ما الفرق بين مجموعات Access المميزة والمجموعات القابلة لتعيين الأدوار؟

إدارة الهويات المتميزة (PIM) تدعم القدرة على تمكين الوصول المميز إلى المجموعات القابلة لتعيين الأدوار. ولكن نظراً لاعتبار مجموعة تعيين الأدوار المتاحة شرطاً أساسياً لإنشاء مجموعة وصول مميزة، ستشرح هذه المقالة الاختلافات وكيفية الاستفادة منها.

ما هي مجموعات Azure AD القابلة لتعيين الأدوار؟

يتيح لك Azure Active Directory (Azure AD)، الذي يعد جزءًا من Microsoft Entra، تعيين مجموعة أمان Microsoft Azure Active Directory على السحابة لدور Microsoft Azure Active Directory. يجب على المسؤول العام أو مسؤول الدور المتميز إنشاء مجموعة أمان جديدة وجعل دور المجموعة قابلاً للتخصيص في وقت الإنشاء. يمكن فقط للمسؤول العام أو مسؤول الدور المميز أو تعيينات دور مالك المجموعة تغيير عضوية المجموعة. أيضا، لا يمكن للمستخدمين الآخرين إعادة تعيين كلمة مرور المستخدمين الأعضاء في المجموعة. تساعد هذه الميزة في منع المسؤول من الترقية إلى دور ذي امتيازات أعلى دون المرور بإجراء طلب وموافقة.

ما هي مجموعات الوصول المتميز؟

تمكن مجموعات Access المميزة المستخدمين من الارتقاء إلى دور المالك أو دور عضو لدى مجموعة أمان Azure AD. تتيح لك هذه الميزة إعداد مهام سير العمل في الوقت المناسب ليس فقط لأدوار Azure AD وAzure على دفعات، وإنما تتيح أيضاً سيناريوهات في نفس الوقت لحالات الاستخدام الأخرى مثل Azure SQL أو Azure Key Vault أو Intune أو أي أدوار تطبيق آخر. لمزيد من المعلومات، انظر قدرات الإدارة لمجموعات Access المميزة.

ملاحظة

بالنسبة لمجموعات الوصول المميزة المستخدمة للترقية إلى أدوار Azure AD، توصي Microsoft بأن تطلب عملية موافقة لتعيينات الأعضاء المؤهلة. يمكن أن تجعلك التعيينات التي يمكن تنشيطها بدون موافقة عرضة لمخاطر الأمان من قبل المسؤولين الأقل امتيازاً. على سبيل المثال، لدى مسؤول مكتب المساعدة الإذن لإعادة تعيين كلمات مرور لمستخدم مؤهل.

متى يجب استخدام مجموعة يمكن تعيين الدور فيها

يمكنك إعداد الوصول في الوقت المناسب إلى الأذونات والأدوار خارج Azure AD وAzure Resource. إذا كان لديك موارد أخرى يمكن ربط التخويل الخاص بها بمجموعة أمان Azure AD (لـ Azure Key Vault أو Intune أو Azure SQL أو تطبيقات وخدمات أخرى)، فيجب تمكين الوصول المميز إلى المجموعة وتعيين المستخدمين كمؤهلين للعضوية في المجموعة.

إذا كنت تريد تعيين مجموعة إلى Microsoft Azure Active Directory أو دور مورد Azure وتتطلب رفعاً من خلال عملية PIM، فهناك طريقة واحدة فقط للقيام بذلك:

  • تعيين المجموعة باستمرار إلى دور. بعد ذلك، في PIM، يمكنك منح تعيينات الأدوار المؤهلة للمستخدمين للمجموعة. يجب على كل مستخدم مؤهل تنشيط تعيين الدور الخاص به ليصبح أعضاء في المجموعة، ويخضع التنشيط لنُهج الموافقة. يتطلب هذا المسار تمكين مجموعة قابلة لتعيين الأدوار في PIM كمجموعة وصول مميزة لدور Azure AD.

يسمح هذا الأسلوب بأقصى قدر من الدقة لأذونات الوصول. استخدم هذا الأسلوب من أجل:

  • قم بتعيين مجموعة إلى عدة أدوار في Azure AD أو Azure واطلب من المستخدمين التنشيط مرة واحدة للوصول إلى أدوار متعددة.
  • احتفظ بنُهج التنشيط المختلفة لمجموعات مختلفة من المستخدمين للوصول إلى دور مورد Azure AD أو Azure. على سبيل المثال، إذا كنت تريد أن تتم الموافقة على بعض المستخدمين قبل أن يصبحوا مسؤولين عموميين مع السماح للمستخدمين الآخرين بالموافقة التلقائية، يمكنك إعداد مجموعتي وصول ذي امتياز، وتعيين كل منهما باستمرار (مهمة "دائمة" في إدارة الهوية المميزة) لدور المسؤول العام ثم استخدم نهج تنشيط مختلفة لدور العضو لكل مجموعة.

الخطوات التالية