نهج الأمان الشائعة لمؤسسات Microsoft 365
لدى المؤسسات الكثير مما يدعو للقلق عند نشر Microsoft 365 لمؤسستها. تستند نهج الوصول المشروط وحماية التطبيقات وتوافق الأجهزة المشار إليها في هذه المقالة إلى توصيات Microsoft والمبادئ التوجيهية الثلاثة ثقة معدومة:
- التحقق بشكل صريح
- استخدام أقل امتياز
- افتراض الخرق
يمكن للمؤسسات أن تأخذ هذه النهج كما هي أو تخصيصها لتناسب احتياجاتها. إذا كان ذلك ممكنا، فاختر النهج الخاصة بك في بيئة غير إنتاجية قبل طرحها لمستخدمي الإنتاج. يعد الاختبار أمرا بالغ الأهمية لتحديد أي تأثيرات محتملة للمستخدمين وإبلاغها.
نقوم بتجميع هذه النهج في ثلاثة مستويات حماية استنادا إلى مكان تواجدك في رحلة التوزيع الخاصة بك:
- نقطة البداية - عناصر التحكم الأساسية التي تقدم مصادقة متعددة العوامل وتغييرات آمنة لكلمة المرور ونهج حماية التطبيق.
- Enterprise - عناصر تحكم محسنة تقدم توافق الجهاز.
- الأمان المتخصص - النهج التي تتطلب مصادقة متعددة العوامل في كل مرة لمجموعات بيانات أو مستخدمين محددين.
يوضح الرسم التخطيطي التالي مستوى الحماية التي ينطبق عليها كل نهج وما إذا كانت النهج تنطبق على أجهزة الكمبيوتر الشخصية أو الهواتف والأجهزة اللوحية، أو كلتا فئتي الأجهزة.
يمكنك تنزيل هذا الرسم التخطيطي كملف PDF .
تلميح
يوصى باستخدام المصادقة متعددة العوامل (MFA) قبل تسجيل الأجهزة في Intune للتأكد من أن الجهاز في حوزة المستخدم المقصود. يجب عليك تسجيل الأجهزة في Intune قبل أن تتمكن من فرض نهج توافق الجهاز.
المتطلبات الأساسية
الأذونات
- يجب أن يكون المستخدمون الذين سيديرون نهج الوصول المشروط قادرين على تسجيل الدخول إلى مدخل Microsoft Azure كمسؤول وصول مشروط أو مسؤول أمان أو مسؤول عام.
- يجب أن يكون المستخدمون الذين سيديرون نهج حماية التطبيقات وتوافق الجهاز قادرين على تسجيل الدخول إلى Intune كمسؤول Intune أو مسؤول عام.
- يمكن تعيين أدوار قارئ الأمان أو القارئ العمومي لهؤلاء المستخدمين الذين يحتاجون فقط إلى عرض التكوينات.
لمزيد من المعلومات حول الأدوار والأذونات، راجع المقالة Microsoft Entra الأدوار المضمنة.
تسجيل المستخدم
تأكد من تسجيل المستخدمين للمصادقة متعددة العوامل قبل طلب استخدامها. إذا كان لديك تراخيص تتضمن Microsoft Entra ID P2، يمكنك استخدام نهج تسجيل المصادقة متعددة العوامل ضمن Microsoft Entra ID Protection لمطالبة المستخدمين بالتسجيل. نحن نقدم قوالب الاتصال، يمكنك تنزيلها وتخصيصها، لتعزيز التسجيل.
المجموعات
يجب إنشاء جميع مجموعات Microsoft Entra المستخدمة كجزء من هذه التوصيات كمجموعة Microsoft 365وليس مجموعة أمان. هذا المطلب مهم لنشر أوصاف الحساسية عند تأمين المستندات في Microsoft Teams وSharePoint لاحقا. لمزيد من المعلومات، راجع المقالة التعرف على المجموعات وحقوق الوصول في Microsoft Entra ID
تعيين النهج
قد يتم تعيين نهج الوصول المشروط للمستخدمين والمجموعات وأدوار المسؤول. قد يتم تعيين نهج حماية تطبيق Intune وتوافق الجهاز للمجموعات فقط. قبل تكوين النهج الخاصة بك، يجب عليك تحديد من يجب تضمينه واستبعاده. عادة ما تنطبق نهج مستوى حماية نقطة البداية على كل شخص في المؤسسة.
فيما يلي مثال على تعيين المجموعة والاستثناءات لمطالبة المصادقة متعددة العوامل بعد أن يكمل المستخدمون تسجيل المستخدم.
| نهج الوصول المشروط Microsoft Entra | تشمل | استبعاد | |
|---|---|---|---|
| نقطة البداية | طلب مصادقة متعددة العوامل لمخاطر تسجيل الدخول المتوسطة أو العالية | جميع المستخدمين |
|
| Enterprise | طلب مصادقة متعددة العوامل لمخاطر تسجيل الدخول المنخفضة أو المتوسطة أو العالية | مجموعة الموظفين التنفيذيين |
|
| الأمان المتخصص | طلب مصادقة متعددة العوامل دائما | مجموعة Top Secret Project Buckeye |
|
كن حذرا عند تطبيق مستويات أعلى من الحماية على المجموعات والمستخدمين. الهدف من الأمان ليس إضافة احتكاك غير ضروري إلى تجربة المستخدم. على سبيل المثال، سيطلب من أعضاء مجموعة Top Secret Project Buckeye استخدام المصادقة متعددة العوامل في كل مرة يسجلون فيها الدخول، حتى إذا كانوا لا يعملون على محتوى الأمان المتخصص لمشروعهم. يمكن أن يؤدي الاحتكاك الأمني المفرط إلى التعب.
قد تفكر في تمكين أساليب المصادقة بدون كلمة مرور، مثل مفاتيح أمان Windows Hello للأعمال أو FIDO2 لتقليل بعض الاحتكاك الذي تم إنشاؤه بواسطة عناصر تحكم أمان معينة.
حسابات الوصول في حالات الطوارئ
يجب أن يكون لدى جميع المؤسسات حساب وصول طوارئ واحد على الأقل تتم مراقبته للاستخدام واستبعاده من النهج. يتم استخدام هذه الحسابات فقط في حالة تأمين جميع حسابات المسؤولين الأخرى وطرق المصادقة أو عدم توفرها. يمكن العثور على مزيد من المعلومات في المقالة، إدارة حسابات الوصول في حالات الطوارئ في Microsoft Entra ID.
الاستثناءات
من الممارسات الموصى بها إنشاء مجموعة Microsoft Entra لاستبعادات الوصول المشروط. تمنحك هذه المجموعة وسيلة لتوفير الوصول إلى مستخدم أثناء استكشاف مشكلات الوصول وإصلاحها.
تحذير
يوصى باستخدام هذه المجموعة كحل مؤقت فقط. مراقبة هذه المجموعة وتدقيقها باستمرار للاطلاع على التغييرات والتأكد من استخدام مجموعة الاستبعاد فقط كما هو مقصود.
لإضافة مجموعة الاستبعاد هذه إلى أي نهج موجودة:
- سجل الدخول إلى مدخل Microsoft Azure كمسؤول وصول مشروط أو مسؤول أمان أو مسؤول عام.
- استعرض للوصول إلى Microsoft Entra ID>الوصول المشروطللأمان>.
- حدد نهج موجود.
- ضمن التعيينات، حدد المستخدمين أو هويات حمل العمل.
- ضمن استبعاد، حدد المستخدمين والمجموعات واختر حسابات الوصول في حالات الطوارئ أو الحسابات العاجلة ومجموعة استبعاد الوصول المشروط لمؤسستك.
نشر
نوصي بتنفيذ نهج نقطة البداية بالترتيب المدرج في هذا الجدول. ومع ذلك، يمكن تنفيذ سياسات المصادقة متعددة العوامل لمستوي الحماية المؤسسية والأمنية المتخصصة في أي وقت.
نقطة البداية
| السياسات | معلومات إضافية | الترخيص |
|---|---|---|
| طلب مصادقة متعددة العوامل (MFA) عندما يكون خطر تسجيل الدخول متوسطا أو مرتفعا | استخدام بيانات المخاطر من Microsoft Entra ID Protection لطلب مصادقة متعددة العوامل (MFA) فقط عند اكتشاف المخاطر | Microsoft 365 E5 أو Microsoft 365 E3 باستخدام الوظيفة الإضافية E5 Security |
| حظر العملاء الذين لا يدعمون المصادقة الحديثة | يمكن للعملاء الذين لا يستخدمون المصادقة الحديثة تجاوز نهج الوصول المشروط، لذلك من المهم حظرها. | Microsoft 365 E3 أو E5 |
| يجب على المستخدمين المعرضين لمخاطر عالية تغيير كلمة المرور | يجبر المستخدمين على تغيير كلمة المرور الخاصة بهم عند تسجيل الدخول إذا تم الكشف عن نشاط عالي المخاطر لحسابهم. | Microsoft 365 E5 أو Microsoft 365 E3 باستخدام الوظيفة الإضافية E5 Security |
| تطبيق نهج حماية التطبيقات لحماية البيانات | نهج حماية تطبيق Intune واحد لكل نظام أساسي (Windows وiOS/iPadOS وAndroid). | Microsoft 365 E3 أو E5 |
| طلب التطبيقات المعتمدة ونهج حماية التطبيقات | يفرض نهج حماية تطبيقات الأجهزة المحمولة للهواتف والأجهزة اللوحية باستخدام iOS أو iPadOS أو Android. | Microsoft 365 E3 أو E5 |
Enterprise
| السياسات | معلومات إضافية | الترخيص |
|---|---|---|
| طلب مصادقة متعددة العوامل (MFA) عندما يكون خطر تسجيل الدخول منخفضا أو متوسطا أو مرتفعا | استخدام بيانات المخاطر من Microsoft Entra ID Protection لطلب مصادقة متعددة العوامل (MFA) فقط عند اكتشاف المخاطر | Microsoft 365 E5 أو Microsoft 365 E3 باستخدام الوظيفة الإضافية E5 Security |
| تحديد نهج توافق الجهاز | تعيين الحد الأدنى لمتطلبات التكوين. نهج واحد لكل نظام أساسي. | Microsoft 365 E3 أو E5 |
| طلب أجهزة كمبيوتر وأجهزة محمولة متوافقة | فرض متطلبات التكوين للأجهزة التي تصل إلى مؤسستك | Microsoft 365 E3 أو E5 |
الأمان المتخصص
| السياسات | معلومات إضافية | الترخيص |
|---|---|---|
| تتطلب دائما مصادقة متعددة العوامل (MFA) | يجب على المستخدمين إجراء المصادقة متعددة العوامل في أي وقت يقومون فيه بتسجيل الدخول إلى خدمات المؤسسات الخاصة بك | Microsoft 365 E3 أو E5 |
نهج حماية التطبيقات
تحدد نهج حماية التطبيقات التطبيقات المسموح بها والإجراءات التي يمكن اتخاذها مع بيانات مؤسستك. هناك العديد من الخيارات المتاحة وقد يكون مربكا للبعض. الخطوط الأساسية التالية هي التكوينات الموصى بها من Microsoft والتي قد تكون مصممة وفقا لاحتياجاتك. نحن نقدم ثلاثة قوالب لمتابعة، ولكن نعتقد أن معظم المؤسسات ستختار المستويين 2 و3.
يعين المستوى 2 إلى ما نعتبره نقطة البداية أو أمان مستوى المؤسسة ، خرائط المستوى 3 للأمان المتخصص .
حماية البيانات الأساسية للمؤسسة من المستوى 1 - توصي Microsoft بهذا التكوين كحد أدنى لتكوين حماية البيانات لجهاز المؤسسة.
حماية البيانات المحسنة من المستوى 2 للمؤسسات - توصي Microsoft بهذا التكوين للأجهزة التي يصل فيها المستخدمون إلى المعلومات الحساسة أو السرية. ينطبق هذا التكوين على معظم مستخدمي الأجهزة المحمولة الذين يصلون إلى بيانات العمل أو المؤسسة التعليمية. قد تؤثر بعض عناصر التحكم على تجربة المستخدم.
حماية عالية للبيانات في المستوى 3 للمؤسسات - توصي Microsoft بهذا التكوين للأجهزة التي تديرها مؤسسة تضم فريق أمان أكبر أو أكثر تطورا، أو لمستخدمين أو مجموعات محددة معرضة لمخاطر عالية بشكل فريد (المستخدمون الذين يتعاملون مع بيانات حساسة للغاية حيث يتسبب الكشف غير المصرح به في خسارة مادية كبيرة للمؤسسة). وينبغي أن تطمح المنظمة التي يحتمل أن يستهدفها خصوم ممولون تمويلا جيدا ومتطورون إلى هذا التكوين.
إنشاء نهج حماية التطبيقات
إنشاء نهج حماية تطبيق جديد لكل نظام أساسي (iOS وAndroid) ضمن Microsoft Intune باستخدام إعدادات إطار عمل حماية البيانات من خلال:
- قم بإنشاء النهج يدويا باتباع الخطوات الواردة في كيفية إنشاء نهج حماية التطبيقات وتوزيعها باستخدام Microsoft Intune.
- قم باستيراد نموذج قوالب Intune App Protection Policy Configuration Framework JSON باستخدام البرامج النصية PowerShell الخاصة ب Intune.
نهج توافق الجهاز
تحدد نهج توافق أجهزة Intune المتطلبات التي يجب أن تفي بها الأجهزة ليتم تحديدها على أنها متوافقة.
يجب عليك إنشاء نهج لكل جهاز كمبيوتر شخصي أو هاتف أو نظام أساسي لوحي. ستغطي هذه المقالة توصيات الأنظمة الأساسية التالية:
إنشاء نهج توافق الجهاز
لإنشاء نهج توافق الجهاز، سجل الدخول إلى مركز إدارة Microsoft Intune، وانتقل إلى نهجتوافق>الأجهزة>. حدد إنشاء نهج.
للحصول على إرشادات خطوة بخطوة حول إنشاء نهج التوافق في Intune، راجع إنشاء نهج توافق في Microsoft Intune.
إعدادات التسجيل والتوافق لنظام iOS/iPadOS
يدعم iOS/iPadOS العديد من سيناريوهات التسجيل، اثنان منها مشمولان كجزء من إطار العمل هذا:
- تسجيل الجهاز للأجهزة المملوكة شخصيا - هذه الأجهزة مملوكة شخصيا وتستخدم لكل من العمل والاستخدام الشخصي.
- التسجيل التلقائي للجهاز للأجهزة المملوكة للشركات - هذه الأجهزة مملوكة للشركات، ومرتبطة بمستخدم واحد، وتستخدم حصريا للعمل وليس للاستخدام الشخصي.
استخدام المبادئ الموضحة في تكوينات الهوية والوصول إلى الجهاز ثقة معدومة:
- يتم تعيين نقطة البداية ومستويات حماية المؤسسة بشكل وثيق مع إعدادات الأمان المحسنة للمستوى 2.
- يتم تعيين مستوى الحماية الأمنية المتخصصة بشكل وثيق إلى إعدادات الأمان العالية المستوى 3.
إعدادات التوافق للأجهزة المسجلة شخصيا
- الأمان الأساسي الشخصي (المستوى 1) - توصي Microsoft بهذا التكوين كحد أدنى لتكوين الأمان للأجهزة الشخصية حيث يصل المستخدمون إلى بيانات العمل أو المؤسسة التعليمية. يتم هذا التكوين عن طريق فرض نهج كلمة المرور وخصائص تأمين الجهاز وتعطيل وظائف معينة للجهاز، مثل الشهادات غير الموثوق بها.
- الأمان الشخصي المحسن (المستوى 2) - توصي Microsoft بهذا التكوين للأجهزة التي يصل فيها المستخدمون إلى المعلومات الحساسة أو السرية. يسن هذا التكوين عناصر تحكم مشاركة البيانات. ينطبق هذا التكوين على معظم مستخدمي الأجهزة المحمولة الذين يصلون إلى بيانات العمل أو المؤسسة التعليمية على جهاز.
- الأمان الشخصي العالي (المستوى 3) - توصي Microsoft بهذا التكوين للأجهزة التي يستخدمها مستخدمون معينون أو مجموعات معينة ذات مخاطر عالية بشكل فريد (المستخدمون الذين يتعاملون مع بيانات حساسة للغاية حيث يتسبب الكشف غير المصرح به في خسارة مادية كبيرة للمؤسسة). يسن هذا التكوين نهج كلمات مرور أقوى، يعطل وظائف معينة للجهاز، ويفرض قيود إضافية على نقل البيانات.
إعدادات التوافق للتسجيل التلقائي للجهاز
- الأمان الأساسي الخاضع للإشراف (المستوى 1) - توصي Microsoft بهذا التكوين كحد أدنى لتكوين الأمان للأجهزة الخاضعة للإشراف حيث يصل المستخدمون إلى بيانات العمل أو المؤسسة التعليمية. يتم هذا التكوين عن طريق فرض نهج كلمة المرور وخصائص تأمين الجهاز وتعطيل وظائف معينة للجهاز، مثل الشهادات غير الموثوق بها.
- الأمان المحسن الخاضع للإشراف (المستوى 2) - توصي Microsoft بهذا التكوين للأجهزة التي يصل فيها المستخدمون إلى المعلومات الحساسة أو السرية. يسن هذا التكوين عناصر تحكم مشاركة البيانات ويحظر الوصول إلى أجهزة USB. ينطبق هذا التكوين على معظم مستخدمي الأجهزة المحمولة الذين يصلون إلى بيانات العمل أو المؤسسة التعليمية على جهاز.
- الأمان العالي الخاضع للإشراف (المستوى 3) - توصي Microsoft بهذا التكوين للأجهزة التي يستخدمها مستخدمون معينون أو مجموعات معينة عالية المخاطر بشكل فريد (المستخدمون الذين يتعاملون مع بيانات حساسة للغاية حيث يتسبب الكشف غير المصرح به في خسارة مادية كبيرة للمؤسسة). يسن هذا التكوين نهج كلمات مرور أقوى، يعطل وظائف معينة للجهاز، ويفرض قيود إضافية على نقل البيانات، ويتطلب تثبيت التطبيقات من خلال برنامج الشراء المجمع من Apple.
إعدادات التسجيل والتوافق لنظام التشغيل Android
يدعم Android Enterprise العديد من سيناريوهات التسجيل، اثنان منها مشمولان كجزء من إطار العمل هذا:
- ملف تعريف عمل Android Enterprise - يستخدم نموذج التسجيل هذا عادة للأجهزة المملوكة شخصيا، حيث تريد تكنولوجيا المعلومات توفير حد فصل واضح بين بيانات العمل والبيانات الشخصية. تضمن النهج التي تتحكم بها تكنولوجيا المعلومات أنه لا يمكن نقل بيانات العمل إلى ملف التعريف الشخصي.
- الأجهزة المدارة بالكامل من Android Enterprise - هذه الأجهزة مملوكة للشركات، ومرتبطة بمستخدم واحد، وتستخدم حصريا للعمل وليس للاستخدام الشخصي.
يتم تنظيم إطار تكوين أمان Android Enterprise في العديد من سيناريوهات التكوين المميزة، ما يوفر إرشادات لملف تعريف العمل والسيناريوهات المدارة بالكامل.
استخدام المبادئ الموضحة في تكوينات الهوية والوصول إلى الجهاز ثقة معدومة:
- يتم تعيين نقطة البداية ومستويات حماية المؤسسة بشكل وثيق مع إعدادات الأمان المحسنة للمستوى 2.
- يتم تعيين مستوى الحماية الأمنية المتخصصة بشكل وثيق إلى إعدادات الأمان العالية المستوى 3.
