مشاركة عبر

تنظيم الاشتراكات في مجموعات الإدارة وتعيين الأدوار للمستخدمين

  • مقالة

إدارة وضع الأمان لمؤسستك على نطاق واسع من خلال تطبيق نهج الأمان على جميع اشتراكات Azure المرتبطة بمستأجر Microsoft Entra.

للرؤية في وضع الأمان لجميع الاشتراكات المرتبطة بمستأجر Microsoft Entra، ستحتاج إلى دور Azure مع أذونات قراءة كافية تم تعيينها في مجموعة إدارة الجذر.

تنظيم اشتراكاتك في مجموعات الإدارة

نظرة عامة على مجموعات الإدارة

استخدم مجموعات الإدارة لإدارة الوصول والنهج وإعداد التقارير عن مجموعات الاشتراكات بكفاءة، وإدارة ملكية Azure بأكملها بفعالية من خلال تنفيذ إجراءات على مجموعة إدارة الجذر. يمكنك تنظيم الاشتراكات في مجموعات الإدارة وتطبيق نهج الإدارة على مجموعات الإدارة. تسترد جميع الاشتراكات داخل مجموعة الإدارة النهج المطبقة على مجموعة الإدارة تلقائياً.

يتم إعطاء كل مستأجر Microsoft Entra مجموعة إدارة واحدة من المستوى الأعلى تسمى مجموعة إدارة الجذر. تُدرج مجموعة إدارة الجذر هذه في التسلسل الهرمي لاستيعاب كافة مجموعات الإدارة والاشتراكات تسمح هذه المجموعة بتطبيق النهج العمومية وتعيينات دور Azure على مستوى الدليل.

تُنشأ مجموعة إدارة الجذر تلقائياً عند القيام بأي إجراء من الإجراءات الآتية:

لا تُطلب مجموعات الإدارة لإلحاق Defender for Cloud، ولكن نوصي بإنشاء مجموعة على الأقل من أجل إنشاء مجموعة إدارة الجذر. بعد إنشاء المجموعة، سيتم ربط جميع الاشتراكات ضمن مستأجر Microsoft Entra بها.

للاطلاع على نظرة عامة تفصيلية على مجموعات الإدارة، راجع مقالة تنظيم الموارد باستخدام مجموعات إدارة Azure.

عرض مجموعات الإدارة وإنشاؤها في مدخل Microsoft Azure

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. ابحث عن مجموعات الإدارة وحددها.

  3. لإنشاء مجموعة إدارة، حدد إنشاء، وأدخل التفاصيل ذات الصلة، وحدد إرسال.

    Adding a management group to Azure.

    • Management Group ID هوالمعرف الفريد الذي يستخدم لإرسال الأوامر على مجموعة الإدارة هذه. لا يمكن تحرير هذا المعرف بعد الإنشاء نظراً إلى استخدامه في نظام Azure لتعريف هذه المجموعة.

    • حقل اسم العرض هو الاسم الذي يتم عرضه داخل مدخل Microsoft Azure. حقل الاسم المعروض المنفصل هو حقل اختياري عند إنشاء مجموعة الإدارة ويمكن تغييره في أي وقت.

إضافة الاشتراكات إلى مجموعة إدارة

يمكنك إضافة الاشتراكات إلى مجموعة الإدارة التي أنشأتها.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. ابحث عن مجموعات الإدارة وحددها.

  3. حدد مجموعة الإدارة لاشتراكك.

  4. عند فتح صفحة المجموعة، حدد Subscriptions.

  5. من صفحة Subscriptions حدد Add، ثم حدد subscriptions وحدد Save. كرر ذلك إلى أن تضيف جميع الاشتراكات في النطاق.

    Adding a subscription to a management group.

    هام

    يمكن أن تحتوي مجموعات الإدارة على كل من الاشتراكات ومجموعات الإدارة التابعة. عند تعيين دور Azure لمستخدم إلى مجموعة الإدارة الأصلية، تسترد اشتراكات مجموعة الإدارة التابعة الوصول. كما تسترد التوابع النُهج المعينة في مجموعة الإدارة الأصلية.

تعيين أدوار Azure إلى مستخدمين آخرين

تعيين أدوار Azure للمستخدمين من خلال مدخل Microsoft Azure

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. ابحث عن مجموعات الإدارة وحددها.

  3. حدد relevant management group.

  4. قم بتحديدAccess control (IAM)، وافتح علامة التبويب Role assignments وحدد Add>Add role assignment.

    Adding a user to a management group.

  5. من صفحة Add role assignment، حدد الدور ذا الصلة.

    Add role assignment page.

  6. من علامة التبويب Members، حدد + Select members وعين الدور للأعضاء المعنيين.

  7. في علامة التبويب Review + assign ، حدد Review + assign لتعيين الدور.

تعيين أدوار Azure للمستخدمين باستخدام PowerShell

  1. تثبيت Azure PowerShell.

  2. شغّل الأوامر التالية:

    # Login to Azure as a Global Administrator user
Connect-AzAccount

  3. عند المطالبة، سجل الدخول باستخدام معلومات تسجيل دخول المسؤول العام.

    Sign in prompt screenshot.

  4. منح أذونات دور القارئ بتشغيل الأمر الآتي:

    # Add Reader role to the required user on the Root Management Group
# Replace "user@domian.com” with the user to grant access to
New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"

  5. لإزالة الدور، استخدم الأمر الآتي:

    Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"

إزالة الوصول المرتفع

بمجرد تعيين أدوار Azure للمستخدمين، يجب على مسؤول المستأجر إزالة نفسه من دور مسؤول وصول المستخدم.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في قائمة التنقل، حدد Microsoft Entra ID ثم حدد Properties.

  3. أسفل Access management for Azure resources، عين زر التبديل إلى No.

  4. لحفظ الإعداد، حدد Save.

الخطوات التالية

في هذه الصفحة، تعلمت كيفية تنظيم الاشتراكات في مجموعات الإدارة وتعيين أدوار للمستخدمين. للاطلاع على معلومات ذات صلة، انظر: