الوصول المشروط: منحة

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ضمن نهج الوصول المشروط، يمكن للمسؤول الاستفادة من عناصر التحكم في الوصول إلى منح أو حظر الوصول إلى الموارد.

حظر الوصول

يأخذ الحظر في الاعتبار أي تعيينات ويمنع الوصول استنادًا إلى تكوين نهج الوصول المشروط.

الحظر هو عنصر تحكم قوي ينبغي استخدامه مع المعرفة المناسبة. يمكن أن تكون للسياسات التي تحتوي على عبارات حظر آثار جانبية غير مقصودة. الاختبار السليم والتحقق من الصحة أمران حيويان قبل التمكين على نطاق واسع. يجب أن يستخدم المسؤولون أدوات مثل وضع تقرير الوصول المشروط فقط وأداة «ماذا لو» في الوصول المشروط عند إجراء التغييرات.

منح حق الوصول

يمكن للمسؤولين اختيار تنفيذ عنصر تحكم واحد أو أكثر عند منح حق الوصول. تتضمن عناصر التحكم هذه الخيارات التالية:

• تتطلب مصادقة متعددة العوامل (مصادقة متعددة العوامل في Azure AD)
• تتطلب وضع علامة على الجهاز على أنه (Microsoft Intune) متوافق
• طلب جهاز مختلط مرتبط بـ Microsoft Azure Active Directory
• يتطلب تطبيق العميل المعتمد
• يتطلب سياسة حماية التطبيق
• تتطلب تغيير كلمة المرور

عندما يختار المسؤولون دمج هذه الخيارات، يمكنهم اختيار الطرق التالية:

• تتطلب جميع عناصر التحكم المحددة (عنصر تحكم وعنصر تحكم)
• تتطلب أحد عناصر التحكم المحددة (عنصر تحكم أو عنصر تحكم)

يتطلب الوصول المشروط افتراضيًا كافة عناصر التحكم المحددة.

طلب مصادقة متعددة العوامل

يتطلب تحديد خانة الاختيار هذه من المستخدمين إجراء مصادقة Azure AD متعددة العوامل. يمكن العثور على مزيد من المعلومات حول نشر مصادقة Azure AD متعددة العوامل في المقالة تخطيط نشر مصادقة متعددة العوامل لـ Azure AD المستندة إلى السحابة.

يلبي Windows Hello for Business متطلبات المصادقة متعددة العوامل في سياسات الوصول المشروط.

يتطلب تمييز الجهاز بأنه متوافق

يمكن للمؤسسات التي نشرت Microsoft Intune استخدام المعلومات التي تم إرجاعها من أجهزتها لتحديد الأجهزة التي تفي بمتطلبات التوافق المحددة. يتم إرسال معلومات التوافق مع النهج إلى Microsoft Azure Active Directory حيث يقرر الوصول المشروط منح أو حظر الوصول إلى الموارد. لمزيد من المعلومات حول نهج التوافق، راجع المقالة تعيين القواعد على الأجهزة للسماح بالوصول إلى الموارد في مؤسستك باستخدام Intune.

يمكن وضع علامة على جهاز متوافق مع Intune (لأي نظام تشغيل جهاز) أو بواسطة نظام إدارة أجهزة المحمول التابع لجهة خارجية لأجهزة Windows 10. يمكن العثور على قائمة بأنظمة إدارة أجهزة المحمول المعتمدة من جهة خارجية في المقالة دعم شركاء التوافق مع الأجهزة التابعة لجهة خارجية في Intune.

يجب تسجيل الأجهزة في Azure AD قبل أن يتم وضع علامة متوافقة معها. يمكن العثور على مزيد من المعلومات حول تسجيل الجهاز في المقالة، ما هو معرّف الجهاز.

الملاحظات

• الجهاز المطلوب تعليمه كمتطلب متوافق:
  • يدعم فقط Windows 10 وما فوق وiOS وAndroid وmacOS المسجلة مع Microsoft Azure AD والمسجلة مع Intune.
  • بالنسبة إلى الأجهزة المسجلة مع أنظمة إدارة أجهزة المحمول التابعة لجهات خارجية، راجع دعم شركاء التوافق مع الأجهزة التابعة لجهات خارجية في Intune.
  • لا يمكن أن يعتبر الوصول المشروط Microsoft Edge في وضع InPrivate كجهاز متوافق.

ملاحظة

في Windows 7 وiOS وAndroid وmacOS وبعض مستعرضات الويب التابعة لجهات خارجية، يحدد Azure AD الجهاز باستخدام شهادة العميل التي يتم توفيرها عند تسجيل الجهاز باستخدام Azure AD. عندما يقوم مستخدم بتسجيل الدخول لأول مرة من خلال المستعرض، تتم مطالبة المستخدم بتحديد الشهادة. يجب على المستخدم تحديد هذه الشهادة قبل أن يتمكن من الاستمرار في استخدام المستعرض.

طلب جهاز مختلط مرتبط بـ Microsoft Azure Active Directory

يمكن للمؤسسات اختيار استخدام معرّف الجهاز كجزء من نهج الوصول المشروط. يمكن للمؤسسات أن تطلب أن تكون الأجهزة مُسجلة عبر hybrid Azure AD باستخدام خانة الاختيار هذه. للمزيد من المعلومات حول معرّفات الجهاز، راجع ما هو معرّف الجهاز؟.

عند استخدام تدفق OAuth لتعليمة الجهاز البرمجية، لا يتم دعم عنصر تحكم منح الجهاز المدار أو شرط حالة جهاز. ويرجع ذلك إلى أن الجهاز الذي يقوم بالمصادقة لا يمكنه توفير حالة الجهاز الخاصة به للجهاز الذي يوفر التعليمات البرمجية وحالة الجهاز في الرمز المميز مقفلة على الجهاز الذي يقوم بالمصادقة. استخدم عنصر تحكم منح المصادقة متعدد العوامل بدلاً من ذلك.

الملاحظات

• طلب جهاز مُسجل عبر hybrid Azure AD:
  • يدعم المجال فقط Windows ذا المستوى المنخفض (أقل من Windows 10) وأجهزة Windows الحالية (Windows 10+).
  • لا يمكن أن يعتبر الوصول المشروط Microsoft Edge في وضع InPrivate كجهاز مُسجل عبر hybrid Azure AD.

يتطلب تطبيق العميل المعتمد

يمكن للمؤسسات أن تطلب محاولة وصول إلى تطبيقات السحابة المحددة من تطبيق عميل معتمد. تدعم تطبيقات العملاء المعتمدة هذه سياسات حماية تطبيق Intune بشكل مستقل عن أي حل لإدارة الأجهزة المحمولة (MDM).

لتطبيق عنصر تحكم المنح هذا، يتطلب الوصول المشروط تسجيل الجهاز في AAD (دليل Azure النشط)، الأمر الذي يتطلب استخدام تطبيق وسيط. يمكن أن يكون تطبيق الوسيط هو Microsoft Authenticator إما لنظام التشغيل iOS، أو مدخل Microsoft Authenticator أو مدخل شركة Microsoft لأجهزة Android. إذا لم يتم تثبيت تطبيق وسيط على الجهاز عندما يحاول المستخدم المصادقة، تتم إعادة توجيه المستخدم إلى متجر التطبيقات المناسب لتثبيت التطبيق الوسيط المطلوب.

تم تأكيد تطبيقات العميل التالية لدعم هذا الإعداد:

• Microsoft Azure Information Protection
• Microsoft Bookings
• Microsoft Cortana
• Microsoft Dynamics 365
• Microsoft Edge
• Microsoft Excel
• Microsoft Power Automate
• Microsoft Invoicing
• Microsoft Kaizala
• Microsoft Launcher
• Microsoft Lists
• Microsoft Office
• Microsoft OneDrive
• Microsoft OneNote
• مايكروسوفت Outlook
• Microsoft Planner
• تطبيقات Microsoft Power
• Microsoft Power BI
• Microsoft PowerPoint (.pptx)
• Microsoft SharePoint
• Microsoft Skype for Business
• Microsoft StaffHub
• Microsoft Stream
• Microsoft Teams
• Microsoft To-Do
• Microsoft Visio
• Microsoft Word
• Microsoft Yammer
• Microsoft Whiteboard
• مسؤول Microsoft 365

الملاحظات

• تدعم تطبيقات العميل المعتمدة ميزة إدارة تطبيق Intune المحمول.
• متطلبات تطبيق العميل المطلوب الموافق عليه:
  • يدعم فقط iOS وAndroid لحالة النظام الأساسي للجهاز.
  • مطلوب تطبيق وسيط لتسجيل الجهاز. يمكن أن يكون تطبيق الوسيط هو Microsoft Authenticator إما لنظام التشغيل iOS، أو مدخل Microsoft Authenticator أو مدخل شركة Microsoft لأجهزة Android.
• لا يمكن للوصول المشروط اعتبار Microsoft Edge في وضع InPrivate تطبيق عميل معتمد.
• استخدام وكيل تطبيقات Azure AD لتمكين تطبيق Power BI للأجهزة المحمولة للاتصال بخادم تقارير Power BI المحلي غير مدعوم بسياسات الوصول المشروط التي تطلب تطبيق Microsoft Power BI كتطبيق عميل مُعتمد.

راجع المقالة، كيفية: طلب تطبيقات العميل المعتمدة للوصول إلى تطبيق السحابة من خلال الوصول المشروط للحصول على أمثلة التكوين.

يتطلب سياسة حماية التطبيق

في نهج الوصول المشروط، يمكنك طلب وجود نهج حماية لتطبيق Intune على تطبيق العميل قبل أن يتوفر الوصول إلى تطبيقات السحابة المحددة.

لتطبيق عنصر تحكم المنح هذا، يتطلب الوصول المشروط تسجيل الجهاز في AAD (دليل Azure النشط)، الأمر الذي يتطلب استخدام تطبيق وسيط. يمكن أن يكون تطبيق الوسيط إما Microsoft Authenticator لنظام التشغيل iOS، أو بوابة شركة Microsoft لأجهزة Android. إذا لم يتم تثبيت تطبيق وسيط على الجهاز عندما يحاول المستخدم المصادقة، تتم إعادة توجيه المستخدم إلى متجر التطبيقات لتثبيت تطبيق الوسيط.

