ما هو الوصول الشرطي؟

يمتد محيط الأمان الحديث الآن إلى ما وراء شبكة المؤسسة ليشمل هوية المستخدم وهوية الجهاز. يمكن للمنظمات تحقيق الاستفادة من إشارات الهوية هذه كجزء من قرارات التحكم في الوصول.

يجمع نهج الوصول المشروط الإشارات معًا لاتخاذ القرارات وتطبيق النُهج التنظيمية. يقع الوصول المشروط لـMicrosoft Azure Active Directory في قلب مستوى التحكم الجديد المدفوع بالهوية.

إشارة شرطية مفاهيمية بالإضافة إلى قرار للحصول على التنفيذ

إن نُهج الوصول المشروط في أبسط صورها هي عبارات شرطية، بمعنى أنه إذا أراد أحد المستخدمين الوصول إلى مورد ما، فإنه يجب عليه إكمال إجراء ما. على سبيل المثال: يرغب مدير كشوف المرتبات في الوصول إلى تطبيق كشوف المرتبات ومطلوب منه إجراء مصادقة متعددة العوامل للوصول إليه.

يواجه المسؤولون هدفين أساسيين:

  • تمكين المستخدمين من أن يكونوا منتجين أينما ومتى
  • حماية أصول المؤسسة

استعمل نهج الوصول المشروط لتطبيق عناصر التحكم في الوصول الصحيحة عند الحاجة للحفاظ على أمان مؤسستك.

تدفق عملية Conditional Access المفاهيمي

هام

يتم فرض نُهج Conditional Access بعد اكتمال مصادقة العامل الأول. لا يُقصد من Conditional Access أن يكون خط الدفاع الأول للمؤسسة لسيناريوهات مثل هجمات رفض الخدمة (DoS)، ولكن يمكنه استخدام إشارات من هذه الأحداث لتحديد الوصول.

الإشارات المشتركة

تتضمن الإشارات الشائعة التي يمكن أن يأخذها Conditional Access في الاعتبار عند اتخاذ قرار بشأن النهج، الإشارات التالية:

  • عضوية المستخدم أو المجموعة
    • يمكن أن تستهدف النُهج مستخدمين ومجموعات معينة مما يمنح المسؤولين تحكماً دقيقاً في الوصول.
  • معلومات موقع IP
    • يمكن للمؤسسات إنشاء نطاقات عناوين IP موثوقة يمكن استخدامها عند اتخاذ قرارات النهج.
    • يمكن للمسؤولين تحديد نطاقات IP لبلدان/مناطق بأكملها لحظر حركة المرور أو السماح بها.
  • جهاز
    • يمكن استخدام المستخدمين الذين لديهم أجهزة لأنظمة أساسية معينة أو تم تمييزهم بحالة معينة عند فرض نُهج Conditional Access.
    • استخدم عوامل تصفية للأجهزة لاستهداف النهج إلى أجهزة معينة مثل محطات العمل المميزة للوصول.
  • التطبيق
    • يمكن للمستخدمين الذين يحاولون الوصول إلى تطبيقات معينة تشغيل نُهج وصول مشروط مختلفة.
  • الكشف عن المخاطر القائمة في الوقت الحقيقي والمحسوبة
    • يسمح تكامل الإشارات مع Azure AD Identity Protection لسياسات الوصول المشروط بتحديد سلوك تسجيل الدخول المحفوف بالمخاطر. يمكن للنُّهج بعد ذلك إجبار المستخدمين على إجراء تغييرات في كلمة المرور أو المصادقة متعددة العوامل بهدف تقليل مستوى الخطر لديهم أو منعهم من الوصول حتى يتخذ المسؤول إجراءً يدوياً.
  • تطبيقات Microsoft Defender للسحابة
    • يمكن مراقبة الوصول إلى تطبيقات المستخدم وجلسات العمل والتحكم فيها في الوقت الفعلي، مما يزيد من الرؤية والتحكم في الوصول والأنشطة التي يتم إجراؤها داخل بيئة السحابة الخاصة بك.

قرارات مشتركة

  • حظر الوصول
    • القرار الأكثر تقييداً
  • منح حق الوصول
    • القرار الأقل تقييداً، لا يزال من الممكن أن يتطلب واحداً أو أكثر من الخيارات التالية:
      • طلب مصادقة متعددة العوامل
      • يتطلب وضع علامة على الجهاز على أنه متوافق
      • طلب جهاز Hybrid Azure AD المنضم
      • يتطلب تطبيق العميل المعتمد
      • يتطلب نهج حماية التطبيق (معاينة)

نُهج مُطبقة بشكل شائع

لدى العديد من المؤسسات مخاوف مشتركة بشأن الوصول والتي يمكن أن تساعدها نُهج Conditional Access مثل:

  • طلب مصادقة متعددة العوامل للمستخدمين ذوي الأدوار الإدارية
  • طلب مصادقة متعددة العوامل لمهام إدارة Azure
  • حظر عمليات تسجيل الدخول للمستخدمين الذين يحاولون استخدام بروتوكولات المصادقة القديمة
  • طلب مواقع موثوق بها لتسجيل المصادقة متعددة العوامل في Azure AD
  • منع أو منح حق الوصول من مواقع محددة
  • منع سلوكيات تسجيل الدخول المحفوفة بالمخاطر
  • طلب أجهزة مُدارة من قبل المؤسسة لتطبيقات محددة

متطلبات الترخيص

يتطلب استخدام هذه الميزة تراخيص Azure AD Premium P1. للعثور على الترخيص المناسب لمتطلباتك، راجع مقارنة الميزات المتوفرة بشكل عام لـMicrosoft Azure Active Directory.

العملاء الذين لديهم تراخيص Microsoft 365 Business Premium لديهم أيضاً حق الوصول إلى ميزات Conditional Access.

تتطلب النهج المستندة إلى المخاطر الوصول إلى حماية الهوية، وهي ميزة Microsoft Azure AD P2.

تتطلب المنتجات والميزات الأخرى التي قد تتفاعل مع نهج الوصول المشروط الترخيص المناسب لتلك المنتجات والميزات.

عند انتهاء صلاحية التراخيص المطلوبة للوصول المشروط، لا يتم تعطيل النهج أو حذفها تلقائيا حتى يتمكن العملاء من الترحيل بعيدا عن نهج الوصول المشروط دون تغيير مفاجئ في وضع الأمان الخاص بهم. يمكن عرض النهج المتبقية وحذفها، ولكن لم تعد محدثة.

تساعد الإعدادات الافتراضية للأمان في الحماية من الهجمات المتعلقة بالهوية وهي متاحة لجميع العملاء.

الخطوات التالية