الموضوع السابقكيفية تمكين المصادقة متعددة العوامل (MFA) لأنظمة Windows وmacOS وLinux
يمكنك تطبيق المصادقة متعددة العوامل (MFA) على أجهزة Windows وmacOS وLinux بطريقتين:
- المصادقة متعددة العوامل المستندة إلى المستخدم: حماية عمليات تسجيل الدخول إلى أجهزة سطح المكتب أو الحواسيب المحمولة، بما في ذلك عمليات تسجيل الدخول إلى سطح المكتب البعيد، باستخدام المصادقة متعددة العوامل لمجموعة محددة من المستخدمين. انقر هنا للاطلاع على خطوات الإعداد.
- المصادقة متعددة العوامل المستندة إلى الجهاز: طبّق المصادقة متعددة العوامل خصيصًا على الأجهزة، بغض النظر عن المستخدمين الذين يصلون إليها، وحالة تسجيلهم، والاتصال بـ ADSelfService Plus. يُطلب إدخال عوامل المصادقة المُكوَّنة ضمن المصادقة متعددة العوامل المستندة إلى المستخدم أثناء عملية المصادقة متعددة العوامل المستندة إلى الجهاز. يمكن أيضًا تأمين مطالبات التحكم في حساب المستخدم (UAC)، ومصادقة عميل وخادم RDP، وعمليات إلغاء قفل النظام باستخدام المصادقة متعددة العوامل المستندة إلى الجهاز. انقر هنا لمعرفة المزيد.
ملاحظة: يتطلب تشغيل التحقق متعدد العوامل على مستوى الجهاز على أجهزة خوادم Windows وجود إصدار Professional من ADSelfService Plus مع ميزة Endpoint MFA. وإلا، فسيتم تجاوز التحقق متعدد العوامل على خوادم Windows.
يمكن تأمين الأجهزة باستخدام المصادقة متعددة العوامل بإحدى طريقتين:
- المصادقة متعددة العوامل عبر الإنترنت (MFA): تستخدم العملية الافتراضية أو العملية عبر الإنترنت للمصادقة متعددة العوامل في ADSelfService Plus اتصالاً عبر الشبكة بين خادم ADSelfService Plus وأجهزة المستخدمين للتحقق من هوية المستخدمين استنادًا إلى بيانات أداة المصادقة المسجّلة في خادم ADSelfService Plus.
- المصادقة متعددة العوامل دون اتصال: لضمان أمان الهوية حتى في غياب اتصال شبكة سليم أو التواصل مع خادم ADSelfService Plus، تتحقق المصادقة دون اتصال من هوية المستخدم باستخدام بيانات أداة المصادقة المخزنة بشكل آمن على جهاز المستخدم بواسطة وكيل تسجيل الدخول في Windows أو macOS. تُدعَم المصادقة دون اتصال فقط لعمليات تسجيل الدخول إلى Windows وmacOS، وللإجراءات الإضافية المرتبطة بـ Windows (مطالبات UAC، ومصادقة خادم RDP، وإلغاء قفل الجهاز) عندما يتعذر الوصول إلى خادم ADSelfService Plus. انقر على هذه الروابط لمعرفة المزيد حول التسجيل وعملية التحقق.
المتطلبات الأساسية
عام
- يلزم توفر Endpoint MFA الخاصة بـ ADSelfService Plus لتمكين ميزة المصادقة متعددة العوامل لتسجيلات الدخول إلى الأجهزة. قم بزيارة المتجر لشراء Endpoint MFA.
- يجب تفعيل SSL: سجّل الدخول إلى وحدة تحكم ADSelfService Plus على الويب باستخدام بيانات اعتماد المسؤول. انتقل إلى Admin tab > Product Settings > Connection. حدّد خيار ADSelfService Plus Port [https]. راجع هذا الدليل لمعرفة كيفية التقدّم للحصول على شهادة SSL وتمكين HTTPS.
- يجب تعيين عنوان URL للوصول إلى HTTPS: انتقل إلى المسؤول > إعدادات المنتج > الاتصال > إعدادات الاتصال > تكوين عنوان URL للوصول وقم بتعيين خيار البروتوكول إلى HTTPS.
- قم بتمكين طرق المصادقة المطلوبة. للاطلاع على خطوات تمكين طرق المصادقة، راجع قسم عوامل المصادقة.
- ثبّت وكيل تسجيل الدخول لبرنامج عميل ADSelfService Plus لأنظمة Windows وmacOS وLinux على الأجهزة التي تريد تمكين المصادقة متعددة العوامل (MFA) عليها. انقر هنا للاطلاع على خطوات تثبيت وكيل تسجيل الدخول لبرنامج ADSelfService Plus.
المتطلبات الأساسية للمصادقة متعددة العوامل دون اتصال
- يتطلب دعم المصادقة متعددة العوامل دون اتصال الإصدار الاحترافي من ADSelfService Plus مع مصادقة متعددة العوامل لنقاط النهاية.
- تُدعَم المصادقة متعددة العوامل دون اتصال فقط على أجهزة Windows (باستثناء Windows 10 الإصدار 1803) وعلى تسجيلات الدخول إلى macOS. بالنسبة لتسجيلات الدخول عن بُعد، لا تُدعَم المصادقة متعددة العوامل دون اتصال لمصادقة عميل RDP على Windows.
- يُرجى التأكد من أن وكيل تسجيل الدخول المثبت على أجهزتك يفي بالإصدار المطلوب: الإصدار 6.3 أو أعلى لنظام Windows، والإصدار 3.0 أو أعلى لنظام macOS. وإن لم يكن كذلك، فقم بتحديث الوكيل إلى أحدث إصدار باتباع هذه الخطوات. إذا لم تكن قد قمت بتثبيت وكيل تسجيل الدخول بعد، فيُرجى تكوين المصادقة متعددة العوامل دون اتصال قبل القيام بذلك لضمان تطبيق التغييرات.
خطوات تمكين المصادقة متعددة العوامل (MFA) لأجهزة Windows وmacOS وLinux
- انتقل إلى التكوين > الخدمة الذاتية > المصادقة متعددة العوامل > MFA لنقاط النهاية.
- حدد سياسة من القائمة المنسدلة اختر السياسة. سيحدد هذا طرق المصادقة التي يتم تفعيلها لكل مجموعة من المستخدمين.
- في قسم المصادقة متعددة العوامل لتسجيل الدخول إلى الجهاز، قم بتمكين الخيار بتحديد المربع، واختر عدد عوامل المصادقة المطلوب طلبها، ثم اختر طريقة المصادقة المطلوبة من القائمة المنسدلة.
- حدد خيار اختيار عوامل المصادقة للمصادقة متعددة العوامل (MFA) لتسجيل الدخول إلى الجهاز دون اتصال، ثم اختر طرق المصادقة التي تفضلها للمصادقة متعددة العوامل دون اتصال من القائمة المنسدلة. يتم دعم عوامل المصادقة التالية:
- المصادِق من Google
- مايكروسوفت أوثنتيكيتور
- مُوثِّق مخصص لكلمة مرور لمرة واحدة قائمة على الوقت (TOTP)
- Zoho OneAuth كلمة مرور لمرة واحدة مستندة إلى الوقت
- مفاتيح المرور FIDO2 (انقر هنا للاطلاع على السيناريوهات المدعومة)
لإجبار المستخدمين على التسجيل في عوامل المصادقة المحددة هنا، اختر خيار فرض التسجيل في هذا الإعداد المتقدم.
ملاحظة:
- إذا لم يتم تكوين المصادقة متعددة العوامل دون اتصال أو لم يكن جهاز المستخدم مسجلاً للمصادقة متعددة العوامل دون اتصال، فسيتم رفض الوصول دون اتصال إلا في الحالات التالية:
- تم تمكين إعداد تخطي المصادقة متعددة العوامل عندما يكون خادم ADSelfService Plus معطلاً أو يتعذر الوصول إليه. يمكن العثور على هذا الإعداد ضمن التكوين > الخدمة الذاتية > المصادقة متعددة العوامل > متقدم > MFA لنقطة النهاية > MFA لتسجيل دخول الجهاز.
- لا تُفرض المصادقة متعددة العوامل المعتمدة على الجهاز لذلك الجهاز. إن إعداد إدارة المصادقة متعددة العوامل ضمن التكوين > الأدوات الإدارية > GINA/Mac/Linux (Ctrl+Alt+Del) > تثبيت GINA/Mac/Linux > الأجهزة المثبتة معيّن إلى مستثنى.
- لن تنعكس التغييرات على تكوين المصادقة متعددة العوامل دون اتصال، والإعدادات المتقدمة، وبيانات التسجيل، وإلغاء تسجيل الجهاز من المصادقة متعددة العوامل دون اتصال إلا بعد محاولة المصادقة متعددة العوامل عبر الإنترنت التالية الناجحة على ذلك الجهاز.
- تعرّف على كيفية تمكين دعم اللغة المحلية للمصادقة متعددة العوامل لنظام Windows.
لتجنّب تقويض الأمان عبر تجاوز المصادقة متعددة العوامل أو الإضرار بالإنتاجية برفض الوصول عند عدم الاتصال، يُوصى بتمكين المصادقة متعددة العوامل دون اتصال.
الملحق
تسجيل أجهزة Windows للمصادقة متعددة العوامل دون اتصال بالإنترنت
تسجيل أداة المصادقة من قبل المستخدمين
بمجرد تكوين المصادقة متعددة العوامل دون اتصال، وبعد أن يُكمل المستخدم المصادقة متعددة العوامل عبر الإنترنت من خلال وكيل تسجيل الدخول أو في بوابة ADSelfService Plus، سيُطلب منه التسجيل في عوامل المصادقة المُكوَّنة للمصادقة متعددة العوامل دون اتصال إذا لم يكن قد سجّل بعد.
تسجيل الجهاز للمصادقة متعددة العوامل دون اتصال
بعد إتمام المصادقة متعددة العوامل عبر الإنترنت، وبناءً على تكوين الإعدادات المتقدمة، سيتم تسجيل جهاز المستخدم تلقائيًا للمصادقة متعددة العوامل غير المتصلة بالإنترنت، أو سيتعيّن على المستخدم الاختيار بين تسجيل جهازه وتخطي التسجيل.
بمجرد تسجيل الجهاز في المصادقة متعددة العوامل دون اتصال للمستخدم المحدد، سيتم نقل بيانات تسجيل أداة المصادقة الخاصة بالمستخدم بشكل آمن من خادم ADSelfService Plus وتخزينها كبيانات مشفّرة على الجهاز المعني لاستخدامها في المصادقة متعددة العوامل دون اتصال. ستتكرر هذه العملية بانتظام لإبقاء بيانات أداة المصادقة محدّثة.
يمكن إلغاء تسجيل الجهاز المُسجَّل للمصادقة متعددة العوامل دون اتصال بالإنترنت بواسطة المسؤولين أو المستخدمين النهائيين إذا لزم الأمر.
كيف تعمل المصادقة متعددة العوامل دون اتصال بالإنترنت؟
- يدخل المستخدم بيانات الاعتماد الخاصة به لتسجيل الدخول إلى جهازه.
- إذا نجحت المصادقة الأساسية، فإن وكيل تسجيل الدخول ADSelfService Plus المثبّت على الجهاز يحاول الوصول إلى خادم ADSelfService Plus لبدء المصادقة متعددة العوامل (MFA) ولكنه يفشل بسبب عدم توفر الاتصال.
- ثم يقوم وكيل تسجيل الدخول ببدء المصادقة متعددة العوامل دون اتصال.
- إذا أكمل المستخدم مستويات المصادقة المطلوبة بنجاح، يتم تسجيل دخوله إلى الجهاز.
شكرًا!
تم تقديم طلبك إلى فريق الدعم الفني لـ ADSelfService Plus. سيساعدك فريق الدعم الفني لدينا في أقرب وقت ممكن.
هل تحتاج إلى مساعدة تقنية؟
- أدخل عنوان بريدك الإلكتروني
- تحدث إلى الخبراء