يتعين على التطبيقات أن يكون لديها Intune SDK مع Policy Assurance مطبقة وتفي بمتطلبات أخرى معينة لدعم هذا الإعداد. يمكن للمطورين الذين يقومون بتنفيذ التطبيقات باستخدام Intune SDK العثور على مزيد من المعلومات في وثائق SDK حول هذه المتطلبات.

تم تأكيد تطبيقات العميل التالية لدعم هذا الإعداد:

• Microsoft Cortana
• Microsoft Edge
• Microsoft Excel
• Microsoft Lists (iOS)
• Microsoft Office
• Microsoft OneDrive
• Microsoft OneNote
• مايكروسوفت Outlook
• Microsoft Planner
• Microsoft Power BI
• Microsoft PowerPoint (.pptx)
• Microsoft SharePoint
• Microsoft Teams
• Microsoft To Do
• Microsoft Word
• متعدد الخطوط لـ Intune
• 9 بريد إلكتروني - البريد الإلكتروني&والتقويم

ملاحظة

لا تدعم Microsoft Kaizala وMicrosoft Skype for Business وMicrosoft Visio منحة نهج حماية التطبيق. إذا كنت تريد أن تعمل هذه التطبيقات، يرجى استخدام منحة تتطلب تطبيقات معتمدة حصريًا. ولن ينجح استخدام البند or بين المنحتين في هذه التطبيقات الثلاثة.

الملاحظات

• تدعم تطبيقات نهج حماية التطبيق ميزة إدارة تطبيقات Intune المحمول مع حماية النهج.
• متطلبات نهج حماية التطبيق تتطلب:
  • يدعم فقط iOS وAndroid لحالة النظام الأساسي للجهاز.
  • مطلوب تطبيق وسيط لتسجيل الجهاز. على نظام iOS، تطبيق الوسيط هو Microsoft Authenticator وعلى نظام Android هو تطبيق Intune Company Portal.

راجع المقالة، كيفية: طلب نهج حماية التطبيق وتطبيق العميل المعتمدة للوصول إلى تطبيق السحابة من خلال الوصول المشروط للحصول على أمثلة التكوين.

تتطلب تغيير كلمة المرور

عند اكتشاف مخاطر المستخدم، باستخدام شروط نهج الأمان من مخاطر مستخدم، يمكن للمسؤولين اختيار تغيير كلمة المرور بشكل آمن باستخدام إعادة تعيين كلمة مرور الخدمة الذاتية لـ Microsoft Azure Active Directory. إذا تم الكشف عن مخاطر المستخدم، يمكن للمستخدمين إجراء إعادة تعيين كلمة مرور الخدمة الذاتية إلى المعالجة الذاتية، هذه العملية ستغلق حدث خطر المستخدم لمنع الضوضاء غير الضرورية للمسؤولين.

عندما يُطلب من المستخدم تغيير كلمة المرور الخاصة به، سيُطلب منه أولاً إكمال المصادقة متعددة العوامل. ستحتاج إلى التأكد من تسجيل جميع المستخدمين للمصادقة متعددة العوامل، حتى يتم إعدادهم في حالة اكتشاف خطر لحسابهم.

تحذير

يجب أن يكون المستخدمون قد سجلوا مسبقًا لإعادة تعيين كلمة مرور الخدمة الذاتية قبل تشغيل نهج الأمان من مخاطر المستخدم.

القيود عند تكوين نهج باستخدام عنصر تحكم تغيير كلمة المرور.

1. يجب تعيين النهج إلى "جميع تطبيقات السحابة". يمنع هذا المطلب المهاجم من استخدام تطبيق مختلف لتغيير كلمة مرور المستخدم وإعادة تعيين مخاطر الحساب، من خلال تسجيل الدخول إلى تطبيق مختلف.
2. لا يمكن استخدام طلب تغيير كلمة المرور مع عناصر تحكم أخرى، مثل طلب جهاز متوافق.
3. يمكن استخدام عنصر التحكم في تغيير كلمة المرور فقط مع حالة تعيين المستخدم والمجموعة، وحالة تعيين التطبيق السحابي (التي يجب تعيينها للجميع) وظروف مخاطر المستخدم.

شروط الاستخدام

إذا أنشأت مؤسستك شروط استخدام، فقد تكون الخيارات الأخرى مرئية ضمن ضوابط المنح. تسمح هذه الخيارات للمسؤولين بطلب إقرار بشروط الاستخدام كشرط للوصول إلى الموارد المحمية بموجب النهج. يمكن العثور على مزيد من المعلومات حول شروط الاستخدام في المقالة، شروط استخدام Azure Active Directory.

الخطوات التالية

• الوصول المشروط: عناصر تحكم الجلسة

• نُهج الوصول المشروط الشائعة

• وضع التقرير فقط