استخدام حالة الموقع في نهج الوصول المشروط

كما هو موضح في «مقالة نظرة عامة»تكون نُهُج الوصول المشروط في أبسط بيان إذا ثم الجمع بين الإشارات، لاتخاذ القرارات وإنفاذ نُهُج المنظمة. يدخل الموقع ضمن الإشارات التي يمكن إدراجها في عملية صنع القرار.

إشارة شرطية مفاهيمية بالإضافة إلى قرار للحصول على التنفيذ

يمكن للمؤسسات استخدام هذا الموقع للمهام الشائعة نحو:

  • طلب المصادقة متعددة العوامل للمستخدمين الذين يصلون إلى الخدمة عندما يكونون غير متصلين بشبكة الشركة.
  • حظر وصول المستخدمين الذين يصلون إلى خدمة من بلدان أو مناطق محددة.

يتم تحديد الموقع من خلال عنوان IP العام الذي يقدمه العميل إلى إحداثيات خدمات مجال Microsoft Azure Active Directory أو GPS التي يوفرها تطبيق Microsoft Authenticator. تنطبق نُهُج الوصول المشروط بشكل افتراضي على كافة عناوين IPv4 وIPv6.

المواقع المُسمّاة

تتم تسمية المواقع في مدخل Azure ضمن Azure Active Directory>الأمان>الوصول المشروط>المواقع المُسمّاة. قد تتضمن مواقع الشبكة المسماة هذه مواقع مثل نطاقات شبكة المقر الرئيسي للمؤسسة أو نطاقات شبكة VPN أو النطاقات التي تريد حظرها. يمكن تحديد المواقع المُسمّاة من خلال نطاقات عناوين IPv4/IPv6 أو حسب البلدان.

المواقع المسماة في مدخل Microsoft Azure

نطاقات عناوين IP

لتعريف موقع مسمى من خلال نطاقات عناوين IPv4/IPv6، ستحتاج إلى توفير:

  • اسم للموقع
  • نطاق IP أو أكثر
  • حدد «ضع علامة كموقع مُعتمد»

مواقع IP جديدة في مدخل Microsoft Azure

تخضع المواقع المُسمّاة المُحددة من خلال نطاقات عناوين IPv4/IPv6 للقيود التالية:

  • تكوين ما يصل إلى 195 موقعًا مسمى
  • تكوين ما يصل إلى 2000 نطاق IP لكل موقع مسمى
  • تُدعم كل من نطاقات IPv4 و IPv6
  • لا يمكن تكوين نطاقات IP خاصة
  • عدد عناوين IP المشمولة في نطاق محدود. يُسمح بأقنعة CIDR أكبر من /8 عند تحديد نطاق IP.

المواقع المعتمدة

يمكن للمسؤولين تسمية المواقع المحددة بنطاقات عناوين IP لتكون مواقع مسمّاة معتمدة.

تعمل عمليات تسجيل الدخول من المواقع المسماة المعتمدة على تحسين دقة حساب مخاطر Azure Active Directory Identity Protection مما يقلل من مخاطر تسجيل الدخول للمستخدم عند المصادقة من موقع تم وضع علامة عليه كموقع معتمد. بالإضافة إلى ذلك، يمكن استهداف المواقع المسماة المعتمدة في نهج الوصول المشروط. على سبيل المثال، يمكنك تقييد تسجيل المصادقة متعددة العوامل إلى المواقع المعتمدة.

البلاد

يمكن للمؤسسات تحديد موقع البلد باستخدام عنوان IP أو إحداثيات GPS.

لتحديد موقع مسمى حسب البلد، ستكون بحاجة إلى توفير ما يلي:

  • اسم للموقع
  • اختر «تحديد الموقع» حسب عنوان IP أو إحداثيات GPS
  • إضافة بلد واحد أو أكثر من بلد
  • اختر »تضمين بلدان/مناطق غير معروفة» بشكل اختياري

استخدام البلد كموقع في مدخل Microsoft Azure

في حال تحديد «تحديد الموقع من خلال عنوان IP (IPv4 فقط) ، سيجمع النظام عنوان IP الخاص بالجهاز الذي يسجّل المستخدم الدخول إليه. عند تسجيل دخول مستخدم، يحلّ Microsoft Azure AD عنوان IPv4 الخاص بالمستخدم إلى بلد أو منطقة، ويُحدّث التعيين بشكل دوري. يمكن للمؤسسات استخدام مواقع محددة حسب البلدان لحظر نسبة استخدام الشبكة من البلدان التي لا تعمل فيها.

