مشاركة عبر

تمكين التحقق من الشبكة المتوافقة مع الوصول المشروط

  • مقالة

يمكن للمؤسسات التي تستخدم الوصول المشروط جنبا إلى جنب مع معاينة الوصول الآمن العالمي، منع الوصول الضار إلى تطبيقات Microsoft وتطبيقات SaaS التابعة لجهة خارجية وتطبيقات خط العمل الخاص (LoB) باستخدام شروط متعددة لتوفير دفاع متعمق. قد تتضمن هذه الشروط توافق الجهاز والموقع والمزيد لتوفير الحماية من هوية المستخدم أو سرقة الرمز المميز. يقدم Global Secure Access مفهوم الشبكة المتوافقة ضمن الوصول المشروط وتقييم الوصول المستمر. يضمن فحص الشبكة المتوافق هذا اتصال المستخدمين من نموذج اتصال شبكة تم التحقق منه لمستأجرهم المحدد ومتوافقين مع نهج الأمان التي يفرضها المسؤولون.

يسمح عميل الوصول الآمن العمومي المثبت على الأجهزة أو الشبكة البعيدة المكونة للمسؤولين بتأمين الموارد خلف شبكة متوافقة مع عناصر تحكم الوصول المشروط المتقدمة. تسهل هذه الشبكة المتوافقة على المسؤولين إدارتها وصيانتها، دون الحاجة إلى الاحتفاظ بقائمة بجميع عناوين IP لمواقع المؤسسة. لا يحتاج المسؤولون إلى حركة مرور تثبيت الشعر من خلال نقاط خروج VPN الخاصة بمؤسستهم لضمان الأمان.

هذا التحقق من الشبكة المتوافقة خاص بكل مستأجر.

  • باستخدام هذا الفحص، يمكنك التأكد من أن المؤسسات الأخرى التي تستخدم خدمات الوصول الآمن العالمي من Microsoft لا يمكنها الوصول إلى مواردك.
    • على سبيل المثال: يمكن لشركة Contoso حماية خدماتها مثل Exchange Online وSharePoint Online خلف التحقق من الشبكة المتوافقة للتأكد من أن مستخدمي Contoso فقط يمكنهم الوصول إلى هذه الموارد.
    • إذا كانت مؤسسة أخرى مثل Fabrikam تستخدم فحص شبكة متوافقة، فلن تمرر التحقق من الشبكة المتوافقة مع Contoso.

تختلف الشبكة المتوافقة عن IPv4 أو IPv6 أو المواقع الجغرافية التي قد تقوم بتكوينها في معرف Microsoft Entra. لا يلزم صيانة المسؤول.

المتطلبات الأساسية

  • يجب أن يكون لدى المسؤولين الذين يتفاعلون مع ميزات معاينة الوصول الآمن العمومي واحد أو أكثر من تعيينات الأدوار التالية اعتمادا على المهام التي يقومون بها.
    • دور مسؤول الوصول الآمن العالمي لإدارة ميزات معاينة الوصول الآمن العالمي
    • مسؤول الوصول المشروط أو مسؤول الأمان لإنشاء نهج الوصول المشروط والمواقع المسماة والتفاعل معها.
  • تتطلب المعاينة ترخيص معرف P1 Microsoft Entra. إذا لزم الأمر، يمكنك شراء التراخيص أو الحصول على تراخيص تجريبية.
  • لاستخدام ملف تعريف إعادة توجيه نسبة استخدام الشبكة في Microsoft 365، يوصى بترخيص Microsoft 365 E3.

القيود المعروفة

  • تقييم الوصول المستمر غير مدعوم حاليا للتحقق من الشبكة المتوافقة.

تمكين إشارة الوصول الآمن العالمي للوصول المشروط

لتمكين الإعداد المطلوب للسماح بالتحقق من الشبكة المتوافقة، يجب على المسؤول اتخاذ الخطوات التالية.

  1. سجل الدخول إلى مركز إدارة Microsoft Entraكمسؤول وصول آمن عمومي.
  2. استعرض للوصول الآمن العمومي (معاينة)>الإعدادات العمومية> إدارة الوصول التكيفي لجلسة العمل.
  3. حدد التبديل لتمكين إشارة الوصول الآمن العالمي في الوصول المشروط.
  4. استعرض للوصول إلى مواقع الحماية>المسماةبالوصول> المشروط.
    1. تأكد من أن لديك موقعا يسمى جميع مواقع الشبكة المتوافقة مع نوع الموقع Network Access. يمكن للمؤسسات اختياريا وضع علامة على هذا الموقع على أنه موثوق به.

لقطة شاشة تعرض التبديل لتمكين الإشارات في الوصول المشروط.

تنبيه

إذا كان لدى مؤسستك نهج الوصول المشروط النشطة استنادا إلى التحقق من الشبكة المتوافقة، وقمت بتعطيل إشارة الوصول الآمن العالمي في الوصول المشروط، فقد تمنع المستخدمين النهائيين المستهدفين عن غير قصد من الوصول إلى الموارد. إذا كان يجب عليك تعطيل هذه الميزة، فاحذف أولا أي نهج وصول مشروط مقابلة.

حماية Exchange وSharePoint Online خلف الشبكة المتوافقة

يوضح المثال التالي نهج الوصول المشروط الذي يتطلب الوصول إلى Exchange Online وSharePoint Online من خلف شبكة متوافقة كجزء من المعاينة.

  1. سجل الدخول إلى مركز إدارة Microsoft Entraكمسؤول وصول مشروط على الأقل.
  2. استعرضللوصول المشروطللحماية>.
  3. حددإنشاء نهج جديد.
  4. أعطِ نهجك اسمًا. ونوصي المؤسسات بأن تنشئ معيارًا ذا معنى لأسماء نُهجها.
  5. ضمن التعيينات، حدد "هويات المستخدمين أو حمل العمل".
    1. ضمن "Include"، حدد "All users".
    2. ضمن استبعاد، حدد المستخدمين والمجموعات، واختر حسابات الوصول في حالات الطوارئ أو الحسابات الاحتياطية لمؤسستك.
  6. ضمن Target resources>Include، وحدد Select apps.
    1. اختر Office 365 Exchange Online و/أو Office 365 SharePoint Online.
    2. Office 365 التطبيقات غير مدعومة حاليا، لذلك لا تحدد هذا الخيار.
  7. ضمن Conditions>Location.
    1. تعيين تكوين إلى نعم
    2. ضمن "Include"، حدد "Any location".
    3. ضمن Exclude، حدد Selected locations
      1. حدد موقع جميع مواقع الشبكة المتوافقة .
    4. حدد «Select».
  8. ضمن عناصر التحكم في الوصول:
    1. امنح، وحدد حظر الوصول، وحدد تحديد.
  9. قم بتأكيد الإعدادات الخاصة بك وعيّن "Enable policy" إلى "Report-only".
  10. حدد "Create" للإنشاء من أجل تمكين النهج الخاص بك.

بعد أن يؤكد المسؤولون إعدادات النهج باستخدام وضع التقرير فقط، يمكن للمسؤول نقل تبديل تمكين النهج من التقرير فقط إلى تشغيل.

استبعادات المستخدم

نهج الوصول المشروط هي أدوات قوية، نوصي باستبعاد الحسابات التالية من نهجك:

  • حسابات الوصول في حالات الطوارئ أو الحسابات الاحتياطية لمنع تأمين الحساب على مستوى المستأجر. في السيناريو غير المحتمل يتم تأمين كافة المسؤولين من المستأجر الخاص بك، يمكن استخدام حساب إدارة الوصول إلى حالات الطوارئ لتسجيل الدخول إلى المستأجر لاتخاذ خطوات لاسترداد الوصول.
  • حسابات الخدمةوكيانات الخدمة، مثل Microsoft Entra Connect Sync Account. حسابات الخدمة هي حسابات غير تفاعلية غير مرتبطة بأي مستخدم معين. يتم استخدامها عادةً بواسطة الخدمات الخلفية التي تسمح بالوصول البرمجي إلى التطبيقات، ولكنها تُستخدم أيضاً لتسجيل الدخول إلى الأنظمة لأغراض إدارية. يجب استبعاد حسابات الخدمة مثل هذه نظرًا إلى أن MFA لا يمكن أن تكتمل برمجيًا. لن يتم حظر المكالمات التي يتم إجراؤها بواسطة كيانات الخدمة بواسطة نهج الوصول المشروط التي تم تحديد نطاقها للمستخدمين. استخدم الوصول المشروط لهويات حمل العمل لتحديد النهج التي تستهدف كيانات الخدمة.
    • إذا كانت مؤسستك تستخدم هذه الحسابات في البرامج النصية أو التعليمة البرمجية، ففكر في استبدالها واستخدم محلها هويات مدارة. كحل مؤقت يمكنك استبعاد هذه الحسابات المحددة من النهج الأساسي.

جرب نهج الشبكة المتوافقة

  1. على جهاز المستخدم النهائي مع تثبيت عميل NaaS وتشغيله
  2. استعرض للوصول إلى https://outlook.office.com/mail/ أو https://yourcompanyname.sharepoint.com/، لديك حق الوصول إلى الموارد.
  3. أوقف عميل NaaS مؤقتا بالنقر بزر الماوس الأيمن فوق التطبيق في علبة Windows وتحديد إيقاف مؤقت.
  4. استعرض للوصول إلى https://outlook.office.com/mail/ أو https://yourcompanyname.sharepoint.com/، يتم حظرك من الوصول إلى الموارد برسالة خطأ تفيد بأنه لا يمكنك الوصول إلى هذا الآن.

لقطة شاشة تعرض رسالة خطأ في نافذة المستعرض لا يمكنك الوصول إليها الآن.

استكشاف الأخطاء وإصلاحها

تحقق من إنشاء الموقع المسمى الجديد تلقائيا باستخدام Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

لقطة شاشة تعرض نتائج Graph Explorer للاستعلام

شروط الاستخدام

يخضع استخدامك لتجارب وميزات الوصول الخاص عبر Microsoft Entra والمعاينة الوصول للإنترنت عبر Microsoft Entra إلى أحكام وشروط الخدمة عبر الإنترنت للاتفاقية (الاتفاقيات) التي حصلت بموجبها على الخدمات. قد تخضع المعاينات لالتزامات أمان وتوافق وخصوصية مخفضة أو مختلفة، كما هو موضح أيضا في شروط الترخيص العام للخدمات عبر الإنترنتوملحق حماية بيانات منتجات وخدمات Microsoft ("DPA") وأي إشعارات أخرى يتم توفيرها مع المعاينة.

الخطوات التالية

عميل الوصول الآمن العمومي لنظام التشغيل Windows (إصدار أولي)