تكوين Microsoft Intune لتصحيح الأمان وإدارة التحديثات

تكوين Microsoft Intune لتصحيح الأمان وإدارة التحديثات

02/08/2025

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تكوين واستخدام Microsoft Intune لإدارة تصحيحات الأمان والتحديثات بشكل فعال على أجهزة Windows. في مشهد التهديدات السيبرانية الذي يتطور باستمرار، يعد الحفاظ على تحديث أنظمة التشغيل والتطبيقات أحد أهم الممارسات الأمنية لتخفيف نقاط الضعف وحماية المؤسسة من الهجمات. يقدم Microsoft Intune، باعتباره أحد حلول إدارة نقاط النهاية الموحدة (UEM)، أدوات قوية لأتمتة عملية التحديث والتحكم فيها [1].

مقدمة

يعد عدم وجود تصحيحات وتحديثات أمنية أحد الأسباب الرئيسية للانتهاكات الأمنية. كثيرًا ما يستغل المهاجمون الثغرات الأمنية المعروفة في أنظمة التشغيل والبرامج، مما يجعل عملية إدارة التصحيح الفعالة والمؤتمتة أمرًا ضروريًا. في بيئات المؤسسات الحديثة، مع القوى العاملة الموزعة ومجموعة متنوعة من الأجهزة، تصبح إدارة التحديث اليدوي غير عملية وعرضة للأخطاء. هذا هو المكان الذي يتألق فيه Microsoft Intune، حيث يوفر نظامًا أساسيًا مركزيًا لإدارة التحديثات ونشرها على أجهزة Windows، مما يضمن بقائها آمنة ومتوافقة [2].

يتيح لك Microsoft Intune إدارة أنواع مختلفة من تحديثات Windows، بما في ذلك تحديثات الجودة، التي توفر إصلاحات أمنية وغير متعلقة بالأمان، وتحديثات الميزات، التي توفر وظائف وتحسينات جديدة. من خلال سياسات حلقات التحديث وملفات تعريف تحديث الميزات، يمكن للمسؤولين التحكم في وقت وكيفية نشر التحديثات، مما يتيح النشر المرحلي لتقليل المخاطر وضمان التوافق. بالإضافة إلى ذلك، يوفر Intune ميزات لمراقبة حالة توافق التحديثات واستكشاف المشكلات وإصلاحها [3].

سيغطي هذا الدليل الإرشادي إعداد ملفات تعريف حلقات التحديث وتحديثات الميزات في Intune، ونشر التحديثات على أجهزة Windows، ومراقبة توافق التحديث، واستخدام التقارير لتحديد المشكلات وحلها. سيتم توفير تعليمات خطوة بخطوة وأمثلة عملية وشروحات موجزة حتى يتمكن القارئ من تنفيذ هذه الميزات واختبارها والتحقق من صحتها. بالإضافة إلى ذلك، ستتم مناقشة النصائح الأمنية والتحقق من الامتثال وأفضل الممارسات لضمان إدارة التحديثات الأمنية والتصحيحات الفعالة والمستقلة والمهنية والموثوقة.

ما سبب أهمية Microsoft Intune لإدارة التصحيح؟

  • الأتمتة والكفاءة: تعمل على أتمتة تسليم التحديثات، مما يقلل العبء الإداري ويضمن تحديث الأجهزة دائمًا.
  • التحكم الدقيق: يسمح للمسؤولين بتعيين سياسات تفصيلية حول متى يتم تطبيق تحديثات الأجهزة وكيفية تطبيقها وعلى أي منها، مما يدعم عمليات الطرح المرحلية.
  • الأمان المحسّن: يضمن تطبيق أحدث الإصلاحات الأمنية بسرعة، مما يقلل من نقاط الضعف ويحمي من عمليات الاستغلال المعروفة.
  • الامتثال: يساعد في الحفاظ على امتثال الأجهزة لسياسات الأمان الداخلي والمتطلبات التنظيمية.
  • الرؤية وإعداد التقارير: توفر لوحات معلومات وتقارير لمراقبة حالة التحديث، وتحديد الأجهزة غير المتوافقة، واستكشاف المشكلات وإصلاحها.
  • تجربة المستخدم: تتيح لك تكوين النوافذ الزمنية النشطة وإعادة تشغيل المواعيد النهائية لتقليل تأثير التحديثات على إنتاجية المستخدم.

المتطلبات الأساسية

لتكوين Microsoft Intune لإدارة تصحيحات الأمان والتحديثات، ستحتاج إلى العناصر التالية:

  1. الترخيص: ترخيص Microsoft Intune (مضمن بشكل عام مع اشتراكات Microsoft 365 E3/E5 وEnterprise Mobility + Security E3/E5) [4].
  2. الوصول الإداري: حساب بدور المسؤول العام أو مسؤول خدمة Intune في مركز إدارة Microsoft Intune (https://intune.microsoft.com).
  3. أجهزة Windows المسجلة: أجهزة Windows 10/11 المسجلةتم إنشاؤها في Microsoft Intune. يجب تكوين الأجهزة لتلقي التحديثات من Windows Update (Windows Update for Business) [5].

خطوة بخطوة: تكوين Microsoft Intune لإدارة التصحيح

دعونا نقوم بتكوين سياسات التحديث لأجهزة Windows.

1. إنشاء حلقات التحديث لنظام التشغيل Windows

حلقات التحديث هي سياسات تدير كيفية ووقت تطبيق التحديثات الجودة والتحديثات غير المتعلقة بالأمان على الأجهزة.

  1. افتح المتصفح الخاص بك وانتقل إلى مركز إدارة Microsoft Intune: https://intune.microsoft.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.
  3. في جزء التنقل الأيمن، حدد الأجهزة > بواسطة النظام الأساسي > Windows.
  4. ضمن "إدارة التحديثات"، حدد Windows Update Rings.

  5. انقر فوق "+ إنشاء ملف تعريف".

  6. الأساسيات:

    • الاسم: أعط اسمًا ذا معنى (على سبيل المثال: `Anel_Atualizacao_Piloto_Windows).
    • الوصف: قدم وصفًا واضحًا (على سبيل المثال، رنين التحديث للمجموعة التجريبية، بأقل قدر من التأخير.).

  7. انقر فوق "التالي".

  8. تحديث إعدادات الرنين:

    • إعدادات تحديث الجودة:
      • مستوى صيانة تحديثات الجودة: قناة التوفر العامة.
      • فترة تأجيل تحديثات الجودة (أيام): 0 (للمجموعة التجريبية، لتلقي التحديثات في أسرع وقت ممكن). بالنسبة للمجموعات الأكبر، يمكنك تعيين 3 إلى 7 أيام.
      • فترة تأجيل تحديث برنامج التشغيل (أيام): 0 (أو قيمة أكبر لاختبار برامج التشغيل).
    • إعدادات تحديثات الميزات:
      • مستوى صيانة تحديثات الميزات: قناة التوفر العامة.
      • فترة تأجيل تحديث الميزة (أيام): 0 (للمجموعة التجريبية). بالنسبة للمجموعات الأكبر، يمكنك تعيين 30 إلى 60 يومًا.
    • إعدادات تجربة المستخدم النهائي:
      • سلوك التحديث التلقائي: التثبيت وإعادة التشغيل تلقائيًا في وقت الصيانة.
      • إعادة التشغيل بعد التثبيت: إعادة التشغيل التلقائي في وقت الصيانة.
      • الساعات النشطة: الساعات النشطة التي يتحكم فيها المستخدم.
      • الموعد النهائي لإعادة التشغيل (أيام): 2 (للمجموعة التجريبية). للمجموعات الأكبر، من 5 إلى 7 أيام.

  9. انقر فوق "التالي".

  10. علامات النطاق: قم بإضافة علامات النطاق بشكل اختياري. انقر فوق "التالي".

  11. المهام: قم بتعيين حلقة التحديث هذه لمجموعة أجهزة Azure AD (على سبيل المثال، Pilot_Device_Group).

  12. انقر فوق "التالي".

  13. مراجعة + إنشاء: راجع الإعدادات وانقر على إنشاء.

    • شرح: يجب عليك إنشاء حلقات تحديث متعددة (على سبيل المثال، تجريبي، سريع، بطيء) مع فترات تأجيل مختلفة للسماح بطرح التحديثات على مراحل، مما يقلل من مخاطر مشكلات التوافق.

2. إنشاء ملفات تعريف تحديثات الميزات لنظام التشغيل Windows (تحديثات الميزات لنظام التشغيل Windows 10 والإصدارات الأحدث)

تسمح لك ملفات تعريف تحديث الميزات باستهداف الأجهزة لإصدار معين من Windows (مثل Windows 11 22H2).

  1. في جزء التنقل الأيمن بمركز إدارة Microsoft Intune، حدد الأجهزة > بواسطة النظام الأساسي > Windows.
  2. ضمن "إدارة التحديثات"، حدد تحديثات ميزات نظام التشغيل Windows 10 والإصدارات الأحدث.

  3. انقر فوق "+ إنشاء ملف تعريف".

  4. الأساسيات:

    • الاسم: أعط اسمًا ذا معنى (على سبيل المثال: Atualizacao_Recurso_Windows11_23H2).
    • الوصف: قدم وصفًا واضحًا (على سبيل المثال، نشر Windows 11 23H2 على الأجهزة المؤهلة.).

  5. انقر فوق "التالي".

  6. إعدادات تحديث الميزات:

    • إصدار المورد الذي سيتم نشره: حدد الإصدار المطلوب (على سبيل المثال: Windows 11، الإصدار 23H2).
    • تاريخ التوفر: قم بتعيين التاريخ الذي سيكون فيه التحديث متاحًا للأجهزة.
    • تاريخ الانتهاء: يمكنك اختياريًا تحديد تاريخ انتهاء لعرض الترقية.

  7. انقر فوق "التالي".

  8. علامات النطاق: قم بإضافة علامات النطاق بشكل اختياري. انقر فوق "التالي".

  9. المهام: قم بتعيين ملف التعريف هذا لمجموعة أجهزة Azure AD (على سبيل المثال: Windows11_Device_Group).

  10. انقر فوق "التالي".

  11. مراجعة + إنشاء:راجع الإعدادات وانقر على إنشاء.

    • الشرح: سيضمن ملف التعريف هذا أن الأجهزة الموجودة في المجموعة المخصصة تتلقى الإصدار المحدد من Windows 11 23H2. من المهم اختبار تحديثات الميزات في مجموعات أصغر قبل نشرها على نطاق واسع.

3. مراقبة حالة التحديث

يقدم Intune لوحات معلومات وتقارير لمراقبة تقدم التحديث والامتثال له.

  1. في جزء التنقل الأيمن بمركز إدارة Microsoft Intune، حدد الأجهزة > بواسطة النظام الأساسي > Windows.
  2. ضمن "إدارة التحديثات"، حدد Windows Update Rings.
  3. انقر فوق حلقة التحديث التي تريد مراقبتها (على سبيل المثال: `Anel_Atualizacao_Piloto_Windows).

  4. في النظرة العامة على حلقة التحديث، يمكنك رؤية "حالة نشر الجهاز" و"حالة تحديث المستخدم"، والتي توضح عدد الأجهزة المتوافقة، وعدد الأجهزة التي بها أخطاء، وما إلى ذلك.

  5. للحصول على تقارير أكثر تفصيلاً، في جزء التنقل الأيمن بمركز إدارة Intune، حدد التقارير > تحديثات Windows.

  6. يمكنك هنا العثور على تقارير مثل "تقرير توافق Windows Update" و"تقرير تحديثات ميزات Windows" للحصول على عرض شامل لحالة التحديثات في مؤسستك.

التحقق والاختبار

من المهم اختبار سياسات التحديث للتأكد من أنها تعمل كما هو متوقع وأن الأجهزة تتلقى التحديثات بشكل صحيح.

1. اختبار حلقات التحديث (تحديثات الجودة)

  1. السيناريو: قم بتسجيل جهاز Windows اختباري في Intune وقم بتعيينه إلى Pilot_Device_Group.
  2. الإجراء المتوقع: يجب أن يتلقى الجهاز تحديثات الجودة ويقوم بتثبيتها وفقًا لسياسة Anel_Atualizacao_Piloto_Windows (مع تأخير لمدة 0 يوم، أي بسرعة).
  3. التحقق:
    • على جهاز الاختبار، انتقل إلى "الإعدادات" > "Windows Update" وتحقق من سجل التحديث.
    • في مركز إدارة Intune، تحقق من "حالة نشر الجهاز" لـ "Anel_Atualizacao_Piloto_Windows" و"تقرير توافق Windows Update" للتأكد من توافق الجهاز.
    • الأمر على الجهاز (PowerShell كمسؤول): بوويرشيل الحصول على WindowsUpdateLog
      • شرح: يقوم هذا الأمر بإنشاء سجل مفصل لأنشطة Windows Update، وهو مفيد لاستكشاف الأخطاء وإصلاحها.

2. اختبار ملفات تعريف تحديث الموارد

  1. السيناريو: قم بتسجيل جهاز Windows اختباري في Intune وقم بتعيينه إلى Windows11_Device_Group.
  2. الإجراء المتوقع: يجب أن يتلقى الجهاز تحديث ميزات Windows 11، الإصدار 23H2 ويقوم بتثبيته.
  3. التحقق:
    • على جهاز الاختبار، انتقل إلى "الإعدادات" > "النظام" > "حول" وتحقق من "إصدار Windows".
    • في مركز إدارة Intune، تحقق من "حالة نشر الجهاز" لملف التعريف "Atualizacao_Recurso_Windows11_23H2" و"تقرير تحديثات ميزات Windows".

نصائح أمنية وأفضل الممارسات

  • إستراتيجية حلقة التحديث: قم بتنفيذ إستراتيجية حلقة التحديث المرحلية (على سبيل المثال، تجريبي، صغير، متوسط، كبير) لاختبار التحديثات على مجموعة فرعية من الأجهزة قبل نشرها على نطاق واسع. وهذا يقلل من خطر الانقطاعات.
  • صيانة Windows: قم بتكوين نوافذ الصيانة وإعادة تشغيل المواعيد النهائية التي تقلل من التأثير على إنتاجية المستخدم، ولكن تأكد من تطبيق التحديثات في الوقت المناسب.
  • المراقبة المستمرة: مراقبة تقارير توافق التحديث بانتظام في Intune وإعداد التنبيهات للأجهزة غير المتوافقة أو التي بها خطأ في التحديث.
  • اختبار التوافق: قبل نشر تحديثات الميزات الرئيسية، قم بإجراء اختبار التوافق مع التطبيقات والأجهزة المهمة في بيئتك.
  • تحسين التسليم: استخدم ميزات مثل تحسين التسليم لتقليل استهلاك النطاق الترددي للشبكة عند توزيع التحديثات عبر مؤسستك.
  • إدارة برنامج التشغيل: كن حذرًا بشأن تحديثات برنامج التشغيل. فكر في تأخير تحديثات برنامج التشغيل أو اختبارها على نطاق واسع قبل النشر على نطاق واسع، حيث يمكن أن تتسبب برامج التشغيل التي بها مشكلات في حدوث أعطال.القدرة في النظام.
  • التكامل مع Microsoft Defender لنقطة النهاية: يعمل Intune وDefender for Endpoint معًا لضمان أمان نقطة النهاية. يمكن أن يوفر Defender for Endpoint رؤى حول نقاط الضعف التي يمكن إصلاحها باستخدام التصحيحات.

استكشاف الأخطاء وإصلاحها الشائعة

  • الأجهزة لا تتلقى التحديثات:
    • تأكد من تسجيل الجهاز في Intune ومن تعيين سياسات حلقة التحديث/الميزات لمجموعة الأجهزة الصحيحة.
    • على جهازك، تحقق من الاتصال بـ Windows Update. قم بتشغيل "wuauclt.exe /reportnow" (لنظام التشغيل Windows 10) أو "usoclient StartScan" (لنظام التشغيل Windows 11) من موجه الأوامر.
    • تحقق من سجلات Windows Update على الجهاز باستخدام "Get-WindowsUpdateLog" في PowerShell.
    • التحقق من إعدادات "الساعات النشطة" في Intune؛ إذا كان الجهاز دائمًا خلال ساعات النشاط، فقد لا تتم إعادة تشغيله لتثبيت التحديثات.
  • فشل تثبيت التحديثات:
    • تحقق من سجلات Windows Update الموجودة على الجهاز بحثًا عن رموز خطأ محددة.
    • تأكد من أن جهازك يحتوي على مساحة كافية على القرص.
    • قد تكون مشكلات التوافق مع البرامج أو برامج التشغيل الموجودة هي السبب. اختبار في بيئة تسيطر عليها.
    • التحقق من اتصال شبكة الجهاز بخدمات Windows Update.
  • لا تظهر الأجهزة على أنها متوافقة في تقارير Intune:
    • قد يستغرق الأمر بعض الوقت حتى يتم الإبلاغ عن حالة الامتثال إلى Intune. انتظر بضع ساعات.
    • تأكد من أن جهازك نشط ويتصل بـ Intune.
    • التحقق من تعيين سياسات الامتثال بشكل صحيح للجهاز.
  • الإيجابيات الكاذبة (يبدو أن الجهاز غير متوافق، ولكنه محدث):
    • التحقق يدويًا من حالة التحديثات على الجهاز. إذا كان محدثًا، فقد يكون ذلك تأخيرًا في إعداد تقارير Intune.
    • أعد تشغيل خدمة Intune Client Management على الجهاز (net stop dmwappushservice && net start dmwappushservice).

الخلاصة

يعد Microsoft Intune أداة لا غنى عنها لإدارة تصحيحات الأمان والتحديثات في بيئات Windows. من خلال أتمتة نشر تحديثات الجودة والميزات وتوفير التحكم الدقيق في العملية، يمكّن Intune المؤسسات من الحفاظ على أجهزتها آمنة ومتوافقة مع أحدث وسائل الحماية ضد التهديدات السيبرانية. يعد تنفيذ إستراتيجية حلقة التحديث، إلى جانب المراقبة المستمرة والحل الاستباقي للمشكلات، أمرًا بالغ الأهمية لضمان بيئة تكنولوجيا معلومات مرنة. باستخدام هذا الدليل العملي، سيكون متخصصو الأمان ومسؤولو تكنولوجيا المعلومات مجهزين تجهيزًا جيدًا لتكوين Microsoft Intune والتحقق من صحته وإدارته، مما يعزز وضع أمان نقطة النهاية لديهم ويحمي أصول مؤسستهم.

المراجع:

[1] مايكروسوفت تعلم. إدارة تحديثات برامج Windows في Intune. متوفر على: https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2] مايكروسوفت تعلم. ما هو Microsoft Intune؟. متوفر على: https://learn.microsoft.com/pt-br/intune/overview [3] مايكروسوفت تعلم. إدارة تحديثات Windows باستخدام Intune. متوفر على: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4] مايكروسوفت تعلم. ترخيص Microsoft Intune. متوفر على: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5] مايكروسوفت تعلم. قم بإعداد حلقات تحديث Windows في Intune. متوفر على: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6] مايكروسوفت تعلم. قم بتكوين تحديثات الميزات لنظام التشغيل Windows 10 والإصدارات الأحدث في Intune. متوفر على: [https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updates](https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-upda(تيس) [7] مايكروسوفت تعلم. تقارير Windows Update في Intune. متوفر على: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports