إنشاء نهج الوصول Microsoft Defender for Cloud Apps

تستخدم نهج الوصول Microsoft Defender for Cloud Apps التحكم في تطبيق الوصول المشروط لتوفير مراقبة في الوقت الحقيقي والتحكم في الوصول إلى تطبيقات السحابة. تتحكم نهج الوصول في الوصول استنادا إلى المستخدم والموقع والجهاز والتطبيق، وهي مدعومة لأي جهاز.

النهج التي تم إنشاؤها لتطبيق مضيف غير متصلة بأي تطبيقات موارد ذات صلة. على سبيل المثال، نهج الوصول التي تقوم بإنشائها ل Teams أو Exchange أو Gmail غير متصلة ب SharePoint أو OneDrive أو Google Drive. إذا كنت بحاجة إلى نهج لتطبيق الموارد بالإضافة إلى تطبيق المضيف، فقم بإنشاء نهج منفصل.

المتطلبات الأساسية

قبل البدء، تأكد من أن لديك المتطلبات الأساسية التالية:

• ترخيص Defender for Cloud Apps، إما كترخيص مستقل أو كجزء من ترخيص آخر.

• ترخيص Microsoft Entra ID P1، إما كترخيص مستقل أو كجزء من ترخيص آخر.

• إذا كنت تستخدم IdP غير تابع ل Microsoft، فإن الترخيص المطلوب من قبل حل موفر الهوية (IdP) الخاص بك.

• التطبيقات ذات الصلة المإلحاقة بالتحكم في تطبيق الوصول المشروط. يتم إلحاق التطبيقات Microsoft Entra ID تلقائيا، بينما يجب إلحاق التطبيقات غير التابعة ل Microsoft IdP يدويا.

  إذا كنت تعمل مع موفر هوية غير تابع ل Microsoft، فتأكد من أنك قمت أيضا بتكوين IdP للعمل مع Microsoft Defender for Cloud Apps. لمزيد من المعلومات، اطلع على:

  • إلحاق تطبيقات كتالوج غير Microsoft IdP للتحكم في تطبيق الوصول المشروط
  • إلحاق تطبيقات مخصصة غير Microsoft IdP للتحكم في تطبيق الوصول المشروط

لكي يعمل نهج الوصول الخاص بك، يجب أن يكون لديك أيضا نهج وصول مشروط Microsoft Entra ID، والذي ينشئ أذونات للتحكم في نسبة استخدام الشبكة.

نموذج: إنشاء نهج الوصول المشروط Microsoft Entra ID للاستخدام مع Defender for Cloud Apps

يوفر هذا الإجراء مثالا عالي المستوى لكيفية إنشاء نهج وصول مشروط للاستخدام مع Defender for Cloud Apps.

1. في Microsoft Entra ID الوصول المشروط، حدد إنشاء نهج جديد.

2. أدخل اسما ذا معنى لنهجك، ثم حدد الارتباط ضمن جلسة العمل لإضافة عناصر تحكم إلى النهج الخاص بك.

3. في منطقة الجلسة ، حدد استخدام التحكم في تطبيق الوصول المشروط.

4. في منطقة المستخدمين ، حدد لتضمين جميع المستخدمين أو مستخدمين ومجموعات محددة فقط.

5. في منطقتي الشروطوتطبيقات العميل ، حدد الشروط وتطبيقات العميل التي تريد تضمينها في نهجك.

6. احفظ النهج عن طريق تبديل Report-only إلى On، ثم حدد Create.

يدعم Microsoft Entra ID كلا من النهج المستندة إلى المستعرض وغير المستندة إلى المستعرض. نوصي بإنشاء كلا النوعين لزيادة التغطية الأمنية.

كرر هذا الإجراء لإنشاء نهج وصول مشروط يستند إلى غير الكائنات. في منطقة تطبيقات العميل ، قم بتبديل خيار Configure إلى Yes. بعد ذلك، ضمن عملاء المصادقة الحديثة، قم بإلغاء تحديد خيار المستعرض . اترك جميع التحديدات الافتراضية الأخرى محددة.

لمزيد من المعلومات، راجع نهج الوصول المشروطوبناء نهج الوصول المشروط.

إنشاء نهج وصول Defender for Cloud Apps

يصف هذا الإجراء كيفية إنشاء نهج وصول جديد في Defender for Cloud Apps.

1. في Microsoft Defender XDR، حدد علامة التبويب الوصول المشروط لإدارة > نهج نهج تطبيقات >> السحابة.

2. حدد Create policy>Access policy. على سبيل المثال:

   

3. في صفحة إنشاء نهج الوصول ، أدخل المعلومات الأساسية التالية:

   الاسم	الوصف
   اسم النهج	اسم ذو معنى لنهجك، مثل حظر الوصول من الأجهزة غير المدارة
   خطورة النهج	حدد الخطورة التي تريد تطبيقها على النهج الخاص بك.
   الفئة	الاحتفاظ بالقيمة الافتراضية للتحكم في الوصول
   الوصف	أدخل وصفا اختياريا ذا معنى لنهجك لمساعدة فريقك على فهم الغرض منه.

4. في الأنشطة المطابقة لجميع المجالات التالية، حدد عوامل تصفية نشاط إضافية لتطبيقها على النهج. تتضمن عوامل التصفية الخيارات التالية:

   الاسم	الوصف
   App	عوامل تصفية لتطبيق معين لتضمينه في النهج. حدد التطبيقات عن طريق تحديد ما إذا كانت تستخدم الإعداد التلقائي Azure AD، أو لتطبيقات Microsoft Entra ID، أو الإعداد اليدوي، لتطبيقات IdP غير التابعة ل Microsoft. ثم حدد التطبيق الذي تريد تضمينه في عامل التصفية من القائمة. إذا كان تطبيق IdP غير التابع ل Microsoft مفقودا من القائمة، فتأكد من إعداده بالكامل. لمزيد من المعلومات، اطلع على: - إلحاق تطبيقات كتالوج غير Microsoft IdP للتحكم في تطبيق الوصول المشروط - إلحاق تطبيقات مخصصة غير Microsoft IdP للتحكم في تطبيق الوصول المشروط إذا اخترت عدم استخدام عامل تصفية التطبيق ، فإن النهج ينطبق على جميع التطبيقات التي تم وضع علامة عليها على أنها ممكنة في صفحة إعدادات التطبيقات المتصلة بالتطبيقات >>> المتصلة بالوصول المشروط لتطبيقات التحكم في التطبيقات . ملاحظة: قد ترى بعض التداخل بين التطبيقات التي تم إلحاقها والتطبيقات التي تحتاج إلى إلحاق يدوي. في حالة وجود تعارض في عامل التصفية بين التطبيقات، تكون للتطبيقات المإلحاقة يدويا الأسبقية.
   تطبيق العميل	تصفية تطبيقات المستعرض أو الأجهزة المحمولة/سطح المكتب.
   Device	تصفية لعلامات الجهاز، مثل طريقة إدارة أجهزة معينة، أو أنواع الأجهزة، مثل الكمبيوتر الشخصي أو المحمول أو الكمبيوتر اللوحي.
   عنوان IP	تصفية لكل عنوان IP أو استخدام علامات عنوان IP المعينة مسبقا.
   مكان	التصفية حسب الموقع الجغرافي. قد يؤدي عدم وجود موقع محدد بوضوح إلى تحديد الأنشطة الخطرة.
   موفر ISP المسجل	تصفية للأنشطة القادمة من موفر ISP معين.
   User	تصفية لمستخدم معين أو مجموعة من المستخدمين.
   سلسلة عامل المستخدم	تصفية لسلسلة عامل مستخدم معينة.
   علامة عامل المستخدم	تصفية لعلامات عامل المستخدم، مثل المستعرضات القديمة أو أنظمة التشغيل.

   على سبيل المثال:

   

   حدد Edit and preview results للحصول على معاينة أنواع الأنشطة التي سيتم إرجاعها مع التحديد الحالي.

5. في منطقة الإجراءات ، حدد أحد الخيارات التالية:

   • التدقيق: قم بتعيين هذا الإجراء للسماح بالوصول وفقا لعوامل تصفية النهج التي قمت بتعيينها بشكل صريح.

   • حظر: قم بتعيين هذا الإجراء لحظر الوصول وفقا لعوامل تصفية النهج التي قمت بتعيينها بشكل صريح.

6. في منطقة التنبيهات ، قم بتكوين أي من الإجراءات التالية حسب الحاجة:

   • إنشاء تنبيه لكل حدث مطابق مع خطورة النهج
   • إرسال تنبيه كرسالة بريد إلكتروني
   • حد التنبيه اليومي لكل نهج
   • إرسال تنبيهات إلى Power Automate

7. عند الانتهاء، حدد إنشاء.

اختبار النهج الخاص بك

بعد إنشاء نهج الوصول، اختبره عن طريق إعادة المصادقة على كل تطبيق تم تكوينه في النهج. تحقق من أن تجربة التطبيق كما هو متوقع، ثم تحقق من سجلات النشاط.

نوصيك بما يلي:

• إنشاء نهج لمستخدم قمت بإنشائه خصيصا للاختبار.
• سجل الخروج من جميع الجلسات الموجودة قبل إعادة المصادقة على تطبيقاتك.
• سجل الدخول إلى تطبيقات الأجهزة المحمولة وسطح المكتب من كل من الأجهزة المدارة وغير المدارة لضمان تسجيل الأنشطة بالكامل في سجل النشاط.

تأكد من تسجيل الدخول باستخدام مستخدم يطابق النهج الخاص بك.

لاختبار نهجك في تطبيقك:

• قم بزيارة جميع الصفحات داخل التطبيق التي تعد جزءا من عملية عمل المستخدم وتحقق من عرض الصفحات بشكل صحيح.
• تحقق من أن سلوك التطبيق ووظائفه لا يتأثران سلبا بتنفيذ إجراءات شائعة مثل تنزيل الملفات وتحميلها.
• إذا كنت تعمل مع تطبيقات مخصصة وغير خاصة ب Microsoft IdP، فتحقق من كل مجال من المجالات التي أضفتها يدويا لتطبيقك.

للتحقق من سجلات النشاط:

1. في Microsoft Defender XDR، حدد سجل نشاط تطبيقات > السحابة، وتحقق من أنشطة تسجيل الدخول التي تم التقاطها لكل خطوة. قد تحتاج إلى التصفية عن طريق تحديد عوامل التصفية المتقدمة وتصفية المصدر تساوي التحكم في الوصول.

   أنشطة تسجيل الدخول الأحادي هي أحداث التحكم في تطبيق الوصول المشروط.

2. حدد نشاطا لتوسيعه لمزيد من التفاصيل. تحقق لمعرفة أن علامة عامل المستخدم تعكس بشكل صحيح ما إذا كان الجهاز عميلا مضمنا، إما تطبيقا للأجهزة المحمولة أو سطح المكتب، أو أن الجهاز هو جهاز مدار متوافق ومنضم إلى المجال.

إذا واجهت أخطاء أو مشكلات، فاستخدم شريط أدوات مسؤول View لجمع الموارد مثل .Har الملفات والجلسات المسجلة، ثم قم بتقديم تذكرة دعم.

إنشاء نهج الوصول للأجهزة المدارة بواسطة الهوية

استخدم شهادات العميل للتحكم في الوصول إلى الأجهزة غير المنضمة Microsoft Entra المختلطة والتي لا تتم إدارتها بواسطة Microsoft Intune. طرح شهادات جديدة على الأجهزة المدارة، أو استخدام الشهادات الموجودة، مثل شهادات MDM التابعة لجهة خارجية. على سبيل المثال، قد ترغب في نشر شهادة العميل على الأجهزة المدارة ثم حظر الوصول من الأجهزة التي لا تحتوي على شهادة.

لمزيد من المعلومات، راجع الأجهزة المدارة بواسطة الهوية مع التحكم في تطبيق الوصول المشروط.

المحتويات ذات الصلة

لمزيد من المعلومات، اطلع على:

• استكشاف أخطاء عناصر التحكم في الوصول والجلسة وإصلاحها
• البرنامج التعليمي: حظر تنزيل المعلومات الحساسة باستخدام التحكم في تطبيق الوصول المشروط
• حظر التنزيلات على الأجهزة غير المدارة باستخدام عناصر التحكم في الجلسة
• ندوة الإنترنت للتحكم في تطبيق الوصول المشروط

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.