إعدادات التوافق لأجهزة ملف تعريف عمل Android Enterprise
- نظرا للإعدادات المتوفرة لأجهزة ملف تعريف العمل المملوكة شخصيا، لا يوجد عرض أمان أساسي (المستوى 1). لا تبرر الإعدادات المتوفرة الفرق بين المستوى 1 والمستوى 2.
- الأمان المحسن لملف تعريف العمل (المستوى 2)– توصي Microsoft بهذا التكوين كحد أدنى لتكوين الأمان للأجهزة الشخصية حيث يصل المستخدمون إلى بيانات العمل أو المؤسسة التعليمية. يقدم هذا التكوين متطلبات كلمة المرور، ويفصل بيانات العمل والبيانات الشخصية، ويتحقق من صحة إثبات جهاز Android.
- الأمان العالي لملف تعريف العمل (المستوى 3) - توصي Microsoft بهذا التكوين للأجهزة التي يستخدمها مستخدمون معينون أو مجموعات معينة عالية المخاطر بشكل فريد (المستخدمون الذين يتعاملون مع البيانات الحساسة للغاية حيث يتسبب الكشف غير المصرح به في خسارة مادية كبيرة للمؤسسة). يقدم هذا التكوين دفاعا عن المخاطر المتنقلة أو Microsoft Defender لنقطة النهاية، ويحدد الحد الأدنى من إصدار Android، ويسن سياسات كلمات مرور أقوى، ويقيد الفصل بين العمل والفصل الشخصي.
إعدادات التوافق لأجهزة Android Enterprise المدارة بالكامل
- الأمان الأساسي المدار بالكامل (المستوى 1) - توصي Microsoft بهذا التكوين كحد أدنى لتكوين الأمان لجهاز مؤسسة. ينطبق هذا التكوين على معظم مستخدمي الأجهزة المحمولة الذين يصلون إلى بيانات العمل أو المؤسسة التعليمية. يقدم هذا التكوين متطلبات كلمة المرور، ويحدد الحد الأدنى من إصدار Android، ويسن قيود معينة على الجهاز.
- أمان محسن مدار بالكامل (المستوى 2) - توصي Microsoft بهذا التكوين للأجهزة التي يصل فيها المستخدمون إلى المعلومات الحساسة أو السرية. يسن هذا التكوين نهج كلمات مرور أقوى ويعطيل قدرات المستخدم/الحساب.
- الأمان العالي المدار بالكامل (المستوى 3) - توصي Microsoft بهذا التكوين للأجهزة المستخدمة من قبل مستخدمين أو مجموعات معينة ذات مخاطر عالية بشكل فريد. قد يتعامل هؤلاء المستخدمون مع البيانات الحساسة للغاية حيث قد يتسبب الكشف غير المصرح به في خسارة مادية كبيرة للمؤسسة. يزيد هذا التكوين من الحد الأدنى لإصدار Android، ويقدم دفاعا عن تهديدات الأجهزة المحمولة أو Microsoft Defender لنقطة النهاية، ويفرض قيودا إضافية على الجهاز.
إعدادات التوافق الموصى بها Windows 10 والإصدارات الأحدث
يتم تكوين الإعدادات التالية في الخطوة 2: إعدادات التوافق، لعملية إنشاء نهج التوافق للأجهزة Windows 10 والأحدث. تتوافق هذه الإعدادات مع المبادئ الموضحة في تكوينات الهوية والوصول إلى الجهاز ثقة معدومة.
للحصول على قواعد تقييم خدمة إثبات صحة > الأجهزة في Windows Health، راجع هذا الجدول.
| الخاصيه | قيمه |
|---|---|
| طلب BitLocker | تتطلب |
| طلب تمكين التمهيد الآمن على الجهاز | تتطلب |
| طلب تكامل التعليمات البرمجية | تتطلب |
بالنسبة لخصائص الجهاز، حدد القيم المناسبة لإصدارات نظام التشغيل استنادا إلى نهج تكنولوجيا المعلومات والأمان.
بالنسبة Configuration Manager Compliance، إذا كنت في بيئة مدارة بشكل مشترك مع Configuration Manager حدد Require بخلاف ذلك حدد Not configured.
للحصول على أمان النظام، راجع هذا الجدول.
| الخاصيه | قيمه |
|---|---|
| طلب كلمة مرور لإلغاء تأمين الأجهزة المحمولة | تتطلب |
| كلمات مرور بسيطة | حظر |
| نوع كلمة المرور | الجهاز الافتراضي |
| الحد الأدنى لطول كلمة المرور | 6 |
| الحد الأقصى لدقائق عدم النشاط قبل الحاجة إلى كلمة مرور | 15 دقيقة |
| انتهاء صلاحية كلمة المرور (أيام) | 41 |
| عدد كلمات المرور السابقة لمنع إعادة الاستخدام | 5 |
| طلب كلمة مرور عند إرجاع الجهاز من حالة الخمول (Mobile وHolographic) | تتطلب |
| طلب تشفير تخزين البيانات على الجهاز | تتطلب |
| جدار حمايه | تتطلب |
| مكافحه الفيروسات | تتطلب |
| مكافحه التجسس | تتطلب |
| Microsoft Defender مكافحة البرامج الضارة | تتطلب |
| Microsoft Defender الحد الأدنى لإصدار مكافحة البرامج الضارة | توصي Microsoft بإصدارات لا تزيد عن خمسة إصدارات من أحدث إصدار. |
| Microsoft Defender توقيع مكافحة البرامج الضارة محدثا | تتطلب |
| الحماية في الوقت الحقيقي | تتطلب |
للحصول على Microsoft Defender لنقطة النهاية
| الخاصيه | قيمه |
|---|---|
| طلب أن يكون الجهاز عند أو ضمن درجة مخاطر الجهاز | المتوسطه |
نهج الوصول المشروط
بمجرد إنشاء نهج حماية التطبيق وتوافق الجهاز في Intune، يمكنك تمكين الإنفاذ باستخدام نهج الوصول المشروط.
طلب المصادقة متعددة العوامل استنادا إلى مخاطر تسجيل الدخول
اتبع الإرشادات الواردة في المقالة نهج الوصول المشروط الشائع: المصادقة متعددة العوامل المستندة إلى مخاطر تسجيل الدخول لإنشاء نهج لطلب مصادقة متعددة العوامل استنادا إلى مخاطر تسجيل الدخول.
عند تكوين النهج الخاص بك، استخدم مستويات المخاطر التالية.
| مستوى الحماية | قيم مستوى المخاطر المطلوبة | العمل |
|---|---|---|
| نقطة البداية | مرتفع، متوسط | تحقق من كليهما. |
| Enterprise | مرتفع، متوسط، منخفض | تحقق من الثلاثة. |
حظر العملاء الذين لا يدعمون المصادقة متعددة العوامل
اتبع الإرشادات الواردة في المقالة نهج الوصول المشروط الشائع: حظر المصادقة القديمة لحظر المصادقة القديمة.
يجب على المستخدمين المعرضين لمخاطر عالية تغيير كلمة المرور
اتبع الإرشادات الواردة في المقالة نهج الوصول المشروط الشائع: تغيير كلمة المرور المستندة إلى مخاطر المستخدم لمطالبة المستخدمين الذين لديهم بيانات اعتماد مخترقة بتغيير كلمة المرور الخاصة بهم.
استخدم هذا النهج جنبا إلى جنب مع حماية كلمة المرور Microsoft Entra، والتي تكتشف وتحظر كلمات المرور الضعيفة المعروفة ومتغيراتها بالإضافة إلى المصطلحات الخاصة بمؤسستك. يضمن استخدام حماية كلمة المرور Microsoft Entra أن كلمات المرور التي تم تغييرها أقوى.
طلب التطبيقات المعتمدة ونهج حماية التطبيقات
يجب إنشاء نهج وصول مشروط لفرض نهج حماية التطبيق التي تم إنشاؤها في Intune. يتطلب فرض نهج حماية التطبيق نهج الوصول المشروط ونهج حماية التطبيق المقابلة.
لإنشاء نهج وصول مشروط يتطلب تطبيقات معتمدة وحماية التطبيقات، اتبع الخطوات الواردة في طلب تطبيقات العميل المعتمدة أو نهج حماية التطبيقات مع الأجهزة المحمولة. يسمح هذا النهج فقط للحسابات داخل تطبيقات الأجهزة المحمولة المحمية بنهج حماية التطبيقات بالوصول إلى نقاط نهاية Microsoft 365.
يضمن حظر المصادقة القديمة لتطبيقات العميل الأخرى على أجهزة iOS وAndroid عدم تمكن هؤلاء العملاء من تجاوز نهج الوصول المشروط. إذا كنت تتبع الإرشادات الواردة في هذه المقالة، فقد قمت بالفعل بتكوين عملاء الحظر الذين لا يدعمون المصادقة الحديثة.
طلب أجهزة كمبيوتر وأجهزة محمولة متوافقة
ستساعد الخطوات التالية في إنشاء نهج الوصول المشروط لطلب وضع علامة على الأجهزة التي تصل إلى الموارد على أنها متوافقة مع نهج التوافق Intune الخاصة بمؤسستك.
الحذر
تأكد من توافق جهازك قبل تمكين هذا النهج. وإلا، فقد يتم تأمينك ولن تتمكن من تغيير هذا النهج حتى تتم إضافة حساب المستخدم الخاص بك إلى مجموعة استبعاد الوصول المشروط.
- سجّل الدخول إلى مدخل Azure.
- استعرض للوصول إلى Microsoft Entra ID>الوصول المشروطللأمان>.
- حدد New policy.
- امنح نهجك اسما. نوصي المؤسسات بإنشاء معيار ذي معنى لأسماء نهجها.
- ضمن التعيينات، حدد المستخدمين أو هويات حمل العمل.
- ضمن تضمين، حدد جميع المستخدمين.
- ضمن استبعاد، حدد المستخدمين والمجموعات واختر الوصول في حالات الطوارئ لمؤسستك أو حسابات الطوارئ.
- ضمن التطبيقات أو الإجراءات السحابية>تضمين، حدد جميع التطبيقات السحابية.
- إذا كان يجب استبعاد تطبيقات معينة من النهج الخاص بك، يمكنك اختيارها من علامة التبويب استبعاد ضمن تحديد التطبيقات السحابية المستبعدة واختيار تحديد.
- ضمن Access controls>Grant.
- حدد Require device to be marked as compliant.
- حدد Select.
- قم بتأكيد الإعدادات وتعيين تمكين النهج إلى تشغيل.
- حدد إنشاء لإنشاء لتمكين النهج الخاص بك.
ملاحظة
يمكنك تسجيل أجهزتك الجديدة في Intune حتى إذا حددت Require device to be marked as compliant for All users and All cloud apps in your policy. يتطلب وضع علامة على الجهاز كعنصر تحكم متوافق لا يمنع تسجيل Intune والوصول إلى تطبيق Company Portal ويب Microsoft Intune.
تنشيط الاشتراك
قد ترغب المؤسسات التي تستخدم ميزة تنشيط الاشتراك لتمكين المستخدمين من "المتابعة" من إصدار Windows إلى آخر، في استبعاد واجهات برمجة تطبيقات خدمة المتجر العالمي وتطبيق الويب، AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f من نهج التوافق مع الجهاز.
تتطلب دائما مصادقة متعددة العوامل (MFA)
اتبع الإرشادات الواردة في المقالة نهج الوصول المشروط الشائع: طلب مصادقة متعددة العوامل (MFA) لجميع المستخدمين لمطالبة المستخدمين المتخصصين على مستوى الأمان بإجراء مصادقة متعددة العوامل دائما.
تحذير
عند تكوين النهج الخاص بك، حدد المجموعة التي تتطلب أمانا متخصصا واستخدم ذلك بدلا من تحديد جميع المستخدمين.
الخطوات التالية
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