في بيئة Microsoft 365 المتكاملة، أصبحت إدارة الهوية والصلاحيات جزءًا أساسيًا من أمن المؤسسة السحابية. تعتمد مايكروسوفت على منظومة Microsoft Entra (المعروفة سابقًا باسم Azure Active Directory) لتنفيذ ثلاث طبقات أمنية مترابطة: IAM (Identity & Access Management)، PAM (Privileged Access Management)، PIM (Privileged Identity Management). ورغم التشابه بين المصطلحات، إلا أن لكل منها دورًا محددًا داخل إطار الأمان السحابي.
🧩 أولًا: IAM — Identity & Access Management
في Microsoft 365، تمثل IAM الأساس الذي تُبنى عليه جميع عمليات الدخول والتحكم في الوصول. تقوم على إدارة هوية المستخدمين والمجموعات وتطبيق سياسات الأمان على مستوى الحساب.
👤 إدارة الهويات عبر Microsoft Entra ID (Azure AD سابقًا).🔐 تطبيق المصادقة متعددة العوامل (MFA) لحماية الحسابات.
⚙️ تنفيذ سياسات الوصول الشرطي (Conditional Access Policies).
🚪 إدارة عمليات الانضمام والمغادرة (Onboarding / Offboarding).
💼 دعم تسجيل الدخول الموحد (SSO) لتطبيقات SaaS مثل Teams وSharePoint وExchange Online.
أمثلة مباشرة في Microsoft 365:
- إضافة مستخدمين جدد عبر Entra ID Portal.
- تفعيل MFA لجميع المستخدمين.
- تطبيق سياسة تمنع الدخول من مواقع جغرافية غير معروفة.
💡 باختصار: IAM هي “الهوية الرقمية” لكل شخص أو خدمة داخل المؤسسة.
🛡️ ثانيًا: PAM — Privileged Access Management
تُستخدم PAM في بيئة Microsoft 365 للتحكم في الوصول إلى الحسابات عالية الامتياز، مثل مديري الأنظمة ومسؤولي الأمان. هذه الحسابات هي الأكثر استهدافًا من قبل المهاجمين، لذا توفر مايكروسوفت طبقات حماية إضافية عبر Privileged Access Management in Microsoft 365.
🔒 التحكم بالوصول إلى المهام الحساسة (مثل إدارة Exchange أو SharePoint).🕓 استخدام مبدأ “الوصول عند الحاجة فقط” (Just-in-Time Access).
📜 إنشاء طلبات موافقة قبل تنفيذ المهام الإدارية (Approval Workflow).
📹 مراقبة جميع جلسات الامتياز وتسجيلها للتدقيق (Audit & Logging).
أمثلة عملية:
- يطلب أحد مديري البريد الإلكتروني صلاحية تعديل إعدادات النقل في Exchange Online.
- يتم إرسال طلب إلى مشرف آخر للموافقة.
- تُمنح الصلاحية مؤقتًا فقط لإتمام المهمة، ثم تُسحب تلقائيًا.
الخدمة المستخدمة: Privileged Access Management in Microsoft 365 Security & Compliance Center.
💡 PAM في Microsoft 365 تضمن أن المهام الحساسة تُنفّذ فقط بإذن وتحت رقابة، مما يقلل مخاطر إساءة الاستخدام أو الاختراق.
👤 ثالثًا: PIM — Privileged Identity Management
Entra Privileged Identity Management (PIM) هي خدمة سحابية متقدمة داخل Microsoft Entra ID تتحكم في من يمتلك صلاحيات المسؤول، ومتى، ولمدة كم. وهي أداة إستراتيجية لإدارة الأدوار الحساسة داخل بيئة Azure وMicrosoft 365.
🕒 تمنح صلاحيات مؤقتة (Time-bound Access) لمسؤولي الأنظمة.✅ تتطلب موافقة قبل التفعيل (Approval-based Activation).
📊 تسجل كل الأنشطة (Audit Trails) للتدقيق الأمني.
🚨 ترسل تنبيهات فورية عند تفعيل صلاحيات عالية.
أمثلة مباشرة في Entra:
- يتم تفعيل دور Global Administrator فقط لمدة ساعتين بعد طلب وموافقة.
- يمكن للمسؤول مراجعة من قام بتفعيل صلاحياته ومتى.
- تُسجل جميع الأحداث تلقائيًا في Microsoft Defender for Cloud Apps.
💡 باختصار: PIM يمنحك “التحكم الزمني” في من يمتلك صلاحيات المسؤول داخل Microsoft 365 وAzure.
⚖️ مقارنة بين IAM و PAM و PIM في Microsoft 365
| العنصر | IAM (Entra ID) | PAM (M365 Security Center) | PIM (Entra PIM) |
| النطاق | كل المستخدمين في المؤسسة | المهام الحساسة للمسؤولين | الأدوار والصلاحيات عالية الامتياز |
| الوظيفة | إدارة الهوية والوصول العام | مراقبة وتنظيم استخدام الامتيازات | منح صلاحيات مؤقتة ومراقبة تفعيلها |
| الأدوات | Entra ID, Conditional Access, MFA | PAM in Compliance Center | Entra PIM, Access Reviews |
🧭 قاعدة سريعة للتذكر
🔹 IAM = هوية الجميع (Users & Apps Management)🔹 PAM = مراقبة صلاحيات المدراء (Privileged Actions Security)
🔹 PIM = إدارة من ومتى يصبح مسؤول (Privileged Role Lifecycle)
✨ الخلاصة
تكامل IAM وPAM وPIM داخل Microsoft 365 يشكّل العمود الفقري للأمن المؤسسي الحديث. من خلال Entra ID وDefender وPIM، تستطيع المؤسسات ضمان أن كل مستخدم يمتلك فقط ما يحتاجه — وقت الحاجة — وتحت المراقبة المستمرة. إنه نهج Zero Trust الحقيقي في إدارة الوصول والهوية.