أنشئ مراجعة صلاحية الوصول لمورد Microsoft Azure وأدوار Microsoft Azure Active Directory في إدارة الهويات المتميزة

تتغير الحاجة إلى الوصول إلى مورد Microsoft Azure المتميز وأدوار Microsoft Azure Active Directory من جانب الموظفين بمرور الوقت. لتقليل المخاطر المرتبطة بتعيينات الدور التي لا معنى لها، يجب عليك مراجعة صلاحية الوصول بانتظام. يمكنك استخدام إدارة الهويات المتميزة (PIM) في Microsoft Azure Active Directory (Azure AD) لإنشاء مراجعة صلاحية الوصول المتميز إلى مورد Microsoft Azure وأدوار Microsoft Azure Active Directory. كما يمكنك تكوين مراجعات صلاحية الوصول المتكررة التي تحدث تلقائيًّا. توضح هذه المقالة كيفية إنشاء مراجعة صلاحية الوصول واحدة أو أكثر.

المتطلبات الأساسية

يتطلب استخدام هذه الميزة تراخيص Azure AD Premium P2. للعثور على الترخيص المناسب لمتطلباتك، راجع مقارنة الميزات المتوفرة بشكل عام في Microsoft Azure Active Directory. لمزيد من المعلومات حول تراخيص إدارة الهويات المتميزة، راجع «متطلبات الترخيص لاستخدام إدارة الهويات المتميزة».

لإنشاء مراجعات صلاحية الوصول لموارد Microsoft Azure، يجب تعيينك إلى المالك أو دور مسؤول الوصول للمستخدملموارد Microsoft Azure. لإنشاء مراجعات صلاحية الوصول لأدوار Microsoft Azure Active Directory، يجب تعيينك إلى المسؤول العام أو دورمسؤول الدور المميز.

تتطلب مراجعات صلاحية الوصول لكيانات الخدمة خطة Premium لهويات حمل عمل Entra.

  • ترخيص Premium لهويات حمل العمل: يمكنك عرض التراخيص والحصول عليها على جزء هويات حمل العمل في مدخل Microsoft Azure.

أنشئ مراجعات صلاحية الوصول

  1. سجّل الدخول إلى مدخل Microsoft Azure كمستخدم تم تعيينه إلى أحد الأدوار المطلوبة مسبقًا.

  2. حدد «إدارة الهوية» .

  3. بالنسبة لأدوار Microsoft Azure Active Directory، حدد »أدوار Microsoft Azure Active Directory» ضمن إدارة الهويات المتميزة. بالنسبة لأدوار Microsoft Azure، حدد »أدوار Microsoft Azure Active Directory» ضمن إدارة الهويات المتميزة.

    حدد Identity Governance في لقطة شاشة مدخل Microsoft Azure.

  4. بالنسبة لأدوار Microsoft Azure Active Directory، حدد «أدوار Microsoft Azure Active Directory» مرة أخرى ضمن الخيار إدارة. في موارد Azure، حدد الاشتراك الذي تريد إدارته.

  5. من الخيار «إدارة»، حدد «مراجعات صلاحية الوصول» ، ثم حدد «جديد» لإنشاء مراجعة جديدة لصلاحية الوصول.

    أدوار Microsoft Azure Active Directory- قائمة مراجعات صلاحية الوصول التي تظهر حالة لقطة شاشة جميع المراجعات.

  6. عيّن اسمًا لمراجعة صلاحية الوصول. اختياريًا، امنح المراجعة وصفًا. يتم عرض الاسم والوصف للمراجعين.

    أنشئ مراجعة صلاحية الوصول- مراجعة الاسم ولقطة شاشة الوصف.

  7. عيّن «تاريخ البدء» . بشكل افتراضي، تحدث مراجعة صلاحية الوصول مرة واحدة، وتبدأ في نفس الوقت الذي يتم إنشاؤه، وتنتهي في شهر واحد. يمكنك تغيير تاريخ البدء وتاريخ الانتهاء لبدء مراجعة صلاحية الوصول في المستقبل وتستمر في العديد من الأيام حسب رغبتك.

    لقطة شاشة تاريخ البدء والتردد والمدة والنهاية وعدد المرات وتاريخ الانتهاء.

  8. لجعل مراجعة صلاحية الوصول متكررة، غيّر إعداد التردد من مرة واحدة إلى أسبوعيةأو شهريةأو ربع سنويةأو سنويةأو نصف سنوية. استخدم شريط تمرير أو مربع نص «المدة» لتحديد عدد الأيام التي سيتم فيها فتح كل مراجعة للسلسلة المتكررة للإدخال من المراجعين. على سبيل المثال، الحد الأقصى للمدة التي يمكنك تعيينها للمراجعة الشهرية هو 27 يومًا، وذلك لتجنب تداخل المراجعات.

  9. استخدم إعداد «إنهاء» لتحديد كيفية إنهاء سلسلة مراجعة صلاحية الوصول المتكررة. يمكن أن تنتهي السلسلة بثلاث طرق: يتم تشغيلها باستمرار لبدء المراجعات إلى أجل غير مسمى أو حتى تاريخ محدد أو بعد الانتهاء من عدد محدد من الأحداث. يمكنك أنت أو مسؤول آخر يمكنه إدارة المراجعات إيقاف السلسلة بعد الإنشاء عن طريق تغيير التاريخ من القائمة «الإعدادات» ، حتى تنتهي في ذلك الوقت.

  10. في القسم «نطاق المستخدمين» ، حدد نطاق المراجعة. بالنسبة لأدوار Microsoft Azure Active Directory، يكون خيار النطاق الأول هو المستخدمون والمجموعات. سيتم تضمين المستخدمين المعيّنين مباشرة والمجموعات التي يمكن تعيين الأدوار لها في هذا التحديد. بالنسبة لأدوار مورد Microsoft Azure، سيكون النطاق الأول للمستخدمين. يتم توسيع المجموعات المعيّنة لأدوار مورد Microsoft Azure لعرض تعيينات المستخدمين المتعدية في المراجعة باستخدام هذا التحديد. يمكنك أيضا تحديد «كيانات الخدمة» لمراجعة حسابات الجهاز مع الوصول المباشر إلى مورد Microsoft Azure أو دور Microsoft Azure Active Directory.

    نطاق المستخدمين لمراجعة عضوية دور لقطة الشاشة.

  11. أو يمكنك إنشاء مراجعات الوصول للمستخدمين غير النشطين فقط (إصدار أولي). في القسم نطاق المستخدمين، قم بتعيين المستخدمين غير النشطين (على مستوى المستأجر) فقط إلى true. إذا تم تعيين مفتاح التبديل إلى true، فسيركز نطاق المراجعة على المستخدمين غير النشطين فقط. بعد ذلك، حدد الأيام غير النشطة بعدد قد يصل إلى 730 يوم (سنتان). لن يكون هناك مستخدمين غير نشطين في المراجعة سوى المستخدمين المخصص لهم هذه الأيام.

  12. من القائمة «مراجعة عضوية الدور» ، حدد مورد Microsoft Azure المميز أو أدوار Microsoft Azure Active Directory للمراجعة.

    ملاحظة

    سيؤدي تحديد أكثر من دور إلى إنشاء مراجعات صلاحية وصول متعددة. على سبيل المثال، سيؤدي اختيار خمسة أدوار إلى إنشاء خمسة مراجعات صلاحية وصول منفصلة.

    مراجعة لقطة شاشة عضويات الدور.

  13. في الخيار «نوع التعيين» ، نطاق المراجعة حسب كيفية تعيين الأساسي للدور. اختر «التعيينات المؤهلة فقط» لمراجعة التعيينات المؤهلة (بغض النظر عن حالة التنشيط عند إنشاء المراجعة) أو «التعيينات النشطة فقط» لمراجعة التعيينات النشطة. اختر «جميع التعيينات النشطة والمؤهلة» لمراجعة جميع التعيينات بغض النظر عن نوعها.

    لقطة شاشة قائمة المراجعين لأنواع التعيينات.

  14. من القسم «المراجعين» ، حدد شخصًا واحدًا أو أكثر لمراجعة جميع المستخدمين. أو يمكنك تحديد إجراء المراجعة من الأعضاء لصلاحية الوصول الخاصة بهم.

    قائمة مراجعي المستخدمين أو الأعضاء المحددين (ذاتي)

    • المستخدمون المحددون - استخدم هذا الخيار لتعيين مستخدم محدد لإكمال المراجعة. يتوفر هذا الخيار بغض النظر عن نطاق المراجعة، ويمكن للمراجعين المحددين مراجعة المستخدمين والمجموعات وكيانات الخدمة.
    • الأعضاء (ذاتي) - استخدم هذا الخيار لجعل المستخدمين يراجعون تعيينات الدور الخاصة بهم. يتوفر هذا الخيار فقط إذا كان نطاق المراجعة محددًا للمستخدمين والمجموعات أو المستخدمين. بالنسبة لأدوار Microsoft Azure Active Directory، لن تكون المجموعات القابلة لتعيين الأدوار جزءًا من المراجعة عند تحديد هذا الخيار.
    • المدير – استخدم هذا الخيار لجعل مدير المستخدم يراجع تعيين الدور الخاص به. يتوفر هذا الخيار فقط إذا كان نطاق المراجعة محددًا للمستخدمين والمجموعات أو المستخدمين. عند تحديد «المدير»، سيكون لديك أيضًا خيار تحديد مراجع احتياطي. يُطلب من المراجعين الاحتياطيين مراجعة مستخدم عندما لا يكون لدى المستخدم مدير محدد في الدليل. بالنسبة لأدوار Microsoft Azure Active Directory، ستتم مراجعة المجموعات القابلة لتعيين الأدوار من جانب المراجع الاحتياطي إذا تم تحديد أحدها.

إعدادات الاكتمال

  1. يمكنك تحديد ما يحدث بعد اكتمال المراجعة، أجرِ توسيعًا للقسم «إعدادات الاكتمال» .

    إعدادات الاكتمال للتطبيق التلقائي ويجب مراجعة عدم الاستجابة للقطة الشاشة.

  2. إذا كنت تريد إزالة حق الوصول للمستخدمين الذين تم رفضهم تلقائيًّا، عيّن «تطبيق تلقائي للنتائج على المورد» إلى «تمكين» . إذا كنت تريد تطبيق النتائج يدويًا عند اكتمال المراجعة، فعيِّن زر التبديل إلى ⁧⁩Disable⁧⁩.

  3. استخدم إذا لم يردّ المراجعون لتحديد ما يحدث للمستخدمين الذين لم تُجرَ لهم مراجعة من أي مراجع خلال فترة المراجعة. لا يؤثر هذا الإعداد على المستخدمين الذين تمت مراجعتهم من المراجعين.

    • ⁩No change⁧⁩ - اترك وصول المستخدم دون تغيير
    • ⁩Remove access⁧⁩ - إزالة صلاحية وصول المستخدم
    • ⁩Approve access⁧⁩ - الموافقة على وصول المستخدم
    • ⁩Take recommendations⁧⁩ - خذ توصية النظام بشأن رفض صلاحية وصول المستخدم المستمر أو الموافقة عليها
  4. استخدم إجراء التطبيق على قائمة المستخدمين الضيوف المرفوضة لتحديد ما يحدث للمستخدمين الضيوف الذين تم رفضهم. هذا الإعداد غير قابل للتحرير لمراجعات دور مورد Microsoft Azure Active Directory و Microsoft Azure في الوقت الحالي؛ لمستخدمين الضيوف، مثل كافة المستخدمين، سيفقدون دائمًا صلاحية الوصول إلى المورد إذا رفض.

    إعدادات الاكتمال - ينطبق الإجراء على لقطة شاشة المستخدمين الضيوف المرفوضين.

  5. يمكنك إرسال إعلامات إلى مستخدمين أو مجموعات إضافية لتلقي تحديثات استكمال المراجعة. تتيح هذه الميزة للمساهمين غير مُنشئ المراجعة بأن يتم إخطارهم بشأن تقدم المراجعة. لاستخدام هذه الميزة، حدد «تحديد مستخدم (مستخدمين) أو مجموعة (مجموعات)» وأضف مستخدمًا إضافيًّا أو مجموعة إضافية تريدها أن تتلقى حالة الاستكمال.

    إعدادات الاكتمال - أضف مستخدمين إضافيين لتلقي لقطة شاشة الإخطارات.

إعدادات متقدمة

  1. لتحديد إعدادات إضافية، قم بتوسيع القسم «إعدادات متقدمة».

    إعدادات متقدمة لعرض لقطة شاشة التوصيات وطلب سبب للموافقة وإخطارات البريد والتذكيرات.

  2. عيّن «إظهار التوصيات» إلى «تمكين» لتمكين المراجعين من إظهار توصيات النظام استنادًا إلى معلومات صلاحية وصول المستخدم. تستند التوصيات إلى فترة فاصلة مدتها 30 يوماً حيث يوصى للمستخدمين الذين سجلوا الدخول في الأيام الثلاثين الماضية بالوصول، بينما يوصى بالمستخدمين الذين لم يفعلوا ذلك برفض الوصول. هذه التسجيلات بغض النظر عما إذا كانت تفاعلية. يتم عرض تسجيل الدخول الأخير للمستخدم أيضاً مع التوصية.

  3. عيّن «طلب سبب للموافقة» إلى «تمكين» لمطالبة المراجع بتوفير سبب للموافقة أو الرفض.

  4. عيّن «إخطارات البريد» إلى «تمكين» ليرسل Microsoft Azure Active Directory إخطارات البريد الإلكتروني إلى المراجعين عند بدء مراجعة الوصول وإلى المسؤولين عند اكتمال المراجعة.

  5. تعيين ⁧⁩Reminders⁧⁩ إلى ⁧⁩Enable⁧⁩ لتطلب من Azure AD إرسال تذكيرات بمراجعات صلاحية الوصول قيد التقدم إلى المراجعين الذين لم يكملوا مراجعتهم.

  6. يُجدد محتوى البريد الإلكتروني المُرسل إلى المراجعين تلقائيًّا استنادًا إلى تفاصيل المراجعة، مثل اسم المراجعة واسم المورد وتاريخ الاستحقاق وما إلى ذلك. إذا كنت بحاجة إلى طريقة لتوصيل معلومات إضافية مثل إرشادات إضافية أو معلومات الاتصال، يمكنك تحديد هذه التفاصيل في القسم محتوى إضافي لمراجعة البريد الإلكترونيوالذي سيتم تضمينه في رسائل البريد الإلكتروني الخاصة بالدعوة ورسالة التذكير المرسلة إلى المراجعين المُعيّنين. يعتبر القسم المظلل أدناه هو المكان الذي سيتم عرض هذه المعلومات فيه.

    محتوى البريد الإلكتروني المرسل إلى المراجعين مع تظليلات

أدر مراجعة صلاحية الوصول

يمكنك تتبع التقدم أثناء استكمال المراجعين لمراجعاتهم في الصفحة «نظرة عامة» على مراجعة صلاحية الوصول. لا تتغير حقوق الوصول في الدليل حتى يتم إكمال المراجعة. وفيما يلي لقطة شاشة تظهر صفحة نظرة عامة لموارد Microsoft Azureوأدوار Microsoft Azure Active Directory الوصول إلى المراجعات.

صفحة نظرة عامة على مراجعات صلاحية الوصول توضّح تفاصيل مراجعة صلاحية الوصول للقطة شاشة أدوار Microsoft Azure Active Directory.

إذا كانت هذه مراجعة لمرة واحدة، ثم بعد انتهاء فترة مراجعة صلاحية الوصول أو توقف المسؤول عن مراجعة الوصول، اتبع الخطوات في استكمال مراجعة صلاحية الوصول لمورد وأدوار Microsoft Azure Active Directory لرؤية النتائج وتطبيقها.

لإدارة سلسلة من مراجعات صلاحية الوصول، انتقل إلى مراجعة صلاحية الوصول، وستجد الأحداث القادمة في المراجعات المجدولة وحرر تاريخ الانتهاء أو أضف/أزل المراجعين وفقًا لذلك.

بناءً على التحديدات الخاصة بك في إعدادات الاكتمال سيتم تنفيذ التطبيق التلقائي بعد تاريخ انتهاء المراجعة أو عند إيقاف المراجعة يدويًّا. ستتغير حالة المراجعة من "مكتملة" خلال الحالات المتوسطة مثل "تطبيق" وأخيرًا إلى الحالة "تم تطبيق النتيجة" . يجب أن تتوقع رؤية المستخدمين المرفوضين، إن وجد، ثم يتم إزالتهم من الأدوار في بضع دقائق.

تأثير المجموعات المعينة لأدوار Microsoft Azure Active Directory وأدوار موارد Azure في مراجعات صلاحية الوصول

• بالنسبة لأدوار Microsoft Azure Active Directory، يمكن تعيين المجموعات القابلة لتعيين الأدوار إلى الدور باستخدام المجموعات القابلة لتعيين الأدوار. عند إنشاء مراجعة على دور Microsoft Azure Active Directory مع تعيين مجموعات قابلة لتعيين الأدوار، يظهر اسم المجموعة في المراجعة دون توسيع عضوية المجموعة. يمكن للمراجع الموافقة على وصول المجموعة بأكملها إلى الدور أو رفضه. ستفقد المجموعات المرفوضة تعيينها للدور عند تطبيق نتائج المراجعة.

• بالنسبة لأدوار موارد Azure، يمكن تعيين أي مجموعة أمان إلى الدور. عند إنشاء مراجعة على دور مورد Azure مع تعيين مجموعة أمان، سيتم توسيع المستخدمين المُعينين لمجموعة الأمان هذه بالكامل وعرضهم على مراجع الدور. عندما يرفض مراجع مستخدمًا عُيّن للدور عبر مجموعة الأمان، لن يُزال المستخدم من المجموعة، وبالتالي لن ينجح تطبيق نتيجة الرفض.

ملاحظة

من الممكن لمجموعة الأمان تعيين مجموعات أخرى لها. في هذه الحالة، لن يظهر في مراجعة الدور سوى المستخدمين المُعينين مباشرة إلى مجموعة الأمان المعينة للدور.

حدّث مراجعة صلاحية الوصول

بعد بدء مراجعة صلاحية الوصول أو أكثر من مراجعة، قد ترغب في تعديل إعدادات مراجعات صلاحية الوصول الموجودة أو تحديثها. فيما يلي بعض السيناريوهات الشائعة التي قد تريد مراعاتها:

  • إضافة المراجعين وإزالتهم - عند تحديث مراجعات صلاحية الوصول، بإمكانك اختيار إضافة مراجع احتياطي بالإضافة إلى المراجع الأساسي. قد يُزال المراجعون الأساسيون عند عملية تحديث مراجعة صلاحية الوصول. ومع ذلك، لا يُمكن إزالة المُراجعين الاحتياطيين حسب التصميم.

    ملاحظة

    لا يمكن إضافة المراجعين الاحتياطيين إلا عندما يكون نوع المراجع مديرًا. يمكن إضافة المُراجعين الأساسيين عندما يكون نوع المراجع مستخدمًا محددًا.

  • تذكير المراجعين - عند تحديث مراجعات صلاحية الوصول، يمكنك اختيار تمكين خيار التذكير ضمن «Adanced Settings». بمجرد التمكين، سيتلقى المستخدمون إخطارًا عبر البريد الإلكتروني في منتصف فترة المراجعة، بغض النظر عما إذا كانوا قد أكملوا المراجعة أم لا.

    لقطة شاشة لخيار التذكير من الخيار «إعدادات مراجعات صلاحية الوصول».

  • تحديث الإعدادات - إذا تكررت مراجعة صلاحية الوصول، فهناك إعدادات منفصلة ضمن "Current" مقابل الموجودة ضمن "Series". تحديث الإعدادات أو المراجعين ضمن "Current" لن يُطبق إلا تغييرات على مراجعة صلاحية الوصول الحالية، بينما تحديث الإعدادات ضمن "Series" سيُحدث الإعداد لجميع التكرارات المستقبلية.

    لقطة شاشة لصفحة الإعدادات ضمن مراجعات صلاحية الوصول.

الخطوات التالية