مشاركة عبر

كيفية تكوين الوصول لكل تطبيق باستخدام تطبيقات الوصول الآمن العمومي

  • مقالة

يوفر الوصول الخاص عبر Microsoft Entra وصولا آمنا إلى الموارد الداخلية لمؤسستك. يمكنك إنشاء تطبيق الوصول الآمن العمومي وتحديد الموارد الداخلية والخاصة التي تريد تأمينها. من خلال تكوين تطبيق الوصول الآمن العمومي، تقوم بإنشاء وصول لكل تطبيق إلى مواردك الداخلية. يوفر تطبيق الوصول الآمن العالمي قدرة أكثر تفصيلا على إدارة كيفية الوصول إلى الموارد على أساس كل تطبيق.

توضح هذه المقالة كيفية تكوين الوصول لكل تطبيق باستخدام تطبيقات Global Secure Access.

المتطلبات الأساسية

لتكوين تطبيق الوصول الآمن العمومي، يجب أن يكون لديك:

لإدارة مجموعات موصل وكيل التطبيقات، وهو أمر مطلوب لتطبيقات الوصول الآمن العمومي، يجب أن يكون لديك:

  • دور مسؤول التطبيق في معرف Microsoft Entra
  • تراخيص Microsoft Entra ID P1 أو P2

القيود المعروفة

  • تجنب مقاطع التطبيقات المتداخلة بين تطبيقي الوصول السريع والوصول الآمن العمومي.
  • يتم دعم توجيه نسبة استخدام الشبكة لأسفل إلى وجهات الوصول الخاص حسب عنوان IP فقط لنطاقات IP خارج الشبكة الفرعية المحلية لجهاز المستخدم النهائي.
  • في هذا الوقت، لا يمكن الحصول على نسبة استخدام الشبكة للوصول الخاص إلا مع عميل الوصول الآمن العالمي. لا يمكن تعيين الشبكات البعيدة إلى ملف تعريف إعادة توجيه نسبة استخدام الشبكة للوصول الخاص.

نظرة عامة على الإعداد

يتم تكوين Per-App Access عن طريق إنشاء تطبيق وصول آمن عمومي جديد. يمكنك إنشاء التطبيق، وتحديد مجموعة موصل، وإضافة مقاطع الوصول إلى الشبكة. تشكل هذه الإعدادات التطبيق الفردي الذي يمكنك تعيين المستخدمين والمجموعات إليه.

لتكوين Per-App Access، تحتاج إلى مجموعة موصل مع موصل وكيل تطبيق Microsoft Entra نشط واحد على الأقل. تعالج مجموعة الموصل هذه نسبة استخدام الشبكة إلى هذا التطبيق الجديد. باستخدام الموصلات، يمكنك عزل التطبيقات لكل شبكة وموصل.

للتلخيص، تكون العملية الإجمالية كما يلي:

  1. إنشاء مجموعة موصل مع موصل وكيل تطبيق نشط واحد على الأقل، إذا لم يكن لديك واحد بالفعل. إذا كان لديك بالفعل مجموعة موصل، فتأكد من أنك تستخدم أحدث إصدار.
  2. إنشاء تطبيق الوصول الآمن العمومي.
  3. تعيين المستخدمين والمجموعات إلى التطبيق.
  4. تكوين نهج الوصول المشروط.
  5. تمكين الوصول الخاص عبر Microsoft Entra.

لنلق نظرة على كل خطوة من هذه الخطوات بمزيد من التفصيل.

إنشاء مجموعة موصل وكيل التطبيق

لتكوين تطبيق الوصول الآمن العمومي، يجب أن يكون لديك مجموعة موصل مع موصل وكيل تطبيق نشط واحد على الأقل.

إذا لم يكن لديك موصل تم إعداده بالفعل، فشاهد تكوين الموصلات.

ملاحظة

إذا قمت مسبقا بتثبيت موصل، فقم بإعادة تثبيته للحصول على أحدث إصدار. عند الترقية، قم بإلغاء تثبيت الموصل الموجود وحذف أي مجلدات ذات صلة.

الحد الأدنى لإصدار الموصل المطلوب للوصول الخاص هو 1.5.3417.0.

إنشاء تطبيق وصول آمن عمومي

لإنشاء تطبيق جديد، يمكنك توفير اسم، وتحديد مجموعة موصل، ثم إضافة مقاطع التطبيق. تتضمن مقاطع التطبيق أسماء المجالات المؤهلة بالكامل (FQDNs) وعناوين IP التي تريد نفقها عبر الخدمة. يمكنك إكمال جميع الخطوات الثلاث في نفس الوقت، أو يمكنك إضافتها بعد اكتمال الإعداد الأولي.

اختيار مجموعة الأسماء والموصلات

  1. سجل الدخول إلى مركز إدارة Microsoft Entra بالأدوار المناسبة.

  2. استعرض للوصول الآمن العمومي (معاينة)>تطبيقات Enterprise للتطبيقات>.

  3. حدد «New application».

    لقطة شاشة لتطبيقات المؤسسة وزر إضافة تطبيق جديد.

  4. أدخل اسم التطبيق.

  5. حدد مجموعة موصل من القائمة المنسدلة.

    • تظهر مجموعات الموصلات الموجودة في القائمة المنسدلة.

  6. حدد الزر حفظ في أسفل الصفحة لإنشاء تطبيقك دون إضافة موارد خاصة.

إضافة مقطع تطبيق

عملية إضافة مقطع التطبيق هي المكان الذي تحدد فيه FQDNs وعناوين IP التي تريد تضمينها في نسبة استخدام الشبكة لتطبيق الوصول الآمن العمومي. يمكنك إضافة مواقع عند إنشاء التطبيق والعودة لإضافة المزيد أو تحريرها لاحقا.

يمكنك إضافة أسماء مجالات مؤهلة بالكامل (FQDN) وعناوين IP ونطاقات عناوين IP.

  1. سجل الدخول إلى مركز إدارة Microsoft Entra.

  2. استعرض للوصول الآمن العمومي (معاينة)>تطبيقات Enterprise للتطبيقات>.

  3. حدد «New application».

  4. حدد إضافة مقطع تطبيق.

    لقطة شاشة لزر إضافة مقطع تطبيق.

    • عنوان IP: عنوان بروتوكول الإنترنت الإصدار 4 (IPv4)، مثل 192.0.2.1، الذي يعرف جهازا على الشبكة.
    • اسم المجال المؤهل بالكامل (بما في ذلك أسماء FQDN لأحرف البدل): اسم المجال الذي يحدد الموقع الدقيق للكمبيوتر أو المضيف في نظام أسماء المجالات (DNS).
    • نطاق عناوين IP (CIDR): التوجيه Inter-Domain بلا فئة هو طريقة لتمثيل نطاق من عناوين IP حيث يتبع عنوان IP لاحقة تشير إلى عدد بتات الشبكة في قناع الشبكة الفرعية. على سبيل المثال، يشير 192.0.2.0/24 إلى أن أول 24 بت من عنوان IP تمثل عنوان الشبكة، بينما تمثل وحدات البت الثمانية المتبقية عنوان المضيف.
    • نطاق عناوين IP (IP إلى IP): نطاق عناوين IP من بدء IP (مثل 192.0.2.1) إلى عنوان IP النهائي (مثل 192.0.2.10).

  5. أدخل التفاصيل المناسبة لما حددته.

  6. أدخل المنفذ. يوفر الجدول التالي المنافذ الأكثر استخداما وبروتوكولات الشبكات المرتبطة بها:

    المنفذ البروتوكول
    22 Secure Shell (SSH)
    80 بروتوكول نقل النص التشعبي (HTTP)
    443 بروتوكول نقل النص التشعبي آمن (HTTPS)
    445 مشاركة ملفات Server Message Block (SMB)
    3389 بروتوكول سطح المكتب البعيد (RDP)

  7. حدد الزر حفظ عند الانتهاء.

ملاحظة

يمكنك إضافة ما يصل إلى 500 مقطع تطبيق إلى تطبيقك.

لا تتداخل FQDNs وعناوين IP ونطاقات IP بين تطبيق الوصول السريع وأي تطبيقات وصول خاص.

تعيين المستخدمين والمجموعات

تحتاج إلى منح حق الوصول إلى التطبيق الذي أنشأته عن طريق تعيين المستخدمين و/أو المجموعات للتطبيق. لمزيد من المعلومات، راجع تعيين مستخدمين ومجموعات إلى تطبيق.

