Azure AD תפקידים והרשאות: הקצאה וניהול תפקידים עבור משתמשים וקבוצות. האם אתה מנהל מערכות מידע שמעוניין ללמוד על תפקידי Azure AD ועל חשיבותם בהקצאה וניהול הרשאות עבור משתמשים וקבוצות?
חשוב ללמוד כל מושג כדי להבין את הקשר בין תפקידי Azure AD , משתמשים, קבוצות והרשאות.
לאחר מכן, אנחנו מסבירים את תפקידי Azure AD, המייצגים את הרמה הבאה ביחס "תפקיד משתמש קבוצת הרשאה".
כדי לאחד את כל המושגים, המאמר מתאר כיצד משתמשים וקבוצות יורשים הרשאות כאשר מוקצים להם תפקידים.
לבסוף, המאמר מספק הוראות מפורטות על איך להקצות תפקידי Azure AD למשתמשים או קבוצות באמצעות שיטות שונות.
משתמשי Azure AD, קבוצות וחברי קבוצות
הרמה הבסיסית של הרשאה ב- Azure AD נקראת "זהות", הכוללת כל דבר שמאומת. דוגמאות לזהויות הן: משתמשים עם שמות משתמש, סיסמאות ויישומים או שרתים הדורשים אימות.
מאמר זה מתמקד בזהות כמשתמש שאומת.
לאחר שהמשתמש אומת, הוא מקבל גישה למשאבים דרך אושר. לכן, המשתמשים זקוקים להרשאה כדי להיות מאושרים לגשת למשאבים.
כאשר יוצרים משתמש, Azure AD מעניקה הרשאות ברירת מחדל לו.
אולם, מנהל מעניק הרשאות נוספות למשתמש על ידי השימוש בתפקיד Azure AD. בנוסף, ניתן להעניק הרשאות למשתמשים על ידי הוספתם ל-קבוצה.
נחשב כי הדרך המיטבית היא להעניק הרשאות למשתמשים דרך קבוצה במקום ישירות למשתמש.
והנה מהן הקבוצות ב-Azure Active Directory מתפקדות. ב-Azure AD, הקבוצות נוהלות את המשתמשים שזקוקים לגישה לאותם משאבים.
לאחר שיוצרים קבוצה, כל המשתמשים שמצטרפים אליה יורשים את ההרשאות שהוענקו לה באמצעות תפקידי Azure AD.
חשוב לציין כי ישנם 2 סוגי קבוצות לניהול הרשאות ב-Azure AD: קבוצות אבטחה וקבוצות Microsoft 365.
אתה משתמש בקבוצת אבטחה כדי להקצות הרשאות ותפקידים לחבריה.
במהלך יצירת הקבוצה, עליך להגדיר את הקבוצה כניתנת להקצאת תפקידים כדי להקצות להם תפקידים.
לאחר שיצרת קבוצה, אין אפשרות לשנות את ההגדרה הזו. לעומת זאת, קבוצות Microsoft 365 מיועדות למטרות שיתוף. חברי קבוצת Microsoft 365 נכנסים לתיבות דואר משותפות, צוותים, קבצים ומשאבים אחרים שמופעלים למטרות שיתוף.
קרא גם את פתרון InfraSOS של כלי Azure AD Guest Reports & Auditing
תפקידים והרשאות במנהל הפעיל של Azure
השליטה המבוססת על תפקידים (RBAC) היא היסוד של אבטחת Azure AD. כ-60 תפקידים מובנים משמשים להקצאת וניהול הרשאות.
כדי למצוא רשימה מקיפה של תפקידים אלה וההרשאות המתאימות שלהם, יש להפנות אל חלק "כל התפקידים" בדף תפקידים מובנים של Azure AD.
בנוסף, לכל תפקיד יש סט מוגדר מראש של הרשאות. כדי להקצות הרשאות הקשורות לתפקיד של Azure AD לאובייקט, כגון משתמש או קבוצה, יש להקצות את התפקיד לאובייקט.
לבצע את ההקצאה הזו אפשר בעמוד "תפקידים ומנהלים" בתוך פורטל Azure Active Directory או דרך הצומת "תפקידים שהוקצו" של אובייקט ב-Azure AD.
ניתן להקצות תפקידים ישירות למשתמשים או לקבוצות. עם זאת, קבוצות דינמיות מאפשרות הקצאה אוטומטית של תפקידים בהתבסס על תנאים מוגדרים.
יחסים בין תפקידי Azure AD והרשאות קבוצה
קבוצות ניהול של מספר משתמשים שזקוקים לגישה למשאבי Azure AD אותם יש להם. למרבה המזל, לקבוצות יש פונקציות שהולכות מעבר לכך.
רישיונותקבוצות, למשל, משמשים לחלוקת רישיונות לחבריהן ולהפצת אפליקציות אליהן. בנוסף, קבוצות אלו מעניקות תפקידי מנהל, למעט תפקיד ה-Azure AD Global Administrator.
להלן רשימה של תפקידי מנהל שאתה יכול למנות באמצעות קבוצות: תפקידי מנהל שניתן למנות באמצעות קבוצות כוללים, בין היתר, את:
קבוצות משמשות גם למתן הרשאות לאתרי SharePoint או לאפליקציות SaaS חיצוניות.
שימו לב כי הענקת תפקידים לקבוצות מחייבת רישיון Azure AD Premium P1. בנוסף, ביצוע פעולה זו מחייב גם את תפקיד ה"Privileged Role Administrator".
כמו כן, הAzure מציעה קבוצות דינמיות המשמשות להקצאת תפקידים.
קבוצות דינמיות מקצות אוטומטית מנות מנויים למשתמשים העומדים בקריטריוני שאילתת הקבוצה הדינמית שהוגדרו עבור הקבוצה. תהליך זה מופעל באופן אוטומטי ומצמיד זמן ניהולי משמעותי לארגונים גדולים בהשוואה להקצאת קבוצה ידנית.
איך להקצות תפקידים ב-Azure AD למשתמשים ולקבוצות
תיעוד על דרך אחת מתוך שלוש להקצאת תפקידי Azure AD למשתמשים או לקבוצות.
מה שעליך לעשות בתחילה הוא להתחבר לפורטל של Azure דרך portal.azure.com. חפש ופתח את "Azure Active Directory".
שיטה 1 מתוך 3: הקצת תפקידים למשתמשים או קבוצות מממשק "תפקידים ומנהלים"
הדרך הנוחה ביותר להקצאת תפקידי Azure AD היא דרך ממשק "תפקידים ומנהלים" בפורטל של Azure Active Directory.
עקוב אחרי השלבים האלה:
1. בתפריט Azure Active Directory, לחץ על "תפקידים ומנהלים".
2. לאחר מכן, ברגע שדף "תפקידים ומנהלים" נפתח, לחץ על התפקיד ב-Azure AD שברצונך להקצות ולהעניק הרשאות ל-Active Directory ולקבוצות. כדי לקצר את התהליך, חפש את התפקיד.
3. לחץ על "הוסף הקצאות" בדף ההקצאות של התפקיד. גם בדף זה מופיעים כל המשתמשים והקבוצות הנקצאים לתפקיד זה.
4. ברגע שדף "הוסף הקצאות" נפתח, לחץ על הקישור "אין חברים נבחרים". לבסוף, ב"בחר חבר", בחר את כל המשתמשים והקבוצות שברצונך להקצות את התפקיד ולחץ בחר.
שים לב שהפרופורציה מציגה רק קבוצות שהן זכאיות להקצאת תפקיד.
השתמש בפונקציית החיפוש כדי למצוא משתמשים וקבוצות ולהימנע מלגלול.
גם קרא עוד החשיבות של שליטה מבוססת תפקידים ב-Azure AD
שיטה 2 מתוך 3: הקצאת תפקידים ב-Azure AD מממשק המשתמשים
שיטה נוספת להקצאת תפקידים ב-Azure AD למשתמשים היא על ידי פתיחת דף פורטל Azure Active Directory של המשתמש. הנה השלבים:
1. לחץ על התפריט "משתמשים" בפורטל Azure Active Directory. לאחר מכן, בחר משתמש על ידי לחיצה עליו.
2. ברגע שהמשתמש נפתח, לחץ על "הקצאות תפקידים". לאחר מכן, לחץ על "+ הוסף הקצאה".
3. לאחר מכן, בחר את התפקיד ב-Azure AD שברצונך שהמשתמש ירשה את הרשאותיו מרשימת התפקידים שמציגה העכבר. לאחר בחירת התפקיד, לחץ על "הבא".
4. לבסוף, אם יש לך רישיון Privileged Identity Management (PIM), בעמוד האחרון יופיע תאור ה"סוג השימוש במשאב" וגם האפשרות "משך הזמן המקסימלי המותר לשימוש במשאב".
בחר את ההגדרות שלך ולחץ על שימוש.
שקול גם לקרוא גישה מותנית ב-Azure AD: יצירת מדיניות גישה ובקרה
שיטה 2 מתוך 3: הקצאת תפקידים ב-Azure AD מממשק הקבוצה
כדי להקצות תפקידים ב-Azure AD לקבוצות שמקבלות תפקידים, בצע את השלבים הבאים:
1. לחץ על "קבוצות" בחלונית Azure Active Directory.
2. Azure AD מציג את כל הקבוצות. עם זאת, אתה יכול להקצות תפקידים רק לקבוצות שפותח עבורן פורטל התפקידים.
לכן, כדי לראות את הקבוצות שהתפקידים מוקצים להן, לחץ על "ניהול מבט" ובחר "ערוך עמודות".
3. לחץ על תיבת הסימון "אישור הקצאת תפקידים" בתפריט עמודות ולחץ על שמירה. ניתן גם להסיר את הסימונים מ"מזהה אובייקט", "סוג חברות", "אימייל" ו-"מקור" כדי להפחית את מספר העמודות.
העמודות הללו מסומנות כברירת מחדל. עם זאת, העמוד "אישור הקצאת תפקידים" אינו מסומן כברירת מחדל.
4. לאחר שהפעלת העמוד להצגת האם קבוצה ניתנת להקצאת תפקידים, בחר בקבוצה הרצויה.
זכור כי אם תפתח קבוצה שביצעת את הפעלת התכונה בזמן יצירתה, התפקידים של Azure AD לא יוצגו.
5. כאשר הקבוצה נפתחת, לחץ על "תפקידים מוקצים" בתפריט, ולאחר מכן לחץ על "הוסף הקצאות".
6. בחר תפקיד מתוך תפריט הנפתח "בחר תפקיד" ולחץ על הבא. לבסוף, בחר אפשרויות הקצאת תפקיד ולחץ על הקצה.
הקצאת תפקידי Azure AD דרך קבוצות דינמיות
בנוסף, Azure AD מאפשרת שימוש בקבוצות דינמיות על מנת להקצות תפקידי Azure AD באופן אוטומטי למשתמשים.
להלן השלבים ליצירת קבוצת Azure AD דינמית שמייד מקצה תפקידים לחבריה.
1. בעמוד הקבוצות בפורטל של פעילה של Azure Active Directory, לחץ על "קבוצה חדשה".
2. כאשר נפתחת עמוד הקבוצה החדשה, תכניס שם לקבוצה, ותבחר את סוג ההקצאה הדינמית מתוך תפריט הסוג של החברות. בחירת "משתמש דינמי" או "התקן דינמי" תציג את הקישור "הוסף שאילתה דינמית".
ודא שהסוגר "תפקידי Azure AD יכולים להיות מוקצים" פתוח.
3. לחץ על הקישור "הוסף שאילתה דינמית" כדי לבנות שאילתה דינמית שמוסיפה משתמשים באופן אוטומטי לקבוצה.
4. כאשר נפתחת עמוד כללי החברים הדינמיים, לחץ על "עריכה," ואז בנה את השאילתה שלך. למד כיצד לבנות שאילתות דינמיות עבור חברות בקבוצה.
5. בתפריט "ערוך תחביר כלל," הזן את הכלל שלך ולחץ על אישור. לאחר מכן, בעמוד שאילתת החברים הדינמיים, לחץ על שמירה.
I built a simple rule that adds users to my group by user’s department.
6. לבסוף, בדוק את ההגדרות בעמוד 'קבוצה חדשה' ולחץ צור.
כדי לוודא שהכלל הדינמי שלך עובד, פתח את הקבוצה ולחץ על תפריט 'חברים'. אם הכלל שלך נכון ויש משתמשים שעומדים בקריטריונים, הם צריכים להתווספו דינמית כחברי קבוצה.
לאחר יצירת הקבוצה הדינמית, יש להקצות תפקידי Azure AD לקבוצה. לאחר השלבים הללו, כל המשתמשים שמתווספים דינמית לקבוצה מרשים את ההרשאות של התפקידים המוקצים לקבוצה.
תפקידים והרשאות ב-Azure AD: הקצאה וניהול תפקידים למשתמשים ולקבוצות – מסקנה
במסקנה, מאמר זה חקר את הנושאים המרכזיים של תפקידים והרשאות ב-Azure AD. במיוחד, הוא מתמקד בכיצד להקצות תפקידים וניהול תפקידים למשתמשים ולקבוצות.
הסברנו על מושגי משתמשים, קבוצות וחברויות קבוצה ב-Azure AD, וציינו את חשיבותן בהקצאת תפקידים. חקרנו גם את מסגרת התפקידים וההרשאות ב-Directory פעיל של Azure.
המאמר מדגיש את הקשרים בין תפקידי Azure AD והרשאות הקבוצה.
בנוסף, הוצגו 3 שיטות להקצאת תפקידי Azure AD למשתמשים ולקבוצות. שיטה 1 כללה שימוש בממשק "Roles and admins", תוך שימוש בשיטה 2 התקיימה הקצאת תפקידים מממשקי המשתמשים והקבוצות.
We also considered using חברה דינמית חברות כמתודה להקצאת תפקידי Azure AD למשתמשים.
על ידי הבנת השיטות הללו וניצול עוצמת Azure AD, מנהלים מקצים ומנהלים תפקידים ביעילות כדי להבטיח גישה נכונה והרשאות למשתמשים ולקבוצות בתוך הארגונים שלהם.
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/