انتقل إلى السابق الموضوع السابق

    المصادقة متعددة العوامل القائمة على الجهاز

    يهدف إعداد المصادقة متعددة العوامل القائمة على الأجهزة إلى حماية الأجهزة بالغة الأهمية للأعمال في المؤسسة من خلال منع تعرّضها للاختراق.

    ملاحظة: تتطلب المصادقة متعددة العوامل القائمة على الجهاز الإصدار الاحترافي من ADSelfService Plus مع مصادقة متعددة العوامل لنقاط النهاية. إذا لم يكن لديك ذلك، فلن يتم فرض المصادقة متعددة العوامل القائمة على الجهاز.

    كيف تعمل المصادقة متعددة العوامل المستندة إلى الجهاز؟

    عند فرض المصادقة متعددة العوامل (MFA) المستندة إلى الجهاز على جهاز معيّن، يجب على أي مستخدم يصل إلى الجهاز إثبات هويته باستخدام MFA لتسجيل الدخول بنجاح. ستعتمد عوامل المصادقة المعروضة في المطالبة على عوامل المصادقة المُكوَّنة للمستخدم في قسم MFA لتسجيل الدخول إلى الجهاز. تختلف هذه الإعدادات عن إعدادات MFA الخاصة بالأجهزة المستندة إلى السياسات، إذ تهدف إلى تأمين الأجهزة الحساسة في جميع الظروف؛ أي سيتم فرض MFA على الأجهزة المحددة بغض النظر عن حالة تسجيل المستخدم الذي يحاول تسجيل الدخول أو عن توافر خادم ADSelfService Plus.

    ملاحظة: لتكوين إعدادات مستندة إلى السياسات تنطبق على المستخدمين وليس على الأجهزة، يُرجى النقر هنا.

    عند تمكين هذا الإعداد، لن يُسمح للمستخدمين بتسجيل الدخول إلى الجهاز الذي تُفرض فيه المصادقة متعددة العوامل على مستوى الجهاز إذا:

    • لا يمكن الوصول إلى خادم ADSelfService Plus.
    • تم تقييد حساب المستخدم في ADSelfService Plus.
    • المستخدم لا ينتمي إلى أي سياسة تم تكوين المصادقة متعددة العوامل (MFA) فيها لتسجيل دخول الجهاز.
    • لم يقم المستخدم بالتسجيل في أي من عوامل المصادقة التي تم تكوينها ضمن قسم المصادقة متعددة العوامل لتسجيل الدخول إلى الجهاز (سواء عبر الإنترنت أو دون اتصال)، بغضّ النظر عمّا إذا كان خيار فرض التسجيل مفعّلًا في سياسة المستخدم أم لا.
    • تم تجاوز الحد الأقصى لاستهلاك تراخيص المستخدمين أو لم يتم شراء Endpoint MFA. لشراء Endpoint MFA، انقر هنا.

    ومع ذلك، سيسمح للمستخدمين الذين اختاروا إعداد الثقة بهذا الجهاز على شاشة تسجيل الدخول بتسجيل الدخول إلى الجهاز دون إجراء المصادقة متعددة العوامل (MFA) للمدة المحددة بعد التحقق الأولي من هويتهم.

    ملاحظة: تأكد من تحديث وكيل تسجيل الدخول إلى الإصدارات الأحدث التالية لضمان التطبيق الصحيح للمصادقة متعددة العوامل (MFA): Windows 5.10، macOS 1.7، أو Linux 2.4 فأعلى. إذا كان إصدار أقدم من وكيل تسجيل الدخول مثبتًا على الجهاز، وكان خادم ADSelfService Plus يتعذر الوصول إليه، فسيُسمح للمستخدم بالوصول إلى الجهاز إذا كان خيار تخطي المصادقة متعددة العوامل (MFA) عند تعطل خادم ADSelfService Plus أو تعذر الوصول إليه مُمكّنًا.

    خطوات لفرض المصادقة متعددة العوامل المستندة إلى الجهاز

    1. انتقل إلى التكوين > الأدوات الإدارية > GINA/Mac/Linux (Ctrl+Alt+Del) > تثبيت GINA/Mac/Linux > الأجهزة المثبتة.

      المصادقة متعددة العوامل القائمة على الجهاز

    2. حدد النطاق المطلوب من القائمة المنسدلة.
    3. حدد الأجهزة التي تريد فرض MFA القائمة على الجهاز عليها.

      MFA القائمة على الجهاز

    4. انقر فوق إدارة MFA ثم اختر فرض.

      المصادقة متعددة العوامل المستندة إلى الجهاز

    خطوات لإعفاء جهاز من المصادقة متعددة العوامل المعتمدة على الجهاز

    1. انتقل إلى التكوين > الأدوات الإدارية > GINA/Mac/Linux (Ctrl+Alt+Del) > تثبيت GINA/Mac/Linux > الأجهزة المثبتة.
    2. حدد النطاق المطلوب من القائمة المنسدلة.
    3. اختر الجهاز الذي تريد استثناؤه من المصادقة متعددة العوامل المستندة إلى الجهاز.
    4. انقر القائمة المنسدلة إدارة المصادقة متعددة العوامل واختر إعفاء.

      المصادقة متعددة العوامل المستندة إلى الجهاز

    إعدادات المصادقة متعددة العوامل المتقدمة للأجهزة

    يُمكّن ADSelfService Plus المسؤولين من تفعيل المصادقة متعددة العوامل (MFA) أثناء سيناريوهات استخدام محددة لأجهزة Windows. لطلب هذه الميزة لنظامي Mac أو Linux، انقر هنا.

    ملاحظة: تتطلب ميزة MFA المتقدمة للأجهزة الإصدار الاحترافي من ADSelfService Plus مع MFA لنقاط النهاية. إذا لم تكن هذه متاحة لديك، فسيتم تخطي MFA على أجهزة Windows.

    ستعتمد وسائل المصادقة في مطالبات السيناريوهات المُفعَّلة على عوامل المصادقة متعددة العوامل المُكوَّنة في قسم MFA لتسجيل الدخول إلى الجهاز. سيتم تطبيق الإعدادات المُفعَّلة هنا على جميع أجهزة Windows التي تم تثبيت وكيل تسجيل الدخول ADSelfService Plus عليها.

    ملاحظة: تنطبق هذه الإعدادات على أجهزة Windows فقط. تضمن إعدادات MFA المتقدمة للأجهزة تأمين الجهاز باستخدام MFA في جميع الأحوال. على سبيل المثال، سيتم فرض MFA حتى إذا كان المستخدم غير مسجل أو كان خيار تخطي MFA عند تعطل خادم ADSelfService Plus أو تعذر الوصول إليه مفعلاً في سياسته. سيُطلب من المستخدمين الذين يحاولون تسجيل الدخول إلى الجهاز إجراء MFA استنادًا إلى عوامل المصادقة التي سجّلوا فيها وفقًا لسياستهم.

    إعدادات المصادقة متعددة العوامل في Windows

    • تمكين MFA أثناء عمليات تسجيل الدخول التفاعلية إلى أجهزة Windows عبر واجهة المستخدم الرسومية (GUI):

      المصادقة متعددة العوامل القائمة على الجهاز

      عند تمكين هذا الإعداد، سيتم طلب MFA أثناء عمليات تسجيل الدخول التفاعلية أو المعتمدة على الواجهة الرسومية على أجهزة Windows. سيتمكن المستخدمون من تنفيذ الإجراءات اللاحقة فقط بعد التحقق بنجاح من الهوية.

      ملاحظة: تتطلب المصادقة متعددة العوامل لعمليات تسجيل الدخول التفاعلية إلى خوادم Windows الإصدار الاحترافي من ADSelfService Plus مع Endpoint MFA. إذا لم تكن هاتان الميزتان متاحتين لديك، فسيتم تجاوز MFA على خوادم Windows.

    • تمكين المصادقة متعددة العوامل (MFA) للتحكم في حساب المستخدم: يُفعِّل هذا الإعداد المصادقة متعددة العوامل لجميع مطالبات إدخال بيانات الاعتماد الخاصة بـالتحكم في حساب المستخدم (UAC)، وسيتمكن المستخدم من تنفيذ الإجراء المطلوب فقط عند التحقق بنجاح من الهوية.

      • شرط مسبق

      قبل تكوين MFA لـ UAC، سجّل الدخول إلى وحدة تحكم المجال بصلاحيات مسؤول المجال، وتأكد من تطبيق إعدادات نهج المجموعة التالية على أجهزة الكمبيوتر المستهدفة:

    1. افتح محرر إدارة نهج المجموعة (GPMC)، ثم انتقل إلى تكوين الكمبيوتر > إعدادات Windows > إعدادات الأمان > السياسات المحلية > خيارات الأمان.
    2. قم بتكوين إعدادات النهج التالية:
    • التحكم في حساب المستخدم: سلوك موجه الارتفاع للمسؤولين في وضع موافقة المسؤولاضبط على المطالبة ببيانات الاعتماد على سطح المكتب الآمن
    • التحكم في حساب المستخدم: التبديل إلى سطح المكتب الآمن عند المطالبة بامتيازات مرتفعةاضبط على ممكّن

      • المصادقة متعددة العوامل المستندة إلى الجهاز

    • بمجرد الانتهاء، قم بتمكين خيار تمكين المصادقة متعددة العوامل للتحكم في حساب المستخدم في ADSelfService Plus.
    • يتوافق هذا الإعداد مع Windows 7 وما بعده ومع Windows Server 2008 وما بعده. وهو مدعوم اعتبارًا من الإصدار 5.10 فأعلى من وكيل تسجيل الدخول إلى Windows الخاص بـ ADSelfService Plus.

    ملاحظة: تتطلب المصادقة متعددة العوامل (MFA) لـ UAC على أجهزة Windows الإصدار الاحترافي من ADSelfService Plus مع المصادقة متعددة العوامل لنقاط النهاية. إذا لم تكن هذه المتطلبات متوفرة لديك، فسيتم تجاوز المصادقة متعددة العوامل على أجهزة Windows.

    المصادقة متعددة العوامل على مستوى الجهاز

    ملاحظة: لن تتطلب الإجراءات التي يتم تنفيذها عند تحديد خيار تشغيل كمستخدم مختلف إدخال بيانات الاعتماد، بخلاف ما تطلبه إجراءات التحكم في حساب المستخدم الأخرى.

    المصادقة متعددة العوامل المستندة إلى الجهاز

  • قم بتمكين المصادقة متعددة العوامل للوصول إلى سطح المكتب البعيد على أجهزة Windows أثناء: The admin can configure MFA to be required when establishing connections with machines through the RDP. This will ensure that RDP connections to machines are secured with an additional layer of authentication.

    ملاحظة: يتطلب تمكين المصادقة متعددة العوامل (MFA) للوصول عبر RDP إلى أجهزة Windows إصدار Professional من ADSelfService Plus مع Endpoint MFA. إذا لم تكن هذه متوفرة لديك، فسيتم تجاوز المصادقة متعددة العوامل (MFA) أثناء تسجيلات الدخول عبر RDP إلى أجهزة Windows.

    هناك طريقتان يمكن من خلالهما تكوين المصادقة متعددة العوامل (MFA) للوصول إلى سطح المكتب البعيد:

    • مصادقة خادم RDP: عند تمكين هذا الإعداد، سيتم مصادقة جميع اتصالات سطح المكتب البعيد الواردة إلى أجهزة Windows المثبَّت عليها عامل تسجيل الدخول ADSelfService Plus وحمايتها باستخدام المصادقة متعددة العوامل (MFA).
      • لتمكين هذا الإعداد، حدد تمكين المصادقة متعددة العوامل للوصول إلى سطح المكتب البعيد على أجهزة Windows أثناء وحدد مصادقة خادم RDP.
    • مصادقة عميل RDP: يمكن تمكين هذا الإعداد لفرض المصادقة متعددة العوامل (MFA) على جميع اتصالات سطح المكتب البعيد الصادرة من الأجهزة المنضمة إلى المجال، عبر Windows Remote Desktop application (mstsc.exe) على الأجهزة التي تم تثبيت وكيل تسجيل الدخول الخاص بـ ADSelfService Plus عليها.

      ملاحظة: مصادقة عميل RDP غير مدعومة للمستخدمين المحليين على الأجهزة المنضمة إلى المجال والأجهزة المستقلة (مجموعة العمل).

      • المتطلبات المسبقة:

        قبل تكوين مصادقة عميل RDP، سجّل الدخول إلى وحدة تحكم بالمجال بصلاحيات مسؤولي المجال وتأكد من تطبيق هذه الإعدادات:

    1. افتح محرر إدارة نهج المجموعة (GPMC) وانتقل إلى تكوين الكمبيوتر > القوالب الإدارية > مكونات Windows > خدمات سطح المكتب البعيد > مضيف جلسات سطح المكتب البعيد > الأمان.
    2. انقر نقرًا مزدوجًا على طلب مصادقة المستخدم للاتصالات عن بُعد باستخدام المصادقة على مستوى الشبكة، ثم حدد ممكّن.
    3. انقر فوق تطبيق وحفظ إعداداتك.
  • بعد الانتهاء، اختر تمكين المصادقة متعددة العوامل للوصول عبر سطح المكتب البعيد على أجهزة Windows أثناء وحدد مصادقة عميل RDP.
  • يدعم هذا الإعداد الإصدار 5.10 فما فوق من وكيل تسجيل الدخول إلى Windows الخاص بـ ADSelfService Plus. ينطبق هذا الإعداد على Windows 7 فما فوق وعلى Windows Server 2008 R2 فما فوق.

