
كورس SC-300: Microsoft Identity and Access Administrator يغطي جميع جوانب إدارة الهوية والوصول في Microsoft Entra ID (Azure AD).
يتيح IAAS الوصول إلى الموارد مثل الآلات الافتراضية والتخزين الافتراضي. يتيح PAAS الوصول إلى بيئة وقت التشغيل لأدوات النشر والتطوير للتطبيق. يتيح SAAS الوصول إلى المستخدم النهائي. إنه نموذج خدمة يوفر موارد الحوسبة الافتراضية عبر الإنترنت
IAAS gives access to the resources like virtual machines and virtual storage. PAAS gives access to run time environment to deployment and development tools for application. SAAS gives access to the end user. It is a service model that provides virtualized computing resources over the internet
Azure B2B (Business-to-Business) → للشركاء والموظفين
الغرض: يسمح للمستخدمين الخارجيين (الشركاء والموردين والمقاولين) بالوصول بشكل آمن إلى تطبيقات وخدمات شركتك باستخدام بيانات اعتمادهم الخاصة.
كيف يعمل: يقوم المستخدمون الخارجيون بتسجيل الدخول باستخدام حسابات شركتهم الخاصة (Microsoft Entra ID وGoogle وما إلى ذلك) دون الحاجة إلى حساب جديد في نظامك.
مثال: يقوم المورد بتسجيل الدخول إلى البوابة الداخلية الخاصة بك باستخدام حساب Microsoft الخاص به.
Azure B2C (Business-to-Consumer) → للعملاء
الغرض: يسمح للشركات بإنشاء نظام مصادقة يواجه العملاء للتطبيقات ومواقع الويب.
كيف يعمل: يمكن للعملاء التسجيل أو إنشاء حساب أو تسجيل الدخول باستخدام وسائل التواصل الاجتماعي (Google وFacebook) أو البريد الإلكتروني.
مثال: يتيح موقع الويب للبيع بالتجزئة للمستخدمين تسجيل الدخول باستخدام حساباتهم على Google أو Facebook.
B2B = External partners accessing company systems
B2C = Customers logging into public-facing apps
Azure B2B (Business-to-Business) → For Partners & Employees
Purpose: Allows external users (partners, vendors, contractors) to securely access your company's apps and services using their own credentials.
How it Works: External users sign in with their own company accounts (Microsoft Entra ID, Google, etc.) without needing a new account in your system.
Example: A supplier logs into your internal portal using their own corporate Microsoft account.
Azure B2C (Business-to-Consumer) → For Customers
Purpose: Allows businesses to create a customer-facing authentication system for apps and websites.
How it Works: Customers can sign up, create an account, or log in using social media (Google, Facebook) or email.
Example: A retail website lets users sign in using their Google or Facebook accounts.
1- ما هو Entra ID (Azure Active Directory سابقًا)؟
Entra ID هو نظام إدارة هويات سحابي من مايكروسوفت، يُستخدم لتأمين الدخول إلى التطبيقات السحابية مثل Microsoft 365، Azure، و التطبيقات السحابية الأخرى.
مثال عملي:
إذا كنت تستخدم بريد Outlook أو Microsoft Teams أو OneDrive، يمكنك تسجيل الدخول من أي جهاز أو مكان بالعالم باستخدام حساب مايكروسوفت الخاص بك. Entra ID هو الذي يتأكد من هويتك ويمنحك الصلاحيات المناسبة.
متى يُستخدم Entra ID؟
عند استخدام تطبيقات سحابية مثل Office 365، Teams، SharePoint.
عندما تحتاج إلى تسجيل الدخول من أي مكان بدون الحاجة إلى شبكة محلية.
عند استخدام Multi-Factor Authentication (MFA) للحماية الإضافية.
عند الدمج مع خدمات SSO (Single Sign-On) لتسجيل الدخول الموحد.
2- ما هو Active Directory Domain Services (AD DS)؟
AD DS هو نظام إدارة هويات وأذونات تستخدمه الشركات لإدارة الأجهزة والمستخدمين داخل الشبكة المحلية (On-Premises).
مثال عملي:
تخيل أنك تعمل في شركة، وعند تشغيل الكمبيوتر، تحتاج إلى تسجيل الدخول باستخدام اسم المستخدم وكلمة المرور. هذه البيانات تُخزن في Active Directory داخل سيرفر موجود في الشركة، وهو الذي يحدد الصلاحيات، مثل الوصول إلى الملفات أو الطابعات.
متى يُستخدم AD DS؟
عند وجود أجهزة كمبيوتر داخل الشركة متصلة بسيرفر داخلي.
عندما تحتاج إلى التحكم في الأجهزة والسياسات الأمنية محليًا.
عند استخدام Windows Server لإدارة المستخدمين والموارد.
هل يمكن استخدام الاثنين معًا؟
نعم، يمكن ربط AD DS مع Entra ID باستخدام خدمة Azure AD Connect# بحيث يمكن للمستخدمين تسجيل الدخول إلى تطبيقات السحابة باستخدام بيانات حسابهم المحلي في AD DS.
مثال على الدمج بين AD DS و Entra ID:
لديك شبكة داخلية تستخدم AD DS لإدارة أجهزة الشركة.
لكن الموظفين يحتاجون للوصول إلى Office 365 أو Teams من منازلهم.
باستخدام Azure AD Connect، يمكنهم استخدام نفس اسم المستخدم وكلمة المرور للدخول إلى التطبيقات السحابية.
متى تستخدم كل واحد منهما؟
إذا كنت تحتاج إلى إدارة أجهزة وشبكات محلية: استخدم AD DS.
إذا كنت تعتمد على التطبيقات السحابية ولا تريد سيرفر محلي: استخدم Entra ID.
إذا كنت تريد أفضل ما في الاثنين: اربط AD DS مع Entra ID لدمج الإدارة المحلية مع السحابية.
1- What is Entra ID (formerly Azure Active Directory - Azure AD)?
Entra ID is a cloud-based identity management service from Microsoft, used to secure access to cloud applications like Microsoft 365, Azure, and other online services.
Real-World Example:
If you use Outlook, Microsoft Teams, or OneDrive, you can log in from any device, anywhere in the world, using your Microsoft account. Entra ID verifies your identity and grants you the right permissions.
When is Entra ID used?
When accessing cloud-based applications like Office 365, Teams, or SharePoint.
When logging in from anywhere, without needing a local network.
When using Multi-Factor Authentication (MFA) for extra security.
When implementing Single Sign-On (SSO) to log in to multiple apps with one account.
2-What is Active Directory Domain Services (AD DS)?
AD DS is an identity and access management system used by organizations to manage users and devices within a local network (On-Premises).
Real-World Example:
Imagine you work in an office, and when you turn on your computer, you have to log in with a username and password. These credentials are stored in Active Directory, which runs on a server inside the company. It determines your access rights, such as whether you can open certain files or use a printer.
When is AD DS used?
When computers in a company are connected to an internal server.
When IT needs to enforce security policies locally.
When using Windows Server to manage users and resources.
Can You Use Both Together?
Yes! You can integrate AD DS with Entra ID using Azure AD Connect. This allows employees to log into cloud apps using their on-premises AD DS credentials.
Example of AD DS + Entra ID Integration:
Your company has an internal network managed with AD DS.
Employees need access to Office 365 or Teams from home.
With Azure AD Connect, they can use the same username and password for both on-premises and cloud applications.
متى تستخدم كل منهما؟
استخدم AD DS → إذا كنت تحتاج إلى إدارة أجهزة وشبكات محلية داخل الشركة.
استخدم Entra ID → إذا كنت تعتمد على التطبيقات السحابية والعمل عن بُعد.
استخدم الاثنين معًا (بيئة هجينة) → إذا كنت تريد إدارة كل من المستخدمين المحليين والسحابيين بطريقة متكاملة.
When to Use Each?
Use AD DS → If you need to manage local computers, printers, and internal network resources.
Use Entra ID → If your company relies on cloud applications and remote work.
Use Both (Hybrid) → If you want to manage both on-premises and cloud users together.
إنشاء مستخدم جديد في Entra ID عبر Azure Portal
الخطوات:
افتح بوابة Azure:
انتقل إلى Entra ID:
من القائمة الجانبية، اختر "Microsoft Entra ID".
إنشاء مستخدم جديد:
اضغط على "المستخدمون" → "مستخدم جديد".
اختر "إنشاء مستخدم".
أدخل اسم المستخدم، الاسم، وكلمة المرور.
حدد الدور (مثل مستخدم عادي أو مسؤول عام).
اضغط "إنشاء".
تم إنشاء المستخدم بنجاح!
إنشاء مجموعة جديدة في Entra ID عبر Azure Portal
الخطوات:
انتقل إلى "المجموعات" (Groups) داخل Entra ID.
اضغط "مجموعة جديدة" (New Group).
اختر نوع المجموعة:
Security → للتحكم في الوصول والصلاحيات.
Microsoft 365 → لاستخدامها في Teams والتعاون المشترك.
أدخل اسم المجموعة والوصف.
اختر نوع الأعضاء:
معين (Assigned) → إضافة المستخدمين يدويًا.
ديناميكي مستخدم (Dynamic User) → إضافة المستخدمين تلقائيًا حسب شروط معينة (مثل القسم أو المسمى الوظيفي).
ديناميكي جهاز (Dynamic Device) → إضافة الأجهزة تلقائيًا بناءً على قواعد محددة.
اضغط "إنشاء".
تم إنشاء المجموعة بنجاح!
Creating Users and Groups in Entra ID (Azure AD)
Steps:
Go to Azure Portal:
Navigate to Entra ID:
Click "Microsoft Entra ID" from the left menu.
Create a User:
Click "Users" → "New User".
Choose "Create user".
Enter the Username, Name, and Password.
Assign Roles (e.g., User, Global Admin).
Click "Create".
User Created Successfully!
Creating a Group in Entra ID (Azure Portal)
Steps:
Go to "Groups" inside Entra ID.
Click "New Group".
Choose Group Type:
Security → For access control.
Microsoft 365 → For Teams and collaboration.
Enter Group Name and Description.
Choose Membership Type:
Assigned → Manually add users.
Dynamic User → Auto-add users based on rules.
Dynamic Device → Auto-add devices based on rules.
Click "Create".
Group Created Successfully!
إنشاء مستخدم جديد في Entra ID عبر Azure Portal
الخطوات:
افتح بوابة Azure: https://portal.azure.com
انتقل إلى Entra ID:
من القائمة الجانبية، اختر "Microsoft Entra ID".
إنشاء مستخدم جديد:
اضغط على "المستخدمون" → "مستخدم جديد".
اختر "إنشاء مستخدم".
أدخل اسم المستخدم، الاسم، وكلمة المرور.
حدد الدور (مثل مستخدم عادي أو مسؤول عام).
اضغط "إنشاء".
تم إنشاء المستخدم بنجاح!
Creating a User in Entra ID (Azure Portal)
Steps:
Go to Azure Portal: https://portal.azure.com
Navigate to Entra ID:
Click "Microsoft Entra ID" from the left menu.
Create a User:
Click "Users" → "New User".
Choose "Create user".
Enter the Username, Name, and Password.
Assign Roles (e.g., User, Global Admin).
Click "Create".
User Created Successfully!
ما هو WriteBack في Entra ID (Azure AD)؟
خاصية WriteBack في Entra ID (Azure AD) تعني إعادة مزامنة البيانات من Azure Active Directory إلى On-Premises Active Directory. أي أن التعديلات التي تحدث في Azure AD (السحابي) يمكن أن يتم إرسالها مرة أخرى إلى AD المحلي لديك.
أنواع WriteBack في Azure AD
هناك نوعان رئيسيان من WriteBack:
Password WriteBack
→ يسمح للمستخدمين بإعادة تعيين كلمات المرور في Azure AD، وتتم مزامنتها تلقائيًا إلى Active Directory المحلي.
User & Group WriteBack
→ يتيح إنشاء المستخدمين والمجموعات في Azure AD وإعادتهم إلى Active Directory المحلي.
أمثلة على WriteBack في بيئة فعلية
1. مثال على Password WriteBack
السيناريو:
لديك بيئة Hybrid حيث يتم استخدام Azure AD للمصادقة، لكن لديك Active Directory محلي. يريد المستخدم تغيير كلمة مروره عبر Azure Self-Service Password Reset (SSPR).
الخطوات:
يقوم المستخدم بإعادة تعيين كلمة المرور من خلال بوابة Azure AD.
يتم إرسال التغيير إلى Azure AD Connect.
يقوم Azure AD Connect بمزامنة كلمة المرور الجديدة إلى Active Directory المحلي.
يستطيع المستخدم الآن تسجيل الدخول باستخدام كلمة المرور الجديدة في AD المحلي وأي أنظمة مرتبطة به.
الفائدة:
تقليل الضغط على الـ Helpdesk لتغيير كلمات المرور.
تمكين المستخدمين من إعادة تعيين كلمات المرور بأنفسهم دون الحاجة إلى VPN للوصول إلى بيئة On-Prem.
2. مثال على User & Group WriteBack
السيناريو:
شركة تستخدم Microsoft Entra ID (Azure AD) لإنشاء مجموعات Teams والتعامل مع هويات المستخدمين، لكنها لا تزال تحتاج أن يتم إنشاء هذه الحسابات تلقائيًا في Active Directory المحلي.
الخطوات:
يتم إنشاء مستخدم جديد في Azure AD عند إضافة موظف جديد.
يتم تفعيل خاصية User WriteBack عبر Azure AD Connect.
يقوم Azure AD Connect بإنشاء هذا المستخدم تلقائيًا في Active Directory المحلي.
يمكن الآن لهذا المستخدم تسجيل الدخول إلى أنظمة On-Premises بنفس بيانات اعتماده.
الفائدة:
توفير الوقت في إدارة المستخدمين.
ضمان التزامن التلقائي بين Azure AD و Active Directory المحلي.
دعم أنظمة قديمة تعتمد على AD التقليدي.
ما الذي تحتاجه لاستخدام WriteBack؟
لتفعيل WriteBack، تحتاج إلى: Azure AD Connect
Azure AD P1 أو P2 License (لبعض الميزات مثل Password WriteBack)
صلاحيات كافية في Active Directory المحلي
تمكين الخيارات المطلوبة في إعدادات Azure AD Connect
What is WriteBack in Entra ID (Azure AD)?
WriteBack in Entra ID (Azure AD) allows syncing changes made in Azure Active Directory (Azure AD) back to On-Premises Active Directory (AD). This means any modifications made in Azure AD (cloud) can be written back to the local AD.
Types of WriteBack in Azure AD
There are two main types of WriteBack:
Password WriteBack
→ Allows users to reset their passwords in Azure AD, and the new password is synced back to On-Premises AD.
User & Group WriteBack
→ Enables creating users and groups in Azure AD and synchronizing them back to On-Premises AD.
Examples of WriteBack in a Real-World Scenario
1. Example of Password WriteBack
Scenario:
You have a Hybrid AD environment where authentication happens via Azure AD, but you still have On-Prem AD. A user wants to reset their password using Azure Self-Service Password Reset (SSPR).
Steps:
The user resets their password through the Azure AD portal.
The change is sent to Azure AD Connect.
Azure AD Connect synchronizes the new password to On-Premises AD.
The user can now log in using the new password on both On-Premises AD and any connected systems.
Benefits:
Reduces Helpdesk workload for password resets.
Users can reset their passwords without needing VPN access to the on-prem environment.
2. Example of User & Group WriteBack
Scenario:
A company manages users and groups in Microsoft Entra ID (Azure AD) for Teams and other cloud services but still needs these accounts to exist in On-Premises AD.
Steps:
A new user is created in Azure AD (e.g., a new employee is onboarded).
User WriteBack is enabled in Azure AD Connect.
Azure AD Connect automatically creates this user in On-Premises AD.
The user can now log in to On-Premises systems with their credentials.
Benefits:
Saves time in user account management.
Ensures automatic synchronization between Azure AD and On-Prem AD.
Supports legacy systems that rely on traditional Active Directory.
Requirements for Using WriteBack
To enable WriteBack, you need:
Azure AD Connect installed and configured.
Azure AD P1 or P2 License (for features like Password WriteBack).
Proper permissions in On-Prem AD.
Enabling the required options in Azure AD Connect settings.
Summary
Password WriteBack → Allows password resets from Azure AD to sync with On-Prem AD.
User & Group WriteBack → Synchronizes users and groups from Azure AD to On-Prem AD.
Improves efficiency in account and password management, especially in Hybrid Environments.
ما هو SCIM؟
SCIM (System for Cross-domain Identity Management) هو بروتوكول مفتوح يُستخدم لإدارة هويات المستخدمين بين الأنظمة المختلفة بشكل آلي وآمن. يساعد SCIM في مزامنة وإدارة حسابات المستخدمين بين Microsoft Entra ID (Azure AD) والتطبيقات السحابية الأخرى مثل ServiceNow، Salesforce، AWS، وغيرها.
لماذا نستخدم SCIM؟
أتمتة إدارة المستخدمين: إنشاء، تحديث، وحذف الحسابات تلقائيًا.
تقليل الأخطاء البشرية: لا حاجة لإدخال البيانات يدويًا.
تحسين الأمان: يتم إزالة المستخدمين من جميع الأنظمة عند تعطيل حسابهم في Azure AD.
التكامل مع التطبيقات السحابية: يدعم العديد من التطبيقات التي تحتاج إلى مزامنة الهوية.
كيف يعمل SCIM في Microsoft؟
Azure AD يعمل كمصدر للهوية (Identity Provider).
عند إضافة أو تعديل أو حذف مستخدم في Azure AD، يتم إرسال هذه التغييرات تلقائيًا عبر SCIM إلى التطبيق المتصل.
التطبيق السحابي يقوم بتحديث قاعدة بيانات المستخدمين لديه وفقًا للتغييرات الواردة من Azure AD.
أمثلة على استخدام SCIM في Microsoft
1. مثال: مزامنة المستخدمين من Azure AD إلى تطبيق SaaS
السيناريو:
شركة تستخدم تطبيق ServiceNow لإدارة خدمات تكنولوجيا المعلومات. تحتاج إلى أن يقوم Azure AD تلقائيًا بإنشاء المستخدمين الجدد وإلغاء حسابات الموظفين السابقين في ServiceNow.
الخطوات:
تمكين SCIM في إعدادات ServiceNow.
في Azure AD، يتم إضافة ServiceNow كـ Enterprise Application.
تكوين إعدادات Provisioning في Azure AD وربطها بواجهة SCIM API الخاصة بـ ServiceNow.
عند انضمام موظف جديد، يتم إنشاء حساب له تلقائيًا في ServiceNow.
عند مغادرة الموظف الشركة، يتم إلغاء حسابه تلقائيًا في ServiceNow.
الفوائد:
لا حاجة لإنشاء المستخدمين يدويًا في كل تطبيق.
يقلل الأخطاء ويضمن أن المستخدمين لديهم فقط الصلاحيات المطلوبة.
تحسين الأمان عبر إزالة المستخدمين فورًا عند مغادرتهم.
2. مثال: مزامنة المستخدمين من Azure AD إلى AWS IAM
السيناريو:
شركة تستخدم AWS وتريد أن يتم إنشاء المستخدمين تلقائيًا في AWS IAM عند إضافتهم في Azure AD.
الخطوات:
تمكين SCIM في AWS IAM Identity Center.
في Azure AD، يتم إضافة AWS IAM كتطبيق جديد.
يتم إدخال SCIM API URL و Token المقدم من AWS في إعدادات Azure AD.
عند إضافة مستخدم جديد في Azure AD، يتم إنشاؤه تلقائيًا في AWS IAM مع الصلاحيات المحددة.
الفوائد:
إدارة المستخدمين مركزيًا من Azure AD.
تقليل وقت إدارة الحسابات في AWS.
تحسين الأمان عبر إدارة المستخدمين آليًا.
ما الذي تحتاجه لاستخدام SCIM مع Microsoft؟
Azure AD P1 أو P2 لدعم مزامنة المستخدمين تلقائيًا.
تطبيق يدعم SCIM API مثل ServiceNow، AWS، Salesforce.
تمكين Provisioning في إعدادات Azure AD.
تكوين SCIM Endpoint (URL + Token) في Azure AD.
الخلاصة
SCIM هو بروتوكول يُستخدم لمزامنة المستخدمين تلقائيًا بين Azure AD والتطبيقات الأخرى.
يوفر الوقت ويقلل الحاجة لإدارة المستخدمين يدويًا في كل تطبيق.
يحسن الأمان عبر إزالة المستخدمين تلقائيًا عند مغادرتهم المؤسسة.
What is SCIM?
SCIM (System for Cross-domain Identity Management) is an open standard protocol used for automating user identity management across different systems securely. It enables Azure AD (Microsoft Entra ID) to automatically sync and manage user accounts with cloud applications like ServiceNow, Salesforce, AWS, etc.
Why Use SCIM?
Automates user management: Creates, updates, and deletes accounts automatically.
Reduces human errors: No need for manual data entry.
Enhances security: Automatically removes users from all connected applications when their Azure AD account is deactivated.
Seamless integration: Supports many cloud applications that require identity synchronization.
How Does SCIM Work in Microsoft?
Azure AD acts as the Identity Provider.
When a user is added, updated, or deleted in Azure AD, the changes are sent to the connected application via SCIM.
The cloud application updates its user database based on the received changes.
Examples of Using SCIM in Microsoft
1. Example: Sync Users from Azure AD to a SaaS Application
Scenario:
A company uses ServiceNow for IT service management. They want Azure AD to automatically create and remove users in ServiceNow.
Steps:
Enable SCIM in ServiceNow settings.
In Azure AD, add ServiceNow as an Enterprise Application.
Configure Provisioning settings in Azure AD and connect it to the SCIM API of ServiceNow.
When a new employee joins, their account is automatically created in ServiceNow.
When an employee leaves, their account is automatically deactivated in ServiceNow.
Benefits:
No need to manually create users in each application.
Reduces errors and ensures users have only the required permissions.
Improves security by removing users immediately when they leave.
2. Example: Sync Users from Azure AD to AWS IAM
Scenario:
A company using AWS wants new employees added in Azure AD to be automatically created in AWS IAM.
Steps:
Enable SCIM in AWS IAM Identity Center.
In Azure AD, add AWS IAM as a new enterprise application.
Enter the SCIM API URL and Token provided by AWS in the Azure AD settings.
When a new user is added in Azure AD, they are automatically created in AWS IAM with assigned permissions.
Benefits:
Centralized user management from Azure AD.
Reduces time spent managing AWS accounts.
Enhances security by automating user provisioning and deprovisioning.
Requirements to Use SCIM with Microsoft
Azure AD P1 or P2 for automated user provisioning.
An application that supports SCIM API (e.g., ServiceNow, AWS, Salesforce).
Enable Provisioning in Azure AD settings.
Configure SCIM Endpoint (API URL + Token) in Azure AD.
Summary
SCIM is a protocol that enables Azure AD to automatically sync users with third-party applications.
Saves time by eliminating manual user management in each app.
Improves security by removing users automatically when they leave the organization.
العلامة التجارية المخصصة لـ Azure AD
العلامة التجارية للشركة تتيح للمؤسسات تخصيص تجربة تسجيل الدخول للمستخدمين الذين يقومون بتسجيل الدخول إلى التطبيقات عبر Azure AD. يشمل ذلك إضافة شعارات مخصصة، صور خلفية، و ألوان سمة.
هذا أمر مهم لتوفير تجربة مستخدم متسقة تتماشى مع هوية الشركة.
تخصيص صفحة تسجيل الدخول لـ Azure AD
يمكنك رفع شعار شركتك، تخصيص الخلفية، وضبط ألوان السمة لصفحة تسجيل الدخول لكي تظهر كجزء من علامة شركتك التجارية.
خطوات تخصيص العلامة التجارية في Azure AD:
انتقل إلى Azure Portal.
اذهب إلى Azure Active Directory > Company branding.
هنا، يمكنك رفع عناصر العلامة التجارية وضبط صفحات تسجيل الدخول وصفحات الأخطاء.
العلامة التجارية للوصول المشروط (Conditional Access)
في اختبار SC-300، قد تحتاج إلى التعامل مع سياسات الوصول المشروط، وأحياناً تلعب العلامة التجارية دوراً في هذه السياسات. على سبيل المثال، يمكنك تخصيص الرسائل التي تظهر للمستخدمين عند مواجهة مشكلات مع السياسات مثل التحقق متعدد العوامل (MFA).
تخصيص التحقق متعدد العوامل (MFA)
إذا كنت قد قمت بتمكين MFA في مؤسستك، يمكنك أيضاً تخصيص صفحات التحقق من MFA عن طريق تخصيص الشعارات وإعدادات السمة.
اعتبارات الأمان والامتثال
يجب أن تتماشى العلامة التجارية للشركة مع معايير الأمان الخاصة بشركتك. يجب ألا تؤثر العلامة التجارية على عمليات الأمان للمستخدمين، بل يجب أن تُحسن تجربة المستخدم دون التأثير على الأمان.
Custom Branding for Azure AD
Company branding allows organizations to personalize the login experience for users who sign in to their corporate applications via Azure AD. This can include custom logos, background images, and theme colors.
It's essential for creating a consistent user experience that matches the organization's corporate identity.
Customizing the Azure AD Sign-In Page
You can upload your company’s logo, customize the background, and even configure the color scheme for the sign-in page to make it look like part of your company's branding.
Steps to configure custom branding in Azure AD:
Go to the Azure portal.
Navigate to Azure Active Directory > Company branding.
Here, you can upload the branding elements and configure sign-in and error pages.
Conditional Access Branding
In the SC-300 exam, you may need to work with Conditional Access policies, and sometimes branding can play a role. For example, you can customize the messages shown to users when they encounter issues with policies, such as multi-factor authentication (MFA) prompts.
Multi-Factor Authentication (MFA) Customization
If you have enabled MFA in your organization, you can also brand the MFA verification pages by customizing logos and theme settings.
Security and Compliance Considerations
Company branding must always be aligned with your company’s security standards. Branding should not interfere with user security processes and should help enhance the user experience without compromising on security.
Custom Sign-In Page: An organization with a global workforce wants users to see a branded sign-in page when accessing corporate applications. By setting up Azure AD custom branding, the users would see the company's logo, specific background, and color theme instead of the default Microsoft branding.
أدوار المسؤولين في Microsoft Azure
في Microsoft Azure، تُحدّد الأدوار و المسؤولين من يمكنه الوصول إلى الموارد وما هي الpermissions (الأذونات) التي يمكن للمستخدم القيام بها داخل بيئة Azure. تستخدم Azure نظام التحكم في الوصول بناءً على الأدوار (RBAC) لإدارة الأذونات بشكل فعال. إليك نظرة عامة على الأدوار الشائعة و المسؤولين في Azure.
1. التحكم في الوصول بناءً على الأدوار (RBAC) في Azure
نظام RBAC هو نظام يسمح لك بالتحكم في الوصول إلى موارد Azure من خلال تعيين الأدوار للمستخدمين أو المجموعات أو الخدمات. لكل دور أذونات محددة (مثل القراءة أو الكتابة أو الحذف) تحدد ما يمكن أن يفعله الكائن الذي تم تعيين الدور له.
أدوار Azure الشائعة
المالك (Owner)
الأذونات: وصول كامل لإدارة الموارد، بما في ذلك القدرة على تفويض الوصول للآخرين.
الاستخدام: عادةً ما يُستخدم من قبل المسؤولين العالميين أو مديري الموارد.
مثال: شخص يحتاج إلى التحكم الكامل في الموارد في اشتراك Azure.
المساهم (Contributor)
الأذونات: يمكنه إنشاء وإدارة الموارد، ولكن لا يمكنه منح الوصول للآخرين.
الاستخدام: يُستخدم عادةً من قبل المستخدمين الذين يحتاجون إلى إدارة الموارد ولكنهم لا يحتاجون إلى تعديل إعدادات الوصول.
مثال: مطور يحتاج إلى إنشاء أجهزة افتراضية أو قواعد بيانات ولكن لا يجب عليه تعديل أذونات المستخدمين.
القارئ (Reader)
الأذونات: يمكنه عرض الموارد ولكن لا يمكنه تعديلها أو إدارتها.
الاستخدام: مثالي للمستخدمين الذين يحتاجون فقط إلى مشاهدة موارد Azure دون تعديلها.
مثال: مدير أو مدقق يحتاج إلى مراقبة حالة الموارد في Azure.
مسؤول الوصول للمستخدم (User Access Administrator)
الأذونات: يمكنه إدارة الوصول للمستخدمين إلى موارد Azure.
الاستخدام: يُعيّن للأشخاص المسؤولين عن التحكم في الوصول إلى الاشتراكات أو الموارد في Azure.
مثال: مسؤول أمان يحتاج إلى تعيين الأدوار للمستخدمين الآخرين.
مسؤول الفوترة (Billing Administrator)
الأذونات: يمكنه إدارة الفواتير والاشتراكات ولكن لا يمكنه إدارة الموارد.
الاستخدام: يُعين عادةً للشخص المسؤول عن إدارة الاشتراكات والتكاليف.
مثال: عضو في الفريق المالي يدير الاشتراكات والفواتير والتكاليف.
مسؤول الأمان (Security Administrator)
الأذونات: يمكنه إدارة السياسات والموارد المتعلقة بالأمان، بما في ذلك إعدادات أمان Azure AD وسياسات الوصول المشروط.
الاستخدام: يُعين للأشخاص المسؤولين عن الحفاظ على الأمان في بيئة Azure.
مثال: شخص مسؤول عن إدارة جوانب الأمان مثل حماية الهوية وMFA.
مسؤول الشبكة (Network Contributor)
الأذونات: يمكنه إدارة الموارد الشبكية مثل الشبكات الافتراضية ولكن لا يمكنه إدارة الأجهزة الافتراضية أو أي موارد أخرى خارج الشبكة.
الاستخدام: مثالي لمسؤولي الشبكات الذين يركزون على إدارة الجوانب الشبكية في Azure.
مثال: مهندس شبكات يعمل على الشبكات الافتراضية، الشبكات الفرعية، والجدران النارية.
أدوار مسؤول Azure AD
هذه الأدوار تتعلق بإدارة Azure Active Directory (Azure AD):
المسؤول العالمي (Global Administrator): لديه وصول كامل لجميع ميزات Azure AD وإعداداته.
مسؤول المستخدم (User Administrator): يدير حسابات المستخدمين والمجموعات.
مسؤول كلمة المرور (Password Administrator): يمكنه إعادة تعيين كلمات مرور المستخدمين وإعدادات المصادقة.
مسؤول الأمان (Security Administrator): مسؤول عن تكوين وإدارة السياسات الأمنية داخل Azure AD.
مستخدم مختبر DevTest (DevTest Labs User)
الأذونات: يمكنه إدارة الموارد داخل بيئة DevTest Lab.
الاستخدام: يُعيّن للمطورين أو المختبرين الذين يحتاجون إلى الوصول إلى DevTest Lab لإنشاء وإدارة الأجهزة الافتراضية أو بيئات الاختبار.
مثال: مختبر يعمل في بيئة اختبار مع عدم الوصول إلى الأنظمة الإنتاجية.
مسؤول التطبيق (Application Administrator)
الأذونات: يدير التطبيقات داخل Azure AD.
الاستخدام: يُعيّن للمسؤولين عن التطبيقات التي تم تكاملها مع Azure AD.
مثال: شخص مسؤول عن إدارة التطبيقات الطرفية التي تم تكاملها مع Azure AD للتمكين من تسجيل الدخول الموحد (SSO).
أدوار المسؤولين في Azure
إلى جانب أدوار RBAC، هناك أدوار مسؤولين معينة تُعيّن للأفراد المسؤولين عن إدارة جوانب معينة من بيئة Azure:
مسؤول Azure (Azure Administrator)
المسؤوليات: مسؤول عن إدارة خدمات السحابة التي تشمل التخزين والأمان والشبكات والحوسبة.
المهارات المطلوبة: إدارة الأجهزة الافتراضية، الشبكات الافتراضية، اشتراكات Azure، وتأمين البنية التحتية السحابية.
مهندس حلول Azure (Azure Solutions Architect)
المسؤوليات: تصميم الحلول على Azure، بما في ذلك اختيار الخدمات والأدوات المناسبة لتلبية احتياجات العمل.
المهارات المطلوبة: خبرة قوية في بنية Azure التحتية وDevOps وتصميم التطبيقات.
مهندس DevOps في Azure (Azure DevOps Engineer)
المسؤوليات: تنفيذ ممارسات DevOps في Azure، أتمتة البنية التحتية، وإدارة خطوط CI/CD.
المهارات المطلوبة: خبرة في الأتمتة، البنية التحتية ككود (IaC)، وأدوات CI/CD مثل Azure DevOps.
مهندس الأمان في Azure (Azure Security Engineer)
المسؤوليات: تنفيذ الضوابط الأمنية وحماية التهديدات، إدارة الهوية والوصول، وضمان الامتثال.
المهارات المطلوبة: خبرة في أمان Azure وأمان الشبكات وإدارة الهوية.
مسؤول قاعدة بيانات Azure (Azure Database Administrator)
المسؤوليات: إدارة قواعد البيانات SQL، إجراء النسخ الاحتياطي، ضمان الأداء، والحفاظ على الأمان.
المهارات المطلوبة: معرفة بـ Azure SQL Database وCosmos DB وحلول قواعد البيانات الأخرى.
الخلاصة
في Azure، تحدد الأدوار ما يمكن أن يفعله الشخص أو الخدمة، بينما المسؤولون هم الأشخاص الذين يشرفون على تكوين وإدارة بيئة Azure. فهم أدوار RBAC أمر حاسم لإدارة الأذونات والأمان داخل بيئة البنية التحتية السحابية.
Azure Roles and Administrators
In Microsoft Azure, roles and administrators define who has access to resources and what level of permissions they have within the Azure environment. Azure uses a role-based access control (RBAC) system to manage permissions efficiently. Here's a breakdown of the common Azure roles and administrators:
1. Azure Role-Based Access Control (RBAC)
RBAC is a system that allows you to control access to Azure resources by assigning roles to users, groups, and services. Each role has specific permissions (like read, write, or delete) that define what actions the assigned entity can perform.
Common Azure Roles
Owner
Permissions: Full access to manage resources, including the ability to delegate access to others.
Usage: Typically used by global admins or resource managers.
Example: A person who needs full control over resources in an Azure subscription.
Contributor
Permissions: Can create and manage resources but cannot grant access to others.
Usage: Common for users who need to manage resources but not modify access controls.
Example: A developer who needs to create virtual machines or databases but shouldn't modify user permissions.
Reader
Permissions: Can view resources but cannot modify or manage them.
Usage: Ideal for those who need to view Azure resources without making changes.
Example: A manager or auditor who needs to monitor the state of Azure resources.
User Access Administrator
Permissions: Can manage user access to Azure resources.
Usage: Assigned to individuals responsible for controlling access to Azure subscriptions or resources.
Example: A security administrator who needs to assign roles to other users.
Billing Administrator
Permissions: Can manage billing and subscriptions but cannot manage resources.
Usage: Typically assigned to the person responsible for managing subscriptions and cost.
Example: A finance team member managing subscriptions, invoices, and costs.
Security Administrator
Permissions: Can manage security-related policies and resources, including Azure AD security settings and conditional access policies.
Usage: Assigned to individuals responsible for maintaining security in Azure environments.
Example: A person responsible for managing security aspects like identity protection, MFA, and conditional access.
Network Contributor
Permissions: Can manage network resources, like virtual networks, but cannot manage virtual machines or other resources outside the network.
Usage: Ideal for network administrators who focus on managing networking aspects in Azure.
Example: A network engineer working on virtual networks, subnets, and firewalls.
Azure AD Administrator Roles
These roles pertain specifically to Azure Active Directory (Azure AD) management:
Global Administrator: Has full control over all Azure AD features and settings.
User Administrator: Manages user accounts and groups.
Password Administrator: Can reset passwords and manage users' authentication settings.
Security Administrator: Responsible for configuring and managing security policies within Azure AD.
DevTest Labs User
Permissions: Can manage resources in a DevTest Lab environment.
Usage: Assigned to developers or testers needing access to a DevTest Lab for creating and managing virtual machines or environments.
Example: A tester working in a test environment with no access to production systems.
Application Administrator
Permissions: Manages applications within Azure AD.
Usage: Typically assigned to application managers who oversee apps in the Azure AD environment.
Example: A person who manages third-party applications integrated with Azure AD for single sign-on (SSO).
Azure Administrator Roles
In addition to RBAC roles, there are specific administrator roles that are assigned to individuals who manage particular aspects of the Azure environment:
Azure Administrator
Responsibilities: Responsible for managing cloud services that span storage, security, networking, and compute.
Skills Required: Managing virtual machines, virtual networks, Azure subscriptions, and securing cloud infrastructure.
Azure Solutions Architect
Responsibilities: Designs solutions on Azure, including choosing the right services and tools to meet business needs.
Skills Required: Strong experience in Azure infrastructure, DevOps, and application design.
Azure DevOps Engineer
Responsibilities: Implements DevOps practices in Azure, automates infrastructure, and manages CI/CD pipelines.
Skills Required: Experience with automation, infrastructure as code (IaC), and CI/CD tools like Azure DevOps.
Azure Security Engineer
Responsibilities: Implements security controls and threat protection, manages identity and access, and ensures compliance.
Skills Required: Experience in Azure security features, network security, and identity management.
Azure Database Administrator
Responsibilities: Manages SQL databases, performs backups, ensures performance, and maintains security.
Skills Required: Knowledge of Azure SQL Database, Cosmos DB, and other database solutions.
Conclusion
In Azure, roles define what an individual or service can do, and administrators are responsible for overseeing the configuration and management of the Azure environment. Understanding the different Azure RBAC roles is crucial for effective management of permissions and security within the cloud infrastructure.
ما هو Microsoft 365 MFA (المصادقة متعددة العوامل)?
MFA (المصادقة متعددة العوامل) هي طبقة أمان إضافية تساعد في حماية حسابات المستخدمين في Microsoft 365 (مثل Outlook, SharePoint, Teams، وغيرها). تقوم MFA بطلب معلومات إضافية بجانب كلمة المرور لتأكيد هوية المستخدم قبل السماح له بالوصول إلى الحساب. الهدف منها هو تقليل المخاطر التي قد تنشأ عند اختراق كلمة المرور.
كيفية عمل MFA في Microsoft 365
عند تفعيل MFA، يتم طلب أكثر من عامل مصادقة واحد من المستخدم. العوامل يمكن أن تشمل:
شيء تعرفه (كلمة المرور)
شيء لديك (جهاز مثل الهاتف أو مفتاح أمان)
شيء أنت عليه (مثل التعرف على بصمة الأصبع أو التعرف على الوجه)
أمثلة على كيفية عمل MFA في Microsoft 365
1. تسجيل الدخول مع كلمة المرور ثم استخدام الهاتف للتحقق (التحقق عبر الرسائل النصية أو المكالمات الصوتية):
عندما تقوم بتسجيل الدخول إلى Microsoft 365 باستخدام اسم المستخدم وكلمة المرور، سيطلب منك النظام إدخال رمز التحقق يتم إرساله إلى هاتفك المحمول عبر رسالة نصية أو مكالمة صوتية.
مثال:
تفتح تطبيق Outlook أو Teams على جهازك.
تدخل اسم المستخدم و كلمة المرور.
بعد ذلك، تصلك رسالة نصية على هاتفك تحتوي على رمز التحقق.
تقوم بإدخال الرمز في الشاشة المخصصة ويتم السماح لك بالدخول.
2. استخدام تطبيق مصادقة (مثل Microsoft Authenticator):
بدلاً من تلقي رسالة نصية أو مكالمة، يمكنك استخدام تطبيق Microsoft Authenticator على هاتفك الذكي.
مثال:
بعد إدخال اسم المستخدم وكلمة المرور، يطلب منك النظام فتح تطبيق Microsoft Authenticator.
في التطبيق، سترى إشعاراً يطلب منك الموافقة على تسجيل الدخول أو إدخال الرمز المعروض في التطبيق.
بمجرد الموافقة أو إدخال الرمز، يتم السماح لك بالدخول.
3. استخدام مفتاح أمان (مثل USB Security Key):
في بعض الحالات، يمكنك استخدام مفتاح أمان USB، مثل FIDO2، وهو جهاز مادي يتم توصيله بجهاز الكمبيوتر للتحقق من الهوية.
مثال:
بعد إدخال اسم المستخدم وكلمة المرور، يطلب منك النظام إدخال مفتاح الأمان في جهاز الكمبيوتر الخاص بك.
تقوم بتوصيل مفتاح الأمان عبر USB أو NFC، ويُعتبر هذا العامل الثاني للتحقق من هويتك.
4. التعرف على الوجه أو بصمة الأصبع (التحقق الحيوي):
في بعض الحالات، يمكن استخدام تقنيات التحقق الحيوي مثل التعرف على الوجه أو بصمة الأصبع كعامل مصادقة.
مثال:
عند تسجيل الدخول إلى حساب Microsoft 365 من جهاز يدعم Windows Hello، قد يُطلب منك التقاط صورة وجهك أو وضع إصبعك على جهاز بصمة الأصبع.
إذا تم التعرف عليك بشكل صحيح، سيتم السماح لك بالوصول إلى حسابك.
كيفية تفعيل MFA في Microsoft 365
تسجيل الدخول إلى Microsoft 365 Admin Center:
قم بتسجيل الدخول إلى Microsoft 365 Admin Center باستخدام حساب المسؤول.
انتقل إلى إعدادات الأمان:
اذهب إلى Security & Privacy ثم Multi-Factor Authentication.
اختر Manage Security Defaults لتفعيل الميزة لمستخدمي المؤسسة.
إعدادات المستخدمين:
يمكنك تفعيل MFA على مستوى المستخدمين من خلال صفحة إدارة التحقق متعدد العوامل.
اختر Enable لتفعيل MFA للمستخدمين المعنيين.
اختيار طريقة التحقق:
بعد تفعيل MFA، سيُطلب من المستخدمين تحديد طريقة التحقق المفضلة (مثل تطبيق Authenticator أو الرسائل النصية).
أهمية MFA في Microsoft 365
زيادة الأمان:
MFA تضيف طبقة أمان إضافية، مما يجعل من الصعب على القراصنة الوصول إلى حسابات المستخدمين حتى إذا كانت لديهم كلمة المرور.
حماية البيانات الحساسة:
إذا كنت تعمل في بيئة تحتوي على بيانات حساسة أو مالية، فإن MFA يمكن أن تحمي حسابات الموظفين من الوصول غير المصرح به.
الامتثال للمعايير الأمنية:
العديد من الصناعات تتطلب ممارسات الأمان القوية مثل MFA للامتثال لمعايير مثل GDPR أو HIPAA.
خلاصة
MFA في Microsoft 365 هي أداة قوية للحفاظ على أمان حسابات المستخدمين. باستخدام أكثر من عامل مصادقة واحد (مثل كلمة المرور، الهاتف، أو التطبيقات الخاصة)، MFA يقلل بشكل كبير من احتمالية تعرض الحسابات للاختراق. يمكنك تفعيل MFA بسهولة من خلال Admin Center وضبط الخيارات المناسبة لكل مستخدم.
What is Microsoft 365 MFA (Multi-Factor Authentication)?
MFA (Multi-Factor Authentication) is an additional security layer that helps protect user accounts in Microsoft 365 (such as Outlook, SharePoint, Teams, etc.). MFA requires additional information beyond just a password to verify the user's identity before granting access to the account. The goal is to reduce the risks posed by password breaches.
How Does MFA Work in Microsoft 365?
When MFA is enabled, it asks for more than one authentication factor from the user. These factors can include:
Something you know (password)
Something you have (a device like your phone or a security key)
Something you are (such as fingerprint or facial recognition)
Examples of How MFA Works in Microsoft 365
1. Signing in with a Password and Using Your Phone for Verification (via SMS or Phone Call):
When you sign in to Microsoft 365 using your username and password, the system will ask you to enter a verification code sent to your phone via SMS or a phone call.
Example:
You open Outlook or Teams on your device.
You enter your username and password.
Then, you receive a verification code via SMS on your phone.
You enter the code on the screen, and you’re granted access.
2. Using an Authenticator App (like Microsoft Authenticator):
Instead of receiving an SMS or phone call, you can use the Microsoft Authenticator app on your smartphone.
Example:
After entering your username and password, the system asks you to open the Microsoft Authenticator app.
In the app, you’ll see a notification asking you to approve the sign-in or enter the code shown in the app.
Once you approve or enter the code, you're granted access.
3. Using a Security Key (like USB Security Key):
In some cases, you can use a USB security key, such as FIDO2, a physical device that you plug into your computer to verify your identity.
Example:
After entering your username and password, the system prompts you to insert your security key into your computer.
You plug the security key into your USB or use NFC, and it acts as your second factor for authentication.
4. Facial Recognition or Fingerprint (Biometric Authentication):
In some cases, you can use biometric authentication methods such as facial recognition or fingerprint scanning as an authentication factor.
Example:
When signing in to Microsoft 365 from a device that supports Windows Hello, you may be asked to scan your face or place your finger on a fingerprint sensor.
If recognized, you’re granted access to your account.
How to Enable MFA in Microsoft 365
Log in to Microsoft 365 Admin Center:
Sign in to the Microsoft 365 Admin Center with an admin account.
Go to Security Settings:
Navigate to Security & Privacy and then Multi-Factor Authentication.
Choose Manage Security Defaults to enable the feature for your organization’s users.
User Settings:
You can enable MFA for individual users through the Multi-Factor Authentication management page.
Select Enable to turn on MFA for the selected users.
Choose Verification Method:
After enabling MFA, users will be prompted to select their preferred verification method (such as the Authenticator app or SMS).
Why is MFA Important in Microsoft 365?
Increased Security:
MFA adds an extra layer of security, making it harder for hackers to gain access to accounts, even if they have the password.
Protect Sensitive Data:
If you’re working in an environment with sensitive or financial data, MFA helps safeguard user accounts from unauthorized access.
Compliance with Security Standards:
Many industries require strong security practices like MFA for compliance with standards such as GDPR or HIPAA.
Summary
MFA in Microsoft 365 is a powerful tool for securing user accounts. By requiring more than one factor of authentication (such as a password, a phone, or an app), MFA significantly reduces the chances of account breaches. You can easily enable MFA through the Admin Center and configure the appropriate options for each user.
ما هي المصادقة متعددة العوامل (MFA)؟
المصادقة متعددة العوامل (MFA) في Microsoft Entra هي تقنية أمان تضيف طبقة حماية إضافية عند تسجيل الدخول إلى الحسابات والتطبيقات. تتطلب MFA من المستخدمين تقديم أكثر من طريقة تحقق، مثل كلمة المرور بالإضافة إلى رمز تحقق يُرسل إلى الهاتف أو يتم إنشاؤه عبر تطبيق المصادقة.
خطوات نشر المصادقة متعددة العوامل (MFA) في Microsoft Entra
تفعيل MFA عبر مدخل Microsoft Entra
قم بتسجيل الدخول إلى Microsoft Entra Admin Center.
انتقل إلى حماية الهوية (Identity Protection) واختر إعدادات المصادقة متعددة العوامل.
قم بتمكين MFA للمستخدمين أو المجموعات المستهدفة.
مثال: تفعيل MFA لجميع الموظفين الذين يصلون إلى البريد الإلكتروني من خارج الشركة.
تكوين طرق المصادقة المدعومة
يمكن للمستخدمين التحقق من هويتهم باستخدام:
رسالة نصية (SMS) تحتوي على رمز تحقق.
مكالمة هاتفية تتطلب تأكيد الدخول.
تطبيق Microsoft Authenticator الذي يولد رموز تحقق ديناميكية.
مثال: تطلب الشركة من الموظفين استخدام Microsoft Authenticator لأنه أكثر أمانًا من الرسائل النصية.
فرض سياسات الوصول المشروط
يمكن إعداد سياسات الوصول المشروط (Conditional Access) لضمان تطبيق MFA فقط عند الحاجة.
مثال: السماح بتسجيل الدخول دون MFA عند استخدام شبكة الشركة، لكن إجبار المستخدمين على إدخال رمز تحقق عند تسجيل الدخول من مواقع غير موثوقة.
اختبار ونشر MFA تدريجيًا
قم بتطبيق MFA على مجموعة صغيرة من المستخدمين قبل التوسع إلى جميع الموظفين.
وفر دليلًا تدريبيًا لمساعدة المستخدمين في إعداد طرق المصادقة الخاصة بهم.
مثال: يتم اختبار MFA أولًا مع فريق تقنية المعلومات قبل تطبيقه على جميع الموظفين.
مراقبة وتحليل سجلات تسجيل الدخول
استخدم تقارير Microsoft Entra لمراقبة المحاولات الفاشلة ومعرفة مدى تأثير MFA على الأمان.
مثال: يكتشف مسؤول الأمان أن بعض المستخدمين يواجهون مشكلات في استلام رموز التحقق عبر الرسائل النصية، فيقرر تفعيل تطبيق المصادقة كخيار إلزامي.
فوائد نشر MFA في Microsoft Entra
تقليل مخاطر الاختراق عبر كلمات المرور المسروقة.
تحسين تجربة المستخدم من خلال المصادقة السريعة والمرنة.
الامتثال لمعايير الأمان مثل ISO وNIST.
Microsoft Entra Multifactor Authentication Deployment
What Is Multifactor Authentication (MFA)?
Multifactor Authentication (MFA) in Microsoft Entra is a security feature that adds an extra layer of protection when logging into accounts and applications. MFA requires users to provide more than one verification method, such as a password plus a verification code sent to their phone or generated through an authenticator app.
Steps to Deploy Microsoft Entra MFA
Enable MFA in the Microsoft Entra Admin Center
Sign in to Microsoft Entra Admin Center.
Go to Identity Protection and select MFA settings.
Enable MFA for targeted users or groups.
Example: Enforce MFA for all employees accessing email from outside the company.
Configure Supported Authentication Methods
Users can verify their identity using:
SMS message with a verification code.
Phone call requiring confirmation.
Microsoft Authenticator app, which generates dynamic verification codes.
Example: The company requires employees to use Microsoft Authenticator because it is more secure than SMS messages.
Implement Conditional Access Policies
Configure Conditional Access policies to enforce MFA only when necessary.
Example: Allow users to log in without MFA on the corporate network but require verification codes when accessing from untrusted locations.
Test and Gradually Roll Out MFA
Apply MFA to a small group before rolling it out company-wide.
Provide training materials to help users set up their authentication methods.
Example: MFA is first tested with the IT team before being enforced for all employees.
Monitor and Analyze Login Activity
Use Microsoft Entra reports to track failed login attempts and assess the impact of MFA on security.
Example: The security administrator notices some users struggle to receive verification codes via SMS and decides to enforce the authenticator app as the primary option.
Benefits of Deploying MFA in Microsoft Entra
Reduces the risk of account breaches due to stolen passwords.
Enhances user experience with fast and flexible authentication.
Ensures compliance with security standards like ISO and NIST.
Microsoft Entra multifactor authentication LAB
ما هي إعادة تعيين كلمة المرور الذاتية (SSPR)؟
إعادة تعيين كلمة المرور الذاتية (Self-Service Password Reset - SSPR) هي ميزة في Microsoft Entra ID تتيح للمستخدمين إعادة تعيين كلمات المرور الخاصة بهم دون الحاجة إلى الاتصال بفريق الدعم. يساعد ذلك في تقليل وقت التعطل وتحسين الأمان.
كيف تعمل SSPR في Microsoft Entra؟
تسجيل معلومات الاسترداد
يجب على المستخدمين تسجيل طرق التحقق مثل رقم الهاتف أو البريد الإلكتروني البديل أو تطبيق Microsoft Authenticator.
مثال: يطلب النظام من الموظف إضافة رقم هاتفه الشخصي كطريقة استرداد عند تسجيل الدخول لأول مرة.
نسيان كلمة المرور ومحاولة تسجيل الدخول
إذا نسي المستخدم كلمة المرور، يمكنه النقر على خيار "هل نسيت كلمة المرور؟".
مثال: موظف يحاول تسجيل الدخول إلى Microsoft 365 لكنه يكتشف أن كلمة المرور خاطئة.
التحقق من الهوية
يطلب النظام من المستخدم التحقق من هويته باستخدام أحد خيارات الاسترداد المسجلة.
مثال: يتلقى الموظف رمز تحقق عبر رسالة نصية ويقوم بإدخاله في الصفحة.
إعادة تعيين كلمة المرور
بعد التحقق، يمكن للمستخدم إنشاء كلمة مرور جديدة واستخدامها لتسجيل الدخول.
مثال: يقوم الموظف بإنشاء كلمة مرور جديدة ويستخدمها للوصول إلى حسابه بنجاح.
فوائد استخدام SSPR
تقليل الضغط على فرق الدعم من خلال تمكين المستخدمين من حل مشكلات تسجيل الدخول بأنفسهم.
تحسين الأمان عن طريق فرض طرق تحقق إضافية.
زيادة الإنتاجية من خلال تقليل وقت التعطل بسبب مشكلات كلمة المرور.
Microsoft Entra Self-Service Password Reset
What Is Self-Service Password Reset (SSPR)?
Self-Service Password Reset (SSPR) is a feature in Microsoft Entra ID that allows users to reset their passwords without contacting IT support. This helps reduce downtime and improves security.
How Does SSPR Work in Microsoft Entra?
Register Recovery Information
Users must register recovery methods such as a phone number, alternate email, or the Microsoft Authenticator app.
Example: The system prompts an employee to add their personal phone number as a recovery option when logging in for the first time.
Forget Password and Attempt Login
If a user forgets their password, they can click on the "Forgot password?" option.
Example: An employee tries to log in to Microsoft 365 but realizes their password is incorrect.
Verify Identity
The system asks the user to verify their identity using one of the registered recovery methods.
Example: The employee receives a verification code via SMS and enters it on the reset page.
Reset the Password
After verification, the user can create a new password and use it to log in.
Example: The employee sets a new password and successfully accesses their account.
Benefits of Using SSPR
Reduces IT support workload by enabling users to solve login issues themselves.
Enhances security by enforcing additional authentication methods.
Increases productivity by minimizing downtime due to password-related issues.
ما هي طرق المصادقة في Microsoft 365؟
توفر Microsoft 365 عدة طرق مصادقة لحماية حسابات المستخدمين وضمان أمان تسجيل الدخول إلى التطبيقات والخدمات. يمكن للمسؤولين في Microsoft 365 Admin Center إدارة هذه الطرق وفقًا لسياسات الأمان الخاصة بالمؤسسة.
خطوات إدارة طرق المصادقة في Microsoft 365
الوصول إلى إعدادات المصادقة
سجل الدخول إلى Microsoft Entra Admin Center.
انتقل إلى الأمان (Security) ثم طرق المصادقة (Authentication Methods).
حدد الطرق التي ترغب في تمكينها أو تعطيلها للمستخدمين.
مثال: يمكن للمسؤول تعطيل المصادقة عبر الرسائل النصية (SMS) وجعل تطبيق Microsoft Authenticator الخيار الأساسي.
تكوين المصادقة متعددة العوامل (MFA)
يمكن فرض MFA لجميع المستخدمين أو استهداف مجموعات معينة.
حدد طرق المصادقة المدعومة مثل:
تطبيق Microsoft Authenticator
مكالمة هاتفية للتحقق
رسائل نصية تحتوي على رمز تحقق
مثال: تطلب الشركة من الموظفين تسجيل الدخول باستخدام MFA عند الوصول إلى البريد الإلكتروني من خارج الشبكة المؤسسية.
إعداد سياسات الوصول المشروط
استخدم Conditional Access لضبط متى يتم طلب المصادقة الإضافية.
مثال: يمكن إعداد سياسة تطلب من المستخدمين إدخال رمز تحقق إضافي عند تسجيل الدخول من أجهزة غير معروفة.
تمكين تسجيل الدخول بدون كلمة مرور
يمكن للمسؤولين تفعيل Windows Hello for Business أو FIDO2 Security Keys لتقليل الاعتماد على كلمات المرور التقليدية.
مثال: بدلاً من كتابة كلمة مرور، يمكن للموظف تسجيل الدخول باستخدام بصمة الإصبع أو التعرف على الوجه.
مراقبة وإدارة المصادقة
استخدم تقرير تسجيل الدخول (Sign-in Logs) في Microsoft Entra لمراقبة المحاولات الناجحة والفاشلة.
تحقق من أي أنشطة مشبوهة وقم بتحديث سياسات المصادقة وفقًا للحاجة.
مثال: إذا لوحظت محاولات تسجيل دخول غير طبيعية، يمكن فرض MFA لمزيد من الأمان.
فوائد إدارة طرق المصادقة في Microsoft 365
تعزيز الأمان من خلال تقليل مخاطر سرقة الحسابات.
تحسين تجربة المستخدم عبر توفير خيارات مصادقة سهلة وموثوقة.
التحكم الكامل في طرق تسجيل الدخول وفقًا لاحتياجات المؤسسة.
Administer Authentication Methods in Microsoft 365
What Are Authentication Methods in Microsoft 365?
Microsoft 365 provides multiple authentication methods to secure user accounts and ensure safe access to applications and services. Administrators can manage these methods in the Microsoft 365 Admin Center based on the organization's security policies.
Steps to Administer Authentication Methods in Microsoft 365
Access Authentication Settings
Sign in to Microsoft Entra Admin Center.
Go to Security, then select Authentication Methods.
Enable or disable specific authentication options for users.
Example: An administrator disables SMS authentication and enforces Microsoft Authenticator as the primary method.
Configure Multifactor Authentication (MFA)
Enforce MFA for all users or specific groups.
Choose supported authentication methods such as:
Microsoft Authenticator app
Phone call verification
SMS verification codes
Example: The company requires employees to use MFA when accessing email from outside the corporate network.
Set Up Conditional Access Policies
Use Conditional Access to define when additional authentication is required.
Example: A policy can be configured to request additional verification when users sign in from unknown devices.
Enable Passwordless Sign-In
Administrators can enable Windows Hello for Business or FIDO2 Security Keys to reduce reliance on passwords.
Example: Instead of typing a password, employees can log in using fingerprint or facial recognition.
Monitor and Manage Authentication
Use Sign-in Logs in Microsoft Entra to track successful and failed login attempts.
Identify suspicious activities and adjust authentication policies as needed.
Example: If unusual login attempts are detected, administrators can enforce MFA for additional security.
Benefits of Administering Authentication Methods in Microsoft 365
Enhanced security by reducing the risk of account breaches.
Improved user experience with easy and reliable authentication options.
Full control over login methods based on organizational needs.
مفاتيح الأمان FIDO في Microsoft 365
ما هو FIDO؟
FIDO (Fast Identity Online) هو معيار مصادقة حديث يسمح للمستخدمين بتسجيل الدخول إلى حساباتهم بدون الحاجة إلى كلمات مرور. بدلاً من ذلك، يعتمد على مفاتيح الأمان (Security Keys) أو القياسات الحيوية مثل بصمة الإصبع أو التعرف على الوجه.
استخدام FIDO في Microsoft 365
توفر Microsoft 365 دعمًا لمفاتيح FIDO2، مما يتيح للمستخدمين تسجيل الدخول بأمان باستخدام أجهزة مثل YubiKey أو Windows Hello.
كيفية تفعيل مفاتيح FIDO في Microsoft 365
تفعيل المصادقة بدون كلمة مرور
سجل الدخول إلى Microsoft Entra Admin Center.
انتقل إلى الأمان (Security) > طرق المصادقة (Authentication Methods).
قم بتمكين FIDO2 Security Keys واختر المستخدمين أو المجموعات المسموح لها باستخدامها.
مثال: يمكن لموظفي قسم تكنولوجيا المعلومات فقط استخدام مفاتيح FIDO في البداية، ثم يتم توسيع استخدامها إلى باقي الموظفين.
إعداد مفاتيح الأمان FIDO للمستخدمين
يذهب المستخدم إلى https://myprofile.microsoft.com.
يختار طرق تسجيل الدخول (Sign-in Methods) ثم يضيف FIDO2 Security Key.
يتبع التعليمات لتسجيل مفتاح الأمان الخاص به.
مثال: يقوم الموظف بتوصيل مفتاح YubiKey بالحاسوب عبر USB ويضغط على الزر لإتمام المصادقة.
تكوين سياسات الوصول المشروط
يمكن إنشاء سياسات Conditional Access لضمان استخدام مفاتيح FIDO فقط في بيئات موثوقة.
مثال: يتم السماح باستخدام FIDO داخل مكاتب الشركة فقط، ويتم حظر المصادقة عبر كلمات المرور خارجها.
مراقبة استخدام FIDO وإدارته
استخدم تقارير تسجيل الدخول (Sign-in Logs) لمتابعة عمليات المصادقة بمفاتيح FIDO.
تحقق من أي مشاكل يواجهها المستخدمون وقم بتقديم الدعم الفني حسب الحاجة.
فوائد استخدام FIDO في Microsoft 365
تقليل مخاطر الاختراق نظرًا لعدم الحاجة إلى كلمات مرور.
تجربة مستخدم أسرع دون الحاجة إلى تذكر أو إعادة تعيين كلمات المرور.
متوافق مع سياسات الأمان التي تتطلب مصادقة قوية.
FIDO Security Keys in Microsoft 365
What Is FIDO?
FIDO (Fast Identity Online) is a modern authentication standard that allows users to log into their accounts without passwords. Instead, it relies on security keys or biometric authentication like fingerprint or facial recognition.
Using FIDO in Microsoft 365
Microsoft 365 supports FIDO2 security keys, enabling users to sign in securely with devices like YubiKey or Windows Hello.
How to Enable FIDO Security Keys in Microsoft 365
Enable Passwordless Authentication
Sign in to Microsoft Entra Admin Center.
Navigate to Security > Authentication Methods.
Enable FIDO2 Security Keys and select the users or groups allowed to use them.
Example: Initially, only IT staff can use FIDO keys before rolling them out to all employees.
Set Up FIDO Security Keys for Users
Users go to https://myprofile.microsoft.com.
Select Sign-in Methods and add FIDO2 Security Key.
Follow the instructions to register their security key.
Example: An employee plugs a YubiKey into their USB port and taps the button to authenticate.
Configure Conditional Access Policies
Implement Conditional Access policies to enforce FIDO usage in trusted environments.
Example: Allow FIDO authentication inside the corporate office while blocking password-based sign-ins from external locations.
Monitor and Manage FIDO Usage
Use Sign-in Logs to track authentication attempts with FIDO security keys.
Address any user issues and provide technical support as needed.
Benefits of Using FIDO in Microsoft 365
Reduces the risk of breaches by eliminating passwords.
Faster user experience without password resets.
Compliant with security policies requiring strong authentication.
FIDO (Fast Identity Online) LAB
ما هو Windows Hello for Business؟
Windows Hello for Business هو إصدار مخصص من Windows Hello مصمم للشركات لتوفير طريقة تسجيل دخول آمنة للمستخدمين دون الحاجة إلى كلمات مرور تقليدية. يعتمد على المصادقة متعددة العوامل (MFA) ويستخدم تقنيات مثل التعرف على الوجه، بصمة الإصبع، أو رمز PIN المحمي بالمفاتيح المشفرة.
كيف يعمل Windows Hello for Business؟
إنشاء بيانات اعتماد قوية
بدلاً من كلمة المرور، يتم إنشاء بيانات اعتماد تستند إلى مفاتيح تشفير محمية على الجهاز.
مثال: عند تسجيل موظف جديد، يطلب منه النظام إعداد Windows Hello باستخدام بصمة إصبعه أو رمز PIN.
استخدام المصادقة البيومترية
يمكن للموظفين تسجيل الدخول باستخدام التعرف على الوجه أو بصمة الإصبع، مما يجعل الوصول أسرع وأكثر أمانًا.
مثال: عند تشغيل الجهاز، يتم التعرف على وجه الموظف تلقائيًا وفتح سطح المكتب دون إدخال كلمة مرور.
التكامل مع Active Directory و Azure AD
يعمل Windows Hello for Business مع Active Directory المحلي وAzure AD لتوفير تسجيل دخول آمن للحسابات المؤسسية.
مثال: يستطيع الموظفون تسجيل الدخول إلى تطبيقات Microsoft 365 بدون الحاجة إلى إعادة إدخال بيانات الاعتماد في كل مرة.
الحماية من الهجمات الأمنية
يقلل من مخاطر هجمات التصيد الاحتيالي وسرقة كلمات المرور لأنه يعتمد على بيانات اعتماد مشفرة محليًا.
مثال: حتى إذا تعرضت بيانات الشركة للاختراق، فلن يتمكن المهاجم من الوصول إلى حسابات الموظفين بدون المصادقة البيومترية.
فوائد Windows Hello for Business
أمان أعلى: يعتمد على مفاتيح تشفير، مما يجعله أكثر أمانًا من كلمات المرور.
سهولة الوصول: يسمح بتسجيل الدخول بسرعة باستخدام بصمة الإصبع أو الوجه.
تقليل الاعتماد على كلمات المرور: يقلل من المشكلات الأمنية المرتبطة بنسيان أو سرقة كلمات المرور.
تكامل مع أنظمة المؤسسات: يدعم Active Directory وAzure AD، مما يسهل إدارة الهوية في بيئات العمل الكبيرة.
Windows Hello for Business
What Is Windows Hello for Business?
Windows Hello for Business is an enterprise version of Windows Hello, designed to provide a secure and passwordless authentication method for organizations. It relies on Multi-Factor Authentication (MFA) and uses technologies like facial recognition, fingerprint scanning, or PIN-based authentication with encrypted keys.
How Does Windows Hello for Business Work?
Creates Strong Credentials
Instead of a password, Windows generates encrypted credentials stored securely on the device.
Example: When a new employee joins, they are prompted to set up Windows Hello using a fingerprint or PIN.
Uses Biometric Authentication
Employees can log in using face or fingerprint recognition, making access faster and more secure.
Example: When an employee turns on their laptop, the system recognizes their face and unlocks the desktop automatically.
Integrates with Active Directory & Azure AD
Works with on-premises Active Directory and Azure AD to provide seamless login for enterprise accounts.
Example: Employees can access Microsoft 365 apps without needing to re-enter credentials every time.
Protects Against Security Threats
Reduces the risk of phishing and password theft since credentials are encrypted and stored locally.
Example: Even if a company's database is compromised, attackers cannot access employee accounts without biometric authentication.
Benefits of Windows Hello for Business
Higher Security: Uses encryption keys, making it safer than passwords.
Faster Access: Allows quick login using fingerprint or face recognition.
Reduces Password Dependence: Minimizes security risks related to forgotten or stolen passwords.
Enterprise Integration: Supports Active Directory and Azure AD, making identity management easier in corporate environments.
ما هي حماية كلمات المرور في Microsoft Entra ID؟
توفر Microsoft Entra ID (المعروف سابقًا باسم Azure Active Directory) ميزة حماية كلمات المرور (Password Protection) لمنع استخدام كلمات مرور ضعيفة أو شائعة، مما يقلل من خطر الاختراقات الأمنية الناجمة عن سرقة كلمات المرور.
كيفية عمل حماية كلمات المرور في Microsoft Entra ID
قائمة الحظر الذكي لكلمات المرور
تحتوي Microsoft على قائمة ديناميكية تضم كلمات مرور ضعيفة يتم تحديثها باستمرار.
يتم منع المستخدمين من اختيار كلمات مرور تتطابق مع الأنماط الشائعة أو المسربة.
مثال: إذا حاول المستخدم تعيين كلمة مرور مثل "P@ssw0rd123"، سيتم رفضها تلقائيًا لأنها ضعيفة.
إنشاء سياسة مخصصة لحماية كلمات المرور
يمكن للمؤسسات إضافة كلمات مرور مخصصة إلى القائمة المحظورة مثل اسم الشركة أو المنتجات المعروفة.
مثال: إذا كانت الشركة تدعى "CloudTech"، يمكن للإدارة منع المستخدمين من استخدام كلمات مرور مثل "CloudTech2024".
تطبيق حماية كلمات المرور على بيئة محلية (On-Premises)
يمكن تكامل Password Protection مع Active Directory المحلي لمنع تعيين كلمات مرور ضعيفة على خوادم الشركة.
يتطلب تثبيت Azure AD Password Protection Proxy وخدمة Domain Controller Agent.
مثال: عند محاولة تغيير كلمة المرور على خادم Windows Server AD، سيتم فحص الكلمة وفقًا لسياسات Entra ID قبل قبولها.
فرض معايير قوة كلمة المرور
يمكن تحديد الحد الأدنى لطول كلمة المرور، وتعقيدها، وعدد الأحرف الخاصة التي يجب أن تحتويها.
مثال: تطلب الشركة من الموظفين استخدام كلمات مرور بطول 12 حرفًا على الأقل، وتحتوي على حروف كبيرة وصغيرة وأرقام ورموز خاصة.
مراقبة محاولات تغيير كلمة المرور
من خلال تقارير Microsoft Entra ID، يمكن للمسؤولين مراجعة سجلات محاولات تعيين كلمات المرور غير المسموحة.
مثال: إذا حاول المستخدم عدة مرات تعيين كلمة مرور مرفوضة، يمكن إرسال تنبيه أمني لفريق تقنية المعلومات.
فوائد حماية كلمات المرور في Microsoft Entra ID
منع استخدام كلمات المرور الضعيفة أو الشائعة.
تقليل مخاطر الهجمات مثل هجمات تخمين كلمات المرور (Brute-force attacks).
تحسين الأمان دون التأثير على تجربة المستخدم.
Azure AD (Microsoft Entra ID) Password Protection
What Is Password Protection in Microsoft Entra ID?
Microsoft Entra ID (formerly known as Azure Active Directory) provides Password Protection to prevent users from selecting weak or commonly used passwords, reducing the risk of security breaches caused by compromised credentials.
How Password Protection Works in Microsoft Entra ID
Smart Password Ban List
Microsoft maintains a dynamic list of weak passwords that gets updated regularly.
Users are blocked from choosing passwords that match common or compromised patterns.
Example: If a user tries to set "P@ssw0rd123" as their password, it will be rejected as too weak.
Custom Password Policy Enforcement
Organizations can add specific words to the banned list, such as company names or product names.
Example: If the company is called "CloudTech," administrators can prevent users from setting passwords like "CloudTech2024."
Extending Protection to On-Premises Active Directory
Password Protection can be integrated with on-premises Active Directory to enforce strong password policies across local servers.
This requires installing the Azure AD Password Protection Proxy and Domain Controller Agent.
Example: If an employee attempts to change their password on a Windows Server AD, the system will validate it against Entra ID policies before accepting it.
Enforcing Strong Password Requirements
Organizations can set minimum password length, complexity rules, and special character requirements.
Example: Employees must use passwords that are at least 12 characters long, including uppercase, lowercase, numbers, and special characters.
Monitoring Password Change Attempts
Microsoft Entra ID reports allow administrators to track attempts to set prohibited passwords.
Example: If a user repeatedly tries setting a banned password, an alert can be triggered for the IT security team.
Benefits of Password Protection in Microsoft Entra ID
Prevents the use of weak or common passwords.
Reduces the risk of attacks like brute-force password guessing.
Enhances security without compromising user experience.
مصادقة مستخدمي Microsoft Entra ID على الأجهزة الافتراضية (VMs)
ما هي مصادقة مستخدمي Entra ID على الأجهزة الافتراضية؟
تتيح Microsoft Entra ID (المعروف سابقًا باسم Azure AD) للمستخدمين تسجيل الدخول إلى الأجهزة الافتراضية (VMs) التي تعمل بنظام Windows أو Linux باستخدام بيانات اعتماد Entra ID، مما يعزز الأمان ويسهل الإدارة دون الحاجة إلى كلمات مرور محلية.
إعداد المصادقة باستخدام Entra ID على الأجهزة الافتراضية
1. تمكين تسجيل الدخول عبر Entra ID أثناء إنشاء الجهاز الافتراضي
عند إنشاء جهاز افتراضي في Azure Portal، انتقل إلى Management > Entra ID.
قم بتمكين خيار Login with Entra ID.
مثال: يتم إنشاء جهاز افتراضي يعمل بنظام Windows Server، ويتم تفعيل تسجيل الدخول عبر Entra ID لتوفير وصول آمن للموظفين.
2. منح الأذونات المناسبة للمستخدمين
انتقل إلى Azure VM > Access Control (IAM).
أضف المستخدمين أو المجموعات وأعطهم أحد الأدوار التالية:
Virtual Machine Administrator Login (للمسؤولين).
Virtual Machine User Login (للمستخدمين العاديين).
مثال: يتم منح فريق الدعم الفني دور Virtual Machine Administrator Login حتى يتمكنوا من إدارة الخادم.
3. تسجيل الدخول إلى الجهاز الافتراضي باستخدام Entra ID
على Windows VM باستخدام Remote Desktop (RDP):
افتح Remote Desktop Connection (mstsc).
أدخل عنوان IP للجهاز الافتراضي.
استخدم بيانات اعتماد Entra ID بصيغة:
username@yourdomain.com
في حالة المصادقة متعددة العوامل (MFA)، سيتم طلب رمز التحقق.
مثال: يقوم مستخدم بتسجيل الدخول إلى جهاز افتراضي باستخدام حساب Entra ID الخاص به بدلاً من بيانات اعتماد محلية.
على Linux VM باستخدام SSH:
يجب تثبيت AAD SSH Extension على الجهاز الافتراضي.
استخدم الأمر التالي لتسجيل الدخول:
bash
ssh username@vm-ip
سيتم استخدام رمز OAuth 2.0 لمصادقة المستخدم.
مثال: موظف يعمل عن بعد يسجل الدخول إلى خادم Linux عبر SSH باستخدام بيانات اعتماد Entra ID.
4. تعزيز الأمان باستخدام سياسات الوصول المشروط (Conditional Access)
يمكن تحديد الأجهزة الموثوقة التي يُسمح لها بالاتصال.
فرض MFA عند تسجيل الدخول إلى الأجهزة الافتراضية.
مثال: يتم السماح بتسجيل الدخول إلى الأجهزة الافتراضية فقط من شبكة الشركة.
فوائد استخدام Entra ID للمصادقة على الأجهزة الافتراضية
إدارة مركزية لحسابات المستخدمين بدون الحاجة إلى حسابات محلية.
تكامل سهل مع Azure RBAC لتحديد الأدوار والصلاحيات.
تحسين الأمان عبر المصادقة متعددة العوامل وسياسات الوصول المشروط.
Microsoft Entra ID User Authentication to Virtual Machines (VMs)
What Is Entra ID Authentication for VMs?
Microsoft Entra ID (formerly Azure AD) allows users to log in to virtual machines (VMs) running Windows or Linux using their Entra ID credentials, enhancing security and simplifying access management.
Setting Up Entra ID Authentication for VMs
1. Enable Entra ID Login During VM Creation
When creating a VM in Azure Portal, go to Management > Entra ID.
Enable Login with Entra ID.
Example: A Windows Server VM is created with Entra ID login enabled, ensuring secure user access.
2. Assign Proper Permissions to Users
Go to Azure VM > Access Control (IAM).
Assign users or groups one of the following roles:
Virtual Machine Administrator Login (for administrators).
Virtual Machine User Login (for standard users).
Example: The IT support team is assigned Virtual Machine Administrator Login to manage the server.
3. Logging into the VM Using Entra ID
For Windows VM via Remote Desktop (RDP):
Open Remote Desktop Connection (mstsc).
Enter the VM’s IP address.
Use Entra ID credentials in the format:
username@yourdomain.com
If MFA is enabled, a verification code will be required.
Example: A user logs into the virtual machine using their Entra ID credentials instead of a local account.
For Linux VM via SSH:
Ensure AAD SSH Extension is installed on the VM.
Use the following command to log in:
bash
ssh username@vm-ip
An OAuth 2.0 token will be used for authentication.
Example: A remote employee accesses a Linux server via SSH using Entra ID credentials.
4. Strengthening Security with Conditional Access Policies
Restrict access to trusted devices only.
Enforce MFA for VM login.
Example: Only users connecting from the corporate network are allowed to log into the VMs.
Benefits of Using Entra ID for VM Authentication
Centralized user management without local accounts.
Seamless integration with Azure RBAC for role-based access.
Enhanced security through MFA and conditional access policies
ما هي الإعدادات الأمنية الافتراضية في Microsoft 365؟
تعد الإعدادات الأمنية الافتراضية (Security Defaults) في Microsoft 365 مجموعة من إعدادات الأمان الموصى بها لحماية الحسابات من الهجمات الشائعة مثل التصيد الاحتيالي (Phishing) وهجمات كلمات المرور (Password Spraying).
لماذا تستخدم الإعدادات الأمنية الافتراضية؟
تفعيل المصادقة متعددة العوامل (MFA) لجميع المستخدمين والإداريين.
تعطيل المصادقة القديمة (Legacy Authentication) التي تُستخدم في هجمات الاختراق.
فرض استخدام Azure AD Security Features لحماية الوصول إلى البيانات.
كيفية تمكين الإعدادات الأمنية الافتراضية في Microsoft 365؟
تسجيل الدخول إلى مركز إدارة Entra ID
انتقل إلى Microsoft Entra ID عبر Azure Portal.
افتح Properties، ثم اختر Manage Security Defaults.
قم بتفعيل Enable Security Defaults واضغط Save.
فرض المصادقة متعددة العوامل (MFA) تلقائيًا
عند تسجيل الدخول، سيُطلب من جميع المستخدمين تسجيل طريقة MFA مثل تطبيق Microsoft Authenticator.
مثال: عند محاولة تسجيل الدخول إلى Outlook، سيطلب النظام إدخال رمز تحقق من الهاتف.
حظر المصادقة القديمة (Legacy Authentication)
يتم منع بروتوكولات مثل POP3 وIMAP التي لا تدعم MFA.
مثال: إذا حاول مستخدم الاتصال بـ Outlook عبر IMAP، سيتم رفض الاتصال.
تأمين الحسابات الإدارية
يتم فرض MFA على جميع الحسابات ذات الصلاحيات العالية.
مثال: عند تسجيل دخول مسؤول Global Admin إلى مركز إدارة Microsoft 365، سيتم إجباره على استخدام MFA.
فوائد الإعدادات الأمنية الافتراضية
تحسين الأمان بدون إعدادات معقدة.
حماية المستخدمين من الهجمات السيبرانية الشائعة.
عدم الحاجة إلى تراخيص إضافية لتفعيلها.
Microsoft 365 Security Defaults
What Are Security Defaults in Microsoft 365?
Security Defaults in Microsoft 365 are a set of recommended security settings that protect accounts from common attacks such as phishing and password spraying.
Why Use Security Defaults?
Enforces Multi-Factor Authentication (MFA) for all users and admins.
Disables legacy authentication protocols used in security breaches.
Requires Azure AD Security Features for secure access management.
How to Enable Security Defaults in Microsoft 365?
Sign in to Microsoft Entra ID Admin Center
Go to Microsoft Entra ID via Azure Portal.
Open Properties, then select Manage Security Defaults.
Enable Security Defaults and click Save.
Automatically Enforce Multi-Factor Authentication (MFA)
Upon login, users will be prompted to register an MFA method such as Microsoft Authenticator.
Example: When logging into Outlook, users must enter a verification code from their phone.
Block Legacy Authentication
Protocols like POP3 and IMAP that do not support MFA are disabled.
Example: If a user tries to connect Outlook via IMAP, the connection will be denied.
Secure Administrative Accounts
MFA is required for all privileged accounts.
Example: When a Global Admin logs into the Microsoft 365 admin center, they must use MFA.
Benefits of Security Defaults
Improves security without complex configurations.
Protects users from common cyber threats.
No additional licenses required for activation.
في عالم اليوم الرقمي المتسارع، أصبحت الهوية والوصول جزءًا أساسيًا من استراتيجيات الأمان في أي مؤسسة. من المؤسسات الكبرى إلى الشركات الصغيرة، من الأفراد إلى الفرق العاملة عن بُعد، الجميع بحاجة إلى ضمان الوصول الآمن إلى الأنظمة والبيانات. وهنا يأتي دور كورس Microsoft Identity and Access Administrator Associate ليكون نقطة انطلاقك نحو تحقيق هذا الهدف.
إذا كنت مهتمًا بفهم كيفية إدارة الوصول بشكل آمن وفعّال، فهذه الدورة هي المسار الأمثل. فمع التوسع الكبير في استخدام التطبيقات السحابية وحلول العمل عن بُعد، تصبح الحاجة إلى ضمان أمان الهوية والوصول أكثر إلحاحًا من أي وقت مضى. هنا، لا يقتصر دور المسؤول عن الهوية والوصول على حماية البيانات فحسب، بل يمتد إلى تعزيز تجربة المستخدم وضمان أن الأفراد فقط هم من لديهم الصلاحية للوصول إلى الأنظمة والموارد المطلوبة.
تُعد هذه الدورة أساسًا مهمًا لفهم كيفية إدارة هويات المستخدمين، وتطبيق السياسات الأمنية، والتحقق من الوصول إلى الشبكات والتطبيقات باستخدام حلول Microsoft الرائدة. ستتعلم كيف تدير الأنظمة باستخدام Azure Active Directory
او Microsoft entra id ، أحد أقوى الأدوات في مجال إدارة الهوية والوصول. بالإضافة إلى ذلك، ستكتسب مهارات عملية في تنفيذ سياسة الوصول المستندة إلى الدور، وتحقيق الامتثال مع معايير الأمان، وضمان تأمين الهوية عبر تطبيق تقنيات مثل التحقق المتعدد العوامل (MFA).
من خلال هذا الكورس، لن تتعلم فقط كيفية التعامل مع التحديات الأمنية اليومية، بل ستتمكن أيضًا من بناء بيئة آمنة ومرنة للشركات والأفراد. الأمن ليس مجرد شيء يتعين الحفاظ عليه، بل هو جزء من فلسفة ثقافية متكاملة تشكل أساس نجاح أي منظمة. وهذا الكورس يمنحك الأدوات والمهارات اللازمة لتصبح رائدًا في هذا المجال، من خلال توفير حلول متكاملة تلبي احتياجات الأمان الحديثة.
في نهاية الكورس، ستكون قد اكتسبت المهارات الضرورية لإدارة الهوية والوصول بشكل احترافي وفعّال. ستتمكن من التعامل مع التقنيات المتقدمة في إدارة الهويات، وحماية البيانات، وضمان الامتثال مع الأنظمة التنظيمية. هذا الكورس ليس مجرد شهادة؛ إنه فرصة لتصبح جزءًا من مستقبل أمان المؤسسات في العصر الرقمي.
بغض النظر عن المرحلة التي تمر بها في مسيرتك المهنية، فإن تعلم إدارة الهوية والوصول مع Microsoft يفتح أمامك أبوابًا واسعة لتكون جزءًا من مجال الأمان السيبراني المتطور والمتزايد في الأهمية. لذا، استعد للانطلاق في رحلة تعلم ملهمة تعزز من مهاراتك وتضعك في طليعة المهنيين الذين يصممون بيئات آمنة ومحمية للجميع.