  1. سجل الدخول إلى مركز إدارة Microsoft Entra.
  2. استعرض للوصول الآمن العمومي (معاينة)>تطبيقات Enterprise للتطبيقات>.
  3. ابحث عن تطبيقك وحدده.
  4. حدد Users and groups من القائمة الجانبية.
  5. إضافة مستخدمين ومجموعات حسب الحاجة.

ملاحظة

يجب تعيين المستخدمين مباشرة إلى التطبيق أو إلى المجموعة المعينة للتطبيق. المجموعات المتداخلة غير معتمدة.

تحديث مقاطع التطبيق

يمكنك إضافة أو تحديث FQDNs وعناوين IP المضمنة في تطبيقك في أي وقت.

  1. سجل الدخول إلى مركز إدارة Microsoft Entra.
  2. استعرض للوصول الآمن العمومي (معاينة)>تطبيقات Enterprise للتطبيقات>.
  3. ابحث عن تطبيقك وحدده.
  4. حدد خصائص الوصول إلى الشبكة من القائمة الجانبية.
    • لإضافة FQDN أو عنوان IP جديد، حدد إضافة مقطع تطبيق.
    • لتحرير تطبيق موجود، حدده من عمود نوع الوجهة .

تمكين الوصول أو تعطيله باستخدام عميل الوصول الآمن العمومي

يمكنك تمكين الوصول إلى تطبيق الوصول الآمن العمومي أو تعطيله باستخدام عميل الوصول الآمن العالمي. يتم تحديد هذا الخيار بشكل افتراضي، ولكن يمكن تعطيله، لذلك لا يتم توجيه عناوين FQDN وعناوين IP المضمنة في مقاطع التطبيق عبر الخدمة.

لقطة شاشة لخانة الاختيار تمكين الوصول.

تعيين نهج الوصول المشروط

يتم تكوين نهج الوصول المشروط للوصول لكل تطبيق على مستوى التطبيق لكل تطبيق. يمكن إنشاء نهج الوصول المشروط وتطبيقها على التطبيق من مكانين:

  • انتقل إلى Global Secure Access (إصدار أولي)>تطبيقات Enterprise للتطبيقات>. حدد تطبيقا ثم حدد الوصول المشروط من القائمة الجانبية.
  • انتقل إلىنهجالوصول> المشروط للحماية>. حدد + إنشاء نهج جديد.

لمزيد من المعلومات، راجع تطبيق نهج الوصول المشروط على تطبيقات الوصول الخاص.

تمكين الوصول الخاص عبر Microsoft Entra

بمجرد تكوين التطبيق الخاص بك، تمت إضافة مواردك الخاصة، والمستخدمين المعينين للتطبيق، يمكنك تمكين ملف تعريف إعادة توجيه نسبة استخدام الشبكة للوصول الخاص. يمكنك تمكين ملف التعريف قبل تكوين تطبيق الوصول الآمن العمومي، ولكن بدون تكوين التطبيق وملف التعريف، لا توجد حركة مرور لإعادة توجيهها.

  1. سجل الدخول إلى مركز إدارة Microsoft Entra.
  2. استعرض للوصول الآمن العمومي (معاينة)>إعادة توجيه نسبةاستخدام الشبكة الاتصال>.
  3. حدد خانة الاختيار لملف تعريف الوصول الخاص.

لقطة شاشة لصفحة إعادة توجيه نسبة استخدام الشبكة مع تمكين ملف تعريف الوصول الخاص.

شروط الاستخدام

يخضع استخدامك لتجارب وميزات الوصول الخاص عبر Microsoft Entra والمعاينة الوصول للإنترنت عبر Microsoft Entra إلى أحكام وشروط الخدمة عبر الإنترنت للاتفاقية (الاتفاقيات) التي حصلت بموجبها على الخدمات. قد تخضع المعاينات لالتزامات أمان وتوافق وخصوصية مخفضة أو مختلفة، كما هو موضح أيضا في شروط الترخيص العام للخدمات عبر الإنترنتوملحق حماية بيانات منتجات وخدمات Microsoft ("DPA") وأي إشعارات أخرى يتم توفيرها مع المعاينة.

الخطوات التالية

الخطوة التالية لبدء استخدام الوصول الخاص عبر Microsoft Entra هي تمكين ملف تعريف إعادة توجيه نسبة استخدام الشبكة للوصول الخاص.

لمزيد من المعلومات حول الوصول الخاص، راجع المقالات التالية: