Při migraci z Intune může Ivanti UEM poskytnout uživatelům bezpečný přístup k podnikovým službám, a to buď lokálně, nebo prostřednictvím cloudu. Toto je další klíčový pilíř našeho konečného průvodce migrací z Intune na Ivanti UEM.
Ivanti poskytuje Ivanti Access pro cloudovou autentizační infrastrukturu a Ivanti Sentry pro místní zdroje. Obě součásti využívají podmíněný přístup, aby zajistily, že se mohou ověřovat pouze bezpečná, známá zařízení.
Pokud používáte Entra Conditional Access jako součást svého nasazení Intune a přejete si ho používat i nadále, Ivanti UEM má integrovanou integraci pro odesílání informací o shodě ze zařízení spravovaných Ivanti do Entra. Toto se konfiguruje v administrátorské konzoli Ivanti UEM pod hlavičkou Admin-Microsoft-Device Compliance.
Ivanti Sentry
Ivanti Sentry je vysoce škálovatelný server zařízení, který lze nasadit ve vašem prostředí jako virtuální počítač (VM) na místě nebo v cloudu (AWS nebo Azure). Se správnými prostředky lze na jednom virtuálním počítači podporovat až 20 000 připojení zařízení. To vám dává flexibilitu umístit servery Sentry tam, kde je potřeba. Zákazníci mohou libovolně nasadit tolik instancí Sentry, kolik je potřeba – například za load balancer pro vysokou dostupnost nebo regionální instance pro optimální konektivitu.
Instalace je většinou automatizovaná; správci potřebují pouze poskytnout proměnné prostředí (podrobnosti o síti). Poslední krok zaregistruje Sentry do vaší instance Neurons UEM.
Po instalaci lze Sentry nakonfigurovat tak, aby přijímal připojení VPN z aplikace koncového uživatele Ivanti Tunnel VPN a/nebo se choval jako proxy ActiveSync pro místní implementace i implementace Exchange Online.
Konfigurace Sentry po instalaci se provádí výhradně z konzoly Ivanti UEM na kartě Admin-Infrastructure-Sentry. Jediný čas, kdy potřebujete přímou interakci se serverem Sentry, je aktualizace nebo řešení problémů.
Po konfiguraci služeb, které chcete na Sentry používat, je profil přiřazen k serveru (serverům) a automaticky odeslán/aktualizován, aby se změny prováděly v reálném čase.
V rámci procesu ověřování zařízení (je podporován certifikát nebo ověřování Kerberos) Sentry zkontroluje polohu zařízení pomocí konzoly UEM, aby se ujistil, že je zařízení spravováno v souladu se stavem, a zablokuje nebo zruší připojení, pokud zařízení nevyhoví. To chrání služby, které sedí za Sentry, před špatnými zařízeními/herci.
Ivanti Access
Ivanti Access je cloudová služba hostovaná společností Ivanti, která zajišťuje přístup k firemním cloudovým službám, jako jsou Box, G Suite, Office 365, Salesforce atd.
Ivanti Access může poskytovat podmíněný přístup na základě následujícího:
- Identita zařízení: Zajišťuje, že se mohou ověřit pouze zaregistrovaná a kompatibilní zařízení. Ivanti Access je také schopen rozlišovat mezi zařízeními vlastněnými společností a zaměstnanci.
- Identita uživatele: Zajišťuje, že uživatel, který se pokouší ověřit, má povolen přístup ke zdroji.
- Identita aplikace: Ivanti Access může zablokovat ověřování u jakýchkoli neznámých nebo nepovolených aplikací, čímž zajišťuje, že se mohou ověřovat pouze aplikace schválené IT.
Technologie Ivanti Access, na které je založena, využívá federaci a ověřování pomocí služeb SAML nebo WS-Fed a ověřování pomocí FIDO2 nebo ověřování založené na certifikátech. Pokud váš poskytovatel identity (Idp) a poskytovatel služeb (Sp) podporuje jeden nebo více z nich, měl by fungovat s Ivanti Access.
V závislosti na možnostech vašeho Idp lze Ivanti Access nakonfigurovat v:
- Režim plné federace, ve kterém je Ivanti Access uprostřed vašeho toku ověřování.
- Režim delegovaného Idp, ve kterém váš Idp řídí, které požadavky na ověření se odesílají do Ivanti Access za účelem podmíněného přístupu a ověření.
Více instancí Ivanti UEM lze propojit s jednou instancí Ivanti Access (on-premises nebo cloud), stejně jako přímou podporu pro zařízení spravovaná SCCM a JAMF.
Ivanti Access je nakonfigurován na bázi jednotlivých služeb, takže organizace mohou zařazovat služby svým vlastním tempem; nemusí to být přístup „velkého třesku“. Flexibilita je velkou výhodou Ivanti Access; Mám přes 10 SP nakonfigurovaných přes tři Idps, jak ukazuje snímek obrazovky níže.
Po přidání služeb je dalším krokem vytvoření nebo přiřazení zásady podmíněného přístupu. Každá služba může používat stejné zásady, nebo můžete vytvořit samostatné zásady. Možnosti konfigurace mohou být velmi podrobné a využívají šablonované/výchozí možnosti, vlastní zásady, nastavení Povolit/Upozornit/Blokovat nebo akce řetězení zásad.
Posledním krokem je nastavení uživatelského prostředí, když jsou uživatelé blokováni. Ivanti Access zobrazuje přizpůsobitelné stránky nápravy, které umožňují uživatelům sdělit nejen to, že byli zablokováni, ale také to, co musí udělat, aby získali přístup. Toto je mnohem intuitivnější uživatelská zkušenost než zobrazení „Přístup odepřen“ s dlouhým chybovým kódem – nebo v horším případě bez dalšího kontextu. To může pomoci snížit počet volání na technickou podporu souvisejících s problémy s ověřováním.
Pokusy o ověření uživatele jsou viditelné téměř v reálném čase na kartě přehledy. Správci si mohou prohlížet záznamy na podrobné úrovni nebo použít řídicí panel dostupný na domovské stránce, který zobrazí celou vaši uživatelskou vlastnost na vysoké úrovni.
Uživatelská zkušenost
Sentry a Ivanti Access jsou navrženy jako neviditelné služby pro vaše koncové uživatele při používání zařízení spravovaných Ivanti UEM.
Významnou výhodou pro vaše uživatele s Ivanti Access je naše technologie Zero Sign On. Ivanti může nahradit heslo autentizací na základě certifikátu nebo FIDO2 pro skutečnou autentizaci bez hesla. V závislosti na konfiguraci to může být při použití kompatibilního zařízení zcela neviditelný proces. Autorizované aplikace jsou nainstalovány administrátory nebo uživateli a začnou pracovat, aniž by uživatel zadával jakékoli informace.
Pro uživatele stolních počítačů mohou administrátoři povolit jakoukoli kombinaci QR kódu, bezpečnostního klíče (např. YubiKey), biometrie zařízení (Windows Hello nebo TouchID), klienta Ivanti Authenticate ZSO nebo přesměrování na původní Idp, aby se uživatelé mohli ověřit. Snímek obrazovky níže ukazuje uživatelskou zkušenost s počítačem, což je to, co by uživatel viděl při přihlášení z portálu.office.com, například:
Funkce QR kódu je součástí klienta Ivanti UEM na mobilu – není potřeba žádná další aplikace MFA. Pokud by uživatelé narazili na problém s ověřováním, budou se moci sami zprovoznit nebo budou schopni poskytnout jasné informace, pokud budou potřebovat kontaktovat help desk.
Pro získání veškerých informací o produktech Ivanti nás neváhejte kontaktovat.
Zdroj: Ivanti