ثقة معدومة خطة التوزيع مع Microsoft 365

مقالة
03/09/2023
قراءة خلال 4 دقائق

توفر هذه المقالة خطة توزيع لإنشاء أمان ثقة معدومة باستخدام Microsoft 365. ثقة معدومة هو نموذج أمان جديد يفترض الخرق ويتحقق من كل طلب كما لو أنه نشأ من شبكة غير خاضعة للرقابة. بغض النظر عن مكان إنشاء الطلب أو المورد الذي يصل إليه، يعلمنا نموذج ثقة معدومة "عدم الثقة أبدا، التحقق دائما".

استخدم هذه المقالة مع هذا الملصق.

البند	الوصف
Pdf \| Visio تم التحديث في فبراير 2023	إرشادات الحلول ذات الصلة نشر البنية الأساسية للهوية الخاصة بك ل Microsoft 365 تكوينات الهوية والوصول إلى الجهاز الموصى بها إدارة الأجهزة باستخدام Intune تقييم Microsoft 365 Defender وإعداد إصدار تجريبي منه نشر حل حماية المعلومات باستخدام Microsoft Purview نشر حماية المعلومات للوائح خصوصية البيانات باستخدام Microsoft 365

البند

الوصف

رسم توضيحي لخطة توزيع microsoft 365 ثقة معدومة.

Pdf | Visio
تم التحديث في فبراير 2023

إرشادات الحلول ذات الصلة

ثقة معدومة بنية الأمان

يمتد النهج ثقة معدومة في جميع أنحاء العقارات الرقمية بأكملها ويعمل كفلسفة أمنية متكاملة واستراتيجية شاملة.

يوفر هذا الرسم التوضيحي تمثيلا للعناصر الأساسية التي تساهم في ثقة معدومة.

في الرسم التوضيحي:

يقع فرض نهج الأمان في مركز بنية ثقة معدومة. يتضمن ذلك المصادقة متعددة العوامل مع الوصول المشروط الذي يأخذ في الاعتبار مخاطر حساب المستخدم وحالة الجهاز والمعايير والنهج الأخرى التي قمت بتعيينها.
يتم تكوين الهويات والأجهزة والبيانات والتطبيقات والشبكة ومكونات البنية الأساسية الأخرى بأمان مناسب. يتم تنسيق النهج التي تم تكوينها لكل مكون من هذه المكونات مع استراتيجية ثقة معدومة الشاملة. على سبيل المثال، تحدد نهج الجهاز معايير الأجهزة السليمة وتتطلب نهج الوصول المشروط أجهزة صحية للوصول إلى تطبيقات وبيانات محددة.
تراقب الحماية من التهديدات والاستخبارات البيئة، وتتعرض للمخاطر الحالية، وتتخذ إجراءات تلقائية لمعالجة الهجمات.

لمزيد من المعلومات حول ثقة معدومة، راجع مركز إرشادات ثقة معدومة من Microsoft.

توزيع ثقة معدومة ل Microsoft 365

تم إنشاء Microsoft 365 عن قصد مع العديد من قدرات الأمان وحماية المعلومات لمساعدتك في بناء ثقة معدومة في بيئتك. يمكن توسيع العديد من الإمكانات لحماية الوصول إلى تطبيقات SaaS الأخرى التي تستخدمها مؤسستك والبيانات داخل هذه التطبيقات.

يمثل هذا الرسم التوضيحي عمل نشر قدرات ثقة معدومة. يتم تقسيم هذا العمل إلى وحدات عمل يمكن تكوينها معا، بدءا من الأسفل والعمل إلى الأعلى لضمان اكتمال العمل الأساسي.

في هذا الرسم التوضيحي:

يبدأ ثقة معدومة بأساس من حماية الهوية والجهاز.
يتم بناء قدرات الحماية من التهديدات على رأس هذا الأساس لتوفير مراقبة ومعالجة التهديدات الأمنية في الوقت الحقيقي.
توفر حماية المعلومات وإدارتها ضوابط متطورة تستهدف أنواعا محددة من البيانات لحماية معلوماتك الأكثر قيمة ولمساعدتك على الامتثال لمعايير التوافق، بما في ذلك حماية المعلومات الشخصية.

تفترض هذه المقالة أنك قمت بالفعل بتكوين هوية السحابة. إذا كنت بحاجة إلى إرشادات لهذا الهدف، فشاهد نشر البنية الأساسية للهوية ل Microsoft 365.

الخطوة 1. تكوين حماية الهوية والوصول إلى الجهاز ثقة معدومة — نهج نقطة البداية

الخطوة الأولى هي إنشاء أساس ثقة معدومة الخاص بك عن طريق تكوين حماية الوصول إلى الهوية والجهاز.

انتقل إلى ثقة معدومة حماية الوصول إلى الهوية والجهاز للحصول على إرشادات توجيهية لإنجاز ذلك. تصف هذه السلسلة من المقالات مجموعة من تكوينات المتطلبات الأساسية للوصول إلى الهوية والجهاز ومجموعة من الوصول المشروط إلى Azure Active Directory (Azure AD) Microsoft Intune والنهج الأخرى لتأمين الوصول إلى Microsoft 365 لتطبيقات وخدمات سحابة المؤسسة وخدمات SaaS الأخرى والتطبيقات المحلية المنشورة باستخدام وكيل تطبيق Azure AD.

يتضمن	المتطلبات الأساسية	لا يتضمن
نهج الوصول إلى الهوية والجهاز الموصى بها لثلاثة مستويات من الحماية: نقطة البداية Enterprise (مستحسن) المتخصصه توصيات إضافية ل: المستخدمون الخارجيون (الضيوف) Microsoft Teams SharePoint Online Microsoft Defender for Cloud Apps	Microsoft E3 أو E5 Azure Active Directory في أي من هذين الوضعين: السحابة فقط مختلط مع مصادقة مزامنة تجزئة كلمة المرور (PHS) مختلط مع مصادقة المرور (PTA) الاتحاديه	تسجيل الجهاز للنهج التي تتطلب أجهزة مدارة. راجع الخطوة 2. إدارة نقاط النهاية باستخدام Intune لتسجيل الأجهزة

يتضمن

المتطلبات الأساسية

لا يتضمن

نهج الوصول إلى الهوية والجهاز الموصى بها لثلاثة مستويات من الحماية:

نقطة البداية
Enterprise (مستحسن)
المتخصصه

توصيات إضافية ل:

المستخدمون الخارجيون (الضيوف)
Microsoft Teams
SharePoint Online
Microsoft Defender for Cloud Apps

Microsoft E3 أو E5

Azure Active Directory في أي من هذين الوضعين:

السحابة فقط
مختلط مع مصادقة مزامنة تجزئة كلمة المرور (PHS)
مختلط مع مصادقة المرور (PTA)
الاتحاديه

تسجيل الجهاز للنهج التي تتطلب أجهزة مدارة. راجع الخطوة 2. إدارة نقاط النهاية باستخدام Intune لتسجيل الأجهزة

ابدأ بتنفيذ طبقة نقطة البداية. لا تتطلب هذه النهج تسجيل الأجهزة في الإدارة.

الخطوة 2. إدارة نقاط النهاية باستخدام Intune

بعد ذلك، قم بتسجيل أجهزتك في الإدارة وابدأ في حماية هذه الأجهزة بعناصر تحكم أكثر تطورا.

انتقل إلى إدارة الأجهزة باستخدام Intune للحصول على إرشادات توجيهية لإنجاز ذلك.

يتضمن	المتطلبات الأساسية	لا يتضمن
تسجيل الأجهزة باستخدام Intune: الأجهزة المملوكة للشركات Autopilot/automated التسجيل تكوين النهج: نهج حماية التطبيقات نهج التوافق نهج ملف تعريف الجهاز	تسجيل نقاط النهاية باستخدام Azure AD	تكوين قدرات حماية المعلومات، بما في ذلك: أنواع المعلومات الحساسة تسميات نهج DLP للحصول على هذه الإمكانات، راجع الخطوة 5. حماية البيانات الحساسة وإدارتها (لاحقا في هذه المقالة).

يتضمن

المتطلبات الأساسية

لا يتضمن

تسجيل الأجهزة باستخدام Intune:

الأجهزة المملوكة للشركات
Autopilot/automated
التسجيل

تكوين النهج:

نهج حماية التطبيقات
نهج التوافق
نهج ملف تعريف الجهاز

تسجيل نقاط النهاية باستخدام Azure AD

تكوين قدرات حماية المعلومات، بما في ذلك:

أنواع المعلومات الحساسة
تسميات
نهج DLP

للحصول على هذه الإمكانات، راجع الخطوة 5. حماية البيانات الحساسة وإدارتها (لاحقا في هذه المقالة).

الخطوة 3. إضافة ثقة معدومة حماية الهوية والوصول إلى الجهاز — نهج المؤسسة

مع الأجهزة المسجلة في الإدارة، يمكنك الآن تنفيذ المجموعة الكاملة من نهج الهوية والوصول إلى الجهاز ثقة معدومة الموصى بها، والتي تتطلب أجهزة متوافقة.

ارجع إلى نهج الوصول إلى الهوية والجهاز الشائعة وأضف النهج في مستوى المؤسسة.

الخطوة 4. تقييم Microsoft 365 Defender واختبارها وتوزيعها

Microsoft 365 Defender هو حل موسع للكشف والاستجابة (XDR) يجمع بيانات الإشارة والتهديد والتنبيه ويربطها ويحللها تلقائيا من خلال بيئة Microsoft 365، بما في ذلك نقطة النهاية والبريد الإلكتروني والتطبيقات والهويات.

انتقل إلى Evaluate and pilot Microsoft 365 Defender للحصول على دليل منهجي لتجربة مكونات Microsoft 365 Defender ونشرها.

يتضمن	المتطلبات الأساسية	لا يتضمن
إعداد بيئة التقييم والتجريب لجميع المكونات: Defender for Identity Defender for Office 365 Defender لنقطة النهاية Microsoft Defender for Cloud Apps الحماية من التهديدات التحقق من التهديدات والاستجابة لها	راجع الإرشادات لقراءة متطلبات البنية لكل مكون من مكونات Microsoft 365 Defender.	Azure AD حماية الهوية غير مضمنة في دليل الحل هذا. يتم تضمينه في الخطوة 1. تكوين حماية الهوية والوصول إلى الجهاز ثقة معدومة.

الخطوة 5. حماية البيانات الحساسة والتحكم فيها

تنفيذ حماية البيانات في Microsoft Purview لمساعدتك في اكتشاف المعلومات الحساسة وتصنيفها وحمايتها أينما كانت أو تنتقل.

يتم تضمين قدرات حماية البيانات في Microsoft Purview مع Microsoft Purview وتعطيك الأدوات اللازمة لمعرفة بياناتك وحماية بياناتك ومنع فقدان البيانات.

بينما يتم تمثيل هذا العمل في أعلى مكدس التوزيع الموضح سابقا في هذه المقالة، يمكنك بدء هذا العمل في أي وقت.

يوفر حماية البيانات في Microsoft Purview إطار عمل وعملية وقدرات يمكنك استخدامها لتحقيق أهداف عملك المحددة.

حماية المعلومات في Microsoft Purview

لمزيد من المعلومات حول كيفية تخطيط حماية المعلومات وتوزيعها، راجع نشر حل حماية البيانات في Microsoft Purview.

إذا كنت تقوم بنشر حماية المعلومات للوائح خصوصية البيانات، فإن دليل الحل هذا يوفر إطار عمل موصى به للعملية بأكملها: نشر حماية المعلومات للوائح خصوصية البيانات باستخدام Microsoft 365.