نشر البنية الأساسية لهويتك Microsoft 365
في Microsoft 365 للمؤسسات، تمهد البنية الأساسية للهوية المخططة والمنفذة جيدا الطريق لأمان أقوى، بما في ذلك تقييد الوصول إلى أحمال عمل الإنتاجية وبياناتها إلى المستخدمين والأجهزة المصادق عليها فقط. يعد أمان الهويات عنصرا رئيسيا لنشر ثقة معدومة، حيث تتم مصادقة جميع محاولات الوصول إلى الموارد المحلية وفي السحابة وتخويلها.
للحصول على معلومات حول ميزات الهوية لكل Microsoft 365 للمؤسسة، ودور Azure Active Directory (Azure AD)، والمكونات المحلية والمستندة إلى السحابة، وتكوينات المصادقة الأكثر شيوعا، راجع ملصق البنية الأساسية للهوية.
راجع هذا الملصق المكون من صفحتين للزيادة السريعة في مفاهيم الهوية وتكوينات Microsoft 365 للمؤسسة.
يمكنك تنزيل هذا الملصق وطباعته بتنسيق حرفي أو قانوني أو جدولة (11 × 17).
هذا الحل هو الخطوة الأولى لإنشاء مكدس توزيع Microsoft 365 ثقة معدومة.
لمزيد من المعلومات، راجع خطة نشر Microsoft 365 ثقة معدومة.
ما هو موجود في هذا الحل
يرشدك هذا الحل من خلال نشر بنية أساسية للهوية لمستأجر Microsoft 365 لتوفير الوصول لموظفيك والحماية من الهجمات المستندة إلى الهوية.
الخطوات الواردة في هذا الحل هي:
- تحديد نموذج هويتك.
- حماية حساباتك المتميزة Microsoft 365.
- حماية حسابات المستخدمين Microsoft 365.
- نشر نموذج هويتك.
يدعم هذا الحل المبادئ الرئيسية ثقة معدومة:
- تحقق بشكل صريح: المصادقة والتخويل دائما استنادا إلى جميع نقاط البيانات المتوفرة.
- استخدام الوصول الأقل امتيازا: الحد من وصول المستخدم باستخدام Just-In-Time و Just-Enough-Access (JIT/JEA)، والسياسات التكيفية المستندة إلى المخاطر، وحماية البيانات.
- افترض خرقا: تقليل نصف قطر التفجير والوصول إلى المقطع. تحقق من التشفير الشامل واستخدم التحليلات للحصول على الرؤية، ودفع الكشف عن التهديدات، وتحسين الدفاعات.
على عكس الوصول التقليدي إلى إنترانت، والذي يثق في كل شيء خلف جدار حماية المؤسسة، ثقة معدومة تعامل كل تسجيل دخول والوصول كما لو كانت تنشأ من شبكة غير خاضعة للرقابة، سواء كانت خلف جدار حماية المؤسسة أو على الإنترنت. يتطلب ثقة معدومة حماية الشبكة والبنية الأساسية والهويات ونقاط النهاية والتطبيقات والبيانات.
Microsoft 365 القدرات والميزات
يوفر Azure AD مجموعة كاملة من قدرات إدارة الهوية والأمان لمستأجر Microsoft 365 الخاص بك.
| القدرة أو الميزة | الوصف | الترخيص |
|---|---|---|
| المصادقة متعددة العوامل (MFA) | تتطلب المصادقة متعددة العوامل من المستخدمين توفير نموذجين للتحقق، مثل كلمة مرور المستخدم بالإضافة إلى إعلام من تطبيق Microsoft Authenticator أو مكالمة هاتفية. تقلل المصادقة متعددة العوامل إلى حد كبير من مخاطر إمكانية استخدام بيانات الاعتماد المسروقة للوصول إلى بيئتك. يستخدم Microsoft 365 خدمة Azure AD Multi-Factor Authentication لتسجيل الدخول المستند إلى MFA. | Microsoft 365 E3 أو E5 |
| الوصول المشروط | يقيم Azure AD شروط تسجيل دخول المستخدم ويستخدم نهج الوصول المشروط لتحديد الوصول المسموح به. على سبيل المثال، في هذه الإرشادات، نوضح لك كيفية إنشاء نهج وصول مشروط لطلب توافق الجهاز للوصول إلى البيانات الحساسة. وهذا يقلل إلى حد كبير من خطر أن يتمكن المتسلل الذي لديه جهازه الخاص وبيانات الاعتماد المسروقة من الوصول إلى بياناتك الحساسة. كما أنه يحمي البيانات الحساسة على الأجهزة، لأن الأجهزة يجب أن تفي بمتطلبات محددة من أجل الصحة والأمان. | Microsoft 365 E3 أو E5 |
| مجموعات Azure AD | تعتمد نهج الوصول المشروط وإدارة الأجهزة باستخدام Intune وحتى الأذونات إلى الملفات والمواقع في مؤسستك على التعيين إلى حسابات المستخدمين أو مجموعات Azure AD. نوصي بإنشاء مجموعات Azure AD التي تتوافق مع مستويات الحماية التي تنفذها. على سبيل المثال، من المحتمل أن يكون موظفوك التنفيذيون أهدافا ذات قيمة أعلى للمتسللين. لذلك، من المنطقي إضافة حسابات المستخدمين لهؤلاء الموظفين إلى مجموعة Azure AD وتعيين هذه المجموعة إلى نهج الوصول المشروط والنهج الأخرى التي تفرض مستوى أعلى من الحماية للوصول. | Microsoft 365 E3 أو E5 |
| حماية الهوية في Azure AD | يمكنك من اكتشاف الثغرات الأمنية المحتملة التي تؤثر على هويات مؤسستك وتكوين نهج المعالجة التلقائي إلى مخاطر تسجيل الدخول المنخفضة والمتوسطة وعالية ومخاطر المستخدم. تعتمد هذه الإرشادات على تقييم المخاطر هذا لتطبيق نهج الوصول المشروط للمصادقة متعددة العوامل. تتضمن هذه الإرشادات أيضا نهج الوصول المشروط الذي يتطلب من المستخدمين تغيير كلمة المرور الخاصة بهم إذا تم الكشف عن نشاط عالي المخاطر لحسابهم. | Microsoft 365 E5 أو Microsoft 365 E3 باستخدام وظائف E5 Security الإضافية أو EMS E5 أو تراخيص Azure AD Premium P2 |
| الخدمة الذاتية لإعادة تعيين كلمة المرور(SSPR) | اسمح للمستخدمين بإعادة تعيين كلمات المرور الخاصة بهم بشكل آمن ودون تدخل مكتب المساعدة، من خلال توفير التحقق من أساليب المصادقة المتعددة التي يمكن للمسؤول التحكم بها. | Microsoft 365 E3 أو E5 |
| حماية كلمة مرور Azure AD | الكشف عن كلمات المرور الضعيفة المعروفة ومتغيراتها ومصطلحات ضعيفة إضافية خاصة بمؤسستك وحظرها. يتم تطبيق قوائم كلمات المرور المحظورة العمومية الافتراضية تلقائيا على جميع المستخدمين في مستأجر Azure AD. يمكنك تحديد إدخالات إضافية في قائمة كلمات مرور محظورة مخصصة. عندما يغير المستخدمون كلمات المرور الخاصة بهم أو يعيدون تعيينها، يتم التحقق من قوائم كلمات المرور المحظورة هذه لفرض استخدام كلمات مرور قوية. | Microsoft 365 E3 أو E5 |
الخطوات التالية
استخدم هذه الخطوات لنشر نموذج هوية وبنية أساسية للمصادقة لمستأجر Microsoft 365:
- تحديد نموذج هوية السحابة الخاص بك.
- حماية حساباتك المتميزة Microsoft 365.
- حماية حسابات المستخدمين Microsoft 365.
- نشر نموذج هوية السحابة الخاص بك: السحابة فقط أو المختلطة.
موارد الهوية السحابية الإضافية ل Microsoft
الإدارة
لإدارة نشر هوية سحابة Microsoft، راجع:
كيف تقوم Microsoft بالهوية Microsoft 365
تعرف على كيفية إدارة خبراء تكنولوجيا المعلومات في Microsoft للهويات وتأمين الوصول.
ملاحظة
يتوفر مورد عرض تكنولوجيا المعلومات هذا باللغة الإنجليزية فقط.
كيف قامت شركة Contoso بهوية Microsoft 365
للحصول على مثال حول كيفية نشر مؤسسة خيالية ولكنها ممثلة متعددة الجنسيات بنية أساسية لهوية مختلطة لخدمات السحابة Microsoft 365، راجع Identity ل Contoso Corporation.
الملاحظات
إرسال الملاحظات وعرضها المتعلقة بـ