سيؤدي اختيار حل مصادقة متعددة العوامل MFA مناسب لبيئة Microsoft يغطي جميع احتياجات المصادقة إلى تقليل الضغط على مسؤولي تكنولوجيا المعلومات لديك وعلى فريق الدعم الفني كذلك.
من الواضح أن كلمات المرور ليست كافية لحماية الشبكات. و أصبح من المفروغ منه أن المصادقة متعددة العوامل (MFA) هي طريقة حماية أساسية لإبعاد المهاجمين. ولكن ما هو نوع أسلوب المصادقةالمتعددة MFA الذي يجب أن تطبقه شركتك؟ يعتمد اختيار الرموز والأدوات متعددة العوامل على شركتك واحتياجاتك وكيفية استهداف المهاجمين لشركتك. يقلل التخطيط المسبق المشكلات عند تطبيق الحل أو عند الانتقال لحل مصادقة جديد أو عند إصدار tokens أو هواتف جديدة.
فيما يلي نعرض أهم النقاط التي تقترح Susan Bradley أن تضعها باعتبارك عند اختيار حل للمصادقة متعددة العوامل في شركتك.
ما ستحميه المصادقة متعددة العوامل MFA وما لن تحميه
لديك العديد من القرارات التي يتعين عليك اتخاذها عند تحديد أداة الـ MFA التي يجب استخدامها. أولاً ، راجع كيفية حماية الأداة لشبكتك. في كثير من الأحيان عند إضافة MFA إلى التطبيقات المحلية الموجودة ، فقد لا يوفر ذلك الحماية الكاملة لمؤسستك من بعض الهجمات.
ومن أمثلة ذلك، الهجوم الذي استهدف المصادقة المتعددة في مخدم البريد الإلكتروني Exchange Server. في تلك الحالة فإن المصادقة لم تحمي المخدمات. تبين أنه في إحدى الحالات استخدام Exchange Server الداخلي مع تطبيق MFA تابع لجهة خارجية. حمى ذلك أجزاء من عملية المصادقة لكنه لم يحمي Outlook Web Access (OWA). لم تحمي MFA هذا الجزء من الخدمة، لذلك يمكن للمهاجمين الالتفاف حول MFA ومهاجمة مخدمات البريد الإلكتروني. ضع في اعتبارك بالضبط ما يحمي حل MFA الذي تختاره ، ثم راجع عمليات المصادقة التي لم يتم تغطيتها بعد.
إمكانية ترحيل و ترقية حلول المصادقة متعددة العوامل
يعد استخدام الـرموز المميزة tokens متعددة العوامل وترحيلها migration وإمكانية ترقيتها upgrade نقطة أخرى يجب مراعاتها. بناءً على حجم شركتك ،يمكنك استخدام الرموز المميزة متعددة العوامل أو اختيار تمكين تطبيقات المصادقة على الهواتف. اعتماداً على سياسات شركتك ، يمكنك اعتماد تطبيقات المصادقة على الأجهزة التي توفرها الشركة. كما يمكنك توفير معلوماتها للموظفين لتعريفها على الأجهزة الشخصية.
يمكن أن يكون تفعيل المصادقة على هذه الأجهزة وإدارة استبدال الهواتف مهمة ضخمة. اعتماداً على تطبيق المصادقة المستخدم ، يمكن الانتقال بسهولة أو يحتاج إلى نسخ احتياطي إلى مواقع خارج سيطرة الشركة.
تسهل بعض تطبيقات المصادقة عملية التصدير والاستيراد export/import إلى هاتف جديد. تأكد من أن فريق الدعم الفني في مؤسستك لديه المعرفة الفنية الكافية لإنجاز تلك المهام على هواتف العمل والهواتف الشخصية. و كذلك الأمر يجب أن توعي الموظفين بأثر عملية استبدال هواتفهم على المصادقة.على سبيل المثال، يجب عدم مسح معلومات أي جهاز دون التأكد من أن كل ما يتعلق بالمصادقة متعددة العوامل قد تم ترحيله إلى الهاتف البديل.
من المفيد أن تنصح موظفيك بتقليل تواتر تبديل الهواتف إلا عند الضرورة لضمان عدم إشغال فريق الدعم الفني. كما يجب الانتباه لضرورة وجود دسياسات و إجراءات توثق كل ما يتعلق بإعدادات تطبيقات المصادقة بشكل صحيح و مخصص ليتناسب مع مؤسستك.
عند الترحيل migration إلى هاتف جديد ، قد تضطر إلى إعادة تعريف MFA. على سبيل المثال ، إذا كنت تستخدم إشعارات الدفع على الهواتف ، فيجب إعادة إنشاء هذا النمط من بيانات الاعتماد لأنها مرتبطة بأجهزة الهاتف المحدد ولا يمكن ترحيلها أو تصديرها. على سبيل المثال،يواجه تطبيق مصادقة Microsoft صعوبات عندما يتم استبدال الجهاز الأساسي الذي تم تعريفه عليه بجهاز iPhone بديل. في بعض الحالات ، تمت استعادة التطبيق بدون عوائق. لكن في حالات أخرى ، كان لا بد من إعادة التحقق من الحسابات مجدداً لتأكيد أن الأجهزة التي تم تعيينها لإشعارات الدفع مرتبطة بالجهاز. علماً أن بعض المنتجات مثل Google Authenticator لديهم خيار استيراد / تصدير للإعدادات بطريقة أسلس.
ما هو الحل الأفضل للمصادقة، الرموز المميزة Tokens أم الهاتف؟
عندما يتعلق الأمر بالمصادقة فقد تختار الرموز المميزة Tokens أو المفاتيح keyfobs. في حين أن هذه الحلول يمكن أن تكون مكلفة أكثر ، إلا أن حاجتها للترقية أو التغيير هي أقل من الهواتف. لكن الأمر السلبي بهذ الخصوص أن الـ token و المفاتيح قد لا تكون دائماً مع المستخدم ، بينما يُرجح أن الهواتف المحمولة معهم دائماً. في الواقع، قد نحتاج بعض الوقت للتعود على الرموز المميزة و keyfobs إضافة لوجود ضرورة لاستبدال البطارية لهذه الأجهزة مثلاً.
خيارات خاصة بـ Microsoft
مع احتياجات Microsoft متعددة العوامل ، لديك العديد من الخيارات بدءاً من Microsoft Authenticator. إذا كان لدى معظم موظفيك هواتف Android أو Apple ، فإن Microsoft Authenticator يعد حلاً فعالاً من حيث التكلفة يمكنك تطبيقه بسرعة. .
تتراوح خيارات المصادقة بدون كلمة مرور من استخدام مفاتيح أمان Windows Hello للأعمال و Microsoft Authenticator و FIDO2. يمكنك استخدام مفاتيح أمان FIDO2 من موردين آخرين. يمكنك غالباً استخدام مفاتيح FIDO2 مع التطبيقات الأخرى التي تفوض MFA لحماية تطبيقات Microsoft وتوفير عامل مصادقة ثانٍ لأدوات إدارة كلمات المرور والوصول عن بُعد والاحتياجات الأخرى.
متطلبات المصادقة في الحوسبة السحابية
غالباً لا يوجد معيار مصادقة واحد فعال لكل الخدمات السحابية. يجد المسؤولون عادةً أنهم بحاجة إلى مجموعة متنوعة من أدوات MFA بما في ذلك تطبيقات المصادقة (Microsoft و Authy و Google Authenticator) بالإضافة إلى تطبيقات مثل Duo.com والرموز المميزة tokens للأجهزة.
يجب أن يكون أسلوب المصادقة المتعددة MFA معتمداً في مؤسستك ، ولكن قيامك بذلك بطريقة صحيحة سيوفر الكثير من الجهد و الوقت على فريق الدعم الفني الخاص بك. خطط مسبقاً لاختيار حل يسهل إدارته ولا يتسبب في المزيد من المشكلات عند الترقية ، ويلبي احتياجات المؤسسة.
