الوصول الشرطي: الشروط

ضمن نهج الوصول المشروط، يمكن للمسؤول الاستفادة من الإشارات من ظروف مثل المخاطر أو النظام الأساسي للجهاز أو الموقع لتحسين قرارات النهج الخاصة به.

تعريف نهج الوصول المشروط وتحديدها

يمكن دمج العديد من الشروط لإنشاء نُهج وصول مشروط دقيقة ومحددة.

على سبيل المثال، عند الوصول إلى تطبيق حساس، قد يأخذ المسؤول معلومات مخاطر تسجيل الدخول من حماية الهوية والموقع في قرار الوصول بالإضافة إلى عناصر التحكم الأخرى مثل المصادقة متعددة العوامل.

خطر تسجيل الدخول

بالنسبة للعملاء الذين لديهم حق الوصول إلى حماية الهوية ، يمكنهم تقييم مخاطر تسجيل الدخول كجزء من نهج الوصول المشروط. Sign-in risk ويمثل خطر تسجيل الدخول احتمال عدم تخويل صاحب الهوية طلب مصادقة معين. يمكن العثور على مزيد من المعلومات حول مخاطر تسجيل الدخول في المقالات،وما هي المخاطروكيفية القيام بما يلي: تكوين نُهج المخاطر وتمكينها.

خطر المستخدم

بالنسبة للعملاء الذين لديهم حق الوصول إلى حماية الهوية ، يمكن تقييم مخاطر المستخدم كجزء من نهج الوصول المشروط. ويمثل خطر المستخدم احتمال اختراق هوية أو حساب معين. يمكن العثور على مزيد من المعلومات حول مخاطر المستخدم في المقالات، ما هي المخاطر و كيفية: تكوين نُهج المخاطر وتمكينها .

⁧⁩الأنظمة الأساسية للجهاز⁧⁩

يتميز النظام الأساسي الجهاز بنظام التشغيل الذي يعمل على الجهاز. يعرف Microsoft Azure Active Directory النظام الأساسي باستخدام المعلومات المقدمة من الجهاز، مثل سلاسل عامل المستخدم. نظرًا لإمكانية تعديل سلاسل وكيل المستخدم، لم يتم التحقق من هذه المعلومات. يجب استخدام النظام الأساسي للجهاز بالتنسيق مع نُهج التوافق مع الجهاز Microsoft Intune أو كجزء من بيان الكتلة. الإعداد الافتراضي هو أن يتم تطبيقه على جميع الأنظمة الأساسية للجهاز.

يدعم Microsoft Azure Active Directory الوصول المشروط إلى الأنظمة الأساسية للجهاز التالية:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

إذا حظرت المصادقة القديمة باستخدام شرط العملاء الآخرون، فيمكنك أيضًا تعيين حالة النظام الأساسي للجهاز.

هام

توصي Microsoft بأن يكون لديك نهج وصول مشروط للأنظمة الأساسية للأجهزة غير المدعومة. على سبيل المثال، إذا كنت ترغب في حظر الوصول إلى موارد شركتك من نظام تشغيل Chrome OS أو أي عملاء آخرين غير مدعومين، يجب عليك تكوين نهج مع شرط الأنظمة الأساسية للجهاز الذي يتضمن أي جهاز ويستبعد الأنظمة الأساسية للجهاز المدعومة وتعيين عنصر تحكم Grant على «حظر الوصول».

المواقع

عند تكوين الموقع كونها شرط، يمكن للمؤسسات اختيار تضمين المواقع أو استبعادها. قد تتضمن هذه المواقع المسماة معلومات شبكة IPv4 العامة أو البلد أو المنطقة أو حتى المناطق غير المعروفة التي لا تعين إلى بلدان أو مناطق معينة. يمكن وضع علامة على نطاقات IP فقط كموقع موثوق به.

عند تضمين أي موقع، يتضمن هذا الخيار أي عنوان IP على الإنترنت وليس مجرد تكوين مواقع مسماة. عند تحديد أي موقع، يمكن للمسؤولين اختيار استبعاد جميع المواقع الموثوق بها أوالمحددة.

على سبيل المثال، قد تختار بعض المؤسسات عدم طلب مصادقة متعددة العوامل عندما يكون مستخدموها متصلين بالشبكة في موقع موثوق به مثل المقر الرئيسي الفعلي. يمكن للمسؤولين إنشاء نُهج تتضمن أي موقع لكنها تستبعد المواقع المحددة لشبكات مراكزهم الرئيسية.

يمكن العثور على مزيد من المعلومات حول المواقع في المقالة، ما هي حالة الموقع في Microsoft Azure Active Directory Conditional Access .

التطبيقات الخاصة بالعملاء

بشكل افتراضي، ستُطبق جميع نهج الوصول المشروط المنشأة حديثًا على جميع أنواع تطبيقات العميل حتى إذا لم يتم تكوين حالة تطبيقات العميل.

ملاحظة

تم تحديث سلوك حالة تطبيقات العميل المشروط في أغسطس 2020. إذا كانت لديك نُهج الوصول المشروط موجودة، فستبقى بدون تغيير. ومع ذلك، إذا قمت بالنقر فوق نهج موجود، تمت إزالة تبديل تكوين ويتم تحديد تطبيقات العميل التي تنطبق عليها النُهج.

هام

لا تدعم عمليات تسجيل الدخول من عملاء المصادقة القديمة ميزة MFA ولا تمرر معلومات حالة الجهاز إلى Microsoft Azure Active Directory، لذلك سيتم حظرها بواسطة عناصر تحكم منحة الوصول المشروط، مثل طلب مصادقة متعددة العوامل (MFA) أو الأجهزة المتوافقة. إذا كانت لديك حسابات يجب أن تستخدم المصادقة القديمة، فيجب إما استبعاد هذه الحسابات من النهج، أو تكوين النهج بحيث تنطبق فقط على عملاء المصادقة الحديثة.

ينطبق مفتاح التبديل تكوين عند التعيين على نعم على العناصر المحددة، عند التعيين على لا فإنه ينطبق على جميع تطبيقات العميل، بما في ذلك عملاء المصادقة الحديثة والقديمة. لا يظهر هذا التبديل في النُهج التي تم إنشاؤها قبل أغسطس 2020.

  • عملاء المصادقة الحديثين
    • متصفح
      • يتضمن ذلك التطبيقات المستندة إلى الويب التي تستخدم بروتوكولات مثل SAML أو WS-Federation أو OpenID Connect أو الخدمات المسجلة كعميل OAuth السري.
    • تطبيقات الأجهزة المحمولة وعملاء سطح المكتب
      • يتضمن هذا الخيار التطبيقات مثل تطبيقات سطح المكتب والهاتف Office.
  • العملاء القدماء للمصادقة
    • عملاء تبادل ActiveSync
      • يتضمن هذا التحديد جميع استخدامات بروتوكول Exchange ActiveSync (EAS).
      • عندما يمنع النهج استخدام Exchange ActiveSync سيتلقى المستخدم المتأثر رسالة بريد إلكتروني واحدة من العزل. سيُوفر هذا البريد الإلكتروني معلومات عن سبب حظرها وتشمل تعليمات المعالجة إن أمكن.
      • يمكن للمسؤولين تطبيق النهج فقط على الأنظمة الأساسية المدعومة (مثل iOS وAndroid وWindows) من خلال Conditional Access Microsoft Graph API.
    • عملاء آخرون
      • يتضمن هذا الخيار العملاء الذين يستخدمون بروتوكولات المصادقة الأساسية/القديمة التي لا تدعم المصادقة الحديثة.
        • SMTP مصدق عليه - يستخدمه عميل POP وIMAP لإرسال رسائل البريد الإلكتروني.
        • الاكتشاف التلقائي - يستخدمه عملاء Outlook وEAS للبحث عن علب البريد والاتصال بها في Exchange Online.
        • Exchange Online PowerShell - يُستخدم للاتصال بـExchange عبر الإنترنت باستخدام PowerShell البعيد. إذا حظرت المصادقة الأساسية لـExchange Online PowerShell، فستحتاج إلى استخدام وحدة Exchange Online PowerShell النمطية للاتصال. للحصول على الإرشادات، راجع الاتصال بـExchange Online PowerShell باستخدام مصادقة متعددة العوامل .
        • خدمات Exchange عبر الويب (EWS) - واجهة البرمجة المستخدمة بواسطة Outlook و Outlook for Mac وتطبيقات الجهات الخارجية.
        • IMAP4 - مستخدم بواسطة عملاء البريد الإلكتروني IMAP.
        • MAPI عبر HTTP (MAPI/HTTP) - يُستخدم بواسطة Outlook 2010 والإصدارات الأحدث.
        • دفتر العناوين غير المتصل (OAB) - نسخة من مجموعات قائمة العناوين المنزلة واستخدامها بواسطة Outlook.
        • Outlook Anywhere (RPC عبر HTTP) - يستخدمه Outlook 2016 والإصدارات الأقدم.
        • خدمة Outlook - مستخدمة بواسطة تطبيق البريد والتقويم لنظام التشغيل Windows 10.
        • POP3 - مستخدم بواسطة عملاء البريد الإلكتروني POP.
        • خدمات ويب التقارير - تُستخدم لاسترداد بيانات التقارير في Exchange Online.

تُستخدم هذه الشروط بشكل شائع عند طلب جهاز مُدار، وحظر المصادقة القديمة، وحظر تطبيقات الويب مع السماح بتطبيقات الهاتف المحمول أو سطح المكتب.

المتصفحات المدعومة

يعمل هذا الإعداد مع جميع المتصفحات. مع ذلك، لتلبية نهج الجهاز، مثل متطلبات الجهاز المتوافقة، تُدعم المتصفحات وأنظمة التشغيل التالية. لا تظهر المتصفحات وأنظمة التشغيل التي خرجت من الدعم الأساسي في هذه القائمة:

أنظمة التشغيل المتصفحات
+ Windows 10 Microsoft Edge، متصفح كروم، Firefox 91+
Windows Server 2022 Microsoft Edge، متصفح كروم
Windows Server 2019 Microsoft Edge، متصفح كروم
iOS Microsoft Edge، Safari (انظر الملاحظات)
Android Microsoft Edge، متصفح كروم
macOS متصفح Microsoft Edge وChrome وSafari

تدعم هذه المتصفحات مصادقة الجهاز، مما يسمح بتحديد الجهاز والتحقق من صحته وفقًا للنهج. فشل فحص الجهاز إذا كان المتصفح قيد التشغيل في الوضع الخاص أو إذا تم تعطيل ملفات تعريف الارتباط.

ملاحظة

تتطلب Edge 85+ تسجيل دخول المستخدم إلى المتصفح لتمرير هوية الجهاز بشكل صحيح. خلاف ذلك، فإنه يتصرف مثل متصفح كروم دون إضافة الحسابات. قد لا تحدث هذه التسجيلات تلقائيا في سيناريو "ربط Microsoft Azure Active Directory المختلط".

يتم دعم متصفح Safari للوصول المشروط المستند إلى الجهاز، ولكنه لا يمكن أن يلبيتطبيق العميل المطلوب الموافق عليه أو تتطلب شروط نهج حمايةالتطبيق. متصفح مُدار مثل Microsoft Edge سيلبي تطبيق العميل المعتمد ومتطلبات نهج حماية التطبيق. في نظام التشغيل iOS المزود بحل MDM من طرفٍ ثالثٍ، لا يدعم مستعرض Microsoft Edge سوى نهج الجهاز.

Firefox 91+ مدعوم للوصول المشروط المستند إلى الجهاز، ولكن يجب تمكين "السماح بتسجيل الدخول الأحادي لـ Windows لحسابات Microsoft والعمل والمدرسة".

لماذا أرى مطالبة الشهادة في المتصفح

في 7 Windows، يعرف iOS وAndroid وmacOS Microsoft Azure Active Directory الجهاز باستخدام شهادة عميل يتم توفيرها عند تسجيل الجهاز مع Microsoft Azure Active Directory. عندما يقوم مستخدم بتسجيل الدخول لأول مرة من خلال المتصفح، تتم مطالبة المستخدم بتحديد الشهادة. يجب على المستخدم تحديد هذه الشهادة قبل استخدام المتصفح.

دعم متصفح كروم

للحصول على دعم Chrome في تحديث المبدعين لـ Windows 10 (الإصدار 1703) أو إصدار أحدث، قم بتثبيت حسابات Windows أو ملحقات Office. هذه الامتدادات مطلوبة عندما يتطلب نهج الوصول المشروط تفاصيل خاصة بالجهاز.

لتوزيع هذه الإضافة تلقائيًا في متصفحات Chrome، أنشئ مفتاح التسجيل التالي:

  • Path HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • اسم 1
  • نوع سلسلة REG_SZ (سلسلة)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

لدعم Chrome في Windows 8.1 و7، أنشئ مفتاح التسجيل التالي:

  • Path HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • اسم 1
  • نوع سلسلة REG_SZ (سلسلة)
  • Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

دعم تطبيقات الأجهزة المحمولة وعملاء سطح المكتب

يمكن للمؤسسات تحديد تطبيقات الأجهزة المحمولة وعملاء سطح المكتب كتطبيق عميل.

يؤثر هذا الإعداد على محاولات الوصول التي تتم من تطبيقات الأجهزة المحمولة وعملاء سطح المكتب التالية:

التطبيقات الخاصة بالعملاء الخدمة الخاصة بالهدف النظام الأساسي
التطبيق Dynamics CRM Dynamics CRM نوافذ 10 ونوافذ 8.1 وiOS وAndroid
تطبيق البريد / التقويم / الأشخاص، Outlook 2016 Outlook 2013 (بمصادقة حديثة) تبادل عبر الإنترنت Windows 10
مصادقة متعددة العوامل (MFA) ونهج الموقع للتطبيقات. النُهج المستندة إلى الأجهزة غير المدعومة. أي خدمة تطبيقات My Apps أنظمة Android and iOS
خدمات Microsoft Teams - يتحكم تطبيق العميل هذا في جميع الخدمات التي تدعم Microsoft Teams وجميع تطبيقات العميل الخاصة بها - Windows Desktop وiOS وAndroid وWindows Phone وعميل الويب Microsoft Teams نوافذ 10 ونوافذ 8.1 ونوافذ 7 وiOS وAndroid وmacOS
تطبيقات Office 2016 Office 2013 (بمصادقة حديثة)، عميل مزامنة OneDrive SharePoint نوافذ 8.1 ونوافذ 7
تطبيقات Office 2016، تطبيقات Office العالمية، Office 2013 (بمصادقة حديثة)، عميل مزامنة OneDrive SharePoint Online Windows 10
Office 2016 (Word, Excel, PowerPoint, OneNote only). SharePoint macOS
Office 2019 SharePoint نوافذ 10، macOS
تطبيقات Office للأجهزة المحمولة SharePoint Android وiOS
التطبيق Office Yammer Yammer نظام التشغيل نوافذ 10 وiOS وAndroid
Outlook 2019 SharePoint نوافذ 10، macOS
Outlook 2016 (Office for macOS) تبادل عبر الإنترنت macOS
Outlook 2016، Outlook 2013 (بمصادقة حديثة)، Skype for Business (بمصادقة حديثة) تبادل عبر الإنترنت نوافذ 8.1 ونوافذ 7
التطبيق Outlook للهاتف المحمول تبادل عبر الإنترنت Android وiOS
تطبيق Power BI خدمة Power BI نوافذ 10 ونوافذ 8.1 ونوافذ 7 وAndroid وiOS
Skype for Business تبادل عبر الإنترنت Android وiOS
Visual Studio تطبيق لخدمات الفريق Visual Studio Team Services نوافذ 10 ونوافذ 8.1 ونوافذ 7 وiOS وAndroid

عملاء تبادل ActiveSync

  • يمكن للمؤسسات تحديد لعملاء Exchange فقط عند تعيين نهج للمستخدمين أو المجموعات. سيؤدي تحديد كافة المستخدمينأو كافة المستخدمين الضيوف والخارجيينأو أدوار الدليل إلى أن يكون كافة المستخدمين عرضة للنهج.
  • عند إنشاء نهج معين لعملاء Exchange يجب أن يكون Exchange Online التطبيق السحابي الوحيد المعين للانتهاك.
  • يمكن للمؤسسات تضييق نطاق هذا النهج ليشمل أنظمة أساسية معينة باستخدام شرط الأنظمة الأساسية للأجهزة.

إذا كان عنصر التحكم في الوصول المعين إلى النهج يستخدم تطبيق عميل مطلوب موافقعليه، يتم توجيه المستخدم لتثبيت واستخدام عميل الهاتف المحمول لتطبيق Outlook. في حالة طلب المصادقة متعددة العواملأو شروط الاستخدامأو عناصر التحكم المخصصة ، يُحظر المستخدمين المتأثرين لأن المصادقة الأساسية لا تدعم عناصر التحكم هذه.

لمزيد من المعلومات، راجع المقالات التالية:

عملاء آخرون

بتحديدعملاء آخرين، يمكنك تحديد شرط يؤثر على التطبيقات التي تستخدم المصادقة الأساسية مع بروتوكولات البريد مثل IMAP وMAPI وPOP وSMTP وتطبيقات Office الأقدم التي لا تستخدم المصادقة الحديثة.

حالة الجهاز (مهمل)

تم إيقاف ميزة المعاينة هذه. يجب على العملاء استخدام شرط عامل التصفية للأجهزة في نهج الوصول المشروط لتلبية السيناريوهات التي تم تحقيقها مسبقًا باستخدام حالة الجهاز (إصدار أولي).

اُستخدمت حالة الجهاز لاستبعاد الأجهزة المُسجل عبر hybrid Azure AD أو الأجهزة المُميزة على أنها متوافقة مع نهج توافق Microsoft Intune من نُهج الوصول المشروط الخاصة بالمؤسسة أو كليهما.

على سبيل المثال، كافة المستخدمين الذين يصلوا إلى تطبيق السحابة Microsoft Azure Management بما في ذلك حالة كل الجهاز باستثناء انضمام Microsoft Azure Active Directory إلى الجهاز وتم وضع علامة على الجهاز على أنه متوافق وبالنسبة لـ عناصر التحكم في الوصول وحظر.

  • قد ينشئ هذا المثال نهج يسمح فقط بالوصول إلى Microsoft Azure Management من الأجهزة التي هي إما مُسجل عبر hybrid Microsoft Azure Active Directory انضم أو الأجهزة التي تم وضع علامة متوافقة.

يمكن تكوين السيناريو أعلاه باستخدام All users الذين يصلون إلى التطبيق السحابي Microsoft Azure Management مع شرط Filter for devices في وضع exclude باستخدام القاعدة التالية device.trustType -eq "ServerAD" -or device.isCompliant -eq True وAccess controls، Block.

  • قد يؤدي هذا المثال إلى إنشاء نهج يمنع الوصول إلى تطبيق Microsoft Azure Management السحابي من الأجهزة غير المُدارة أو غير المتوافقة.

هام

لا يمكن استخدام حالة الجهاز وعوامل التصفية للأجهزة معًا في نهج الوصول الشرطي. تزويد عوامل التصفية للأجهزة استهدافا أكثر دقة بما في ذلك دعم معلومات حالة الجهاز المستهدف من خلال trustType الخاصية وisCompliant.

تصفية الأجهزة

هناك شرط اختياري جديد في "الوصول المشروط" يسمى عامل تصفية للأجهزة. عند تكوين التصفية للأجهزة كشرط، يمكن للمؤسسات أن تختار تضمين أو استبعاد الأجهزة استنادًا إلى عامل التصفية باستخدام تعبير القاعدة في خصائص الجهاز. يمكن تأليف تعبير القاعدة لتصفية الأجهزة باستخدام أداة إنشاء القواعد أو بنية القاعدة. تشبه هذه التجربة تجربة مستخدمة لقواعد العضوية الديناميكية للمجموعات. لمزيد من المعلومات، راجع المقالة الوصول المشروط: عامل تصفية للأجهزة (إصدار أولي) .

الخطوات التالية