الخطوة 1. تحديد نموذج هوية السحابة

تحقق من جميع محتوياتنا التجارية الصغيرة على الشركات الصغيرة تساعد في & التعلم.

يستخدم Microsoft 365 معرف Microsoft Entra، وهي خدمة هوية مستخدم ومصادقة مستندة إلى السحابة مضمنة مع اشتراك Microsoft 365 الخاص بك، لإدارة الهويات والمصادقة ل Microsoft 365. يعد تكوين البنية الأساسية للهوية بشكل صحيح أمرا حيويا لإدارة وصول مستخدم Microsoft 365 والأذونات لمؤسستك.

قبل البدء، شاهد هذا الفيديو للحصول على نظرة عامة على نماذج الهوية والمصادقة ل Microsoft 365.

اختيارك الأول للتخطيط هو نموذج هوية السحابة الخاص بك.

نماذج الهوية السحابية من Microsoft

للتخطيط لحسابات المستخدمين، تحتاج أولا إلى فهم نموذجي الهوية في Microsoft 365. يمكنك الحفاظ على هويات مؤسستك فقط في السحابة، أو يمكنك الاحتفاظ بهويات Active Directory محلي خدمات المجال (AD DS) واستخدامها للمصادقة عندما يصل المستخدمون إلى خدمات Microsoft 365 السحابية.

فيما يلي نوعان من الهوية وأفضل ملاءمة وفوائد.

السمه	هوية السحابة فقط	الهوية المختلطة
التعريف	حساب المستخدم موجود فقط في مستأجر Microsoft Entra لاشتراك Microsoft 365 الخاص بك.	يوجد حساب المستخدم في AD DS ونسخة أيضا في مستأجر Microsoft Entra لاشتراك Microsoft 365 الخاص بك. قد يتضمن حساب المستخدم في معرف Microsoft Entra أيضا إصدارا متجزئا من كلمة مرور حساب مستخدم AD DS المتجزئة بالفعل.
كيفية مصادقة Microsoft 365 لبيانات اعتماد المستخدم	يقوم مستأجر Microsoft Entra لاشتراك Microsoft 365 بإجراء المصادقة باستخدام حساب الهوية السحابية.	يقوم مستأجر Microsoft Entra لاشتراك Microsoft 365 إما بمعالجة عملية المصادقة أو إعادة توجيه المستخدم إلى موفر هوية آخر.
الأفضل ل	المؤسسات التي ليس لديها أو تحتاج إلى AD DS محلي.	المؤسسات التي تستخدم AD DS أو موفر هوية آخر.
أكبر فائدة	سهل الاستخدام. لا توجد أدوات دليل إضافية أو خوادم مطلوبة.	يمكن للمستخدمين استخدام نفس بيانات الاعتماد عند الوصول إلى الموارد المحلية أو المستندة إلى السحابة.

هوية السحابة فقط

تستخدم الهوية السحابية فقط حسابات المستخدمين الموجودة فقط في معرف Microsoft Entra. عادة ما تستخدم هوية السحابة فقط من قبل المؤسسات الصغيرة التي ليس لديها خوادم محلية أو لا تستخدم AD DS لإدارة الهويات المحلية.

فيما يلي المكونات الأساسية للهوية السحابية فقط.

يستخدم المستخدمون المحليون والنائية (عبر الإنترنت) حسابات المستخدمين Microsoft Entra وكلمات المرور الخاصة بهم للوصول إلى خدمات Microsoft 365 السحابية. يقوم Microsoft Entra بمصادقة بيانات اعتماد المستخدم استنادا إلى حسابات المستخدمين المخزنة وكلمات المرور الخاصة به.

الاداره

نظرا لأنه يتم تخزين حسابات المستخدمين فقط في معرف Microsoft Entra، يمكنك إدارة الهويات السحابية باستخدام أدوات مثل مركز مسؤولي Microsoft 365Windows PowerShell.

الهوية المختلطة

تستخدم الهوية المختلطة الحسابات التي تنشأ في AD DS محلي ولديها نسخة في مستأجر Microsoft Entra لاشتراك Microsoft 365. تتدفق معظم التغييرات، باستثناء سمات حساب معينة، بطريقة واحدة فقط. تتم مزامنة التغييرات التي تجريها على حسابات مستخدمي AD DS مع نسختها في معرف Microsoft Entra.

يوفر Microsoft Entra Connect مزامنة الحساب المستمرة. يتم تشغيله على خادم محلي، ويتحقق من التغييرات في AD DS، ويحيل هذه التغييرات إلى معرف Microsoft Entra. يوفر Microsoft Entra Connect القدرة على تصفية الحسابات التي تتم مزامنتها وما إذا كنت تريد مزامنة إصدار مجزوف من كلمات مرور المستخدم، والمعروفة باسم مزامنة تجزئة كلمة المرور (PHS).

عند تنفيذ الهوية المختلطة، يكون AD DS المحلي هو المصدر الموثوق لمعلومات الحساب. وهذا يعني أنك تقوم بتنفيذ مهام الإدارة في الغالب محليا، والتي تتم مزامنتها بعد ذلك مع معرف Microsoft Entra.

فيما يلي مكونات الهوية المختلطة.

لدى المستأجر Microsoft Entra نسخة من حسابات AD DS. في هذا التكوين، يقوم كل من المستخدمين المحليين والنائية الذين يصلون إلى خدمات Microsoft 365 السحابية بالمصادقة مقابل معرف Microsoft Entra.

ملاحظة

تحتاج دائما إلى استخدام Microsoft Entra Connect لمزامنة حسابات المستخدمين للهوية المختلطة. تحتاج إلى حسابات المستخدمين المتزامنة في معرف Microsoft Entra لإجراء تعيين الترخيص وإدارة المجموعة وتكوين الأذونات والمهام الإدارية الأخرى التي تتضمن حسابات المستخدمين.

مزامنة الهوية والدليل المختلط ل Microsoft 365

اعتمادا على احتياجات عملك والمتطلبات التقنية، يعد نموذج الهوية المختلطة ومزامنة الدليل الخيار الأكثر شيوعا لعملاء المؤسسات الذين يعتمدون Microsoft 365. تسمح لك مزامنة الدليل بإدارة الهويات في خدمات مجال Active Directory (AD DS) وتتم مزامنة جميع التحديثات لحسابات المستخدمين والمجموعات وجهات الاتصال مع المستأجر Microsoft Entra لاشتراك Microsoft 365 الخاص بك.

ملاحظة

عند مزامنة حسابات مستخدمي AD DS للمرة الأولى، لا يتم تعيين ترخيص Microsoft 365 تلقائيا ولا يمكن الوصول إلى خدمات Microsoft 365، مثل البريد الإلكتروني. يجب أولا تعيين موقع استخدام لهم. بعد ذلك، قم بتعيين ترخيص لحسابات المستخدمين هذه، إما بشكل فردي أو ديناميكي من خلال عضوية المجموعة.

المصادقة للهوية المختلطة

هناك نوعان من المصادقة عند استخدام نموذج الهوية المختلطة:

• المصادقة المدارة

  يعالج Microsoft Entra ID عملية المصادقة باستخدام إصدار متجزئ مخزن محليا من كلمة المرور أو يرسل بيانات الاعتماد إلى وكيل برنامج محلي ليتم مصادقته بواسطة AD DS المحلي.

• مصادقة جهات الاتصال الخارجية

  يعيد معرف Microsoft Entra توجيه كمبيوتر العميل لطلب المصادقة إلى موفر هوية آخر.

المصادقة المدارة

هناك نوعان من المصادقة المدارة:

• مزامنة تجزئة كلمة المرور (PHS)

  يقوم معرف Microsoft Entra بإجراء المصادقة نفسها.

• مصادقة المرور (PTA)

  Microsoft Entra المعرف لديه AD DS يقوم بإجراء المصادقة.

مزامنة تجزئة كلمة المرور (PHS)

باستخدام PHS، يمكنك مزامنة حسابات مستخدمي AD DS مع Microsoft 365 وإدارة المستخدمين المحليين. تتم مزامنة تجزئات كلمات مرور المستخدم من AD DS إلى معرف Microsoft Entra بحيث يكون للمستخدمين نفس كلمة المرور المحلية وفي السحابة. هذه هي أبسط طريقة لتمكين المصادقة لهويات AD DS في معرف Microsoft Entra.

عند تغيير كلمات المرور أو إعادة تعيينها محليا، تتم مزامنة تجزئات كلمة المرور الجديدة مع معرف Microsoft Entra بحيث يمكن للمستخدمين دائما استخدام نفس كلمة المرور لموارد السحابة والموارد المحلية. لا يتم إرسال كلمات مرور المستخدم أبدا إلى معرف Microsoft Entra أو تخزينها في معرف Microsoft Entra في نص واضح. تتطلب بعض الميزات المتميزة لمعرف Microsoft Entra، مثل حماية الهوية، PHS بغض النظر عن أسلوب المصادقة المحدد.

راجع اختيار أسلوب المصادقة الصحيح لمعرفة المزيد.

مصادقة المرور (PTA)

يوفر PTA التحقق من صحة كلمة المرور البسيطة لخدمات مصادقة Microsoft Entra باستخدام عامل برنامج يعمل على خادم محلي واحد أو أكثر للتحقق من صحة المستخدمين مباشرة باستخدام AD DS الخاص بك. باستخدام PTA، يمكنك مزامنة حسابات مستخدمي AD DS مع Microsoft 365 وإدارة المستخدمين المحليين.

تسمح PTA للمستخدمين بتسجيل الدخول إلى كل من موارد وتطبيقات Microsoft 365 المحلية باستخدام حسابهم المحلي وكلمة المرور الخاصة بهم. يتحقق هذا التكوين من صحة كلمات مرور المستخدمين مباشرة مقابل AD DS المحلي دون تخزين تجزئات كلمة المرور في معرف Microsoft Entra.

PTA هو أيضا للمؤسسات التي لها متطلبات أمان لفرض حالات حساب المستخدم المحلي ونهج كلمة المرور وساعات تسجيل الدخول على الفور.

راجع اختيار أسلوب المصادقة الصحيح لمعرفة المزيد.

مصادقة جهات الاتصال الخارجية

المصادقة الموحدة هي في المقام الأول للمؤسسات الكبيرة ذات متطلبات المصادقة الأكثر تعقيدا. تتم مزامنة هويات AD DS مع Microsoft 365 وتتم إدارة حسابات المستخدمين محليا. باستخدام المصادقة الموحدة، يكون لدى المستخدمين نفس كلمة المرور المحلية وفي السحابة وليس عليهم تسجيل الدخول مرة أخرى لاستخدام Microsoft 365.

يمكن أن تدعم المصادقة الموحدة متطلبات مصادقة إضافية، مثل المصادقة المستندة إلى البطاقة الذكية أو مصادقة متعددة العوامل تابعة لجهة خارجية، وعادة ما تكون مطلوبة عندما يكون لدى المؤسسات متطلبات مصادقة غير مدعومة أصلا بواسطة معرف Microsoft Entra.

راجع اختيار أسلوب المصادقة الصحيح لمعرفة المزيد.

بالنسبة لموفري المصادقة والهوية التابعين لجهة خارجية، قد تتم مزامنة عناصر الدليل المحلية مع Microsoft 365 والوصول إلى الموارد السحابية التي تتم إدارتها بشكل أساسي بواسطة موفر هوية تابع لجهة خارجية (IdP). إذا كانت مؤسستك تستخدم حل اتحاد تابع لجهة خارجية، يمكنك تكوين تسجيل الدخول باستخدام هذا الحل ل Microsoft 365 شريطة أن يكون حل اتحاد الجهات الخارجية متوافقا مع معرف Microsoft Entra.

راجع قائمة توافق الاتحاد Microsoft Entra لمعرفة المزيد.

الاداره

نظرا لأنه يتم تخزين حسابات المستخدمين الأصلية والمخولة في AD DS المحلي، يمكنك إدارة هوياتك بنفس الأدوات التي تدير بها AD DS.

لا تستخدم مركز مسؤولي Microsoft 365 أو PowerShell ل Microsoft 365 لإدارة حسابات المستخدمين المتزامنة في معرف Microsoft Entra.

الخطوة التالية

تابع الخطوة 2 لتأمين حسابات المسؤول العام.