مشاركة عبر

تكوين أمان مدخل Microsoft 365 Lighthouse

  • مقالة

تعد حماية الوصول إلى بيانات العملاء عندما يقوم موفر الخدمة المدارة (MSP) بتفويض أذونات الوصول إلى مستأجريه أولوية أمان عبر الإنترنت. يأتي Microsoft 365 Lighthouse مزودا بكل من الإمكانات المطلوبة والاختيارية لمساعدتك في تكوين أمان مدخل Lighthouse. يجب إعداد أدوار محددة مع تمكين المصادقة متعددة العوامل (MFA) قبل أن تتمكن من الوصول إلى Lighthouse. يمكنك اختياريا إعداد Microsoft Entra إدارة الهويات المتميزة (PIM) والوصول المشروط.

إعداد المصادقة متعددة العوامل (MFA)

كما هو مذكور في منشور المدونة الخاص بك Pa$$word لا يهم:

"لا يهم كلمة المرور الخاصة بك، ولكن المصادقة متعددة العوامل لا تهم. واستنادا إلى دراساتنا، يقل احتمال تعرض حسابك للخطر بنسبة تزيد عن 99.9٪ إذا كنت تستخدم المصادقة متعددة العوامل."

عندما يصل المستخدمون إلى Lighthouse للمرة الأولى، ستتم مطالبتهم بإعداد المصادقة متعددة العوامل إذا لم يتم تكوين حساب Microsoft 365 الخاص بهم بالفعل. لن يتمكن المستخدمون من الوصول إلى Lighthouse حتى تكتمل خطوة إعداد المصادقة متعددة العوامل المطلوبة. لمعرفة المزيد حول أساليب المصادقة، راجع إعداد تسجيل الدخول إلى Microsoft 365 للمصادقة متعددة العوامل.

إعداد التحكم في الوصول المستند إلى الدور

يمنح التحكم في الوصول المستند إلى الدور (RBAC) الوصول إلى الموارد أو المعلومات استنادا إلى أدوار المستخدم. يقتصر الوصول إلى بيانات المستأجر العميل وإعداداته في Lighthouse على أدوار محددة من برنامج Cloud Solution Provider (CSP). لإعداد أدوار التحكم في الوصول استنادا إلى الدور في Lighthouse، نوصي باستخدام امتيازات المسؤول المفوضة الدقيقة (GDAP) لتنفيذ التعيينات الدقيقة للمستخدمين. لا تزال امتيازات المسؤول المفوض (DAP) مطلوبة للمستأجر للإلحاق بنجاح، ولكن سيتمكن عملاء GDAP فقط قريبا من الإلحاق دون تبعية على DAP. أذونات GDAP لها الأسبقية عند وجود DAP وGDAP للعميل.

لإعداد علاقة GDAP، راجع الحصول على أذونات المسؤول الدقيقة لإدارة خدمة العميل. لمزيد من المعلومات حول الأدوار التي نوصي باستخدام Lighthouse، راجع نظرة عامة على الأذونات في Microsoft 365 Lighthouse.

يمكن لفنيي MSP أيضا الوصول إلى Lighthouse باستخدام أدوار عامل مسؤول أو وكيل مكتب المساعدة عبر امتيازات المسؤول المفوضة (DAP).

بالنسبة للإجراءات غير المتعلقة بالمستأجرين من العملاء في Lighthouse (على سبيل المثال، الإلحاق، إلغاء تنشيط/إعادة تنشيط العميل، إدارة العلامات، مراجعة السجلات)، يجب أن يكون لفنيي MSP دور معين في المستأجر الشريك. راجع نظرة عامة على الأذونات في Microsoft 365 Lighthouse لمزيد من التفاصيل حول أدوار المستأجر الشريك.

إعداد Microsoft Entra إدارة الهويات المتميزة (PIM)

يمكن ل MSPs تقليل عدد الأشخاص الذين لديهم حق الوصول إلى دور عالي الامتياز للحصول على معلومات أو موارد آمنة باستخدام PIM. يقلل PIM من فرصة وصول شخص ضار إلى الموارد أو المستخدمين المعتمدين الذين يؤثرون عن غير قصد على مورد حساس. يمكن ل MSPs أيضا منح المستخدمين أدوار امتياز عالية في الوقت المناسب للوصول إلى الموارد وإجراء تغييرات واسعة ومراقبة ما يفعله المستخدمون المعينون مع وصولهم المتميز.

ملاحظة

يتطلب استخدام Microsoft Entra PIM ترخيص P2 لمعرف Microsoft Entra في المستأجر الشريك.

ترفع الخطوات التالية مستخدمي المستأجر الشريك إلى أدوار امتيازات أعلى ذات نطاق زمني باستخدام PIM:

  1. إنشاء مجموعة قابلة لتعيين الأدوار كما هو موضح في المقالة إنشاء مجموعة لتعيين الأدوار في معرف Microsoft Entra.

  2. انتقل إلى معرف Microsoft Entra - جميع المجموعات وأضف المجموعة الجديدة كعضو في مجموعة أمان لأدوار ذات امتيازات عالية (على سبيل المثال، مجموعة أمان مسؤول Agents ل DAP أو مجموعة أمان ذات أحرف مماثلة لأدوار GDAP).

  3. قم بإعداد الوصول المتميز إلى المجموعة الجديدة كما هو موضح في المقالة تعيين المالكين والأعضاء المؤهلين لمجموعات الوصول المتميزة.

لمعرفة المزيد حول PIM، راجع ما هي إدارة الهويات المتميزة؟

إعداد الوصول المشروط Microsoft Entra المستند إلى المخاطر

قد يستخدم MSPs الوصول المشروط المستند إلى المخاطر للتأكد من أن موظفيهم يثبتون هويتهم باستخدام المصادقة متعددة العوامل وتغيير كلمة المرور الخاصة بهم عند اكتشافها كمستخدم محفوف بالمخاطر (مع بيانات اعتماد مسربة أو وفقا Microsoft Entra التحليل الذكي للمخاطر). يجب على المستخدمين أيضا تسجيل الدخول من موقع مألوف أو جهاز مسجل عند اكتشافه كسجل دخول محفوف بالمخاطر. تتضمن السلوكيات الخطرة الأخرى تسجيل الدخول من عنوان IP ضار أو مجهول أو من موقع سفر غير نمطي أو مستحيل، أو باستخدام رمز مميز شاذ، أو استخدام كلمة مرور من نشر كلمة المرور، أو إظهار سلوك تسجيل دخول غير عادي آخر. اعتمادا على مستوى مخاطر المستخدم، قد تختار MSPs أيضا حظر الوصول عند تسجيل الدخول. لمعرفة المزيد حول المخاطر، راجع ما هي المخاطر؟

ملاحظة

يتطلب الوصول المشروط ترخيص معرف P2 Microsoft Entra في المستأجر الشريك. لإعداد الوصول المشروط، راجع تكوين Microsoft Entra الوصول المشروط.

المحتويات ذات الصلة

أذونات إعادة تعيين كلمة المرور (مقالة)
نظرة عامة على الأذونات في Microsoft 365 Lighthouse (مقالة)
عرض أدوار Microsoft Entra في Microsoft 365 Lighthouse (مقالة)
متطلبات Microsoft 365 Lighthouse (مقالة)
نظرة عامة على Microsoft 365 Lighthouse (مقالة)
التسجيل في Microsoft 365 Lighthouse (مقالة)
الأسئلة المتداولة حول Microsoft 365 Lighthouse (مقالة)