الإعدادات المتقدمة

عام

إعدادات CAPTCHA

إخفاء CAPTCHA في: أخفِ CAPTCHA على صفحات المصادقة بالعامل الثاني بتحديدها من القائمة المنسدلة.

استعادة المصادقة متعددة العوامل

تمكين رموز التحقق الاحتياطية للمصادقة متعددة العوامل (MFA): حدد هذا الإعداد لتمكين توليد رموز التحقق الاحتياطية لـ MFA التي تتيح للمستخدمين النهائيين إثبات هويتهم عندما لا يتوفر جهاز المصادقة متعددة العوامل أو تطبيق المصادقة الخاص بهم.

حول الرموز الاحتياطية

تتيح رموز النسخ الاحتياطي ذات الاستخدام لمرة واحدة للمستخدمين إثبات هويتهم في حال تعذّر الوصول إلى جهاز المصادقة متعددة العوامل (MFA) الخاص بهم أو تعذّر عليهم استخدام أساليب المصادقة متعددة العوامل المسجَّلة لديهم. بمجرد تمكين إعداد تمكين رموز التحقق الاحتياطية لـ MFA، يمكن إنشاء رموز النسخ الاحتياطي ويمكن للمستخدمين النهائيين إدخالها للتحقق من هويتهم أثناء تسجيل الدخول إلى الجهاز أو الـVPN، أو تسجيل الدخول إلى بوابة ADSelfService Plus، أو إجراء عمليات الخدمة الذاتية. يمكن إنشاء رموز النسخ الاحتياطي بطريقتين:

• من قبل المستخدم: يمكن للمستخدمين إنشاء رموز النسخ الاحتياطي في بوابة المستخدم النهائي الخاصة بـ ADSelfService Plus. يتم إنشاء ما مجموعه خمسة رموز في كل مرة يتم فيها استخدام هذا الخيار. لا يمكن استخدام كل رمز أكثر من مرة.
• من قِبل المسؤول: يمكن للمسؤولين أيضًا إنشاء رموز احتياطية للمستخدمين الذين سجّلوا في المصادقة متعددة العوامل (MFA) باستخدام تقرير المستخدمين المسجلين. يفيد ذلك عندما لا يكون المستخدمون قد أنشأوا رموزهم الاحتياطية الخاصة ولا يمكنهم استخدام طرق MFA المسجّلة. معرفة المزيد.

إعادة تعيين/إلغاء قفل MFA

المصادقة متعددة العوامل لإعادة تعيين كلمات المرور

• تقييد وقت خمول المصادقة متعددة العوامل أثناء عمليات إعادة تعيين كلمة المرور إلى <text_box> دقيقة: سيؤدي تمكين هذا الإعداد إلى تحديد مهلة زمنية للمدة التي يمكن للمستخدم أن يستغرقها لإتمام التحقق من الهوية أثناء عمليات إعادة تعيين كلمة المرور. على سبيل المثال، إذا ضبطته على خمس دقائق، يتعين على المستخدمين إدخال رمز التحقق عبر الرسائل القصيرة SMS أو الموافقة على إشعار الدفع خلال خمس دقائق. يُعاد تعيين حد وقت الخمول مع كل محاولة تحقق أو مع إجراءات مثل اختيار عوامل المصادقة.
• منع المستخدمين من إجراء عمليات إعادة تعيين كلمات المرور عند التسجيل الجزئي: عند تحديد هذا الخيار، لن يُسمح للمستخدمين النهائيين الذين أكملوا عملية التسجيل جزئياً (أي المسجلين في طريقتين من أصل أربع طرق مصادقة) بإعادة تعيين كلمات المرور الخاصة بهم حتى يُكملوا عملية التسجيل. إذا تم تعطيل هذا الخيار، فسيُجبر المستخدمون المسجلون جزئياً على إكمال التسجيل بعد المصادقة.
  ملاحظة: عوامل المصادقة المعتمدة على تطبيق ADSelfService Plus للأجهزة المحمولة غير مدعومة للتسجيل أثناء عمليات إعادة تعيين كلمات المرور.
• إلزام المستخدمين بالتسجيل في عوامل المصادقة المفعلة لنقاط النهاية الأخرى بعد نجاح المصادقة: يضمن تمكين هذا الإعداد أن يسجل المستخدمون في جميع عوامل المصادقة المطلوبة، ليس فقط لإعادة تعيين كلمات المرور، بل أيضًا لتسجيل الدخول إلى نقاط نهاية مثل الأجهزة، وشبكات VPN، وOWA، وapplicationات. كما يتم فرض التسجيل أيضًا لعوامل المصادقة المعينة كإلزامية في علامة تبويب التسجيل في MFA.

المصادقة متعددة العوامل لفك قفل الحساب

• تقييد وقت خمول المصادقة متعددة العوامل أثناء إلغاء قفل الحساب إلى <text_box> دقيقة/دقائق: سيؤدي تمكين هذا الإعداد إلى تعيين حد زمني للمدة التي يمكن للمستخدم أن يستغرقها لإكمال التحقق من الهوية أثناء إلغاء قفل الحساب. على سبيل المثال، إذا قمت بتعيينه لخمس دقائق، يتعيّن على المستخدمين إدخال رمز التحقق عبر الرسائل النصية القصيرة (SMS) أو الموافقة على إشعار الدفع خلال خمس دقائق. يُعاد ضبط حد وقت الخمول مع كل محاولة تحقق أو مع إجراءات مثل اختيار عوامل المصادقة.
• منع المستخدمين من إلغاء قفل الحسابات عند التسجيل بشكل جزئي: عند تحديد هذا الخيار، لن يُسمح للمستخدمين النهائيين الذين أتمّوا عملية التسجيل جزئياً (مثلاً، سجّلوا طريقتين من أصل أربع طرق مصادقة) بإلغاء قفل حساباتهم حتى يكملوا عملية التسجيل. إذا تم تعطيل هذا الخيار، سيتم إلزام المستخدمين المسجلين جزئياً بإتمام التسجيل بعد المصادقة.
  ملاحظة: عوامل المصادقة المستندة إلى تطبيق الهاتف المحمول الخاصة بـ ADSelfService Plus غير مدعومة للتسجيل أثناء إلغاء قفل الحسابات.
• فرض التسجيل بعد نجاح MFA لعوامل المصادقة المحددة لنقاط نهاية أخرى: يضمن تمكين هذا الإعداد تسجيل المستخدمين بجميع عوامل المصادقة المطلوبة، ليس فقط لفك قفل الحسابات، بل أيضاً لتسجيل الدخول إلى نقاط النهاية مثل الأجهزة، وشبكات VPN، وOWA، وapplicationات. كما يُفرَض التسجيل أيضاً لعوامل المصادقة المعيّنة كإلزامية في علامة تبويب تسجيل MFA.

المصادقة متعددة العوامل لنقطة النهاية

المصادقة متعددة العوامل لتسجيل الدخول إلى الجهاز

يوفر قسم مصادقة متعددة العوامل لتسجيل دخول الأجهزة للمسؤولين تحكمًا دقيقًا في مطالبات المصادقة متعددة العوامل للأجهزة على الشبكة.

• تمكين المصادقة متعددة العوامل لـ <قائمة منسدلة>: This setting allows you to enable MFA for interactive logins, User Account Control (UAC), and machine unlocks.

  

  • تسجيل الدخول التفاعلي: عند التمكين، ستكون المصادقة متعددة العوامل (MFA) مطلوبة أثناء تسجيلات الدخول التفاعلية أو القائمة على واجهة المستخدم الرسومية (GUI) على أجهزة Windows. لن يتمكن المستخدمون من تنفيذ أي إجراءات لاحقة إلا بعد نجاح التحقق من الهوية.
  • التحكم في حساب المستخدم: عند تمكين هذا الإعداد، ستكون المصادقة متعددة العوامل (MFA) مطلوبة لجميع مطالبات إدخال بيانات اعتماد التحكم في حساب المستخدم (UAC)، ولن يتمكن المستخدم من تنفيذ الإجراء المطلوب إلا بعد التحقق بنجاح من الهوية. يتوافق هذا الإعداد مع Windows 7 وما بعده وWindows Server 2008 وما بعده. يتوفر دعم هذا الإعداد في الإصدار 5.10 وما بعده من وكيل تسجيل الدخول إلى Windows الخاص بـ ADSelfService Plus.
  • إلغاء قفل الأجهزة: سيؤدي تمكين هذا الإعداد إلى فرض المصادقة متعددة العوامل عند إلغاء قفل أجهزة Windows.
  ملاحظة: إن خيار تمكين المصادقة متعددة العوامل (MFA) للتحكم في حساب المستخدم متاح فقط لمطالبات التحكم في حساب المستخدم (UAC) في Windows التي تتطلب بيانات اعتماد المستخدم.
  
  تتطلب ميزة MFA لفتح قفل أجهزة Windows الإصدار Professional من ADSelfService Plus مع المصادقة متعددة العوامل على نقاط النهاية (Endpoint MFA).
• تمكين المصادقة متعددة العوامل للوصول إلى سطح المكتب البعيد أثناء: باستخدام هذا الإعداد، يمكن للمسؤول تكوين اشتراط المصادقة متعددة العوامل عند إنشاء اتصالات بالأجهزة عبر بروتوكول سطح المكتب البعيد (RDP)، مما يضمن تأمين اتصالات RDP بالأجهزة بطبقة إضافية من المصادقة.

  

• There are two ways in which MFA can be configured for Remote Desktop access:
  • مصادقة خادم بروتوكول سطح المكتب البعيد (RDP): عند تمكين هذا الإعداد، سيتم مصادقة جميع اتصالات سطح المكتب البعيد الواردة إلى أجهزة Windows التي تم تثبيت وكيل تسجيل الدخول ADSelfService Plus عليها وحمايتها باستخدام المصادقة متعددة العوامل (MFA).
  • مصادقة عميل RDP: يمكن تمكين هذا الإعداد لفرض المصادقة متعددة العوامل (MFA) على جميع اتصالات سطح المكتب البعيد الصادرة عبر Windows Remote Desktop application (mstsc.exe) على الأجهزة التي تم تثبيت عامل تسجيل الدخول ADSelfService Plus عليها. يدعم هذا الإعداد الإصدار 5.10 وما فوق من عامل تسجيل الدخول إلى Windows الخاص بـ ADSelfService Plus. ينطبق هذا الإعداد على Windows 7 وما فوق وWindows Server 2008 R2 وما فوق.

    لتمكين المصادقة متعددة العوامل (MFA) لمصادقة عميل RDP، يجب استيفاء المتطلبات الأساسية التالية:

    • يلزم تمكين المصادقة على مستوى الشبكة. يمكنك تمكين المصادقة على مستوى الشبكة عبر نهج المجموعة (Group Policy) بالانتقال إلى Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security.
    • لفرض المصادقة متعددة العوامل لاتصالات سطح المكتب البعيد في بيئة Active Directory متعددة الغابات، يجب أن تكون هناك علاقة ثقة بين المجالين. يمكن إضافة علاقات ثقة بين الغابات إما من خلال ثقة على مستوى الغابة (علاقة ثقة على مستوى الغابة) أو من خلال ثقة خارجية (علاقة ثقة على مستوى المجال). لخطوات تكوين علاقة ثقة، يرجى الرجوع إلى هذا المستند.
  ملاحظة: قد يؤدي تمكين الخيارين إلى التحقق المزدوج من المصادقة متعددة العوامل (MFA) إذا كان وكيل تسجيل الدخول لنظام Windows مثبتًا على كلٍ من أجهزة الخادم والعميل. على سبيل المثال، إذا كان Google Authenticator هو أداة المصادقة المكوّنة لـ MFA، وتم تمكين المصادقة على كلٍ من خادم RDP وعميل RDP، فسيُطلب من المستخدم إجراء التحقق من الهوية باستخدام الرمز قبل إنشاء الاتصال بالجهاز البعيد ومرة أخرى بعد إنشاء الاتصال.
  
  باستخدام مصادقة عميل RDP، يمكنك حماية الوصول عن بُعد باستخدام MFA فقط للمستخدمين الذين يصلون إلى الجهاز من الإنترنت أو من عناوين IP عامة أخرى عبر بوابة سطح المكتب البعيد (RD Gateway)، وذلك من خلال تكوين قاعدة وصول مشروط مع قيود على عناوين IP. تعرّف على المزيد حول الوصول المشروط.
• يمكن أن تكون عملية المصادقة متعددة العوامل (MFA) لتسجيل الدخول إلى الجهاز خاملة لمدة __ دقيقة: سيؤدي تمكين هذا الإعداد إلى تحديد مهلة زمنية للمستخدمين لإكمال عملية المصادقة متعددة العوامل لتسجيل الدخول إلى أجهزتهم.
• تخطي المصادقة متعددة العوامل (MFA) عندما يكون خادم ADSelfService Plus متوقفًا أو غير قابل للوصول: يضمن هذا الخيار عدم ترك المستخدمين عالقين في شاشات تسجيل الدخول لأجهزتهم أثناء عملية المصادقة متعددة العوامل عندما يكون خادم ADSelfService Plus متوقفًا أو غير قابل للوصول. ومع ذلك، فهذا يعني أيضًا التنازل عن طبقة الأمان المتقدمة التي توفرها المصادقة متعددة العوامل، وهو أمر غير مُوصى به. لتفادي مثل هذه الظروف، قم بنشر المصادقة متعددة العوامل دون اتصال. لا ينطبق هذا الإعداد في الحالات التالية:
  • تم تكوين المصادقة متعددة العوامل دون اتصال، وتم تسجيل المستخدم بها على جهازه.
  • يتم فرض المصادقة متعددة العوامل المستندة إلى الجهاز على الجهاز.
• اعتبار الجهاز موثوقًا لمدة __ يومًا: عند تفعيل هذا الإعداد، يمكن للمستخدمين الذين سجّلوا الدخول مرة واحدة باستخدام المصادقة متعددة العوامل (MFA) لتسجيل الدخول إلى الجهاز تخطي المصادقة متعددة العوامل في عمليات تسجيل الدخول اللاحقة. يساعد تفعيل هذا الإعداد المستخدمين على تجنب المرور بعملية المصادقة متعددة العوامل في كل مرة يقومون فيها بقفل أجهزتهم وإلغاء قفلها. تُلغى حالة موثوقية الجهاز بعد عدد الأيام المحدد.
• الإبقاء على خيار 'الثقة بهذا الجهاز' محددًا بشكل افتراضي: بتفعيل هذا الإعداد، يمكنك إبقاء المربع بجوار خيار الثقة بهذا الجهاز محددًا على شاشة المصادقة متعددة العوامل (MFA) بشكل افتراضي.
• __ إذا لم يكن المستخدم مسجلاً في المصادقة متعددة العوامل (MFA): This setting determines the authentication flow for the user when they have not enrolled for any of the authenticators for Machine login MFA. The admin can configure one of the following actions to occur:
  • السماح بعمليات تسجيل الدخول: سيُسمح للمستخدم بتجاوز المصادقة متعددة العوامل الخاصة بتسجيل الدخول إلى الجهاز والوصول إليه.
  • منع تسجيل الدخول: سيتم تقييد وصول المستخدم.
  • فرض التسجيل:
    • سيُفرض على المستخدم التسجيل باستخدام وسائل المصادقة لـ MFA عبر الإنترنت وMFA دون اتصال، وذلك فقط بعد نجاح المصادقة الأولية.
    • يمكن تطبيق هذا الخيار فقط على أجهزة Windows وmacOS. إذا لم يكن المستخدم مسجلاً وتم اختيار هذا الخيار، فسيُمنع المستخدم من الوصول إلى جهاز Linux الخاص به.
  مهم:
  • ستُؤخذ وسائل المصادقة المطلوبة للمصادقة متعددة العوامل عند الاتصال وعند عدم الاتصال معاً بعين الاعتبار؛ لذا إذا لم يكن المستخدم مسجَّلاً في أيٍّ من وسائل المصادقة المطلوبة لهاتين الحالتين، فسيُعد غير مسجَّل. أما إذا كان مسجَّلاً في وسيلة مصادقة واحدة على الأقل مطلوبة لأيٍّ من طريقتَي تسجيل الدخول هاتين، فيُعد مسجَّلاً جزئياً.
  • ينطبق هذا الإعداد فقط على المستخدمين غير المسجَّلين. لا ينطبق على المستخدمين المسجَّلين جزئياً؛ إذ سيُفرض عليهم بدلاً من ذلك التسجيل في وسائل المصادقة المتبقية بعد إكمال المصادقة متعددة العوامل باستخدام وسائل المصادقة التي سُجِّلوا فيها.
  • إذا جرى اختيار وسائل مصادقة لا يستطيع المستخدمون تسجيل أنفسهم فيها—مثل رموز TOTP المادية المخصصة وأسئلة الأمان في AD—فسَيُمنعون من الوصول حتى مع تمكين فرض التسجيل، لأن المسؤول فقط هو من يمكنه تسجيلهم.
  • عند فرض المصادقة متعددة العوامل المعتمدة على الجهاز، يتم تجاوز هذا الإعداد، وسيُمنع المستخدمون الذين لم يسجّلوا في أيٍّ من وسائل المصادقة من الوصول إلى الجهاز، كما سيُفرض على المستخدمين المسجَّلين جزئياً التسجيل في وسائل المصادقة المتبقية المطلوبة.
• تقييد المستخدمين من إجراء المصادقة متعددة العوامل دون اتصال بعد _ أيام/محاولات: عند تمكين هذا الإعداد، يتم تقييد المصادقة متعددة العوامل دون اتصال بعدد معين من الأيام أو المحاولات، ويُطلب من المستخدمين الاتصال مجددًا بـ ADSelfService Plus بمجرد استنفاد هذا الحد.
  ملاحظة: تتطلب المصادقة متعددة العوامل دون اتصال الإصدار الاحترافي من ADSelfService Plus مع مصادقة متعددة العوامل لنقطة النهاية.

  • يُوصى بضبط قيمة تناسب متطلبات مؤسستك. قد يؤدي تعيين قيم أقل من المطلوب إلى ترك المستخدمين دون إمكانية الوصول إلى الجهاز.
  • يُوصى بتمكين هذا الإعداد، إذ إن أي تغيير يُجرى على سياسة الخدمة الذاتية، وتكوينات المصادقة متعددة العوامل، والإعدادات المتقدمة، والتعديلات المتعلقة بتسجيل المصادقة متعددة العوامل دون اتصال سيظهر على الأجهزة الخاصة بالمستخدمين المسجَّلين فقط بعد إتمامهم المصادقة متعددة العوامل أثناء الاتصال بالإنترنت.
  • يُعاد تعيين هذا الحد عندما يجري المستخدم المعني مصادقة عبر الإنترنت على الجهاز المحدد.
• إجبار المستخدم على تسجيل جهازه للمصادقة متعددة العوامل دون اتصال بعد نجاح المصادقة عبر الإنترنت: عند تمكين هذا الإعداد، بمجرد أن يُكمل المستخدم المصادقة متعددة العوامل عبر الإنترنت على جهاز، يُسجَّل الجهاز تلقائيًا للمصادقة متعددة العوامل دون اتصال من دون إشعار المستخدم. إذا لم يتم تمكينه، يمكن للمستخدم اختيار تسجيل جهازه للمصادقة متعددة العوامل دون اتصال أو تخطي ذلك.

تسجيل الدخول إلى OWA مع المصادقة متعددة العوامل

ملاحظة: تتطلب المصادقة متعددة العوامل (MFA) لتسجيلات الدخول إلى OWA الإصدار الاحترافي من ADSelfService Plus مع Endpoint MFA.

• تقييد مدة خمول المصادقة متعددة العوامل أثناء عمليات تسجيل الدخول إلى OWA إلى <text_field> دقيقة: عند تمكين هذا الإعداد، ستنتهي صلاحية جلسة المستخدم إذا ظل المستخدم خاملاً لمدة الفترة الزمنية المحددة.
• Skip MFA when the ADSelfService Plus server is down or unreachable: Enable this option if you want to avoid situations where users can't access OWA or Exchange admin center when the ADSelfService Plus server is down or unreachable. However, be aware that enabling this option means renouncing the advanced security layer of MFA when the ADSelfService Plus server is down or unreachable, which is not recommended. To avoid such circumstances, deploy ADSelfService Plus with high availability or load balancing.
  ملاحظة: عند تمكين أو تعطيل خيار تخطي MFA عندما يكون خادم ADSelfService Plus متوقفًا أو غير قابل للوصول لـ OWA MFA، يجب عليك أيضًا تغيير مفتاح السجل المقابل على الجهاز الذي تم تثبيت ADSelfService Plus OWA Connector عليه لكي تصبح الإعدادات سارية المفعول.

  للقيام بذلك:

  الخطوة 1: افتح محرر السجل (اكتب regedit في مربع حوار Run) على الجهاز الذي تم تثبيت OWA Connector عليه.

  الخطوة 2: انتقل إلى Computer\HKEY_LOCAL_MACHINE\SOFTWARE\ZOHO Corp\ADSelfService Plus IIS MFA Module.

  الخطوة 3: عيّن الخاصية BypassMFAOnConnectionError إلى TRUE أو FALSE، وذلك اعتمادًا على ما إذا كنت تريد تخطي MFA في حال وجود أي مشكلات اتصال أثناء المصادقة.

  يُوصى بأخذ نسخة احتياطية من مفتاح السجل قبل تعديله. يملك امتياز تعديل هذا المفتاح فقط أعضاء مجموعة المسؤولين المحليين المضمّنة على الكمبيوتر.

• انتهاء الثقة بمتصفح بعد __ يوماً: عند تمكين هذا الإعداد، يمكن للمستخدمين الذين سجلوا الدخول مرة واحدة باستخدام المصادقة متعددة العوامل لـ OWA تخطي المصادقة متعددة العوامل أثناء عمليات تسجيل الدخول اللاحقة. سيساعد تمكين هذا الإعداد المستخدمين على تجنب المرور بعملية المصادقة متعددة العوامل في كل مرة يسجلون فيها الدخول إلى OWA أو إلى مركز إدارة Exchange من المتصفح نفسه. سيتم إلغاء حالة المتصفح الموثوق بعد عدد الأيام المحدد.
• إبقاء خيار "الثقة بهذا المتصفح" محددًا افتراضيًا: بتفعيل هذا الإعداد، يمكنك إبقاء المربع بجوار "الثقة بهذا المتصفح" محددًا على شاشة المصادقة متعددة العوامل بشكل افتراضي.
• تخطي MFA عندما لا يكون المستخدم مسجلاً لعوامل المصادقة المطلوبة: إذا تم تعطيل هذا الخيار، فلن يتمكن المستخدمون غير المسجلين من تسجيل الدخول إلى بوابة OWA الخاصة بهم. وسيُعتبر المستخدمون المسجلون جزئياً غير مسجلين. إذا تم تمكين هذا الخيار، فسيتم تخطي MFA للمستخدمين غير المسجلين. وإذا كان المستخدم مسجلاً جزئياً، فستكون عملية تحقق MFA مطلوبة باستخدام عوامل المصادقة التي سجّل لها، وبعد ذلك سيُفرض عليه إكمال التسجيل لعوامل المصادقة التي ستُستخدم لـ MFA لتسجيلات الدخول إلى OWA.

  فعِّل هذا الخيار إذا كنت تريد تجنب الحالات التي يتعذر فيها على المستخدمين الوصول إلى OWA أو مركز إدارة Exchange عندما لا يكون المستخدم مسجلاً لعوامل المصادقة المطلوبة. ومع ذلك، يُرجى العلم أن تمكين هذا الخيار يتيح عمليات تسجيل الدخول دون استيفاء عوامل المصادقة الإلزامية المكوَّنة في السياسة. لذلك، يُوصى بتعطيل هذا الخيار بمجرد أن يكون جميع المستخدمين في هذه السياسة مسجلين في MFA.

المصادقة متعددة العوامل لتسجيل الدخول إلى VPN

ملاحظة: تتطلب المصادقة متعددة العوامل لتسجيل الدخول عبر VPN الإصدار الاحترافي من ADSelfService Plus مع المصادقة متعددة العوامل لنقاط النهاية.

• الإبقاء على صلاحية جلسة المصادقة متعددة العوامل الخاصة بشبكة VPN لمدة <number> من الدقائق: يؤدي تمكين هذا الإعداد إلى تعيين حد زمني للعامل الثاني للمصادقة أثناء تسجيل الدخول إلى VPN. على سبيل المثال، إذا ضبطته على دقيقتين، يتعين على المستخدمين إدخال الرمز أو الموافقة على الإشعار، وفقًا لطريقة المصادقة المفعلة، خلال دقيقتين.

  

  ملاحظة: إذا كان خادم VPN لديك يسمح لك بتكوين حد مهلة RADIUS، فاضبطه على قيمة أكبر من حد مهلة الجلسة الذي تقوم بتكوينه في هذا الإعداد.
• يمكن أن تظل عملية المصادقة متعددة العوامل (MFA) لتسجيل الدخول إلى شبكة VPN غير نشطة لمدة <number> دقيقة: لا يمكن أن تتجاوز مدة الخمول هذه وقت انتهاء صلاحية الرابط الآمن، وهو 30 دقيقة افتراضيًا.

  

• تخطي MFA عندما يكون خادم ADSelfService Plus متوقفًا أو غير قابل للوصول: فعّل هذا الخيار إذا كنت لا تريد ترك المستخدمين عالقين في شاشة تسجيل الدخول أثناء عمليات تسجيل الدخول عبر VPN عندما يكون خادم ADSelfService Plus متوقفًا أو غير قابل للوصول. يُفرض هذا الإعداد عبر جميع السياسات.
  ملاحظة: عند تمكين أو تعطيل خيار تخطي MFA عندما يكون خادم ADSelfService Plus متوقفًا أو غير قابل للوصول لمصادقة VPN متعددة العوامل، يجب أيضًا تغيير مفتاح السجل المقابل على الجهاز الذي تم تثبيت ADSelfService Plus NPS Extension عليه لكي تسري الإعدادات.

  للقيام بذلك:

  الخطوة 1: افتح محرر السجل (اكتب regedit في مربع الحوار Run) على الجهاز المثبت عليه NPS Extension.

  الخطوة 2: انتقل إلى HKEY_LOCAL_MACHINE\SOFTWARE\ZOHO Corp\ADSelfService Plus NPS Extension.

  الخطوة 3: عيّن الخاصية BypassMFAOnConnectionError إلى TRUE أو FALSE، وذلك اعتمادًا على ما إذا كنت تريد تخطي MFA في حال وجود أي مشكلات اتصال أثناء المصادقة.

  يُوصى بأخذ نسخة احتياطية من مفتاح السجل قبل تعديله. لن يمتلك امتياز تعديل هذا المفتاح إلا أعضاء مجموعة المسؤولين المحلية المضمنة على الكمبيوتر.

• Skip MFA when the user is not enrolled for the required authenticators:

  التحقق من عميل VPN:

  • إذا تم تمكين هذا الخيار، فسيتم تخطي المصادقة متعددة العوامل للمستخدمين غير المسجلين.
  • إذا تم تعطيل هذا الخيار، فلن يتمكن المستخدمون غير المسجلين من تسجيل الدخول إلى شبكة VPN الخاصة بهم.
  ملاحظة: يُعتبر المستخدمون المسجّلون جزئيًا غير مسجّلين، وسيُسمح لهم بتجاوز المصادقة متعددة العوامل (MFA).

  تأكيد البريد الإلكتروني من SecureLink:

  • إذا تم تمكين هذا الخيار، سيتم تخطي المصادقة متعددة العوامل (MFA) للمستخدمين غير المسجلين. وإذا كان المستخدم مسجلاً جزئياً، فسيُطلب إجراء تحقق متعدد العوامل باستخدام وسائل المصادقة التي سجّل فيها المستخدم، وعند نجاح التحقق متعدد العوامل باستخدام وسائل المصادقة المسجَّل فيها، سيتم إلزامه بإكمال التسجيل لوسائل المصادقة التي ستُستخدم للمصادقة متعددة العوامل عبر SecureLink Email Verification.
  ملاحظة: يُعتبر المستخدم الذي لديه عنوان بريد إلكتروني أساسي أو ثانوي صالح مسجلاً جزئياً تلقائياً في المصادقة متعددة العوامل (MFA) عبر التحقق من البريد الإلكتروني من SecureLink.

  يُعتبر المستخدم الذي لا يملك عنوان بريد إلكتروني أساسياً أو ثانوياً صالحاً غير مسجل.

  • قم بتمكين هذا الخيار إذا كنت تريد تجنّب الحالات التي يتعذّر فيها على المستخدمين الوصول إلى شبكة الـVPN الخاصة بهم عندما لا يكونون مسجَّلين في عوامل المصادقة المطلوبة. ومع ذلك، يُرجى العلم أن تمكين هذا الخيار يتيح تسجيل الدخول دون استيفاء عوامل المصادقة المفروضة والمُكوَّنة في السياسة. لذلك يُوصى بتعطيل هذا الخيار بمجرد تسجيل جميع المستخدمين الخاضعين لهذه السياسة في المصادقة متعددة العوامل (MFA).
  • إذا كان هذا الخيار غير مفعّل، فلن يتمكن المستخدمون غير المسجلين من تسجيل الدخول إلى شبكة VPN الخاصة بهم. سيُعتبر المستخدمون المسجلون جزئياً غير مسجلين.
• إرسال سمات إضافية إلى خادم الـVPN كاستجابة بعد نجاح المصادقة متعددة العوامل (MFA): فعّل هذا الخيار إذا كنت ترغب في إرسال سمات إضافية إلى خادم الـVPN أو إلى نقاط نهاية RADIUS الأخرى. لن تُرسَل هذه السمات إلى موفّر الـVPN إلا بعد نجاح المصادقة متعددة العوامل، وسيستخدمها خادم الـVPN لتحديد مستوى الوصول الذي ينبغي أن يحصل عليه كل مستخدم ولأغراض أخرى. ستتمكن من العثور على القائمة الكاملة بالسمات المدعومة في الوثائق التي تلقيتها من موفّر الـVPN لديك.
  ملاحظة: يرجى تحديث ملحق NPS إلى الإصدار 2.3 أو أحدث لاستخدام هذه الميزة.

تكوين سمات إضافية

1. إذا حاولت تمكين هذه الميزة قبل تكوين السمات، ستظهر لك نافذة منبثقة لتكوينها. انقر فوق موافق. يمكنك أيضًا النقر فوق رابط تكوين السمات.
2. يمكنك تكوين سمات RADIUS القياسية أو الخاصة بالمورّد والقيم المقابلة لها ليتم إرسالها إلى موفري الشبكات الافتراضية الخاصة (نقاط نهاية RADIUS الأخرى).

   

3. أدخل معرّف المورّد بالنقر على زر تحرير [ ]. معرّف المورّد هو الرقم الفريد الذي يحدّد موفّر خدمة VPN لديك. على سبيل المثال، إذا كنت تستخدم Fortigate، فمعرّف المورّد هو 12356.
4. اختر النوع الخاص بالسمة وأدخل رقم السمة والتنسيق والقيمة في الحقول المعروضة.

   بالنسبة للسمات ذات تنسيق string، يجب أن تكون القيم أحرفاً، وبالنسبة للسمات ذات تنسيق int، يجب أن تكون القيم أعداداً صحيحة.

   أما سمات enum التي تحتوي على قيم متعددة مُعرّفة مسبقاً، فقدم القيمة المطلوبة على هيئة أعداد صحيحة مرتبطة بها. على سبيل المثال، إذا رغبت في استخدام Login كسمة service-type، فأدخل 1 في حقل القيمة.

   في حال كانت السمات بتنسيق عناوين IPv4 أو IPv6، يُرجى إدخال عنوان IP صالح في حقل القيمة.

   على سبيل المثال، يمكن أن يبدو عنوان IPv4 لديك مثل 10.1.1.1، ويمكن أن يبدو عنوان IPv6 لديك مثل 2001:0db8:85a3::8a2e:0370:7334.

5. انقر فوق موافق بعد تكوين جميع السمات التي تحتاجها.
6. بعد إكمال الإعداد بنجاح، سيتم تمكين إعداد إرسال سمات إضافية كاستجابة لخادم الـVPN بعد إتمام المصادقة متعددة العوامل بنجاح.

المصادقة متعددة العوامل لتسجيل الدخول إلى تطبيقات السحابة

• تمكين تسجيلات الدخول بدون كلمة مرور: يتيح هذا الإعداد للمستخدمين الوصول إلى applications وبوابة الخدمة الذاتية بدون كلمة مرور. يرجى الرجوع إلى هذه الصفحة لمزيد من المعلومات.
  ملاحظة: تتطلب تسجيلات الدخول بدون كلمة مرور إلى applications السحابية الإصدار Professional من ADSelfService Plus مع المصادقة متعددة العوامل لنقاط النهاية (Endpoint MFA).

  يرجى ملاحظة أنه سيتم تعطيل إعداد الثقة بهذا المتصفح للمستخدمين الذين تم تمكين تسجيل الدخول بدون كلمة مرور لهم لتجنب الثغرات الأمنية. عند فرض تسجيلات الدخول بدون كلمة مرور، يجب على المستخدم إجراء المصادقة في كل مرة يحاول فيها الوصول إلى application.

• تقييد مدة خمول المصادقة متعددة العوامل أثناء تسجيل الدخول إلى التطبيقات السحابية إلى <text_field> دقيقة: سيؤدي تمكين هذا الإعداد إلى تحديد مهلة زمنية للمستخدمين لإكمال عملية المصادقة متعددة العوامل.
• فرض التسجيل للمستخدمين غير المسجلين بعد التحقق الناجح من كلمة المرور: عند تمكين هذا الإعداد، لن يُجبر المستخدمون على المرور بعملية المصادقة متعددة العوامل (MFA) عند تسجيل دخولهم لأول مرة. بدلاً من ذلك، ستتم مطالبتهم بإتمام عملية التسجيل بعد التحقق الناجح من كلمة المرور.
• فرض التسجيل بعد نجاح المصادقة متعددة العوامل (MFA) للمصدِّقات المحددة لنقاط نهاية أخرى: يؤدي تمكين هذا الإعداد إلى ضمان تسجيل المستخدمين بجميع عوامل المصادقة المطلوبة ليس فقط لتسجيلات الدخول إلى application السحابي، بل أيضًا للمصادقة متعددة العوامل أثناء إعادة تعيين كلمة المرور وإلغاء قفل الحساب، وكذلك للأجهزة، وVPN، وOWA، وتسجيلات دخول ADSelfService Plus. كما يُفرض التسجيل أيضًا لعوامل المصادقة المُحددة كإلزامية في علامة تبويب تسجيل المصادقة متعددة العوامل (MFA).
• الإبقاء على خيار 'الثقة بهذا المتصفح' محددًا بشكل افتراضي: عند تمكين هذا الخيار، سيتم تحديد خانة الاختيار 'الثقة بهذا المتصفح' بشكل افتراضي في شاشة التحقق متعدد العوامل (MFA). لا ينطبق هذا الإعداد عند تمكين تسجيل الدخول بدون كلمة مرور.
• انتهاء صلاحية الثقة لمتصفح بعد ___ يوم: عند تمكين هذا الخيار، لن يُطلب من المستخدمين اجتياز المصادقة متعددة العوامل (MFA) لعدد الأيام المحدد عند تسجيل الدخول إلى ADSelfService Plus باستخدام المتصفحات الموثوقة. لا ينطبق هذا الإعداد عند تمكين تسجيل الدخول بدون كلمة مرور.

تطبيقات المصادقة متعددة العوامل

المصادقة متعددة العوامل لتسجيل الدخول في ADSelfService Plus

• تمكين تسجيل الدخول بدون كلمة مرور: يتيح هذا الإعداد للمستخدمين الوصول إلى application وإلى بوابة الخدمة الذاتية بدون كلمة مرور. يرجى الرجوع إلى هذه الصفحة لمزيد من المعلومات.
  ملاحظة: يرجى ملاحظة أنه سيتم تعطيل إعداد الثقة بهذا المتصفح للمستخدمين الذين تم تمكين تسجيل الدخول بدون كلمة مرور لهم لتجنب الثغرات الأمنية. عند فرض تسجيل الدخول بدون كلمة مرور، يتعين على المستخدم إجراء المصادقة في كل مرة يحاول فيها الوصول إلى application.
• تقييد مدة خمول المصادقة متعددة العوامل (MFA) أثناء تسجيلات الدخول إلى بوابة ADSelfService Plus إلى __ دقيقة: سيؤدي تمكين هذا الإعداد إلى تعيين حد زمني للمستخدمين لإكمال عملية المصادقة متعددة العوامل.
• فرض التسجيل للمستخدمين غير المسجلين بعد التحقق الناجح من كلمة المرور: عند تمكين هذا الإعداد، لن يُجبر المستخدمون على المرور بعملية المصادقة متعددة العوامل (MFA) عند تسجيل دخولهم لأول مرة. بدلاً من ذلك، ستتم مطالبتهم بإتمام عملية التسجيل بعد التحقق الناجح من كلمة المرور.
• فرض التسجيل بعد نجاح المصادقة متعددة العوامل (MFA) للمصدِّقات المحددة لنقاط النهاية الأخرى: يضمن تمكين هذا الإعداد قيام المستخدمين بالتسجيل بجميع المصدِّقات المطلوبة، ليس فقط لعمليات تسجيل الدخول إلى ADSelfService Plus، بل أيضًا للمصادقة متعددة العوامل (MFA) أثناء إعادة تعيين كلمة المرور وإلغاء تأمين الحساب، وكذلك لعمليات تسجيل الدخول إلى الأجهزة وVPN وOWA وتطبيقات السحابة application. كما يتم فرض التسجيل أيضًا للمصدِّقات المُعيَّنة كإلزامية في علامة تبويب تسجيل MFA.
• أبقِ خيار 'الوثوق بهذا المتصفح' محدداً بشكل افتراضي: عند تمكين هذا الخيار، سيتم تحديد خانة الاختيار 'الوثوق بهذا المتصفح' بشكل افتراضي في شاشة التحقق متعدد العوامل (MFA).
• انتهاء صلاحية الثقة للمتصفح بعد __ يوماً: عند تمكين هذا الخيار، لن يُطلب من المستخدمين الخضوع لعملية المصادقة متعددة العوامل لعدد الأيام المحدد عند تسجيل دخولهم إلى ADSelfService Plus باستخدام الأجهزة الموثوقة.

إعدادات الأسئلة والأجوبة

إعدادات السؤال

• عرض __ من أسئلة الأمان من بين <no_of_available_questions> بشكل عشوائي: باستخدام هذا الخيار، يمكنك تحديد عدد الأسئلة التي سيتم عرضها للمستخدم النهائي. سيتم اختيار الأسئلة عشوائيًا بواسطة ADSelfService Plus من قائمة أسئلة الأمان المتاحة والمكوَّنة ضمن إعدادات أسئلة وأجوبة الأمان.
• عرض __ AD Security Questions من أصل <no_of_available_questions> بشكل عشوائي: حدد هذا الخيار لتحديد عدد أسئلة أمان AD التي سيتم طرحها أثناء عملية التحقق من الهوية. ستقوم ADSelfService Plus باختيار الأسئلة عشوائيًا من قائمة أسئلة الأمان المتاحة والمكوّنة ضمن AD Security Questions (Configuration > Multi-factor Authentication > Authenticators Setup > AD Security Questions).
• عرض أسئلة الأمان واحدًا تلو الآخر: سيؤدي تحديد هذا الخيار إلى عرض أسئلة الأمان واحدًا تلو الآخر (أي سؤال واحد في كل صفحة).
• عرض جميع أسئلة الأمان في الوقت نفسه: يؤدي تحديد هذا الخيار إلى عرض جميع أسئلة الأمان على صفحة واحدة.

إعدادات الإجابة

• التحقق من هويات المستخدمين باستخدام إجابات حساسة لحالة الأحرف لأسئلة الأمان: يؤدي تحديد هذا الخيار إلى جعل الإجابات التي يقدمها المستخدمون حساسة لحالة الأحرف.
• إخفاء إجابات أسئلة الأمان أثناء المصادقة: سيؤدي تحديد هذا الخيار إلى إخفاء إجابات أسئلة الأمان بشكل افتراضي.

معززات الإجابة (لأسئلة وأجوبة الأمان فقط)

• منع المستخدمين من تقديم أسماء المستخدمين الخاصة بهم كإجابات: سيمنع هذا المستخدمين من استخدام اسم المستخدم الخاص بهم كإجابة.
• منع المستخدمين من تقديم الإجابة نفسها لأسئلة متعددة: سيمنع ذلك المستخدمين من تقديم الإجابة نفسها لأسئلة متعددة.
• منع المستخدمين من استخدام أي كلمة واردة في سؤال الأمان في إجاباتهم: سيمنع هذا المستخدمين من نسخ كلمات من الأسئلة كإجابات.
• إلزام المستخدمين باستخدام الأحرف الإنجليزية فقط (a-z)، والأرقام (0-9)، والرموز: سيضمن ذلك أن يستخدم المستخدمون الأحرف والأرقام والرموز فقط في إجاباتهم.
• تخزين إجابات الأمان باستخدام تشفير قابل للعكس: سيؤدي تحديد هذا الخيار إلى تخزين إجابات الأمان كنص عادي في قاعدة بيانات ADSelfService Plus. يمكن عرض الإجابات باستخدام تقرير أسئلة الأمان وإجاباتها.
• تخزين إجابات الأمان باستخدام خوارزمية ___: حدد هذا الخيار لتشفير وتخزين إجابات أسئلة الأمان باستخدام خوارزمية MD5 أو SHA-512.

إعدادات رمز التحقق

سمات البريد الإلكتروني/الهاتف المحمول

• حدد نوع السمة (البريد الإلكتروني أو الهاتف المحمول) الذي تريد عرضه من قائمة تحديد النوع المنسدلة.
• انقر على إضافة سمة لإضافة سمة جديدة تحتوي على عناوين البريد الإلكتروني الخاصة بالمستخدمين أو أرقام هواتفهم المحمولة.

البريد الإلكتروني/ رقم الهاتف المحمول الثانوي

• منع تسجيل المسجّلين بالفعل <قائمة منسدلة>: استخدم هذا الخيار لمنع تسجيل عدة مستخدمين باستخدام نفس عنوان البريد الإلكتروني الثانوي و/أو رقم الهاتف المحمول عبر المنتج.
• السماح أو حظر عناوين البريد الإلكتروني من النطاقات التالية <domain_dropdown>: استخدم هذا الخيار لحظر أو السماح بنطاقات بريد إلكتروني معيّنة. إذا اخترت الحظر، سيتمكن المستخدمون من إضافة عناوين بريد إلكتروني من أي نطاق باستثناء النطاقات المُدرجة. سيضمن اختيار السماح أن يستخدم المستخدمون مزوّدي خدمات بريد إلكتروني موثوقين فقط لتلقي رموز التحقّق. يمكنك ترك هذا الحقل فارغًا للسماح بأي نطاق بعد اختيار السماح.
• السماح أو حظر صيغ أرقام الهاتف المحمول التالية __: استخدم هذا الخيار لحظر أو السماح بصيغ معيّنة لأرقام الهاتف المحمول. إذا اخترت الحظر، سيتمكن المستخدمون من إضافة أرقام الهواتف المحمولة بأي صيغة باستثناء الصيغ المدرجة. سيضمن اختيار السماح أن يُدخل المستخدمون أرقام الهواتف المحمولة بالصيغ المُكوَّنة المحددة فقط. يمكنك ترك هذا الحقل فارغًا للسماح بأي صيغة بعد اختيار السماح.
  ملاحظة: إذا كنت لا تريد أن يسجل المستخدمون عناوين بريد إلكتروني ثانوية أو أرقام هواتف محمولة، فعطّل هذه الإعدادات:

  • السماح بعناوين البريد الإلكتروني من النطاقات التالية __ أو حظرها
  • السماح بصيغ أرقام الهاتف المحمول التالية __ أو حظرها
• اختر سياسة الإلزام: استخدم هذا الإعداد لتحديد ما إذا كانت إضافة عناوين البريد الإلكتروني الثانوية وأرقام الهواتف المحمولة إلزامية أم اختيارية للمستخدمين. الخيارات المتاحة هي:
  • اجعل هذا التسجيل اختياريًا.
  • إلزام المستخدمين بتسجيل عنوان بريد إلكتروني.
  • إلزام المستخدمين بتسجيل رقم هاتف محمول.
  • إلزام المستخدمين بتسجيل كل من عنوان بريد إلكتروني ورقم هاتف محمول.
• حدّد عدد عمليات تسجيل عناوين البريد الإلكتروني الثانوية إلى __: استخدم هذا الإعداد لتحديد الحد الأقصى لعدد عمليات تسجيل عناوين البريد الإلكتروني الثانوية المسموح بها لكل مستخدم. يمكنك السماح بما بين عنوان واحد و10 عناوين بريد إلكتروني ثانوية.
• قيّد عدد عمليات تسجيل أرقام الهواتف المحمولة الثانوية إلى __: استخدم هذا الإعداد لتحديد الحد الأقصى لعدد عمليات تسجيل أرقام الهواتف المحمولة الثانوية المسموح بها لكل مستخدم. يمكنك السماح بما بين رقم هاتف محمول ثانوي واحد و10 أرقام هواتف محمولة ثانوية.

أخرى

• اضبط طول رمز التحقق على ___ رقمًا: استخدم هذا الإعداد لتحديد عدد الأرقام في رمز التحقق.
• إظهار 'اختر البريد الإلكتروني/رقم الجوال.' كالقيمة الافتراضية في القائمة المنسدلة للبريد الإلكتروني/رقم الجوال: سيؤدي تمكين هذا الخيار إلى إظهار اختر البريد الإلكتروني/رقم الجوال. كالقيمة الافتراضية في القائمة المنسدلة للبريد الإلكتروني/رقم الجوال أثناء التحقق من الهوية.
• إخفاء معرّف البريد الإلكتروني ورقم الهاتف المحمول جزئياً على صفحات MFA: سيؤدي هذا الخيار إلى إخفاء جزء من عنوان البريد الإلكتروني ورقم الهاتف المحمول للمستخدم أثناء عملية التحقق من الهوية.
• تخطي خطوة 'اختيار عنوان البريد الإلكتروني/رقم الهاتف المحمول' وإرسال رمز التحقق تلقائيًا: In some cases, the user might have enrolled in ADSelfService Plus with multiple email addresses or mobile numbers. By default, the product shows the user a drop-down to select the email address or mobile number to send the verification code to. However, when the Choose Email Address/Mobile Number step and auto-trigger the verification code option is checked, this drop-down is not displayed, and the code is sent directly to the user's primary email address, which is determined based on:
  • عنوان البريد الإلكتروني أو رقم الهاتف المحمول الذي حدده المستخدم النهائي أثناء التسجيل الذاتي، أو الذي حدده المسؤول أثناء التسجيل التلقائي عبر ملف CSV أو قواعد بيانات خارجية (أيهما الأحدث).
  • عناوين البريد الإلكتروني أو أرقام الجوال المرتبطة بكائن مستخدم Active Directory. يمكن للمسؤولين تهيئة سمات mail أو mobile لاستخدامها في السياسة عبر القسم المتقدم من إعدادات المصادقة متعددة العوامل (MFA)، كما هو موضح في لقطة الشاشة أدناه. للعثور على هذه الإعدادات في واجهة المستخدم الرسومية للمنتج، سجّل الدخول إلى بوابة مسؤولي ADSelfService Plus وانتقل إلى التكوين > الخدمة الذاتية > المصادقة متعددة العوامل (MFA) > المتقدم > رمز التحقق > سمات البريد/الجوال.

  

• إرسال نسخة (CC) إلى المسؤول/المدير في رسالة التحقق من الهوية المرسلة إلى المستخدمين: استخدم هذا الإعداد لإضافة عنوان البريد الإلكتروني لمدير المستخدم أو المسؤول في سطر النسخة (CC) من رسالة البريد الإلكتروني الخاصة برمز التحقق المرسلة إلى المستخدم. للقيام بذلك:
  • ضع علامة في مربع الاختيار بجوار هذا الإعداد.
  • أدخل عنوان البريد الإلكتروني للمسؤول في حقل معرّف البريد الإلكتروني.
  • انقر إضافة مدير لإدراج عنوان البريد الإلكتروني لمدير المستخدم.