تعيين أدوار Azure للمستخدمين الخارجيين باستخدام مدخل Microsoft Azure

التحكم في الوصول استنادا إلى الدور في Azure (Azure RBAC) يسمح بإدارة أمان أفضل للمؤسسات الكبيرة والشركات الصغيرة والمتوسطة الحجم التي تعمل مع المتعاونين الخارجيين أو الموردين أو المستقلين الذين يحتاجون إلى الوصول إلى موارد محددة في بيئتك، ولكن ليس بالضرورة إلى البنية الأساسية بأكملها أو أي نطاقات متعلقة بالفوترة. يمكنك استخدام الإمكانات في Microsoft Entra B2B للتعاون مع المستخدمين الخارجيين ويمكنك استخدام Azure RBAC لمنح الأذونات التي يحتاجها المستخدمون الخارجيون فقط في بيئتك.

المتطلبات الأساسية

لتعيين أدوار Azure أو إزالة تعيينات الأدوار، يجب أن يكون لديك:

• أذونات Microsoft.Authorization/roleAssignments/writeMicrosoft.Authorization/roleAssignments/delete، مثل مسؤول وصول المستخدم أو مالك

متى يمكنك دعوة مستخدمين خارجيين؟

فيما يلي مثالان على السيناريوهات التي قد تدعو فيها المستخدمين إلى مؤسستك وتمنح أذونات:

• السماح لمورد خارجي يعمل لحسابه الخاص لديه حساب بريد إلكتروني فقط بالوصول إلى موارد Azure لمشروع.
• السماح لشريك خارجي بإدارة موارد معينة أو اشتراك كامل.
• السماح لمهندسي الدعم غير في مؤسستك (مثل دعم Microsoft) بالوصول مؤقتا إلى مورد Azure لاستكشاف المشكلات وإصلاحها.

اختلافات الأذونات بين المستخدمين الأعضاء والمستخدمين الضيوف

يتمتع مستخدمو الدليل من نوع العضو (المستخدمون الأعضاء) بأذونات مختلفة بشكل افتراضي عن المستخدمين المدعوين من دليل آخر كضيف تعاون B2B (المستخدمون الضيوف). على سبيل المثال، يمكن للمستخدمين الأعضاء قراءة جميع معلومات الدليل تقريبا بينما يقوم المستخدمون الضيوف بتقييد أذونات الدليل. لمزيد من المعلومات حول المستخدمين الأعضاء والمستخدمين الضيوف، راجع ما هي أذونات المستخدم الافتراضية في معرف Microsoft Entra؟.

دعوة مستخدم خارجي إلى دليلك

اتبع هذه الخطوات لدعوة مستخدم خارجي إلى دليلك في Microsoft Entra ID.

1. سجل الدخول إلى مدخل Azure.

2. تأكد من تكوين إعدادات التعاون الخارجي لمؤسستك بحيث يسمح لك بدعوة مستخدمين خارجيين. لمزيد من المعلومات، راجع تكوين إعدادات التعاون الخارجي.

3. حدد معرف Microsoft Entra>المستخدمين.

4. حدد مستخدم جديد>دعوة المستخدم الخارجي.

   

5. اتبع الخطوات لدعوة مستخدم خارجي. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Entra B2B في مدخل Microsoft Azure.

بعد دعوة مستخدم خارجي إلى الدليل، يمكنك إما إرسال ارتباط مباشر للمستخدم الخارجي إلى تطبيق مشترك، أو يمكن للمستخدم الخارجي تحديد ارتباط قبول الدعوة في البريد الإلكتروني للدعوة.

لكي يتمكن المستخدم الخارجي من الوصول إلى الدليل الخاص بك، يجب عليه إكمال عملية الدعوة.

لمزيد من المعلومات حول عملية الدعوة، راجع قبول دعوة تعاون Microsoft Entra B2B.

تعيين دور لمستخدم خارجي

في Azure RBAC، لمنح حق الوصول، يمكنك تعيين دور. لتعيين دور لمستخدم خارجي، اتبع نفس الخطوات كما تفعل لمستخدم عضو أو مجموعة أو كيان خدمة أو هوية مدارة. اتبع هذه الخطوات لتعيين دور لمستخدم خارجي في نطاقات مختلفة.

1. سجل الدخول إلى مدخل Azure.

2. في مربع البحث في الأعلى، ابحث عن النطاق الذي تريد منح حق الوصول إليه. على سبيل المثال، ابحث عن مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو مورد معين.

3. حدد المورد المحدد لهذا النطاق.

4. حدد Access control (IAM).

   نستعرض فيما يلي مثالاً لصفحة التحكم في الوصول (IAM) إلى مجموعة موارد.

   

5. حدد علامة التبويب Role assignments لعرض تعيينات الدور في هذا النطاق.

6. حدد إضافة>Add role assignmen.

   إذا لم يكن لديك أذونات لتعيين الأدوار، تعطيل الخيار Add role assignment.

   

   تفتح صفحة Add role assignment.

7. في علامة التبويب دور، حدد دورا مثل مساهم الجهاز الظاهري.

   

8. في علامة التبويب الأعضاء ، حدد المستخدم أو المجموعة أو كيان الخدمة.

   

9. حدد تحديد أعضاء.

10. ابحث عن المستخدم الخارجي وحدده. إذا لم تتمكن من رؤية المستخدم في القائمة، فيمكنك الكتابة في مربع تحديد للبحث في الدليل عن اسم العرض أو عنوان البريد الإلكتروني.

    يمكنك الكتابة في المربع تحديد للبحث في الدليل عن اسم العرض أو عنوان البريد الإلكتروني.

    

11. حدد حدد لإضافة المستخدم الخارجي إلى قائمة الأعضاء.

12. في علامة التبويب Review + assign، حدد Review + assign.

    بعد لحظات قليلة، يتم تعيين الدور للمستخدم الخارجي في النطاق المحدد.

    

تعيين دور لمستخدم خارجي ليس بعد في دليلك

لتعيين دور لمستخدم خارجي، اتبع نفس الخطوات كما تفعل لمستخدم عضو أو مجموعة أو كيان خدمة أو هوية مدارة.

إذا لم يكن المستخدم الخارجي في الدليل الخاص بك بعد، يمكنك دعوة المستخدم مباشرة من جزء Select members.

1. سجل الدخول إلى مدخل Azure.

2. في مربع البحث في الأعلى، ابحث عن النطاق الذي تريد منح حق الوصول إليه. على سبيل المثال، ابحث عن مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو مورد معين.

3. حدد المورد المحدد لهذا النطاق.

4. حدد Access control (IAM).

5. حدد إضافة>Add role assignmen.

   إذا لم يكن لديك أذونات لتعيين الأدوار، تعطيل الخيار Add role assignment.

   

   تفتح صفحة Add role assignment.

6. في علامة التبويب دور، حدد دورا مثل مساهم الجهاز الظاهري.

7. في علامة التبويب الأعضاء ، حدد المستخدم أو المجموعة أو كيان الخدمة.

   

8. حدد تحديد أعضاء.

9. في مربع حدد، اكتب عنوان البريد الإلكتروني للشخص الذي تريد دعوته وحدد هذا الشخص.

   

10. حدد حدد لإضافة المستخدم الخارجي إلى قائمة الأعضاء.

11. في علامة التبويب Review + assign، حدد Review + assign لإضافة المستخدم الخارجي إلى دليلك وتعيين الدور وإرسال دعوة.

    بعد لحظات قليلة، سترى إعلاما بتعيين الدور ومعلومات حول الدعوة.

    

12. لدعوة المستخدم الخارجي يدويا، انقر بزر الماوس الأيمن وانسخ ارتباط الدعوة في الإعلام. لا تحدد ارتباط الدعوة لأنه يبدأ عملية الدعوة.

    سيكون لارتباط الدعوة التنسيق التالي:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

13. إرسال ارتباط الدعوة إلى المستخدم الخارجي لإكمال عملية الدعوة.

    لمزيد من المعلومات حول عملية الدعوة، راجع قبول دعوة تعاون Microsoft Entra B2B.

إزالة مستخدم خارجي من الدليل

قبل إزالة مستخدم خارجي من دليل، يجب أولا إزالة أي تعيينات دور لهذا المستخدم الخارجي. اتبع هذه الخطوات لإزالة مستخدم خارجي من دليل.

1. افتح التحكم بالوصول (IAM) في نطاق، مثل مجموعة الإدارة أو الاشتراك أو مجموعة الموارد أو المورد، حيث يكون لدى المستخدم الخارجي تعيين دور.

2. حدد علامة التبويب تعيينات الدور لعرض كافة تعيينات الأدوار.

3. في قائمة تعيينات الأدوار، أضف علامة اختيار إلى جانب المستخدم الخارجي مع تعيين الدور الذي تريد إزالته.

   

4. حدد إزالة.

   

5. في رسالة إزالة تعيين الدور التي تظهر، حدد نعم.

6. حدد علامة التبويب Classic administrators.

7. إذا كان لدى المستخدم الخارجي تعيين Co-Administrator، فقم بإضافة علامة اختيار بجوار المستخدم الخارجي وحدد إزالة.

8. في شريط التنقل الأيمن، حدد معرف Microsoft Entra>المستخدمين.

9. حدد المستخدم الخارجي الذي تريد إزالته.

10. حدد حذف.

    

11. في رسالة الحذف التي تظهر، حدد نعم.

استكشاف الأخطاء وإصلاحها

يتعذر على المستخدم الخارجي استعراض الدليل

المستخدمون الخارجيون لديهم أذونات دليل مقيدة. على سبيل المثال، لا يمكن للمستخدمين الخارجيين استعراض الدليل ولا يمكنهم البحث عن مجموعات أو تطبيقات. لمزيد من المعلومات، راجع ما هي أذونات المستخدم الافتراضية في معرف Microsoft Entra؟.

إذا احتاج مستخدم خارجي إلى امتيازات إضافية في الدليل، يمكنك تعيين دور Microsoft Entra للمستخدم الخارجي. إذا كنت تريد حقا أن يكون لدى مستخدم خارجي حق الوصول للقراءة الكاملة إلى دليلك، يمكنك إضافة المستخدم الخارجي إلى دور Directory Readers في Microsoft Entra ID. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Entra B2B في مدخل Microsoft Azure.

لا يمكن للمستخدم الخارجي استعراض المستخدمين أو المجموعات أو أساسيات الخدمة لتعيين الأدوار

المستخدمون الخارجيون لديهم أذونات دليل مقيدة. حتى إذا كان المستخدم الخارجي هو مالك في نطاق، إذا حاول تعيين دور لمنح شخص آخر حق الوصول، فلن يتمكن من استعراض قائمة المستخدمين أو المجموعات أو كيانات الخدمة.

إذا كان المستخدم الخارجي يعرف اسم تسجيل الدخول الدقيق لشخص ما في الدليل، فيمكنه منح حق الوصول. إذا كنت تريد حقا أن يكون لدى مستخدم خارجي حق الوصول للقراءة الكاملة إلى دليلك، يمكنك إضافة المستخدم الخارجي إلى دور Directory Readers في Microsoft Entra ID. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Entra B2B في مدخل Microsoft Azure.

لا يمكن للمستخدم الخارجي تسجيل التطبيقات أو إنشاء كيانات الخدمة

المستخدمون الخارجيون لديهم أذونات دليل مقيدة. إذا احتاج مستخدم خارجي إلى أن يكون قادرا على تسجيل التطبيقات أو إنشاء كيانات الخدمة، يمكنك إضافة المستخدم الخارجي إلى دور Application Developer في Microsoft Entra ID. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Entra B2B في مدخل Microsoft Azure.

لا يرى المستخدم الخارجي الدليل الجديد

إذا تم منح مستخدم خارجي حق الوصول إلى دليل، ولكنه لا يرى الدليل الجديد مدرجا في مدخل Microsoft Azure عندما يحاول التبديل في صفحة Directories، فتأكد من أن المستخدم الخارجي قد أكمل عملية الدعوة. لمزيد من المعلومات حول عملية الدعوة، راجع قبول دعوة تعاون Microsoft Entra B2B.

لا يرى المستخدم الخارجي الموارد

إذا تم منح مستخدم خارجي حق الوصول إلى دليل، ولكنه لا يرى الموارد التي تم منحه حق الوصول إليها في مدخل Microsoft Azure، فتأكد من تحديد المستخدم الخارجي للدليل الصحيح. قد يكون لدى المستخدم الخارجي حق الوصول إلى أدلة متعددة. لتبديل الدلائل، في أعلى اليسار، حدد الإعدادات>الدلائل، ثم حدد الدليل المناسب.

الخطوات التالية

• إضافة مستخدمي تعاون Microsoft Entra B2B في مدخل Microsoft Azure
• خصائص مستخدم تعاون Microsoft Entra B2B
• عناصر البريد الإلكتروني لدعوة تعاون B2B - معرف Microsoft Entra