فهم هوية Microsoft وإدارة الوصول: كل ما تحتاج إلى معرفته

هل تعلم أن 445 مليون دولار قد خسرها مجرمو الإنترنت في عام 2018 وحده؟

وفقًا لتقرير تحقيقات خرق البيانات الصادرة عن Verizon لعام 2019 ، فإن 80٪ من هجمات أسلوب القرصنة تضمنت بيانات اعتماد مخترقة أو ضعيفة. بشكل عام ، كانت 29٪ من جميع الانتهاكات بسبب أوراق الاعتماد المسروقة.

لم تكن حلول إدارة الهوية والوصول أكثر أهمية للشركات من قبل. لكن معظم الشركات ليس لديها فكرة من أين تبدأ. لقد أنشأنا هذه المقالة لمنحك نقطة بداية وشرح المزيد حول حلول إدارة الوصول والهوية من Microsoft.

ماذا تفعل خدمات IAM؟

موظفوك هم أكبر مخاطر أمنية. إذا لم يهتموا بالحفاظ على أمان كلمات المرور الخاصة بهم ، أو استخدموا كلمات مرور ضعيفة ، فيمكنك أيضًا إرسال إشعار يقول "اخترقني". تعد إدارة الوصول أمرًا بسيطًا عندما تدير شركة صغيرة مع عدد قليل من الموظفين. كلما زاد عدد الموظفين لديك ، زادت صعوبة إدارتك. وهنا يأتي دور خدمات IAM.

إدارة وصول الموظف

إنها تسمح لك بإدارة وصول الموظفين إلى أنظمتك بشكل أكثر كفاءة. أنها توفر خيارات وصول بديلة أكثر أمانًا. يقدم لك Microsoft Azure Active Directory ، على سبيل المثال ، نقطة تسجيل دخول واحدة إلى جانب نظام ترخيص متعدد العوامل.

لذلك ، بدلاً من مجرد كتابة اسم المستخدم وكلمة المرور ، سيكون لديك بعض خطوات المصادقة المختلفة. قد يتعين عليك ، على سبيل المثال ، كتابة رمز المصادقة المرسل إلى هاتفك. أو ، إذا كنت بحاجة إلى مزيد من الأمان ، فقد يتم تشغيل التعريف البيومتري.

باستخدام أنظمة IAM ، يمكنك أن ترى في لمحة الأنظمة التي يمكن للموظف الوصول إليها. يمكنك ضبط وصولهم إلى الأنظمة الحيوية فقط لوظائفهم. يمكنك أيضًا برمجة النظام لإعادة تعيين كلمات المرور بعد فترة زمنية محددة تلقائيًا.

تحسين رحلة العميل

يمكن لهذه الأنظمة أن تجعل رحلة العميل أفضل من خلال جعل عملية تسجيل الدخول أسهل وأكثر أمانًا.

إدارة الوصول للمقاولين الخارجيين

إذا كنت بحاجة إلى العمل مع المستقلين ، فإن هذه الأنظمة تسمح لك بإعداد ملفات تعريف المستخدمين بسرعة وسهولة. يمكنك تعيين امتيازات مستخدم محدودة للأنظمة التي يحتاجون إلى الوصول إليها فقط.

يمكنك ، على سبيل المثال ، منحهم حق الوصول إلى عنوان بريد إلكتروني واحد فقط للشركة أو وصول أساسي إلى قاعدة البيانات الخاصة بك. يمكنك أيضًا البرمجة في تاريخ انتهاء العقد لضمان إلغاء الوصول تلقائيًا.

تحسين الإنتاجية

يمكن أن تكون مفيدة أيضًا في تحسين الإنتاجية لأنها تسمح للموظفين بالعمل من أجهزة مختلفة بأمان. تعتمد العديد من هذه الخدمات على السحابة ، لذا فهي لا تعتمد على الجهاز. بمعنى آخر ، لا يتعين عليك تنزيلها على الجهاز نفسه.

من خلال تقييد وصول الموظفين إلى أنظمتك ، ستتمكن بشكل أفضل من إدارة الازدحام داخل تلك الأنظمة. وهذا بدوره يحسن الإنتاجية.

دعم الامتثال

مع زيادة صرامة قوانين الخصوصية ، تتعرض الشركات لضغوط أكبر لحماية معلومات العميل. يمكن أن تساعد أنظمة IAM في ذلك.

اسمح لموظفي تكنولوجيا المعلومات بالتركيز على المهام الأكثر أهمية

أخيرًا ، تسمح هذه الأنظمة بأتمتة مهام الأمان الأساسية. هذا يحرر موظفي تكنولوجيا المعلومات لديك للعمل على أشياء أكثر أهمية. كما أنه يقلل من احتمالية حدوث خطأ بشري.

كيف تناسب مايكروسوفت؟

تقدم مجموعة Microsoft Azure مجموعة من الأدوات القوية التي توفر لك مستويات الأمان التي تحتاجها. لقد دخلوا أيضًا في شراكة مع العديد من موفري الجهات الخارجية لتعزيز الحماية بشكل أكبر. لذلك ، إذا لم يكن لدى Microsoft التكنولوجيا اللازمة لتقديم برامج التعرف على الوجه ، على سبيل المثال ، فإنها ستشترك مع شركة تمتلكها.

إدارة الهوية المميزة لـ Azure

يوفر هذا المنتج عمليات التنشيط المستندة إلى الموافقة والمستندة إلى الوقت للمساعدة في منع إساءة استخدام الموارد والوصول غير المصرح به.

الميزات تشمل:

• وصول بامتياز في الوقت المناسب : تتيح لك هذه الميزة حظر حركة المرور الواردة إلى جهازك الظاهري Azure. هذا يحميك بشكل فعال من الهجمات عن طريق تقليل تعرضك. عندما لا يكون النظام قيد الاستخدام ، يتم قفله.

• امتيازات الوصول المحددة بوقت: قل ، على سبيل المثال ، أنك توظف شخصًا ما بشكل مؤقت. أدخل التواريخ عند بدء العقد وإنهائه. سيقوم النظام بقطع الوصول في تاريخ الإنهاء تلقائيًا.

• التحكم في من يتحكم : يتطلب النظام إنشاء ملفات تعريف المستخدمين ثم تنشيطها. لا يمكن تفعيل الامتيازات الخاصة إلا بموافقة مسؤول النظام. يمكنك ، إذا كنت تفضل اتباع نموذج الصانع / المدقق هنا. يقوم IT pro 1 بإنشاء ملفات التعريف ثم يقوم بتشغيلها للموافقة على التنشيط.

• استخدم المصادقة متعددة العوامل لتنشيط المستخدم : تمتد الحماية إلى ما هو أبعد من موظفيك. يمكنك أيضًا تمكين المصادقة الثنائية للمستخدمين الذين يقومون بالتسجيل في موقعك. إذا قاموا بإنشاء ملف تعريف ، على سبيل المثال ، فسيتعين عليهم التحقق من عنوان البريد الإلكتروني لتنشيطه.

• الإعلام عندما يصبح الدور المميز نشطًا : هذا شكل آخر من أشكال المصادقة. إذا قام شخص ما بتسجيل الدخول على النظام ، أو طلب الإذن للقيام بذلك ، فسيتم إرسال إشعار.

• مراجعة الوصول : هل قام الموظفون بتغيير الأدوار؟ هل ما زالوا بحاجة إلى نفس القدر من الوصول كما كان من قبل؟ تسهل إدارة الوصول إلى الهوية من Microsoft مراجعة الأدوار وتغيير الوصول حسب الضرورة.

• سجل المراجعة الكامل : هذا مفيد إذا كنت تخضع للتدقيق. يوفر هذا دليلًا على تواريخ التنشيط وتواريخ تغيير البيانات وما إلى ذلك. يمكن أن يصبح هذا مهمًا إذا كانت شركتك تواجه رسومًا فيما يتعلق بقوانين الخصوصية. كما أنه يجعل إجراء عمليات التدقيق الداخلي أسهل كثيرًا.

من المسموح له أن يفعل ماذا؟

يقوم النظام بتعيين امتيازات مختلفة للمكلفين بإدارته. إليك كيف يعمل ذلك.

• مسؤول الأمن

يتم تعيين أدوار مسؤول الامتياز ومسؤول الأمان لأول مستخدم مسجل هنا.

• مدراء متميزون

هؤلاء هم المسؤولون الوحيدون الذين يجوز لهم تعيين أدوار لمسؤولين آخرين. يمكنك أيضًا منح المسؤولين الآخرين حق الوصول إلى Azure AD. يمكن للأشخاص في الأدوار التالية عرض المهام ، ولكن لا يمكنهم تغييرها. يشمل هؤلاء الأشخاص مديري الأمان والمسؤولين العالميين وقراء الأمان والقراء العالميين.

• مسؤول الاشتراك

يمكن للأشخاص في هذه الأدوار إدارة التعيينات للمسؤولين الآخرين. يمكنهم تغيير وإنهاء المهام. الأدوار الأخرى المسموح بها للقيام بذلك هي مسؤولي وصول المستخدم ومالكي الموارد.

وتجدر الإشارة إلى أن الأشخاص في الأدوار التالية يحتاجون إلى الحصول على إذن لعرض التعيينات: مسؤولو الأمان ، ومسؤولو الأدوار المميزة ، وقراء الأمان.

المصطلحات التي تحتاج إلى معرفتها

قد تكون المصطلحات المستخدمة في Microsoft Privileged Identity Management محيرة للمبتدئين. فيما يلي تفصيل للمصطلحات الأساسية.

• صالح

مع هذا التعيين ، يحتاج المستخدمون إلى اتخاذ إجراء أو إجراءات معينة لتنشيط دورهم. الفرق بين هذا الدور والدائم هو أنه لا يحتاج الجميع إلى الوصول إليه في جميع الأوقات. يمكن للمستخدم تنشيط الدور عندما يحتاج إلى الوصول.

• نشيط

هذه هي تعيينات الأدوار التي يتم تعيينها افتراضيًا بواسطة النظام. لا يحتاجون إلى التنشيط. على سبيل المثال ، يمكن لمسؤولي النظام إنشاء تعيينات لمسؤولين آخرين.

• تفعيل

هذا هو الإجراء أو الإجراءات التي يجب على الأشخاص اتخاذها لإثبات أنهم مخولون باستخدام النظام. يعد إدخال اسم المستخدم وكلمة المرور مثالاً على ذلك. يمكن استخدام العديد من طرق المصادقة المختلفة هنا.

• مكلف

هذا يعني أنه تم منح المستخدم امتيازات معينة داخل النظام.

• مفعل

هذا مستخدم يمكنه استخدام النظام وتفعيل دوره ويستخدمه حاليًا. سيطلب النظام من المستخدم إعادة إدخال بيانات الاعتماد الخاصة به بعد فترة محددة من عدم النشاط. مثال على ذلك مع الخدمات المصرفية عبر الإنترنت ، حيث يتم تسجيل خروجك بعد عشر دقائق من عدم النشاط.

• مؤهل دائم

هذه مهمة تسمح للمستخدم بتفعيل دوره متى شاء. سيتعين عليهم القيام بإجراءات محددة للوصول إلى الأدوار. لنفترض ، على سبيل المثال ، أن الموظف يلتقط دفعة ليتم سدادها. قد يحتاجون إلى إدخال رمز مخصص عشوائيًا لتأكيد المعاملة.

• نشط دائم

يسمح هذا التعيين للمستخدم باستخدام دور بدون تنشيط. هذه هي الأدوار التي يمكن للمستخدم القيام بها دون مزيد من الإجراءات.

• انتهاء الصلاحية المؤهلة

هذا دور قائم على الوقت. هنا سيتعين عليك تعيين تواريخ البدء والانتهاء. يمكن القيام بذلك للمستقلين. يمكن استخدامه أيضًا لإجبار الموظفين على تحديث كلمات المرور الخاصة بهم بانتظام.

يمكن أن تكون إدارة الوصول ، خاصة في المؤسسات المتوسطة إلى الكبيرة ، مهمة صعبة. مع قوة مجموعة Azure من Microsoft ، يصبح إنجازه أسهل كثيرًا. تضيف خدمات IAM طبقة إضافية من الأمان للحماية من الانتهاكات التي تنجم عن عمليات الوصول والتنازلات الداخلية.

***

كريس أوساتينكو هو خبير كمبيوتر وكاتب ومنشئ محتوى. إنه مهتم بكل جانب من جوانب صناعة تكنولوجيا المعلومات. كونه يعمل بالقطعة بطبيعته ، فهو على استعداد لاكتساب الخبرة والمعرفة من جميع أنحاء العالم وتنفيذها في حياته.