كيفية تطبيق نموذج الثقة المعدومة باستخدام Entra ID وIntune

كيفية تطبيق نموذج الثقة المعدومة باستخدام Entra ID وIntune

02/08/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تنفيذ نموذج أمان Zero Trust باستخدام إمكانات Microsoft Entra ID (المعروف سابقًا باسم Azure Active Directory) وMicrosoft Intune. نموذج الثقة المعدومة، الذي تأسس على مبدأ "لا تثق مطلقًا، تحقق دائمًا"، هو نهج أمني حديث يفترض أنه لا ينبغي الوثوق تلقائيًا في أي طلب وصول، بغض النظر عن مصدره أو المورد الذي يحاول الوصول إليه [1].

مقدمة

مع توسع العمل عن بعد، وانتشار الأجهزة الشخصية والانتقال إلى السحابة، أصبح محيط الأمان التقليدي لشبكات الشركات قديمًا. يظهر نموذج الثقة المعدومة كاستجابة لهذا السيناريو الجديد، الذي يتطلب التحقق الصريح لكل محاولة وصول، ومنح الوصول بأقل الامتيازات وافتراض حدوث انتهاك دائمًا. يعد Microsoft Entra ID وMicrosoft Intune مكونين أساسيين لبناء بنية قوية لثقة معدومة، وحماية الهويات ونقاط النهاية، على التوالي [2].

سيغطي هذا الدليل العملي مبادئ Zero Trust وسيوضح كيفية تكوين ودمج Microsoft Entra ID وMicrosoft Intune لتطبيق هذه المبادئ. سيتم توفير إرشادات خطوة بخطوة وأمثلة التكوين وطرق التحقق حتى يتمكن القارئ من تنفيذ وتعزيز الوضع الأمني ​​لمؤسسته من خلال نهج الثقة المعدومة.

مبادئ الثقة المعدومة

يعتمد نموذج الثقة المعدومة على ثلاثة مبادئ أساسية [3]:

  1. التحقق الصريح: قم دائمًا بالمصادقة والتفويض استنادًا إلى جميع نقاط البيانات المتاحة، بما في ذلك هوية المستخدم والموقع وسلامة الجهاز وحساسية الموارد والحالات الشاذة.
  2. استخدام أقل امتيازات الوصول: قم بتقييد وصول المستخدم إلى ما هو ضروري فقط. استخدم Just-In-Time (JIT) وJust-Enough Access (JEA)، والسياسات التكيفية القائمة على المخاطر، وحماية البيانات لحماية البيانات والإنتاجية.
  3. افترض الاختراق: قلل من نطاق الانفجار والوصول إلى الأجزاء. تحقق من التشفير الشامل واستخدم التحليلات للحصول على الرؤية واكتشاف التهديدات وتحسين الدفاعات.

المتطلبات الأساسية

لتنفيذ نموذج الثقة المعدومة باستخدام Microsoft Entra ID وIntune، ستحتاج إلى العناصر التالية:

  1. الترخيص: التراخيص المناسبة لـ Microsoft Entra ID Premium P1 أو P2 (للوصول المشروط) وMicrosoft Intune (عادةً جزء من حزم Microsoft 365 E3/E5 أو EMS E3/E5) [4].
  2. الوصول الإداري: حسابات تتمتع بأذونات المسؤول العام أو مسؤول الأمان أو مسؤول Intune على بوابات مركز إدارة Microsoft Entra (entra.microsoft.com) ومركز إدارة Microsoft Endpoint Manager (endpoint.microsoft.com).
  3. الأجهزة المسجلة في Intune: أجهزة Windows 10/11 مسجلة بالفعل ومدارة بواسطة Microsoft Intune.
  4. الهويات في معرف Microsoft Entra: تتم مزامنة المستخدمين والمجموعات أو إنشاؤها في معرف Microsoft Entra.

خطوة بخطوة: تطبيق نموذج الثقة المعدومة

سنركز على كيفية عمل Microsoft Entra ID وIntune معًا لفرض مبادئ الثقة المعدومة، وخاصة "التحقق الصريح" و"استخدام أقل امتيازات الوصول".

1. تعزيز الهوية باستخدام معرف Microsoft Entra

يعد Microsoft Entra ID العمود الفقري لـ Zero Trust للهويات، مما يضمن وصول المستخدمين الذين تم التحقق منهم فقط.

1.1. تنفيذ المصادقة متعددة العوامل (MFA)

يعد أسلوب التمويل المتعدد (MFA) مكونًا أساسيًا لمبدأ "التحقق الصريح".

  1. تكوين MFA عبر الوصول المشروط: كما هو مفصل في المادة 3، قم بإنشاء سياسة وصول مشروط لطلب MFA لجميع المستخدمين، أو لمجموعات محددة، أو للوصول من خارج شبكة الشركة.
    • في مركز إدارة تسجيل الدخول إلى Microsoft، انتقل إلى الحماية > الوصول المشروط.
    • قم بإنشاء سياسة جديدة بالإعدادات التالية:
      • المهام > مستخدمو الهوية أو أعباء العمل: حدد جميع المستخدمين (باستثناء حسابات الطوارئ).
      • موارد أو إجراءات السحابة: جميع تطبيقات السحابة.
      • المنحة: حدد تتطلب مصادقة متعددة العوامل.
      • تمكين السياسة: ممكّن.

1.2. تمكين حماية هوية Azure AD

تكتشف حماية الهوية نقاط الضعف التي تؤثر على هويات مؤسستك، وتقوم بتكوين سياسات تلقائية قائمة على المخاطر لحماية تلك الهويات، وتتحقق من الأنشطة المحفوفة بالمخاطر [5].

  1. في مركز إدارة تسجيل دخول Microsoft، انتقل إلى الحماية > حماية الهوية.
  2. سياسات مخاطر المستخدم: قم بتكوين هذه السياسة للمطالبة بـ MFA أو إعادة تعيين كلمة المرور للمستخدمين ذوي المخاطر المتوسطة أو العالية.
    • الأدوار > المستخدمون: حدد جميع المستخدمين.
    • الشروط > مخاطر المستخدم: حدد متوسط ​​وأعلى.
    • عناصر التحكم > الوصول: منح الوصول و يتطلب إعادة تعيين كلمة المرور أو يتطلب مصادقة متعددة العوامل.
    • تمكين السياسة: ممكّن.
  3. سياسات مخاطر الإدخال: قم بتكوين هذه السياسة لمنع أو طلب MFA للمدخلات الخطرة.
    • الأدوار > المستخدمون: حدد جميع المستخدمين.
    • الشروط > خطر الدخول: حدد متوسط ​​وأعلى.
    • عناصر التحكم > الوصول: منح الوصول و يتطلب مصادقة متعددة العوامل (أو حظر الوصول للمخاطر العالية).
    • تمكين السياسة: ممكّن.

2. ضمان تكامل نقطة النهاية مع Microsoft Intune

يضمن Intune أن الأجهزة التي تصل إلى موارد الشركة سليمة ومتوافقة من خلال تطبيق مبدأ "الفحص الصريح" على الجهاز.

2.1. إنشاء سياسات توافق الجهاز

تحدد سياسات الامتثال متطلبات الأمان التي يجب أن يفي بها الجهاز حتى يعتبر متوافقًا. قد يتم حظر أو تقييد وصول الأجهزة غير المتوافقة عبر الوصول المشروط.

  1. في مركز إدارة Microsoft Endpoint Manager (https://endpoint.microsoft.com)، انتقل إلى Endpoint Security > Device Compliance > Policies.
  2. انقر إنشاء سياسة.
  3. النظام الأساسي: Windows 10 والإصدارات الأحدث.
  4. إعدادات الامتثال:
    • سلامة الجهاز: يتطلب BitLocker، والتمهيد الآمن، وما إلى ذلك.
    • أمان الجهاز: يتطلب برنامج مكافحة الفيروسات (مثل Microsoft Defender Antivirus)، وجدار الحماية، وكلمات المرور المعقدة، وما إلى ذلك.
    • خصائص الجهاز: تتطلب الحد الأدنى من إصدار نظام التشغيل.
  5. إجراءات عدم الامتثال: قم بتكوين إجراءات مثل وضع علامة على الجهاز باعتباره غير متوافق فورًا أو بعد فترة سماح.
  6. المهام: قم بتعيين السياسة لمجموعات أجهزة Windows ذات الصلة.

2.2. إنشاء ملفات تعريف تكوين الجهاز

تسمح لك ملفات تعريف التكوين بنشر إعدادات أمان محددة، مثل إعدادات جدار الحماية وإعدادات أمان Microsoft Defender وقيود الجهاز.

  1. في مركز إدارة Microsoft Endpoint Manager، انتقل إلى الأجهزة > Windows > ملفات تعريف التكوين.
  2. انقر إنشاء ملف تعريف.
  3. النظام الأساسي: Windows 10 والإصدارات الأحدث.
  4. نوع الملف الشخصي: حدد قوالب مثل حماية نقطة النهاية لتكوين برنامج الحماية من الفيروسات وجدار الحماية لـ Microsoft Defender، أو قيود الجهاز لتعطيل ميزات معينة.
  5. قم بتكوين إعدادات الأمان وفقًا لأفضل ممارسات مؤسستك.
  6. المهام: قم بتعيين ملف التعريف لمجموعات أجهزة Windows ذات الصلة.

3. دمج معرف Entra وIntune مع الوصول المشروط

الوصول المشروط هو المحرك الذي يجمع سياسات الهوية (معرف Entra) والجهاز (Intune) لفرض الثقة المعدومة.

3.1. قم بإنشاء سياسة الوصول المشروط للمطالبة بجهاز متوافق

ستضمن هذه السياسة أن الأجهزة التي تفي بمعايير الامتثال الخاصة بـ Intune هي فقط التي يمكنها الوصول إلى التطبيقات السحابية.

  1. في مركز إدارة تسجيل دخول Microsoft، انتقل إلى الحماية > الوصول المشروط.
  2. انقر فوق سياسة جديدة > إنشاء سياسة جديدة.
  3. الاسم: يتطلب جهازًا متوافقًا للوصول.
  4. المهام > مستخدمو الهوية أو أعباء العمل: حدد جميع المستخدمين (باستثناء حسابات الطوارئ).
  5. الموارد أو الإجراءات السحابية: جميع تطبيقات السحابة.
  6. الشروط (اختياري): يمكنك إضافة شروط مثل "الأنظمة الأساسية للأجهزة" لنظام التشغيل Windows.
  7. منحة:
    • حدد منح الوصول.
    • حدد يلزم وضع علامة على الجهاز على أنه مدعوم. انقر فوق سيلإلخ *.
  8. تمكين السياسة: ممكّن.
  9. انقر إنشاء.

التحقق والاختبار

يعد التحقق من صحة تنفيذ الثقة المعدومة أمرًا بالغ الأهمية لضمان عمل السياسات كما هو متوقع.

1. اختبار الوصول من جهاز متوافق

  1. على جهاز Windows متوافق ومُدار بواسطة Intune، حاول الوصول إلى تطبيق سحابي (على سبيل المثال: portal.office.com).
  2. يجب منح الوصول بعد مصادقة المستخدم (وMFA، إذا تم تكوينه).

2. اختبار الوصول من جهاز غير متوافق

  1. على جهاز يعمل بنظام التشغيل Windows غير متوافق (على سبيل المثال، قم بتعطيل جدار الحماية، أو قم بتغيير إصدار نظام التشغيل إلى إصدار غير مسموح به بموجب سياسة توافق Intune، أو استخدم جهازًا غير مُدار).
  2. حاول الوصول إلى تطبيق سحابي (مثل "portal.office.com").
  3. يجب حظر الوصول، ويجب أن يتلقى المستخدم رسالة تشير إلى أن الجهاز غير متوافق ولا يمكنه الوصول إلى المورد.

3. مراقبة تقارير الوصول المشروط

  1. في مركز إدارة تسجيل دخول Microsoft، انتقل إلى الحماية > الوصول المشروط > التقارير.
  2. قم بمراجعة سجلات الإدخال لمعرفة سياسات الوصول المشروط التي تم تطبيقها والنتيجة (النجاح، الفشل، التقرير فقط).

نصائح أمنية وأفضل الممارسات

  • البدء صغيرًا والتوسع تدريجيًا: تنفيذ سياسات الثقة المعدومة في مجموعات الاختبار قبل التوسع على مستوى المؤسسة لتقليل الاضطرابات.
  • التعليم والتواصل: قم بإبلاغ المستخدمين بالتغييرات بوضوح وتوفير التدريب حول كيفية الحفاظ على توافق أجهزتهم وكيفية استخدام المصادقة متعددة العوامل (MFA).
  • المراقبة المستمرة: مراقبة تقارير امتثال Intune وسجلات الوصول المشروط وحماية الهوية بشكل منتظم لتحديد أي ثغرات أو حالات شاذة.
  • الوصول الأقل امتيازًا: ادمج سياسات الوصول المشروط مع PIM (إدارة الهوية المميزة) لضمان أن الوصول المميز يتم في الوقت المناسب ويكفي فقط.
  • افتراض الخرق: قم بتكوين Microsoft Defender لنقطة النهاية للكشف المتقدم عن تهديدات نقطة النهاية وMicrosoft Sentinel لتنسيق الأمان والاستجابة التلقائية.
  • المراجعة الدورية: قم بمراجعة سياسات الثقة المعدومة وتعديلها بانتظام للتكيف مع التغييرات في بيئة التهديدات ومتطلبات العمل.

استكشاف الأخطاء وإصلاحها الشائعة

  • تم حظر الوصول بشكل غير متوقع: تحقق من سجلات تسجيل الدخول للوصول المشروط لتحديد السياسة التي تمنع الوصول. تحقق من سياسات توافق Intune للجهاز المتأثر.
  • الجهاز غير متوافق: تحقق من حالة توافق جهازك في Intune. قد يكون السبب هو أن الجهاز لم يتلق السياسات، أو أن بعض التكوينات تمنع الامتثال (على سبيل المثال، برنامج مكافحة الفيروسات المعطل، الإصدار القديم من نظام التشغيل).
  • تضارب السياسات: قم بمراجعة جميع سياسات الوصول المشروط والامتثال للتأكد من عدم وجود استثناءات أو تضمينات متعارضة قد تؤدي إلى سلوك غير متوقع.
  • مشكلات المزامنة: تأكد من مزامنة الأجهزة والمستخدمين بشكل صحيح مع Intune وAzure AD، على التوالي.

الخلاصة

يعد تطبيق نموذج الثقة المعدومة بمثابة استراتيجية أمنية أساسية لحماية المؤسسات في المشهد الرقمي الحالي. من خلال الاستفادة من Microsoft Entra ID لإدارة الهويات وMicrosoft Intune لضمان سلامة نقطة النهاية، يمكن للشركات تنفيذ نهج أمني قوي يتحقق بشكل صريح من كل طلب وصول ويعمل على أساس مبدأ الامتياز الأقل. يؤدي دمج هذه الأدوات من خلال الوصول المشروط إلى إنشاء دفاع قوي وقابل للتكيف، مما يضمن أن المستخدمين والأجهزة الموثوقة فقط هي التي يمكنها الوصول إلى موارد الشركة، بغض النظر عن موقعها. إن الرحلة إلى الثقة المعدومة مستمرة وتتطلب مراقبة وتحسينًا مستمرين، ولكن الفوائد من حيث تقليل المخاطر وتعزيز الأمان لا تقدر بثمن.

المراجع:

[1] مايكروسوفت تعلم. ما هي الثقة المعدومة؟. متوفر على: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] مايكروسوفت تعلم. ثقة معدومة مع Microsoft Intune. متاح على: https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] مايكروسوفت تعلم. المبادئ التوجيهية لسياسة انعدام الثقة. متوفر على: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] مايكروسوفت تعلم. ترخيص لمعرف إدخال Microsoft. متوفر على: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] مايكروسوفت تعلم. ما هي حماية الهوية؟. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection