أدوار وأذونات Azure AD: تعيين وإدارة الأدوار للمستخدمين والمجموعات

الدروس التعليمية

أدوار وأذونات Azure AD: تعيين وإدارة الأدوار للمستخدمين والمجموعات. هل أنت مسؤول تقنية المعلومات الذي يرغب في التعرف على أدوار Azure AD وأهميتها في تعيين وإدارة الأذونات للمستخدمين والمجموعات؟

من الضروري تعلم كل مفهوم لفهم العلاقة بين أدوار Azure AD، والمستخدمين، والمجموعات، والأذونات.

بعد ذلك، نشرح أدوار Azure AD، التي تمثل المستوى التالي في علاقة “دور المستخدم مجموعة الإذن”.

لجمع كل المفاهيم معًا، يناقش المقال كيف يرث المستخدمون والمجموعات الأذونات عندما يتم تعيين الأدوار لهم.

وأخيرًا، يوفر تعليمات مفصلة حول كيفية تعيين أدوار Azure AD للمستخدمين أو المجموعات باستخدام طرق مختلفة.

اقرأ أيضًا كيفية مراقبة نشاط Azure AD لتحسين الأمان

مستخدمو Azure AD، والمجموعات وعضويات المجموعة

المستوى الأساسي للإذن في Azure AD يسمى “الهوية”، والذي يشمل أي شيء يتم مصادقته. أمثلة على الهويات هي: المستخدمون الذين لديهم أسماء مستخدمين، وكلمات مرور وتطبيقات أو خوادم تتطلب مصادقة.

يُركز هذا المقال على الهوية كمستخدم يتم مصادقته.

بمجرد أن يتم مصادقة المستخدم، يتلقى الوصول إلى الموارد من خلال التفويض. لذلك، يحتاج المستخدمون إلى إذن ليتم تفويضهم للوصول إلى الموارد.

عند إنشاء مستخدم في Azure AD، يمنح النظام تلقائيًا الصلاحيات الافتراضية لهم.

ومع ذلك، يقوم المسؤول بتعيين صلاحيات إضافية للمستخدم باستخدام دور في Azure AD. بديلاً عن ذلك، يتم تعيين الصلاحيات للمستخدمين عن طريق إضافتهم إلى مجموعة.

يُعتبر من الممارسات الجيدة تعيين الصلاحيات للمستخدمين من خلال مجموعة بدلاً من تعيينها مباشرة للمستخدم.

هنا تأتي دور المجموعات في Active Directory لـ Azure. في Azure AD، تدير المجموعات المستخدمين الذين يحتاجون إلى الوصول إلى نفس الموارد.

بمجرد إنشاء مجموعة، يرث جميع المستخدمين الذين يتم إضافتهم إليها الصلاحيات المعينة لها من خلال أدوار Azure AD.

من الضروري ملاحظة أن هناك نوعين من المجموعات لإدارة الصلاحيات في Azure AD: مجموعات الأمان ومجموعات Microsoft 365.

تستخدم مجموعة الأمان لـ تعيين الأذونات والأدوار لأعضائها. ومع ذلك، خلال عملية إنشاء المجموعة، تحتاج إلى تعيين المجموعة الأمنية كقابلة للتعيين لتعيين الأدوار لها.

بمجرد إنشاء مجموعة، لا يمكنك تعديل هذا الإعداد.

على العكس من ذلك، تم تصميم مجموعات Microsoft 365 لأغراض التعاون. يمكن لأعضاء مجموعة Microsoft 365 الوصول إلى صناديق بريد مشتركة وفرق العمل والملفات وغيرها من الموارد التي تمكين التعاون عليها.

المزيد على تحقق من حل InfraSOS لتقارير الضيف في Azure AD وأداة المراجعة

الأدوار والأذونات في النشاط النشط لنظام Azure

التحكم في الوصول بناءً على الأدوار (RBAC) يشكل أساس أمان Azure AD . يُستخدم ما يقرب من 60 دور مدمج لتعيين وإدارة الأذونات

للعثور على قائمة شاملة لهذه الأدوار والأذونات المتصلة بها، راجع قسم “جميع الأدوار” على صفحة الأدوار المدمجة في Azure AD.

علاوة على ذلك، كل دور له مجموعة محددة مسبقًا من الأذونات. لتعيين الأذونات المرتبطة بدور Azure AD لكائن ما، مثل مستخدم أو مجموعة، يجب عليك تعيين الدور للكائن.

قم بإجراء هذا التعيين إما على صفحة “الأدوار والمسؤولين” داخل بوابة Azure Active Directory أو من خلال “الأدوار المعينة” في كائن Azure AD.

يمكن تعيين الأدوار مباشرة للمستخدمين أو المجموعات. ومع ذلك، تُسمح المجموعات الديناميكية بتعيين الأدوار تلقائيًا بناءً على الشروط المحددة.

اقرأ أيضًا مجموعات Office 365: إنشاء وإدارة المجموعات للتعاون

العلاقات بين أدوار Azure AD وأذونات المجموعات

تدير المجموعات عدة مستخدمين يحتاجون إلى الوصول إلى نفس موارد Azure AD. ومع ذلك، تمتلك المجموعات وظائف تمتد إلى ذلك.على سبيل المثال، تُستخدم المجموعات لتعيين تراخيص ونشر التطبيقات لأعضائها. علاوة على ذلك، تُفوّض هذه المجموعات الأدوار الإدارية، باستثناء مسؤول Azure AD العام.

المجموعات تُستخدم لتعيين التراخيص ونشر التطبيقات لأعضائها. علاوة على ذلك، تُفوّض هذه المجموعات أدوار المسؤول، باستثناء مسؤول Azure AD Global Administrator.

ابحث عن قائمة الأدوار الإدارية التي تفوّضها باستخدام المجموعات.

علاوة على ذلك، استخدم المجموعات لتعيين الأذونات لمواقع SharePoint أو تطبيقات SaaS الخارجية.

تذكر أن تعيين الأدوار للمجموعات يتطلب ترخيص Azure AD Premium P1. بالإضافة إلى ذلك، يتطلب أداء المهمة أيضًا دور “مسؤول الدور الخاص”.

أيضًا، يوفر Azure مجموعات ديناميكية تُستخدم لتعيين الأدوار.

تعين المجموعات الديناميكية تلقائيًا عضويات المجموعة للمستخدمين الذين يستوفون معايير الاستعلام الديناميكي المحددة للمجموعة. يوفر هذا العملية التلقائية وقتًا إداريًا كبيرًا للمؤسسات الكبيرة مقارنة بالتعيين اليدوي للمجموعات.

اقرأ أيضًا ممارسات أفضل للتحكم في الوصول بناءً على الأدوار في Azure AD: كيفية استخدام أدوار Azure AD والامتيازات بفعالية

كيفية تعيين أدوار Azure AD للمستخدمين والمجموعات

اتبع أحد الطرق أدناه لتعيين أدوار Azure AD للمستخدمين أو المجموعات.

أولًا، قم بتسجيل الدخول إلى بوابة Azure عبر portal.azure.com. ابحث عن وافتح “المدير النشط لنظام التوجيه السحابي في Azure”.

اقرأ أيضًا أدوار Azure AD المخصصة: إنشاء وإدارة الأدوار المخصصة لنظام التوجيه السحابي في Azure AD

الطريقة 1 من 3: تعيين الأدوار للمستخدمين أو المجموعات من واجهة “الأدوار والمسؤولين”

أكثر الطرق راحة لتعيين أدوار Azure AD هي من خلال واجهة “الأدوار والمسؤولين” في بوابة المدير النشط لنظام التوجيه السحابي في Azure.

اتبع هذه الخطوات:

1. في قائمة “الدليل النشط لـ Azure”، انقر على “الأدوار والمسؤولين.”

2. بعد ذلك، بمجرد فتح صفحة “الأدوار والمسؤولين”، انقر فوق دور Azure AD الذي ترغب في تعيينه ومنح الأذونات إلى الدليل النشط والمجموعات. لتسريع العثور على دور، ابحث عنه. 

3. انقر على “إضافة المهام” على صفحة المهام للدور. تقوم هذه الصفحة أيضًا بسرد جميع المستخدمين والمجموعات المعينة حاليًا لهذا الدور. 

4. بمجرد فتح صفحة “إضافة المهام”، انقر على الرابط “لم يتم تحديد أي أعضاء بعد”. وأخيرًا، على “تحديد عضو”، اختر جميع المستخدمين والمجموعات التي ترغب في تعيين الدور لها وانقر تحديد

يرجى ملاحظة أن النافذة المنبثقة تعرض فقط المجموعات التي تستحق التعيين للدور.

استخدم وظيفة البحث للعثور على المستخدمين والمجموعات وتجنب التمرير. 

اقرأ أيضًا أهمية التحكم في الوصول بناءً على الأدوار في Azure AD

الطريقة 2 من 3: تعيين أدوار Azure AD من واجهة المستخدم

طريقة أخرى لتعيين أدوار Azure AD للمستخدمين هي عن طريق فتح صفحة بوابة دليل Azure Active للمستخدم. فيما يلي الخطوات:

1. انقر على قائمة “المستخدمين” على بوابة دليل النشط لـ Azure. ثم، حدد مستخدمًا بالنقر عليه. 

2. بمجرد فتح مستخدم، انقر على “الأدوار المعينة”. ثم، انقر على “+ إضافة مهمة”.

3. بعد ذلك، حدد دور Azure AD الذي ترغب في أن يرثه المستخدم صلاحياته من القائمة المنسدلة “اختر الدور”. بعد تحديد الدور، انقر فوق التالي.

4. وأخيرًا، إذا كان لديك ترخيص إدارة الهوية الخاصة (PIM)، فإن الصفحة النهائية تعرض خيار “نوع الإسناد”. كما يتوفر خيار “المدة المسموح بها الأقصى للتأهيل”.

حدد إعداداتك وانقر على التعيين.

اقرأ أيضًا Azure AD Conditional Access: تنفيذ سياسات الوصول والتحكم

الطريقة 2 من 3: تخصيص أدوار Azure AD من واجهة المجموعة

لتعيين أدوار Azure AD للمجموعات القابلة للتعيين في الدور، اتبع الخطوات التالية:

1. انقر على “المجموعات” على بوابة Azure Active Directory.

2. يقوم Azure AD بعرض جميع المجموعات. ومع ذلك، يمكنك تعيين الأدوار فقط للمجموعات التي تم تمكين هذه الميزة لها.

لذلك، لرؤية المجموعات التي تم تمكينها لتعيين الأدوار، انقر فوق “عرض الإدارة” وحدد “تحرير الأعمدة”.

3. قم بتحديد خانة الاختيار “السماح بتعيين الأدوار” على القائمة المنبثقة للأعمدة وانقر على حفظ. يمكنك أيضًا إلغاء تحديد “معرف الكائن” و”نوع العضوية” و”البريد الإلكتروني” و”المصدر” لتقليل عدد الأعمدة.

تم فحص هذه الأعمدة افتراضيًا. ومع ذلك، لم يتم فحص عمود “السماح بتعيين الأدوار” افتراضيًا.

4. بعد تمكين الصفحة لعرض ما إذا كانت المجموعة قابلة للتعيين دورًا، حدد المجموعة الصحيحة. 

تذكر أنه إذا قمت بفتح مجموعة لم يتم تمكين هذه الميزة أثناء إنشائها، فلن تعرض أدوار Azure AD. 

5. بمجرد فتح المجموعة، انقر على “الأدوار المعينة” في القائمة، ثم انقر على “إضافة تعيينات.”

6. اختر دورًا من القائمة المنسدلة “تحديد الدور” وانقر على التالي. في النهاية، حدد خيارات تعيين الدور وانقر تعيين.

اقرأ أيضًا Office 365 Identity & Access: Manage Users & Permissions

تعيين أدوار Azure AD عبر المجموعات الديناميكية

أيضًا، يسمح Azure AD باستخدام المجموعات الديناميكية لتعيين أدوار Azure AD تلقائيًا للمستخدمين. 

فيما يلي الخطوات لإنشاء مجموعة Azure AD ديناميكية تعين تلقائيًا أدوارًا لأعضائها. 

1. على صفحة المجموعات في بوابة Azure Active Directory، انقر على “مجموعة جديدة.”

2. عندما يتم فتح صفحة “مجموعة جديدة”، قم بتسمية المجموعة، واختر نوع التعيين الديناميكي من قائمة النوع الخاصة بـ “نوع العضوية”. باختيار “مستخدم ديناميكي” أو “جهاز ديناميكي”، ستظهر رابط “إضافة استعلام ديناميكي”.

تأكد من تفعيل مفتاح “يمكن تعيين أدوار Azure AD”.

3. انقر على رابط “إضافة استعلام ديناميكي” لإنشاء استعلام ديناميكي يضيف المستخدمين تلقائيًا إلى المجموعة.

اقرأ أيضًا نشر أداة تقارير مستخدمي Office 365 بواسطة InfraSOS

4. بمجرد فتح صفحة “قواعد العضوية الديناميكية”، انقر على “تحرير”، ثم قم بإنشاء استعلامك. تعرف على كيفية إنشاء استعلامات ديناميكية لعضويات المجموعة.

5. على الشريط الجانبي “تحرير قاعدة القاعدة”، أدخل قاعدتك وانقر على موافق. ثم، على صفحة استعلام العضوية الديناميكية، انقر على حفظ.

I built a simple rule that adds users to my group by user’s department. 

6. في النهاية، قم بمراجعة الإعدادات على صفحة “مجموعة جديدة” وانقر على إنشاء.

للتحقق من أن قاعدتك الديناميكية تعمل، افتح المجموعة وانقر على قائمة “الأعضاء”. إذا كانت قاعدتك صحيحة وتلبي بعض المستخدمين الشروط، يجب أن يتم إضافتهم تلقائيًا كأعضاء في المجموعة.

بعد إنشاء المجموعة الديناميكية، قم بتعيين الأدوار في Azure AD للمجموعة. بعد هذه الخطوات، سيرتاح جميع المستخدمين الذين تمت إضافتهم ديناميكيًا إلى المجموعة تلقائيًا بتوريث أذونات الأدوار المعينة للمجموعة. 

اقرأ أيضًا إدارة Azure AD المتطورة للهوية: إدارة ومراقبة الحسابات المتميزة

أدوار Azure AD وأذوناتها: تعيين وإدارة أدوار للمستخدمين والمجموعات نتيجة

في الختام، قامت هذه المقالة باستكشاف الجوانب الأساسية لأدوار Azure AD وأذوناتها. على وجه التحديد، ركزت على كيفية تعيين وإدارة الأدور للمستخدمين والمجموعات.

شرحنا مفاهيم المستخدمين في Azure AD والمجموعات وعضوية المجموعات، مما أشار إلى أهميتها في تعيين الأدوار. كما درسنا إطار عمل أدوار وأذونات Azure Active Directory.

أكدت المقالة على العلاقة بين أدوار Azure AD وأذونات المجموعة.

بالإضافة إلى ذلك، قدمت ثلاث طرق لتعيين أدوار Azure AD للمستخدمين والمجموعات. تضمنت الطريقة الأولى استخدام واجهة “الأدوار والمسؤولين”، بينما تغطي الطريقة الثانية تعيين الأدوار من واجهات المستخدمين والمجموعة.

كما قمنا بالنظر أيضًا إلى استخدام عضوية المجموعة الديناميكية كطريقة ثالثة لتعيين الأدوار في Azure AD للمستخدمين.

من خلال فهم هذه الطرق واستغلال قوة Azure AD، يقوم المسؤولون بتعيين الأدوار بكفاءة وإدارتها لضمان الوصول المناسب والأذونات لالمستخدمين والمجموعات داخل مؤسساتهم.

Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/