    • المصادقة متعددة العوامل القائمة على الجهاز

    ملاحظة: قد يؤدي تمكين مصادقة كلٍّ من خادم RDP وعميل RDP إلى التحقق المزدوج إذا كان عامل تسجيل الدخول الخاص بـ ADSelfService Plus مثبتًا على كلٍّ من جهازي الخادم والعميل. على سبيل المثال، إذا كانت Google Authenticator هي أداة المصادقة متعددة العوامل (MFA) المُكوَّنة، وتم تمكين مصادقة خادم RDP ومصادقة عميل RDP معًا، فسيُطلب من المستخدم إجراء التحقق من الهوية باستخدام الرمز قبل وبعد إنشاء اتصال بالجهاز البعيد.
  • To enable MFA for RDP client authentication, log into a Domain Controller with Domain Admin privileges, and ensure the following Group Policy settings are applied to the target computers:
    • افتح محرر إدارة نهج المجموعة (GPMC) وانتقل إلى تكوين الكمبيوتر > القوالب الإدارية > مكونات Windows > خدمات سطح المكتب البعيد > مضيف جلسات سطح المكتب البعيد > الأمان.
    • انقر نقرًا مزدوجًا على طلب مصادقة المستخدم للاتصالات عن بُعد باستخدام المصادقة على مستوى الشبكة، ثم حدد ممكّن.
    • انقر فوق تطبيق وحفظ إعداداتك.

    لفرض المصادقة متعددة العوامل (MFA) لاتصالات سطح المكتب البعيد في بيئة Active Directory متعددة الغابات، يجب أن تكون هناك علاقة ثقة بين المجالين. يمكن إضافة علاقات الثقة بين الغابات إما من خلال ثقة على مستوى الغابة (أي علاقة ثقة تُنشأ على مستوى الغابة) أو من خلال ثقة خارجية (أي علاقة ثقة تُنشأ على مستوى المجال). للاطلاع على خطوات تكوين علاقة ثقة، يُرجى الرجوع إلى هذا المستند.

    ملاحظة: باستخدام مصادقة عميل RDP، يمكنك حماية الوصول عن بُعد باستخدام المصادقة متعددة العوامل (MFA) فقط للمستخدمين الذين يصلون إلى الجهاز من الإنترنت أو من عناوين IP عامة أخرى عبر بوابة سطح المكتب البعيد (RD Gateway)، وذلك من خلال تكوين قاعدة وصول مشروط مع قيود على عناوين IP. تعرّف على المزيد حول الوصول المشروط هنا.
  • تمكين المصادقة متعددة العوامل (MFA) عند إلغاء قفل أجهزة Windows: سيؤدي تمكين هذا الإعداد إلى فرض المصادقة متعددة العوامل (MFA) أثناء إلغاء قفل أجهزة Windows.

    ملاحظة: تتطلب المصادقة متعددة العوامل (MFA) لعمليات إلغاء قفل أجهزة Windows النسخة الاحترافية من ADSelfService Plus مع Endpoint MFA. إذا لم تكن هذه متوفرة لديك، فسيتم تجاوز المصادقة متعددة العوامل (MFA) أثناء إلغاء قفل أجهزة Windows.

    المصادقة متعددة العوامل (MFA) القائمة على الجهاز

    • الموضوع التاليالانتقال إلى التالي

    شكرًا!

    تم إرسال طلبك إلى فريق الدعم الفني لمنتج ADSelfService Plus. سيساعدك فريق الدعم الفني لدينا في أقرب وقت ممكن.

     

    هل تحتاج إلى مساعدة تقنية؟

    • أدخل بريدك الإلكتروني
    • تحدث إلى الخبراء
    •  
       
    •  
    • بالنقر على 'تحدث إلى الخبراء' فإنك توافق على معالجة البيانات الشخصية وفقًا لِ سياسة الخصوصية.

    لم تجد ما تبحث عنه؟

    •  

      زر مجتمعنا

      انشر أسئلتك في المنتدى.

       
    •  

      اطلب موارد إضافية

      أرسل إلينا متطلباتك.

       
    •  

      هل تحتاج إلى مساعدة في التنفيذ؟

      جرّب OnboardPro