الخطوة 3: حماية حسابات المستخدمين Microsoft 365

لزيادة أمان عمليات تسجيل دخول المستخدم:

  • استخدام Windows Hello للأعمال
  • استخدام حماية كلمة مرور Azure Active Directory (Azure AD)
  • استخدام المصادقة متعددة العوامل (MFA)
  • توزيع تكوينات الوصول إلى الهوية والجهاز
  • الحماية من اختراق بيانات الاعتماد باستخدام Azure AD Identity Protection

Windows Hello للأعمال

Windows Hello للأعمال في Windows 10 Enterprise يستبدل كلمات المرور بمصادقة ثنائية قوية عند تسجيل الدخول على جهاز Windows. العاملان هما نوع جديد من بيانات اعتماد المستخدم المرتبطة بجهاز والمقاييس الحيوية أو رقم التعريف الشخصي (PIN).

لمزيد من المعلومات، راجع Windows Hello للأعمال نظرة عامة.

حماية كلمة مرور Azure AD

تكتشف Azure AD Password Protection كلمات المرور الضعيفة المعروفة ومتغيراتها وتحظرها ويمكنها أيضا حظر المصطلحات الضعيفة الإضافية الخاصة بمؤسستك. يتم تطبيق قوائم كلمات المرور المحظورة العمومية الافتراضية تلقائيا على جميع المستخدمين في مستأجر Azure AD. يمكنك تحديد إدخالات إضافية في قائمة كلمات مرور محظورة مخصصة. عندما يغير المستخدمون كلمات المرور الخاصة بهم أو يعيدون تعيينها، يتم التحقق من قوائم كلمات المرور المحظورة هذه لفرض استخدام كلمات مرور قوية.

لمزيد من المعلومات، راجع تكوين حماية كلمة مرور Azure AD.

المصادقة متعددة العوامل

تتطلب المصادقة متعددة العوامل أن تخضع عمليات تسجيل دخول المستخدم إلى عملية تحقق إضافية تتجاوز كلمة مرور حساب المستخدم. حتى إذا حدد مستخدم ضار كلمة مرور حساب مستخدم، يجب أن يكون قادرا أيضا على الاستجابة للتحقق الإضافي، مثل رسالة نصية يتم إرسالها إلى هاتف ذكي قبل منح حق الوصول.

تؤدي كلمة المرور الصحيحة بالإضافة إلى التحقق الإضافي إلى تسجيل دخول ناجح.

خطوتك الأولى في استخدام المصادقة متعددة العوامل هي طلبها لجميع حسابات المسؤولين، والمعروفة أيضا باسم الحسابات المتميزة. بعد هذه الخطوة الأولى، توصي Microsoft ب MFA لجميع المستخدمين.

هناك ثلاث طرق لمطلب المستخدمين استخدام المصادقة متعددة العوامل استنادا إلى خطة Microsoft 365 الخاصة بك.

الخطة توصية
كافة خطط Microsoft 365 (بدون تراخيص Azure AD Premium P1 أو P2) تمكين إعدادات الأمان الافتراضية في Azure AD. تتضمن إعدادات الأمان الافتراضية في Azure AD المصادقة متعددة العوامل للمستخدمين والمسؤولين.
Microsoft 365 E3 (بما في ذلك تراخيص Azure AD Premium P1) استخدم نهج الوصول المشروط الشائعة لتكوين النهج التالية:
- طلب المصادقة متعددة العوامل للمسؤولين
- طلب المصادقة متعددة العوامل لجميع المستخدمين
- حظر المصادقة القديمة
Microsoft 365 E5 (بما في ذلك تراخيص Azure AD Premium P2) الاستفادة من Azure AD Identity Protection، ابدأ في تنفيذ مجموعة Microsoft الموصى بها من الوصول المشروط والسياسات ذات الصلة من خلال إنشاء هاتين النهجتين:
- طلب المصادقة متعددة العوامل (MFA) عندما يكون خطر تسجيل الدخول متوسطا أو مرتفعا
- يجب على المستخدمين المعرضين لمخاطر عالية تغيير كلمة المرور

إعدادات الأمان الافتراضية

إعدادات الأمان الافتراضية هي ميزة جديدة Microsoft 365 والاشتراكات المدفوعة أو التجريبية Office 365 التي تم إنشاؤها بعد 21 أكتوبر 2019. تحتوي هذه الاشتراكات على إعدادات الأمان الافتراضية قيد التشغيل، مما يتطلب من جميع المستخدمين استخدام المصادقة متعددة العوامل مع تطبيق Microsoft Authenticator.

