العمل الأساسي لتنفيذ نهج الهوية والوصول إلى الجهاز ثقة معدومة
توضح هذه المقالة المتطلبات الأساسية التي يجب على المسؤولين تلبيتها لاستخدام نهج الهوية والوصول إلى الجهاز ثقة معدومة الموصى بها، واستخدام الوصول المشروط. كما يناقش الإعدادات الافتراضية الموصى بها لتكوين الأنظمة الأساسية للعميل للحصول على أفضل تجربة تسجيل دخول أحادي (SSO).
المتطلبات الأساسية
قبل استخدام نهج الوصول إلى الهوية والجهاز ثقة معدومة الموصى بها، تحتاج مؤسستك إلى تلبية المتطلبات الأساسية. تختلف المتطلبات لمختلف نماذج الهوية والمصادقة المدرجة:
- السحابة فقط
- مختلط مع مصادقة مزامنة تجزئة كلمة المرور (PHS)
- مختلط مع مصادقة المرور (PTA)
- الاتحاديه
يوضح الجدول التالي بالتفصيل ميزات المتطلبات الأساسية وتكوينها التي تنطبق على جميع نماذج الهوية، باستثناء الحالات المذكورة.
| التكوين | الاستثناءات | الترخيص |
|---|---|---|
| تكوين PHS. يجب تمكين هذه الميزة للكشف عن بيانات الاعتماد المسربة والعمل عليها للوصول المشروط المستند إلى المخاطر. ملاحظه: هذا مطلوب بغض النظر عما إذا كانت مؤسستك تستخدم المصادقة الموحدة. | السحابة فقط | Microsoft 365 E3 أو E5 |
| تمكين تسجيل الدخول الأحادي السلس لتسجيل دخول المستخدمين تلقائيا عندما يكونون على أجهزة المؤسسة المتصلة بشبكة مؤسستك. | السحابة فقط و الموحدة | Microsoft 365 E3 أو E5 |
| تكوين المواقع المسماة. يقوم Microsoft Entra ID Protection بجمع وتحليل جميع بيانات الجلسة المتاحة لإنشاء درجة مخاطر. نوصي بتحديد نطاقات IP العامة لمؤسستك لشبكتك في تكوين المواقع المسماة Microsoft Entra ID. يتم إعطاء نسبة استخدام الشبكة القادمة من هذه النطاقات درجة مخاطر أقل، ويتم إعطاء نسبة استخدام الشبكة من خارج بيئة المؤسسة درجة مخاطر أعلى. | Microsoft 365 E3 أو E5 | |
| تسجيل جميع المستخدمين لإعادة تعيين كلمة مرور الخدمة الذاتية (SSPR) والمصادقة متعددة العوامل (MFA). نوصي بتسجيل المستخدمين للمصادقة متعددة العوامل Microsoft Entra مسبقا. يستخدم Microsoft Entra ID Protection المصادقة متعددة العوامل Microsoft Entra لإجراء تحقق أمان إضافي. بالإضافة إلى ذلك، للحصول على أفضل تجربة لتسجيل الدخول، نوصي المستخدمين بتثبيت تطبيق Microsoft Authenticator وتطبيق Microsoft Company Portal على أجهزتهم. يمكن تثبيتها من متجر التطبيقات لكل نظام أساسي. | Microsoft 365 E3 أو E5 | |
| خطط لتنفيذ الانضمام المختلط Microsoft Entra. سيتأكد الوصول المشروط من أن الأجهزة المتصلة بتطبيقات مرتبطة بالمجال أو متوافقة. لدعم ذلك على أجهزة كمبيوتر Windows، يجب تسجيل الجهاز مع Microsoft Entra ID. تتناول هذه المقالة كيفية تكوين التسجيل التلقائي للجهاز. | السحابة فقط | Microsoft 365 E3 أو E5 |
| قم بإعداد فريق الدعم الخاص بك. وضع خطة للمستخدمين الذين لا يمكنهم إكمال المصادقة متعددة العوامل. يمكن أن يؤدي ذلك إلى إضافتها إلى مجموعة استبعاد النهج، أو تسجيل معلومات مصادقة متعددة العوامل (MFA) جديدة لهم. قبل إجراء أي من هذه التغييرات الحساسة للأمان، تحتاج إلى التأكد من أن المستخدم الفعلي يقوم بإجراء الطلب. يعد مطالبة مديري المستخدمين بالمساعدة في الموافقة خطوة فعالة. | Microsoft 365 E3 أو E5 | |
