تكوين مستأجر Microsoft 365 لزيادة الأمان

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

تتطلب احتياجاتك التنظيمية الأمان.

التفاصيل متروكة لعملك.

ترشدك هذه المقالة خلال التكوين اليدوي للإعدادات على مستوى المستأجر التي تؤثر على أمان بيئة Microsoft 365. استخدم هذه التوصيات كنقطة بداية.

ضبط نهج حماية EOP Defender لـ Office 365 في مدخل Microsoft Defender

يحتوي مدخل Microsoft Defender على قدرات لكل من الحماية وإعداد التقارير. يحتوي على لوحات معلومات يمكنك استخدامها لمراقبة التهديدات واتخاذ إجراء عند ظهورها.

كخطوة أولية، تحتاج إلى تكوين سجلات مصادقة البريد الإلكتروني في DNS لجميع مجالات البريد الإلكتروني المخصصة في Microsoft 365 (SPF وDKIM وDMARC). يقوم Microsoft 365 تلقائيا بتكوين مصادقة البريد الإلكتروني لمجال *.onmicrosoft.com. لمزيد من المعلومات، راجع الخطوة 1: تكوين مصادقة البريد الإلكتروني لمجالات Microsoft 365.

ملاحظة

بالنسبة إلى عمليات التوزيع غير القياسية ل SPF وعمليات التوزيع المختلطة واستكشاف الأخطاء وإصلاحها: قم بإعداد SPF للمساعدة في منع تزييف الهوية.

تأتي معظم ميزات الحماية في Exchange Online Protection (EOP) Defender لـ Office 365 مع تكوينات النهج الافتراضية. لمزيد من المعلومات، راجع الجدول هنا.

نوصي بتشغيل واستخدام نهج الأمان القياسية و/أو الصارمة المعينة مسبقا لجميع المستلمين. لمزيد من المعلومات، راجع المقالات التالية:

• تشغيل نهج الأمان المعينة مسبقا وتكوينها: نهج الأمان المعينة مسبقا في EOP Microsoft Defender لـ Office 365.
• الفرق في الإعدادات بين نهج الأمان القياسية والصارمة المحددة مسبقا: إعدادات النهج في نهج الأمان المحددة مسبقا.
• قائمة كاملة بجميع الميزات والإعدادات في النهج الافتراضية ونهج الأمان القياسية المحددة مسبقا ونهج الأمان الصارمة المحددة مسبقا: الإعدادات الموصى بها ل EOP والأمان Microsoft Defender لـ Office 365.

النهج المخصصة مطلوبة إذا كانت احتياجات العمل لمؤسستك تتطلب إعدادات نهج مختلفة عن أو لم يتم تعريفها في نهج الأمان المحددة مسبقا. أو، إذا كانت مؤسستك تتطلب تجربة مستخدم مختلفة للرسائل المعزولة (بما في ذلك الإعلامات). لمزيد من المعلومات، راجع تحديد استراتيجية نهج الحماية.

عرض لوحات المعلومات والتقارير في مدخل Microsoft Defender

في مدخل Defender في https://security.microsoft.com تحديد التقارير. أو، للانتقال مباشرة إلى صفحة التقارير ، استخدم https://security.microsoft.com/securityreports.

في صفحة التقارير ، يمكنك عرض معلومات حول اتجاهات الأمان وتتبع حالة الحماية للهويات والبيانات والأجهزة والتطبيقات والبنية الأساسية.

تصبح البيانات الموجودة في هذه التقارير أكثر ثراء حيث تستخدم مؤسستك خدمات Office 365 (ضع هذه النقطة في الاعتبار إذا كنت تقوم بالتجريب أو الاختبار). في الوقت الحالي، كن على دراية بما يمكنك مراقبته واتخاذ إجراء بشأنه.

في صفحة التقارير في https://security.microsoft.com/securityreports، حدد البريد الإلكتروني & التعاون>البريد الإلكتروني & تقارير التعاون.

في صفحة Email & collaboration reports التي تفتح، لاحظ البطاقات المتوفرة. في أي بطاقة، حدد عرض التفاصيل للتعمق في البيانات. لمزيد من المعلومات، راجع المقالات التالية:

• عرض تقارير أمان البريد الإلكتروني في مدخل Microsoft Defender
• عرض تقارير Defender لـ Office 365 في مدخل Microsoft Defender

تتوفر تقارير تدفق البريد ونتائج التحليلات في مركز إدارة Exchange (EAC). لمزيد من المعلومات، راجع تقارير تدفق البريد ونتائج تحليلات تدفق البريد.

|إذا كنت تحقق في هجوم على المستأجر أو تواجهه، فاستخدم مستكشف التهديدات (أو عمليات الكشف في الوقت الحقيقي) لتحليل التهديدات. يعرض لك المستكشف (وتقرير الاكتشافات في الوقت الحقيقي) حجم الهجمات بمرور الوقت، ويمكنك تحليل هذه البيانات حسب عائلات التهديدات والبنية الأساسية للمهاجمين والمزيد. يمكنك أيضا وضع علامة على أي بريد إلكتروني مريب لقائمة الحوادث.

اعتبارات إضافية

للحصول على معلومات حول الحماية من برامج الفدية الضارة، راجع المقالات التالية:

• الحماية من برامج الفدية الضارة
• الحماية من البرامج الضارة وبرامج الفدية الضارة في Microsoft 365
• أدلة مبادئ الاستجابة لحوادث برامج الفدية الضارة

تكوين نهج المشاركة على مستوى المستأجر في مركز إدارة SharePoint

توصيات Microsoft لتكوين مواقع فريق SharePoint بمستويات متزايدة من الحماية، بدءا من الحماية الأساسية. لمزيد من المعلومات، راجع توصيات النهج لتأمين مواقع SharePoint وملفاته.

تسمح مواقع فريق SharePoint التي تم تكوينها على مستوى الأساس بمشاركة الملفات مع مستخدمين خارجيين باستخدام ارتباطات الوصول المجهولة. يوصى بهذا الأسلوب بدلا من إرسال الملفات بالبريد الإلكتروني.

لدعم أهداف الحماية الأساسية، قم بتكوين نهج المشاركة على مستوى المستأجر كما هو مستحسن هنا. يمكن أن تكون إعدادات المشاركة للمواقع الفردية أكثر تقييدا من هذا النهج على مستوى المستأجر، ولكن ليس أكثر تساهلا.

منطقه	يتضمن نهج افتراضي	توصية
المشاركة (SharePoint Online OneDrive for Business)	نعم	يتم تمكين المشاركة الخارجية بشكل افتراضي. يوصى بهذه الإعدادات: السماح بالمشاركة للمستخدمين الخارجيين المصادق عليهم واستخدام ارتباطات الوصول المجهولة (الإعداد الافتراضي). تنتهي صلاحية ارتباطات الوصول المجهول في هذه الأيام العديدة. أدخل رقما، إذا رغبت في ذلك، مثل 30 يوما. نوع > الارتباط الافتراضي حدد داخلي (الأشخاص في المؤسسة فقط). يجب على المستخدمين الذين يرغبون في المشاركة باستخدام ارتباطات مجهولة اختيار هذا الخيار من قائمة المشاركة. مزيد من المعلومات: نظرة عامة على المشاركة الخارجية

يتضمن مركز إدارة SharePoint ومركز إدارة OneDrive for Business نفس الإعدادات. تنطبق الإعدادات في أي من مركزي الإدارة على كليهما.

تكوين الإعدادات في Microsoft Entra ID

تأكد من زيارة هاتين المنطقتين في Microsoft Entra ID لإكمال الإعداد على مستوى المستأجر لبيئات أكثر أمانا.

تكوين المواقع المسماة (ضمن الوصول المشروط)

إذا كانت مؤسستك تتضمن مكاتب ذات وصول آمن إلى الشبكة، أضف نطاقات عناوين IP الموثوق بها إلى Microsoft Entra ID كمواقع مسماة. تساعد هذه الميزة في تقليل عدد الإيجابيات الخاطئة المبلغ عنها لأحداث مخاطر تسجيل الدخول.

راجع: المواقع المسماة في Microsoft Entra ID

حظر التطبيقات التي لا تدعم المصادقة الحديثة

تتطلب المصادقة متعددة العوامل تطبيقات تدعم المصادقة الحديثة. لا يمكن حظر التطبيقات التي لا تدعم المصادقة الحديثة باستخدام قواعد الوصول المشروط.

بالنسبة للبيئات الآمنة، تأكد من تعطيل المصادقة للتطبيقات التي لا تدعم المصادقة الحديثة. يمكنك القيام بذلك في Microsoft Entra ID باستخدام عنصر تحكم قادم قريبا.

في هذه الأثناء، استخدم إحدى الطرق التالية لمنع الوصول إلى التطبيقات في SharePoint Online OneDrive for Business التي لا تدعم المصادقة الحديثة:

• مركز إدارة SharePoint:

  1. في مركز إدارة SharePoint في https://admin.microsoft.com/sharepoint، انتقل إلى>نهج التحكم في الوصول.
  2. في صفحة التحكم في الوصول ، حدد التطبيقات التي لا تستخدم المصادقة الحديثة.
  3. في القائمة المنبثقة التطبيقات التي لا تستخدم المصادقة الحديثة التي تفتح، حدد حظر الوصول، ثم حدد حفظ.

• PowerShell: راجع حظر التطبيقات التي لا تستخدم المصادقة الحديثة.

بدء استخدام Defender for Cloud Apps أو أمان التطبيقات على السحابة لـ Office 365

استخدم microsoft 365 أمان التطبيقات على السحابة لتقييم المخاطر والتنبيه بشأن النشاط المشبوه واتخاذ إجراء تلقائيا. يتطلب خطة Office 365 E5.

أو استخدم Microsoft Defender for Cloud Apps للحصول على رؤية أعمق حتى بعد منح الوصول وعناصر تحكم شاملة وحماية محسنة لجميع تطبيقات السحابة الخاصة بك، بما في ذلك Office 365.

نظرا لأن هذا الحل يوصي بخطة EMS E5، نوصيك بالبدء ب Defender for Cloud Apps حتى تتمكن من استخدامها مع تطبيقات SaaS الأخرى في بيئتك. ابدأ بالنهج والإعدادات الافتراضية.

مزيد من المعلومات:

• توزيع Defender for Cloud Apps
• مزيد من المعلومات حول Microsoft Defender for Cloud Apps
• ما هو Defender for Cloud Apps؟

موارد إضافية

توفر هذه المقالات والأدلة معلومات توجيهية إضافية لتأمين بيئة Microsoft 365 الخاصة بك:

• إرشادات أمان Microsoft للحملات السياسية والمنظمات غير الربحية والمؤسسات المرنة الأخرى (يمكنك استخدام هذه التوصيات في أي بيئة، خاصة بيئات السحابة فقط)

• نهج الأمان والتكوينات الموصى بها للهويات والأجهزة (تتضمن هذه التوصيات تعليمات لبيئات AD FS)