تكوين إدارة جلسة عمل المصادقة مع الوصول الشرطي

في عمليات النشر المعقدة، قد تحتاج المؤسسات إلى تقييد جلسات عمل المصادقة. قد تتضمن بعض السيناريوهات ما يلي:

  • الوصول إلى الموارد من جهاز مشترك أو غير مدار
  • الوصول إلى المعلومات الحساسة من شبكة خارجية
  • المستخدمون ذوو التأثير الكبير
  • تطبيقات الأعمال الهامة

تسمح لك عناصر التحكم في الوصول المشروط بإنشاء نُهج تستهدف حالات استخدام معينة داخل المؤسسة دون التأثير على كافة المستخدمين.

قبل الغوص في تفاصيل حول كيفية تكوين النهج، دعنا نفحص التكوين الافتراضي.

تكرار تسجيل دخول المستخدم

يحدد تكرار تسجيل الدخول الفترة الزمنية قبل مطالبة المستخدم بتسجيل الدخول مرة أخرى عند محاولة الوصول إلى مورد.

التكوين الافتراضي Azure Active Directory (Azure AD) لتكرار تسجيل دخول المستخدم هو نافذة متجددة مدتها 90 يوماً. غالباً ما يبدو طلب بيانات الاعتماد من المستخدمين أمراً منطقياً، ولكنه قد يأتي بنتائج عكسية: يمكن للمستخدمين الذين تم تدريبهم على إدخال بيانات الاعتماد الخاصة بهم دون تفكير تزويدهم عن غير قصد بمطالبة بيانات اعتماد ضارة.

قد يبدو من المثير للقلق عدم مطالبة المستخدم بتسجيل الدخول مرة أخرى، في الواقع فإن أي انتهاك لسياسات تكنولوجيا المعلومات سيؤدي إلى إلغاء الجلسة. تتضمن بعض الأمثلة (على سبيل المثال لا الحصر) تغيير كلمة المرور أو جهاز غير متوافق أو تعطيل الحساب. يمكنك أيضاً صراحة إبطال جلسات المستخدمين باستخدام PowerShell. يتلخص التكوين الافتراضي لـ Azure AD في "عدم مطالبة المستخدمين بتقديم بيانات اعتمادهم إذا لم يتغير وضع الأمان لجلساتهم".

يعمل إعداد تردد تسجيل الدخول مع التطبيقات التي نفذت بروتوكولات OAuth2 أو OIDC وفقًا للمعايير. تتوافق معظم تطبيقات Microsoft الأصلية التي تعمل بنظام Windows، وعلى أجهزة Mac، والأجهزة المحمولة بما في ذلك تطبيقات الويب التالية مع الإعداد.

  • Word، Excel، PowerPoint Online
  • OneNote Online
  • Office.com
  • مدخل مسؤول Microsoft 365
  • Exchange Online
  • SharePoint وOneDrive
  • Teams web client
  • Dynamics CRM Online
  • مدخل Azure

يعمل إعداد تردد تسجيل الدخول مع تطبيقات الجهة الثالثة SAML والتطبيقات التي نفذت بروتوكولات OAuth2 أو OIDC، طالما أنها لا تقطع ملفات تعريف الارتباط الخاصة بها ويُعاد توجيهها مرة أخرى إلى AAD (دليل Azure النشط) للمصادقة بشكل منتظم.

تكرار تسجيل دخول المستخدم والمصادقة متعددة العوامل

تم تطبيق تكرار تسجيل الدخول مسبقاً على مصادقة العامل الأول فقط على الأجهزة التي تم ربط Azure AD بها، وانضمام Azure AD المهجن إليها، وتسجيل Azure AD. لم تكن هناك طريقة سهلة لعملائنا لإعادة فرض المصادقة متعددة العوامل (MFA) على تلك الأجهزة. بناءً على ملاحظات العملاء، فإن تكرار تسجيل الدخول سينطبق على MFA أيضًا.

تكرار تسجيل الدخول وMFA

تكرار تسجيل دخول المستخدم وهويات الجهاز

على الأجهزة المسجلة في Azure AD أو المُسجلة عبر hybrid Azure AD أو المُسجلة عبر Azure AD، سيؤدي فتح الجهاز أو تسجيل الدخول بشكل تفاعلي إلى تلبية نهج تكرار تسجيل الدخول. في المثالين التاليين، تم تعيين تكرار تسجيل دخول المستخدم على ساعة واحدة:

المثال 1:

  • في الساعة 00:00، يقوم مستخدم بتسجيل الدخول إلى جهاز مشترك في Windows 10 Azure AD ويبدأ العمل على مستند مخزن على SharePoint Online.
  • يستمر المستخدم في العمل على نفس المستند على جهازه لمدة ساعة.
  • في 01:00، تتم مطالبة المستخدم بتسجيل الدخول مرة أخرى استنادًا إلى متطلبات تكرار تسجيل الدخول في نهج الوصول المشروط الذي تم تكوينه بواسطة المسؤول.

المثال 2:

  • في الساعة 00:00، يقوم مستخدم بتسجيل الدخول إلى جهاز مشترك في Windows 10 Azure AD ويبدأ العمل على مستند مخزن على SharePoint Online.
  • في الساعة 00:30، يستيقظ المستخدم ويأخذ قسطاً من الراحة لتأمين أجهزته.
  • في 00:45، يعود المستخدم من الاستراحة الخاصة به ويفتح الجهاز.
  • في 01:45، تتم مطالبة المستخدم بتسجيل الدخول مرة أخرى استنادًا إلى متطلبات تكرار تسجيل الدخول في نهج الوصول المشروط الذي تم تكوينه من قبل المسؤول منذ حدث آخر تسجيل دخول في 00:45.

طلب إعادة المصادقة في كل مرة

هناك سيناريوهات قد يرغب فيها العملاء في طلب مصادقة جديدة، في كل مرة قبل أن ينفذ المستخدم إجراءات محددة. يحتوي تكرار تسجيل الدخول على خيار جديد في كل مرة بالإضافة إلى ساعات أو أيام.

السيناريوهات المدعومة:

عندما يحدد المسؤولون في كل مرة، سيتطلب الأمر إعادة مصادقة كاملة عند تقييم الجلسة.

استمرار جلسات التصفح

تسمح جلسة عمل المستعرض المستمرة للمستخدمين بالبقاء في تسجيل الدخول بعد إغلاق نافذة المستعرض الخاصة بهم وإعادة فتحها.

يسمح الإعداد الافتراضي لـ Azure AD الخاص باستمرار جلسة المستعرض أن يختار المستخدمون على أجهزتهم الشخصية ما إذا كانوا يريدون الاستمرار في جلسة العمل من خلال عرض "البقاء على تسجيل الدخول؟" المطالبة بعد المصادقة الناجحة. إذا تم تكوين استمرار المستعرض في AD FS باستخدام الإرشادات الواردة في المقالة إعدادات تسجيل الدخول الأحادي إلى AD FS، فسنلتزم بهذا النهج وسنواصل جلسة Azure AD أيضًا. يمكنك أيضاً تكوين ما إذا كان المستخدمون في المستأجر الخاص بك يرون "الاحتفاظ بتسجيل الدخول؟" المطالبة من خلال تغيير الإعداد المناسب في جزء إدراج علامة تجارية للشركة.

تكوين عناصر تحكم جلسة عمل المصادقة

الوصول المشروط هو قدرة Azure AD Premium ويتطلب ترخيصاً متميزاً. إذا كنت ترغب في معرفة المزيد حول الوصول المشروط، فراجع ما هو الوصول المشروط في Microsoft Azure Active Directory؟

تحذير

إذا كنت تستخدم ميزة عمر الرمز المميز القابل للتكوين حالياً في المعاينة العامة، فالرجاء ملاحظة أننا لا ندعم إنشاء نهجين مختلفتين لنفس المستخدم أو مجموعة التطبيق: واحد مع هذه الميزة والآخر برمز مميز قابل للتكوين مدى الحياة. ألغت Microsoft ميزة فترة الرمز المميز القابل للتكوين من أجل التحديث وفترة الرمز المميز للجلسة في 30 يناير 2021 واستبدلت بميزة إدارة جلسة مصادقة الوصول المشروط.

قبل تمكين تكرار تسجيل الدخول، تأكد من تعطيل إعدادات إعادة المصادقة الأخرى في المستأجر الخاص بك. إذا تم تمكين "تذكر MFA على الأجهزة الموثوق بها"، فتأكد من تعطيله قبل استخدام تكرار تسجيل الدخول، لأن استخدام هذين الإعدادين معاً قد يؤدي إلى مطالبة المستخدمين بشكل غير متوقع. لمعرفة المزيد حول مطالبات إعادة المصادقة ومدة بقاء الجلسة، راجع المقالة، Optimize reauthentication prompts and understand session lifetime for Azure AD Multifactor Authentication.

نشر النهج

للتأكد من أن النهج الخاص بك يعمل كما هو متوقع، فإن أفضل الممارسات الموصى بها هي اختباره قبل طرحه في عملية الإنتاج. بشكل مثالي، استخدم مستأجر اختبار للتحقق ما إذا كان النهج الجديد يعمل كما هو مقصود. لمزيد من المعلومات، راجع مقالة التخطيط لنشر الوصول المشروط.

النهج 1: التحكم في تكرار تسجيل الدخول

  1. سجّل الدخول إلى مدخل Azure كمسؤول عمومي، أو مسؤول أمان، أو مسؤول الوصول المشروط.

  2. استعرض وصولاً إلى Azure Active Directory>Security>Conditional Access.

  3. حدد "New policy".

  4. أعطِ نهجك اسمًا. ونوصي المؤسسات بأن تنشئ معيارًا ذا معنى لأسماء نُهجها.

  5. اختر جميع الشروط المطلوبة لبيئة العميل، بما في ذلك تطبيقات السحابة المستهدفة.

    ملاحظة

    يوصى بتعيين تكرار مطالبة مصادقة متساوي لتطبيقات Microsoft Office الرئيسية مثل Exchange Online وSharePoint Online للحصول على أفضل تجربة للمستخدم.

  6. ضمن عناصر التحكم بالوصول>الجلسة.

    1. حدد تكرار تسجيل الدخول.
      1. اختر إعادة المصادقة الدورية وأدخل قيمة الساعات أو الأيام أو حدد في كل مرة.
  7. احفظ النهج الخاص بك.

    تم تكوين نهج الوصول المشروط لتكرار تسجيل الدخول

النهج2: جلسة المتصفح المستمرة

  1. سجّل الدخول إلى مدخل Azure كمسؤول عمومي، أو مسؤول أمان، أو مسؤول الوصول المشروط.

  2. استعرض وصولاً إلى Azure Active Directory>Security>Conditional Access.

  3. حدد "New policy".

  4. أعطِ نهجك اسمًا. ونوصي المؤسسات بأن تنشئ معيارًا ذا معنى لأسماء نُهجها.

  5. اختر جميع الشروط المطلوبة.

    ملاحظة

    يرجى ملاحظة أن عنصر التحكم هذا يتطلب اختيار "جميع تطبيقات السحابة" كشرط. يتم التحكم في استمرار جلسة المستعرض عن طريق رمز جلسة المصادقة. تشترك جميع علامات التبويب في جلسة المتصفح في رمز جلسة واحد، وبالتالي يجب أن تتشارك جميعها في حالة الثبات.

  6. ضمن عناصر التحكم بالوصول>الجلسة.

    1. حدد جلسة مستعرض مستمرة.

      ملاحظة

      سيؤدي تكوين جلسة المستعرض المستمرة في الوصول المشروط لـ Azure AD إلى استبدال عبارة «البقاء في وضع تسجيل الدخول؟» الإعداد في جزء العلامة التجارية للشركة في مدخل Azure للمستخدم نفسه إذا كنت قد قمت بتكوين كلا النهجين.

    2. حدد قيمة من القائمة المنسدلة.

  7. احفظ النهج الخاص بك.

النهج 3: التحكم في تكرار تسجيل الدخول في كل مرة يقوم فيها المستخدم المعرض للخطر بما يلي

  1. سجّل الدخول إلى مدخل Azure كمسؤول عمومي، أو مسؤول أمان، أو مسؤول الوصول المشروط.
  2. استعرض وصولاً إلى Azure Active Directory>Security>Conditional Access.
  3. حدد "New policy".
  4. أعطِ نهجك اسمًا. ونوصي المؤسسات بأن تنشئ معيارًا ذا معنى لأسماء نُهجها.
  5. ضمن التعيينات، حدد "هويات المستخدمين أو حمل العمل".
    1. ضمن "Include"، حدد "All users".
    2. ضمن استبعاد، حدد المستخدمين والمجموعات، واختر حسابات الوصول في حالات الطوارئ أو الحسابات الاحتياطية لمؤسستك.
    3. حدد Done.
  6. ضمن "Cloud apps or actions>Include"، حدد "All cloud apps".
  7. ضمن ⁧⁩الشروط⁧⁩⁧>⁩⁧⁩خطر المستخدم⁧⁩، قم بتعيين ⁧⁩تكوين⁧⁩ إلى ⁧⁩نعم⁧⁩. ضمن Configure user risk levels needed for policy to be enforced حدد High، ثم حدد Done.
  8. ضمن ⁧⁩عناصر تحكم الوصول⁧⁩⁧>⁩⁧⁩منح⁧⁩، حدد ⁧⁩منح الوصول⁧⁩، ⁧⁩طلب تغيير كلمة المرور⁧⁩، وحدد ⁧⁩تحديد⁧⁩.
  9. ضمن عناصر التحكم في الجلسة>تكرار تسجيل الدخول، حدد في كل مرة.
  10. قم بتأكيد الإعدادات الخاصة بك وعيّن "Enable policy" إلى "Report-only".
  11. حدد "Create" للإنشاء من أجل تمكين النهج الخاص بك.

بعد قيام المسؤولين بتأكيد إعداداتك باستخدام وضع الإبلاغ فقط، يمكنهم نقل مفتاح التبديل تمكين النهج من الإبلاغ فقط إلى تشغيل.

التحقق من الصحة

استخدم أداة ماذا لو لمحاكاة تسجيل الدخول من المستخدم إلى التطبيق المستهدف والشروط الأخرى استنادًا إلى كيفية تكوين النهج الخاص بك. تظهر عناصر التحكم في إدارة جلسة عمل المصادقة في نتيجة الأداة.

التسامح الفوري

نحن نأخذ في الاعتبار خمس دقائق من انحراف الساعة، بحيث لا نطالب المستخدمين أكثر من مرة واحدة كل خمس دقائق. إذا قام المستخدم بإجراء المصادقة متعددة العوامل في آخر 5 دقائق، وحدد نهج وصول مشروط آخر يتطلب إعادة المصادقة، فلن نطالب المستخدم. يمكن أن يؤثر الإفراط في مطالبة المستخدمين بإعادة المصادقة على إنتاجيتهم ويزيد من خطر موافقة المستخدمين على طلبات مصادقة متعددة العوامل لم يبدأوها. استخدم "تكرار تسجيل الدخول - في كل مرة" فقط لتلبية احتياجات أعمال محددة.

المشكلات المعروفة

  • إذا قمت بتكوين تكرار تسجيل الدخول للأجهزة المحمولة: فقد تكون المصادقة بعد كل فاصل تكرار تسجيل الدخول بطيئة، قد تستغرق 30 ثانية في المتوسط. أيضاً، قد يحدث ذلك عبر تطبيقات مختلفة في نفس الوقت.
  • في الأجهزة التي تعمل بنظام التشغيل iOS، إذا قام أحد التطبيقات بتكوين الشهادات كعامل مصادقة أول وتم تطبيق تكرار تسجيل الدخول ونُهج إدارة تطبيقات المحمول من Intune، فسيتم حظر المستخدمين النهائيين من تسجيل الدخول إلى التطبيق عندما يتم تشغيل النهج.

الخطوات التالية