ثقة معدومة تكوينات الهوية والوصول إلى الجهاز

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

لم تعد بنيات الأمان التي تعتمد على جدران حماية الشبكة والشبكات الخاصة الظاهرية (VPN) لعزل وتقييد الوصول إلى موارد وخدمات التكنولوجيا في المؤسسة كافية بالنسبة إلى القوى العاملة التي تتطلب بشكل منتظم الوصول إلى التطبيقات والموارد الموجودة خارج حدود شبكة الشركة التقليدية.

لمعالجة هذا العالم الجديد من الحوسبة، توصي Microsoft بشدة بنموذج الأمان ثقة معدومة، الذي يستند إلى هذه المبادئ التوجيهية:

• التحقق بشكل صريح

  المصادقة والتخويل دائما استنادا إلى جميع نقاط البيانات المتوفرة. هذا هو المكان الذي يكون فيه ثقة معدومة نهج الوصول إلى الهوية والجهاز أمرا بالغ الأهمية لتسجيل الدخول والتحقق المستمر.

• استخدام الوصول الأقل امتيازا

  الحد من وصول المستخدم باستخدام Just-In-Time و Just-Enough-Access (JIT/JEA)، والسياسات التكيفية المستندة إلى المخاطر، وحماية البيانات.

• افتراض الخرق

  تقليل نصف قطر التفجير والوصول إلى المقطع. تحقق من التشفير الشامل واستخدم التحليلات للحصول على الرؤية، ودفع الكشف عن التهديدات، وتحسين الدفاعات.

فيما يلي البنية العامة ثقة معدومة.

تعالج ثقة معدومة نهج الوصول إلى الهوية والجهاز المبدأ التوجيهي للتحقق بشكل صريح من أجل:

• الهويات

  عندما تحاول الهوية الوصول إلى مورد، تحقق من أن الهوية بمصادقة قوية وتأكد من أن الوصول المطلوب متوافق ونموذجي.

• الأجهزة (تسمى أيضا نقاط النهاية)

  مراقبة متطلبات سلامة الجهاز وتوافقه وفرضها للوصول الآمن.

• التطبيقات

  تطبيق عناصر التحكم والتقنيات لاكتشاف تكنولوجيا المعلومات الظلية، وضمان الأذونات المناسبة داخل التطبيق، والوصول إلى البوابة استنادا إلى التحليلات في الوقت الحقيقي، ومراقبة السلوك غير الطبيعي، والتحكم في إجراءات المستخدم، والتحقق من صحة خيارات التكوين الآمنة.

تصف هذه السلسلة من المقالات مجموعة من تكوينات المتطلبات الأساسية للوصول إلى الهوية والجهاز ومجموعة من الوصول المشروط ل Azure Active Directory (Azure AD) Microsoft Intune والنهج الأخرى للوصول ثقة معدومة إلى Microsoft 365 لتطبيقات وخدمات سحابة المؤسسة وخدمات SaaS الأخرى والتطبيقات المحلية المنشورة باستخدام Azure AD Application Proxy.

يوصى ثقة معدومة إعدادات الوصول إلى الهوية والجهاز وسياساته في ثلاثة مستويات: نقطة البداية والمؤسسة والأمان المتخصص للبيئات ذات البيانات المنظمة للغاية أو المصنفة. توفر هذه المستويات وتكويناتها المقابلة مستويات متسقة من الحماية ثقة معدومة عبر بياناتك وهوياتك وأجهزتك.

هذه القدرات وتوصياتها:

• معتمدة في Microsoft 365 E3 Microsoft 365 E5.
• تتم محاذاتها مع نقاط Microsoft الآمنة بالإضافة إلى درجة الهوية في Azure AD، وستزيد هذه الدرجات لمؤسستك.
• سيساعدك على تنفيذ هذه الخطوات الخمس لتأمين البنية الأساسية لهويتك.

إذا كانت مؤسستك لديها متطلبات بيئة فريدة أو تعقيدات، فاستخدم هذه التوصيات كنقطة بداية. ومع ذلك، يمكن لمعظم المؤسسات تنفيذ هذه التوصيات كما هو محدد.

شاهد هذا الفيديو للحصول على نظرة عامة سريعة حول تكوينات الهوية والوصول إلى الجهاز Microsoft 365 للمؤسسة.

ملاحظة

تبيع Microsoft أيضا تراخيص Enterprise Mobility + Security (EMS) لاشتراكات Office 365. تعد قدرات EMS E3 و EMS E5 مكافئة لتلك الموجودة في Microsoft 365 E3 Microsoft 365 E5. راجع خطط EMS للحصول على التفاصيل.

الجماعة المستهدفة المقصودة

هذه التوصيات مخصصة لمهندسي المؤسسات ومحترفي تكنولوجيا المعلومات الذين على دراية Microsoft 365 الإنتاجية السحابية وخدمات الأمان، والتي تتضمن Azure AD (الهوية) Microsoft Intune (إدارة الأجهزة) وMicrosoft Purview حماية البيانات (حماية البيانات).

بيئة العملاء

تنطبق النهج الموصى بها على مؤسسات المؤسسات التي تعمل بالكامل داخل سحابة Microsoft وللزبائن الذين يعانون من البنية الأساسية للهوية المختلطة، وهي غابة Active Directory محلي Domain Services (AD DS) التي تتم مزامنتها مع مستأجر Azure AD.

تعتمد العديد من التوصيات المقدمة على الخدمات المتوفرة فقط مع Microsoft 365 E5، Microsoft 365 E3 مع تراخيص E5 Security الإضافية أو EMS E5 أو Azure AD Premium P2.

بالنسبة إلى المؤسسات التي ليس لديها هذه التراخيص، توصي Microsoft بتنفيذ إعدادات الأمان الافتراضية على الأقل، والتي يتم تضمينها مع جميع خطط Microsoft 365.

المحاذير

قد تخضع مؤسستك لمتطلبات الامتثال التنظيمية أو متطلبات الامتثال الأخرى، بما في ذلك توصيات محددة قد تتطلب منك تطبيق نهج تتباعد عن هذه التكوينات الموصى بها. توصي هذه التكوينات بعناصر تحكم الاستخدام التي لم تكن متوفرة تاريخيا. نوصي بهذه الضوابط لأننا نعتقد أنها تمثل توازنا بين الأمان والإنتاجية.

لقد فعلنا قصارى جهدنا لمراعاة مجموعة واسعة من متطلبات الحماية التنظيمية، ولكن لا يمكننا حساب جميع المتطلبات الممكنة أو لجميع الجوانب الفريدة لمؤسستك.

ثلاثة مستويات من الحماية

لدى معظم المؤسسات متطلبات محددة فيما يتعلق بالأمان وحماية البيانات. تختلف هذه المتطلبات حسب قطاع الصناعة ووظائف الوظائف داخل المؤسسات. على سبيل المثال، قد يتطلب القسم القانوني والمسؤولين لديك عناصر تحكم إضافية في الأمان وحماية المعلومات حول مراسلات البريد الإلكتروني الخاصة بهم غير المطلوبة لوحدات العمل الأخرى.

ولكل صناعة أيضا مجموعة خاصة بها من اللوائح المتخصصة. بدلا من توفير قائمة بجميع خيارات الأمان الممكنة أو توصية لكل قطاع في الصناعة أو وظيفة وظيفية، تم تقديم توصيات لثلاثة مستويات مختلفة من الأمان والحماية التي يمكن تطبيقها بناء على نقاوة احتياجاتك.

• نقطة البداية: نوصي جميع العملاء بإنشاء معيار أدنى واستخدامه لحماية البيانات، بالإضافة إلى الهويات والأجهزة التي تصل إلى بياناتك. يمكنك اتباع هذه التوصيات لتوفير حماية افتراضية قوية كنقطة بداية لجميع المؤسسات.
• المؤسسة: لدى بعض العملاء مجموعة فرعية من البيانات التي يجب حمايتها على مستويات أعلى، أو قد يحتاجون إلى حماية جميع البيانات على مستوى أعلى. يمكنك تطبيق حماية متزايدة على كافة مجموعات البيانات أو مجموعات بيانات محددة في بيئة Microsoft 365 الخاصة بك. نوصي بحماية الهويات والأجهزة التي تصل إلى البيانات الحساسة بمستويات مماثلة من الأمان.
• أمان متخصص: حسب الحاجة، لدى عدد قليل من العملاء كمية صغيرة من البيانات المصنفة للغاية، أو التي تشكل أسرارا تجارية، أو منظمة. توفر Microsoft إمكانات لمساعدة هؤلاء العملاء على تلبية هذه المتطلبات، بما في ذلك الحماية الإضافية للهويات والأجهزة.

يوضح لك هذا الإرشاد كيفية تنفيذ حماية ثقة معدومة للهويات والأجهزة لكل مستوى من مستويات الحماية هذه. استخدم هذه الإرشادات كحد أدنى لمؤسستك واضبط النهج لتلبية المتطلبات المحددة لمؤسستك.

من المهم استخدام مستويات متسقة من الحماية عبر هوياتك وأجهزتك وبياناتك. على سبيل المثال، تتضمن الحماية للمستخدمين الذين لديهم حسابات— ذات أولوية مثل المديرين التنفيذيين والقادة والمديرين وغيرهم— نفس مستوى الحماية لهوياتهم وأجهزتهم والبيانات التي يصلون إليها.

بالإضافة إلى ذلك، راجع حل نشر حماية المعلومات للوائح خصوصية البيانات لحماية المعلومات المخزنة في Microsoft 365.

مقايضات الأمان والإنتاجية

يتطلب تنفيذ أي استراتيجية أمنية مقايضات بين الأمان والإنتاجية. من المفيد تقييم كيفية تأثير كل قرار على توازن الأمان والوظائف وسهولة الاستخدام.

تستند التوصيات المقدمة إلى المبادئ التالية:

• تعرف على المستخدمين وكن مرنا وفقا لمتطلبات الأمان والوظائف الخاصة بهم.
• تطبيق نهج أمان في الوقت المناسب والتأكد من أنه ذو مغزى.

الخدمات والمفاهيم الخاصة بالهوية ثقة معدومة وحماية الوصول إلى الجهاز

تم تصميم Microsoft 365 للمؤسسات للمؤسسات الكبيرة لتمكين الجميع من أن يكونوا مبدعين ويعملوا معا بشكل آمن.

يقدم هذا القسم نظرة عامة على Microsoft 365 الخدمات والقدرات المهمة ثقة معدومة الهوية والوصول إلى الجهاز.

Azure AD

يوفر Azure AD مجموعة كاملة من قدرات إدارة الهوية. نوصي باستخدام هذه القدرات لتأمين الوصول.

