خطوة بخطوة: تكوين المصادقة متعددة العوامل (MFA) في Azure AD

خطوة بخطوة: تكوين المصادقة متعددة العوامل (MFA) في Azure AD

02/01/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تكوين وتنفيذ المصادقة متعددة العوامل (MFA) في Azure Active Directory (المعروف الآن باسم Microsoft Entra ID). MFA هي طبقة أمنية أساسية تتطلب من المستخدمين تقديم شكلين أو أكثر من أشكال التحقق لإثبات هويتهم قبل الوصول، مما يقلل بشكل كبير من مخاطر اختراق الحساب [1].

مقدمة

في مشهد التهديدات السيبرانية اليوم، لم تعد كلمات المرور وحدها كافية لحماية حسابات المستخدمين. تعد هجمات التصيد الاحتيالي ورش كلمة المرور وسرقة بيانات الاعتماد من الأساليب الشائعة التي يستخدمها المهاجمون. تضيف المصادقة متعددة العوامل (MFA) طبقة مهمة من الأمان من خلال مطالبة المستخدمين بتقديم شيء يعرفونه (كلمة المرور)، أو شيء لديهم (الهاتف، أو رمز الجهاز)، أو شيء ما (بصمة الإصبع، أو التعرف على الوجه). يعد تنفيذ MFA أحد أكثر الإجراءات الأمنية فعالية التي يمكن للمؤسسة اتخاذها لحماية مواردها في Microsoft Entra ID والخدمات المرتبطة به [2].

سيغطي هذا الدليل الإرشادي خطوات إعداد MFA في Azure AD، مع التركيز على طرق التنفيذ المختلفة، بدءًا من التكوينات الأساسية وحتى استخدام سياسات الوصول المشروط لمزيد من التحكم الدقيق. سيتم توفير تعليمات خطوة بخطوة، وأمثلة للتكوينات، وطرق التحقق من الصحة لضمان قدرة القارئ على تطبيق الـMFA بشكل فعال في بيئته.

لماذا يعتبر أسلوب التمويل المتعدد (MFA) حاسماً؟

  • الحد من المخاطر: يقلل بشكل كبير من احتمالية اختراق الحساب، حتى في حالة سرقة كلمات المرور.
  • الامتثال: تتطلب العديد من معايير ولوائح الأمان تنفيذ MFA لحماية البيانات الحساسة.
  • الحماية من التصيد الاحتيالي: تضيف حاجزًا ضد هجمات التصيد الاحتيالي، حيث لن يحتاج المهاجم إلى كلمة المرور فحسب، بل أيضًا إلى العامل الثاني.
  • المرونة: يوفر Azure AD العديد من خيارات العامل الثاني مثل تطبيق Microsoft Authenticator والرسائل النصية القصيرة والمكالمات الهاتفية والرموز المميزة للأجهزة، مما يسمح للمستخدمين باختيار الطريقة الأكثر ملاءمة وأمانًا.

المتطلبات الأساسية

لإعداد MFA في Azure AD، ستحتاج إلى العناصر التالية:

  1. الترخيص: ترخيص يتضمن ميزات Azure AD MFA. يمكن أن يكون هذا Azure AD Free (مع افتراضيات الأمان)، أو Azure AD Premium P1 أو P2 (للوصول المشروط)، أو تراخيص Microsoft 365 التي تتضمن Azure AD Premium [3].
  2. الوصول الإداري: حساب يتمتع بأذونات المسؤول العالمي أو مسؤول المصادقة في بوابة Azure (portal.azure.com) أو مركز إدارة Microsoft Entra (entra.microsoft.com).
  3. أجهزة الاختبار: حساب مستخدم اختباري واحد على الأقل وجهاز واحد (هاتف ذكي) لتكوين MFA والتحقق من صحته.
  4. حسابات الوصول في حالات الطوارئ: من الممارسات الجيدة إنشاء وتأمين حسابات قابلة للكسر معفاة من MFA لتجنب الإغلاق في حالة حدوث مشكلات في نظام MFA [4].

خطوة بخطوة: تكوين المصادقة متعددة العوامل (MFA) في Azure AD

هناك عدة طرق لتمكين MFA في Azure AD. سنغطي الاثنين الأكثر شيوعًا: افتراضيات الأمان (للتكوينات السريعة والأساسية) وسياسات الوصول المشروط (للتحكم الدقيق).

الخيار 1: تمكين MFA باستخدام إعدادات الأمان الافتراضية (موصى به للشركات الصغيرة والمتوسطة)

توفر افتراضيات الأمان مجموعة أساسية من سياسات الأمان الموصى بها من Microsoft، بما في ذلك طلب MFA لجميع المستخدمين والمسؤولين. إنها طريقة بسيطة وفعالة لزيادة الأمان بسرعة.

  1. قم بالوصول إلى مركز إدارة Microsoft Entra: https://entra.microsoft.com.
  2. في جزء التنقل الأيمن، انتقل إلى الحماية > نظرة عامة على الأمان.
  3. في القسم تمكين إعدادات الأمان الافتراضية، انقر فوق إدارة إعدادات الأمان الافتراضية.
  4. في الجزء افتراضيات الأمان، قم بتعيين خيار تمكين افتراضيات الأمان على نعم.
  5. انقر حفظ.

ملاحظة: بمجرد التمكين، ستتطلب إعدادات الأمان الافتراضية من كافة المستخدمين تكوين MFA عند تسجيل الدخول التالي. سيُطلب منهم تسجيل تطبيق Microsoft Authenticator. تعتبر افتراضيات الأمان مثالية للمؤسسات التي ليس لديهاm تراخيص Azure AD Premium P1 أو P2 وتحتاج إلى تنفيذ MFA سريع وموحد. ليس من الممكن استخدام الوصول المشروط وافتراضيات الأمان في وقت واحد؛ واحد يعطل الآخر.

الخيار 2: تمكين MFA باستخدام سياسات الوصول المشروط (موصى به للتحكم الدقيق والمؤسسات الكبيرة)

تسمح لك سياسات الوصول المشروط (CA) بتحديد الشروط المحددة التي بموجبها ستكون هناك حاجة إلى MFA، مما يوفر مرونة أكبر بكثير من إعدادات الأمان الافتراضية. يتطلب هذا الخيار ترخيص Azure AD Premium P1 أو P2.

2.1. إنشاء مجموعة مستخدمين تجريبية

من الممارسات الجيدة اختبار سياسات الوصول المشروط على مجموعة صغيرة من المستخدمين قبل النشر إلى مؤسستك بأكملها.

  1. في مركز إدارة تسجيل دخول Microsoft، انتقل إلى الهوية > المجموعات > جميع المجموعات.
  2. انقر مجموعة جديدة.
  3. املأ التفاصيل:
    • نوع المجموعة: الأمان
    • اسم المجموعة: MFA_Users_Test
    • يمكن تعيين أدوار Azure AD للمجموعة: لا
    • نوع العضوية: معينة
  4. أضف مستخدمي الاختبار كأعضاء وانقر فوق إنشاء.

2.2. إنشاء سياسة الوصول المشروط للمطالبة بـ MFA

  1. في مركز إدارة تسجيل دخول Microsoft، انتقل إلى الحماية > الوصول المشروط.
  2. انقر فوق سياسة جديدة > إنشاء سياسة جديدة.
  3. الاسم: يتطلب MFA لجميع المستخدمين' (أويتطلب MFA لمجموعة الاختبار` في حالة الاختبار).
  4. المسؤوليات:
    • مستخدمو الهوية أو أعباء العمل: حدد جميع المستخدمين (أو مجموعة MFA_Users_Test للاختبار).
    • حذف: من الضروري حذف حسابات الوصول للطوارئ الخاصة بك هنا لتجنب الحظر. أضف أيضًا أي حسابات خدمة لا يمكنها استخدام MFA.
  5. الموارد أو الإجراءات السحابية: حدد جميع تطبيقات السحابة.
  6. الشروط (اختيارية لمزيد من التفصيل):
    • يمكنك تكوين الشروط بناءً على الموقع والأجهزة وتطبيقات العميل وما إلى ذلك. على سبيل المثال، تتطلب MFA فقط للوصول من خارج شبكة الشركة.
  7. منحة:
    • حدد منح الوصول.
    • حدد يتطلب مصادقة متعددة العوامل.
    • انقر تحديد.
  8. الجلسة (اختيارية):
    • يمكنك تكوين التحكم في تردد تسجيل الدخول أو استمرارية الجلسة.
  9. تمكين السياسة: اضبط على الإبلاغ فقط لاختبار التأثير قبل التطبيق، أو تشغيل للتطبيق على الفور.
  10. انقر إنشاء.

2.3. تكوين أساليب المصادقة

من المهم تحديد طرق MFA المتاحة للمستخدمين.

  1. في مركز إدارة تسجيل الدخول إلى Microsoft، انتقل إلى الحماية > طرق المصادقة > السياسات.
  2. هنا يمكنك تمكين أو تعطيل طرق مثل Microsoft Authenticator، وSMS، والمكالمات الصوتية، وما إلى ذلك. يوصى بتمكين Microsoft Authenticator وSMS كطرق أساسية.
  3. قم بتكوين الخيارات لكل طريقة، مثل وضع تسجيل Authenticator (بدون كلمة مرور أو إشعار دفع).

التحقق والاختبار

بعد تكوين MFA، من الضروري التحقق من أنه يعمل كما هو متوقع.

1. اختبار تسجيل دخول المستخدم

  1. افتح نافذة المتصفح في وضع التصفح المتخفي/الخاص.
  2. انتقل إلى أحد التطبيقات التي تغطيها سياسة MFA (على سبيل المثال: portal.office.com).
  3. قم بتسجيل الدخول باستخدام حساب المستخدم المدرج في سياسة MFA.
  4. يجب أن يُطلب من المستخدم تكوين MFA (إذا كانت هذه هي أول عملية تسجيل دخول بعد التمكين) أو تقديم العامل الثاني (على سبيل المثال، الموافقة على الإشعار في Microsoft Authenticator، وإدخال رمز SMS).

2. التحقق من حالة التسجيل في وزارة الخارجية

  1. في مركز إدارة تسجيل دخول Microsoft، انتقل إلى الهوية > المستخدمون > جميع المستخدمين.
  2. انقر فوق المستخدم ثم طرق المصادقة.
  3. التحقق من طرق المصادقة المسجلة للمستخدم. سيؤكد هذا أن المستخدم قد نجح في إعداد MFA.

3. استخدم وضع التقرير فقط (للوصول المشروط)

إذا قمت بتكوين سياسة الوصول المشروط في وضع التقرير فقط، فيمكنك التحقق من النتائج دون فرض.

  1. في مركز إدارة تسجيل دخول Microsoft، انتقل إلى الحماية > الوصول المشروط.
  2. انقر فوق السياسة التي قمت بإنشائها وانتقل إلى علامة التبويب التقرير فقط.
  3. قم بتحليل النتائج لمعرفة المستخدمين والتطبيقات التي ستتأثر بالسياسة وما إذا كانت MFA ستكون مطلوبة أم لا.

نصائح أمنية وأفضل الممارسات

  • تتطلب MFA للمسؤولين: تتطلب دائمًا MFA للحسابات الإدارية، بغض النظر عن السياسات الأخرى. وتعتبر هذه الحسابات أهدافًا رئيسية للهجمات.
  • تعليم المستخدم: تدريب المستخدمين على أهمية الـ MFA وكيفية تكوينه واستخدامه بشكل صحيح. اشرح كيفية التعرف على محاولات التصيد الاحتيالي لـ MFA والإبلاغ عنها.
  • Microsoft Authenticator: قم بتعزيز استخدام تطبيق Microsoft Authenticator مع دفع الإشعارات، حيث يعتبر أحد أكثر الطرق أمانًا وأسهل للاستخدام، فضلاً عن كونه مقاومًا لبعض أنواع هجمات التصيد الاحتيالي.
  • سياسات الوصول المشروط الدقيقة: استخدم الوصول المشروط لتحسين متى يكون MFA مطلوبًا (على سبيل المثال، خارج شبكة الشركة، للتطبيقات عالية المخاطر، للمستخدمين الذين يشغلون أدوارًا مميزة).
  • المراجعة الدورية: قم بمراجعة سياسات MFA وطرق المصادقة المسجلة بواسطة المستخدم بانتظام للتأكد من أنها تظل فعالة وآمنة.
  • حسابات الطوارئ: اتبع عملية صارمة لحسابات الوصول في حالات الطوارئ، بما في ذلك تخزين بيانات الاعتماد بشكل آمن ومراجعة استخدامها بانتظام.

استكشاف الأخطاء وإصلاحها الشائعة

  • المستخدم غير قادر على تكوين MFA: تحقق من أن المستخدم لديه الترخيص المناسب وأن طرق المصادقة المطلوبة ممكّنة. أرشد المستخدم إلى اتباع تعليمات التسجيل بعناية.
  • تم حظر المستخدم بعد تمكين MFA: تحقق مما إذا تم استبعاد المستخدم من سياسة الوصول المشروط أو إذا كانت هناك مشكلة في طريقة MFA التي تم تكوينها. استخدم حسابات الوصول في حالات الطوارئ إذا لزم الأمر.
  • MFA غير مطلوب: تحقق من تمكين سياسة الوصول المشروط وتعيينها للمستخدمين والتطبيقات الصحيحة. إذا كنت تستخدم إعدادات الأمان الافتراضية، فتأكد من عدم وجود سياسات وصول مشروط متعارضة.
  • مشكلات تطبيق Authenticator: تحقق من اتصال شبكة جهازك المحمول وما إذا كانت الإشعارات ممكّنة للتطبيق. حاول إزالة الحساب وإضافته مرة أخرى في التطبيق.

الخلاصة

تعد المصادقة متعددة العوامل ركيزة أساسية لأمن الهوية الحديثة. يوفر تكوين MFA في Azure AD، خاصة من خلال سياسات الوصول المشروط، دفاعًا قويًا ضد الوصول غير المصرح به. باتباع الإرشادات الواردة في هذه المقالة، ستكون مؤسستك مجهزة بشكل أفضل لحماية هويات المستخدمين والموارد المهمة، وتخفيف المخاطر وتعزيز الوضع الأمني ​​العام لديك. تذكر أن الأمان عملية مستمرة تتطلب التكيف والتحسين المستمر.

المراجع:

[1] مايكروسوفت تعلم. ما هي المصادقة متعددة العوامل؟. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] مايكروسوفت تعلم. التخطيط لنشر مصادقة متعددة العوامل لـ Microsoft Entra. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] مايكروسوفت تعلم. ترخيص المصادقة المتعددة العوامل من Microsoft Entra. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] مايكروسوفت تعلم. إنشاء حسابات وصول للطوارئ على معرف Microsoft Entra. متوفر على: https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts