všechny funkce kromě vzdálené kontroly jsou deaktivovány a je nakonfigurována s Entra ID SSO.
Toto zachovává cloudové prostředí, integruje autentizaci se stejnými ochranami jako Outlook a zbytek M365, je to levné (~$1 měsíčně za zařízení). Nejzásadnější je, že to zakazuje povolení RDP.
Další možností je SASE řešení. Agent-based VPN, které umožňuje koncovým zařízením komunikovat mezi sebou s definovanými pravidly firewallu (zero trust koncept). Pro IT poskytovatele je Todyl skvělá volba.
Udělám. Nejsem si jist, jestli chci v roce 2023 vytvářet klientské VPN spojení, nebo jestli existuje modernější způsob, jak dosáhnout vzdáleného přístupu v prostředí Entra ID / Intune.
Jo, i já jsem zjistil, že Sophos VPN nefunguje s Azure AD. Entra Cloud Sync není možnost, protože jednoduše nemají Active Directory Je to Entra ID na plné obrátky.
Azure Desktops také zvažuji a možná budeme to potřebovat (a VPN spojení mezi Azure a on-premise) pro jiný případ užití, takže bych jen musel trochu rozšířit. S tím bych určitě ocenil nativní podporu Conditional Access MFA, omezení zařízení v Intune atd.
Je to Entra ID na plné obrátky.