أهم 12 مهمة لفرق الأمان لدعم العمل من المنزل

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

إذا كنت مثل Microsoft وفجأة وجدت نفسك تدعم القوى العاملة القائمة على المنزل في المقام الأول، نريد مساعدتك على ضمان أن مؤسستك تعمل بأمان قدر الإمكان. تعطي هذه المقالة الأولوية للمهام لمساعدة فرق الأمان على تنفيذ أهم قدرات الأمان في أسرع وقت ممكن.

إذا كنت مؤسسة صغيرة أو متوسطة الحجم تستخدم إحدى خطط أعمال Microsoft، فراجع هذه الموارد بدلا من ذلك:

• أفضل الممارسات لتأمين Microsoft 365 لخطط الأعمال
• Microsoft 365 للحملات (يتضمن تكوين أمان موصى به Microsoft 365 Business)

بالنسبة للعملاء الذين يستخدمون خطط المؤسسة، توصي Microsoft بإكمال المهام المدرجة في الجدول التالي التي تنطبق على خطة الخدمة. إذا كنت تقوم بدمج الاشتراكات بدلا من شراء خطة مؤسسة Microsoft 365، فلاحظ ما يلي:

• يتضمن Microsoft 365 E3 Enterprise Mobility + Security (EMS) E3 و Azure AD P1
• يتضمن Microsoft 365 E5 EMS E5 و Azure AD P2

---

خطوه	المهمه	كافة خطط Office 365 Enterprise	Microsoft 365 E3	Microsoft 365 E5
1	تمكين المصادقة متعددة العوامل (MFA) Azure AD
2	الحماية من التهديدات
3	تكوين Microsoft Defender لـ Office 365
4	تكوين Microsoft Defender for Identity
5	تمكين Microsoft 365 Defender
6	تكوين حماية تطبيق Intune للأجهزة المحمولة للهواتف وأجهزة الكمبيوتر اللوحية
7	تكوين المصادقة متعددة العوامل والوصول المشروط للضيوف، بما في ذلك حماية تطبيق Intune
8	تسجيل أجهزة الكمبيوتر في إدارة الأجهزة وتتطلب أجهزة كمبيوتر متوافقة
9	تحسين شبكتك للاتصال السحابي
10	تدريب المستخدمين
11	بدء العمل باستخدام Microsoft Defender للتطبيقات السحابية
12	مراقبة التهديدات واتخاذ إجراء

قبل البدء، تحقق من درجة الأمان Microsoft 365 في مدخل Microsoft 365 Defender. من لوحة معلومات مركزية، يمكنك مراقبة وتحسين الأمان للهويات والبيانات والتطبيقات والأجهزة والبنية الأساسية Microsoft 365. يتم منحك نقاط لتكوين ميزات الأمان الموصى بها، أو تنفيذ المهام المتعلقة بالأمان (مثل عرض التقارير)، أو معالجة التوصيات باستخدام تطبيق أو برنامج تابع لجهة خارجية. سترفع المهام الموصى بها في هذه المقالة درجاتك.

1: تمكين المصادقة متعددة العوامل Azure AD (MFA)

أفضل شيء واحد يمكنك القيام به لتحسين الأمان للموظفين الذين يعملون من المنزل هو تشغيل المصادقة متعددة العوامل. إذا لم يكن لديك عمليات موجودة بالفعل، فتعامل مع هذا الأمر على أنه إصدار تجريبي للطوارئ وتأكد من أن لديك أشخاص دعم جاهزين لمساعدة الموظفين الذين يعانون من مشكلة. نظرا لأنك ربما لا تستطيع توزيع أجهزة أمان الأجهزة، استخدم Windows Hello المقاييس الحيوية وتطبيقات مصادقة الهاتف الذكي مثل Microsoft Authenticator.

عادة، توصي Microsoft بمنح المستخدمين 14 يوما لتسجيل أجهزتهم للمصادقة متعددة العوامل قبل طلب المصادقة متعددة العوامل. ومع ذلك، إذا كانت القوى العاملة الخاصة بك تعمل فجأة من المنزل، فتقدم واطلب المصادقة متعددة العوامل كأولوية أمنية وتكون مستعدا لمساعدة المستخدمين الذين يحتاجون إليها.

