تعرّف على المجموعات وحقوق الوصول في Microsoft Azure Active Directory

يوفر Microsoft Azure Active Directory (Azure AD) عدة طرق لإدارة الوصول إلى الموارد والتطبيقات والمهام. باستخدام مجموعات Microsoft Azure Active Directory، يمكنك منح حق الوصول والأذونات لمجموعة من المستخدمين بدلاً من منحهما لكل مستخدم على حدى. يعد تقييد الوصول إلى موارد Microsoft Azure Active Directory فقط للمستخدمين الذين يحتاجون إلى الوصول أحد مبادئ الأمان الأساسية لـ ثقة معدومة. توفر هذه المقالة نظرة عامة حول كيفية استخدام المجموعات وحقوق الوصول معاً لتسهيل إدارة مستخدمي Microsoft Azure Active Directory مع تطبيق أفضل ممارسات الأمان أيضاً.

يتيح لك Microsoft Azure Active Directory استخدام المجموعات لإدارة الوصول إلى التطبيقات والبيانات والموارد. قد تكون الموارد:

  • جزء من مؤسسة Microsoft Azure Active Directory، مثل أذونات إدارة العناصر من خلال الأدوار في Microsoft Azure Active Directory
  • خارج المؤسسة مثل تطبيقات خدمة تأجير البرامج (SaaS)
  • خدمات Azure
  • مواقع SharePoint
  • إلى الموارد المحلية

لا يمكن إدارة بعض المجموعات في مدخل Microsoft Azure Active Directory:

  • لا يمكن إدارة المجموعات التي تمت مزامنتها من AAD (دليل Azure النشط) المحلي إلا في AAD (دليل Azure النشط) المحلي.
  • لا تُدار قوائم التوزيع ومجموعات الأمان الممكّنة بواسطة البريد إلا في مركز إدارة Exchange أو مركز إدارة Microsoft 365. يجب عليك تسجيل الدخول إلى مركز إدارة Exchange أو مركز إدارة Microsoft 365 لإدارة هذه المجموعات.

ما يجب معرفته قبل إنشاء مجموعة

هناك نوعان من المجموعات وثلاثة أنواع من عضوية المجموعة. راجع الخيارات للعثور على التركيبة المناسبة لحالتك.

أنواع المجموعات:

الأمان: تُستخدم لإدارة وصول الأعضاء والكمبيوتر إلى الموارد المشتركة.

على سبيل المثال، يمكنك إنشاء مجموعة أمان بحيث يكون لدى جميع أعضاء المجموعة نفس مجموعة أذونات الأمان. يمكن أن يتضمن أعضاء مجموعة الأمان المستخدمين والأجهزة والمجموعات الأخرى وكيانات الخدمة، والتي تحدد نهج الوصول والأذونات. يمكن لمالكي مجموعة الأمان تضمين المستخدمين وكيانات الخدمة.

Microsoft 365: توفر فرصاً للتعاون من خلال منح أعضاء المجموعة حق الوصول إلى علبة بريد مشتركة وتقويم وملفات وموقع SharePoint وغيرهم.

يتيح لك هذا الخيار أيضًا منح الأشخاص خارج مؤسستك حق الوصول إلى المجموعة. يمكن لأعضاء مجموعة Microsoft 365 تضمين المستخدمين فقط. يمكن لمالكي Microsoft 365 تضمين المستخدمين وكيانات الخدمة. لمزيد من المعلومات حول مجموعات Microsoft 365، راجع التعرف على مجموعات Microsoft 365.

نوع العضوية:

  • معيّن: يتيح لك إضافة مستخدمين محددين كأعضاء للمجموعة والحصول على أذونات فريدة.

  • مستخدم ديناميكي: يتيح لك استخدام قواعد العضوية الديناميكية لإضافة الأعضاء وإزالتهم تلقائياً. إذا تغيرت سمات عضو ما، فإن النظام يبحث في قواعد المجموعة الديناميكية للدليل لمعرفة ما إذا كان العضو يستوفي متطلبات القاعدة (يُضاف العضو) أو لم يعد يفي بمتطلبات القواعد (يُزال العضو).

  • جهاز ديناميكي: يتيح لك استخدام قواعد المجموعة الديناميكية لإضافة الأجهزة وإزالتها تلقائياً. إذا تغيرت سمات جهاز ما، فإن النظام يبحث في قواعد المجموعة الديناميكية للدليل لمعرفة ما إذا كان الجهاز يستوفي متطلبات القاعدة (يُضاف العضو) أو لم يعد يفي بمتطلبات القواعد (يُزال العضو).

    هام

    يمكنك إنشاء مجموعة ديناميكية للأجهزة أو للمستخدمين، ولكن ليس لكليهما. لا يمكنك إنشاء مجموعة أجهزة استنادًا إلى سمات مالكي الأجهزة. يمكن لقواعد عضوية الجهاز الرجوع إلى سمات الجهاز فقط. لمزيد من المعلومات حول إنشاء مجموعة ديناميكية للمستخدمين والأجهزة، راجع إنشاء مجموعة ديناميكية والتحقق من الحالة

ما يجب معرفته قبل إضافة حقوق الوصول إلى مجموعة

بعد إنشاء مجموعة Microsoft Azure Active Directory، تحتاج إلى منحها حق الوصول المناسب. يجب إدارة كل تطبيق ومورد وخدمة تتطلب أذونات الوصول بشكل منفصل لأن الأذونات قد تختلف. امنح حق الوصول باستخدام مبدأ الامتياز الأقل للمساعدة في تقليل مخاطر الهجوم أو خرق الأمان.

كيفية عمل إدارة الوصول في AAD (دليل Azure النشط)

يساعدك Azure AD على منح حق الوصول إلى موارد مؤسستك من خلال توفير حقوق الوصول لمستخدم واحد أو لمجموعة Azure AD بأكملها. يتيح استخدام المجموعات لمالك المورد أو مالك دليل Microsoft Azure Active Directory تعيين مجموعة من أذونات الوصول إلى كافة أعضاء المجموعة. يمكن أيضاً لمالك المورد أو الدليل منح حقوق الإدارة ة لشخص ما مثل مدير القسم أو مسؤول مكتب المساعدة، والسماح لهذا الشخص بإضافة أعضاء وإزالتهم. لمزيد من المعلومات حول كيفية إدارة مالكي المجموعة، راجع مقالة إدارة المجموعة.

مخطط إدارة Microsoft Azure Active Directory.

طرق تعيين حقوق الوصول

تحتاج بعد إنشاء مجموعة إلى تحديد كيفية تعيين حقوق الوصول. استكشف طرق تعيين حقوق الوصول لتحديد أفضل عملية لحالتك.

  • تعيين مباشر. يعين مالك المورد المستخدم مباشرة إلى المورد.

  • تعيين المجموعة. يعيّن مالك المورد مجموعة AAD (دليل Azure النشط) للمورد، مما يمنح جميع أعضاء المجموعة حق الوصول إلى المورد تلقائياً. يدير مالك المجموعة ومالك المورد إدارة عضوية المجموعة، مما يسمح للمالك بإضافة أعضاء من المجموعة أو إزالتهم. لمزيد من المعلومات حول إدارة عضوية المجموعة، راجع مقالة إدارة المجموعات.

  • التعيين المستند إلى القاعدة. ينشئ مالك المورد مجموعة ويستخدم قاعدة لتحديد المستخدمين الذين تم تعيينهم لمورد معين. تستند القاعدة إلى السمات التي تم تعيينها للمستخدمين الفرديين. يدير مالك المورد القاعدة، ويحدد السمات والقيم المطلوبة للسماح بالوصول إلى المورد. للحصول على مزيد من المعلومات، انظرإنشاء مجموعة ديناميكية والتحقق من الحالة.

  • تعيين سلطة خارجية. يأتي الوصول من مصدر خارجي، مثل دليل محلي أو تطبيق SaaS. في هذه الحالة، يعين مالك المورد مجموعة لتوفير الوصول إلى المورد ومن ثم يقوم المصدر الخارجي بإدارة أعضاء المجموعة.

    مخطط نظرة عامة على إدارة الوصول.

هل يمكن للمستخدمين الانضمام إلى المجموعات دون تعيينهم؟

يسمح مالك المجموعة للمستخدمين بالعثور على مجموعاتهم الخاصة للانضمام إليها، بدلا من تعيينهم. يمكن للمالك أيضاً إعداد المجموعة بحيث تقبل تلقائياً جميع المستخدمين الذين ينضمون أو يطلبون الموافقة.

بعد أن يطلب المستخدم الانضمام إلى مجموعة، يتم إعادة توجيه الطلب إلى مالك المجموعة. إذا لزم الأمر، يمكن للمالك الموافقة على الطلب ويُخطر المستخدم بعضوية المجموعة. إذا كان لديك عِدة مالكين ورفض أحدهم، فسيُخطر المستخدم بذلك ولكن لا يُضاف إلى المجموعة. لمزيد من المعلومات والإرشادات حول كيفية السماح للمستخدمين بطلب الانضمام إلى المجموعات، راجع إعداد Microsoft Azure Active Directory بحيث يمكن للمستخدمين طلب الانضمام إلى المجموعات.

الخطوات التالية