إنشاء سياسات أمان في Intune لحماية أجهزة Windows

إنشاء سياسات أمان في Intune لحماية أجهزة Windows

01/08/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في إنشاء وتنفيذ سياسات أمان قوية في Microsoft Intune لحماية أجهزة Windows. يوفر Microsoft Intune، وهو جزء من Microsoft Endpoint Manager، حلاً شاملاً لإدارة نقاط النهاية الموحدة، مما يمكّن المؤسسات من إدارة الأجهزة وحماية البيانات وضمان الامتثال لسياسات الأمان بغض النظر عن مكان وجود الأجهزة [1].

مقدمة

في مكان العمل الحديث، حيث يمكن أن تكون الأجهزة مملوكة للشركة أو شخصية (BYOD) ويمكنها الوصول إلى موارد الشركة من أي مكان، أصبح أمان نقطة النهاية أكثر أهمية من أي وقت مضى. يعمل Microsoft Intune على تبسيط إدارة سياسات الأمان وتنفيذها على أجهزة Windows، مما يضمن استيفائها لمعايير الشركة قبل الوصول إلى البيانات الحساسة [2].

سيغطي هذا الدليل العملي إنشاء أنواع مختلفة من سياسات الأمان في Intune، مثل سياسات الامتثال وملفات تعريف تكوين الجهاز، مع التركيز على سيناريوهات العالم الحقيقي وتوفير إرشادات خطوة بخطوة، وأمثلة للتكوينات، وطرق التحقق من الصحة. الهدف هو تمكين القارئ من تنفيذ هذه السياسات بشكل فعال وتحسين الوضع الأمني ​​لمؤسستهم.

لماذا نستخدم Intune لسياسات الأمان؟

يوفر Intune العديد من المزايا لإدارة أمان أجهزة Windows:

  • الإدارة الموحدة: إدارة أجهزة Windows وmacOS وiOS/iPadOS وAndroid من وحدة تحكم واحدة.
  • الامتثال المستمر: يضمن تلبية الأجهزة لمتطلبات الأمان قبل الوصول إلى موارد الشركة.
  • الأتمتة: تعمل على أتمتة عملية نشر إعدادات الأمان والتحديثات والتطبيقات.
  • التكامل: يتكامل مع حلول Microsoft الأخرى، مثل Azure AD (معرف Microsoft Entra) للوصول المشروط وMicrosoft Defender لنقطة النهاية للحماية المتقدمة من التهديدات.
  • المرونة: تدعم سيناريوهات متنوعة، بدءًا من أجهزة الشركة المُدارة بالكامل وحتى BYOD.

المتطلبات الأساسية

لمتابعة هذا البرنامج التعليمي، سوف تحتاج إلى العناصر التالية:

  1. الترخيص: ترخيص صالح لـ Microsoft Intune. غالبًا ما يتم تضمينه في حزم مثل التراخيص المستقلة لـ Microsoft 365 E3 أو E5 أو F1 أو F3 أو Enterprise Mobility + Security (EMS) [3].
  2. الوصول الإداري: حساب يتمتع بأذونات المسؤول العالمي أو مسؤول Intune في مركز إدارة Microsoft Endpoint Manager (https://endpoint.microsoft.com).
  3. أجهزة Windows المسجلة: أجهزة Windows 10/11 المسجلة بالفعل في Microsoft Intune. يمكن إجراء التسجيل عبر Azure AD Join، أو Hybrid Azure AD Join، أو التسجيل اليدوي لـ BYOD.
  4. مجموعات المستخدمين والأجهزة: مجموعات الأمان في Azure AD لتعيين السياسات بطريقة منظمة.

خطوة بخطوة: إنشاء سياسات الأمان في Intune

سنقوم بإنشاء أنواع مختلفة من السياسات لإظهار شمولية Intune.

1. إنشاء سياسة امتثال الجهاز

تحدد سياسات الامتثال المتطلبات التي يجب أن يفي بها الجهاز حتى يعتبر "متوافقًا". يمكن منع الأجهزة غير المتوافقة من الوصول إلى موارد الشركة من خلال سياسات الوصول المشروط.

الخطوات:

  1. انتقل إلى مركز إدارة Microsoft Endpoint Manager.
  2. انتقل إلى الأجهزة > سياسات الامتثال.
  3. انقر إنشاء سياسة.
  4. حدد النظام الأساسي Windows 10 والإصدارات الأحدث وانقر فوق إنشاء.
  5. الأساسيات: قم بتسمية السياسة (على سبيل المثال: Windows - سياسة الامتثال الافتراضية) ووصفًا. انقر التالي.
  6. إعدادات الامتثال: هنا تحدد القواعد. أمثلة على الإعدادات المهمة:
    • سلامة الجهاز:
      • يتطلب BitLocker: يتطلب. يضمن تشفير محرك أقراص النظام.
      • يلزم تمكين التمهيد الآمن على الجهاز: يتطلب. يحمي من الجذور الخفية في عملية التمهيد.
    • خصائص الجهاز:
      • الحد الأدنى لإصدار نظام التشغيل: اضبط الحد الأدنى لإصدار Windows على garaتأكد من استخدام أنظمة التشغيل المدعومة والمحدثة فقط.
    • أمان النظام:
      • يتطلب كلمة مرور لفتح قفل الأجهزة المحمولة: يتطلب.
      • جدار الحماية: يتطلب. يضمن أن جدار حماية Microsoft Defender نشط.
      • مضاد الفيروسات: يتطلب. يضمن أن حل مكافحة الفيروسات المسجل في Windows Security Center نشط.
  7. إجراءات عدم الامتثال: حدد ما يحدث إذا كان الجهاز غير متوافق. الإجراء الافتراضي هو وضع علامة على الجهاز على أنه غير مدعوم على الفور. يمكنك إضافة إجراءات أخرى، مثل إرسال بريد إلكتروني إلى المستخدم.
  8. المهام: قم بتعيين السياسة لمجموعة من أجهزة أو مستخدمي Azure AD.
  9. مراجعة + إنشاء: راجع الإعدادات وانقر على إنشاء.

2. إنشاء ملف تعريف تكوين الجهاز

تُستخدم ملفات تعريف التكوين لتطبيق إعدادات أمان أكثر تفصيلاً على الأجهزة.

الخطوات:

  1. في مركز إدارة Microsoft Endpoint Manager، انتقل إلى الأجهزة > ملفات تعريف التكوين.
  2. انقر إنشاء ملف تعريف.
  3. حدد النظام الأساسي Windows 10 والإصدارات الأحدث ونوع الملف الشخصي كتالوج الإعدادات. انقر إنشاء.
  4. الأساسيات: قم بتسمية ملف التعريف (على سبيل المثال: Windows - إعدادات أمان Defender) ووصفًا.
  5. إعدادات التكوين: انقر فوق إضافة إعدادات. استخدم محدد الإعدادات للعثور على السياسات التي تريدها وتعيينها. على سبيل المثال، لتكوين Microsoft Defender:
    • ابحث عن "Microsoft Defender".
    • حدد فئات مثل "برنامج الحماية من الفيروسات لـ Microsoft Defender" و"الحماية في الوقت الحقيقي".
    • تمكين الإعدادات مثل:
      • تمكين الحماية في الوقت الحقيقي: ممكّن.
      • تمكين الحماية المقدمة عبر السحابة: ممكّن.
      • مستوى الحماية المقدم في السحابة: مستوى الحظر العالي.
  6. المهام: قم بتعيين ملف التعريف لمجموعة من الأجهزة.
  7. مراجعة + إنشاء: مراجعة الملف الشخصي وإنشائه.

3. تطبيق خط الأساس الأمني

الخطوط الأساسية هي مجموعات من إعدادات الأمان المكونة مسبقًا والتي توصي بها Microsoft. إنها أسرع طريقة لفرض وضع أمني قوي.

الخطوات:

  1. انتقل إلى Endpoint Security > Security Baselines.
  2. حدد الأساس الذي تريد استخدامه، على سبيل المثال، Security Baseline لنظام التشغيل Windows 10 والإصدارات الأحدث.
  3. انقر فوق إنشاء ملف تعريف.
  4. أعط اسمًا ووصفًا.
  5. إعدادات التكوين: قم بمراجعة الإعدادات الافتراضية. يمكنك تخصيصها حسب الحاجة، ولكن من الأفضل أن تلتزم بتوصيات Microsoft.
  6. المهام: قم بتعيين خط الأساس لمجموعة من الأجهزة.
  7. مراجعة + إنشاء: قم بإنشاء الملف الشخصي.

التحقق والمراقبة

بعد إنشاء السياسات وتعيينها، من الضروري مراقبة تنفيذها وامتثال الأجهزة.

  • للحصول على سياسات الامتثال: انتقل إلى الأجهزة > سياسات الامتثال، وحدد السياسة، وتحقق من حالة الجهاز و الحالة حسب التكوين لمعرفة الأجهزة المتوافقة أم لا ولماذا.
  • بالنسبة لملفات تعريف التكوين: انتقل إلى الأجهزة > ملفات تعريف التكوين، وحدد ملف التعريف، وتحقق من تقارير الحالة لمعرفة ما إذا تم تطبيق الإعدادات بنجاح.

الخلاصة

يعد Microsoft Intune أداة قوية لتعزيز أمان أجهزة Windows في بيئات الشركات. من خلال الجمع بين سياسات الامتثال وملفات تعريف التكوين وخطوط الأمان الأساسية، يمكن للمسؤولين التأكد من أن الأجهزة تلبي مستوى عالٍ من الأمان، مما يحمي بيانات المؤسسة من التهديدات. يعد تنفيذ هذه السياسات بشكل صحيح خطوة أساسية في الرحلة نحو بنية أمان الثقة المعدومة.

المراجع

[1] مايكروسوفت. (2023). ما هو Microsoft Intune؟ [2] مايكروسوفت. (2023). تأمين البيانات والأجهزة باستخدام Microsoft Intune. [3] مايكروسوفت. (2023). التراخيص المتوفرة لـ Microsoft Intune.