سيستغرق تطبيق هذه النهج بضع دقائق فقط، ولكن كن مستعدا لدعم المستخدمين خلال الأيام القليلة القادمة.

---

الخطة	توصية
خطط Microsoft 365 (بدون Azure AD P1 أو P2)	تمكين إعدادات الأمان الافتراضية في Azure AD. تتضمن إعدادات الأمان الافتراضية في Azure AD المصادقة متعددة العوامل للمستخدمين والمسؤولين.
Microsoft 365 E3 (مع Azure AD P1)	استخدم نهج الوصول المشروط الشائعة لتكوين النهج التالية: - طلب المصادقة متعددة العوامل للمسؤولين - طلب المصادقة متعددة العوامل لجميع المستخدمين - حظر المصادقة القديمة
Microsoft 365 E5 (مع Azure AD P2)	الاستفادة من Azure AD Identity Protection، ابدأ في تنفيذ مجموعة Microsoft الموصى بها من الوصول المشروط والسياسات ذات الصلة من خلال إنشاء هذه النهج: - طلب المصادقة متعددة العوامل (MFA) عندما يكون خطر تسجيل الدخول متوسطا أو مرتفعا - حظر العملاء الذين لا يدعمون المصادقة الحديثة - يجب على المستخدمين المعرضين لمخاطر عالية تغيير كلمة المرور

2: الحماية من التهديدات

تتضمن جميع خطط Microsoft 365 مجموعة متنوعة من ميزات الحماية من التهديدات. يستغرق رفع الحماية لهذه الميزات بضع دقائق فقط.

• الحماية من البرامج الضارة
• الحماية من عناوين URL والملفات الضارة
• الحماية من التصيد الاحتيالي
• الحماية من البريد العشوائي

راجع الحماية من التهديدات في Office 365 للحصول على إرشادات يمكنك استخدامها كنقطة بداية.

3: تكوين Microsoft Defender لـ Office 365

Microsoft Defender لـ Office 365، المضمنة في Microsoft 365 E5 Office 365 E5، تحمي مؤسستك من التهديدات الضارة التي تشكلها رسائل البريد الإلكتروني والارتباطات (URLs) وأدوات التعاون. قد يستغرق تكوين هذا عدة ساعات.

Microsoft Defender لـ Office 365:

• يحمي مؤسستك من تهديدات البريد الإلكتروني غير المعروفة في الوقت الحقيقي باستخدام الأنظمة الذكية التي تفحص المرفقات والارتباطات للحصول على محتوى ضار. تتضمن هذه الأنظمة التلقائية نظاما أساسيا قويا لتهيئة البيانات، ونماذج الاستعناف، والتعلم الآلي.
• حماية مؤسستك عند تعاون المستخدمين ومشاركة الملفات، من خلال تحديد الملفات الضارة وحظرها في مواقع الفريق ومكتبات المستندات.
• تطبيق نماذج التعلم الآلي والخوارزميات المتقدمة للكشف عن الانتحال لتجنب هجمات التصيد الاحتيالي.

للحصول على نظرة عامة، بما في ذلك ملخص للخطط، راجع Defender لـ Office 365.

يمكن للمسؤول العام تكوين هذه الحماية:

• إعداد نهج ارتباطات خزينة
• تكوين الإعدادات العمومية لارتباطات خزينة
• إعداد نهج المرفقات خزينة

ستحتاج إلى العمل مع مسؤول Exchange Online ومسؤول SharePoint Online لتكوين Defender لـ Office 365 لأحمال العمل هذه:

• Microsoft Defender لنقطة النهاية SharePoint OneDrive Microsoft Teams

4: تكوين Microsoft Defender for Identity

Microsoft Defender for Identity هو حل أمان مستند إلى السحابة يستفيد من إشاراتك Active Directory محلي لتحديد التهديدات المتقدمة والهويات المخترقة والإجراءات الداخلية الضارة الموجهة إلى مؤسستك واكتشافها والتحقيق فيها. ركز على هذا بعد ذلك لأنه يحمي بنيتك الأساسية السحابية والبنية الأساسية السحابية الخاصة بك، ولا يحتوي على تبعيات أو متطلبات أساسية، ويمكن أن يوفر فائدة فورية.

• راجع Microsoft Defender for Identity التشغيل السريع للحصول على الإعداد بسرعة
• شاهد الفيديو: مقدمة حول Microsoft Defender for Identity
• مراجعة المراحل الثلاث لتوزيع Microsoft Defender for Identity

5: تشغيل Microsoft 365 Defender

الآن بعد أن قمت Microsoft Defender لـ Office 365 وتكوينها Microsoft Defender for Identity، يمكنك عرض الإشارات المدمجة من هذه القدرات في لوحة معلومات واحدة. يجمع Microsoft 365 Defender بين التنبيهات والحوادث والتحقيق التلقائي والاستجابة والتتبع المتقدم عبر أحمال العمل (Microsoft Defender for Identity Defender لـ Office 365 وMicrosoft Defender لنقطة النهاية و Microsoft Defender for Cloud Apps) في جزء واحد في مدخل Microsoft 365 Defender.

بعد تكوين واحدة أو أكثر من خدمات Defender لـ Office 365، قم بتشغيل MTP. تتم إضافة ميزات جديدة باستمرار إلى MTP؛ ضع في اعتبارك الاشتراك في تلقي ميزات المعاينة.

• تعرف على المزيد حول MTP
• تشغيل MTP
• الاشتراك في ميزات المعاينة

6: تكوين حماية تطبيق Intune للأجهزة المحمولة للهواتف وأجهزة الكمبيوتر اللوحية

تسمح لك Microsoft Intune Mobile Application Management (MAM) بإدارة بيانات مؤسستك وحمايتها على الهواتف وأجهزة الكمبيوتر اللوحية دون إدارة هذه الأجهزة. إليك كيفية عملها:

• يمكنك إنشاء نهج حماية التطبيقات (APP) الذي يحدد التطبيقات التي تتم إدارتها على الجهاز والسلوكيات المسموح بها (مثل منع نسخ البيانات من تطبيق مدار إلى تطبيق غير مدار). يمكنك إنشاء نهج واحد لكل نظام أساسي (iOS وAndroid).
• بعد إنشاء نهج حماية التطبيقات، يمكنك فرضها عن طريق إنشاء قاعدة وصول مشروط في Azure AD لطلب التطبيقات المعتمدة وحماية بيانات APP.

تتضمن نهج حماية التطبيقات العديد من الإعدادات. لحسن الحظ، لا تحتاج إلى التعرف على كل إعداد وتزن الخيارات. تسهل Microsoft تطبيق تكوين الإعدادات من خلال التوصية بنقاط البدء. يتضمن إطار عمل حماية البيانات الذي يستخدم نهج حماية التطبيقات ثلاثة مستويات يمكنك الاختيار من بينها.

والأفضل من ذلك، أن Microsoft تنسق إطار حماية التطبيق هذا مع مجموعة من الوصول المشروط والنهج ذات الصلة التي نوصي باستخدامها من قبل جميع المؤسسات كنقطة بداية. إذا قمت بتطبيق المصادقة متعددة العوامل باستخدام الإرشادات الواردة في هذه المقالة، فأنت في منتصف الطريق!

لتكوين حماية تطبيق الأجهزة المحمولة، استخدم الإرشادات الواردة في نهج الوصول إلى الأجهزة والهوية الشائعة:

1. استخدم إرشادات نهج تطبيق حماية البيانات لإنشاء نهج لنظامي التشغيل iOS وAndroid. يوصى بالمستوى 2 (حماية البيانات المحسنة) لحماية الأساس.
2. إنشاء قاعدة وصول مشروط لطلب التطبيقات المعتمدة وحماية التطبيقات.

7: تكوين المصادقة متعددة العوامل والوصول المشروط للضيوف، بما في ذلك حماية تطبيق Intune للأجهزة المحمولة

بعد ذلك، لنتأكد من أنه يمكنك الاستمرار في التعاون والعمل مع الضيوف. إذا كنت تستخدم خطة Microsoft 365 E3 وقمت بتطبيق المصادقة متعددة العوامل لجميع المستخدمين، فأنت معين.

إذا كنت تستخدم خطة Microsoft 365 E5 وكنت تستفيد من Azure Identity Protection للمصادقة متعددة العوامل المستندة إلى المخاطر، فستحتاج إلى إجراء بعض التعديلات (لأن حماية الهوية Azure AD لا تمتد إلى الضيوف):

• إنشاء قاعدة وصول مشروط جديدة لطلب المصادقة متعددة العوامل دائما للضيوف والمستخدمين الخارجيين.
• تحديث قاعدة الوصول المشروط إلى المصادقة متعددة العوامل المستندة إلى المخاطر لاستبعاد الضيوف والمستخدمين الخارجيين.

استخدم الإرشادات في تحديث النهج الشائعة للسماح بوصول الضيف والخارجي وحمايتها لفهم كيفية عمل وصول الضيف مع Azure AD وتحديث النهج المتأثرة.

تنطبق نهج حماية تطبيقات Intune للأجهزة المحمولة التي قمت بإنشائها، إلى جانب قاعدة الوصول المشروط لطلب التطبيقات المعتمدة وحماية التطبيقات، على حسابات الضيوف وستساعد في حماية بيانات مؤسستك.

ملاحظة

إذا قمت بالفعل بتسجيل أجهزة الكمبيوتر في إدارة الأجهزة لطلب أجهزة كمبيوتر متوافقة، فستحتاج أيضا إلى استبعاد حسابات الضيوف من قاعدة الوصول المشروط التي تفرض توافق الجهاز.

8: تسجيل أجهزة الكمبيوتر في إدارة الأجهزة وتتطلب أجهزة كمبيوتر متوافقة

هناك عدة طرق لتسجيل أجهزة القوى العاملة الخاصة بك. تعتمد كل طريقة على ملكية الجهاز (الشخصية أو الشركة)، ونوع الجهاز (iOS، Windows، وAndroid)، ومتطلبات الإدارة (عمليات إعادة التعيين، والترابط، والتأمين). قد يستغرق هذا بعض الوقت للفرز. راجع: تسجيل الأجهزة في Microsoft Intune.

أسرع طريقة للمتابعة هي إعداد التسجيل التلقائي للأجهزة Windows 10.

يمكنك أيضا الاستفادة من هذه البرامج التعليمية:

• استخدام Autopilot لتسجيل أجهزة Windows في Intune
• استخدام ميزات تسجيل أجهزة شركة Apple في Apple Business Manager (ABM) لتسجيل أجهزة iOS/iPadOS في Intune

بعد تسجيل الأجهزة، استخدم الإرشادات الواردة في نهج الوصول إلى الأجهزة والهوية الشائعة لإنشاء هذه النهج:

• تحديد نهج توافق الجهاز — تتضمن الإعدادات الموصى بها Windows 10 طلب الحماية من الفيروسات. إذا كان لديك Microsoft 365 E5، فاستخدم Microsoft Defender لنقطة النهاية لمراقبة حالة أجهزة الموظفين. تأكد من أن نهج التوافق لأنظمة التشغيل الأخرى تتضمن الحماية من الفيروسات وبرامج الحماية من الفيروسات في نقطة النهاية.
• المطالبة بأجهزة كمبيوتر متوافقة — هذه هي قاعدة الوصول المشروط في Azure AD التي تفرض نهج توافق الجهاز.

يمكن لمؤسسة واحدة فقط إدارة جهاز، لذا تأكد من استبعاد حسابات الضيوف من قاعدة الوصول المشروط في Azure AD. إذا لم تقم باستبعاد المستخدمين الضيوف والخارجيين من النهج التي تتطلب توافق الجهاز، فإن هذه النهج ستحظر هؤلاء المستخدمين. لمزيد من المعلومات، راجع تحديث النهج الشائعة للسماح بوصول الضيف والخارجي وحمايتها.

9: تحسين شبكتك للاتصال السحابي

إذا كنت تمكن بسرعة الجزء الأكبر من موظفيك من العمل من المنزل، فإن هذا التبديل المفاجئ لأنماط الاتصال يمكن أن يكون له تأثير كبير على البنية الأساسية لشبكة الشركة. تم توسيع العديد من الشبكات وتصميمها قبل اعتماد الخدمات السحابية. في كثير من الحالات، تكون الشبكات متسامحة مع العمال عن بعد، ولكن لم يتم تصميمها لاستخدامها عن بعد من قبل جميع المستخدمين في وقت واحد.

يتم فجأة وضع عناصر الشبكة مثل مكثفات VPN ومعدات خروج الشبكة المركزية (مثل الوكلاء وأجهزة منع فقدان البيانات) وعرض النطاق الترددي للإنترنت المركزي ودوائر Backhaul MPLS وإمكانية NAT وما إلى ذلك تحت ضغط هائل بسبب تحميل الشركة بأكملها باستخدامها. والنتيجة النهائية هي ضعف الأداء والإنتاجية إلى جانب تجربة المستخدم الضعيفة للمستخدمين الذين يتكيفون مع العمل من المنزل.

بعض الحماية التي تم توفيرها تقليديا عن طريق توجيه نسبة استخدام الشبكة مرة أخرى من خلال شبكة الشركة يتم توفيرها من خلال تطبيقات السحابة التي يصل إليها المستخدمون. إذا وصلت إلى هذه الخطوة في هذه المقالة، فقد نفذت مجموعة من عناصر تحكم أمان السحابة المتطورة لخدمات وبيانات Microsoft 365. مع وضع عناصر التحكم هذه في مكانها، قد تكون جاهزا لتوجيه نسبة استخدام الشبكة للمستخدمين البعيدين مباشرة إلى Office 365. إذا كنت لا تزال بحاجة إلى ارتباط VPN للوصول إلى تطبيقات أخرى، يمكنك تحسين الأداء وتجربة المستخدم بشكل كبير من خلال تنفيذ الاتصال النفقي المنقسم. بمجرد التوصل إلى اتفاق في مؤسستك، يمكن تحقيق ذلك في غضون يوم واحد من قبل فريق شبكة منسق بشكل جيد.

راجع هذه الموارد على المستندات للحصول على مزيد من المعلومات:

• نظرة عامة: تحسين الاتصال للمستخدمين عن بعد باستخدام الاتصال النفقي المنقسم ل VPN
• تنفيذ الاتصال النفقي المنقسم ل VPN Office 365

مقالات المدونة الأخيرة حول هذا الموضوع:

• كيفية تحسين نسبة استخدام الشبكة بسرعة للموظفين عن بعد & تقليل الحمل على البنية الأساسية الخاصة بك
• طرق بديلة لمحترفي الأمان و تكنولوجيا المعلومات لتحقيق عناصر تحكم أمنية حديثة في سيناريوهات العمل عن بعد الفريدة اليوم

10: تدريب المستخدمين

يمكن لتدريب المستخدمين حفظ المستخدمين وفريق عمليات الأمان لديك الكثير من الوقت والإحباط. من غير المرجح أن يفتح المستخدمون الادهاء المرفقات أو ينقروا فوق الارتباطات في رسائل البريد الإلكتروني المشكوك فيها، ومن المرجح أن يتجنبوا مواقع الويب المشبوهة.

يوفر دليل حملة الأمان عبر الإنترنت لمدرسة جامعة هارفرد إرشادات ممتازة حول تأسيس ثقافة قوية للوعي الأمني داخل مؤسستك، بما في ذلك تدريب المستخدمين على تحديد هجمات التصيد الاحتيالي.

يوفر Microsoft 365 الموارد التالية للمساعدة في إعلام المستخدمين في مؤسستك:

---

مفهوم	الموارد
Microsoft 365	مسارات التعلم القابلة للتخصيص يمكن أن تساعدك هذه الموارد على تجميع التدريب للمستخدمين النهائيين في مؤسستك
الأمان في Microsoft 365	Learning الوحدة النمطية: قم بتأمين مؤسستك بأمان ذكي مضمن من Microsoft 365 تمكنك هذه الوحدة النمطية من وصف كيفية عمل ميزات الأمان Microsoft 365 معا وتوضيح فوائد ميزات الأمان هذه.
المصادقة متعددة العوامل	التحقق على خطوتين: ما هي صفحة التحقق الإضافية؟ تساعد هذه المقالة المستخدمين على فهم ماهية المصادقة متعددة العوامل وسبب استخدامها في مؤسستك.

بالإضافة إلى هذه الإرشادات، توصي Microsoft المستخدمين باتخاذ الإجراءات الموضحة في هذه المقالة: حماية حسابك والأجهزة من المتسللين والبرامج الضارة. تتضمن هذه الإجراءات ما يلي:

• استخدام كلمات مرور قوية
• حماية الأجهزة
• تمكين ميزات الأمان على أجهزة كمبيوتر Windows 10 وMac (للأجهزة غير المدارة)

توصي Microsoft أيضا المستخدمين بحماية حسابات البريد الإلكتروني الشخصية الخاصة بهم من خلال اتخاذ الإجراءات الموصى بها في المقالات التالية:

• المساعدة في حماية حساب بريدك الإلكتروني Outlook.com

• حماية حساب Gmail الخاص بك من خلال التحقق على خطوين

11: بدء استخدام Microsoft Defender for Cloud Apps

يوفر Microsoft Defender for Cloud Apps رؤية غنية، والتحكم في السفر إلى البيانات، وتحليلات متطورة لتحديد التهديدات الإلكترونية ومكافحتها عبر جميع خدمات السحابة. بمجرد البدء في استخدام Defender for Cloud Apps، يتم تمكين نهج الكشف عن الحالات الشاذة تلقائيا، ولكن لدى Defender for Cloud Apps فترة تعلم أولية مدتها سبعة أيام لا يتم خلالها رفع جميع تنبيهات الكشف عن الحالات الشاذة.

ابدأ استخدام Defender for Cloud Apps الآن. يمكنك لاحقا إعداد مراقبة وعناصر تحكم أكثر تطورا.

• التشغيل السريع: بدء استخدام Defender for Cloud Apps
• الحصول على تحليلات سلوكية فورية واكتشاف الشذوذ
• تعرف على المزيد حول Microsoft Defender for Cloud Apps
• مراجعة الميزات والقدرات الجديدة
• الاطلاع على إرشادات الإعداد الأساسية

12: مراقبة التهديدات واتخاذ إجراء

تتضمن Microsoft 365 عدة طرق لمراقبة الحالة واتخاذ الإجراءات المناسبة. أفضل نقطة بداية هي مدخل Microsoft 365 Defender، حيث يمكنك عرض نقاط Microsoft الآمنة لمؤسستك، وأي تنبيهات أو كيانات تتطلب انتباهك.

• بدء استخدام مدخل Microsoft 365 Defender
• راجع بوابات الأمان في Microsoft 365

الخطوات التالية

تهانينا! لقد نفذت بسرعة بعض أهم الحماية الأمنية وأن مؤسستك أكثر أمانا. الآن أنت مستعد للمضي قدما في قدرات الحماية من التهديدات (بما في ذلك Microsoft Defender لنقطة النهاية)، وتصنيف البيانات وقدرات الحماية، وتأمين الحسابات الإدارية. For a deeper, methodical set of security recommendations for Microsoft 365, see Microsoft 365 Security for Business Decision Makers (BDMs).

قم أيضا بزيارة Defender for Cloud الجديد من Microsoft على docs.microsoft.com/security.