الوصول المشروط كآلية التحكم في الوصول

في مقالة سابقة ، ذكرت التبديل إلى Intune Standalone ، والذي سمح لنا باستخدام إمكانات Azure Active Directory إلى حد كبير ، أي العمل مع Conditional Access. في هذا سأخبرك المزيد حول كيفية القيام بذلك.

ما هذا



يعد الوصول المشروط (CA) آلية للتحقق من كل عملية من عمليات الاتصال بالنظام استنادًا إلى البرنامج النصي المكوّن والقرار الذي يحدد ما يجب القيام به مع هذا الاتصال. ويمكن حظره أو السماح به دون شروط أو السماح به. وهو مكون من أزور م.

يوصف هذا السيناريو بالإعدادات التالية:

الواجبات - في أي الحالات يجب تشغيل البرنامج النصي.
ضوابط الوصول - ما يجب القيام به.


يحتوي قسم الواجبات على:

- المستخدمون والمجموعات - أي المستخدمين يخضعون لهذه السياسة. يمكن أن يكون جميع المستخدمين في Azure AD أو مجموعات / مستخدمين محددين. بشكل منفصل ، يمكنك تحديد استثناءات. يمكنك تطبيق السياسة على جميع المستخدمين باستثناء مجموعة واحدة.


- التطبيقات السحابية - يمكن تطبيق النصوص على أي تطبيق مسجل في Azure AD. أي أنك لست مقيدًا بالعمل فقط مع تطبيقات Office 365.


- الشروط - شروط إضافية.
- مخاطر تسجيل الدخول - القدرة على استخدام آلية تقييم مخاطر التخويل. يتم تقدير أين ، في أي وقت ، باستخدام أي عميل ، وكم هذا السلوك عادة ، إلخ. يتطلب ترخيص Azure AD Premium 2.


- منصات الأجهزة - من الممكن الإشارة إلى النظام الأساسي الذي سيتم تطبيق السياسة عليه. على سبيل المثال ، إنشاء سياسة لعملاء الأجهزة المحمولة فقط أو لأجهزة Windows فقط.


- المواقع - يعني مواقع الشبكة. يمكنك استخدام قائمة عناوين IP الموثوقة.


- تطبيقات العميل (معاينة) - يقيم نوع العميل. من الممكن استخدامها لإنشاء سياسة للمتصفح فقط أو EAS (Exchange Active Sync). بالنسبة لأولئك الذين يرغبون في إغلاق استخدام OWA على الأجهزة المحمولة ، ولكن اترك الخيار لأجهزة الكمبيوتر المكتبية.


- حالة الجهاز (معاينة) - يجعل من الممكن استبعاد الأجهزة في حالة معينة.


بعد ذلك ، تحتاج إلى تكوين ما ستفعله السياسة أو تتطلبه بالضبط.


هناك قسمان لهذا:

منح - هذا هو المكان الذي يتم فيه تكوين السيناريو: حظر الوصول أو طلب تدابير أمان إضافية.


الجلسة - التحكم في الجلسة نفسها. في الوقت الحالي ، الاستخدام ممكن فقط مع Exchange Online و Sharepoint Online. مزيد من المعلومات هنا .

الآن دعونا نلقي نظرة على بعض حالات الاستخدام.

السيناريو 1. افتح الوصول إلى تطبيقات Azure AD فقط على الأجهزة المحمولة التي تديرها Intune.

لنفترض أننا بحاجة إلى تقييد الوصول إلى التطبيقات المسجلة في Azure AD وإعطاءها فقط للأجهزة التي تديرها Intune. وينبغي أن يكون هذا ينطبق على جميع الأجهزة.


نختار تطبيق السياسة على جميع المستخدمين.


بعد ذلك ، حدد جميع التطبيقات.

هام: تعتبر بوابة إدارة أزور (portal.azure.com) أيضًا تطبيقًا ، لذا كن حذرًا. هناك قصة - إذا قمت بإنشاء سياسة لجميع المستخدمين وجميع التطبيقات التي ستحظر أي اتصالات ، فلن يتمكن أحد من الدخول إلى المستأجر الخاص بك وحتى لن يساعدك دعم Microsoft.

نحتاج الآن إلى تهيئة السياسة ، للاستخدام فقط على الأجهزة المحمولة. للقيام بذلك ، انتقل إلى "الأنظمة الأساسية للأجهزة" وحدد نظام التشغيل المحمول (iOS و Android و Windows Phone).


لقد اخترنا جميع الشروط اللازمة لتطبيق السياسة ، والآن نختار الشرط للسماح بالاتصال. في هذه الحالة ، يكون الخيار الضروري هو امتثال الجهاز لسياسات الأمان في Intune (سياسة الامتثال). حالة الجهاز مأخوذة من Intune.


بعد إنشاء السياسة وتطبيقها ، سيستمر المستخدمون مع الأجهزة التي تديرها Intune في استخدام التطبيقات. سيرى أولئك الذين يستخدمون الأجهزة غير المتصلة بـ Intune رسالة تطالبه بتسجيل الجهاز.

السيناريو 2. الوصول إلى بوابة الشركة فقط من أجهزة كمبيوتر الشركات.

يجب عليك تكوين التزامن بين Active Directory و Azure Active Directory. وبالتالي ، فإن أجهزة الكمبيوتر من م سوف توجد كما انضم Hybrid Azure AD. يجب أن تكون البوابة الداخلية مسجلة لدى Azure AD. يمكنك حتى تكوين SSO.

الآن الأمر متروك للسياسة ، التي سيتم تطبيقها على المستخدمين المناسبين وتتطلب الاتصال فقط من الأجهزة المختلطة المرتبطة عند الاتصال بالبوابة / التطبيق المحدد. كل شيء سوف يعمل خارج الصندوق مع IE و Edge. سيتطلب Chrome امتدادًا.

وإذا حدث شيء ما؟

في وقت ما ، قد تجد مواقف لا يستطيع فيها المستخدم تسجيل الدخول إلى التطبيق ولا تفهم تمامًا السياسة التي يجب إلقاء اللوم عليها.

في هذه الحالة ، ستساعد سجلات تسجيل الدخول في Azure AD في التصفية حسب حالة تنفيذ السياسة.


في تفاصيل كل حدث ، يمكنك معرفة السياسة التي عملت ولماذا.

الاستنتاجات

يسمح لك الوصول المشروط بالتمييز بمرونة بين الوصول إلى التطبيقات والخدمات. يمكن أن يكون هناك عدد لا حصر له من الحالات وحالات الاستخدام. من الأفضل الكشف عن هذه الخدمة مع خدمات Microsoft. على سبيل المثال ، يمكن دمجه مع Azure Application Proxy لتقييد الوصول إلى الموارد الداخلية أو للتكامل مع حماية نقطة النهاية أثناء حظر الوصول إلى شبكة الشركة.