لدى المستخدمين 14 يوما للتسجيل للحصول على المصادقة متعددة العوامل باستخدام تطبيق Microsoft Authenticator من هواتفهم الذكية، والذي يبدأ من المرة الأولى التي يسجلون فيها الدخول بعد تمكين إعدادات الأمان الافتراضية. بعد مرور 14 يوما، لن يتمكن المستخدم من تسجيل الدخول حتى يكتمل تسجيل المصادقة متعددة العوامل.

تضمن إعدادات الأمان الافتراضية أن جميع المؤسسات لديها مستوى أساسي من الأمان لتسجيل دخول المستخدم الذي يتم تمكينه بشكل افتراضي. يمكنك تعطيل إعدادات الأمان الافتراضية لصالح المصادقة متعددة العوامل مع نهج الوصول المشروط أو للحسابات الفردية.

لمزيد من المعلومات، راجع نظرة عامة على إعدادات الأمان الافتراضية.

نهج الوصول المشروط

نهج الوصول المشروط هي مجموعة من القواعد التي تحدد الشروط التي يتم بموجبها تقييم عمليات تسجيل الدخول ومنح حق الوصول. على سبيل المثال، يمكنك إنشاء نهج الوصول المشروط الذي ينص على:

  • إذا كان اسم حساب المستخدم عضوا في مجموعة للمستخدمين الذين تم تعيينهم Exchange أو المستخدم أو كلمة المرور أو الأمان أو SharePoint أو مسؤول Exchange أو مسؤول SharePoint أو أدوار المسؤول العمومي، فاطلب المصادقة متعددة العوامل (MFA) قبل السماح بالوصول.

يسمح لك هذا النهج بتطلب المصادقة متعددة العوامل استنادا إلى عضوية المجموعة، بدلا من محاولة تكوين حسابات المستخدمين الفردية ل MFA عند تعيينها أو إلغاء تعيينها من أدوار المسؤول هذه.

يمكنك أيضا استخدام نهج الوصول المشروط لإمكانيات أكثر تقدما، مثل طلب أن يتم تسجيل الدخول من جهاز متوافق، مثل الكمبيوتر المحمول الذي يعمل Windows 10.

يتطلب الوصول المشروط تراخيص Azure AD Premium P1، والتي يتم تضمينها مع Microsoft 365 E3 وE5.

لمزيد من المعلومات، راجع نظرة عامة على الوصول المشروط.

استخدام هذه الأساليب معا

ضع ما يلي في الاعتبار:

  • لا يمكنك تمكين إعدادات الأمان الافتراضية إذا كان لديك أي نهج وصول مشروط ممكنة.
  • لا يمكنك تمكين أي نهج وصول مشروط إذا كانت إعدادات الأمان الافتراضية ممكنة.

إذا تم تمكين إعدادات الأمان الافتراضية، تتم مطالبة جميع المستخدمين الجدد بتسجيل المصادقة متعددة العوامل واستخدام تطبيق Microsoft Authenticator.

يعرض هذا الجدول نتائج تمكين المصادقة متعددة العوامل مع إعدادات الأمان الافتراضية ونهج الوصول المشروط.

الاسلوب تمكين ذوي الاحتياجات الخاصه أسلوب مصادقة إضافي
إعدادات الأمان الافتراضية لا يمكن استخدام نهج الوصول المشروط يمكن استخدام نهج الوصول المشروط تطبيق Microsoft Authenticator
نهج الوصول المشروط إذا تم تمكين أي منها، فلا يمكنك تمكين إعدادات الأمان الافتراضية إذا تم تعطيل الكل، يمكنك تمكين إعدادات الأمان الافتراضية يحدد المستخدم أثناء تسجيل المصادقة متعددة العوامل

ثقة معدومة تكوينات الهوية والوصول إلى الجهاز

ثقة معدومة إعدادات الوصول إلى الهوية والجهاز والنهج هي ميزات متطلب أساسي موصى بها وإعداداتها جنبا إلى جنب مع نهج الوصول المشروط وIntune وAzure AD Identity Protection التي تحدد ما إذا كان يجب منح طلب وصول معين وتحت أي شروط. يستند هذا التحديد إلى حساب المستخدم لتسجيل الدخول، والجهاز المستخدم، والتطبيق الذي يستخدمه المستخدم للوصول، والموقع الذي يتم منه طلب الوصول، وتقييم مخاطر الطلب. تساعد هذه الإمكانية على ضمان أن المستخدمين والأجهزة المعتمدة فقط يمكنهم الوصول إلى مواردك الهامة.

ملاحظة

تتطلب Azure AD Identity Protection تراخيص Azure AD Premium P2، والتي يتم تضمينها مع Microsoft 365 E5.

يتم تعريف نهج الوصول إلى الهوية والجهاز لاستخدامها في ثلاثة مستويات:

  • الحماية الأساسية هي الحد الأدنى من مستوى الأمان للهويات والأجهزة التي تصل إلى تطبيقاتك وبياناتك.
  • توفر الحماية الحساسة أمانا إضافيا لبيانات محددة. تخضع الهويات والأجهزة لمستويات أعلى من متطلبات الأمان وصحة الجهاز.
  • حماية البيئات ذات البيانات المنظمة للغاية أو المصنفة هي عادة لكميات صغيرة من البيانات المصنفة للغاية، أو التي تحتوي على أسرار تجارية، أو تخضع للوائح البيانات. تخضع الهويات والأجهزة لمستويات أعلى بكثير من متطلبات الأمان وصحة الجهاز.

توفر هذه المستويات وتكويناتها المقابلة مستويات متسقة من الحماية عبر بياناتك وهوياتك وأجهزتك.

توصي Microsoft بشدة بتكوين ثقة معدومة الهوية ونهج الوصول إلى الجهاز في مؤسستك، بما في ذلك إعدادات محددة Microsoft Teams Exchange Online SharePoint. لمزيد من المعلومات، راجع ثقة معدومة تكوينات الهوية والوصول إلى الجهاز.

حماية الهوية في Azure AD

في هذا القسم، ستتعلم كيفية تكوين النهج التي تحمي من اختراق بيانات الاعتماد، حيث يحدد المهاجم اسم حساب المستخدم وكلمة المرور للوصول إلى خدمات السحابة والبيانات الخاصة بالمؤسسة. توفر Azure AD Identity Protection عددا من الطرق للمساعدة في منع المهاجم من المساس ببيانات اعتماد حساب المستخدم.

باستخدام Azure AD Identity Protection، يمكنك:

القدره الوصف
تحديد الثغرات الأمنية المحتملة في هويات مؤسستك ومعالجتها يستخدم Azure AD التعلم الآلي للكشف عن الحالات الشاذة والنشاط المشبوه، مثل عمليات تسجيل الدخول وأنشطة ما بعد تسجيل الدخول. باستخدام هذه البيانات، تنشئ Azure AD Identity Protection تقارير وتنبيهات تساعدك على تقييم المشكلات واتخاذ إجراء.
الكشف عن الإجراءات المشبوهة المتعلقة بهويات مؤسستك والاستجابة لها تلقائيا يمكنك تكوين النهج المستندة إلى المخاطر التي تستجيب تلقائيا للمشكلات المكتشفة عند الوصول إلى مستوى مخاطر محدد. يمكن لهذه النهج، بالإضافة إلى عناصر تحكم الوصول المشروط الأخرى التي يوفرها Azure AD و Microsoft Intune، إما حظر الوصول تلقائيا أو اتخاذ إجراءات تصحيحية، بما في ذلك إعادة تعيين كلمة المرور وتتطلب مصادقة Azure AD متعددة العوامل لتسجيل الدخول اللاحق.
التحقيق في الحوادث المشبوهة وحلها باستخدام الإجراءات الإدارية يمكنك التحقيق في أحداث المخاطر باستخدام معلومات حول حادث الأمان. تتوفر مهام سير العمل الأساسية لتعقب التحقيقات وبدء إجراءات المعالجة، مثل إعادة تعيين كلمة المرور.

راجع المزيد من المعلومات حول Azure AD Identity Protection.

راجع الخطوات لتمكين Azure AD Identity Protection.

الموارد التقنية للمسؤول للمصادقة متعددة العوامل (MFA) وتسجيل الدخول الآمن

الخطوة التالية

نشر نموذج هويتك

تابع الخطوة 4 لنشر البنية الأساسية للهوية استنادا إلى نموذج الهوية الذي اخترته: