إدارة المصادقة متعددة العوامل (MFA) على اشتراكاتك

إذا كنت تستخدم كلمات المرور فقط لمصادقة المستخدمين، فإنك تترك متجه هجوم مفتوحا. غالبا ما يستخدم المستخدمون كلمات مرور ضعيفة أو يعيدون استخدامها لخدمات متعددة. مع تمكين المصادقة متعددة العوامل، تكون حساباتك أكثر أمانا، ولا يزال بإمكان المستخدمين المصادقة على أي تطبيق تقريبا باستخدام تسجيل الدخول الأحادي (SSO).

هناك طرق متعددة لتمكين المصادقة متعددة العوامل لمستخدمي Microsoft Entra استنادا إلى التراخيص التي تمتلكها مؤسستك. توفر هذه الصفحة تفاصيل لكل منها في سياق Microsoft Defender for Cloud.

المصادقة متعددة العوامل وMicrosoft Defender for Cloud

يضع Defender for Cloud قيمة عالية على MFA. التحكم في الأمان الذي يساهم بشكل أكبر في درجة الأمان الخاصة بك هو تمكين المصادقة متعددة العوامل.

تضمن التوصيات التالية في عنصر تحكم تمكين المصادقة متعددة العوامل أنك تفي بالممارسات الموصى بها لمستخدمي اشتراكاتك:

• يجب تمكين مصادقة متعددة العوامل (MFA) للحسابات التي لها أذونات المالك على موارد Azure
• يجب تمكين مصادقة متعددة العوامل (MFA) للحسابات التي لها أذونات الكتابة على موارد Azure
• يجب تمكين مصادقة متعددة العوامل (MFA) للحسابات التي لها أذونات القراءة على موارد Azure

هناك ثلاث طرق لتمكين المصادقة متعددة العوامل والتوافق مع التوصيتين في Defender for Cloud: الإعدادات الافتراضية للأمان والتعيين لكل مستخدم ونهج الوصول المشروط (CA).

الخيار المجاني - إعدادات الأمان الافتراضية

إذا كنت تستخدم الإصدار المجاني من معرف Microsoft Entra، فيجب عليك استخدام إعدادات الأمان الافتراضية لتمكين المصادقة متعددة العوامل على المستأجر الخاص بك.

المصادقة متعددة العوامل لعملاء Microsoft 365 Business أو E3 أو E5

يمكن للعملاء الذين لديهم Microsoft 365 استخدام التعيين لكل مستخدم. في هذا السيناريو، يتم تمكين مصادقة Microsoft Entra متعددة العوامل أو تعطيلها لجميع المستخدمين، لجميع أحداث تسجيل الدخول. لا توجد إمكانية لتمكين المصادقة متعددة العوامل لمجموعة فرعية من المستخدمين، أو ضمن سيناريوهات معينة، والإدارة من خلال مدخل Office 365.

المصادقة متعددة العوامل لعملاء Microsoft Entra ID P1 أو P2

للحصول على تجربة مستخدم محسنة، قم بالترقية إلى Microsoft Entra ID P1 أو P2 للحصول على خيارات نهج الوصول المشروط (CA). لتكوين نهج CA، تحتاج إلى أذونات مستأجر Microsoft Entra.

يجب أن يكون نهج CA الخاص بك:

• يفرض المصادقة متعددة العوامل

• تضمين مداخل Microsoft مسؤول

• لا يستبعد معرف تطبيق Microsoft Azure Management

يمكن لعملاء Microsoft Entra ID P1 استخدام Microsoft Entra CA لمطالبة المستخدمين بالمصادقة متعددة العوامل أثناء سيناريوهات أو أحداث معينة لتناسب متطلبات عملك. التراخيص الأخرى التي تتضمن هذه الوظيفة: Enterprise Mobility + Security E3 Microsoft 365 F1 و Microsoft 365 E3.

يوفر Microsoft Entra ID P2 أقوى ميزات الأمان وتجربة مستخدم محسنة. يضيف هذا الترخيص الوصول المشروط المستند إلى المخاطر إلى ميزات Microsoft Entra ID P1. يتكيف المرجع المصدق المستند إلى المخاطر مع أنماط المستخدمين ويقلل من مطالبات المصادقة متعددة العوامل. التراخيص الأخرى التي تتضمن هذه الوظيفة: التنقل المؤسسي + الأمان E5 أو Microsoft 365 E5.

تعرف على المزيد في وثائق الوصول المشروط من Azure.

تحديد الحسابات دون تمكين المصادقة متعددة العوامل (MFA)

يمكنك عرض قائمة حسابات المستخدمين دون تمكين المصادقة متعددة العوامل إما من صفحة تفاصيل توصيات Defender for Cloud أو باستخدام Azure Resource Graph.

عرض الحسابات دون تمكين المصادقة متعددة العوامل (MFA) في مدخل Azure

من صفحة تفاصيل التوصية، حدد اشتراكا من قائمة الموارد غير الصحية أو حدد اتخاذ إجراء وسيتم عرض القائمة.

عرض الحسابات دون تمكين المصادقة متعددة العوامل باستخدام Azure Resource Graph

لمعرفة الحسابات التي لم يتم تمكين المصادقة متعددة العوامل عليها، استخدم استعلام Azure Resource Graph التالي. يقوم الاستعلام بإرجاع جميع الموارد غير السليمة - الحسابات - من التوصية "يجب تمكين الحسابات ذات أذونات المالك على موارد Azure".

1. افتح Azure Resource Graph Explorer.

   

2. أدخل الاستعلام التالي، وحدد تشغيل الاستعلام.

   securityresources
   | where type =~ "microsoft.security/assessments/subassessments"
   | where id has "assessments/dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c" or id has "assessments/c0cb17b2-0607-48a7-b0e0-903ed22de39b" or id has "assessments/6240402e-f77c-46fa-9060-a7ce53997754"
   | parse id with start "/assessments/" assessmentId "/subassessments/" userObjectId
   | summarize make_list(userObjectId) by strcat(tostring(properties.displayName), " (", assessmentId, ")")
   | project ["Recommendation Name"] = Column1 , ["Account ObjectIDs"] = list_userObjectId
   

3. additionalData تكشف الخاصية عن قائمة معرفات كائن الحساب للحسابات التي لم يتم فرض المصادقة متعددة العوامل عليها.

   إشعار

   يحتوي العمود "معرفات عناصر الحساب" على قائمة معرفات عناصر الحساب للحسابات التي لا يتم فرض المصادقة متعددة العوامل (MFA) لكل توصية.

   تلميح

   بدلا من ذلك، يمكنك استخدام أسلوب Defender for Cloud REST API Assessments - Get.

القيود

• ميزة الوصول المشروط لفرض المصادقة متعددة العوامل (MFA) على المستخدمين الخارجيين/المستأجرين غير مدعومة حتى الآن.
• نهج الوصول المشروط المطبق على أدوار Microsoft Entra (مثل جميع المسؤولين العموميين والمستخدمين الخارجيين والمجال الخارجي وما إلى ذلك) غير مدعوم حتى الآن.
• لا يتم دعم حلول المصادقة متعددة العوامل الخارجية مثل Okta وPing و Duo والمزيد ضمن توصيات المصادقة متعددة العوامل للهوية.

الخطوات التالية

لمعرفة المزيد حول التوصيات التي تنطبق على أنواع موارد Azure الأخرى، راجع المقالات التالية:

• حماية شبكتك في Microsoft Defender for Cloud
• اطلع على الأسئلة الشائعة حول المصادقة متعددة العوامل.