نظرة عامة على أمان إدارة الهوية في Azure

إدارة الهوية هي عملية مصادقة وتفويض مبادئ الأمان. يتضمن أيضًا التحكم في المعلومات حول تلك الأساسيات (الهويات). قد تتضمن أساسيات الأمان (الهويات) الخدمات والتطبيقات والمستخدمين والمجموعات وما إلى ذلك. تساعد حلول إدارة الهوية والوصول من Microsoft تكنولوجيا المعلومات على حماية الوصول إلى التطبيقات والموارد عبر مركز بيانات الشركة وإلى السحابة. تتيح هذه الحماية مستويات إضافية من التحقق من الصحة، مثل المصادقة متعددة العوامل ونهج الوصول المشروط. تساعد مراقبة الأنشطة المشكوك فيها من خلال تقارير الأمان المتقدمة والتدقيق والتنبيه في التخفيف من مشكلات الأمان المحتملة. يوفر Microsoft Entra ID P1 أو P2 تسجيل الدخول الأحادي (SSO) لآلاف برامج السحابة كخدمة (SaaS) والوصول إلى تطبيقات الويب التي تقوم بتشغيلها محليا.

من خلال الاستفادة من مزايا الأمان لمعرف Microsoft Entra، يمكنك:

• أنشئ هوية واحدة لكل مستخدم وأدِرها عبر مؤسستك المختلطة، مع الحفاظ على مزامنة المستخدمين والمجموعات والأجهزة.
• توفير وصول SSO إلى تطبيقاتك، بما في ذلك الآلاف من تطبيقات SaaS المدمجة مسبقاً.
• تمكين أمان الوصول إلى التطبيق عن طريق فرض المصادقة متعددة العوامل المستندة إلى القواعد لكل من التطبيقات المحلية والسحابات.
• توفير وصول آمن عن بعد إلى تطبيقات الويب المحلية من خلال وكيل تطبيق Microsoft Entra.

الهدف من هذه المقالة هو توفير نظرة عامة عن ميزات أمان Azure الأساسية التي تساعد في إدارة الهوية. نوفر أيضاً روابط للمقالات التي تقدم تفاصيل عن كل ميزة حتى يتسنى لك معرفة المزيد.

تركز المقالة على إمكانات إدارة هوية الأساسية الخاصة بـ Azure التالية:

• تسجيل الدخول الأحادي
• الوكيل العكسي
• المصادقة متعددة العوامل
• التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC)
• المراقبة الأمنية والتنبيهات والتقارير المستندة إلى التعلم الآلي
• الهوية الخاصة بالمستهلك وإدارة الوصول
• تسجيل الجهاز
• إدارة الهويات المتميزة
• حماية الهوية
• إدارة الهوية المختلطة/ اتصال Azure AD
• مراجعات صلاحية الوصول إلى Microsoft Entra

تسجيل الدخول الأحادي

يعني تسجيل الدخول الأحادي (SSO) أن تكون قادراً على الوصول إلى جميع التطبيقات والموارد التي تحتاجها للقيام بأعمال، عن طريق تسجيل الدخول مرة واحدة فقط باستخدام حساب مستخدم واحد. بمجرد تسجيل الدخول، يمكنك الوصول إلى جميع التطبيقات التي تحتاجها دون الحاجة إلى المصادقة (على سبيل المثال، اكتب كلمة مرور) مرة ثانية.

تعتمد مؤسسات متعددة على تطبيقات SaaS مثل Microsoft 365 وBox وSalesforce لإنتاجية المستخدم. تاريخياً، كان موظفو تكنولوجيا المعلومات بحاجة إلى إنشاء حسابات المستخدمين وتحديثها بشكل فردي في كل تطبيق من تطبيقات SaaS، وكان على المستخدمين تذكر كلمة المرور الخاصة بكل تطبيق SaaS.

يوسع معرف Microsoft Entra بيئات Active Directory محلي إلى السحابة، ما يتيح للمستخدمين استخدام حسابهم التنظيمي الأساسي لتسجيل الدخول ليس فقط إلى أجهزتهم المرتبطة بالمجال وموارد الشركة، ولكن أيضا إلى جميع تطبيقات الويب وSaaS التي يحتاجونها لوظائفهم.

لا يقتصر الأمر على عدم اضطرار المستخدمين لإدارة مجموعات متعددة من أسماء المستخدمين وكلمات المرور، بل يمكنك توفير وصول التطبيق أو إلغاء توفيره تلقائياً، بناءً على مجموعاتهم التنظيمية وحالة الموظف. يقدم معرف Microsoft Entra عناصر التحكم في الأمان وحوكمة الوصول التي يمكنك من خلالها إدارة وصول المستخدمين مركزيا عبر تطبيقات SaaS.

اعرف المزيد‬:

• نظرة عامة على SSO
• فيديو عن أساسيات المصادقة
• سلسلة التشغيل السريع لإدارة التطبيقات

الوكيل العكسي

يتيح لك وكيل تطبيق Microsoft Entra نشر التطبيقات على شبكة خاصة، مثل مواقع SharePoint وOutlook Web App والتطبيقات المستندة إلى IIS داخل شبكتك الخاصة ويوفر وصولا آمنا للمستخدمين خارج شبكتك. يوفر وكيل التطبيق الوصول عن بعد وSSO للعديد من أنواع تطبيقات الويب المحلية مع الآلاف من تطبيقات SaaS التي يدعمها معرف Microsoft Entra. يمكن للموظفين تسجيل الدخول إلى التطبيقات الخاصة بك من المنزل على أجهزتهم الخاصة والمصادقة من خلال هذا الوكيل المستند إلى السحابة.

اعرف المزيد‬:

• تمكين وكيل تطبيق Microsoft Entra
• نشر التطبيقات باستخدام وكيل تطبيق Microsoft Entra
• تسجيل الدخول الأحادي باستخدام وكيل التطبيق
• العمل باستخدام الوصول المشروط

المصادقة متعددة العوامل

مصادقة Microsoft Entra متعددة العوامل هي طريقة مصادقة تتطلب استخدام أكثر من طريقة تحقق واحدة وتضيف طبقة ثانية هامة من الأمان إلى عمليات تسجيل دخول المستخدم والمعاملات. تساعد المصادقة متعددة العوامل على حماية الوصول إلى البيانات والتطبيقات أثناء تلبية طلب المستخدم لعملية تسجيل دخول بسيطة. كما أنها تقدم مصادقة قوية عبر مجموعة من خيارات التحقق: المكالمات الهاتفية أو الرسائل النصية أو إشعارات تطبيقات الأجهزة المحمولة أو رموز التحقق ورموز OAuth المميزة لجهات أخرى.

تعرف على المزيد: كيفية عمل مصادقة Microsoft Entra متعددة العوامل

Azure RBAC

Azure RBAC هو نظام ترخيص مبني على Azure Resource Manager يوفر إدارة وصول دقيقة لموارد Azure. يتيح لك Azure RBAC التحكم الدقيق في مستوى وصول المستخدمين. على سبيل المثال، يمكنك تقييد مستخدم لإدارة الشبكات الظاهرية فقط ومستخدم آخر لإدارة جميع الموارد في مجموعة موارد. يشتمل Azure على العديد من الأدوار الداخلية التي يُمكن استخدامها. فيما يلي أربعة أدوار مضمنة أساسية. يتم تطبيق الأدوار الثلاثة الأولى على كافة أنواع الموارد.

• المالك - لديه حق الوصول الكامل إلى جميع الموارد بما في ذلك الحق في تفويض الوصول إلى الآخرين.
• المساهم - يمكنه إنشاء جميع أنواع موارد Azure وإدارتها، لكن لا يمكنه منح حق الوصول للآخرين.
• القارئ - يمكنه عرض موارد Azure الموجودة.
• وصول المستخدم مسؤول istrator - يتيح لك إدارة وصول المستخدم إلى موارد Azure.

اعرف المزيد‬:

• ما المقصود بالتحكم في الوصول استناداً إلى الدور في Azure ‏(Azure RBAC)؟
• أدوار Azure المضمنة

المراقبة الأمنية والتنبيهات والتقارير المستندة إلى التعلم الآلي

يمكن أن تساعدك مراقبة الأمان والتنبيهات والتقارير المستندة إلى التعلّم الآلي التي تحدد أنماط الوصول غير المتسقة في حماية العمل الخاص بك. يمكنك استخدام الوصول إلى معرف Microsoft Entra وتقارير الاستخدام للحصول على رؤية حول تكامل دليل مؤسستك وأمانه. باستخدام هذه المعلومات، يمكن لمسؤول الدليل تحديد الأماكن التي من المرجح أن تكمن فيها مخاطر الأمان المحتملة بشكل أفضل حتى يتمكن من التخطيط بشكل مناسب للتخفيف من هذه المخاطر.

في مدخل Microsoft Azure، تقع التقارير في الفئات التالية:

• تقارير الحالات الخارجة عن المألوف: تحتوي على أحداث تسجيل الدخول التي وجدنا أنها غير طبيعية. هدفنا هو إطلاعك على مثل هذا النشاط وتمكينك من تحديد ما إذا كان الحدث مشكوكاً به أم لا.
• تقارير التطبيق المتكاملة:توفر تفاصيل حول كيفية استخدام التطبيقات السحابية في مؤسستك. يوفر معرف Microsoft Entra التكامل مع آلاف التطبيقات السحابية.
• تقارير الأخطاء: تشير إلى الأخطاء التي من المحتمل أن تحدث عند توفير حسابات لتطبيقات خارجية.
• تقارير خاصة بالمستخدم:تعرض بيانات نشاط تسجيل الدخول إلى الجهاز لمستخدم معين.
• سجلات النشاط : تحتوي على سجل لجميع الأحداث التي تم تدقيقها خلال آخر 24 ساعة، أو آخر 7 أيام، أو آخر 30 يوماً، وتغييرات نشاط المجموعة وإعادة تعيين كلمة المرور ونشاط التسجيل.

تعرف على المزيد: دليل تقارير معرف Microsoft Entra

الهوية الخاصة بالمستهلك وإدارة الوصول

متاجرة عمل-مستهلك Azure AD هي خدمة إدارة هوية عمومية ومتاحة للغاية للتطبيقات التي تواجه المستهلك والتي تتسع لمئات الملايين من الهويات. يمكن تكاملها عبر النظام الأساسي للويب والجوال. يمكن لعملائك تسجيل الدخول إلى جميع التطبيقات الخاصة بك من خلال تجارب قابلة للتخصيص باستخدام حساباتهم الاجتماعية الحالية أو عن طريق إنشاء بيانات اعتماد جديدة.

في الماضي، كان مطورو التطبيقات الذين يريدون تسجيل العملاء وتسجيل دخولهم في تطبيقاتهم يكتبون التعليمات البرمجية الخاصة بهم. وكانوا يستخدمون قواعد البيانات أو الأنظمة المحلية لتخزين أسماء المستخدمين وكلمات المرور. تتيح متاجرة عمل-مستهلك Azure AD لمؤسستك طريقة أفضل لدمج إدارة هوية المستهلك في التطبيقات بمساعدة نظام أساسي آمن قائم على المعايير ومجموعة كبيرة من السياسات القابلة للتوسيع.

عند استخدام متاجرة عمل-مستهلك Azure AD، يمكن للمستهلكين الاشتراك في تطبيقاتك باستخدام حساباتهم الاجتماعية الحالية (Facebook وGoogle وAmazon وLinkedIn) أو عن طريق إنشاء بيانات اعتماد جديدة (عنوان البريد الإلكتروني وكلمة المرور أو اسم المستخدم وكلمة المرور).

اعرف المزيد‬:

• ما هو Azure Active Directory B2C؟
• Azure Active Directory B2C: أنواع التطبيقات

تسجيل الجهاز

تسجيل جهاز Microsoft Entra هو الأساس لسيناريوهات الوصول المشروط المستندة إلى الجهاز. عند تسجيل جهاز، يوفر تسجيل جهاز Microsoft Entra للجهاز هوية يستخدمها لمصادقة الجهاز عند تسجيل دخول مستخدم. يمكن بعد ذلك استخدام الجهاز المصادق عليه وسمات الجهاز لفرض سياسات الوصول المشروط للتطبيقات التي تتم استضافتها في السحابة وفي الأماكن المحلية.

عند دمجها مع حل إدارة الأجهزة المحمولة مثل Intune، يتم تحديث سمات الجهاز في معرف Microsoft Entra بمعلومات إضافية حول الجهاز. يمكنك بعد ذلك إنشاء قواعد الوصول المشروط التي تفرض الوصول من الأجهزة لتلبية معايير الأمان والتوافق.

اعرف المزيد‬:

• بدء استخدام تسجيل جهاز Microsoft Entra
• التسجيل التلقائي للجهاز باستخدام معرف Microsoft Entra للأجهزة المرتبطة بمجال Windows

إدارة الهويات المتميزة

باستخدام Microsoft Entra إدارة الهويات المتميزة، يمكنك إدارة الهويات المتميزة والتحكم فيها ومراقبتها والوصول إلى الموارد في Microsoft Entra ID بالإضافة إلى microsoft خدمات الإنترنت الأخرى، مثل Microsoft 365 وMicrosoft Intune.

يحتاج المستخدمون أحياناً إلى تنفيذ عمليات مميزة في موارد Azure أو Microsoft 365، أو في تطبيقات SaaS الأخرى. غالبا ما تعني هذه الحاجة أن المؤسسات يجب أن تمنح المستخدمين وصولا مميزا دائما في Microsoft Entra ID. يمثل هذا الوصول خطراً أمنياً متزايداً للموارد المستضافة على السحابة، لأن المؤسسات لا تستطيع مراقبة ما يفعله المستخدمون بامتيازات المسؤول الخاصة بهم بشكل كافٍ. بالإضافة إلى ذلك، في حالة اختراق حساب مستخدم له حق الوصول المميز، فمن المحتمل أن يؤثر هذا الخرق على أمان السحابة العام للمؤسسة. يساعد Microsoft Entra إدارة الهويات المتميزة على التخفيف من هذه المخاطر.

باستخدام Microsoft Entra إدارة الهويات المتميزة، يمكنك:

• تعرف على المستخدمين الذين هم مسؤولو Microsoft Entra.
• تمكين الوصول الإداري عند الطلب وفي نفس الوقت (JIT) إلى خدمات Microsoft مثل Microsoft 365 وIntune.
• الحصول على تقارير عن محفوظات وصول المسؤول والتغييرات في تعيينات المسؤول.
• الحصول على تنبيهات عن الوصول إلى دور متميز.

اعرف المزيد‬:

• ما هو Microsoft Entra إدارة الهويات المتميزة؟
• تعيين أدوار دليل Microsoft Entra في PIM

حماية الهوية

Microsoft Entra ID Protection هي خدمة أمان توفر طريقة عرض موحدة في عمليات الكشف عن المخاطر والثغرات الأمنية المحتملة التي تؤثر على هويات مؤسستك. تستفيد Identity Protection من قدرات الكشف عن الحالات الشاذة الموجودة في Microsoft Entra، والتي تتوفر من خلال تقارير Microsoft Entra Anomalous Activity. تقدم حماية الهوية أيضاً أنواعاً جديدة للكشف عن المخاطر يمكنها اكتشاف الحالات الخارجة عن المألوف في الوقت الفعلي.

تعرف على المزيد: Microsoft Entra ID Protection

إدارة الهوية المختلطة (Microsoft Entra الاتصال)

تمتد حلول الهوية لـ Microsoft إلى الإمكانات المحلية والمستندة إلى السحابة، ما يؤدي إلى إنشاء هوية مستخدم واحدة للمصادقة والتخويل لجميع الموارد، بغض النظر عن الموقع. نسمي هذا هوية مختلطة. Microsoft Entra الاتصال هي أداة Microsoft المصممة لتحقيق أهداف الهوية المختلطة وإنجازها. يسمح لك هذا بتوفير هوية مشتركة للمستخدمين لتطبيقات Microsoft 365 وAzure وSaaS المتكاملة مع معرف Microsoft Entra. فهو يوفر الميزات التالية:

• تزامن
• خدمات الأمان المشترك لـ Active Directory وتكامل الاتحاد
• مصادقة المرور
• مراقبة السلامة

اعرف المزيد‬:

• هوية مختلطة لمستند تقني
• معرِّف Microsoft Entra

مراجعات صلاحية الوصول إلى Microsoft Entra

تمكن مراجعات الوصول إلى Microsoft Entra المؤسسات من إدارة عضويات المجموعة بكفاءة، والوصول إلى تطبيقات المؤسسة، وتعيينات الأدوار المتميزة.

تعرف على المزيد: مراجعات صلاحية الوصول إلى Microsoft Entra