| تكوين إعادة كتابة كلمة المرور إلى AD المحلي. يسمح حفظ كلمة المرور مع التحديث Microsoft Entra ID بمطالبة المستخدمين بتغيير كلمات المرور المحلية الخاصة بهم عند اكتشاف اختراق حساب عالي المخاطر. يمكنك تمكين هذه الميزة باستخدام Microsoft Entra Connect بإحدى طريقتين: إما تمكين إعادة كتابة كلمة المرور في شاشة الميزات الاختيارية لإعداد Microsoft Entra Connect، أو تمكينها عبر Windows PowerShell. | السحابة فقط | Microsoft 365 E3 أو E5 |
| تكوين حماية كلمة المرور Microsoft Entra. يكتشف Microsoft Entra Password Protection كلمات المرور الضعيفة المعروفة ومتغيراتها ويحظرها، ويمكن أيضا حظر المصطلحات الضعيفة الإضافية الخاصة بمؤسستك. يتم تطبيق قوائم كلمات المرور المحظورة العمومية الافتراضية تلقائيا على جميع المستخدمين في مستأجر Microsoft Entra. يمكنك تعريف إدخالات إضافية في قائمة كلمات مرور محظورة مخصصة. عندما يقوم المستخدمون بتغيير كلمات المرور الخاصة بهم أو إعادة تعيينها، يتم التحقق من قوائم كلمات المرور المحظورة هذه لفرض استخدام كلمات مرور قوية. | Microsoft 365 E3 أو E5 | |
| تمكين Microsoft Entra ID Protection. Microsoft Entra ID Protection تمكنك من اكتشاف الثغرات الأمنية المحتملة التي تؤثر على هويات مؤسستك وتكوين نهج معالجة تلقائية إلى مخاطر تسجيل الدخول المنخفضة والمتوسطة والعالية ومخاطر المستخدم. | Microsoft 365 E5 أو Microsoft 365 E3 باستخدام الوظيفة الإضافية E5 Security | |
| تمكين المصادقة الحديثةExchange Online و Skype for Business Online. المصادقة الحديثة هي شرط أساسي لاستخدام المصادقة متعددة العوامل. يتم تمكين المصادقة الحديثة بشكل افتراضي لعملاء Office 2016 و2019 وSharePoint OneDrive for Business. | Microsoft 365 E3 أو E5 | |
| تمكين تقييم الوصول المستمر Microsoft Entra ID. ينهي تقييم الوصول المستمر جلسات المستخدم النشطة بشكل استباقي ويفرض تغييرات نهج المستأجر في الوقت الفعلي تقريبا. | Microsoft 365 E3 أو E5 |
تكوينات العميل الموصى بها
يصف هذا القسم تكوينات عميل النظام الأساسي الافتراضية التي نوصي بتوفير أفضل تجربة SSO للمستخدمين، بالإضافة إلى المتطلبات الأساسية التقنية للوصول المشروط.
أجهزة Windows
نوصي Windows 11 أو Windows 10 (الإصدار 2004 أو أحدث)، حيث تم تصميم Azure لتوفير تجربة تسجيل الدخول الأحادي الأكثر سلاسة الممكنة لكل من المحلي Microsoft Entra ID. يجب تكوين الأجهزة الصادرة عن العمل أو المدرسة للانضمام إلى Microsoft Entra ID مباشرة أو إذا كانت المؤسسة تستخدم الانضمام إلى مجال AD المحلي، يجب تكوين هذه الأجهزة للتسجيل تلقائيا وبصمت مع Microsoft Entra ID.
بالنسبة لأجهزة WINDOWS BYOD، يمكن للمستخدمين استخدام إضافة حساب العمل أو المؤسسة التعليمية. لاحظ أن مستخدمي مستعرض Google Chrome على أجهزة Windows 11 أو Windows 10 يحتاجون إلى تثبيت ملحق للحصول على تجربة تسجيل الدخول السلسة نفسها التي يتمتع بها مستخدمو Microsoft Edge. أيضا، إذا كانت مؤسستك لديها أجهزة Windows 8 أو 8.1 مرتبطة بالمجال، فيمكنك تثبيت Microsoft Workplace Join لأجهزة الكمبيوتر غير Windows 10. قم بتنزيل الحزمة لتسجيل الأجهزة مع Microsoft Entra ID.
أجهزة iOS
نوصي بتثبيت تطبيق Microsoft Authenticator على أجهزة المستخدم قبل نشر نهج الوصول المشروط أو المصادقة متعددة العوامل. كحد أدنى، يجب تثبيت التطبيق عندما يطلب من المستخدمين تسجيل أجهزتهم مع Microsoft Entra ID عن طريق إضافة حساب عمل أو مدرسة، أو عند تثبيت تطبيق مدخل الشركة Intune لتسجيل أجهزتهم في الإدارة. يعتمد هذا على نهج الوصول المشروط المكون.
أجهزة Android
نوصي المستخدمين بتثبيت تطبيق Intune Company Portalوتطبيق Microsoft Authenticator قبل نشر نهج الوصول المشروط أو عند الحاجة أثناء محاولات مصادقة معينة. بعد تثبيت التطبيق، قد يطلب من المستخدمين التسجيل في Microsoft Entra ID أو تسجيل أجهزتهم باستخدام Intune. يعتمد هذا على نهج الوصول المشروط المكون.
نوصي أيضا بتوحيد الأجهزة المملوكة للمؤسسة على OEMs والإصدارات التي تدعم Android for Work أو Samsung Knox للسماح بإدارة حسابات البريد وحمايتها بواسطة نهج MDM Intune.
عملاء البريد الإلكتروني الموصى بهم
يدعم عملاء البريد الإلكتروني التالي المصادقة الحديثة والوصول المشروط.
| منصه | Client | الإصدار/الملاحظات |
|---|---|---|
| بالنسبة لنظام التشغيل | Outlook | 2019, 2016 |
| iOS | Outlook for iOS | احدث |
| Android | Outlook for Android | احدث |
| ماك | Outlook | 2019 و2016 |
| ينكس | غير معتمد |
الأنظمة الأساسية للعملاء الموصى بها عند تأمين المستندات
يوصى بالعملاء التاليين عند تطبيق نهج مستندات آمنة.
| منصه | Word/Excel/PowerPoint | OneNote | تطبيق OneDrive | تطبيق SharePoint | عميل المزامنة من OneDrive |
|---|---|---|---|---|---|
| Windows 11 أو Windows 10 | دعم | دعم | N/A | N/A | دعم |
| Windows 8.1 | دعم | دعم | N/A | N/A | دعم |
| Android | دعم | دعم | دعم | دعم | N/A |
| iOS | دعم | دعم | دعم | دعم | N/A |
| ماك | دعم | دعم | N/A | N/A | غير معتمد |
| ينكس | غير معتمد | غير معتمد | غير معتمد | غير معتمد | غير معتمد |
دعم عميل Microsoft 365
لمزيد من المعلومات حول دعم العميل في Microsoft 365، راجع المقالات التالية:
حماية حسابات المسؤولين
بالنسبة إلى Microsoft 365 E3 أو E5 أو مع تراخيص P1 أو P2 منفصلة Microsoft Entra ID، يمكنك طلب المصادقة متعددة العوامل لحسابات المسؤول باستخدام نهج الوصول المشروط الذي تم إنشاؤه يدويا. راجع الوصول المشروط: طلب المصادقة متعددة العوامل للمسؤولين للحصول على التفاصيل.
بالنسبة لإصدارات Microsoft 365 أو Office 365 التي لا تدعم الوصول المشروط، يمكنك تمكين إعدادات الأمان الافتراضية لطلب المصادقة متعددة العوامل لجميع الحسابات.
فيما يلي بعض التوصيات الإضافية:
- استخدم Microsoft Entra إدارة الهويات المتميزة لتقليل عدد الحسابات الإدارية الثابتة.
- استخدم إدارة الوصول المتميز لحماية مؤسستك من الخروقات التي قد تستخدم حسابات المسؤول المميزة الموجودة مع الوصول الدائم إلى البيانات الحساسة أو الوصول إلى إعدادات التكوين الهامة.
- الإنشاء واستخدام حسابات منفصلة تم تعيين أدوار مسؤول Microsoft 365لها للإدارة فقط. يجب أن يكون للمسؤولين حساب مستخدم خاص بهم للاستخدام العادي غير الإداري واستخدام حساب إداري فقط عند الضرورة لإكمال مهمة مرتبطة بدورهم أو وظيفة الوظيفة الخاصة بهم.
- اتبع أفضل الممارسات لتأمين الحسابات المتميزة في Microsoft Entra ID.
الخطوة التالية
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