DCToolbox - תינתומ השיג תוינידמ תסירפל הלק השיג


.תומיאתמ תופולח ןיאש ןוויכמ ,ונלש ןוגראה לע ןגהל ידכ םתוא סורפל ונילע !הנוכנה

🚀😌 !הז תא ונלביק תמאב ;המ ושחנ לבא רתסנ רצוא אוצמל ומכ הז ?תורופס תוקד ךות תינ

Daniel Chronlund, MVP ולש ךרדה ץרופ ןורתפה תא

cmdlet דיחי, “Deploy-DCConditionalAccessBase

 • .(תכרעמ להנמ תונובשח רובע ןומיסא לש הדמתה תתבשהו ,תוינוגרא ןניאש תותשרמ םירישכ
 • !ךלש הפקה תקספהמ םירצק הרוצת ינמז
 • .םינוכיס אלל המאתהו הקידב תרשפאמה ,דבלב חוויד בצמב תינתומ השיג תוינידמ

.םכלש רבייסה תחטבא יכרצל DCToolbox ךרד תולקב תינתומ השיג תוינידמ תסירפל בלש רח

ב שומישל תומדקומ תושירד-DCToolbox

:תואבה םדקה תושירדב דמוע התאש אדו ,ךלש Microsoft 365 ריידב DCToolbox םע תינתומ

1. תא ןקתה PowerShell 7 ב-Windows

.Windows-ב PowerShell 7 תנקתהל ןלהלש םיבלשה תא עצב ,זא !הטושפ דואמ הלאשה -ל הב

 1. winget search Microsoft.PowerShell
 2. winget install --id Microsoft.Powershell --source winget

2. לש יללכ להנמ דיקפת M365:

.MS Graph PowerShell ךרד ןוגראה ינותנל תשגל DCToolbox-ל תורשפאמ ולא תואשרה .תו

תיסיסב תינתומ השיג תוינידמ - DCToolbox

DCToolbox לש היצמוטואה ילכל יזכרמ זכרמ אוה Daniel's Conditional Access, תויצקנ

 • 18 תינתומ השיג תוינידמ -דועו תויפיצפס תונידממ השיג ,היצקילפאב שומיש ,םי
 • .יובכ בצמל םירדגומ םירתונה םיינשה .דבלב חוויד בצמב תואצמנ תוינידמ 16 ,ה
  • .רישכמל תומיאת תשרודה תוינידמ איה היינשהו ,המגודל תוינידמ איה תחאה
  • .יובכ בצמב סרפיי אוה ,דבלב חוויד לש בצמב תכמות אל םירישכמה תומיאתש ןוויכמ

החמומה תונבות: לאינד יפל,

Deploy-DCConditionalAccessBaselinePoC: תושגדה Cmdlet

.DCToolbox PowerShell לודומב םיאבה םיירקיעה תונורתיה תא עיצמ “Deplo

 • .בשחמב אצמנ אל םא ותוא ןיקתמו Microsoft Graph PowerShell לודומ לש ותוחכונ תא ק
 • .
 • .Entra ID-ב (דועו IoT ינשייח ,םידיינ ,םיבשחמ ,הנכות סמוע תוגציימה תויוהז) תויש
 • .המישרל ךלש תיחכונה תירוביצה IP-ה תבותכ תא תיטמוטוא ףיסומו ךלש תוינוגראה IP-ה
 • .תואמגודכ ןהב דובעל גהונ אוהש תונידמ המכ ףיסוה חתפמהש ןוויכמ ,תורתומ תונידמ המ
 • .תילגנאה הפשב CA תוינידמ רובע שומיש יאנת<";span style="color: #0000ff>

רדגה Entra ID Conditional Access PoC םע DCToolbox

:םיאבה םיבלשה תא עצב ,DCToolbox תועצמאב ךלש ריידב תינתומ השיג תוינידמ לש האלמה

 1. לודומ תא ןקתה DCToolbox: לודומ תא ןקתה ,תישאר DCToolbox תבילב PowerShel

  Install-Module -Name DCToolbox
 2. לודומ ןכדע DCToolbox: ותוא תא לעפה טושפ ,הז לודומ תנקתה רבכ םא cmdlet ר

  Install-Module -Name DCToolbox -Force
 3. ה תא לעפה-cmdlet: ה תא לעפה ,ןכמ רחאל-cmdlet לש PowerShell לש האלמה החכ

  Deploy-DCConditionalAccessBaselinePoC

  .תומשב הנוש תולת םע תוסילופ 18 לש השדח הצובק תריציל איבי תאז תושעל ןויסינ .הלא

 4. ימלוע להנמכ סנכיה: ילבולגה להנמה ירושיא םע סנכיה .ןפדפדב להנמה לש םירוש

 5. תואשרה תקנעה: ןצחלה לע ץחל ,זא .תוצובקו תוינידמ ,םימושיי ,םישמתשמ לש םי

 6. תוינידמ תסירפ CA: ב ךלש ריידב סורפל וליחתי תינתומ השיג לש סיסבה תוינידמ

.ךלש ןוגראה לש תויפיצפסה תושירדל םיאתתש ךכ הסרפנש תוינידמה תא תישיא םיאתהל לכו

םע הסרפנש תינתומ השיג תוינידמ להנו חקפ DCToolbox

:תרדגומה CA תוינידמל תשגל ידכ ןלהלש ביתנה רחא בוקע טושפ .Entra ID תביבסב םתוא

Microsoft Entra Admin Center

.Entra ID-ב הרדגוהש תוינידמה תא תטרפמה הלבט אצמת ןאכ

ב הליחתמה תוינידמ-"GLOBAL..." ךרד תרדגומ DCToolbox. תו

 • המיסח תוינידמ: םיילאיצנטופ םימויא תתחפהו םוזי ןפואב שיגר עדימ תחטבא לע
 • םיקנעמ תוינידמ: ךלש ןוגראה לש םיבאשמהו םינותנה תא קינעהל ידכ םישמתשמ לש
 • הלעפה תוינידמ: םילהונמ אלו םילהונמ םירישכמב םיצבק תדרוהו ןומיסא הדמתה ו

.דחא דחא ךלש ןוגראב תוינידמה תא יביטקלס ןפואב ליעפהל לוכי התא ,הלא תואצות לע ס

.DCToolbox ךרד רדגוהש ןטק רואית םע תינתומ השיג תוינידמ 18 הגיצמ האבה הלבטה

תוינידמל המגוד

CUSTOM - GRANT - Example

.תילבולגה תוינידמהמ תישיא תמאתומ םיקנעמל המגוד תוינידמ םע םישמתשמ תצובק גירחהל

המיסח תוינידמ

GLOBAL - BLOCK - Legacy Authentication

.IMAP-ו ActiveSync ומכ םדוק רודמ םיחטבואמ אל םילוקוטורפ םסוח

GLOBAL - BLOCK - Legacy Authentication

.IMAP-ו ActiveSync ומכ םדוק רודמ םיחטבואמ אל םילוקוטורפ םסוח

GLOBAL - BLOCK - Unsupported Device Platforms

.סקוניל ומכ תוכמתנ אל םירישכמ תומרופטלפ םסוח

GLOBAL - BLOCK - Countries not Allowed

.םירתיהה תמישרב ןניאש תונידממ םירוביח םסוח

GLOBAL - BLOCK - Service Accounts (Trusted Locations Excluded)

