الخطوة 2. حماية حسابات Microsoft 365 المميزة

تنطبق هذه المقالة على كل من Microsoft 365 Enterprise وOffice 365 Enterprise.

عادة ما يتم خرق الأمان لمستأجر Microsoft 365، بما في ذلك هجمات جمع المعلومات والتصيد الاحتيالي، عن طريق المساس ببيانات اعتماد حساب Microsoft 365 المميز. الأمان في السحابة هو شراكة بينك وبين Microsoft:

  • تستند خدمات Microsoft السحابية إلى أساس الثقة والأمان. توفر لك Microsoft عناصر تحكم وإمكانات أمان لمساعدتك على حماية بياناتك وتطبيقاتك.

  • أنت تملك بياناتك وهوياتك ومسؤولية حمايتها، وأمان مواردك المحلية، وأمان مكونات السحابة التي تتحكم فيها.

توفر Microsoft إمكانيات للمساعدة في حماية مؤسستك، ولكنها تكون فعالة فقط إذا كنت تستخدمها. إذا لم تستخدمها، فقد تكون عرضة للهجوم. لحماية حساباتك المتميزة، توجد Microsoft هنا لمساعدتك في الحصول على إرشادات مفصلة حول:

  1. إنشاء حسابات مخصصة ومميزة مستندة إلى السحابة واستخدامها فقط عند الضرورة.

  2. تكوين المصادقة متعددة العوامل (MFA) لحسابات Microsoft 365 المميزة المخصصة واستخدام أقوى شكل من أشكال المصادقة الثانوية.

  3. حماية الحسابات المتميزة باستخدام هوية الثقة المعدودة وتوصيات الوصول إلى الجهاز.

ملاحظة

لتأمين أدوارك المتميزة، تحقق من أفضل الممارسات لأدوار Azure AD لتأمين الوصول المتميز إلى المستأجر الخاص بك.

1. إنشاء حسابات مستخدمين مخصصة ومميزة مستندة إلى السحابة واستخدامها فقط عند الضرورة

بدلا من استخدام حسابات المستخدمين اليومية التي تم تعيين أدوار المسؤول لها، قم بإنشاء حسابات مستخدمين مخصصة لها أدوار المسؤول في Azure AD.

من هذه اللحظة فصاعدا، يمكنك تسجيل الدخول باستخدام الحسابات المتميزة المخصصة فقط للمهام التي تتطلب امتيازات المسؤول. يجب أن يتم كل إدارة Microsoft 365 الأخرى عن طريق تعيين أدوار إدارية أخرى لحسابات المستخدمين.

ملاحظة

يتطلب ذلك خطوات إضافية لتسجيل الخروج كحساب المستخدم اليومي وتسجيل الدخول باستخدام حساب مسؤول مخصص. ولكن يجب القيام بذلك فقط في بعض الأحيان لعمليات المسؤول. ضع في اعتبارك أن استرداد اشتراكك في Microsoft 365 بعد خرق حساب المسؤول يتطلب الكثير من الخطوات.

تحتاج أيضا إلى إنشاء حسابات الوصول في حالات الطوارئ لمنع تأمينها عن طريق الخطأ من Azure AD.

يمكنك حماية حساباتك المتميزة بشكل أكبر باستخدام Azure AD Privileged Identity Management (PIM) لتعيين أدوار المسؤول عند الطلب وفي الوقت المناسب.

2. تكوين المصادقة متعددة العوامل لحسابات Microsoft 365 المميزة المخصصة

تتطلب المصادقة متعددة العوامل (MFA) معلومات إضافية تتجاوز اسم الحساب وكلمة المرور. يدعم Microsoft 365 أساليب التحقق الإضافية هذه:

  • تطبيق Microsoft Authenticator
  • مكالمة هاتفية
  • رمز تحقق تم إنشاؤه عشوائيا تم إرساله من خلال رسالة نصية
  • بطاقة ذكية (ظاهرية أو فعلية) (تتطلب مصادقة موحدة)
  • جهاز قياس حيوي
  • الرمز المميز Oauth

ملاحظة

بالنسبة إلى المؤسسات التي يجب أن تلتزم بمعايير المعهد الوطني للمعايير والتكنولوجيا (NIST)، يتم تقييد استخدام مكالمة هاتفية أو أساليب تحقق إضافية مستندة إلى رسالة نصية. انقر هنا للحصول على التفاصيل.

إذا كنت شركة صغيرة تستخدم حسابات المستخدمين المخزنة فقط في السحابة (نموذج الهوية السحابية فقط)، فقم بإعداد المصادقة متعددة العوامل لتكوين المصادقة متعددة العوامل (MFA) باستخدام مكالمة هاتفية أو رمز التحقق من صحة رسالة نصية يتم إرساله إلى هاتف ذكي لكل حساب متميز مخصص.

إذا كنت مؤسسة أكبر تستخدم نموذج هوية مختلط Microsoft 365، فلديك المزيد من خيارات التحقق. إذا كانت البنية الأساسية للأمان موجودة بالفعل لأسلوب مصادقة ثانوي أقوى، فقم بإعداد المصادقة متعددة العوامل وتكوين كل حساب مميز مخصص لأسلوب التحقق المناسب.

إذا لم تكن البنية الأساسية للأمان لأسلوب التحقق الأقوى المطلوب في مكانها وتعمل في Microsoft 365 MFA، نوصي بشدة بتكوين حسابات مميزة مخصصة باستخدام المصادقة متعددة العوامل باستخدام تطبيق Microsoft Authenticator أو مكالمة هاتفية أو رمز التحقق من صحة رسالة نصية تم إرساله إلى هاتف ذكي لحساباتك المتميزة كإجراء أمان مؤقت. لا تترك حساباتك المتميزة المخصصة دون الحماية الإضافية التي توفرها المصادقة متعددة العوامل.

لمزيد من المعلومات، راجع المصادقة متعددة العوامل ل Microsoft 365.

3. حماية حسابات المسؤولين باستخدام هوية الثقة المعدودة وتوصيات الوصول إلى الجهاز

للمساعدة في ضمان وجود قوة عمل آمنة ومنتجة، تقدم Microsoft مجموعة من التوصيات للوصول إلى الهوية والجهاز. للحصول على الهوية، استخدم التوصيات والإعدادات الواردة في هذه المقالات:

الحماية الإضافية للمؤسسات

استخدم هذه الأساليب الإضافية للتأكد من أن حسابك المميز والتكوين الذي تقوم به باستخدامه آمنان قدر الإمكان.

محطة عمل الوصول المتميز

للتأكد من أن تنفيذ المهام ذات الامتيازات العالية آمن قدر الإمكان، استخدم محطة عمل الوصول المتميزة (PAW). محطة العمل ذات الوصول المتميز هي كمبيوتر مخصص يستخدم فقط لمهام التكوين الحساسة، مثل تكوين Microsoft 365 الذي يتطلب حسابا مميزا. نظرا لأن هذا الكمبيوتر لا يستخدم يوميا لاستعراض الإنترنت أو البريد الإلكتروني، فهو محمي بشكل أفضل من هجمات الإنترنت والتهديدات.

للحصول على إرشادات حول كيفية إعداد محطة العمل ذات الوصول المتميز، راجع https://aka.ms/cyberpaw.

لتمكين Azure PIM لحسابات مستأجر Azure AD وحسابات المسؤول، راجع الخطوات لتكوين PIM.

لتطوير مخطط شامل لتأمين الوصول المتميز ضد المهاجمين عبر الإنترنت، راجع تأمين الوصول المتميز لعمليات النشر المختلطة والسحابية في Azure AD.

Azure AD Privileged Identity Management

بدلا من تعيين دور مسؤول لحساباتك المتميزة بشكل دائم، يمكنك استخدام Azure AD PIM لتمكين التعيين في الوقت المناسب عند الطلب لدور المسؤول عند الحاجة.

تنتقل حسابات المسؤول من كونها مسؤولين دائمين إلى مسؤولين مؤهلين. دور المسؤول غير نشط حتى يحتاجه شخص ما. ثم تكمل عملية تنشيط لإضافة دور المسؤول إلى الحساب المميز لفترة زمنية محددة مسبقا. عند انتهاء الوقت، يزيل PIM دور المسؤول من الحساب المميز.

يقلل استخدام PIM وهذه العملية بشكل كبير من مقدار الوقت الذي تكون فيه حساباتك المميزة عرضة للهجوم والاستخدام من قبل المستخدمين الضارين.

يتوفر PIM مع Azure Active Directory Premium P2، المضمن مع Microsoft 365 E5. بدلا من ذلك، يمكنك شراء تراخيص Azure Active Directory Premium P2 الفردية لحسابات المسؤول.

لمزيد من المعلومات، اطلع على:

إدارة الوصول المتميز

يتم تمكين إدارة الوصول المتميز من خلال تكوين النهج التي تحدد الوصول في الوقت المناسب للأنشطة المستندة إلى المهام في المستأجر الخاص بك. يمكن أن يساعد في حماية مؤسستك من الخروقات التي قد تستخدم حسابات المسؤولين المتميزين الحالية مع الوصول الدائم إلى البيانات الحساسة أو الوصول إلى إعدادات التكوين الهامة. على سبيل المثال، يمكنك تكوين نهج إدارة وصول متميز يتطلب موافقة صريحة للوصول إلى إعدادات علبة بريد المؤسسة وتغييرها في المستأجر.

في هذه الخطوة، ستقوم بتمكين إدارة الوصول المتميز في المستأجر وتكوين نهج الوصول المتميزة التي توفر أمانا إضافيا للوصول المستند إلى المهام إلى إعدادات البيانات والتكوين لمؤسستك. هناك ثلاث خطوات أساسية للبدء بالوصول المتميز في مؤسستك:

  • إنشاء مجموعة موافق
  • تمكين الوصول المتميز
  • إنشاء نهج الموافقة

تمكن إدارة الوصول المتميز مؤسستك من العمل دون امتيازات دائمة وتوفير طبقة دفاع ضد الثغرات الأمنية الناشئة بسبب مثل هذا الوصول الإداري الدائم. يتطلب الوصول المتميز موافقات لتنفيذ أي مهمة لها نهج موافقة مقترن محدد. يجب على المستخدمين الذين يحتاجون إلى تنفيذ المهام المضمنة في نهج الموافقة طلب الموافقة على الوصول ومنحهم حق الوصول.

لتمكين إدارة الوصول المتميز، راجع تكوين إدارة الوصول المتميز.

لمزيد من المعلومات، راجع إدارة الوصول المتميز.

برنامج إدارة معلومات الأمان والأحداث (SIEM) لتسجيل Microsoft 365

يقوم برنامج SIEM الذي يتم تشغيله على خادم بتحليل في الوقت الحقيقي لتنبيهات الأمان والأحداث التي تم إنشاؤها بواسطة التطبيقات وأجهزة الشبكة. للسماح لخادم SIEM بتضمين تنبيهات وأحداث أمان Microsoft 365 في دالات التحليل وإعداد التقارير الخاصة به، قم بدمج Azure AD في SEIM. راجع مقدمة تكامل سجل Azure.

الخطوة التالية

حماية حسابات مستخدمي Microsoft 365

تابع الخطوة 3 لتأمين حسابات المستخدمين.