حماية الوصول المميز باستخدام PIM (إدارة الهوية المميزة)

حماية الوصول المميز باستخدام PIM (إدارة الهوية المميزة)

15/04/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تنفيذ وإدارة إدارة الهوية المميزة (PIM) في Microsoft Entra ID (المعروف سابقًا باسم Azure Active Directory). PIM هي خدمة تتيح لك إدارة الوصول إلى الموارد المهمة في مؤسستك والتحكم فيه ومراقبته، مما يوفر الوصول في الوقت المناسب (JIT) والوصول الكامل (JEA) إلى الوظائف المميزة، مما يقلل من مخاطر إساءة استخدام الامتيازات [1].

مقدمة

تعد الحسابات التي تتمتع بامتيازات إدارية أهدافًا رئيسية للهجمات الإلكترونية، حيث يمكن أن يؤدي اختراقها إلى التحكم الكامل في أنظمة المؤسسة وبياناتها. إن نموذج الأمان التقليدي، حيث يتم تعيين الحسابات المميزة بشكل دائم، يزيد من سطح الهجوم وخطر التحرك الجانبي من قبل المهاجمين. يعالج PIM هذا التحدي من خلال تقديم مفهوم الوصول "في الوقت المناسب" (JIT) و"الوصول الكافي فقط" (JEA)، مما يضمن حصول المستخدمين على امتيازات مرتفعة فقط عند الضرورة وفي الوقت المطلوب تمامًا [2].

سيغطي هذا الدليل العملي تكوين PIM في Microsoft Entra ID، بدءًا من تنشيط الخدمة وحتى تعيين الأهلية للأدوار، وتكوين سياسات التنشيط، وعملية تنشيط دور مميز. سيتم توفير إرشادات خطوة بخطوة وأمثلة عملية وطرق التحقق من الصحة حتى يتمكن القارئ من تنفيذ وتعزيز أمان الوصول المميز في بيئة Microsoft الخاصة به، مما يقلل من التعرض للمخاطر ويضمن الامتثال.

ما سبب أهمية إدارة الهوية المميزة؟

  • تقليل سطح الهجوم: يقلل من الوقت الذي تظل فيه الحسابات المميزة نشطة، مما يقلل من الفرص المتاحة للمهاجمين.
  • الوصول إلى JIT/JEA: يمنح الوصول المؤقت بأقل الامتيازات، بما يتماشى مع مبادئ الثقة المعدومة.
  • الرؤية والتدقيق: يوفر سجلات تفصيلية لجميع عمليات تنشيط الوظائف المميزة، مما يسهل عملية التدقيق والامتثال.
  • تدفق الموافقة: يتيح لك طلب الموافقة لتنشيط الوظائف المهمة، مما يضيف طبقة إضافية من الأمان.
  • مراجعات الوصول: تسهل مراجعات الوصول الدورية للتأكد من أن الامتيازات الممنوحة لا تزال مناسبة.

المتطلبات الأساسية

لتنفيذ إدارة الهوية المميزة (PIM)، ستحتاج إلى العناصر التالية:

  1. الترخيص: ترخيص Microsoft Enroll ID Premium P2 (Azure AD Premium P2 سابقًا). تعد إدارة المعلومات الشخصية (PIM) ميزة فريدة لهذا الترخيص [3].
  2. ** الوصول الإداري **: حساب بدور "المسؤول العام" أو "مسؤول الأدوار المميزة" في Microsoft Enter ID لتكوين PIM.
  3. المستخدمون والمجموعات: المستخدمون و/أو مجموعات الأمان الموجودة على معرف Microsoft Entra والتي ستتطلب وصولاً مميزًا.

خطوة بخطوة: تكوين واستخدام PIM

سنقوم بتكوين PIM لدور إداري مهم، مثل "المسؤول العالمي"، ونوضح عملية التنشيط.

1. تفعيل PIM على معرف Microsoft Entra

إذا لم يكن PIM نشطًا بالفعل في المستأجر الخاص بك، فستحتاج إلى تنشيطه.

  1. قم بالوصول إلى بوابة مركز إدارة Microsoft Entra: https://entra.microsoft.com.
  2. في جزء التنقل الأيسر، حدد إدارة الهوية > إدارة الهوية المميزة.
  3. إذا كانت هذه هي المرة الأولى لك، فسوف ترى خيار تمكين PIM. انقر عليها.

2. تحديد أهلية الدور

أولاً، لنجعل المستخدم مؤهلاً لدور "المسؤول العام".

  1. في جزء التنقل الأيسر لـ PIM، حدد أدوار Microsoft Entra > الأدوار.
  2. في قائمة الأدوار، ابحث عن "المسؤول العام" وانقر عليه.

  3. في صفحة تفاصيل دور "المسؤول العام"، انقر فوق إضافة أدوار.

  4. في قسم إضافة مهام، انقر فوق تحديد الأعضاء.

  5. ابحث عن المستخدم (المستخدمين) أو المجموعة (المجموعات) التي تريد جعلها مؤهلة لهذا الدور وحددها. انقر تحديد.
  6. ضمن نوع المهمة، حدد "مؤهل".
  7. ضمن المهمة الدائمة، يمكنك تعيين تاريخ البدء والانتهاء للأهلية، أو جعله دائمًا. بالنسبة للأدوار ذات الامتيازات العالية، يجب تجنب التعيين الدائم، ولكن لتحقيق هذا الغرضولأغراض العرض التوضيحي، يمكننا ترك الأمر كما هو.
  8. انقر تعيين.

3. تكوين إعدادات الدور

تتحكم تعريفات الأدوار في كيفية قيام المستخدمين بتنشيط امتيازاتهم.

  1. في جزء التنقل الأيسر لـ PIM، حدد وظائف Microsoft Entra > الإعدادات.

  2. في قائمة الأدوار، ابحث عن "المسؤول العام" وانقر فوق تحرير.

  3. في قسم التنشيط:

    • الحد الأقصى لمدة التنشيط: حدد الحد الأقصى للوقت الذي يمكن للمستخدم تفعيل الوظيفة فيه (على سبيل المثال: 4 ساعات). يوصى بفترة قصيرة.
    • يتطلب مصادقة متعددة العوامل عند التنشيط: حدد هذا الخيار. موصى به للغاية لجميع الأدوار المميزة.
    • يتطلب تبريرًا عند التنشيط: حدد هذا الخيار. سيُطلب من المستخدمين تقديم سبب للتنشيط.
    • تتطلب الموافقة للتنشيط: حدد هذا الخيار لإضافة تدفق الموافقة. انقر فوق تحديد الموافقين وأضف واحدًا أو أكثر من المستخدمين/المجموعات الذين يمكنهم الموافقة على طلبات التنشيط.
  4. في قسم المهمة:
    • السماح بالمهام المؤهلة الدائمة: بالنسبة إلى "المسؤول العام"، فكر في تعطيل هذا الخيار لفرض أن تكون جميع المهام مؤقتة.
  5. في قسم الإشعارات:
    • قم بتكوين من يجب إعلامه بتفعيل الوظيفة.
  6. انقر فوق تحديث لحفظ الإعدادات.

4. تمكين وظيفة مميزة (تجربة المستخدم)

الآن، دعونا نوضح كيف يقوم المستخدم المؤهل بتنشيط دور "المسؤول العام".

  1. يصل المستخدم المؤهل إلى بوابة مركز إدارة Microsoft Entra: https://entra.microsoft.com.
  2. انتقل إلى إدارة الهوية > إدارة الهوية المميزة.
  3. في جزء التنقل الأيمن، حدد أدواري > أدوار تسجيل الدخول إلى Microsoft.
  4. في علامة التبويب الأدوار المؤهلة، سيرى المستخدم دور المسؤول العام.

  5. انقر فوق تمكين بجوار دور المسؤول العام.

  6. في نافذة التنشيط:

    • المدة: يمكن للمستخدم تحديد مدة التنشيط (محدودة بالحد الأقصى للمدة المحددة في تعريفات الوظيفة).
    • السبب: يجب على المستخدم تقديم مبرر للتنشيط (على سبيل المثال، إجراء صيانة على الخادم X).
    • (إذا تم تكوينه) الفحص الأمني: قد يُطلب من المستخدم إجراء فحص MFA.

  7. انقر تنشيط.

  8. إذا كانت الموافقة مطلوبة، سيتم إرسال الطلب إلى المعتمدين. سيرى المستخدم الحالة بأنها "في انتظار الموافقة".

5. الموافقة على طلب التنشيط (تجربة المعتمد)

سيتلقى المعتمد المعين إشعارًا (عبر البريد الإلكتروني أو في بوابة PIM) حول طلب التنشيط.

  1. يصل المعتمد إلى بوابة مركز إدارة Microsoft Entra: https://entra.microsoft.com.
  2. انتقل إلى إدارة الهوية > إدارة الهوية المميزة.
  3. في جزء التنقل الأيسر، حدد الموافقة على الطلبات.
  4. سوف يرى المعتمد الطلب المعلق. اضغط عليها لرؤية التفاصيل.

  5. يمكن للمعتمد الموافقة أو رفض الطلب، مع تقديم المبرر.

  6. بعد الموافقة، سيحصل المستخدم الطالب على الدور النشط للفترة المحددة.

التحقق والاختبار

يعد التحقق من صحة تنفيذ PIM أمرًا ضروريًا لضمان عمل عناصر التحكم في الوصول المميزة كما هو متوقع.

1. التحقق من حالة التنشيط

  1. بعد التنشيط (والموافقة، إن أمكن)، يمكن للمستخدم العودة إلى صفحة أدواري > أدوار تسجيل الدخول إلى Microsoft في PIM.
  2. في علامة التبويب الأدوار النشطة، يجب أن يظهر دور المسؤول العام بالحالة نشط والوقت المتبقي.

2. اختبار الوصول إلى الامتيازات المرتفعة

  1. بعد تنشيط الوظيفة، يجب على المستخدم محاولة الوصول إلى الموارد أو تنفيذ الإجراءات التي تتطلب دور "المسؤول العام" (على سبيل المثال، إنشاء مستخدم جديد في معرف Microsoft Entra).
  2. يجب أن يكون الإجراء ناجحا.

3. التحقق من سجلات تدقيق PIM

  1. في جزء التنقل الأيسر لـ PIM، حدد التدقيق > تدقيق دور Microsoft Entra.
  2. قم بتصفية السجلات لرؤية عمليات تنشيط الأدوار والموافقات والأنشطة الأخرى ذات الصلة بإدارة المعلومات الشخصية (PIM). يوفر هذا سجلاً كاملاً لمن قام بتفعيل أي وظيفة، ومتى، وإلى متى، وبأي مبرر.

4. اختبار انتهاء صلاحية التنشيط

بعد انتهاء وقت التنشيط، يجب أن يخسر المستخدمامتيازات مرتفعة تلقائيا. حاول تنفيذ الإجراء المميز مرة أخرى؛ يجب أن تفشل.

نصائح أمنية وأفضل الممارسات

  • مبدأ الامتياز الأقل: قم بتعيين الأدوار الضرورية فقط للمستخدم لأداء مهامه. تجنب تعيين "المسؤول العام" إذا كان الدور الأقل امتيازًا سيكون كافيًا.
  • تعيين الأهلية مقابل التعيين النشط: كلما أمكن، استخدم التعيينات "المؤهلة" بدلاً من التعيينات "النشيطة" الدائمة للأدوار المميزة.
  • MFA إلزامية: اطلب دائمًا MFA لتنشيط الوظائف المميزة. وهذا يضيف طبقة حرجة من الأمان.
  • التبرير المطلوب: مطالبة المستخدمين بتقديم مبرر لكل عملية تنشيط. وهذا يساعد في التدقيق وفهم الغرض من الوصول.
  • تدفقات الموافقة: بالنسبة للوظائف المهمة، قم بتكوين تدفقات الموافقة لضمان مراجعة عمليات التنشيط والترخيص بها من قبل شخص آخر.
  • مراجعات الوصول: قم بجدولة مراجعات الوصول المنتظمة في PIM للتأكد من أن الأهلية للأدوار المميزة لا تزال مناسبة وإزالة التعيينات غير الضرورية.
  • الإشعارات: قم بتكوين الإشعارات للمسؤولين عند تنشيط الأدوار المميزة أو حدوث نشاط مريب.
  • التكامل مع الوصول المشروط: استخدم الوصول المشروط لفرض سياسات إضافية عند تنشيط وظائف PIM (على سبيل المثال، طلب التنشيط من جهاز مدعوم أو موقع شبكة موثوق به).

استكشاف الأخطاء وإصلاحها الشائعة

  • لا يمكن للمستخدم تنشيط الوظيفة: تحقق مما إذا كان المستخدم لديه ترخيص Microsoft Entra ID Premium P2. تحقق مما إذا كان مدرجًا في قائمة المؤهلين لهذا الدور. تحقق من إعدادات الدور (على سبيل المثال، ما إذا كان MFA مطلوبًا ولم يقم المستخدم بتكوينه).
  • فشل تنشيط الوظيفة: تحقق من سجلات تدقيق PIM بحثًا عن رسائل الخطأ. يمكن أن يكون ذلك بسبب فشل MFA، أو عدم وجود مبرر، أو الرفض من قبل المعتمد.
  • لا يتلقى الموافقون إشعارات: تحقق من إعدادات الإشعارات في إعدادات الدور. تأكد من صحة عناوين البريد الإلكتروني الخاصة بالموافقين ومن عدم وجود قواعد للبريد الوارد تمنع الإشعارات.
  • لا يتم إلغاء تنشيط الوظيفة تلقائيًا: تحقق من الحد الأقصى لمدة التنشيط في إعدادات الوظيفة. إذا استمرت المشكلة، فقد يكون ذلك بسبب التأخير في مزامنة الخدمة.
  • تعارضات الأذونات: إذا كان لدى المستخدم نفس الإذن من خلال دور PIM ودور عادي، فسيسود الدور العادي. من الممارسات الجيدة إزالة تعيينات الأدوار المميزة الدائمة للمستخدمين المؤهلين أيضًا عبر PIM.

الخلاصة

تعد Microsoft Entra Privileged Identity Management (PIM) أداة لا غنى عنها لأي مؤسسة تتطلع إلى حماية وصولها المميز وتعزيز وضعها الأمني. من خلال اعتماد مبادئ Just-In-Time وJust-Enough Access، تساعد PIM بشكل كبير على تقليل سطح الهجوم، وتوفر مسار تدقيق مفصل، وتفرض ضوابط صارمة على الوظائف الإدارية. إن التنفيذ الدقيق لـ PIM، جنبًا إلى جنب مع أفضل الممارسات الأمنية وتدريب المستخدمين، يمكّن فرق تكنولوجيا المعلومات والأمن من إدارة الامتيازات بشكل فعال، وتخفيف المخاطر المرتبطة بالحسابات المميزة المعرضة للخطر وضمان بيئة أكثر أمانًا وامتثالًا.

المراجع:

[1] مايكروسوفت تعلم. ما هي إدارة الهوية المميزة لـ Microsoft Entra؟. متوفر على: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] مايكروسوفت تعلم. المبادئ التوجيهية لسياسة انعدام الثقة. متوفر على: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] مايكروسوفت تعلم. متطلبات الترخيص لإدارة الهوية المميزة لـ Microsoft Entra. متوفر على: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements