تنفيذ الوصول المشروط في Azure AD لتعزيز الأمان

تنفيذ الوصول المشروط في Azure AD لتعزيز الأمان

01/05/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تنفيذ الوصول المشروط وتحسينه في Microsoft Entra ID (المعروف سابقًا باسم Azure Active Directory). الوصول المشروط هو آلية إنفاذ سياسة الثقة المعدومة الرائدة من Microsoft، والتي تمكن المؤسسات من التحكم في الوصول إلى الموارد بناءً على الظروف في الوقت الفعلي مثل هوية المستخدم والموقع وصحة الجهاز ومخاطر الجلسة [1].

مقدمة

في المشهد الأمني اليوم، حيث التهديدات السيبرانية معقدة وشيوع العمل عن بعد، لم تعد الحماية التقليدية لمحيط الشبكة كافية. يمكّن الوصول المشروط لـ Azure AD المؤسسات من الابتعاد عن نهج الأمان الثابت إلى نهج ديناميكي وتكيفي حيث يتم تقييم كل محاولة وصول قبل منحها. وهذا يضمن منح الوصول فقط للمستخدمين والأجهزة الموثوقة، في ظل ظروف محددة، مما يحمي بيانات الشركة وتطبيقاتها بشكل أكثر فعالية [2].

سيغطي هذا الدليل العملي إنشاء وتكوين سياسات الوصول المشروط، بما في ذلك طلب المصادقة متعددة العوامل (MFA)، والأجهزة المدعومة، والمواقع الموثوقة، وحظر المصادقة القديمة. سيتم توفير تعليمات خطوة بخطوة وأمثلة التكوين وطرق التحقق حتى يتمكن القارئ من تنفيذ وتعزيز الوضع الأمني ​​لمؤسسته، مما يضمن أن الوصول إلى الموارد آمن ومتوافق.

ما سبب أهمية الوصول المشروط؟

  • ثقة معدومة: هو محرك السياسة لتنفيذ نموذج الثقة المعدومة، والتحقق بشكل صريح من كل طلب وصول.
  • التحكم التكيفي: يسمح لسياسات الوصول بالتكيف ديناميكيًا بناءً على إشارات المخاطر في الوقت الفعلي.
  • الحماية الشاملة: تحمي الهويات والأجهزة والبيانات والتطبيقات في السحابة وفي مكان العمل.
  • MFA وامتثال الأجهزة: يجعل من السهل فرض MFA ويتطلب أجهزة متوافقة أو أجهزة Azure AD متصلة للوصول.
  • تقليل المخاطر: يساعد على تخفيف المخاطر مثل سرقة بيانات الاعتماد والوصول من أجهزة غير مصرح بها والوصول من مواقع مشبوهة.

المتطلبات الأساسية

لتنفيذ الوصول المشروط في Azure AD، ستحتاج إلى العناصر التالية:

  1. الترخيص: ترخيص Microsoft Enroll ID Premium P1 أو P2 (المعروف سابقًا باسم Azure AD Premium P1 أو P2). يعد الوصول المشروط ميزة فريدة لهذه التراخيص [3].
  2. الوصول الإداري: حساب بدور مسؤول الوصول المشروط أو مسؤول الأمان أو المسؤول العام في مركز إدارة Microsoft Entra (https://entra.microsoft.com).
  3. المستخدمون والمجموعات: المستخدمون ومجموعات الأمان في معرف Microsoft Entra لاختبار السياسات.
  4. ** تكوين المصادقة متعددة العوامل (MFA) **: بالنسبة للسياسات التي تتطلب MFA، يجب أن يكون لدى المستخدمين تكوين MFA وتسجيله.
  5. الأجهزة المُدارة (اختياري): بالنسبة للسياسات التي تتطلب أجهزة مدعومة أو أجهزة Azure AD/Hybrid المرتبطة، يجب إدارة الأجهزة بواسطة Microsoft Intune أو Azure AD-joined.

خطوة بخطوة: تكوين سياسات الوصول المشروط

دعونا ننشئ بعض سياسات الوصول المشروط الأساسية لتعزيز الأمان.

1. الوصول إلى Microsoft Portal، أدخل إلى مركز الإدارة

  1. افتح المتصفح الخاص بك وانتقل إلى https://entra.microsoft.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.
  3. في جزء التنقل الأيسر، حدد الحماية > الوصول المشروط.

2. إنشاء سياسة لطلب MFA لجميع المستخدمين (باستثناء حسابات الطوارئ)

تعد هذه سياسة أساسية لمعظم المؤسسات، مما يضمن أن MFA مطلوب لجميع محاولات الوصول باستثناء حسابات الوصول في حالات الطوارئ/كسر الزجاج.

  1. في صفحة الوصول المشروط، انقر فوق سياسة جديدة > إنشاء سياسة جديدة.
  2. الاسم: `01 - يتطلب MFA لجميع المستخدمين.

  3. المهام > هويات المستخدمين أو أحمال العمل:

    • في تضمين، حدد جميع المستخدمين.
    • ضمن حذف، حدد المستخدمون والمجموعات وأضف حسابات وصول الطوارئ الخاصة بكالوكالة/كسر الزجاج (حسابات محمية للغاية يمكن استخدامها للوصول إلى المستأجر في حالة فشل MFA أو عدم توفر الدليل).

  4. الموارد أو الإجراءات السحابية:

    • ضمن تضمين، حدد جميع تطبيقات السحابة.

  5. منحة:

    • حدد منح الوصول.
    • حدد يتطلب مصادقة متعددة العوامل.
    • انقر تحديد.

  6. تمكين السياسة: حدد "الإبلاغ فقط" (لاختبار التأثير قبل التطبيق) أو "ممكّن".

    • نصيحة: ابدأ دائمًا بـ الإبلاغ فقط لمراقبة تأثير السياسة دون تطبيقها، والتحقق من سجلات الإدخال بحثًا عن عمليات الحظر غير المرغوب فيها المحتملة.
  7. انقر إنشاء.

3. إنشاء سياسة لمنع المصادقة القديمة

لا تدعم المصادقة القديمة (مثل POP وIMAP وSMTP والمصادقة الأساسية) MFA وهي ناقل شائع للهجمات. ومن الأهمية بمكان منعه.

  1. في صفحة الوصول المشروط، انقر فوق سياسة جديدة > إنشاء سياسة جديدة.
  2. الاسم: 02 - حظر المصادقة القديمة.
  3. المهام > مستخدمو الهوية أو أعباء العمل: حدد جميع المستخدمين (باستثناء حسابات الطوارئ الخاصة بك).
  4. موارد أو إجراءات السحابة: حدد جميع تطبيقات السحابة.

  5. الشروط > تطبيقات العميل:

    • اضبط "تطبيقات العميل" على "نعم".
    • حدد "عملاء Exchange ActiveSync" و"العملاء الآخرين".

  6. ضوابط الوصول > المنحة:

    • حدد حظر الوصول.
    • انقر تحديد.

  7. تمكين السياسة: حدد "الإبلاغ فقط" أو "ممكّن".

  8. انقر إنشاء.

4. إنشاء سياسة للمطالبة بجهاز متوافق للوصول إلى التطبيقات المهمة

تضمن هذه السياسة أن الأجهزة التي تفي بمعايير الأمان (التي تديرها Intune، على سبيل المثال) هي فقط التي يمكنها الوصول إلى التطبيقات الحساسة.

  1. في صفحة الوصول المشروط، انقر فوق سياسة جديدة > إنشاء سياسة جديدة.
  2. الاسم: `03 - يتطلب جهازًا متوافقًا للتطبيقات المهمة.
  3. المهام > مستخدمو الهوية أو أحمال العمل: حدد جميع المستخدمين (أو مجموعة محددة).

  4. الموارد أو الإجراءات السحابية:

    • ضمن تضمين، حدد تحديد التطبيقات واختر التطبيقات المهمة (مثل SharePoint Online وDynamics 365 وتطبيقات خط الأعمال).

  5. منحة:

    • حدد منح الوصول.
    • حدد يلزم وضع علامة على الجهاز على أنه مدعوم.
    • انقر تحديد.

  6. تمكين السياسة: حدد "الإبلاغ فقط" أو "ممكّن".

  7. انقر إنشاء.

5. إنشاء سياسة لمنع الوصول من المواقع غير الموثوق بها

تساعد هذه السياسة في الحماية من الوصول من المناطق الجغرافية أو عناوين IP المعروفة بأنها مصادر للهجمات.

  1. أولاً، تحتاج إلى إنشاء المواقع المسماة (المواقع المسماة) في Azure AD لتحديد المواقع الموثوقة (مثل مكاتب الشركة، VPN).

    • في مركز إدارة تسجيل الدخول إلى Microsoft، انتقل إلى الحماية > الوصول المشروط > المواقع المسماة.
    • انقر فوق موقع البلدان/المناطق الجديدة أو موقع نطاقات IP الجديدة لتعيين مواقعك الموثوقة.

  2. في صفحة الوصول المشروط، انقر فوق سياسة جديدة > إنشاء سياسة جديدة.

  3. الاسم: `04 - حظر الوصول من المواقع غير الموثوق بها.
  4. المهام > هويات المستخدمين أو أحمال العمل: حدد جميع المستخدمين.
  5. الموارد أو الإجراءات السحابية: حدد جميع تطبيقات السحابة.

  6. الشروط > المواقع:

    • اضبط "المواقع" على "نعم".
    • في تضمين، حدد أي موقع.
    • ضمن استبعاد، حدد المواقع المحددة واختر `المواقع المسماة' التي حددتها على أنها موثوقة.

  7. ضوابط الوصول > المنحة:

    • حدد حظر الوصول.
    • انقر تحديد.
  8. تمكين السياسة: حدد "الإبلاغ فقط" أو "ممكّن".
  9. انقر إنشاء.

التحقق والاختبار

يعد التحقق من صحة سياسات الوصول المشروط أمرًا بالغ الأهمية للتأكد من أنها تعمل كما هو متوقع ولا تسبب عوائق غير مرغوب فيها.

1. استخدام أداة "ماذا لو".

تتيح لك أداة "ماذا لو" محاكاة تأثير سياسات الوصول المشروط على مستخدم أو سيناريو محدد.

  1. في صفحة الوصول المشروط، انقر فوقوإذا.
  2. قم بتكوين سيناريو الاختبار (المستخدم، التطبيق، عنوان IP، الجهاز، وما إلى ذلك).
  3. انقر فوق ماذا لو لمعرفة السياسات التي سيتم تطبيقها والنتيجة (منح الوصول أو حظره).

2. فحص سجلات الإدخال

توفر السجلات الواردة معلومات تفصيلية حول كل محاولة وصول، بما في ذلك سياسات الوصول المشروط التي تم تقييمها والنتيجة.

  1. في مركز إدارة تسجيل الدخول إلى Microsoft، انتقل إلى المراقبة والصحة > السجلات الواردة.
  2. قم بتصفية السجلات حسب المستخدم أو التطبيق أو الحالة (على سبيل المثال، "فشل") للتحقيق في محاولات الوصول.
  3. انقر فوق أحد إدخالات السجل لعرض التفاصيل، بما في ذلك علامة التبويب الوصول المشروط، والتي ستعرض السياسات المطبقة والنتيجة.

3. اختبارات حقيقية مع المستخدمين الاختباريين

قم بإجراء الاختبار مع مستخدمي الاختبار في سيناريوهات مختلفة (على سبيل المثال، الوصول من موقع غير موثوق به، باستخدام جهاز غير مدعوم، بدون MFA) لتأكيد السلوك المتوقع للسياسات.

نصائح أمنية وأفضل الممارسات

  • التخطيط الدقيق: قم بتخطيط سياسات الوصول المشروط الخاصة بك بناءً على احتياجات مؤسستك ومبادئ الثقة المعدومة. ابدأ بمجموعة صغيرة من السياسات وتوسع تدريجيًا.
  • **وضع التقرير فقط: قم دائمًا بنشر السياسات الجديدة في وضع التقرير فقط أولاً لتقييم تأثيرها وضبطها قبل تطبيقها في الوضع الممكّن.
  • حسابات الطوارئ: استبعد دائمًا حسابات الوصول في حالات الطوارئ/الزجاج المكسور من جميع سياسات الوصول المشروط لتجنب عمليات الإغلاق غير المقصودة.
  • حظر المصادقة القديمة: تعد هذه واحدة من أكثر السياسات فعالية لتقليل مساحة الهجوم.
  • تتطلب MFA لجميع المستخدمين: سياسة أساسية لحماية الهويات.
  • الأجهزة المُدارة: تتطلب إدارة الأجهزة (انضمام Azure AD أو تمكين Intune) للوصول إلى الموارد الحساسة.
  • المواقع المسماة: استخدم المواقع المسماة لتحديد الشبكات الموثوقة ومنع الوصول من المواقع غير الموثوق بها.
  • المراجعة والتعديل المستمر: قم بمراجعة سياسات الوصول المشروط وضبطها بانتظام للتكيف مع التغييرات في بيئة التهديدات ومتطلبات العمل.
  • التوثيق: احتفظ بتوثيق واضح لسياسات الوصول المشروط، بما في ذلك غرضها ونطاقها وأي استثناءات.

استكشاف الأخطاء وإصلاحها الشائعة

  • المستخدمون المحظورون بشكل غير متوقع: استخدم أداة "ماذا لو" وسجلات تسجيل الدخول لتحديد السياسة التي تسببت في الحظر. التحقق من تضمينات السياسة واستثناءاتها.
  • السياسات غير مطبقة: تأكد من أن السياسة في الوضع "ممكّن" وأن المستخدم والتطبيق يقعان في نطاق السياسة. تحقق من سجلات الإدخال لمعرفة ما إذا كان قد تم تقييم السياسة.
  • مشكلات MFA: تأكد من قيام المستخدمين بتسجيل طرق MFA. تحقق من وجود مشكلات في الاتصال مع موفري MFA.
  • مشكلات الأجهزة المتوافقة: تحقق من حالة توافق جهازك في Intune. تأكد من انضمام Azure AD إلى الجهاز أو تسجيله في Intune.
  • تعارضات السياسات: يقوم الوصول المشروط بتقييم جميع السياسات وتطبيق السياسات الأكثر تقييدًا. إذا كانت هناك سياسات متضاربة، قم بتعديلها لضمان السلوك المطلوب.

الخلاصة

يعد تنفيذ الوصول المشروط في Azure AD ركيزة أساسية لبناء بنية أمان قوية وقابلة للتكيف استنادًا إلى نموذج الثقة المعدومة. من خلال تمكين المؤسسات من وضع سياسات الوصول التفصيلية بناءً على مجموعة متنوعة من الشروط، يعمل الوصول المشروط على تعزيز حماية الهويات والموارد بشكل كبير ضد التهديدات السيبرانية. إن تكوين السياسة الإستراتيجية، جنبًا إلى جنب مع الاختبارات الصارمة والدورة المستمرة للمراجعة والتحسين، يمكّن فرق الأمان من ضمان التحقق دائمًا من الوصول، والحد الأدنى من الامتيازات، وتكييفه مع سياق المخاطر. باستخدام الوصول المشروط، يمكن للشركات حماية أصولها الأكثر قيمة مع تمكين مستخدميها من العمل بشكل آمن وإنتاجي من أي مكان وعلى أي جهاز.

المراجع:

[1] مايكروسوفت تعلم. ما هو الوصول المشروط؟. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] مايكروسوفت تعلم. التخطيط لتنفيذ الوصول المشروط. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] مايكروسوفت تعلم. متطلبات الترخيص للوصول المشروط. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements