تأمين الوصول عن بعد باستخدام وكيل تطبيق Azure AD

تأمين الوصول عن بعد باستخدام وكيل تطبيق Azure AD

14/03/2025

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تنفيذ وتكوين Azure AD Application Proxy لتأمين الوصول عن بعد إلى تطبيقات الويب المحلية. في بيئة العمل المختلطة، حيث يحتاج المستخدمون إلى الوصول إلى الموارد الداخلية من أي مكان، يعد أمان هذا الوصول أمرًا أساسيًا. يوفر Azure AD Application Proxy حلاً آمنًا ومبسطًا لنشر تطبيقات الويب المحلية للمستخدمين البعيدين دون الحاجة إلى شبكات VPN معقدة أو مناطق منزوعة السلاح [1].

مقدمة

تقليديًا، يتطلب الوصول عن بعد إلى التطبيقات الداخلية إعداد شبكات افتراضية خاصة (VPN) أو تعريض التطبيقات للشبكات المحيطة (DMZs)، مما يزيد من التعقيد ونواقل الهجوم المحتملة. مع تزايد اعتماد نماذج العمل عن بعد والمختلط، تحتاج المؤسسات إلى طريقة أكثر أمانًا وفعالية لتوفير الوصول إلى التطبيقات القديمة التي لا تزال موجودة داخل مقر العمل [2].

يعد Azure AD Application Proxy إحدى ميزات Azure Active Directory (المعروفة الآن باسم Microsoft Entra ID) والتي تتيح للمستخدمين الوصول بشكل آمن إلى تطبيقات الويب المحلية من أي مكان. وهو يعمل بمثابة وكيل عكسي، حيث يقوم بتوجيه حركة مرور التطبيق الداخلي من خلال Azure AD، الذي يتعامل مع المصادقة والترخيص. وهذا يعني أنه يمكن الوصول إلى التطبيقات المحلية كما لو كانت تطبيقات SaaS، مع الاستفادة من ميزات أمان Azure AD مثل المصادقة متعددة العوامل (MFA) والوصول المشروط [3].

سيغطي هذا الدليل العملي المتطلبات الأساسية، وتثبيت موصلات وكيل التطبيقات وتكوينها، ونشر أنواع مختلفة من التطبيقات (تطبيقات الويب، وRemote Desktop Web Client، وSharePoint)، والتكامل مع سياسات الوصول المشروط، وكيفية اختبار الوصول عن بعد والتحقق من صحته. سيتم توفير تعليمات خطوة بخطوة وأمثلة عملية وشروحات موجزة حتى يتمكن القارئ من تنفيذ هذه الميزات واختبارها والتحقق من صحتها. بالإضافة إلى ذلك، ستتم مناقشة النصائح الأمنية وفحوصات الامتثال وأفضل الممارسات لضمان الوصول الآمن والفعال عن بعد، بشكل مستقل ومهني وموثوق.

ما سبب أهمية وكيل تطبيق Azure AD للوصول عن بعد؟

  • الأمان المحسّن: مركزية المصادقة والترخيص في Azure AD، مما يتيح استخدام ميزات الأمان مثل MFA والوصول المشروط وحماية الهوية للتطبيقات المحلية.
  • الوصول المبسط: يوفر تجربة تسجيل دخول موحد (SSO) للتطبيقات المحلية، مما يجعل الوصول أسهل للمستخدمين.
  • تقليل التعقيد: يلغي الحاجة إلى شبكات VPN أو المناطق المجردة من السلاح للوصول عن بعد، مما يؤدي إلى تبسيط بنية الشبكة وتقليل سطح الهجوم.
  • فعال من حيث التكلفة: يستخدم البنية الأساسية الحالية لـ Azure AD، دون الحاجة إلى أجهزة أو برامج إضافية للوصول عن بُعد.
  • النشر المرن: يدعم نشر مجموعة واسعة من تطبيقات الويب، بما في ذلك التطبيقات المستندة إلى الرأس وSharePoint وRemote Desktop Web Client وتطبيقات الويب المخصصة الأخرى.

المتطلبات الأساسية

لتكوين وكيل تطبيق Azure AD، ستحتاج إلى العناصر التالية:

  1. الترخيص: اشتراك Azure AD Premium P1 أو P2 (أو ترخيص يتضمن هذه الميزات، مثل Microsoft 365 E3/E5) [4].
  2. الوصول الإداري: حساب بدور المسؤول العام أو مسؤول التطبيق في بوابة Azure (https://portal.azure.com).
  3. Windows Server for Connector: خادم Windows Server (2012 R2 أو أحدث) داخل شبكتك المحلية التي تتمتع بإمكانية الاتصال بالتطبيقات التي تريد نشرها وAzure AD. يجب أن يتمتع هذا الخادم بإمكانية الوصول إلى الإنترنت الصادر (المنفذان 80 و443 لـ Azure AD و443 لخدمة وكيل تطبيق Azure AD) [5].
  4. تطبيقات الويب المحلية: تطبيقات الويب الداخلية التي تريد إتاحة الوصول إليها عن بُعد.
  5. ** المجال المخصص (اختياري) **: مجال مخصص تم التحقق منه في Azure AD إذا كنت تريد استخدام عناوين URL المألوفة لتطبيقاتك المنشورة.

خطوة بخطوة: تكوين وكيل تطبيق Azure AD

لنقم بتكوين وكيل التطبيق ونشر التطبيق.

1. تثبيت وتكوين موصل وكيل التطبيق

الموصل هو عامل خفيف الوزن يتصلإلى Azure AD وتطبيقاتك المحلية.

  1. افتح المتصفح الخاص بك وانتقل إلى بوابة Azure: https://portal.azure.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.
  3. في حقل البحث العلوي، اكتب "Azure Active Directory" وحدده من النتائج.
  4. في جزء التنقل الأيسر، حدد وكيل التطبيق ضمن إدارة.

  5. انقر فوق "تنزيل خدمة الموصل".

  6. على خادم Windows المحلي الذي قمت بتعيينه للموصل:

    • قم بتنزيل وتشغيل مثبت الموصل (AADApplicationProxyConnectorInstaller.exe).
    • اتبع تعليمات معالج التثبيت. أثناء التثبيت، سيُطلب منك تسجيل الدخول باستخدام بيانات اعتماد المسؤول العالمي لـ Azure AD.
    • بعد التثبيت الناجح، ستبدأ خدمة الموصل تلقائيًا.

  7. مرة أخرى في بوابة Azure، في صفحة وكيل التطبيق، تأكد من ظهور الموصل المثبت حديثًا في قائمة الموصلات بالحالة نشط.

    • الشرح: يوصى بتثبيت موصلين على الأقل لتحقيق التوفر العالي وموازنة التحميل. يتم تحديث الموصلات تلقائيًا، مما يضمن حصولك دائمًا على أحدث إصدار.

2. نشر تطبيق ويب محلي

دعونا ننشر تطبيق ويب داخلي. في هذا المثال، تخيل أن لدينا تطبيق ويب داخلي يسمى "MinhaAppInterna" ويمكن الوصول إليه على "http://minhaappinterna.local:8080".

  1. في جزء التنقل الأيمن في Azure Active Directory، حدد Enterprise Applications ضمن Manage.
  2. انقر فوق "+ تطبيق جديد".
  3. انقر فوق "دمج أي تطبيق آخر لا تجده في المعرض (غير المعرض)".
  4. الأساسيات:
    • الاسم: أدخل اسمًا ذا معنى (على سبيل المثال، MyInternal-ProxyApp).
    • نوع التطبيق: حدد التطبيق المحلي.

  5. انقر فوق "إضافة".

  6. بعد إنشاء التطبيق، سيتم إعادة توجيهك إلى صفحة إدارة التطبيق. في جزء التنقل الأيمن، حدد Application Proxy ضمن Manage.

  7. الإعدادات الأساسية:

    • عنوان URL الداخلي: أدخل عنوان URL الداخلي لتطبيقك (على سبيل المثال: http://minhaappinterna.local:8080). تأكد من أن الموصل يمكنه حل عنوان URL هذا والوصول إليه.
    • عنوان URL الخارجي: سيتم إنشاء عنوان URL هذا تلقائيًا استنادًا إلى مجال Azure AD الافتراضي الخاص بك (على سبيل المثال، myappinternal-proxy.msappproxy.net). يمكنك إعداد مجال مخصص إذا كان لديك واحد.
    • طريقة المصادقة المسبقة: حدد Azure Active Directory (موصى به لتحقيق أقصى قدر من الأمان).
    • مجموعة الموصلات: حدد مجموعة الموصلات الافتراضية أو مجموعة مخصصة إذا كان لديك موصلات متعددة.

  8. انقر حفظ.

  9. في جزء التنقل الأيسر، حدد المستخدمون والمجموعات ضمن إدارة.

  10. انقر فوق "+إضافة مستخدم/مجموعة" وقم بتعيين مستخدمي أو مجموعات Azure AD التي سيتم السماح لها بالوصول إلى هذا التطبيق.

    • شرح: يعد تعيين المستخدمين والمجموعات أمرًا بالغ الأهمية للتحكم في من يمكنه الوصول إلى التطبيق المنشور. يضمن Azure AD Application Proxy أن المستخدمين المعتمدين والمصرح لهم فقط هم من يمكنهم الوصول إلى التطبيق الداخلي.

3. تكوين الوصول المشروط للتطبيقات المنشورة

يتيح لك الوصول المشروط فرض سياسات أمان إضافية، مثل MFA، للوصول إلى التطبيق.

  1. في جزء التنقل الأيمن في Azure Active Directory، حدد الأمان > الوصول المشروط.
  2. انقر فوق "+ سياسة جديدة".
  3. الأساسيات:
    • الاسم: أعط اسمًا ذا معنى (على سبيل المثال: MFA_para_MinhaAppInternal).
  4. المسؤوليات:
    • مستخدمو الهوية أو أعباء العمل: حدد المستخدمين والمجموعات التي ستتأثر بالسياسة (على سبيل المثال: Grupo_Usuarios_MinhaAppInterna).
    • التطبيقات أو الإجراءات السحابية: حدد MyAppInternal-Proxy.
  5. ضوابط الوصول:
    • منحة: حدد منح الوصول ويتطلب مصادقة متعددة العوامل.
  6. تمكين السياسة: حدد "ممكّن".

  7. انقر إنشاء.

    • الشرح: ستضمن هذه السياسة أن أي مستخدم يحاول الوصول إلى MyInternal-ProxyApp ستتم مطالبته بإجراء مصادقة متعددة العوامل، حتى إذا كان التطبيق المحلي لا يدعم MFA محليًا.

4. نشر أنواع أخرى من التطبيقات

يمكن استخدام وكيل التطبيق لنشر أنواع أخرى من الموارد، مثل Remoteعميل ويب سطح المكتب وSharePoint.

4.1. نشر عميل الويب لسطح المكتب البعيد

  1. اتبع الخطوات الواردة في القسم 2 لإنشاء تطبيق مؤسسي جديد.
  2. في تكوين وكيل التطبيق:
    • عنوان URL الداخلي: أدخل عنوان URL لخادم Remote Desktop Web Client (على سبيل المثال: https://rdweb.contoso.com/RDWeb).
    • عنوان URL الخارجي: سيتم إنشاؤه تلقائيًا.
    • طريقة المصادقة المسبقة: Azure Active Directory.
    • نوع رأس ترجمة عنوان URL: رؤوس عنوان URL الخلفية.
  3. تعيين المستخدمين/المجموعات.

4.2. نشر SharePoint محليًا

  1. اتبع الخطوات الواردة في القسم 2 لإنشاء تطبيق مؤسسي جديد.
  2. في تكوين وكيل التطبيق:
    • عنوان URL الداخلي: أدخل عنوان URL لموقع SharePoint الخاص بك (على سبيل المثال: https://sharepoint.contoso.local).
    • عنوان URL الخارجي: سيتم إنشاؤه تلقائيًا.
    • طريقة المصادقة المسبقة: Azure Active Directory.
    • نوع رأس ترجمة عنوان URL: رؤوس عنوان URL الخلفية.
  3. تعيين المستخدمين/المجموعات.

التحقق والاختبار

من الضروري اختبار الوصول عن بعد للتأكد من إمكانية الوصول إلى التطبيقات بشكل آمن.

1. اختبار الوصول إلى التطبيق المنشور

  1. السيناريو: من جهاز كمبيوتر خارج شبكة الشركة (منزلك على سبيل المثال)، افتح متصفحًا وانتقل إلى عنوان URL الخارجي الخاص بـ MinhaAppInternal-Proxy (على سبيل المثال https://minhaappinterna-proxy.msappproxy.net).
  2. الإجراء المتوقع: يجب إعادة توجيهك إلى صفحة تسجيل الدخول إلى Azure AD. بعد إدخال بيانات اعتماد Azure AD الخاصة بك، وفي حالة تكوينها، إكمال MFA، يجب إعادة توجيهك إلى MyApp المحلي.
  3. التحقق:
    • تأكد من تحميل التطبيق بشكل صحيح وأنه يمكنك التفاعل معه.
    • تحقق من سجلات تسجيل الدخول إلى Azure AD للتأكد من مصادقة الوصول من خلال وكيل التطبيق وتطبيق MFA.

2. التحقق من سجلات تسجيل الدخول إلى Azure AD

  1. في مدخل Azure، انتقل إلى Azure Active Directory > المراقبة > السجلات الواردة.
  2. قم بتصفية السجلات حسب التطبيق (MyAppInternal-Proxy).
  3. تحقق من تفاصيل تسجيل الدخول بما في ذلك "حالة الوصول المشروط" (يجب أن تظهر "النجاح" وتشير إلى أنه تم تطبيق MFA).

نصائح أمنية وأفضل الممارسات

  • استخدام المصادقة المسبقة لـ Azure AD دائمًا: المصادقة المسبقة لـ Azure AD هي الطريقة الأكثر أمانًا لأنها تضمن وصول المستخدمين المصادق عليهم والمصرح لهم فقط إلى شبكتك الداخلية. تجنب "التمرير" ما لم يكن ذلك ضروريًا تمامًا للتطبيقات التي لا يمكنها التعامل مع المصادقة المسبقة.
  • الوصول المشروط: استخدم الوصول المشروط لفرض سياسات أمان إضافية مثل MFA، وقيود الموقع، وامتثال الجهاز، وما إلى ذلك لجميع التطبيقات المنشورة عبر وكيل التطبيق.
  • مجموعات الموصلات: قم بتنظيم موصلاتك في مجموعات لعزل التطبيقات أو جعل الموصلات أقرب إلى تطبيقات معينة للحصول على أداء أفضل.
  • توفر عالي: قم بتثبيت موصلين على الأقل على خوادم منفصلة لضمان التوفر العالي والمرونة. فكر في التثبيت في مناطق أو مناطق توفر مختلفة، إن أمكن.
  • صيانة الموصل: على الرغم من أن الموصلات تقوم بتحديث نفسها تلقائيًا، إلا أنها تراقب حالتها في بوابة Azure للتأكد من أنها نشطة وصحية دائمًا.
  • أمان خادم الموصل: قم بتأمين الخادم حيث تم تثبيت الموصل. حافظ على تحديثه، وقم بتطبيق مبدأ الامتياز الأقل، وراقبه بحثًا عن أي نشاط مشبوه.
  • تحسين الأداء: بالنسبة للتطبيقات ذات حركة المرور العالية أو التي تتطلب زمن وصول منخفض، ضع في الاعتبار موقع الموصلات فيما يتعلق بخوادم التطبيقات وعرض النطاق الترددي المتوفر.
  • المراقبة: مراقبة سجلات تسجيل الدخول إلى Azure AD وسجلات الموصل لاكتشاف الأنشطة المشبوهة أو مشكلات الوصول.

استكشاف الأخطاء وإصلاحها الشائعة

  • خطأ في الوصول (404، 500، إلخ.):
    • تحقق من عنوان URL الداخلي: تأكد من صحة عنوان URL الداخلي الذي تم تكوينه في وكيل التطبيق وأن الموصل يمكنه الوصول إليه مباشرة من الخادم الذي تم تثبيته عليه.
    • التحقق من الموصل: تأكد من أن الموصل "نشط" في بوابة Azure. أعد تشغيل خدمة الرابط على الخادم.
    • التحقق من مجموعة الموصلات: تأكد من وجود مجموعة الموصلات المخصصة للتطبيقم موصل نشط واحد على الأقل.
    • جدار الحماية المحلي: تحقق مما إذا كان جدار الحماية الموجود على خادم الموصل أو خادم التطبيق يحظر حركة المرور.
  • لا يتم تحميل التطبيقات بشكل صحيح (مشاكل في العرض):
    • ترجمة الرأس: بالنسبة لبعض التطبيقات، قد تحتاج إلى ضبط "نوع رأس ترجمة عنوان URL" في إعدادات وكيل التطبيق إلى "رؤوس عنوان URL للخلفية" أو "رؤوس عنوان URL للواجهة الأمامية".
    • الروابط المشفرة: قد تواجه التطبيقات التي تحتوي على روابط ثابتة إلى عناوين URL الداخلية مشكلات. فكر في استخدام "ترجمة الارتباط" الخاصة بوكيل التطبيق أو إعادة تكوين التطبيق إن أمكن.
  • مشكلات الدخول الموحّد:
    • تكوين الدخول الموحّد: تحقق من إعدادات الدخول الموحّد (SSO) في تطبيق المؤسسة. بالنسبة للتطبيقات غير الموحدة، قد تحتاج إلى تكوين "تسجيل الدخول الموحد المستند إلى كلمة المرور" أو "تسجيل الدخول الموحد للرأس".
    • تفويض Kerberos المقيد (KCD): بالنسبة للتطبيقات التي تستخدم مصادقة Windows المتكاملة (IWA)، تأكد من تكوين KCD بشكل صحيح في Active Directory للموصل.
  • الوصول المشروط يحظر المستخدمين الشرعيين:
    • قم بمراجعة سياسات الوصول المشروط بعناية. تأكد من تضمين المستخدمين أو المجموعات أو استبعادهم بشكل صحيح.
    • استخدم أداة "ماذا لو" في الوصول المشروط لمحاكاة الوصول وفهم سبب فرض السياسة أو حظرها.
  • موصل غير متصل:
    • تحقق من اتصال شبكة خادم الموصل بـ Azure AD (المنفذان الصادران 80 و443) وخدمة وكيل التطبيق (المنفذ الصادر 443).
    • تحقق من سجلات أحداث Windows على خادم الموصل بحثًا عن الأخطاء المتعلقة بالخدمة.
    • تأكد من تشغيل خدمة "Microsoft AAD Application Proxy Connector".

الخلاصة

يعد Azure AD Application Proxy أداة قوية وآمنة لتوسيع الوصول إلى تطبيقات الويب المحلية للمستخدمين البعيدين، بما يتماشى مع مبادئ نموذج Zero Trust. من خلال مركزية المصادقة والترخيص في Azure AD وإلغاء الحاجة إلى البنى التحتية المعقدة للوصول عن بعد، يمكن للمؤسسات تبسيط بنية الأمان الخاصة بها مع تعزيز الحماية من التهديدات. يعد التنفيذ الدقيق والتكامل مع الوصول المشروط والمراقبة المستمرة أمرًا ضروريًا لتحقيق أقصى قدر من الفوائد الأمنية وضمان تجربة مستخدم سلسة. باستخدام هذا الدليل العملي، سيكون متخصصو الأمان ومسؤولو تكنولوجيا المعلومات مجهزين جيدًا لتكوين Azure AD Application Proxy والتحقق من صحته وإدارته، وتأمين الوصول عن بعد إلى التطبيقات المهمة وتعزيز الوضع الأمني ​​لمؤسساتهم.

المراجع:

[1] مايكروسوفت تعلم. نشر التطبيقات المحلية باستخدام Microsoft Entra Application Proxy. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/overview-what-is-app-proxy [2] مايكروسوفت تعلم. إضافة تطبيق محلي للوصول عن بعد من خلال Microsoft Entra Application Proxy. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-add-on-premises-application [3] مايكروسوفت تعلم. نشر سطح المكتب البعيد باستخدام وكيل تطبيق Microsoft Entra. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-integrate-with-remote-desktop-services [4] مايكروسوفت تعلم. ترخيص معرف Microsoft Entra. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/licensing-azure-active-directory [5] مايكروسوفت تعلم. موصلات وكيل تطبيق Microsoft Entra. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-connectors [6] مايكروسوفت تعلم. الوصول المشروط على معرف Microsoft Enter. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [7] مايكروسوفت تعلم. استكشاف أخطاء موصلات وكيل تطبيق Microsoft Entra وإصلاحها. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/app-proxy/application-proxy-troubleshoot-connectors