الوصول المشروط: تطبيقات السحابة والإجراءات وسياق المصادقة

تعد تطبيقات السحابة والإجراءات وسياق المصادقة إشارات رئيسية في نهج الوصول المشروط. تسمح سياسات الوصول المشروط للمسؤولين بتعيين عناصر تحكم إلى تطبيقات أو إجراءات أو سياق مصادقة محدد.

  • يمكن للمسؤولين الاختيار من قائمة التطبيقات التي تتضمن تطبيقات Microsoft المضمنة وأي من تطبيقات Azure AD متكاملة بما في ذلك المعرض، وغير المعرض، والتطبيقات المنشورة من خلال وكيل التطبيق.
  • قد يختار المسؤولون تحديد النهج دون الاستناد إلى تطبيق سحابي ولكن على إجراء مستخدم مثل تسجيل معلومات الأمان أو تسجيل أو ضم الأجهزة، مما يسمح للوصول المشروط بفرض التحكم حول هذه الإجراءات.
  • يمكن للمسؤولين استخدام سياق المصادقة لتوفير طبقة أمان إضافية في التطبيقات.

تعريف نهج الوصول المشروط وتحديد التطبيقات السحابية

تطبيقات سحابة Microsoft

يتم تضمين العديد من تطبيقات Microsoft السحابية الموجودة في قائمة التطبيقات التي يمكنك الاختيار منها.

يمكن للمسؤولين تعيين نهج الوصول المشروط إلى التطبيقات السحابية التالية من Microsoft. تتضمن بعض التطبيقات مثل Office 365 وMicrosoft Azure Management تطبيقات أو خدمات تابعة متعددة ذات صلة. نضيف باستمرار المزيد من التطبيقات، وبالتالي فإن القائمة التالية ليست شاملة وتخضع للتغيير.

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Azure Data Explorer ‏(Kusto)
  • مراكز أحداث Azure
  • ناقل خدمة Azure
  • Azure SQL Database وAzure Synapse Analytics
  • Common Data Service
  • Microsoft Application Insights Analytics
  • Microsoft Azure Information Protection
  • إدارة Microsoft Azure
  • Microsoft Azure Subscription Management
  • تطبيقات Microsoft Defender للسحابة
  • بوابةMicrosoft Commerce Tools Access Control
  • Microsoft Commerce Tools Authentication Service
  • Microsoft Forms
  • Microsoft Intune
  • Microsoft Intune Enrollment
  • Microsoft Planner
  • تطبيقات Microsoft Power
  • Microsoft Power Automate
  • البحث من Microsoft في Bing
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Office Sway
  • مجموعات Outlook
  • خدمة Power BI
  • Project Online
  • Skype For Business Online
  • شبكة ظاهرية خاصة (VPN)
  • Windows Defender ATP

هام

التطبيقات المتوفرة للوصول المشروط قد مرت بعملية التثبيت والتحقق من الصحة. لا تتضمن هذه القائمة جميع تطبيقات Microsoft، حيث أن العديد منها خدمة خلفية وليس المقصود أن يكون لها نهج يطبق عليها مباشرة. إذا كنت تبحث عن تطبيق مفقود، يمكنك الاتصال بفريق التطبيق المحدد أو تقديم طلب على UserVoice.

Office 365

توفر Microsoft 365 خدمات إنتاجية وتعاونية مستندة إلى السحابة مثل Exchange و SharePoint و Microsoft Teams. الخدمات السحابية من Microsoft 365 متكاملة بشكل عميق لضمان التمتع بتجارب سلسة وتعاونية. يمكن أن يسبب هذا التكامل ارتباكًا عند إنشاء نُهج حيث أن بعض التطبيقات مثل Microsoft Teams لها تبعيات على تطبيقات أخرى مثل SharePoint أو Exchange.

مجموعة Office 365 يجعل من الممكن استهداف هذه الخدمات في وقت واحد. نوصي باستخدام مجموعة Office 365 الجديدة، بدلا من استهداف تطبيقات السحابة الفردية لتجنب المشكلات المتعلقة بتبعيات الخدمة.

استهداف مجموعة التطبيقات هذه يساعد على تجنب المشكلات التي قد تنشأ بسبب نهج وتبعيات غير متناسقة. على سبيل المثال: يرتبط تطبيق Exchange Online ببيانات Exchange Online التقليدية مثل البريد والتقويم ومعلومات الاتصال. قد يتم عرض بيانات التعريف ذات الصلة من خلال موارد مختلفة مثل البحث. لضمان حماية جميع بيانات التعريف على النحو المقصود، يجب على المسؤولين تعيين نهج لتطبيق Office 365.

يمكن للمسؤولين استبعاد مجموعة Office 365 بأكملها أو تطبيقات سحابة Office 365 محددة من نهج الوصول المشروط.

تتأثر التطبيقات الرئيسية التالية بتطبيق السحابة Office 365:

  • Exchange Online
  • Microsoft 365 Search Service
  • Microsoft Forms
  • Microsoft Planner (ProjectWorkManagement)
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Flow
  • مدخل Microsoft Office 365
  • تطبيق عميل Microsoft Office
  • Microsoft Stream
  • تطبيق ويب Microsoft To Do
  • خدمات Microsoft Whiteboard
  • Office Delve
  • Office Online
  • OneDrive
  • Power Apps
  • Power Automate
  • مدخل التوافق الأمني &
  • SharePoint Online
  • Skype For Business Online
  • واجهة برمجة تطبيقات مسؤول المستأجر لـ Skype وTeams
  • Sway
  • Yammer

يمكن العثور على قائمة كاملة بجميع الخدمات المضمنة في المقالة التطبيقات المضمنة في مجموعة تطبيقات الوصول المشروط Office 365.

إدارة Microsoft Azure

عند استهداف نهج الوصول المشروط لتطبيق إدارة Microsoft Azure ضمن منتقي تطبيق نهج الوصول المشروط، سيتم فرض النهج للرمز المميزة الصادرة إلى معرفات التطبيق لمجموعة من الخدمات المرتبطة ارتباطا وثيقا بالمدخل.

  • Azure Resource Manager
  • مدخل Microsoft Azure، والذي يغطي أيضا مركز إدارة Microsoft Entra
  • Azure Data Lake
  • واجهة برمجة تطبيقات Application Insights
  • واجهة برمجة التطبيقات Log Analytics

نظرا لتطبيق النهج على مدخل إدارة Azure وواجهة برمجة التطبيقات أو الخدمات أو العملاء الذين يعانون من تبعية خدمة Azure API، يمكن أن تتأثر بشكل غير مباشر. على سبيل المثال:

  • واجهات برمجة التطبيقات لنموذج التوزيع الكلاسيكي
  • Azure PowerShell
  • Azure CLI
  • Azure DevOps
  • مدخل Azure Data Factory
  • مراكز أحداث Azure
  • ناقل خدمة Azure
  • قاعدة بيانات Azure SQL
  • مثيل SQL المدار
  • Azure Synapse
  • مدخل مسؤول الاشتراكات Visual Studio
  • Microsoft IoT Central

ملاحظة

ينطبق تطبيق Microsoft Azure Management ينطبق على Azure PowerShell، الذي يستدعي واجهة برمجة تطبيقات Azure Resource Manager. هذا لا ينطبق على Microsoft Azure Active Directory PowerShell، الذي يستدعي واجهة برمجة تطبيقات Microsoft Graph.

لمزيد من المعلومات حول كيفية إعداد نهج نموذج لإدارة Microsoft Azure، راجع الوصول المشروط: طلب مصادقة متعددة العوامل (MFA) لإدارة Azure.

تلميح

بالنسبة إلى Microsoft Azure Government، يجب استهداف تطبيق API لإدارة سحابة Microsoft Azure Government.

تطبيقات أخرى

يمكن للمسؤولين إضافة أي تطبيق مسجل في Azure AD إلى نهج الوصول المشروط. قد تتضمن هذه التطبيقات:

ملاحظة

نظرًا لأن نهج الوصول المشروط يحدد متطلبات الوصول إلى خدمة، فلن تتمكن من تطبيقه على تطبيق عميل (عام/أصلي). وبعبارة أخرى لم يتم تعيين النهج مباشرة على تطبيق عميل (عام/أصلي)، ولكن يتم تطبيقه عند استدعاء العميل لخدمة. على سبيل المثال، يتم تطبيق نهج معين لخدمة SharePoint على العملاء الذين يستدعون SharePoint. ينطبق نهج تم تعيينه لـExchange على محاولة الوصول إلى البريد الإلكتروني باستخدام عميل Outlook. وهذا هو السبب عدم توافر تطبيقات العميل (العام/الأصلي) للاختيار في خيار منتقي تطبيقات السحابة وعدم توافر الوصول المشروط في إعدادات التطبيق للتطبيق العميل (العام/الأصلي) المسجل في المستأجر الخاص بك.

لا تظهر بعض التطبيقات في المنتقي على الإطلاق. الطريقة الوحيدة لتضمين هذه التطبيقات في نهج الوصول المشروط هي تضمين جميع تطبيقات السحابة.

جميع تطبيقات السحابة

سيؤدي تطبيق نهج الوصول المشروط على جميع تطبيقات السحابة إلى فرض النهج لجميع الرموز المميزة الصادرة لمواقع الويب والخدمات. يتضمن هذا الخيار التطبيقات التي لا يمكن استهدافها بشكل فردي في نهج الوصول المشروط، مثل Azure Active Directory.

في بعض الحالات، قد يمنع نهج جميع تطبيقات السحابة وصول المستخدم عن غير قصد. وتستبعد هذه الحالات من إنفاذ السياسة وتشمل ما يلي:

  • الخدمات المطلوبة لتحقيق الوضع الأمني المطلوب. على سبيل المثال، يتم استبعاد مكالمات تسجيل الجهاز من نهج الجهاز المتوافق المستهدف لجميع تطبيقات السحابة.

  • استدعاءات إلى Azure AD Graph وMS Graph، للوصول إلى ملف تعريف المستخدم وعضوية المجموعة ومعلومات العلاقة التي تستخدمها التطبيقات المستبعدة من النهج بشكل شائع. يتم سرد النطاقات المستبعدة أدناه. لا تزال الموافقة مطلوبة للتطبيقات لاستخدام هذه الأذونات.

    • للعملاء الأصليين:
      • Azure AD Graph: email، offline_access، openid، profile، User.read
      • MS Graph: User.read و People.read و UserProfile.read
    • للعملاء السريين / المعتمدين:
      • Azure AD Graph: email، offline_access، openid، profile، User.read، User.read.all، وUser.readbasic.all
      • MS Graph: User.read،User.read.all، User.read.All People.read، People.read.all، GroupMember.Read.All، Member.Read.Hidden، وUserProfile.read

إجراءات المستخدم

إجراءات المستخدم هي المهام التي يمكن أن ينفذها المستخدم. حاليا، يعتمد الوصول المشروط إجراءين للمستخدمين:

  • تسجيل معلومات الأمان: يسمح إجراء المستخدم هذا بفرض نهج الوصول المشروط عند محاولة المستخدمين الذين تم تمكينهم للتسجيل المشترك تسجيل معلومات الأمان الخاصة بهم. يمكن العثور على مزيد من المعلومات في المقالة، تسجيل معلومات الأمان المشتركة.

  • تسجيل الأجهزة أو ضمها: يتيح إجراء المستخدم هذا للمسؤولين فرض نهج الوصول المشروط عند تسجيل المستخدمين للأجهزة أو ضمها إلى Azure AD. مما يوفر دقة في تكوين مصادقة متعددة العوامل لتسجيل أو ضم الأجهزة بدلًا من نهج على مستوى المستأجر الموجود حاليًا. هناك ثلاثة اعتبارات رئيسية مع إجراء المستخدم هذا:

    • Require multi-factor authentication هو عنصر التحكم بالوصول الوحيد المتوفر مع إجراء المستخدم هذا ويتم تعطيل كافة الآخرين. يمنع هذا التقييد تعارضات مع عناصر التحكم بالوصول التي تعتمد إما على تسجيل جهاز Azure AD أو لا تنطبق على تسجيل جهاز Azure AD.
    • لا تتوفر الشروط Client apps، وFilters for devices وDevice state مع إجراء المستخدم هذا نظرًا لأنها تعتمد على تسجيل جهاز Azure AD لفرض نهج الوصول المشروط.
    • عند تمكين نهج الوصول المشروط مع إجراء المستخدم هذا، يجب تعيين Azure Active Directory>Devices>Device Settings - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication على No. وإلا، لا يتم فرض نهج الوصول المشروط مع إجراء المستخدم هذا بشكل صحيح. يمكن العثور على مزيد من المعلومات حول إعداد الجهاز هذا في تكوين إعدادات الجهاز.

سياق المصادقة

يمكن استخدام سياق المصادقة لزيادة تأمين البيانات والإجراءات في التطبيقات. يمكن أن تكون هذه التطبيقات تطبيقات مخصصة خاصة بك، أو تطبيقات مخصصة لخط الأعمال (LOB)، أو تطبيقات مثل SharePoint، أو تطبيقات محمية بواسطة Microsoft Defender for Cloud Apps.

على سبيل المثال، قد تحتفظ المؤسسة بملفات في مواقع SharePoint مثل قائمة الغداء أو وصفة صلصة الشواء السرية الخاصة بها. قد يتمكن الجميع من الوصول إلى موقع قائمة الغداء، ولكن المستخدمين الذين لديهم حق الوصول إلى موقع وصفة صلصة الشواء السري قد يحتاجون إلى الوصول من جهاز مدار والموافقة على شروط استخدام محددة.

تكوين سياقات المصادقة

تتم إدارة سياقات المصادقة في مدخل Azure ضمن Azure Active Directory>Security>Conditional Access>Authentication context.

إدارة سياق المصادقة في مدخل Azure

إنشاء تعريفات سياق مصادقة جديدة بتحديد New authentication context في مدخل Azure. تقتصر المؤسسات على ما مجموعه 25 تعريفا لسياق المصادقة. تكوين السمات التالية:

  • الاسم المعروض هو الاسم المستخدم لتعريف سياق المصادقة في Azure AD وعبر التطبيقات التي تستخدم سياقات المصادقة. نوصي بالأسماء التي يمكن استخدامها عبر الموارد، مثل "الأجهزة الموثوق بها"، لتقليل عدد سياقات المصادقة المطلوبة. وجود مجموعة مخفضة يحد من عدد عمليات إعادة التوجيه ويوفر نهاية أفضل لتجربة المستخدم النهائي.
  • الوصف يوفر المزيد من المعلومات حول النُهج المستخدمة من قبل مسؤولي Azure AD وأولئك الذين يطبقون سياقات المصادقة على الموارد.
  • خانة الاختيار Publish to appsعند تحديدها، تعلن عن سياق المصادقة للتطبيقات وتجعلها متاحة ليتم تعيينها. إذا لم يتم تحديدها لن يكون سياق المصادقة متوفرًا لموارد متلقي المعلومات.
  • معرفهو للقراءة فقط ويستخدم في الرموز المميزة والتطبيقات لتعريفات سياق مصادقة خاصة بالطلب. يتم سرده هنا لحالات استكشاف الأخطاء وإصلاحها وحالات استخدام التطوير.

إضافة إلى نهج وصول مشروط

يمكن للمسؤولين تحديد سياقات المصادقة المنشورة في نُهج الوصول المشروط الخاصة بهم ضمن Assignments>Cloud apps or actions وتحديد Authentication context من قائمة Select what this policy applies to.

إضافة سياق مصادقة الوصول المشروط إلى نهج

حذف سياق مصادقة

عند حذف سياق مصادقة، تأكد من عدم استمرار أي تطبيقات في استخدامه. وإلا لن يكون الوصول إلى بيانات التطبيق محميا بعد الآن. يمكنك تأكيد هذا الشرط الأساسي عن طريق التحقق من سجلات تسجيل الدخول للحالات التي يتم فيها تطبيق نهج الوصول المشروط لسياق المصادقة.

لحذف سياق مصادقة، يجب ألا يكون لديه نهج وصول مشروط معينة ويجب ألا يتم نشره على التطبيقات. يساعد هذا المطلب على منع الحذف العرضي لسياق المصادقة الذي لا يزال قيد الاستخدام.

وضع علامة على الموارد ذات سياقات المصادقة

لمزيد من المعلومات حول استخدام سياق المصادقة في التطبيقات، راجع المقالات التالية.

الخطوات التالية