Microsoft Entra Conditional Access (Azure AD Conditional Access)

      สวัสดีครับทุกท่าน สำหรับบทความนี้ผมอยากจะนำะเสนอความสามารถหรือฟีเจอร์หนึ่งของ Microsoft Entra ID หรือชื่อเดิมคือ Azure Active Directory (Azure AD) ให้ทุกท่านได้รู้จักกันครับ โดยฟีเจอร์ดังกล่าวนี้มีชื่อว่า "Azure AD Conditional Access" ชื่อใหม่คือ "Microsoft Entra Conditional Access" ในบทความนี้ผมขอเรียกสั้นๆ ว่า "Conditional Access" นะครับ สำหรับ Conditional Access อยู่ใน Microsoft Entra ID (Azure AD) นานแล้วครับ โดยจะอยู่ใน Azure AD Premium P1 หรือชื่อใหม่ Microsoft Entra ID P1 (Edition หนึ่งของ Azure AD หรือ Microsoft Entra ID) หรืออยู่ใน Microsoft 365 SKUs ต่างๆ เช่น EMS E3, Business Premium, เป็นต้นครับ รายละเอียดเพิ่มเติมสามารถไปที่ Link นี้ได้เลยครับ, แผนและราคาของ Microsoft Entra | Microsoft Security

และต้องบอกว่า Conditional Access จัดว่าเป็นฟีเจอร์ที่เกี่ยวข้องกับ Security ที่มีประโยชน์อย่างมากสำหรับองค์กรที่กำลังวางแผนเพื่อดำเนินการเรื่องของ Security โดยเฉพาะที่เกี่ยวข้องกับ Identity ครับ

Microsoft Entra Conditional Access (Azure AD Conditional Access) คืออะไร?

อย่างที่เกริ่นไว้ข้างต้นว่า Conditional Access เป็นฟีเจอร์หรือความสามารถหนึ่งของ Microsoft Entra ID และยังเป็นส่วนหรือ Engine ที่สำคัญของ Zero Trust Model อีกด้วยครับ เพราะ Conditional Access จะทำนำเอา Signals จาก Sources ต่างๆ มาเพื่อทำการตัดสินใจในการ Enforce Policy (Conditional Access Policy) ดังรูปด้านล่าง

สำหรับคอนเซปการทำงานของ Conditional Access จะเริ่มหลังจากผ่าน Authentication แรกไปเรียบร้อย (Authentication แรก คือ การที่ผู้ใช้งานใส่ Username และ Password) จากนั้น Conditional Access จะเริ่มทำงานโดยการตรวจสอบและประเมินว่าผู้ใช้งานคนดังกล่าวจะถูก Granted หรือ Denied Access ตาม Conditional Access Policy ที่กำหนด ในการใช้งานจริง เราจะต้องมีการวางแผนก่อนที่จะใช้งาน Conditional Access นะครับ สำหรับ Conditional Access Policy เป็นสิ่งที่เราจะต้องกำหนดเพื่อ Enforce ใช้งาน 

โดยการคอนเซปของ Conditional Access Policy ไม่มีอะไรซับซ้อนครับ ตรงไปตรงมา โดยคอนเซปจะอยู่ในรูปแบบของ If-Then Statements ยกตัวอย่างเช่น ถ้าเราต้องการให้ผู้ใช้งานในองค์กรเข้าถึงหรือ Access Resources ต่างๆ ผู้ใช้งานเหล่านั้นจะต้องทำดำเนินการผ่าน Actions ที่กำหนด เช่น ถ้าผมต้องการให้ทุกท่านเข้าถึงหรือ Access Resources (Apps) ทุกท่านจะต้องทำ MFA (Multi-Factor Authentication) ดังนั้นการที่เราหรือองค์กรพิจารณานำเอา Conditional Access เข้ามาใช้งานนั้น จะส่งผลทำให้เกิดความปลอดภัยมากขึ้นครับ

Signals จาก Sources ต่างๆ ที่ผมได้เกริ่นไว้ตอนต้น สามารถดูจากรูปด้านล่าง โดย Conditional Access จะรวบรวม Signals ต่างๆ มาเพื่อประเมินและตัดสินใจในการ Enforce Policy 

ตัวอย่างของ Signals เช่น

Users Or Groups Memberships, ใน Conditional Access Policy สามารถกำหนดหรือระบุ Users หรือ Groups เพื่อให้ครอบคลุมเฉพาะที่ต้องการ

IP Location Information, สามารถสร้าง Trusted IP Address Ranges เพื่อใช้ในการตัดสินใจในการใช้ Policy อีกทั้งยังสามารกำหนด Countries/Regions IP Ranges เพื่อทำการ Block หรือ Allow Traffic From

และยังมีบาง Signals ที่เกิดจากการ Integrate ทำงานร่วมกับฟีเจอร์ที่ชื่อว่า "Azure AD Identity Protection" (คาดว่าจะต้องเปลี่ยนขื่อเหมือนกันครับ) ของ Microsoft Entra ID (Azure AD) ครับ โดย Azure AD Identity Protection จะทำการ Detect 2 สิ่ง คือ Sign-In Risk และ User Risk ยกตัวอย่างเช่น Attackers ใช้เทคนิค Password Spray Attack, รวมถึงการที่ Attackers ทำการ Sign-In มาจาก New Countries, Anonymous IP Address, และอื่นๆ สิ่งเหล่านี้จะถูกตรวจสอบและ Azure AD Identity Protection จะ Detect เจอครับ และเมื่อมีการทำงานร่วมกัน เมื่อเจอเหตุการณ์ที่ผิดปรกติที่น่าสงสัยซึ่งมีความเสี่ยงกับ Identity ดังรูปด้านล่างครับ

รายละเอียดเพิ่มเติมสามารถไปที่ Link นี้ได้เลยครับ, What is Conditional Access in Azure Active Directory? - Microsoft Entra | Microsoft Learn

และใน Conditional Access จะมี Templates ต่างๆ เอาไว้ให้เราสามารถนำไปพิจารณาเพื่อนำมาประยุกต์ใช้งานในองค์กรได้ครับ รายละเอียดเพิ่มเติมตาม Link นี้ครับ, Secure your resources with Conditional Access policy templates - Microsoft Entra | Microsoft Learn

และทั้งหมดนี้คือเรื่องราวเริ่มต้น ของ Microsoft Entra Conditional Access หรือ Azure AD Conditional Access ครับผม.....

มาทำความรู้จักกับ Microsoft Entra Permissions Management

      สวัสดีครับทุกท่าน สำหรับบทความนี้ผมจะพาทุกท่านไปทำความรู้จักกับ Service หนึ่ง ซึ่งเป็นหนึ่งในสมาชิกของ Microsoft Entra Family ครับ ซึ่งใน Microsoft Entra Family จะประกอบไปด้วยหลาย Services เลยครับ ยกตัวอย่างเช่น Azure Active Directory หรือชื่อใหม่คือ Microsoft Entra ID เป็นต้นครับ โดย Service ดังกล่าวนี้มีชื่อว่า "Microsoft Entra Permissions Managment" ครับ โดยคอนเซปเบื้องต้นของ Microsoft Entra Permissions Management นั้นจะให้บริการ Cloud Infrastructure Entitlement Management หรือเรียกกันย่อๆ ว่า CIEM Solution ครับ 

Cloud Infrastructure Entitlement Management (CIEM) คืออะไร?

CIEM Solution เป็น Service หนึ่งที่ให้บริการอยู่บน Cloud โดยให้บริการอยู่ในรูปแบบของ SaaS ซึ่งทำหน้าที่ในเรื่องของการบริหารจัดการ Identities และ Permissions ใน Multi-Cloud Environment ครับ โดย CIEM ที่ว่านี้สามารถทำงานร่วมกับ Zero Trust Model โดยเฉพาะกฎข้อหนึ่งของ Zero Trust Model คือ A Least-Privilege Access ครับ โดยตัวของ CIEM จะเข้ามาช่วยองค์กรในการตรวจสอบ (Monitor), แจ้งเตือน (Alerts), และทำการแก้ไข (Remediate) สิ่งผิดปรกติหรือพฤติกรรที่น่าสงสัยที่อาจจะก่อให้เกิดความสุ่มเสี่ยง

และ CIEM จะทำการตรวจสอบในส่วนของ Identities อย่างต่อเนื่องและยังทำการประเมิน Permissions ที่มีถูก Assigned ให้กับ Identities เพื่อเข้าถึง Resources ต่างๆ ใน Environments ดังกล่าว (ครอบคลุม Multi-Cloud Environments) โดยใช้ Analytics, เทคโนโลยี ML (Machine Learning) และอื่นๆ ในการค้นหา Identities ที่มีสิทธิ์หรือ Permissions มากเกินไปหรือได้ Permissions มากเกินกว่าที่ใช้งาน, เพื่อดูว่ามีสิ่งผิดปรกติหรือพฤติกรรมที่น่าสงสัยเกิดขึ้นหรือไม่, และอื่นๆ  สุดท้ายองค์กรก็จะทำการปรับปรุงเปลี่ยนแปลงทั้งในเรื่องของ Identities และ Permissions ให้เป็นไปตามความต้องการหรือ Compliance ที่องค์กรต้องการได้ครับ

Microsoft Entra Permissions Management คืออะไร?

สำหรับ Microsoft Entra Permissions Management คือ หนึ่งในสมาชิกของ Microsoft Entra Family ดังรูปด้านล่าง และ Microsoft Entra Permissions Management เป็น Service ที่ให้บริการ Cloud Infrastructure Entitlement Management (CIEM) Solution ตามที่อธิบายไว้ในหัวข้อก่อนหน้านี้ 

โดย Microsoft Entra Permissions Managment ทำให้เราสามารถเห็นภาพและเข้าใจถึงเรื่องราวของ Identities และ Permissions ที่ใช้งานอยู่นั้น (Access Control) เป็นอย่างไร ส่งผลทำให้ผู้ดูแล (Security Operations Administrators) ตลอดจนผู้ที่มีบทบาทหน้าที่เกี่ยวข้องสามารถเข้าไปบริหารจัดการเรื่องของการเข้าถึง Resources ต่างๆ (Permissions ที่ถูก Assigned ให้กับ Identities ต่างๆ) ไม่ว่าจะอยู่ใน Microsoft Azure, Amazon Web Services (AWS), และ Google Cloud Platform (GCP) เป็นไปตามความต้องการหรือตาม Compliance ที่องค์กรกำหนด 

โดยตัวของ Microsoft Entra Permissions Management จะทำหน้าที่ต่างๆ เช่น ตรวจสอบและค้นหาพฤติกรรมผิดปรกติหรือที่น่าสงสัยที่อาจจะก่อให้เกิดความเสี่ยง, ตรวจสอบ Permissions ว่ามีมากเกินไปหรือมากเกินกว่าความจำเป็นต่อการใช้งาน (โดยตรวจสอบจาก Permissions ที่ถูก Assigned ไปกับ Permissions ที่ถูกใช้งานจริง), Enforce A Least-Privilege, และอื่นๆ โดยอาศัยการทำงานผ่านขั้นตอนหลักๆ ของ Microsoft Entra Permissions Management อย่างต่อเนื่อง คือ Discover, Remediate, และ Monitor ดังรูปด้านล่าง

นอกจากนี้แล้ว Microsoft Entra Permissions Management ยังมาพร้อมกับแนวคิดและวิธีการในการบริหารจัดการ Identities และ Permissions ในรูปแบบใหม่ ดังรูปด้านล่าง เช่น การให้สิทธิ์ (Grant Permissions) จะให้จากประวัติการใช้และ Activity, การให้สิทธิ์หรือ Grant สิทธิ์โดยมีการกำหนดระยะเวลาหรือ On-Demand, และการตรวจสอบ (Monitor) อย่างต่อเนื่องตามที่อธิบายไว้ก่อนหน้านี้ครับ

สำหรับเรื่องราวของ Microsoft Entra Permissions Management ยังมีอีกเยอะมากครับ บทความนี้เป็นเพียงจุดเริ่มต้นในการพาทุกท่านมาทำความรู้จักกับ Service นี้ สำหรับรายละเอียดเพิ่มเติมของ Microsoft Entra Permissions Management สามารถไปที่ Link นี้ได้เลยครับ, What's Permissions Management? - Microsoft Entra | Microsoft Learn

และทั้งหมดนี้คือเรื่องราวของ Microsoft Entra Permissions Management ซึ่งเป็นหนึ่งในสมาชิกของ Microsoft Entra ครับผม.....

เมื่อ Azure Active Directory กลายเป็น Microsoft Entra ID

      สวัสดีครับทุกท่าน สำหรับบทความนี้จะเป็นการอัพเดทเรื่องราวของ Azure Active Directory (Azure AD) ซึ่งเป็น Service ที่สำคัญที่ใช้ในการบริหารจัดการ Identity หรือให้บริการในส่วนของ Identity and Access Management (IAM) ครับ เพราะฉะนั้นถ้าองค์กรใดก็ตาม หากมีการนำเอา Cloud Services ของ Microsoft เช่น Microsoft Azure, Microsoft 365, และอื่นๆ มา Adopt หรือประยุกต์ใช้งานในองค์กร  Azure AD ก็จะเป็น Service หนึ่งที่ถูกนำมาใช้งานอย่างแน่นอนครับ โดย Azure AD จะเข้าจัดการ Identity ต่างๆ ตามความต้องการหรือ Scenarios ที่องค์กรต้องการ 

ผมขออนุญาตยกตัวอย่าง Scenarios หนึ่งที่ชื่อว่า "Hybrid Identity" ซึ่งถือว่า Scenarios ยอดนิยม Scenarios หนึ่งครับ โดย Hybrid Identity Scenario คือ การ Sync Identities จาก On-Premise (จาก Active Directory Domain Service หรือ AD DS) มายัง Azure AD (Tenant) เพื่อให้องค์กรได้ Benefit ที่เรียกว่า "Single Sign-On" หรือ SSO ส่งผลทำให้ผู้ใช้งานในองค์กรดังกล่าวนั้นสามารถเข้าถึงหรือ Access Resources ต่างๆ ที่อยู่ที่ไหนก็ได้ (Hybrid Cloud Environment) โดยใช้ Identity เดียว ทำให้เกิดความยืดหยุ่นและเพิ่มประสิทธิภาพในการทำงานของผู้ใช้งานในองค์กร และนี้คือตัวอย่างหรือ Scenarios หนึ่งที่เราสามารถใช้งาน Azure AD ได้ครับ แต่ในความเป็นจริงแล้ว Azure AD ยังมีความสามารถหรือฟีเจอร์อีกเยอะมากครับ ขอยกตัวอย่างเพิ่มเติมอีกซักนิด เช่น ความสามารถในการ Integrate หรือไปทำงานร่วมกับ SaaS หรือ Cloud Applications เพื่อดำเนินการในส่วนของ Authentication และ Authorization, การทำงานร่วมกับ Endpoints หรือ Devices, และอื่นๆ ครับ

สำหรับท่านผู้อ่านท่านใดยังไม่ค่อยรู้จักหรือยังไม่คุ้นเคยกับ Azure Active Directory (Azure AD) สามารถอ่านบทความนี้ของผมได้เลยครับ, WT Blog (ITGeist): Azure Active Directory (Azure AD) (itgeist5blog.blogspot.com) หรือดู Clip VDO นี้ครับ, https://youtu.be/UlyssmXjnrI

และเมื่อวานนี้ (ณ เวลาที่ผมเขียนบทความนี้) ทาง Microsoft ได้ประกาศแจ้งเปลี่ยนชื่อของ Azure Active Directory (Azure AD) มาเป็น "Microsoft Entra ID" นั่นหมายความนี่คือชื่อใหม่ของ Azure AD ครับ !!!!! และถ้าท่านใดติดตามข่าวสารเกี่ยวกับ Azure AD ในช่วงที่ผ่านมาหรือติดตาม ITGeist FB ของผม ผมได้มีการอัพเดทก่อนหน้านี้ว่าทาง Microsoft มี Family ใหม่ที่ชื่อว่า "Microsoft Entra" ซึ่งประกอบด้วย Services หลาย Services ใน Family ดังกล่าว และหนึ่งในนั้นคือ Azure AD หรือ Microsoft Entra ID นั่นเองครับ ดังนั้นพอมาถึงเวลานี้ทาง Microsoft ก็เลยเปลี่ยนชื่อ Azure AD เพื่อให้สอดคล้องกับ Family (Microsoft Entra) ดังกล่าวครับ รูปด้านล่าง คือ อัพเดทล่าสุดของ Microsoft Entra Family ครับ

เมื่อชื่อของ Azure AD (ชื่อใหม่ Microsoft Entra ID) เปลี่ยนแล้ว สิ่งที่จะถูกเปลี่ยนแปลงตามก็คือ ชื่อของ Azure AD Editions ต่างๆ ครับ  ถ้าท่านใดคุ้นเคยก็จะทราบว่าตัวของ Azure AD มีหลาย Editions ครับ โดยความแตกต่างของแต่ละ Editions คือ ฟีเจอร์และราคา ตัวอย่างของ Azure AD Editions เช่น Azure AD Free, Azure AD Premium P1, Azure AD Premium P2, และอื่นๆ รูปด้านล่าง คือ ชื่อของ Azure AD (Microsoft Entra ID) Editions  ที่มีการเปลี่ยนแปลงครับ

นอกจาการเปลี่ยนชื่อของ Azure AD (ชื่อใหม่ Microsoft Entra ID) และ Editions ตามที่ผมได้อธิบายไว้ข้างต้นแล้ว สิ่งที่อยากจะเน้นให้ทุกท่านเข้าใจตรงกัน คือ การเปลี่ยนปลงดังกล่าวนี้จะเป็นการเปลี่ยนเฉพาะชื่อเท่านั้นนะครับ (ตามที่ทาง Microsoft ประกาศหรือแจ้งไว้) เพราะฉะนั้น เราในฐานะผู้ใช้งานไม่ต้องดำเนินการใดทั้งสิ้นครับ ความสามารถหรือฟีเจอร์ต่างๆ ของ Azure AD ที่เราใช้งานกันอยู่ ก็ยังคงใช้งานได้ตามปรกติครับ และหลังจากที่ทาง Microsoft ได้ประกาศเปลี่ยนชื่อ Azure AD แล้ว ต่อจากนี้ไปก็จะเริ่มทยอยเปลี่ยนชื่อฟีเจอร์ของ Azure AD ด้วยครับ ยกตัวอย่างเช่น 

Azure AD Conditional Access เป็น Microsoft Entra Conditional Access

Azure AD MFA เป็น Microsoft Entra MFA

เป็นต้นครับ สำหรับรายละเอียดของการเปลี่ยชื่อดังกล่าวนี้ สามารถไปที่ Link นี้ได้เลยครับ, New name for Azure Active Directory - Microsoft Entra | Microsoft Learn

และมีอีกหนึ่งเรื่องที่เกี่ยวข้องกับการเปลี่ยนชื่อของ Azure AD ที่ผมอยากจะอัพเดททุกท่านเพิ่มเติม นั่นก็คือ Portal ที่ใช้ในการบริหารจัดการ Identity ครับ แต่เดิมท่านผู้อ่านสามารถใช้ Portals ต่างๆ เช่น Microsoft Azure Portal, Microsoft 365 Admin Center, เป็นต้น ณ ตอนนี้เรายังคงใช้งาน Portals เหล่านี้ที่เราคุ้นเคยได้อยู่เหมือนเดิมครับ แต่สิ่งที่ทาง Microsoft ได้เตรียม Portal ใหม่ที่มีชื่อว่า "Microsoft Entra Admin Center", ดังรูปครับ

และทั้งหมดนี้คืออัพเดทล่าสุดเกี่ยวกับ Azure AD ที่ทาง Microsoft ประกาศเปลี่ยนแแปลงครับผม.....