تخطيط إعدادات الأمان الافتراضية

  • 2 دقائق

قد تكون إدارة الأمان صعبة مع الهجمات الشائعة المتعلقة بالهوية مثل الهجوم بنشر كلمة المرور، وإعادة التشغيل، والتصيد الاحتيالي الذي أصبح أكثر شيوعًا. توفر إعدادات الأمان الافتراضية إعدادات افتراضية آمنة تقوم Microsoft بإدارتها نيابة عن المؤسسات للحفاظ على أمان العملاء حتى تصبح المؤسسات جاهزة لإدارة قصة أمان الهوية الخاصة بها. توفر إعدادات الأمان الافتراضية إعدادات أمان تم تكوينها مسبقًا، مثل:

  • مطالبة جميع المستخدمين بالتسجيل للمصادقة متعددة العوامل.

  • مطالبة المسؤولين بإجراء مصادقة متعددة العوامل.

  • حظر بروتوكولات المصادقة القديمة.

  • مطالبة المستخدمين بإجراء مصادقة متعددة العوامل عند الضرورة.

  • حماية الأنشطة المميزة مثل الوصول إلى مدخل Azure.

    لقطة شاشة لمركز إدارة Microsoft Entra مع التبديل لتمكين الإعدادات الافتراضية للأمان.

التوافر

تتوفر افتراضيات أمان Microsoft للجميع. الهدف هو ضمان تمكين جميع المؤسسات من مستوى أساسي من الأمان دون أي تكلفة إضافية. تشغيل إعدادات الأمان الافتراضية في المدخل Azure. إذا تم إنشاء مستأجر في 22 أكتوبر 2019 أو بعده، فمن المحتمل أن تكون إعدادات الأمان الافتراضية ممكنة بالفعل في المستأجر. لحماية جميع مستخدمينا، يتم نشر ميزة إعدادات الأمان الافتراضية لجميع المستأجرين الجدد الذين تم إنشاؤهم.

لمن ذلك؟

من الذي يجب أن يستخدم الإعدادات الافتراضية للأمان؟ من الذي لا ينبغي له استخدام الإعدادات الافتراضية للأمان؟
المنظمات التي ترغب في زيادة وضعها الأمني ولكنها لا تعرف كيف أو أين تبدأ المؤسسات التي تستخدم حاليًا نُهج الوصول المشروط لجمع الإشارات معًا، واتخاذ القرارات، وفرض النُهج التنظيمية
المؤسسات التي تستخدم المستوى المجاني من ترخيص معرف Microsoft Entra المؤسسات التي لها تراخيص Microsoft Entra ID Premium
المؤسسات التي لها متطلبات أمان معقدة تتطلب استخدام الوصول المشروط

النُهج التي تم فرضها

تسجيل مصادقة موحدة متعددة العوامل

يجب على جميع المستخدمين في المستأجر التسجيل للمصادقة متعددة العوامل (MFA) في شكل مصادقة متعددة العوامل. لدى المستخدمين 14 يوما للتسجيل للمصادقة متعددة العوامل داخل معرف Microsoft Entra باستخدام تطبيق Microsoft Authenticator. بعد مرور 14 يومًا، لن يتمكن المستخدم من تسجيل الدخول حتى يتم إكمال التسجيل. تبدأ فترة 14 يومًا للمستخدم بعد تسجيل الدخول التفاعلي الناجح الأول بعد تمكين إعدادات الأمان الافتراضية.

حماية المسؤولين

المستخدمون الذين لديهم وصول متميز لديهم وصول أكبر إلى البيئة الخاصة بك. نظرًا إلى قوة هذه الحسابات، يجب عليك التعامل معها بعناية خاصة. ومن الطرق الشائعة لتحسين حماية الحسابات المتميزة اشتراط وجود شكل أقوى للتحقق من الحساب لتسجيل الدخول. في Microsoft Entra ID، يمكنك الحصول على تحقق أقوى من الحساب من خلال طلب مصادقة متعددة العوامل.

بعد الانتهاء من التسجيل باستخدام المصادقة متعددة العوامل، سيطلب من أدوار مسؤول Microsoft Entra التسعة التالية إجراء مصادقة إضافية في كل مرة يقومون فيها بتسجيل الدخول:

  • مسؤول العمومي
  • مسؤول SharePoint
  • مسؤول Exchange
  • مسؤول الوصول المشروط
  • مسؤول الأمان
  • مسؤول مكتب المساعدة
  • مسؤول الفوترة
  • مسؤول المستخدم
  • مسؤول المصادقة

حماية جميع المستخدمين

نميل إلى الاعتقاد بأن حسابات المسؤول هي الحسابات الوحيدة التي تحتاج إلى طبقات إضافية من المصادقة. يتمتع المسؤولون بالوصول الواسع إلى المعلومات الهامة ويمكنهم إجراء تغييرات على الإعدادات التي تشمل الاشتراك. ولكن كثيرًا ما يستهدف المهاجمون المستخدمين النهائيين.

بعد أن يتمكن هؤلاء المهاجمون من الوصول، يمكنهم طلب الوصول إلى معلومات مميزة نيابة عن صاحب الحساب الأصلي. يمكنهم حتى تحميل الدليل بأكمله لتنفيذ هجوم تصيد احتيالي على مؤسستك بأكملها.

إحدى الطرق الشائعة لتحسين الحماية لكافة المستخدمين هي طلب نموذج أقوى للتحقق من الحساب، مثل المصادقة متعددة العوامل، لكل شخص. بعد أن يكمل المستخدمون تسجيل المصادقة متعددة العوامل، ستتم مطالبتهم بمصادقة إضافية كلما لزم الأمر. تحمي هذه الوظيفة جميع التطبيقات المسجلة بمعرف Microsoft Entra، بما في ذلك تطبيقات SaaS.

حظر المصادقة القديمة

لمنح المستخدمين وصولا سهلا إلى تطبيقات السحابة الخاصة بك، يدعم معرف Microsoft Entra مجموعة متنوعة من بروتوكولات المصادقة، بما في ذلك المصادقة القديمة. تُعد المصادقة القديمة عبارة عن طلب مصادقة يتم إجراؤه بواسطة:

  • عملاء لا يستخدمون مصادقة حديثة (على سبيل المثال، عميل Office 2010). تتضمن المصادقة الحديثة عملاء تنفيذ بروتوكولات، مثل OAuth 2.0، لدعم ميزات مثل المصادقة متعددة العوامل والبطاقات الذكية. عادةً ما تدعم المصادقة القديمة آليات أقل أمانًا مثل كلمات المرور.
  • العميل الذي يستخدم بروتوكولات البريد مثل IMAP أو SMTP أو POP3.

اليوم، تأتي غالبية محاولات تسجيل الدخول ذات الخلل من المصادقة القديمة. المصادقة القديمة لا تعتمد المصادقة متعددة العوامل. حتى إذا كان لديك نهج مصادقة متعددة العوامل ممكّن على الدليل الخاص بك، يمكن لمخترق أن يجري المصادقة باستخدام بروتوكول أقدم وتجاوز المصادقة متعددة العوامل.

بعد تمكين إعدادات الأمان الافتراضية في المستأجر الخاص بك، سيتم حظر كافة طلبات المصادقة التي تم إجراؤها بواسطة بروتوكول أقدم. تحظر إعدادات الأمان الافتراضية مصادقة Exchange Active Sync الأساسية.