القدرة أو الميزة	الوصف	الترخيص
المصادقة متعددة العوامل (MFA)	تتطلب المصادقة متعددة العوامل من المستخدمين توفير نموذجين للتحقق، مثل كلمة مرور المستخدم بالإضافة إلى إعلام من تطبيق Microsoft Authenticator أو مكالمة هاتفية. تقلل المصادقة متعددة العوامل إلى حد كبير من مخاطر إمكانية استخدام بيانات الاعتماد المسروقة للوصول إلى بيئتك. يستخدم Microsoft 365 خدمة Azure AD Multi-Factor Authentication لتسجيل الدخول المستند إلى MFA.	Microsoft 365 E3 أو E5
الوصول المشروط	يقيم Azure AD شروط تسجيل دخول المستخدم ويستخدم نهج الوصول المشروط لتحديد الوصول المسموح به. على سبيل المثال، في هذه الإرشادات، نوضح لك كيفية إنشاء نهج وصول مشروط لطلب توافق الجهاز للوصول إلى البيانات الحساسة. وهذا يقلل إلى حد كبير من خطر أن يتمكن المتسلل الذي لديه جهازه الخاص وبيانات الاعتماد المسروقة من الوصول إلى بياناتك الحساسة. كما أنه يحمي البيانات الحساسة على الأجهزة، لأن الأجهزة يجب أن تفي بمتطلبات محددة من أجل الصحة والأمان.	Microsoft 365 E3 أو E5
مجموعات Azure AD	تعتمد نهج الوصول المشروط وإدارة الأجهزة باستخدام Intune وحتى الأذونات إلى الملفات والمواقع في مؤسستك على التعيين إلى حسابات المستخدمين أو مجموعات Azure AD. نوصي بإنشاء مجموعات Azure AD التي تتوافق مع مستويات الحماية التي تنفذها. على سبيل المثال، من المحتمل أن يكون موظفوك التنفيذيون أهدافا ذات قيمة أعلى للمتسللين. لذلك، من المنطقي إضافة حسابات المستخدمين لهؤلاء الموظفين إلى مجموعة Azure AD وتعيين هذه المجموعة إلى نهج الوصول المشروط والنهج الأخرى التي تفرض مستوى أعلى من الحماية للوصول.	Microsoft 365 E3 أو E5
تسجيل الجهاز	يمكنك تسجيل جهاز في Azure AD لإنشاء هوية للجهاز. يتم استخدام هذه الهوية لمصادقة الجهاز عند تسجيل دخول المستخدم وتطبيق نهج الوصول المشروط التي تتطلب أجهزة كمبيوتر مرتبطة بالمجال أو متوافقة. للحصول على هذه الإرشادات، نستخدم تسجيل الجهاز لتسجيل أجهزة الكمبيوتر Windows المنضمة إلى المجال تلقائيا. تسجيل الجهاز هو شرط أساسي لإدارة الأجهزة باستخدام Intune.	Microsoft 365 E3 أو E5
حماية الهوية في Azure AD	يمكنك من اكتشاف الثغرات الأمنية المحتملة التي تؤثر على هويات مؤسستك وتكوين نهج المعالجة التلقائي إلى مخاطر تسجيل الدخول المنخفضة والمتوسطة وعالية ومخاطر المستخدم. تعتمد هذه الإرشادات على تقييم المخاطر هذا لتطبيق نهج الوصول المشروط للمصادقة متعددة العوامل. تتضمن هذه الإرشادات أيضا نهج الوصول المشروط الذي يتطلب من المستخدمين تغيير كلمة المرور الخاصة بهم إذا تم الكشف عن نشاط عالي المخاطر لحسابهم.	Microsoft 365 E5 أو Microsoft 365 E3 باستخدام وظائف E5 Security الإضافية أو EMS E5 أو تراخيص Azure AD Premium P2
الخدمة الذاتية لإعادة تعيين كلمة المرور(SSPR)	اسمح للمستخدمين بإعادة تعيين كلمات المرور الخاصة بهم بشكل آمن ودون تدخل مكتب المساعدة، من خلال توفير التحقق من أساليب المصادقة المتعددة التي يمكن للمسؤول التحكم بها.	Microsoft 365 E3 أو E5
حماية كلمة مرور Azure AD	الكشف عن كلمات المرور الضعيفة المعروفة ومتغيراتها ومصطلحات ضعيفة إضافية خاصة بمؤسستك وحظرها. يتم تطبيق قوائم كلمات المرور المحظورة العمومية الافتراضية تلقائيا على جميع المستخدمين في مستأجر Azure AD. يمكنك تحديد إدخالات إضافية في قائمة كلمات مرور محظورة مخصصة. عندما يغير المستخدمون كلمات المرور الخاصة بهم أو يعيدون تعيينها، يتم التحقق من قوائم كلمات المرور المحظورة هذه لفرض استخدام كلمات مرور قوية.	Microsoft 365 E3 أو E5

فيما يلي مكونات الهوية ثقة معدومة والوصول إلى الجهاز، بما في ذلك كائنات Intune وAzure AD والإعدادات والخدمات الفرعية.

Microsoft Intune

Intune هي خدمة إدارة الأجهزة المحمولة المستندة إلى السحابة من Microsoft. توصي هذه الإرشادات بإدارة الأجهزة لأجهزة Windows مع Intune وتوصي بتكوينات نهج توافق الجهاز. يحدد Intune ما إذا كانت الأجهزة متوافقة ويرسل هذه البيانات إلى Azure AD لاستخدامها عند تطبيق نهج الوصول المشروط.

حماية تطبيق Intune

يمكن استخدام نهج حماية تطبيق Intune لحماية بيانات مؤسستك في تطبيقات الأجهزة المحمولة، مع أو بدون تسجيل الأجهزة في الإدارة. يساعد Intune على حماية المعلومات، والتأكد من أن موظفيك لا يزالون منتجين، ومنع فقدان البيانات. من خلال تنفيذ نهج على مستوى التطبيق، يمكنك تقييد الوصول إلى موارد الشركة والاحتفاظ بالبيانات ضمن سيطرة قسم تكنولوجيا المعلومات.

توضح لك هذه الإرشادات كيفية إنشاء نهج موصى بها لفرض استخدام التطبيقات المعتمدة وتحديد كيفية استخدام هذه التطبيقات مع بيانات عملك.

Microsoft 365

توضح لك هذه الإرشادات كيفية تنفيذ مجموعة من النهج لحماية الوصول إلى خدمات السحابة Microsoft 365، بما في ذلك Microsoft Teams Exchange SharePoint OneDrive. بالإضافة إلى تنفيذ هذه النهج، نوصي أيضا برفع مستوى الحماية للمستأجر باستخدام هذه الموارد:

• تكوين المستأجر لزيادة الأمان

  التوصيات التي تنطبق على أمان نقطة البداية للمستأجر الخاص بك.

• مخطط الأمان: أهم الأولويات لأول 30 يوما و90 يوما وما بعدها

  التوصيات التي تتضمن التسجيل وإدارة البيانات ووصول المسؤول والحماية من التهديدات.

Windows 11 أو Windows 10 باستخدام Microsoft 365 Apps for enterprise

Windows 11 أو Windows 10 باستخدام Microsoft 365 Apps for enterprise هي بيئة العميل الموصى بها لأجهزة الكمبيوتر الشخصية. نوصي Windows 11 أو Windows 10 لأن Azure مصمم لتوفير تجربة أكثر سلاسة ممكنة لكل من المحلي وAzure AD. يتضمن Windows 11 أو Windows 10 أيضا قدرات أمان متقدمة يمكن إدارتها من خلال Intune. تتضمن Microsoft 365 Apps for enterprise أحدث إصدارات تطبيقات Office. وهي تستخدم المصادقة الحديثة، وهي أكثر أمانا ومتطلبا للوصول المشروط. تتضمن هذه التطبيقات أيضا أدوات الامتثال والأمان المحسنة.

تطبيق هذه القدرات عبر المستويات الثلاثة للحماية

يلخص الجدول التالي توصياتنا لاستخدام هذه القدرات عبر المستويات الثلاثة من الحماية.

آلية الحماية	نقطة البداية	Enterprise	أمان متخصص
فرض المصادقة متعددة العوامل	في خطر تسجيل الدخول المتوسط أو الأعلى	في خطر تسجيل الدخول المنخفض أو الأعلى	في كل جلسات العمل الجديدة
فرض تغيير كلمة المرور	للمستخدمين المعرضين لمخاطر عالية	للمستخدمين المعرضين لمخاطر عالية	للمستخدمين المعرضين لمخاطر عالية
فرض حماية تطبيق Intune	نعم	نعم	نعم
فرض تسجيل Intune للجهاز المملوك للمؤسسة	يتطلب جهاز كمبيوتر متوافقا أو منضما إلى المجال، ولكن السماح بالهواتف وأجهزة الكمبيوتر اللوحية الخاصة بك (BYOD)	طلب جهاز متوافق أو منضم إلى المجال	طلب جهاز متوافق أو منضم إلى المجال

ملكية الجهاز

يعكس الجدول أعلاه اتجاه العديد من المؤسسات لدعم مزيج من الأجهزة المملوكة للمؤسسة، بالإضافة إلى الأجهزة الشخصية أو BYOD لتمكين إنتاجية الأجهزة المحمولة عبر القوى العاملة. تضمن نهج حماية تطبيقات Intune حماية البريد الإلكتروني من النقل غير المصرح به لتطبيق الأجهزة المحمولة Outlook وتطبيقات الأجهزة المحمولة Office الأخرى، على كل من الأجهزة المملوكة للمؤسسة و BYODs.

نوصي بإدارة الأجهزة المملوكة للمؤسسة بواسطة Intune أو المنضمة إلى المجال لتطبيق حماية وتحكم إضافيين. اعتمادا على حساسية البيانات، قد تختار مؤسستك عدم السماح ب BYODs لمحتوى مستخدمين محددين أو تطبيقات معينة.

النشر وتطبيقاتك

قبل تكوين ثقة معدومة وتكوين الوصول إلى الجهاز وتطبيقات Azure AD المتكاملة، يجب عليك:

• حدد التطبيقات المستخدمة في مؤسستك التي تريد حمايتها.

• تحليل قائمة التطبيقات هذه لتحديد مجموعات النهج التي توفر مستويات مناسبة من الحماية.

  يجب عدم إنشاء مجموعات منفصلة من النهج لكل تطبيق لأن إدارتها يمكن أن تصبح مرهقة. توصي Microsoft بتجميع تطبيقاتك التي لها نفس متطلبات الحماية لنفس المستخدمين.

  على سبيل المثال، يمكن أن يكون لديك مجموعة واحدة من النهج التي تتضمن جميع تطبيقات Microsoft 365 لجميع المستخدمين لحماية نقطة البداية ومجموعة ثانية من النهج لجميع التطبيقات الحساسة، مثل تلك التي تستخدمها الموارد البشرية أو أقسام الشؤون المالية، وتطبيقها على تلك المجموعات.

بمجرد تحديد مجموعة النهج للتطبيقات التي تريد تأمينها، قم بطرح النهج للمستخدمين بشكل متزايد، مع معالجة المشكلات على طول الطريق.

على سبيل المثال، قم بتكوين النهج التي سيتم استخدامها لجميع تطبيقات Microsoft 365 الخاصة بك Exchange فقط مع التغييرات الإضافية Exchange. قم بطرح هذه النهج للمستخدمين لديك وتجاوز أي مشاكل. بعد ذلك، أضف Teams مع تغييراتها الإضافية ثم قم بطرحها للمستخدمين. بعد ذلك، أضف SharePoint مع تغييراتها الإضافية. استمر في إضافة بقية تطبيقاتك حتى تتمكن من تكوين نهج نقطة البداية هذه بثقة لتضمين جميع تطبيقات Microsoft 365.

وبالمثل، بالنسبة إلى تطبيقاتك الحساسة، قم بإنشاء مجموعة من النهج وإضافة تطبيق واحد في كل مرة والعمل من خلال أي مشكلات حتى يتم تضمينها جميعا في مجموعة نهج التطبيق الحساسة.

توصي Microsoft بعدم إنشاء مجموعات نهج تنطبق على جميع التطبيقات لأنه يمكن أن يؤدي إلى بعض التكوينات غير المقصودة. على سبيل المثال، يمكن للنهج التي تحظر جميع التطبيقات تأمين المسؤولين خارج مدخل Azure ولا يمكن تكوين الاستثناءات لنقاط النهاية المهمة مثل Microsoft Graph.

خطوات لتكوين الهوية ثقة معدومة والوصول إلى الجهاز

1. تكوين ميزات هوية المتطلبات الأساسية وإعداداتها.
2. تكوين الهوية الشائعة والوصول إلى نهج الوصول المشروط.
3. تكوين نهج الوصول المشروط للمستخدمين الضيوف والخارجيين.
4. تكوين نهج الوصول المشروط لتطبيقات— السحابة Microsoft 365 مثل نهج Microsoft Teams Exchange SharePoint— ونهج Microsoft Defender for Cloud Apps.

بعد تكوين ثقة معدومة الهوية والوصول إلى الجهاز، راجع دليل نشر ميزة Azure AD لقائمة اختيار مرحلية من الميزات الإضافية التي يجب أخذها في الاعتبار وAzure AD Identity Governance لحماية الوصول ومراقبته وتدقيقه.

الخطوة التالية

العمل المتطلب الأساسي لتنفيذ ثقة معدومة نهج الهوية والوصول إلى الجهاز