ملاحظة

لا يمكن تحديد عمليات تسجيل الدخول من عناوين IPv6 إلى البلدان أو المناطق، وتعتبر مناطق غير معروفة. يمكن تعيين عناوين IPv4 إلى البلدان أو المناطق فقط.

إذا حددت «تحديد الموقع باستخدام إحداثيات GPS» ، سيكون المستخدم بحاجة إلى تثبيت تطبيق Microsoft Authenticator على الهاتف الخاص به. كل ساعة، سيتواصل النظام بتطبيق Microsoft Authenticator الخاص بالمستخدم لجمع موقع GPS على هاتف المستخدم.

في المرة الأولى التي يُطلب فيها من المستخدم مشاركة موقعه من تطبيق Microsoft Authenticator، سيتلقى المستخدم إخطارًا في التطبيق. سيكون المستخدم بحاجة إلى فتح التطبيق ومنح أذونات الموقع.

خلال الـ24 ساعة القادمة، إذا كان المستخدم لا يزال لديه إمكانية الوصول إلى المورد ومنح إذن التطبيق للتشغيل في الخلفية، تتم مشاركة موقع الجهاز دون مطالبة مرة واحدة في الساعة.

  • بعد 24 ساعة، على المستخدم فتح التطبيق والموافقة على الإخطار.
  • لن يتلقى المستخدمون الذين تم تمكين مطابقة الأرقام أو سياق إضافي في تطبيق Microsoft Authenticator الإعلامات بصمت ويجب عليهم فتح التطبيق للموافقة على الإعلامات.

في كل مرة يشارك المستخدم موقع على GPS، يُجري التطبيق كشف عن عمليات اختراق الحماية (باستخدام نفس المنطق كما هو الحال في Microsoft Intune MAM SDK). إذا كان الجهاز مُخترق الحماية، فلا يعتبر الموقع صالحاً ولا يتم منح المستخدم إمكانية الوصول.

يطالب نهج الوصول المشروط من خلال المواقع المسماة المستندة إلى نظام تحديد المواقع العالمي (GPS) في وضع الإبلاغ فقط المستخدمين بمشاركة موقع GPS الخاص بهم، على الرغم من عدم حظر تسجيل دخولهم.

لا يعمل موقع GPS مع طرق المصادقة بدون كلمة مرور.

قد تطالب تطبيقات نهج الوصول المشروط المتعددة المستخدمين بموقع GPS الخاص بهم قبل تطبيق جميع نهج الوصول المشروط. بسبب الطريقة التي يتم بها تطبيق نهج الوصول المشروط، قد يتم رفض وصول المستخدم إذا اجتاز اختبار الموقع ولكنه فشل في نهج آخر. لمزيد من المعلومات حول فرض النهج، راجع المقالة إنشاء نهج الوصول المشروط.

هام

قد يتلقى المستخدمون مطالبات كل ساعة لإعلامهم بأن Microsoft Azure AD يتحقق من موقعه في تطبيق Authenticator. تُستخدم المعاينة فقط لحماية التطبيقات الحساسة للغاية حيث يكون هذا السلوك مقبولًا أو حيث يجب تقييد الوصول إلى بلد/ منطقة معينة.

شمول بلدان/مناطق غير معروفة

لا تُعيّن بعض عناوين IP إلى بلد أو منطقة معينة، بما في ذلك كافة عناوين IPv6. لالتقاط مواقع IP هذه، حدد المربع «تضمين بلدان/مناطق غير معروفة» عند تحديد موقع جغرافي. يسمح لك هذا الخيار باختيار ما إذا كان تضمين عناوين IP هذه ضروريًا في الموقع المسمى. استخدم هذا الإعداد عند ضرورة تطبيق النهج الذي يستخدم الموقع المسمى على مواقع غير معروفة.

