تنظيم الاشتراكات في مجموعات الإدارة وتعيين الأدوار للمستخدمين
إدارة وضع الأمان لمؤسستك على نطاق واسع من خلال تطبيق نهج الأمان على جميع اشتراكات Azure المرتبطة بمستأجر Microsoft Entra.
للرؤية في وضع الأمان لجميع الاشتراكات المرتبطة بمستأجر Microsoft Entra، ستحتاج إلى دور Azure مع أذونات قراءة كافية تم تعيينها في مجموعة إدارة الجذر.
تنظيم اشتراكاتك في مجموعات الإدارة
نظرة عامة على مجموعات الإدارة
استخدم مجموعات الإدارة لإدارة الوصول والنهج وإعداد التقارير عن مجموعات الاشتراكات بكفاءة، وإدارة ملكية Azure بأكملها بفعالية من خلال تنفيذ إجراءات على مجموعة إدارة الجذر. يمكنك تنظيم الاشتراكات في مجموعات الإدارة وتطبيق نهج الإدارة على مجموعات الإدارة. تسترد جميع الاشتراكات داخل مجموعة الإدارة النهج المطبقة على مجموعة الإدارة تلقائياً.
يتم إعطاء كل مستأجر Microsoft Entra مجموعة إدارة واحدة من المستوى الأعلى تسمى مجموعة إدارة الجذر. تُدرج مجموعة إدارة الجذر هذه في التسلسل الهرمي لاستيعاب كافة مجموعات الإدارة والاشتراكات تسمح هذه المجموعة بتطبيق النهج العمومية وتعيينات دور Azure على مستوى الدليل.
تُنشأ مجموعة إدارة الجذر تلقائياً عند القيام بأي إجراء من الإجراءات الآتية:
- في مدخل Microsoft Azure، حدد مجموعات الإدارة.
- إنشاء مجموعة إدارة باستدعاء واجهة برمجة التطبيقات للنظام API.
- إنشاء مجموعة إدارة باستخدام PowerShell. للاطلاع على إرشادات PowerShell، راجع إنشاء مجموعات إدارة لإدارة الموارد والمؤسسات.
لا تُطلب مجموعات الإدارة لإلحاق Defender for Cloud، ولكن نوصي بإنشاء مجموعة على الأقل من أجل إنشاء مجموعة إدارة الجذر. بعد إنشاء المجموعة، سيتم ربط جميع الاشتراكات ضمن مستأجر Microsoft Entra بها.
للاطلاع على نظرة عامة تفصيلية على مجموعات الإدارة، راجع مقالة تنظيم الموارد باستخدام مجموعات إدارة Azure.
عرض مجموعات الإدارة وإنشاؤها في مدخل Microsoft Azure
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن مجموعات الإدارة وحددها.
لإنشاء مجموعة إدارة، حدد إنشاء، وأدخل التفاصيل ذات الصلة، وحدد إرسال.
Management Group ID هوالمعرف الفريد الذي يستخدم لإرسال الأوامر على مجموعة الإدارة هذه. لا يمكن تحرير هذا المعرف بعد الإنشاء نظراً إلى استخدامه في نظام Azure لتعريف هذه المجموعة.
حقل اسم العرض هو الاسم الذي يتم عرضه داخل مدخل Microsoft Azure. حقل الاسم المعروض المنفصل هو حقل اختياري عند إنشاء مجموعة الإدارة ويمكن تغييره في أي وقت.
إضافة الاشتراكات إلى مجموعة إدارة
يمكنك إضافة الاشتراكات إلى مجموعة الإدارة التي أنشأتها.
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن مجموعات الإدارة وحددها.
حدد مجموعة الإدارة لاشتراكك.
عند فتح صفحة المجموعة، حدد Subscriptions.
من صفحة Subscriptions حدد Add، ثم حدد subscriptions وحدد Save. كرر ذلك إلى أن تضيف جميع الاشتراكات في النطاق.
هام
يمكن أن تحتوي مجموعات الإدارة على كل من الاشتراكات ومجموعات الإدارة التابعة. عند تعيين دور Azure لمستخدم إلى مجموعة الإدارة الأصلية، تسترد اشتراكات مجموعة الإدارة التابعة الوصول. كما تسترد التوابع النُهج المعينة في مجموعة الإدارة الأصلية.
تعيين أدوار Azure إلى مستخدمين آخرين
تعيين أدوار Azure للمستخدمين من خلال مدخل Microsoft Azure
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن مجموعات الإدارة وحددها.
حدد relevant management group.
قم بتحديدAccess control (IAM)، وافتح علامة التبويب Role assignments وحدد Add>Add role assignment.
من صفحة Add role assignment، حدد الدور ذا الصلة.
من علامة التبويب Members، حدد + Select members وعين الدور للأعضاء المعنيين.
في علامة التبويب Review + assign ، حدد Review + assign لتعيين الدور.
تعيين أدوار Azure للمستخدمين باستخدام PowerShell
تثبيت Azure PowerShell.
شغّل الأوامر التالية:
# Login to Azure as a Global Administrator user Connect-AzAccount
عند المطالبة، سجل الدخول باستخدام معلومات تسجيل دخول المسؤول العام.
منح أذونات دور القارئ بتشغيل الأمر الآتي:
# Add Reader role to the required user on the Root Management Group # Replace "user@domian.com” with the user to grant access to New-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
لإزالة الدور، استخدم الأمر الآتي:
Remove-AzRoleAssignment -SignInName "user@domain.com" -RoleDefinitionName "Reader" -Scope "/"
إزالة الوصول المرتفع
بمجرد تعيين أدوار Azure للمستخدمين، يجب على مسؤول المستأجر إزالة نفسه من دور مسؤول وصول المستخدم.
قم بتسجيل الدخول إلى بوابة Azure.
في قائمة التنقل، حدد Microsoft Entra ID ثم حدد Properties.
أسفل Access management for Azure resources، عين زر التبديل إلى No.
لحفظ الإعداد، حدد Save.
الخطوات التالية
في هذه الصفحة، تعلمت كيفية تنظيم الاشتراكات في مجموعات الإدارة وتعيين أدوار للمستخدمين. للاطلاع على معلومات ذات صلة، انظر:
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