توصيات الوصول الشرطي والمصادقة متعددة العوامل في تدفق Microsoft

مقدمة

الوصول الشرطي عبارة عن ميزه ل Azure Active Directory (azure AD) يسمح لك بالتحكم في كيفيه وصول المستخدمين إلى التطبيقات والخدمات ومتى يمكنهم ذلك. علي الرغم من انه يجب ان تكون علي علم بان استخدام الوصول الشرطي قد يتضمن تاثيرا غير مصاب أو غير متوقع علي المستخدمين في مؤسستك الذين يستخدمون Microsoft تدفقا للاتصال بخدمات Microsoft ذات الصلة بنهج access الشرطية.

الملخص

تتم أداره نهج الوصول الشرطي من خلال مدخل Azure وقد يكون لديك العديد من المتطلبات ، بما في ذلك (وليس الحصر) ما يلي:

  • يجب علي المستخدمين تسجيل الدخول باستخدام المصادقة متعددة العوامل (MFA) (عاده ما يكون كلمه المرور بالاضافه إلى المقاييس الحيوية أو أجهزه أخرى) للوصول إلى بعض خدمات السحابة أو كلها.

  • يمكن للمستخدمين الوصول إلى بعض خدمات السحابة أو كلها من شبكه الشركة الخاصة بهم فقط وليس من الشبكات المنزلية الخاصة بهم.

  • يمكن للمستخدمين استخدام تطبيقات العميل أو الاجهزه التي تمت الموافقة عليها فقط للوصول إلى بعض خدمات السحابة أو كلها.

تعرض لقطه الشاشة التالية مثالا لنهج MFA يتطلب MFA للمستخدمين المعينين عند الوصول إلى مدخل أداره Azure.

تتطلب تخويل متعددة العوامل لمستخدم عند الوصول إلى مدخل إدارة Azure

يمكنك أيضا فتح تكوين MFA من مدخل Azure. للقيام بذلك ، حدد Azure Active directory > المستخدمون والمجموعات > كل المستخدمين> مصادقه متعددة العوامل، ثم قم بتكوين النهج باستخدام علامة التبويب إعدادات الخدمة .

تحديد "مصادقة" متعددة العوامل من مدخل Azure يمكن أيضا تكوين MFA من مركز أداره Microsoft 365. تتوفر مجموعه فرعيه من إمكانيات Azure MFA لمشتركي Office 365. للحصول علي مزيد من المعلومات حول كيفيه تمكين MFA ، راجع اعداد المصادقة متعددة العوامل لمستخدمي Office 365

تحديد مصادقة متعددة العوامل Azure من مركز مسؤول Office 365

خيار مصادقة متعددة العوامل تذكر تفاصيل

يمكن ان يساعدك اعداد المصادقة متعددة العوامل علي تقليل عدد عمليات تسجيل الدخول الخاصة بالمستخدمين باستخدام ملف تعريف ارتباط دائم. يتحكم هذا النهج في إعدادات Azure AD الموثقة في تذكر المصادقة متعددة العوامل للاجهزه الموثوق بها.

للأسف ، يغير هذا الاعداد إعدادات نهج الرمز المميز التي تجعل اتصالات التدفق تنتهي في كل 14 يوما. هذا أحد الأسباب الشائعة وراء فشل الاتصالات المتدفقة بشكل متكرر بعد تمكين MFA. نوصي بعدم استخدام هذا الاعداد. بدلا من ذلك ، يمكنك التحقق من الوظائف نفسها باستخدام نهج عمر الرمز المميز التالي.

إعدادات عمر الرمز المميز الموصي بها بعد تمكين MFA

ان التاثير الأساسي المتسبب للوصول الشرطي علي التدفق هو الإعدادات الموجودة في الجدول التالي. يعرض الجدول القيم الافتراضية لإعدادات عمر الرمز المميز. نوصي بعدم تغيير هذه القيم.

الاعداد

القيمة الموصي بها

التاثير علي التدفق

MaxInactiveTime

90 يوما

إذا كان اي اتصال تدفق خاملا (غير مستخدم من قبل تشغيلات التدفق) لمده أطول من هذه الفترة الزمنيه ، سيتم تشغيل اي تدفق جديد بعد انتهاء مده الصلاحية ويرجع الخطا التالي:

AADSTS70008: انتهت صلاحيه الرمز المميز للتحديث بسبب عدم النشاط. تم إصدار الرمز المميز في الوقت ولم يكن نشطا ل90.00:00:00

MaxAgeMultiFactor

حتى-تم ابطاله

يؤدي هذا الاعداد إلى التحكم في الوقت الذي تكون فيه الرموز المميزة للتحديث متعدد العوامل (نوع الرموز المميزة المستخدمة في اتصالات التدفق) صالحه.

يعني الاعداد الافتراضي انه لا يوجد حد فعال في المدة التي يمكن فيها استخدام اتصال التدفق ، ما لم ريفوكيس مسؤول المستاجر بشكل خاص في وصول المستخدم.

يعني تعيين هذه القيمة إلى اي مسافة زمنيه ثابته انه بعد هذه المدة (بصرف النظر عن الاستخدام أو عدم النشاط) ، يصبح اتصال التدفق غير صالح سيتم تشغيل التدفق بعد ذلك. عند حدوث ذلك ، يتم إنشاء رسالة الخطا التالية. يتطلب هذا الخطا قيام المستخدمين بإصلاح الاتصال أو أعاده إنشائه:

AADSTS50076: بسبب تغيير تكوين تم إنشاؤه بواسطة المسؤول ، أو بسبب نقله إلى موقع جديد ، يجب استخدام مصادقه متعددة العوامل للوصول...

MaxAgeSingleFactor

حتى-تم ابطاله

هذا الاعداد هو نفس اعداد ماكساجيمولتيفاكتور  ، ولكن للرموز المميزة للتحديث الوحيد.

MaxAgeSessionMultiFactor

حتى-تم ابطاله

لا يوجد اي تاثير مباشر علي اتصالات التدفق. يحدد هذا الاعداد تاريخ انتهاء صلاحيه جلسة المستخدم لتطبيقات الويب. يمكن تغيير هذا الاعداد بواسطة المسؤولين استنادا إلى عدد المرات التي يرغب فيها المستخدمون في تسجيل الدخول إلى تطبيقات ويب قبل انتهاء صلاحيه جلسة عمل المستخدم.

قد تؤثر بعض الإعدادات التي تم تكوينها كجزء من عمليه تمكين العوامل المتعددة علي اتصال التدفق. عند تمكين MFA من مركز أداره Microsoft 365 وتحديد اعداد المصادقة المتعددة العوامل ، فان القيمة المكونة تتجاوز إعدادات نهج الرمز المميز الافتراضية ، ماكساجيمولتيفاكتور و ماكساجيسيسيونمولتيفاكتور.فشل بدء اتصالات التدفق عند MaxAgeMultiFactor  انتهاء صلاحيه ماكساجيمولتيفاكتور ، ويتطلب من المستخدم استخدام تسجيل دخول صريح لإصلاح الاتصالات.

نوصي باستخدام نهج الرمز المميز بدلا من اعداد المصادقة المتعددة العوامللتكوين قيم مختلفه لإعدادات ماكساجيمولتيفاكتور و ماكساجيسيسيونمولتيفاكتور . يتيح نهج الرمز المميز لاتصالات التدفق العمل اثناء التحكم أيضا في جلسة تسجيل دخول المستخدم لتطبيقات ويب ل Office 365. يجب ان يكون لماكساجيمولتيفاكتور فتره طويلة معقولة تماما ، والقيمة Until حتى-مبطل. هذا لجعل اتصالات التدفق لا تعمل حتى يتم ابطال الرمز المميز للتحديث من قبل المسؤول. يؤثر ماكساجيسيسيونمولتيفاكتور علي جلسة تسجيل دخول المستخدم. يمكن لمسؤولي المستاجرين تحديد القيمة التي يريدونها ، استنادا إلى عدد المرات التي يرغب فيها المستخدمون في تسجيل الدخول إلى تطبيقات Office 365 علي الويب قبل انتهاء صلاحيه جلسة العمل.

لعرض نهج active directory في مؤسستك ، يمكنك استخدام الأوامر التالية. مدد الرمز المميز القابل للتكوين في Azure Active directory (معاينه)يوفر المستند إرشادات معينه للاستعلام عن الإعدادات وتحديثها في مؤسستك.

عرض النهج الموجودة في فتره بقاء الرمز المميز

Install-Module AzureADPreview
PS C:\WINDOWS\system32> Connect-AzureAD
PS C:\WINDOWS\system32> Get-AzureADPolicy

قم بتشغيل الأوامر الموجودة في الأقسام التالية لإنشاء نهج أو تغيير نهج موجود في السيناريوهات التالية:

  • يتم تمكين اعداد المصادقة المتعددة العوامل من مركز أداره Microsoft 365.

  • يتم تكوين نهج حياه رمز مميز موجود باستخدام قيمه انتهاء صلاحيه قصيرة لاعداد ماكساجيمولتيفاكتور .

