إدارة الأجهزة المحمولة باستخدام Microsoft Intune لأمن المؤسسات

إدارة الأجهزة المحمولة باستخدام Microsoft Intune لأمن المؤسسات

03/08/2025

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة حول استخدام Microsoft Intune لإدارة الأجهزة المحمولة وتأمينها (iOS/iPadOS وAndroid) في بيئة الشركة. يوفر Intune، باعتباره أحد حلول إدارة نقاط النهاية الموحدة (UEM)، أدوات قوية لضمان تكوين الأجهزة المحمولة التي تصل إلى موارد الشركة بشكل آمن ومتوافق، سواء في نموذج مملوك للشركة أو نموذج شخصي (BYOD) [1].

مقدمة

تعد الأجهزة المحمولة ضرورية للإنتاجية، ولكنها تشكل خطرًا كبيرًا إذا تركت دون إدارة. يعالج Microsoft Intune هذه التحديات من خلال طريقتين رئيسيتين: إدارة الأجهزة المحمولة (MDM)، التي تدير الجهاز ككل، وإدارة تطبيقات الأجهزة المحمولة (MAM)، التي تحمي البيانات داخل التطبيقات بغض النظر عما إذا كان الجهاز مُدارًا أو غير مُدار. يعتبر الأخير مثاليًا لسيناريوهات BYOD [2].

سيغطي هذا الدليل إعداد Intune لـ MDM وMAM، وتسجيل الأجهزة، وإنشاء سياسات التكوين والامتثال، ونشر التطبيقات.

ما سبب أهمية Microsoft Intune؟

  • الحماية الشاملة: توفر MDM وMAM لحماية الأجهزة والبيانات.
  • التحكم المركزي: إدارة الأجهزة المحمولة من منصة واحدة.
  • الوصول المشروط: يتكامل مع الوصول المشروط لـ Azure AD لضمان وصول الأجهزة والتطبيقات المتوافقة فقط إلى بيانات الشركة.
  • فصل البيانات: يعزل بيانات الشركة عن البيانات الشخصية الموجودة على أجهزة BYOD.

المتطلبات الأساسية

  1. الترخيص: Microsoft Intune (مضمن في الاشتراكات مثل Microsoft 365 E3/E5).
  2. الوصول الإداري: المسؤول العام أو مسؤول خدمة Intune.
  3. شهادة APNs (لنظام التشغيل iOS/iPadOS): مطلوبة لإدارة أجهزة Apple [3].
  4. حساب Google Play المُدار (لنظام Android): مطلوب لنظام Android Enterprise.

خطوة بخطوة: تكوين Intune للأجهزة المحمولة

1. تكوين تسجيل الجهاز

أولاً، قم بتكوين المتطلبات الأساسية لتسجيل أجهزة iOS وAndroid في مركز إدارة Microsoft Intune (https://intune.microsoft.com) ضمن إدارة المستأجر > الموصلات والرموز المميزة.

  • بالنسبة لنظام التشغيل iOS/iPadOS: قم بإنشاء وتحميل شهادة Apple APN.
  • بالنسبة لنظام التشغيل Android: قم بتوصيل حساب Intune الخاص بك بـ Google Play المُدار.

2. إنشاء سياسات الامتثال

تحدد سياسات الامتثال متطلبات الأمان التي يجب أن يفي بها الجهاز حتى يعتبر "متوافقًا". قد يتم حظر الأجهزة غير المتوافقة عن طريق الوصول المشروط.

  1. في مركز إدارة Intune، انتقل إلى الأجهزة > سياسات التوافق.
  2. انقر فوق إنشاء سياسة وحدد النظام الأساسي (على سبيل المثال، Android Enterprise أو iOS/iPadOS).
  3. إعدادات الامتثال: تحديد المتطلبات. أمثلة أساسية:
    • سلامة الجهاز: يجب ألا يكون الجهاز "مفتوحًا للجيلبريك/الجذر".
    • خصائص الجهاز: قم بتعيين "الحد الأدنى لإصدار نظام التشغيل".
    • أمان النظام:
      • يتطلب كلمة مرور لفتح قفل الأجهزة المحمولة.
      • يتطلب تشفير البيانات الموجودة على الجهاز.
  4. إجراءات عدم الامتثال: الإجراء الافتراضي هو وضع علامة على الجهاز باعتباره غير متوافق. يمكنك إضافة إجراءات مثل إرسال بريد إلكتروني إلى المستخدم.
  5. المهام: قم بتعيين السياسة لمجموعة من المستخدمين أو الأجهزة.

3. إنشاء ملفات تعريف التكوين

تدفع ملفات تعريف التكوين الإعدادات إلى الأجهزة، مثل ملفات تعريف Wi-Fi، وملفات تعريف VPN، وقيود الأجهزة.

  1. انتقل إلى الأجهزة > ملفات تعريف التكوين وانقر على إنشاء ملف تعريف.
  2. حدد النظام الأساسي ونوع الملف الشخصي (على سبيل المثال: النماذج > قيود الجهاز).
  3. إعدادات التكوين: قم بتكوين القيود المطلوبة. أمثلة:
    • عام: قم بحظر "لقطة الشاشة ومعالج الشاشة".
    • كلمة المرور: فرض نوع كلمة المرور المطلوبة على الأبجدية الرقمية.
    • التطبيقات: حظر الوصول إلى متاجر التطبيقات الشخصية.
  4. قم بتعيين ملف التعريف لمجموعة مستخدمين أو جهازtives.

4. تنفيذ سياسات حماية التطبيقات (MAM)

يعد MAM مثاليًا لحماية البيانات الموجودة على الأجهزة الشخصية (BYOD) دون إدارتها بشكل كامل.

  1. انتقل إلى التطبيقات > سياسات حماية التطبيقات وانقر على إنشاء سياسة.
  2. حدد النظام الأساسي (على سبيل المثال: iOS/iPadOS).
  3. التطبيقات: حدد التطبيقات التي تريد حمايتها (على سبيل المثال: Microsoft Outlook، Microsoft Teams).
  4. حماية البيانات: قم بتكوين قواعد DLP (منع فقدان البيانات).
    • النسخ الاحتياطي لبيانات الجهاز: القفل.
    • إرسال بيانات المؤسسة إلى تطبيقات أخرى: التطبيقات المُدارة بالسياسة (يمنع النسخ/اللصق في التطبيقات غير المُدارة).
    • تلقي البيانات من التطبيقات الأخرى: جميع التطبيقات.
    • "تقييد القص والنسخ واللصق بين التطبيقات الأخرى": "محظور".
  5. متطلبات الوصول: تتطلب "رقم التعريف الشخصي للوصول" أو بيانات اعتماد الشركة.
  6. قم بتعيين السياسة لمجموعة مستخدمين.

5. نشر التطبيقات

توزيع التطبيقات على أجهزة المستخدمين.

  1. انتقل إلى التطبيقات > جميع التطبيقات وانقر على إضافة.
  2. حدد نوع التطبيق (على سبيل المثال، "تطبيق iOS Store" أو "تطبيق Android Store").
  3. ابحث عن التطبيق في المتجر (على سبيل المثال: Microsoft Authenticator).
  4. قم بتكوين معلومات التطبيق وانتقل إلى المهام.
  5. قم بتعيين التطبيق على أنه مطلوب لمجموعة (التثبيت القسري) أو متاح (يمكن للمستخدم التثبيت من بوابة الشركة).

الإجراءات والمراقبة عن بعد

في Intune، يمكنك تحديد جهاز معين وتنفيذ إجراءات عن بعد، مثل:

  • المزامنة: تفرض على الجهاز تسجيل الدخول باستخدام Intune.
  • إعادة التشغيل: إعادة تشغيل الجهاز.
  • مسح: يزيل جميع بيانات الشركة ويعيد ضبط الجهاز على إعدادات المصنع (مثالي لأجهزة الشركة المفقودة).
  • تعطيل: يزيل بيانات الشركة، ويترك البيانات الشخصية سليمة (مثالي لسيناريوهات BYOD).
  • القفل عن بعد: لقفل الجهاز.

الخلاصة

يقدم Microsoft Intune مجموعة كاملة من الأدوات لمواجهة تحديات أمان الأجهزة المحمولة الحديثة. من خلال الجمع بين سياسات الامتثال وملفات تعريف التكوين وسياسات حماية التطبيقات، يمكن للمؤسسات ضمان بقاء بيانات الشركة آمنة بغض النظر عن مكان الوصول إليها، مع تمكين المستخدمين بالمرونة التي يحتاجون إليها. يعد التنفيذ الدقيق لهذه السياسات خطوة أساسية نحو استراتيجية أمنية فعالة لثقة المعدومة.

المراجع

[1] مايكروسوفت. (2023). ما هو Microsoft Intune؟ [2] مايكروسوفت. (2023). ما هي إدارة تطبيقات Microsoft Intune؟ [3] أبل. (2023). خدمة الإشعارات الفورية من Apple. [4] مايكروسوفت. (2023). التراخيص المتوفرة لـ Microsoft Intune. [5] مايكروسوفت. (2023). إنشاء سياسة امتثال في Microsoft Intune. [6] جوجل. (2023). قم بتوصيل Intune بحساب Google Play المُدار الخاص بك.