بناء نهج الوصول المشروط

كما هو موضح في المقال ما هو الوصول المشروط، فإن نهج الوصول المشروط هو عبارة شرطية من المهام وعناصر التحكم في الوصول. يجمع نهج الوصول المشروط الإشارات معًا لاتخاذ القرارات وإنفاذ النُهج التنظيمية.

كيف تنشئ منظمة هذا النهج؟ ما هو المطلوب؟ كيف يتم تطبيق هذا النهج؟

الوصول المشروط (إشارات + قرارات + إنفاذ = نهج)

قد تنطبق نُهج وصول مشروط متعددة على مستخدم فردي في أي وقت. في هذه الحالة، يجب أن يتم استيفاء كافة النهج التي تنطبق. على سبيل المثال، إذا تطلب نهج مصادقة متعددة العوامل (MFA) ويتطلب نهج آخر جهاز متوافق، يجب إكمال المصادقة متعددة العوامل واستخدام جهاز متوافق. جميع المهام هي ANDedمنطقيًا. إذا كان لديك أكثر من واجب تم تكوينه، فيجب تلبية جميع المهام لتشغيل النهج.

إذا حُدد النهج يتم فيه تحديد "تطلب أحد عناصر التحكم المحددة"، فإننا نطالب بالترتيب المحدد، بمجرد استيفاء متطلبات النهج، يتم منح حق الوصول.

يتم تطبيق كافة النهج على مرحلتين:

التعيينات

يتحكم جزء المهام في من وماذا وأين من نهج الوصول المشروط.

المستخدمون والمجموعات

يقوم المستخدمون والمجموعات بتعيين من سيقوم النهج بتضمينه أو استبعاده. يمكن أن يتضمن هذا التعيين كافة المستخدمين أو مجموعات معينة من المستخدمين أو أدوار الدليل أو المستخدمين الضيوف الخارجيين.

التطبيقات أو الإجراءات السحابية

يمكن أن تتضمن تطبيقات أو إجراءات السحابة أو تستبعد التطبيقات السحابية أو إجراءات المستخدم أو سياقات المصادقة التي ستخضع للنهج.

‏‏شروط

يمكن أن يحتوي النهج على عدة شروط.

خطر تسجيل الدخول

بالنسبة للمؤسسات التي تحتوي على Azure Active Directory Identity Protection، يمكن أن تؤثر عمليات اكتشاف المخاطر التي تم إنشاؤها هناك على نهج الوصول المشروط الخاص بك.

⁧⁩الأنظمة الأساسية للجهاز⁧⁩

قد ترغب المؤسسات ذات النظم الأساسية لنظام تشغيل الأجهزة في فرض نهج محددة على نظم أساسية مختلفة.

تأتي المعلومات المستخدمة لحساب النظام الأساسي للجهاز من مصادر لم يتم التحقق منها مثل سلاسل وكيل المستخدم التي يمكن تغييرها.

المواقع

يتم توفير بيانات الموقع بواسطة بروتوكول الإنترنت لبيانات تحديد الموقع الجغرافي. يمكن للمسؤولين اختيار تحديد المواقع واختيار وضع علامة على بعضها على أنها موثوقة مثل تلك الخاصة بمواقع شبكة مؤسستهم.

تطبيقات العملاء

البرامج التي يستخدمها المستخدم للوصول إلى تطبيق السحابة. على سبيل المثال، "المستعرض"، و"تطبيقات الأجهزة المحمولة وعملاء سطح المكتب". بشكل افتراضي، سيتم تطبيق جميع نهج الوصول المشروط المنشأة حديثًا على جميع أنواع تطبيقات العميل حتى إذا لم يتم تكوين حالة تطبيقات العميل.

تم تحديث سلوك حالة تطبيقات العميل في أغسطس 2020. إذا كان لديك نهج وصول مشروط قائمة، فستبقى بدون تغيير. ومع ذلك، إذا حددت نهج حالي، فقد تمت إزالة تبديل التكوين وتحديد تطبيقات العميل التي ينطبق عليها النهج.

حالة الجهاز

يُستخدم عنصر التحكم هذا لاستبعاد الأجهزة المُسجلة عبر hybrid Azure AD، أو التي تم وضع علامة على أنها متوافقة في Intune. يمكن إجراء هذا الاستبعاد لحظر الأجهزة غير المدارة.

تصفية الأجهزة

يسمح عنصر التحكم هذا باستهداف أجهزة معينة استنادا إلى سماتها في النهج.

عناصر التحكم بالوصول

يتحكم جزء التحكم بالوصول من نهج الوصول المشروط في كيفية فرض النهج.

امنح

يُزود المنح المسؤولين بوسيلة لفرض النهج حيث يمكنهم حظر الوصول أو منحه.

حظر الوصول

منع الوصول يفعل ذلك تمامًا، فإنه سيتم حظر الوصول تحت المهام المحددة. يعد عنصر حظر المستوى قويًا ويجب استخدامه بالمعرفة المناسبة.

منح حق الوصول

يُمكن أن يؤدي عنصر المنح في إنفاذ عنصر تحكم واحد أو أكثر.

  • طلب مصادقة متعددة العوامل
  • يتطلب تمييز الجهاز بأنه متوافق (Intune)
  • طلب جهاز Hybrid Azure AD المنضم
  • يتطلب تطبيق العميل المعتمد
  • يتطلب سياسة حماية التطبيق
  • تتطلب تغيير كلمة المرور
  • طلب شروط الاستخدام

يمكن للمسؤولين اختيار طلب أحد عناصر التحكم السابقة أو كافة عناصر التحكم المحددة باستخدام الخيارات التالية. يكون الوضع الافتراضي لعناصر التحكم المتعددة هو طلب الكل.

  • تتطلب جميع عناصر التحكم المحددة (عنصر تحكم وعنصر تحكم)
  • تتطلب أحد عناصر التحكم المحددة (عنصر تحكم أو عنصر تحكم)

"Session"

يمكن أن تحد عناصر التحكم في الجلسة من التجربة

  • استخدام القيود المفروضة على التطبيق
    • تعمل حاليًا مع Exchange Online SharePoint عبر الإنترنت فقط.
    • تُمرر معلومات الجهاز للسماح بالتحكم في التجربة التي تمنح الوصول الكامل أو المحدود.
  • تستخدم وحدة التحكم بتطبيق الوصول المشروط
    • يستخدم إشارات من Microsoft Defender for Cloud Apps للقيام بأشياء مثل:
      • حظر تنزيل المستندات الحساسة وقصها ونسخها وطباعتها.
      • مراقبة سلوك جلسة عمل محفوفة بالمخاطر.
      • تتطلب وضع علامات على الملفات الحساسة.
  • مدى تكرار تسجيل الدخول
    • القدرة على تغيير تردد تسجيل الدخول الافتراضي للمصادقة الحديثة.
  • جلسة عمل متصفح مستمرة
    • يسمح للمستخدمين بالبقاء مسجلين الدخول بعد إغلاق وإعادة فتح نافذة المتصفح.
  • تخصيص تقييم الوصول المستمر
  • تعطيل الإعدادات الافتراضية للمرونة

نهج بسيط

يجب أن يحتوي نهج الوصول المشروط على الأقل على ما يلي ليتم فرضه:

  • اسم النهج
  • التعيينات
    • المستخدمين و/أو المجموعات لتطبيق النهج عليهم.
    • تطبيقات أو إجراءات سحابية لتطبيق النهج عليها.
  • ⁩عناصر التحكم بالوصول⁧
    • عناصر التحكم في المنح أو عنصر حظر المستوى

نهج الوصول المشروط الفارغ

يتضمن المقال نهج الوصول المشروط المشترك بعض النهج التي نعتقد أنها ستكون مفيدة لمعظم المؤسسات.

الخطوات التالية

إنشاء نهج الوصول المشروط

محاكاة سلوك تسجيل الدخول باستخدام أداة الوصول المشروط «What If»

التخطيط لنشر Azure AD Multi-Factor Authentication المستند إلى السحابة

إدارة امتثال الجهاز مع Intune

Microsoft Defender for Cloud Apps والوصول المشروط