نهج الهوية ثقة معدومة الشائعة والوصول إلى الجهاز
تصف هذه المقالة نهج الهوية والوصول إلى الأجهزة الموصى بها الشائعة ثقة معدومة لتأمين الوصول إلى خدمات السحابة Microsoft 365، بما في ذلك التطبيقات المحلية المنشورة باستخدام وكيل تطبيق Azure Active Directory (Azure AD).
تناقش هذه الإرشادات كيفية نشر النهج الموصى بها في بيئة تم توفيرها حديثا. يتيح لك إعداد هذه النهج في بيئة مختبر منفصلة فهم النهج الموصى بها وتقييمها قبل بدء التشغيل المرحلي لبيئات الإنتاج والإنتاج المسبقة. يمكن أن تكون بيئتك التي تم توفيرها حديثا سحابية فقط أو مختلطة لتعكس احتياجات التقييم الخاصة بك.
مجموعة النهج
يوضح الرسم التخطيطي التالي مجموعة النهج الموصى بها. وهو يوضح مستوى الحماية الذي ينطبق عليه كل نهج وما إذا كانت النهج تنطبق على أجهزة الكمبيوتر الشخصية أو الهواتف وأجهزة الكمبيوتر اللوحية، أو فئتي الأجهزة. كما يشير إلى مكان تكوين هذه النهج.
تصف بقية هذه المقالة كيفية تكوين هذه النهج.
ملاحظة
يوصى باستخدام المصادقة متعددة العوامل (MFA) قبل تسجيل الأجهزة في Intune للتأكد من أن الجهاز في حوزة المستخدم المقصود. يجب عليك تسجيل الأجهزة في Intune قبل أن تتمكن من فرض نهج توافق الجهاز.
لمنحك الوقت لإنجاز هذه المهام، نوصي بتنفيذ نهج نقطة البداية بالترتيب المدرج في هذا الجدول. ومع ذلك، يمكن تنفيذ سياسات المصادقة متعددة العوامل (MFA) الخاصة بمستويات الأمان الخاصة بالمؤسسات ومستويات الحماية المتخصصة في أي وقت.
| مستوى الحماية | السياسات | معلومات إضافية | الترخيص |
|---|---|---|---|
| نقطة البداية | طلب المصادقة متعددة العوامل (MFA) عندما يكون خطر تسجيل الدخول متوسطا أو مرتفعا | Microsoft 365 E5 أو Microsoft 365 E3 باستخدام الوظيفة الإضافية E5 Security | |
| حظر العملاء الذين لا يدعمون المصادقة الحديثة | يمكن للعملاء الذين لا يستخدمون المصادقة الحديثة تجاوز نهج الوصول المشروط، لذلك من المهم حظرها. | Microsoft 365 E3 أو E5 | |
| يجب على المستخدمين المعرضين لمخاطر عالية تغيير كلمة المرور | يجبر المستخدمين على تغيير كلمة المرور الخاصة بهم عند تسجيل الدخول إذا تم الكشف عن نشاط عالي المخاطر لحسابهم. | Microsoft 365 E5 أو Microsoft 365 E3 باستخدام الوظيفة الإضافية E5 Security | |
| تطبيق حماية البيانات لنهج حماية التطبيقات (APP) | نهج حماية تطبيق Intune واحد لكل نظام أساسي (Windows وiOS/iPadOS وAndroid). | Microsoft 365 E3 أو E5 | |
| طلب التطبيقات المعتمدة وحماية التطبيقات | يفرض حماية تطبيقات الأجهزة المحمولة للهواتف وأجهزة الكمبيوتر اللوحية باستخدام iOS أو iPadOS أو Android. | Microsoft 365 E3 أو E5 | |
| Enterprise | طلب المصادقة متعددة العوامل (MFA) عندما يكون خطر تسجيل الدخول منخفضا أو متوسطا أو مرتفعا | Microsoft 365 E5 أو Microsoft 365 E3 باستخدام الوظيفة الإضافية E5 Security | |
| تحديد نهج توافق الجهاز | نهج واحد لكل نظام أساسي. | Microsoft 365 E3 أو E5 | |
| طلب أجهزة كمبيوتر وأجهزة محمولة متوافقة | يفرض إدارة Intune لكل من أجهزة الكمبيوتر (Windows أو macOS) والهواتف أو الأجهزة اللوحية (iOS أو iPadOS أو Android). | Microsoft 365 E3 أو E5 | |
| أمان متخصص | طلب المصادقة متعددة العوامل (MFA) دائما | Microsoft 365 E3 أو E5 |
تعيين نهج للمجموعات والمستخدمين
قبل تكوين النهج، حدد مجموعات Azure AD التي تستخدمها لكل مستوى من مستويات الحماية. عادة ما تنطبق حماية نقطة البداية على كل شخص في المؤسسة. سيطبق على المستخدم المضمن لكل من نقطة البداية وحماية المؤسسة جميع نهج نقطة البداية المطبقة بالإضافة إلى نهج المؤسسة. الحماية تراكمية ويتم فرض النهج الأكثر تقييدا.
الممارسة الموصى بها هي إنشاء مجموعة Azure AD لاستبعاد الوصول المشروط. أضف هذه المجموعة إلى كافة نهج الوصول المشروط في القيمة "استبعاد**" الخاصة بإعداد "المستخدمون والمجموعات**" في قسم "التعيينات". يمنحك هذا أسلوبا لتوفير الوصول إلى مستخدم أثناء استكشاف مشكلات الوصول وإصلاحها. يوصى بذلك كحل مؤقت فقط. مراقبة هذه المجموعة للتغييرات والتأكد من استخدام مجموعة الاستبعاد فقط كما هو مقصود.
فيما يلي مثال على تعيين المجموعة واستثناءات طلب المصادقة متعددة العوامل.
فيما يلي النتائج:
يطلب من جميع المستخدمين استخدام المصادقة متعددة العوامل عندما تكون مخاطر تسجيل الدخول متوسطة أو عالية.
يطلب من أعضاء مجموعة الموظفين التنفيذيين استخدام المصادقة متعددة العوامل عندما يكون خطر تسجيل الدخول منخفضا أو متوسطا أو مرتفعا.
في هذه الحالة، يتطابق أعضاء مجموعة الموظفين التنفيذيين مع كل من نهج نقطة البداية والوصول المشروط للمؤسسة. يتم دمج عناصر التحكم في الوصول لكلا النهجين، والتي تكون في هذه الحالة مكافئة لنهج الوصول المشروط للمؤسسة.
يطلب من أعضاء مجموعة X Project السرية للغاية دائما استخدام المصادقة متعددة العوامل
في هذه الحالة، يتطابق أعضاء مجموعة Top Secret Project X مع كل من نقطة البداية ونهج الوصول المشروط للأمان المتخصصة. يتم دمج عناصر التحكم في الوصول لكلا النهجين. نظرا لأن التحكم في الوصول لنهج الوصول المشروط للأمان المخصص أكثر تقييدا، يتم استخدامه.
كن حذرا عند تطبيق مستويات أعلى من الحماية على المجموعات والمستخدمين. على سبيل المثال، سيطلب من أعضاء مجموعة "السرية العليا" Project X استخدام المصادقة متعددة العوامل في كل مرة يسجلون فيها الدخول، حتى لو لم يكونوا يعملون على محتوى الأمان المخصص ل Project X.
يجب إنشاء جميع مجموعات Azure AD التي تم إنشاؤها كجزء من هذه التوصيات كالمجموعات Microsoft 365. وهذا مهم لنشر أوصاف الحساسية عند تأمين المستندات في Microsoft Teams SharePoint.
طلب المصادقة متعددة العوامل استنادا إلى مخاطر تسجيل الدخول
يجب أن يقوم المستخدمون بالتسجيل للحصول على المصادقة متعددة العوامل قبل طلب استخدامها. إذا كان لديك Microsoft 365 E5 أو Microsoft 365 E3 باستخدام الوظيفة الإضافية E5 Security أو Office 365 مع EMS E5 أو تراخيص Azure AD الفردية Premium P2، يمكنك استخدام نهج تسجيل المصادقة متعددة العوامل مع Azure AD Identity Protection لمطلب تسجيل المستخدمين للحصول على المصادقة متعددة العوامل. يتضمن العمل المتطلب الأساسي تسجيل جميع المستخدمين الذين لديهم المصادقة متعددة العوامل.
بعد تسجيل المستخدمين، يمكنك طلب المصادقة متعددة العوامل لتسجيل الدخول باستخدام نهج وصول مشروط جديد.
- انتقل إلى مدخل Azure، وسجل الدخول باستخدام بيانات الاعتماد الخاصة بك.
- في قائمة خدمات Azure، اختر Azure Active Directory.
- في القائمة "إدارة "، اختر "الأمان"، ثم اختر "الوصول المشروط".
- اختر نهج جديد واكتب اسم النهج الجديد.
تصف الجداول التالية إعدادات نهج الوصول المشروط لطلب المصادقة متعددة العوامل استنادا إلى مخاطر تسجيل الدخول.
في قسم "الواجبات" :
| اعداد | خصائص | القيم | ملاحظات |
|---|---|---|---|
| المستخدمون والمجموعات | تشمل | حدد المستخدمين والمجموعات > المستخدمين والمجموعات: حدد مجموعات معينة تحتوي على حسابات المستخدمين المستهدفة. | ابدأ بالمجموعة التي تتضمن حسابات المستخدمين التجريبية. |
| استبعاد | المستخدمون والمجموعات: حدد مجموعة استثناء الوصول المشروط؛ حسابات الخدمة (هويات التطبيق). | وينبغي تعديل العضوية على أساس مؤقت حسب الحاجة. | |
| تطبيقات أو إجراءات السحابة | تطبيقات السحابة > تضمينها | حدد التطبيقات: حدد التطبيقات التي تريد تطبيق هذا النهج عليها. على سبيل المثال، حدد Exchange Online. | |
| الظروف | تكوين الشروط الخاصة بالبيئة والاحتياجات الخاصة بك. | ||
| مخاطر تسجيل الدخول | راجع الإرشادات الواردة في الجدول التالي. |
إعدادات حالة مخاطر تسجيل الدخول
تطبيق إعدادات مستوى المخاطر استنادا إلى مستوى الحماية الذي تستهدفه.
| مستوى الحماية | قيم مستوى المخاطر المطلوبة | العمل |
|---|---|---|
| نقطة البداية | عال، متوسط | تحقق من كليهما. |
| Enterprise | عال، متوسط، منخفض | تحقق من الثلاثة. |
| أمان متخصص | اترك كافة الخيارات غير محددة لفرض المصادقة متعددة العوامل دائما. |
في قسم عناصر تحكم Access :
| اعداد | خصائص | القيم | العمل |
|---|---|---|---|
| المنح | Grant access | حدد | |
| طلب مصادقة متعددة العوامل | الاختيار | ||
| طلب كافة عناصر التحكم المحددة | حدد |
اختر "تحديد " لحفظ إعدادات "منح ".
وأخيرا، حدد "تشغيل " ل "تمكين النهج"، ثم اختر "إنشاء".
ضع في اعتبارك أيضا استخدام أداة "ماذا لو " لاختبار النهج.
حظر العملاء الذين لا يدعمون العوامل المتعددة
استخدم الإعدادات الموجودة في هذه الجداول لنهج الوصول المشروط لحظر العملاء الذين لا يدعمون المصادقة متعددة العوامل.
راجع هذه المقالة للحصول على قائمة العملاء في Microsoft 365 التي تدعم المصادقة متعددة العوامل.
في قسم "الواجبات" :
| اعداد | خصائص | القيم | ملاحظات |
|---|---|---|---|
| المستخدمون والمجموعات | تشمل | حدد المستخدمين والمجموعات > المستخدمين والمجموعات: حدد مجموعات معينة تحتوي على حسابات المستخدمين المستهدفة. | ابدأ بالمجموعة التي تتضمن حسابات المستخدمين التجريبية. |
| استبعاد | المستخدمون والمجموعات: حدد مجموعة استثناء الوصول المشروط؛ حسابات الخدمة (هويات التطبيق). | وينبغي تعديل العضوية على أساس مؤقت حسب الحاجة. | |
| تطبيقات أو إجراءات السحابة | تطبيقات السحابة > تضمينها | حدد التطبيقات: حدد التطبيقات المطابقة للعملاء الذين لا يدعمون المصادقة الحديثة. | |
| الظروف | تطبيقات العميل | اختر "نعم**" للتكوين** مسح علامات الاختيار لتطبيقات المستعرض والأجهزة المحمولة وعملاء سطح المكتب |
في قسم عناصر تحكم Access :
| اعداد | خصائص | القيم | العمل |
|---|---|---|---|
| المنح | حظر الوصول | حدد | |
| طلب كافة عناصر التحكم المحددة | حدد |
اختر "تحديد " لحفظ إعدادات "منح ".
وأخيرا، حدد "تشغيل " ل "تمكين النهج"، ثم اختر "إنشاء".
ضع في اعتبارك استخدام أداة "ماذا لو " لاختبار النهج.
بالنسبة Exchange Online، يمكنك استخدام نهج المصادقة لتعطيل المصادقة الأساسية، ما يفرض على كافة طلبات وصول العميل استخدام المصادقة الحديثة.
يجب على المستخدمين المعرضين لمخاطر عالية تغيير كلمة المرور
للتأكد من أن جميع الحسابات المعرضة للخطر الخاصة بالمستخدمين المعرضة للخطر تضطر إلى إجراء تغيير في كلمة المرور عند تسجيل الدخول، يجب تطبيق النهج التالي.
سجل الدخول إلى مدخل Microsoft Azure (https://portal.azure.com) باستخدام بيانات اعتماد المسؤول، ثم انتقل إلى Azure AD Identity Protection > نهج مخاطر المستخدم.
في قسم "الواجبات" :
| نوع | خصائص | القيم | العمل |
|---|---|---|---|
| المستخدمون | تشمل | كافة المستخدمين | حدد |
| مخاطر المستخدم | عاليه | حدد |
في قسم التعيينات الثاني:
| نوع | خصائص | القيم | العمل |
|---|---|---|---|
| وصول | السماح بالوصول | حدد | |
| طلب تغيير كلمة المرور | الاختيار |
اختر "تم " لحفظ إعدادات Access .
وأخيرا، حدد "تشغيل**" لفرض النهج**، ثم اختر "حفظ".
ضع في اعتبارك استخدام أداة "ماذا لو " لاختبار النهج.
استخدم هذا النهج بالتزامن مع تكوين حماية كلمة مرور Azure AD، والتي تكشف عن كلمات المرور الضعيفة المعروفة ومتغيراتها ومصطلحات ضعيفة إضافية خاصة بمؤسستك وتحظرها. يضمن استخدام حماية كلمة مرور Azure AD أن كلمات المرور التي تم تغييرها هي كلمات مرور قوية.
تطبيق نهج حماية بيانات APP
تحدد APPs التطبيقات المسموح بها والإجراءات التي يمكنها اتخاذها مع بيانات مؤسستك. تمكن الخيارات المتوفرة في APP المؤسسات من تخصيص الحماية وفقا لاحتياجاتها المحددة. بالنسبة للبعض، قد لا يكون من الواضح إعدادات النهج المطلوبة لتنفيذ سيناريو كامل. لمساعدة المؤسسات على تحديد أولويات تصلب نقطة نهاية عميل الأجهزة المحمولة، قدمت Microsoft تصنيفا لإطار حماية بيانات APP الخاص بها لإدارة تطبيقات الأجهزة المحمولة التي تعمل بنظامي التشغيل iOS وAndroid.
يتم تنظيم إطار حماية بيانات APP في ثلاثة مستويات تكوين مميزة، مع بناء كل مستوى على المستوى السابق:
- المستوى 1: تضمن حماية البيانات الأساسية للمؤسسة حماية التطبيقات باستخدام رمز PIN وتشفيرها وتنفيذ عمليات مسح انتقائية. بالنسبة لأجهزة Android، يتحقق هذا المستوى من صحة إثبات جهاز Android. هذا تكوين مستوى إدخال يوفر تحكما مشابها لحماية البيانات في نهج علبة بريد Exchange Online ويقدم تكنولوجيا المعلومات ومحتوى المستخدم إلى APP.
- المستوى 2: تقدم حماية البيانات المحسنة للمؤسسات آليات منع تسرب بيانات التطبيق والحد الأدنى من متطلبات نظام التشغيل. هذا هو التكوين الذي ينطبق على معظم مستخدمي الأجهزة المحمولة الذين يصلون إلى بيانات العمل أو المؤسسة التعليمية.
- المستوى 3: توفر حماية البيانات العالية للمؤسسات آليات متقدمة لحماية البيانات وتكوين PIN محسنا وAPP Mobile Threat Defense. هذا التكوين مرغوب فيه للمستخدمين الذين يصلون إلى بيانات عالية المخاطر.
للاطلاع على التوصيات المحددة لكل مستوى تكوين والحد الأدنى للتطبيقات التي يجب حمايتها، راجع إطار حماية البيانات باستخدام نهج حماية التطبيقات.
باستخدام المبادئ الموضحة في تكوينات الهوية والوصول إلى الجهاز ثقة معدومة، يتم تعيين مستويات نقطة البدء وحماية المؤسسة بشكل وثيق مع إعدادات حماية البيانات المحسنة للمؤسسة من المستوى 2. يعين مستوى حماية الأمان المتخصصة بشكل وثيق لإعدادات حماية البيانات العالية للمؤسسة من المستوى 3.
| مستوى الحماية | نهج حماية التطبيق | معلومات إضافية |
|---|---|---|
| نقطة البداية | حماية البيانات المحسنة من المستوى 2 | تتضمن إعدادات النهج المفروضة في المستوى 2 جميع إعدادات النهج الموصى بها للمستوى 1 وتضيف فقط إلى إعدادات النهج أدناه أو تحدثها لتنفيذ المزيد من عناصر التحكم وتكوين أكثر تطورا من المستوى 1. |
| Enterprise | حماية البيانات المحسنة من المستوى 2 | تتضمن إعدادات النهج المفروضة في المستوى 2 جميع إعدادات النهج الموصى بها للمستوى 1 وتضيف فقط إلى إعدادات النهج أدناه أو تحدثها لتنفيذ المزيد من عناصر التحكم وتكوين أكثر تطورا من المستوى 1. |
| أمان متخصص | مستوى 3 حماية عالية من البيانات للمؤسسات | تتضمن إعدادات النهج المفروضة في المستوى 3 جميع إعدادات النهج الموصى بها للمستوى 1 و2 وإضافة إعدادات النهج أدناه أو تحديثها فقط لتنفيذ المزيد من عناصر التحكم وتكوين أكثر تطورا من المستوى 2. |
لإنشاء نهج حماية تطبيق جديد لكل نظام أساسي (iOS وAndroid) داخل إدارة نقاط النهاية من Microsoft باستخدام إعدادات إطار حماية البيانات، يمكنك:
- إنشاء النهج يدويا باتباع الخطوات الواردة في كيفية إنشاء نهج حماية التطبيقات ونشرها باستخدام Microsoft Intune.
- استيراد نموذج قوالب Intune App Protection Policy Configuration Framework JSON مع البرامج النصية PowerShell الخاصة ب Intune.
طلب التطبيقات المعتمدة وحماية التطبيقات
لفرض نهج حماية التطبيقات التي قمت بتطبيقها في Intune، يجب إنشاء نهج الوصول المشروط لطلب تطبيقات العميل المعتمدة والشروط المحددة في نهج حماية APP.
يتطلب فرض نهج حماية التطبيقات مجموعة من النهج الموضحة في "المطالبة بنهج حماية التطبيقات" للوصول إلى تطبيق السحابة باستخدام الوصول المشروط. يتم تضمين كل من هذه النهج في هذه المجموعة الموصى بها من نهج تكوين الهوية والوصول.
لإنشاء نهج الوصول المشروط الذي يتطلب التطبيقات المعتمدة وحماية التطبيقات، اتبع الخطوات الواردة في طلب تطبيقات العميل المعتمدة أو نهج حماية التطبيقات باستخدام الأجهزة المحمولة، والذي يسمح فقط للحسابات داخل تطبيقات الأجهزة المحمولة المحمية بنهج حماية التطبيقات بالوصول إلى نقاط النهاية Microsoft 365.
ملاحظة
يضمن هذا النهج إمكانية وصول مستخدمي الأجهزة المحمولة إلى جميع نقاط النهاية Microsoft 365 باستخدام التطبيقات القابلة للتطبيق.
يمنع هذا النهج أيضا عملاء Exchange ActiveSync على الأجهزة المحمولة من الاتصال Exchange Online. ومع ذلك، يمكنك إنشاء نهج منفصل لمعالجة Exchange ActiveSync عبر جميع الأجهزة. لمزيد من المعلومات، راجع عملاء Block ActiveSync، مما يمنع عملاء Exchange ActiveSync الاستفادة من المصادقة الأساسية من الاتصال Exchange Online. لم يتم تمثيل هذا النهج في الرسم التوضيحي الموجود أعلى هذه المقالة. يتم وصفها وتصورها في توصيات النهج لتأمين البريد الإلكتروني.
يستفيد هذا النهج من عناصر التحكم في المنح التي تتطلب تطبيق العميل المعتمد ونهج حماية التطبيق.
وأخيرا، يضمن حظر المصادقة القديمة لتطبيقات العميل الأخرى على أجهزة iOS وAndroid أن هؤلاء العملاء لا يمكنهم تجاوز نهج الوصول المشروط. إذا كنت تتبع الإرشادات الواردة في هذه المقالة، فقد قمت بالفعل بتكوين عملاء الحظر الذين لا يدعمون المصادقة الحديثة.
تحديد نهج توافق الجهاز
تحدد نهج توافق الأجهزة المتطلبات التي يجب أن تفي بها الأجهزة ليتم تحديدها على أنها متوافقة. يمكنك إنشاء نهج توافق جهاز Intune من داخل مركز إدارة إدارة نقاط النهاية من Microsoft.
يجب إنشاء نهج لكل نظام أساسي للكمبيوتر الشخصي أو الهاتف أو الكمبيوتر اللوحي:
- مسؤول جهاز Android
- Android Enterprise
- iOS/iPadOS
- ماك
- Windows 8.1 والإي وقت لاحق
- Windows 10 والإي وقت لاحق
لإنشاء نهج توافق الأجهزة، سجل الدخول إلى مركز إدارة إدارة نقاط النهاية من Microsoft باستخدام بيانات اعتماد المسؤول، ثم انتقل إلى نهج> توافق الأجهزة>. حدد إنشاء نهج.
لكي يتم نشر نهج توافق الجهاز، يجب تعيينها إلى مجموعات المستخدمين. يمكنك تعيين نهج بعد إنشائه وحفظه. في مركز الإدارة، حدد النهج ثم حدد الواجبات. بعد تحديد المجموعات التي تريد تلقي النهج، حدد "حفظ" لحفظ تعيين المجموعة هذا ونشر النهج.
للحصول على إرشادات مفصلة خطوة بخطوة حول إنشاء نهج التوافق في Intune، راجع إنشاء نهج توافق في Microsoft Intune في وثائق Intune.
الإعدادات الموصى بها لنظام التشغيل iOS
يدعم iOS/iPadOS العديد من سيناريوهات التسجيل، اثنان منها مشمولان كجزء من إطار العمل هذا:
- تسجيل الجهاز للأجهزة المملوكة شخصيا - هذه الأجهزة مملوكة شخصيا وتستخدم للاستخدام الشخصي والعمل على حد سواء.
- تسجيل الأجهزة المؤتمتة الخاضعة للإشراف للأجهزة المملوكة للشركة - هذه الأجهزة مملوكة للشركات، ومقترنة بمستخدم واحد، وتستخدم حصريا للعمل وليس للاستخدام الشخصي.
يتم تنظيم إطار تكوين أمان iOS/iPadOS في العديد من سيناريوهات التكوين المميزة، مما يوفر إرشادات للأجهزة المملوكة شخصيا والمشرف عليها.
للأجهزة المملوكة شخصيا:
- الأمان الأساسي (المستوى 1) – توصي Microsoft بهذا التكوين كأدنى تكوين أمان للأجهزة الشخصية حيث يصل المستخدمون إلى بيانات العمل أو المؤسسة التعليمية. يتم ذلك عن طريق فرض نهج كلمة المرور، وخصائص تأمين الجهاز، وتعطيل وظائف جهاز معينة (على سبيل المثال، الشهادات غير الموثوق بها).
- الأمان المحسن (المستوى 2) – توصي Microsoft بهذا التكوين للأجهزة التي يصل فيها المستخدمون إلى المعلومات الحساسة أو السرية. يسن هذا التكوين عناصر التحكم في مشاركة البيانات. ينطبق هذا التكوين على معظم مستخدمي الأجهزة المحمولة الذين يصلون إلى بيانات العمل أو المؤسسة التعليمية على جهاز.
- أمان عال (المستوى 3) – توصي Microsoft بهذا التكوين للأجهزة التي يستخدمها مستخدمون محددون أو مجموعات ذات مخاطر عالية بشكل فريد (المستخدمون الذين يتعاملون مع البيانات شديدة الحساسية حيث يتسبب الكشف غير المصرح به في خسارة مادية كبيرة للمؤسسة). يسن هذا التكوين نهج كلمة مرور أقوى، ويعطل وظائف جهاز معينة، ويفرض قيودا إضافية على نقل البيانات.
للأجهزة الخاضعة للإشراف:
- الأمان الأساسي (المستوى 1) – توصي Microsoft بهذا التكوين كأدنى تكوين أمان للأجهزة الخاضعة للإشراف حيث يصل المستخدمون إلى بيانات العمل أو المؤسسة التعليمية. يتم ذلك عن طريق فرض نهج كلمة المرور، وخصائص تأمين الجهاز، وتعطيل وظائف جهاز معينة (على سبيل المثال، الشهادات غير الموثوق بها).
- الأمان المحسن (المستوى 2) – توصي Microsoft بهذا التكوين للأجهزة التي يصل فيها المستخدمون إلى المعلومات الحساسة أو السرية. يسن هذا التكوين عناصر التحكم في مشاركة البيانات ويحظر الوصول إلى أجهزة USB. ينطبق هذا التكوين على معظم مستخدمي الأجهزة المحمولة الذين يصلون إلى بيانات العمل أو المؤسسة التعليمية على جهاز.
- أمان عال (المستوى 3) – توصي Microsoft بهذا التكوين للأجهزة التي يستخدمها مستخدمون محددون أو مجموعات ذات مخاطر عالية بشكل فريد (المستخدمون الذين يتعاملون مع البيانات شديدة الحساسية حيث يتسبب الكشف غير المصرح به في خسارة مادية كبيرة للمؤسسة). يسن هذا التكوين نهج كلمات مرور أقوى، ويعطل وظائف جهاز معينة، ويفرض قيودا إضافية على نقل البيانات، ويتطلب تثبيت التطبيقات من خلال برنامج الشراء المجمع من Apple.
باستخدام المبادئ الموضحة في تكوينات الهوية والوصول إلى الجهاز ثقة معدومة، يتم تعيين مستويات نقطة البدء وحماية المؤسسة بشكل وثيق مع إعدادات الأمان المحسنة من المستوى 2. يعين مستوى حماية الأمان المتخصصة بشكل وثيق لإعدادات الأمان العالية من المستوى 3.
| مستوى الحماية | نهج الجهاز | معلومات إضافية |
|---|---|---|
| نقطة البداية | أمان محسن (المستوى 2) | تتضمن إعدادات النهج المفروضة في المستوى 2 جميع إعدادات النهج الموصى بها للمستوى 1 وتضيف فقط إلى إعدادات النهج أدناه أو تحدثها لتنفيذ المزيد من عناصر التحكم وتكوين أكثر تطورا من المستوى 1. |
| Enterprise | أمان محسن (المستوى 2) | تتضمن إعدادات النهج المفروضة في المستوى 2 جميع إعدادات النهج الموصى بها للمستوى 1 وتضيف فقط إلى إعدادات النهج أدناه أو تحدثها لتنفيذ المزيد من عناصر التحكم وتكوين أكثر تطورا من المستوى 1. |
| أمان متخصص | أمان عال (المستوى 3) | تتضمن إعدادات النهج المفروضة في المستوى 3 جميع إعدادات النهج الموصى بها للمستوى 1 و2 وإضافة إعدادات النهج أدناه أو تحديثها فقط لتنفيذ المزيد من عناصر التحكم وتكوين أكثر تطورا من المستوى 2. |
للاطلاع على توصيات معينة للامتثال للجهاز وتقييد الجهاز لكل مستوى تكوين، راجع إطار تكوين أمان iOS/iPadOS.
الإعدادات الموصى بها لنظام التشغيل Android
يدعم Android Enterprise العديد من سيناريوهات التسجيل، اثنان منها مشمولان كجزء من إطار العمل هذا:
- ملف تعريف عمل Android Enterprise – يستخدم نموذج التسجيل هذا عادة للأجهزة المملوكة شخصيا، حيث تريد تكنولوجيا المعلومات توفير حد فصل واضح بين بيانات العمل والبيانات الشخصية. تضمن النهج التي تتحكم فيها تكنولوجيا المعلومات عدم إمكانية نقل بيانات العمل إلى ملف التعريف الشخصي.
- الأجهزة المدارة بالكامل في Android Enterprise – هذه الأجهزة مملوكة للشركات، ومقترنة بمستخدم واحد، وتستخدم حصريا للعمل وليس للاستخدام الشخصي.
يتم تنظيم إطار عمل تكوين أمان Android Enterprise في العديد من سيناريوهات التكوين المميزة، ما يوفر إرشادات لملف تعريف العمل والسيناريوهات المدارة بالكامل.
بالنسبة إلى أجهزة ملفات تعريف عمل Android Enterprise:
- الأمان المحسن لملف تعريف العمل (المستوى 2) – توصي Microsoft بهذا التكوين كأدنى تكوين أمان للأجهزة الشخصية حيث يصل المستخدمون إلى بيانات العمل أو المؤسسة التعليمية. يقدم هذا التكوين متطلبات كلمة المرور، ويفصل بين بيانات العمل والبيانات الشخصية، ويتحقق من صحة إثبات جهاز Android.
- الأمان العالي لملف تعريف العمل (المستوى 3) – توصي Microsoft بهذا التكوين للأجهزة التي يستخدمها مستخدمون محددون أو مجموعات ذات مخاطر عالية بشكل فريد (المستخدمون الذين يتعاملون مع البيانات شديدة الحساسية حيث يتسبب الكشف غير المصرح به في خسارة مادية كبيرة للمؤسسة). يقدم هذا التكوين الدفاع عن تهديدات الأجهزة المحمولة أو Microsoft Defender لنقطة النهاية، ويحدد الحد الأدنى من إصدار Android، ويسن نهج كلمة مرور أقوى، ويقيد العمل والفصل الشخصي بشكل أكبر.
للأجهزة المدارة بالكامل ل Android Enterprise:
- الأمان الأساسي المدار بالكامل (المستوى 1) – توصي Microsoft بهذا التكوين كأدنى تكوين أمان لجهاز مؤسسة. ينطبق هذا التكوين على معظم مستخدمي الأجهزة المحمولة الذين يصلون إلى بيانات العمل أو المؤسسة التعليمية. يقدم هذا التكوين متطلبات كلمة المرور، ويحدد الحد الأدنى لإصدار Android، ويسن قيود معينة على الجهاز.
- الأمان المحسن المدار بالكامل (المستوى 2) – توصي Microsoft بهذا التكوين للأجهزة التي يصل فيها المستخدمون إلى المعلومات الحساسة أو السرية. يسن هذا التكوين نهج كلمة مرور أقوى ويعطل قدرات المستخدم/الحساب.
- الأمان العالي المدار بالكامل (المستوى 3) - توصي Microsoft بهذا التكوين للأجهزة التي يستخدمها مستخدمون محددون أو مجموعات ذات مخاطر عالية بشكل فريد (المستخدمون الذين يتعاملون مع البيانات شديدة الحساسية حيث يتسبب الكشف غير المصرح به في خسارة مادية كبيرة للمؤسسة). يزيد هذا التكوين من الحد الأدنى لإصدار Android، ويقدم الدفاع عن تهديدات الأجهزة المحمولة أو Microsoft Defender لنقطة النهاية، ويفرض قيودا إضافية على الجهاز.
باستخدام المبادئ الموضحة في تكوينات الهوية والوصول إلى الأجهزة ثقة معدومة، يتم تعيين مستويات نقطة البدء وحماية المؤسسة بشكل وثيق مع الأمان الأساسي من المستوى 1 للأجهزة المملوكة شخصيا وإعدادات الأمان المحسنة من المستوى 2 للأجهزة المدارة بالكامل. يعين مستوى حماية الأمان المتخصصة بشكل وثيق لإعدادات الأمان العالية من المستوى 3.
بالنسبة إلى أجهزة ملفات تعريف عمل Android Enterprise:
| مستوى الحماية | نهج الجهاز | معلومات إضافية |
|---|---|---|
| نقطة البداية | ملف تعريف العمل: الأمان الأساسي (المستوى 1) | N/A |
| Enterprise | ملف تعريف العمل: الأمان الأساسي (المستوى 1) | N/A |
| نقطة البداية | مدار بالكامل: أمان محسن (المستوى 2) | تتضمن إعدادات النهج المفروضة في المستوى 2 جميع إعدادات النهج الموصى بها للمستوى 1 وتضيف فقط إلى إعدادات النهج أدناه أو تحدثها لتنفيذ المزيد من عناصر التحكم وتكوين أكثر تطورا من المستوى 1. |
| Enterprise | مدار بالكامل: أمان محسن (المستوى 2) | تتضمن إعدادات النهج المفروضة في المستوى 2 جميع إعدادات النهج الموصى بها للمستوى 1 وتضيف فقط إلى إعدادات النهج أدناه أو تحدثها لتنفيذ المزيد من عناصر التحكم وتكوين أكثر تطورا من المستوى 1. |
| أمان متخصص | أمان عال (المستوى 3) | تتضمن إعدادات النهج المفروضة في المستوى 3 جميع إعدادات النهج الموصى بها للمستوى 1 و2 وإضافة إعدادات النهج أدناه أو تحديثها فقط لتنفيذ المزيد من عناصر التحكم وتكوين أكثر تطورا من المستوى 2. |
للاطلاع على توصيات معينة للامتثال للجهاز وتقييد الجهاز لكل مستوى تكوين، راجع إطار تكوين أمان Android Enterprise.
الإعدادات المستحسنة Windows 10 والإصدارات الأحدث
يوصى بالإعدادات التالية لأجهزة الكمبيوتر التي تعمل Windows 10 والإصدارات الأحدث، كما تم تكوينها في الخطوة 2: إعدادات التوافق، لعملية إنشاء النهج.
للحصول على قواعد تقييم خدمة إثبات صحة الجهاز > Windows، راجع هذا الجدول.
| خصائص | قيمه | العمل |
|---|---|---|
| طلب BitLocker | تتطلب | حدد |
| المطالبة بتمكين "التمهيد الآمن" على الجهاز | تتطلب | حدد |
| طلب تكامل التعليمات البرمجية | تتطلب | حدد |
بالنسبة لخصائص الجهاز، حدد القيم المناسبة لإصدارات نظام التشغيل استنادا إلى نهج تكنولوجيا المعلومات والأمان.
للتوافق Configuration Manager، حدد "طلب".
للحصول على أمان النظام، راجع هذا الجدول.
| نوع | خصائص | قيمه | العمل |
|---|---|---|---|
| كلمه المرور | طلب كلمة مرور لإلغاء تأمين الأجهزة المحمولة | تتطلب | حدد |
| كلمات مرور بسيطة | حظر | حدد | |
| نوع كلمة المرور | الجهاز الافتراضي | حدد | |
| الحد الأدنى لطول كلمة المرور | 6 | نوع | |
| الحد الأقصى لدقائق عدم النشاط قبل أن تكون كلمة المرور مطلوبة | 15 | نوع هذا الإعداد مدعوم لإصدارات Android 4.0 والإصدارات الأحدث أو KNOX 4.0 وما فوق. بالنسبة إلى أجهزة iOS، فهي مدعومة لنظام التشغيل iOS 8.0 وما فوق. |
|
| انتهاء صلاحية كلمة المرور (أيام) | 41 | نوع | |
| عدد كلمات المرور السابقة لمنع إعادة الاستخدام | 5 | نوع | |
| طلب كلمة المرور عند رجوع الجهاز من حالة الخمول (الجوال والهولوغرافي) | تتطلب | متوفر Windows 10 والإصدارات الأحدث | |
| التشفير | تشفير تخزين البيانات على الجهاز | تتطلب | حدد |
| أمان الجهاز | جدار حمايه | تتطلب | حدد |
| مكافحه الفيروسات | تتطلب | حدد | |
| مكافحه التجسس | تتطلب | حدد يتطلب هذا الإعداد حلا لمكافحة برامج التجسس مسجلا في تطبيق أمن Windows. |
|
| Defender for Cloud | Microsoft Defender Antimalware | تتطلب | حدد |
| الحد الأدنى لإصدار مكافحة البرامج الضارة من Microsoft Defender | نوع معتمد فقط لسطح المكتب Windows 10. توصي Microsoft بإصدارات لا تزيد عن خمسة إصدارات متأخرة عن الإصدار الأحدث. |
||
| توقيع Microsoft Defender Antimalware محدث | تتطلب | حدد | |
| الحماية في الوقت الحقيقي | تتطلب | حدد معتمد فقط لسطح المكتب Windows 10 والإصدارات الأحدث |
Microsoft Defender for Endpoint
| نوع | خصائص | قيمه | العمل |
|---|---|---|---|
| قواعد Microsoft Defender لنقطة النهاية في مركز إدارة إدارة نقاط النهاية من Microsoft | مطالبة الجهاز أن يكون في درجة مخاطر الجهاز أو تحتها | المتوسطه | حدد |
طلب أجهزة كمبيوتر وأجهزة محمولة متوافقة
لطلب التوافق لجميع الأجهزة:
انتقل إلى مدخل Azure، وسجل الدخول باستخدام بيانات الاعتماد الخاصة بك.
في قائمة خدمات Azure، اختر Azure Active Directory.
في القائمة "إدارة "، اختر "الأمان"، ثم اختر "الوصول المشروط".
اختر نهج جديد واكتب اسم النهج الجديد.
ضمن "الواجبات"، اختر "المستخدمين" و"المجموعات " وقم بتضمين الأشخاص الذين تريد تطبيق النهج عليهم. قم أيضا باستبعاد مجموعة استبعاد الوصول المشروط.
ضمن "الواجبات"، اختر تطبيقات أو إجراءات السحابة.
للتضمين، اختر "تحديد التطبيقات" > "تحديد"، ثم حدد التطبيقات المطلوبة من قائمة تطبيقات السحابة. على سبيل المثال، حدد Office 365. اختر "تحديد" عند الانتهاء.
ضمن عناصر تحكم Access، اختر "منح ".
اختر منح حق الوصول ثم تحقق من طلب وضع علامة على الجهاز كمتوافق. بالنسبة لعناصر التحكم المتعددة، حدد "المطالبة بكافة عناصر التحكم المحددة". عند الاكتمال، اختر "تحديد".
حدد "تشغيل " للنهج "تمكين"، ثم اختر "إنشاء".
ملاحظة
تأكد من أن جهازك متوافق قبل تمكين هذا النهج. وإلا، فقد يتم تأمينك ولن تتمكن من تغيير هذا النهج حتى تتم إضافة حساب المستخدم الخاص بك إلى مجموعة استبعاد الوصول المشروط.
الخطوة التالية
الملاحظات
إرسال الملاحظات وعرضها المتعلقة بـ