تكوين عناوين IP معتمدة من مصادقة متعددة العوامل (MFA)

يمكنك أيضاً تكوين نطاقات عناوين IP التي تمثل الشبكة الداخلية للمؤسسة المحلية فيإعدادات خدمة المصادقة متعددة العوامل. تمكنك هذه الميزة من تكوين نطاقات عناوين IP وصولًا إلى 50. نطاقات عناوين IP بصيغة CIDR. لمزيد من المعلومات، راجع «عناوين IP المعتمدة».

في حال كان لديك عناوين IP معتمدة مكوّنة، فإنها تظهر كـعناوين IP معتمدة من مصادقة متعددة العوامل (MFA) في قائمة المواقع لحالة الموقع.

تخطي المصادقة متعددة العوامل

في صفحة إعدادات خدمة المصادقة متعددة العوامل، يمكنك تحديد مستخدمي الشبكة الداخلية للشركة عن طريق تحديد تخطي المصادقة متعددة العوامل للطلبات المقدّمة من المستخدمين الخارجيين على الشبكة الداخلية الخاصة بي. يشير هذا الإعداد إلى أنه يجب الوثوق بمطالبة شبكة الشركة الداخلية، التي يتم تصدرها خدمات الأمان المشترك لـActive Directory واستخدامها لتحديد المستخدم على أنه مُسجّل على شبكة الشركة. للحصول على مزيد من المعلومات، راجع «تمكين عناوين IP المعتمدة المميزة عن طريق استخدام الوصول المشروط».

بعد التحقق من هذا الخيار، بما في ذلك الموقع المسمى ستنطبق عناوين PI المعتمدة من مصادقة متعددة العوامل (MFA)» على أية نُهُج تم تحديد هذا الخيار معها.

بالنسبة لتطبيقات الهاتف وسطح المكتب، والتي لها عمر جلسة عمل طويلة، يتم إعادة تقييم الوصول المشروط بشكل دوري. يكون الافتراضي مرة واحدة في الساعة. تُصدر مطالبة شبكة الشركة الداخلية فقط في وقت المصادقة الأولية، قد لا يكون لدى Microsoft Azure AD قائمة بنطاقات IP المعتمدة. وفي هذه الحالة، من الصعب تحديد ما إذا كان المستخدم لا يزال على شبكة الشركة أم لا:

  1. تحقق مما إذا كان عنوان IP الخاص بالمستخدم ضمن أحد نطاقات IP المعتمدة.
  2. تحقق ما إذا كانت الثمانيات الثلاثة الأولى من عنوان IP للمستخدم تطابق الثمانيات الثلاثة الأولى من عنوان IP للمصادقة الأوليّة. تتم مقارنة عنوان IP بالمصادقة الأولية عندما تُصدر مطالبة شبكة الشركة الداخلية في الأصل ويتم التحقق من موقع المستخدم.

إذا فشلت الخطوتان، يعتبر المستخدم أنه لم يعد مسجلًا على IP معتمد.

حالة الموقِع في النهج

عند تكوين حالة الموقع، يمكنك التمييز بين الآتي:

  • أية مواقع
  • جميع المواقع المعتمدة
  • مواقع محددة

أية مواقع

يؤدي تحديد «أي موقع» بشكل افتراضي إلى تطبيق نهج على كافة عناوين IP، مما يعني أي عنوان على الإنترنت. لا يقتصر هذا الإعداد على عناوين IP التي كوّنتها كموقع مسمى. عند تحديد «أي موقع» ، لا يزال بإمكانك استبعاد مواقع محددة من النهج. على سبيل المثال، يمكنك تطبيق نهج على كافة المواقع باستثناء المواقع المعتمدة لتعيين النطاق إلى كافة المواقع، باستثناء شبكة الشركة.

جميع المواقع المعتمدة

ينطبق هذا الخيار على الآتي:

  • كافة المواقع التي تم وضع علامة عليها كموقع معتمد
  • عناوين IP معتمدة من مصادقة متعددة العوامل (MFA) (إذا تم تكوينها)

مواقع محددة

باستخدام هذا الخيار، يمكنك تحديد موقع واحد أو أكثر من بين المواقع المسماة. لتطبيق نهج بهذا الإعداد، يكون المستخدم بحاجة للاتصال من أي من المواقع المحددة. عند تحديد الشبكة المسمّاة، يفتح عنصر التحكم الذي يعرض قائمة الشبكات المسماة. كما تظهر القائمة ما إذا كان موقع الشبكة قد تم وضع علامة عليه كموقع معتمد. يتم استخدام الموقع المسمى عناوين IP معتمدة من مصادقة متعددة العوامل (MFA) لتضمين إعدادات IP التي يمكن تكوينها في صفحة إعداد خدمة المصادقة متعددة العوامل.

نسبة استخدام الشبكة IPv6

بشكل افتراضي، سيتم تطبيق نهج الوصول المشروط على كافة نسبة استخدام الشبكة IPv6. يمكنك استبعاد نطاقات عناوين IPv6 محددة من نهج الوصول المشروط إذا كنت لا تريد فرض نهج لنطاقات IPv6 المحددة. على سبيل المثال، إذا كنت تريد عدم فرض نهج للاستخدامات على شبكة الشركة الخاصة بك، ويتم استضافة شبكة الشركة على نطاقات IPv6 العامة.

تحديد نسبة استخدام الشبكة IPv6 في تقارير نشاط تسجيل الدخول إلى Microsoft Azure AD

يمكنك اكتشاف نسبة استخدام الشبكة IPv6 في المستأجر من خلال الانتقال إلىتقارير نشاط تسجيل الدخول إلى Microsoft Azure AD. بعد فتحك لتقرير النشاط، أضف عمود "عنوان IP". سيعطيك هذا العمود ميزة التعرّف على نسبة استخدام الشبكة IPv6.

يمكنك أيضا العثور على عنوان IP للعميل بالنقر فوق صف في التقرير المقدّم، ثم الانتقال إلى علامة التبويب «الموقع» في تفاصيل نشاط تسجيل الدخول.

متى سيكون لدى المستأجر نسبة استخدام الشبكة IPv6؟

لا يدعم Microsoft Azure Active Directory (Azure AD) حاليًا اتصالات شبكة الاتصال المباشرة التي تستخدم IPv6. ومع ذلك، هناك بعض الحالات التي يتم نقل نسبة استخدام الشبكة في المصادقة من خلال خدمة أخرى. في هذه الحالات، سيُستخدم عنوان IPv6 أثناء تقييم النهج.

تأتي معظم نسبة استخدام الشبكة IPv6 التي يتم نقلها إلى Microsoft Azure AD من Microsoft Exchange Online. عند توفرها، يفضل التبادل استخدام اتصالات IPv6. لذلك، إذا كان لديك أي نُهُج للوصول المشروط للتبادل، والتي تم تكوينها لنطاقات IPv4 محددة، فستكون بحاجة إلى التأكد من إضافة نطاقات IPv6 للمؤسسات الخاصة بك أيضًا . يؤدي عدم إدراج نطاقات IPv6 إلى سلوك غير متوقع للحالتين التاليتين:

  • عند استخدام عميل بريد للاتصال مع Microsoft Exchange Online بالمصادقة القديمة، قد تتلقى Microsoft Azure AD عنوان IPv6. ينتقل طلب المصادقة الأوليّ إلى Exchange ثم يتم تعيينه وكيل إلى Microsoft Azure AD.
  • عند استخدام Outlook Web Access (OWA) في مستعرض الويب، فسيتم التحقق بشكل دوري من استمرار استيفاء كافة نُهُج الوصول المشروط. يستخدم هذا الفحص لمتابعة الحالات التي قد يكون المستخدم قد انتقل فيها من عنوان IP مسموح به إلى موقع جديد، كالانتقال إلى صفحة غير مناسبة. في هذه الحالة، إذا تم استخدام عنوان IPv6 وإذا لم يكن عنوان IPv6 في نطاق مكوّن، قد تتم مقاطعة جلسة العمل الخاصة بالمستخدم، ثم يُوجّه مرة أخرى إلى Azure AD لإعادة المصادقة.

بالإضافة إلى ذلك، إذا كنت تستخدم Azure VNets، فستكون لديك نسبة استخدام الشبكة القادمة من عنوان IPv6. إذا كان لديك نسبة استخدام الشبكة VNet محظورة من خلال نهج الوصول المشروط، تحقق من سجل تسجيل الدخول إلى Microsoft Azure AD. بمجرد تحديد نسبة استخدام الشبكة، يُمكنك الحصول على عنوان IPv6 الخاص بالمستخدم واستبعاده من نهجك.

ملاحظة

إذا كنت تريد تحديد نطاق IP CIDR لعنوان واحد، طبّق قناع بت /128. إذا رأيت عنوان IPv6 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a وأردت استبعاد هذا العنوان الوحيد باعتباره نطاق، فسوف تستخدم 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

النقاط الواجب معرفتها

متى يُقيّم الموقع؟

يتم تقييم نُهُج الوصول المشروط في الحالات الآتية:

  • عندما يسجّل المستخدم في البداية الدخول إلى تطبيق ويب أو تطبيق الهاتف أو تطبيق سطح مكتب.
  • يستخدم تطبيق الهاتف أو سطح المكتب، الذي يستخدم مصادقة حديثة، رمز تحديث للحصول على رمز وصول جديد. يحدث هذا الفحص مرة واحدة في الساعة بشكل افتراضي.

يُعني هذا الفحص بالنسبة لتطبيقات الهاتف وتطبيقات سطح المكتب التي تستخدم المصادقة الحديثة، أنه سيتم الكشف عن تغيير في الموقع في غضون ساعة من تغيير موقع الشبكة. بالنسبة لتطبيقات الهاتف وسطح المكتب التي لا تستخدم المصادقة الحديثة، يتم تطبيق النهج على كل طلب لرمز مميز. قد يختلف تكرار الطلب بناء على التطبيق. وعلى نحو مماثل، بالنسبة لتطبيقات الويب، يتم تطبيق النهج عند تسجيل الدخول الأوليّ وهو جيد طوال مدة الجلسة في تطبيق الويب. ونظرًا للاختلافات في مدة بقاء الجلسة عبر التطبيقات، فسيختلف الوقت بين تقييم النهج أيضًا. في كل مرة يطلب التطبيق رمز تسجيل دخول جديد، ينطبق النهج.

تصدر Microsoft Azure AD رمزا مميزا على أساس كل ساعة بشكل افتراضي. بعد الانتقال من شبكة الشركة، في غضون ساعة يتم فرض النهج للتطبيقات باستخدام المصادقة الحديثة.

عنوان IP الخاص بالمستخدم

عنوان IP المُستخدَم في تقييم النهج هو عنوان IP العام الخاص بالمستخدم. بالنسبة للأجهزة الموجودة على شبكة خاصة، فإن عنوان IP هذا ليس IP للعميل لجهاز المستخدم على الشبكة الداخلية، بل هو العنوان الذي تستخدمه الشبكة للاتصال بالإنترنت العام.

التحميل المجمّع وتحميل المواقع المسماة

عند إنشاء مواقع مسماة أو تحديثها، لغرض لتحديثات المجمعة، يمكنك تحميل ملف CSV أو تنزيله باستخدام نطاقات IP. يستبدل التحميل نطاقات IP في القائمة بتلك النطاقات الموجودة بالملف. يحتوي كل صف من الملف على نطاق عنوان IP واحد بصيغة CIDR.

وكلاء شبكة النظير والشبكات الظاهرية الخاصة

عند استخدام حل وكيل أو شبكة ظاهرية خاصة مستضافة على شبكة نظير، يكون عنوان IP الذي يستخدمه Microsoft Azure AD أثناء تقييم نهج هو عنوان IP الخاص بالوكيل. لا يتم استخدام العنوان X-Forwarded-For (XFF) الذي يحتوي على عنوان IP العام للمستخدم لأنه لا يوجد أي تحقق من صحة مورده من مصدر معتمد، لذلك سوف يقدم طريقة لتزييف عنوان IP.

عندما يكون وكيل شبكة النظير في مكانه، يمكن استخدام نهج يستخدم لطلب جهاز متصل عن طريق Microsoft Azure AD المختلط أو داخل مطالبة corpnet من خدمات الأمان المشترك لـActive Directory.

دعم API وPowerShell

يتوفر إصدار معاينة من Graph API للمواقع المسماة، للحصول على مزيد من المعلومات، راجع الموقع المسمى لـAPI.

الخطوات التالية