.תונמיהמ אל IP תובותכמ תוריש תונובשח םסוח

GLOBAL - BLOCK - Explicitly Blocked Cloud Apps

.תומיוסמ ןנע תויצקילפא שרופמ ןפואב םסוח

GLOBAL - BLOCK - Guest Access to Sensitive Apps

.תושיגר תויצקילפאל םיחרוא תשיג םסוח

GLOBAL - BLOCK - High-Risk Sign-Ins

.Entra ID Protection ידי לע והוזש הובג ןוכיסב םיתומיא םסוח

GLOBAL - BLOCK - High-Risk Users

.ינוניב ןוכיסב םיתומיא לע MFA ףכוא

םיקנעמ תוינידמ

GLOBAL - GRANT - Medium-Risk Sign-Ins

.ינוניב ןוכיסב םיתומיא לע MFA ףכוא

GLOBAL - GRANT - Medium-Risk Users

.ינוניב ןוכיסב םישמתשמ לע MFA תפכוא

GLOBAL - GRANT - Device Registration

.תוינוגרא ןניאש תותשרמ םירישכמ ימושיר רובע MFA ףכוא

GLOBAL - GRANT - Terms of Use

.שומישה יאנת תוינידמל םיכסהל םישמתשמהמ שרוד

GLOBAL - GRANT - MFA for All Users

.MFA םע םישמתשמה יתומיא לכ לע ןגמ

GLOBAL - GRANT - Mobile Apps and Desktop Clients

.Intune ימאות ויהי םיינחלוש תוחוקלו דיינל תויצקילפאש שרוד

GLOBAL - GRANT - Mobile Device Access Requirements

.Intune לש תויצקילפא תנגה תוינידמ ידי לע םינגומ ויהי םימושייש שרוד

בשומ תוינידמ

GLOBAL - SESSION - Admin Persistence

.לוהינ תונובשח רובע ןומיסא לש הדמתה תא תיבשמ

GLOBAL - SESSION - Block File Downloads On Unmanaged Devices

.םילהונמ אל םירישכמב םיצבק תודרוה םסוח

לש םינוש םירטמרפ םע תומדקתמ תולועפ PowerShell

.סיסבה תוינידמ תריצי םע תומדקתמ תולועפ המכ עצבל הלוכי b>"Deploy-DCCondition

לש תוינידמה תומשל תמודיק ףסוה CA<

.תמייקה תוינידמהמ הנחבהה לע לקמ הז .DCToolbox תועצמאב תרצונ תוינידמהש תוהזל תר

Deploy-DCConditionalAccessBaselinePoC -AddCustomPrefix <CustomPrefixThatYouWishToUpdate>

םש ילעב םימוקימו תוצובק רובע תישי

.ךלש םיכרצל םיעגונה םיאבה cmdlets-המ דחא לכ לעפה ,םימייקה םע רשקל וא םירחא תומ

 • 'ExcludeGroupDisplayName'.
  רטמרפה תועצמאב השדח הצובק תריצי

  Deploy-DCConditionalAccessBaselinePoC -ExcludeGroupDisplayName <GroupNameThatYouWishToUpdate>

 • .ןלהל גצומש יפכ תורישה תונובשח תוצובק רובע 'ServiceAccountGroupDisp

  Deploy-DCConditionalAccessBaselinePoC -ServiceAccountGroupDisplayName <GroupNameThatYouWishToUpdate>
 • 'NamedLocationCorpNetwork'.
  רטמרפב שמתשה ,םשה םע תינוגראה ת

  Deploy-DCConditionalAccessBaselinePoC -NamedLocationCorpNetwork <CustomNameforCorpNetworkList>
 • 'NamedLocationAllowedCountries'.
  רטמרפב שמתשה ,תרתומה הנידמ

  Deploy-DCConditionalAccessBaselinePoC -NamedLocationAllowedCountries <CustomNameforAllowedCountriesList>

םימייקה שומישה יאנתב שמתשה

.'TermsOfUseName' רטמרפב שמתשה ,DCToolbox CA תוינידמ רובע םימייק

Deploy-DCConditionalAccessBaselinePoC -TermsOfUseName <ExistingTermsName>

תינתומ השיג לע גוליד תוינידמ<

.'SkipPolicies' רטמרפב שמתשהל לוכי התא ,18 לש המישרהמ תיסיסבה CA

Deploy-DCConditionalAccessBaselinePoC -SkipPolicies <DCToolboxCAPolicyNamesSeparatedByComma>

תינתומ השיג תוינידמ לש הרישי הפיכ

.'SkipReportOnlyMode' רטמרפב שמתשה ,תורישי CA-ה תוינידמ תא ליחהל

Deploy-DCConditionalAccessBaselinePoC -SkipReportOnlyMode #Not Recommended!

הרהזא: תוירשפא תויקסע תוערפהל ליבו

טפירקס PowerShell תוינידמב תולתה תומש לש תישיא המאתהל DCToolbox CA

.דיחי עוציבב ליעל ונודנש םירטמרפה תא בלשל Microsoft 365 ילהנמל תרזוע וז היגולו

$Parameters = @{ 
ExcludeGroupDisplayName = 'Excluded from Conditional Access' 
ServiceAccountGroupDisplayName = 'Conditional Access Service Accounts' 
NamedLocationCorpNetwork = 'Corporate Network' 
NamedLocationAllowedCountries = 'Allowed Countries' 
TermsOfUseName = 'Terms of Use' 
} 
Deploy-DCConditionalAccessBaselinePoC @Parameters

תונורחא תובשחמ

.יטמוטואו ליעי ןורתפ תקפסמו ,החטבאו ןמז לש ךרעה תא םיכירעמש הלא ,תכרעמ ילהנמל

רתויב רקיה עוצקמה שיאל דובכה לכ, Da

!🙌 תופסונ תונבותל ןכדועמ ראשיה .תובוגתה עטקב םכתעד תא ריאשהל םינמזומ םתא .םהלש

כל הזכויות שמורות. © A-D.site • 2023-2024