الخطوة 2. حماية حساباتك المتميزة Microsoft 365

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تنطبق هذه المقالة على كل من Microsoft 365 Enterprise و Office 365 Enterprise.

عادة ما تحدث الخروقات الأمنية لمستأجر Microsoft 365، بما في ذلك هجمات جمع المعلومات والتصيد الاحتيالي، عن طريق المساس ببيانات اعتماد حساب متميز Microsoft 365. الأمان في السحابة هو شراكة بينك وبين Microsoft:

• تستند خدمات Microsoft السحابية إلى أساس الثقة والأمان. توفر لك Microsoft عناصر تحكم وإمكانات أمان لمساعدتك على حماية بياناتك وتطبيقاتك.

• أنت تملك بياناتك وهوياتك ومسؤولية حمايتها، وأمان مواردك المحلية، وأمان مكونات السحابة التي تتحكم فيها.

توفر Microsoft إمكانيات للمساعدة في حماية مؤسستك، ولكنها تكون فعالة فقط إذا كنت تستخدمها. إذا لم تستخدمها، فقد تكون عرضة للهجوم. لحماية حساباتك المتميزة، توجد Microsoft هنا لمساعدتك في الحصول على إرشادات مفصلة حول:

1. إنشاء حسابات مخصصة ومميزة مستندة إلى السحابة واستخدامها فقط عند الضرورة.

2. تكوين المصادقة متعددة العوامل (MFA) للحسابات المتميزة Microsoft 365 المخصصة واستخدام أقوى شكل من أشكال المصادقة الثانوية.

3. حماية الحسابات المتميزة من خلال توصيات الهوية ثقة معدومة والوصول إلى الجهاز.

1. إنشاء حسابات مستخدمين مخصصة ومميزة مستندة إلى السحابة واستخدامها فقط عند الضرورة

بدلا من استخدام حسابات المستخدمين اليومية التي تم تعيين أدوار المسؤول لها، قم بإنشاء حسابات مستخدمين مخصصة لها أدوار المسؤول في Azure AD.

من هذه اللحظة فصاعدا، يمكنك تسجيل الدخول باستخدام الحسابات المتميزة المخصصة فقط للمهام التي تتطلب امتيازات المسؤول. يجب أن يتم كل إدارة Microsoft 365 الأخرى عن طريق تعيين أدوار إدارية أخرى لحسابات المستخدمين.

ملاحظة

يتطلب ذلك خطوات إضافية لتسجيل الخروج كحساب المستخدم اليومي وتسجيل الدخول باستخدام حساب مسؤول مخصص. ولكن يجب القيام بذلك فقط في بعض الأحيان لعمليات المسؤول. ضع في اعتبارك أن استرداد اشتراكك في Microsoft 365 بعد خرق حساب المسؤول يتطلب الكثير من الخطوات.

تحتاج أيضا إلى إنشاء حسابات الوصول في حالات الطوارئ لمنع تأمينها عن طريق الخطأ من Azure AD.

يمكنك حماية حساباتك المتميزة بشكل أكبر باستخدام إدارة الهويات المتميزة Azure AD (PIM) لتعيين أدوار المسؤول عند الطلب وفي الوقت المناسب.

2. تكوين المصادقة متعددة العوامل لحساباتك المتميزة Microsoft 365 المخصصة

تتطلب المصادقة متعددة العوامل (MFA) معلومات إضافية تتجاوز اسم الحساب وكلمة المرور. يدعم Microsoft 365 أساليب التحقق الإضافية هذه:

• تطبيق Microsoft Authenticator
• مكالمة هاتفية
• رمز تحقق تم إنشاؤه عشوائيا تم إرساله من خلال رسالة نصية
• بطاقة ذكية (ظاهرية أو فعلية) (تتطلب مصادقة موحدة)
• جهاز قياس حيوي
• الرمز المميز Oauth

ملاحظة

بالنسبة إلى المؤسسات التي يجب أن تلتزم بمعايير المعهد الوطني للمعايير والتكنولوجيا (NIST)، يتم تقييد استخدام مكالمة هاتفية أو أساليب تحقق إضافية مستندة إلى رسالة نصية. انقر هنا للحصول على التفاصيل.

إذا كنت شركة صغيرة تستخدم حسابات المستخدمين المخزنة فقط في السحابة (نموذج الهوية السحابية فقط)، فقم بإعداد المصادقة متعددة العوامل لتكوين المصادقة متعددة العوامل (MFA) باستخدام مكالمة هاتفية أو رمز التحقق من صحة رسالة نصية يتم إرساله إلى هاتف ذكي لكل حساب متميز مخصص.

إذا كنت مؤسسة أكبر تستخدم نموذج هوية مختلطة Microsoft 365، فلديك المزيد من خيارات التحقق. إذا كانت البنية الأساسية للأمان موجودة بالفعل لأسلوب مصادقة ثانوي أقوى، فقم بإعداد المصادقة متعددة العوامل وتكوين كل حساب مميز مخصص لأسلوب التحقق المناسب.

إذا لم تكن البنية الأساسية للأمان لأسلوب التحقق الأقوى المطلوب في مكانها وتعمل من أجل المصادقة متعددة العوامل Microsoft 365، نوصي بشدة بتكوين حسابات مميزة مخصصة باستخدام المصادقة متعددة العوامل باستخدام تطبيق Microsoft Authenticator أو مكالمة هاتفية أو رمز التحقق من صحة رسالة نصية تم إرساله إلى هاتف ذكي لحساباتك المتميزة كإجراء أمان مؤقت. لا تترك حساباتك المتميزة المخصصة دون الحماية الإضافية التي توفرها المصادقة متعددة العوامل.

لمزيد من المعلومات، راجع MFA Microsoft 365.

3. حماية حسابات المسؤولين من خلال ثقة معدومة توصيات الهوية والوصول إلى الجهاز

للمساعدة في ضمان وجود قوة عمل آمنة ومنتجة، تقدم Microsoft مجموعة من التوصيات للوصول إلى الهوية والجهاز. للحصول على الهوية، استخدم التوصيات والإعدادات الواردة في هذه المقالات:

• المتطلبات الأساسية
• نهج الوصول إلى الهوية والجهاز الشائعة

الحماية الإضافية للمؤسسات

استخدم هذه الأساليب الإضافية للتأكد من أن حسابك المميز والتكوين الذي تقوم به باستخدامه آمنان قدر الإمكان.

محطة عمل الوصول المتميز

للتأكد من أن تنفيذ المهام ذات الامتيازات العالية آمن قدر الإمكان، استخدم محطة عمل الوصول المتميزة (PAW). محطة العمل ذات الوصول المتميز هي كمبيوتر مخصص يستخدم فقط لمهام التكوين الحساسة، مثل تكوين Microsoft 365 الذي يتطلب حسابا مميزا. نظرا لعدم استخدام هذا الكمبيوتر يوميا لاستعراض الإنترنت أو البريد الإلكتروني، فهو محمي بشكل أفضل من هجمات الإنترنت والتهديدات.

للحصول على إرشادات حول كيفية إعداد محطة العمل ذات الوصول المتميز، راجع https://aka.ms/cyberpaw.

لتمكين Azure PIM لحسابات مستأجر Azure AD وحسابات المسؤول، راجع الخطوات لتكوين PIM.

لتطوير مخطط شامل لتأمين الوصول المتميز ضد المهاجمين عبر الإنترنت، راجع تأمين الوصول المتميز لعمليات النشر المختلطة والسحابية في Azure AD.

إدارة الهويات المتميزة Azure AD

بدلا من تعيين دور مسؤول لحساباتك المتميزة بشكل دائم، يمكنك استخدام Azure AD PIM لتمكين التعيين في الوقت المناسب عند الطلب لدور المسؤول عند الحاجة.

تنتقل حسابات المسؤول من كونها مسؤولين دائمين إلى مسؤولين مؤهلين. دور المسؤول غير نشط حتى يحتاجه شخص ما. ثم تكمل عملية تنشيط لإضافة دور المسؤول إلى الحساب المميز لفترة زمنية محددة مسبقا. عند انتهاء الوقت، يزيل PIM دور المسؤول من الحساب المميز.

يقلل استخدام PIM وهذه العملية بشكل كبير من مقدار الوقت الذي تكون فيه حساباتك المميزة عرضة للهجوم والاستخدام من قبل المستخدمين الضارين.

تتوفر PIM مع Azure Active Directory Premium P2، والتي يتم تضمينها مع Microsoft 365 E5. بدلا من ذلك، يمكنك شراء تراخيص Azure Active Directory الفردية Premium P2 لحسابات المسؤول.

لمزيد من المعلومات، اطلع على:

• إدارة الهويات المتميزة Azure AD.
• تأمين الوصول المتميز لعمليات النشر المختلطة والسحابية في Azure AD

إدارة الوصول المتميز

يتم تمكين إدارة الوصول المتميز من خلال تكوين النهج التي تحدد الوصول في الوقت المناسب للأنشطة المستندة إلى المهام في المستأجر الخاص بك. يمكن أن يساعد في حماية مؤسستك من الخروقات التي قد تستخدم حسابات المسؤولين المتميزين الحالية مع الوصول الدائم إلى البيانات الحساسة أو الوصول إلى إعدادات التكوين الهامة. على سبيل المثال، يمكنك تكوين نهج إدارة وصول متميز يتطلب موافقة صريحة للوصول إلى إعدادات علبة بريد المؤسسة وتغييرها في المستأجر.

في هذه الخطوة، ستقوم بتمكين إدارة الوصول المتميز في المستأجر وتكوين نهج الوصول المتميزة التي توفر أمانا إضافيا للوصول المستند إلى المهام إلى إعدادات البيانات والتكوين لمؤسستك. هناك ثلاث خطوات أساسية للبدء بالوصول المتميز في مؤسستك:

• إنشاء مجموعة موافق
• تمكين الوصول المتميز
• إنشاء نهج الموافقة

تمكن إدارة الوصول المتميز مؤسستك من العمل دون امتيازات دائمة وتوفير طبقة دفاع ضد الثغرات الأمنية الناشئة بسبب مثل هذا الوصول الإداري الدائم. يتطلب الوصول المتميز موافقات لتنفيذ أي مهمة لها نهج موافقة مقترن محدد. يجب على المستخدمين الذين يحتاجون إلى تنفيذ المهام المضمنة في نهج الموافقة طلب الموافقة على الوصول ومنحهم حق الوصول.

لتمكين إدارة الوصول المتميز، راجع تكوين إدارة الوصول المتميز.

لمزيد من المعلومات، راجع إدارة الوصول المتميز.

برنامج إدارة معلومات الأمان والأحداث (SIEM) لتسجيل Microsoft 365

يقوم برنامج SIEM الذي يتم تشغيله على خادم بتحليل في الوقت الحقيقي لتنبيهات الأمان والأحداث التي تم إنشاؤها بواسطة التطبيقات وأجهزة الشبكة. للسماح لخادم SIEM بتضمين Microsoft 365 تنبيهات وأحداث الأمان في دالات التحليل وإعداد التقارير الخاصة به، قم بدمج Azure AD في SEIM. راجع مقدمة تكامل سجل Azure.

الخطوة التالية

تابع الخطوة 3 لتأمين حسابات المستخدمين.