إنشاء نهج جديد لعمر الرمز المميز

PS C:\WINDOWS\system32>  New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}') -DisplayName "DefaultPolicyScenario" -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

تغيير نهج مده حياه الرمز المميز الموجود

إذا كان نهج المؤسسة الافتراضي موجودا بالفعل ، فقم بتحديث الإعدادات وتجاوزها باتباع الخطوات التالية:

  1. قم بتشغيل الأمر التالي للبحث عن معرف النهج الذي تم تعيين السمة إيسورجانيزاتيونالديفو إلى Trueعليه:   get-azureadpolicy

  2. قم بتشغيل الأمر التالي لتحديث إعدادات نهج الرمز المميز:   PS > Set-AzureADPolicy -Id <PoliycId> -DisplayName "<PolicyName>" -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeMultiFactor":"until-revoked","MaxAgeSessionMultiFactor":"14.00:00:00"}}}}')

    ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. يجب نسخ اي إعدادات اضافيه تم تكوينها في النهج الأصلي إلى هذا الأمر.

بعد تكوين النهج ، يمكن لمسؤولي المستاجرين إلغاء تحديد خانهالاختيار تذكر المصادقة متعددة العوامل لان صلاحيه جلسة عمل المستخدم تم تكوينها باستخدام نهج عمر الرمز المميز. تاكد من ان إعدادات نهج عمر الرمز المميز يجب ان تستمر في العمل في الحالات التالية:

  • تم تكوين Office 365 web apps لإنهاء جلسة عمل المستخدم بعد مرور X يوما (14 يوما في الخطوة 2).

  • تطلب التطبيقات من المستخدمين تسجيل الدخول مره أخرى باستخدام MFA.

مزيد من المعلومات

تاثيرات علي مدخل التدفق والخبرات المضمنة

يوضح هذا القسم بعض التاثيرات الضارة التي يمكن للمستخدمين في مؤسستك من خلالها الاتصال بخدمات Microsoft ذات الصلة بالنهج.  

التاثير 1: فشل في التشغيل المستقبلي

إذا قمت بتمكين نهج وصول شرطي بعد إنشاء التدفقات والاتصالات ، سيفشل التدفقات عند التشغيل المستقبلي. سيشاهد مالكو الاتصالات رسالة الخطا التالية في مدخل التدفق عند الاستقصاء عن التشغيلات الفاشلة:

AADSTS50076: بسبب تغيير تكوين تم إنشاؤه بواسطة المسؤول ، أو لأنك قمت بالانتقال إلى موقع جديد ، يجب عليك استخدام المصادقة متعددة العوامل للوصول إلى> <خدمه .

تفاصيل رسالة الخطأ بما في ذلك الوقت وحالة الخطأ، تفاصيل الخطأ وكيفية إصلاح عندما يقوم المستخدمون بعرض الاتصالات علي مدخل التدفق ، تظهر رسالة خطا تشبه ما يلي:

فشل تحديث الرمز المميز للوصول للخدمة خطأ في حالة المستخدمين مشاهدة قول أن تدفق

لحل هذه المشكلة ، يجب ان يقوم المستخدمون بتسجيل الدخول إلى مدخل التدفق ضمن الشروط التي تتطابق مع نهج الوصول للخدمة التي يحاولون الوصول اليها (مثل العوامل المتعددة وشبكه الشركة وغيرها) ، ثم إصلاح الاتصال أو أعاده إنشائه.  

التاثير 2: فشل إنشاء الاتصال تلقائيا

إذا لم يتمكن المستخدمون من تسجيل الدخول إلى التدفق باستخدام المعايير التي تتطابق مع النهج ، ستفشل عمليه إنشاء الاتصال التلقائي بخدمات Microsoft التي يتم التحكم فيها بواسطة نهج الوصول الشرطي. يجب علي المستخدمين إنشاء الاتصالات ومصادقتها يدويا باستخدام المعايير التي تتطابق مع نهج الوصول المشروط للخدمة التي يحاول الوصول اليها. ينطبق هذا السلوك أيضا علي 1-انقر فوق القوالب التي تم إنشاؤها من مدخل التدفق.

خطأ في إنشاء الاتصال التلقائي باستخدام AADSTS50076

لحل هذه المشكلة ، يجب ان يقوم المستخدمون بتسجيل الدخول إلى مدخل التدفق ضمن الشروط التي تتطابق مع نهج الوصول للخدمة التي يحاولون الوصول اليها (مثل العوامل المتعددة وشبكه الشركة وغيرها) قبلإنشاء قالب.  

التاثير 3: يتعذر علي المستخدمين إنشاء اتصال مباشره

إذا لم يتمكن المستخدمون من تسجيل الدخول إلى التدفق باستخدام معايير تطابق النهج ، فلا يمكنهم إنشاء اتصال مباشره ، اما من خلال PowerApps أو التدفق. يشاهد المستخدمون رسالة الخطا التالية عند محاولة إنشاء اتصال:

AADSTS50076: بسبب تغيير تكوين تم إنشاؤه بواسطة المسؤول ، أو لأنك قمت بالانتقال إلى موقع جديد ، يجب عليك استخدام المصادقة متعددة العوامل للوصول إلى> <خدمه .

AADSTS50076 خطأ عند محاولة إنشاء اتصال

لحل هذه المشكلة ، يجب ان يقوم المستخدمون بتسجيل الدخول ضمن الشروط التي تطابق نهج الوصول للخدمة التي تحاول الوصول اليها ، ثم أعاده إنشاء الاتصال.  

التاثير 4: فشل منتقي الأشخاص والبريد الكتروني علي مدخل التدفق

إذا تم التحكم في Exchange Online أو SharePoint access بواسطة نهج وصول شرطي ، وإذا لم يتمكن المستخدمون من تسجيل الدخول إلى التدفق ضمن النهج نفسه ، سيفشل الأشخاص وانتقاء البريد الكتروني علي مدخل التدفق. يتعذر علي المستخدمين الحصول علي نتائج كامله للمجموعات في مؤسستهم عند تنفيذ الاستعلامات التالية (لن يتم إرجاع مجموعات Office 365 لهذه الاستعلامات):

  • محاولة مشاركه الملكية أو أذونات التشغيل فقط لتدفق

  • تحديد عناوين البريد الكتروني عند إنشاء تدفق في المصمم

  • تحديد الأشخاص في لوحه تشغيل التدفق عند تحديد الإدخالات إلى تدفق

التاثير 5: استخدام ميزات التدفق المضمنة في خدمات Microsoft الأخرى

عند تضمين تدفق في خدمات Microsoft مثل SharePoint و PowerApps و Excel والفرق ، يخضع المستخدمون التدفق أيضا لنهج الوصول الشرطي والعوامل المتعددة بالاستناد إلى كيفيه المصادقة علي الخدمة المضيفة. علي سبيل المثال ، إذا قام مستخدم بتسجيل الدخول إلى SharePoint باستخدام مصادقه أحاديه المعامل ، ولكنك تحاول إنشاء تدفق يتطلب الوصول إلى Microsoft Graph أو استخدامه ، سيتلقى المستخدم رسالة خطا.  

التاثير 6: مشاركه التدفقات باستخدام قوائم ومكتبات SharePoint

عند محاولة مشاركه الملكية أو أذونات التشغيل فقط باستخدام قوائم ومكتبات SharePoint ، لا يمكن ان يوفر التدفق اسم العرض الخاص بالقوائم. بدلا من ذلك ، يعرض المعرف الفريد لقائمه. سيتمكن المالك واللوحات التي يتم تشغيلها فقط في صفحه خصائص التدفق للتدفقات المشتركة بالفعل من عرض المعرف وليس اسم العرض.

أكثر اهميه ، وقد لا يتمكن المستخدمون أيضا من اكتشاف تدفقاتهم أو تشغيلها من SharePoint. هذا لأنه حاليا ، لا يتم تمرير معلومات نهج الوصول المشروط بين التشغيل التلقائي و SharePoint لتمكين SharePoint من اتخاذ قرار بشان الوصول.

مشاركة تدفقات مع قوائم SharePoint ومكتباته

Url الخاص بالموقع مشاهدة مالكي ومعرف القائمة  

التاثير 7: إنشاء تدفقات SharePoint خارج الصندوق

يتعلق بالتاثير 6 ، فان عمليه إنشاء تدفقات SharePoint الخارجية وتنفيذها ، مثل تدفقات "الطلب" و "الموافقة علي الصفحة" ، يمكن حظرها بواسطة نهج الوصول الشرطي. تشير وثائق SharePoint علي نهج الوصول الشرطي إلى ان هذه النهج قد تؤدي إلى حدوث مشاكل في الوصول التي تؤثر علي الطرف الأول والتطبيقات التابعة لجات خارجيه. 

ينطبق هذا السيناريو علي كل من موقع الشبكة ونهج الوصول الشرطي (مثل "منع الاجهزه غير المدارة"). دعم إنشاء تدفقات SharePoint خارج الصندوق حاليا قيد التطوير. سنقوم بنشر مزيد من المعلومات في هذه المقالة عند توفر هذا الدعم.

في المؤقت ، ننصح المستخدمين بإنشاء تدفقات مماثله بنفسها ، ومشاركه هذه التدفقات يدويا باستخدام المستخدمين المطلوبين ، أو لتعطيل نهج الوصول الشرطي إذا كانت هذه الوظيفة مطلوبه.

هل تحتاج إلى مزيد من المساعدة؟

توسيع المهارات
استكشاف التدريب
الحصول على الميزات الجديدة أولاً
الانضمام إلى Microsoft Insider

هل كانت المعلومات مفيدة؟

نشكرك على ملاحظاتك!

شكراً لك على الملاحظات! يبدو أنه من المفيد إيصالك بأحد وكلاء دعم Office لدينا.

×