مشاركة عبر

تعيين أدوار Azure للمستخدمين الخارجيين باستخدام مدخل Microsoft Azure

  • مقالة

يسمح التحكم في الوصول استنادا إلى الدور في Azure (Azure RBAC) بإدارة أمان أفضل للمؤسسات الكبيرة والشركات الصغيرة والمتوسطة الحجم التي تعمل مع المتعاونين الخارجيين أو البائعين أو المستقلين الذين يحتاجون إلى الوصول إلى موارد محددة في بيئتك، ولكن ليس بالضرورة إلى البنية الأساسية بأكملها أو أي نطاقات متعلقة بالفوترة. يمكنك استخدام الإمكانات في Microsoft Entra B2B للتعاون مع المستخدمين الخارجيين ويمكنك استخدام Azure RBAC لمنح الأذونات التي يحتاجها المستخدمون الخارجيون فقط في بيئتك.

المتطلبات الأساسية

لتعيين أدوار Azure أو إزالة تعيينات الأدوار، يجب أن يكون لديك:

متى يمكنك دعوة مستخدمين خارجيين؟

فيما يلي مثالان على السيناريوهات التي قد تدعو فيها المستخدمين إلى مؤسستك وتمنح أذونات:

  • السماح لمورد خارجي يعمل لحسابه الخاص ولديه حساب بريد إلكتروني فقط بالوصول إلى موارد Azure الخاصة بمشروع.
  • السماح لشريك خارجي بإدارة موارد معينة أو اشتراك كامل.
  • السماح لمهندسي الدعم غير التابعين لمؤسستك (مثل دعم Microsoft) بالوصول إلى موارد Azure مؤقتا لاستكشاف المشكلات وإصلاحها.

اختلافات الأذونات بين المستخدمين الأعضاء والمستخدمين الضيوف

يتمتع مستخدمو الدليل من نوع العضو (المستخدمون الأعضاء) بأذونات مختلفة بشكل افتراضي عن المستخدمين المدعوين من دليل آخر كضيف تعاون B2B (المستخدمون الضيوف). على سبيل المثال، يمكن للمستخدمين الأعضاء قراءة جميع معلومات الدليل تقريبا بينما يقوم المستخدمون الضيوف بتقييد أذونات الدليل. لمزيد من المعلومات حول المستخدمين الأعضاء والمستخدمين الضيوف، راجع ما هي أذونات المستخدم الافتراضية في معرف Microsoft Entra؟.

دعوة مستخدم خارجي إلى دليلك

اتبع هذه الخطوات لدعوة مستخدم خارجي إلى دليلك في Microsoft Entra ID.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. تأكد من تكوين إعدادات التعاون الخارجي لمؤسستك بحيث يسمح لك بدعوة مستخدمين خارجيين. لمزيد من المعلومات، راجع تكوين إعدادات التعاون الخارجي.

  3. حدد Microsoft Entra ID>Users.

  4. حدد مستخدم جديد>دعوة مستخدم خارجي.

    Screenshot of Invite external user page in Azure portal.

  5. اتبع الخطوات لدعوة مستخدم خارجي. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Entra B2B في مدخل Microsoft Azure.

بعد دعوة مستخدم خارجي إلى الدليل، يمكنك إما إرسال ارتباط مباشر للمستخدم الخارجي إلى تطبيق مشترك، أو يمكن للمستخدم الخارجي تحديد ارتباط قبول الدعوة في البريد الإلكتروني للدعوة.

Screenshot of external user invite email.

لكي يتمكن المستخدم الخارجي من الوصول إلى الدليل الخاص بك، يجب عليه إكمال عملية الدعوة.

Screenshot of external user invite review permissions.

لمزيد من المعلومات حول عملية الدعوة، راجع قبول دعوة تعاون Microsoft Entra B2B.

تعيين دور لمستخدم خارجي

في Azure RBAC، لمنح حق الوصول، يمكنك تعيين دور. لتعيين دور لمستخدم خارجي، اتبع نفس الخطوات التي تتبعها لمستخدم عضو أو مجموعة أو كيان خدمة أو هوية مدارة. اتبع هذه الخطوات لتعيين دور لمستخدم خارجي في نطاقات مختلفة.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في مربع البحث في الأعلى، ابحث عن النطاق الذي تريد منح حق الوصول إليه. على سبيل المثال، ابحث عن مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو مورد معين.

  3. حدد المورد المحدد لهذا النطاق.

  4. حدد Access control (IAM).

    نستعرض فيما يلي مثالاً لصفحة التحكم في الوصول (IAM) إلى مجموعة موارد.

    Screenshot of Access control (IAM) page for a resource group.

  5. حدد علامة التبويب Role assignments لعرض تعيينات الدور في هذا النطاق.

  6. حدد إضافة>Add role assignmen.

    إذا لم تكن لديك أذونات لتعيين الأدوار، فسيتم تعطيل خيار Add role assignment.

    Screenshot of Add > Add role assignment menu.

    يتم فتح صفحة إضافة تعيين دور.

  7. في علامة التبويب Role ، حدد دورا مثل Virtual Machine Contributor.

    Screenshot of Add role assignment page with Roles tab.

  8. في علامة التبويب الأعضاء ، حدد المستخدم أو المجموعة أو كيان الخدمة.

    Screenshot of Add role assignment page with Members tab.

  9. حدد تحديد أعضاء.

  10. ابحث عن المستخدم الخارجي وحدده. إذا لم تتمكن من رؤية المستخدم في القائمة، فيمكنك الكتابة في المربع تحديد للبحث في الدليل عن اسم العرض أو عنوان البريد الإلكتروني.

    يمكنك الكتابة في المربع تحديد للبحث في الدليل عن اسم العرض أو عنوان البريد الإلكتروني.

    Screenshot of Select members pane.

  11. حدد تحديد لإضافة المستخدم الخارجي إلى قائمة الأعضاء.

  12. في علامة التبويب Review + assign ، حدد Review + assign.

    بعد لحظات قليلة، يتم تعيين الدور للمستخدم الخارجي في النطاق المحدد.

    Screenshot of role assignment for Virtual Machine Contributor.

تعيين دور لمستخدم خارجي ليس بعد في دليلك

لتعيين دور لمستخدم خارجي، اتبع نفس الخطوات التي تتبعها لمستخدم عضو أو مجموعة أو كيان خدمة أو هوية مدارة.

إذا لم يكن المستخدم الخارجي في الدليل الخاص بك بعد، يمكنك دعوة المستخدم مباشرة من جزء Select members.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في مربع البحث في الأعلى، ابحث عن النطاق الذي تريد منح حق الوصول إليه. على سبيل المثال، ابحث عن مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو مورد معين.

  3. حدد المورد المحدد لهذا النطاق.

  4. حدد Access control (IAM).

  5. حدد إضافة>Add role assignmen.

    إذا لم تكن لديك أذونات لتعيين الأدوار، فسيتم تعطيل خيار Add role assignment.

    Screenshot of Add > Add role assignment menu.

    يتم فتح صفحة إضافة تعيين دور.

  6. في علامة التبويب Role ، حدد دورا مثل Virtual Machine Contributor.

  7. في علامة التبويب الأعضاء ، حدد المستخدم أو المجموعة أو كيان الخدمة.

    Screenshot of Add role assignment page with Members tab.

  8. حدد تحديد أعضاء.

  9. في المربع تحديد، اكتب عنوان البريد الإلكتروني للشخص الذي تريد دعوته وحدد هذا الشخص.

    Screenshot of invite external user in Select members pane.

  10. حدد تحديد لإضافة المستخدم الخارجي إلى قائمة الأعضاء.

  11. في علامة التبويب مراجعة + تعيين ، حدد مراجعة + تعيين لإضافة المستخدم الخارجي إلى دليلك، وتعيين الدور، وإرسال دعوة.

    بعد لحظات قليلة، سترى إعلاما بتعيين الدور ومعلومات حول الدعوة.

    Screenshot of role assignment and invited user notification.

  12. لدعوة المستخدم الخارجي يدويا، انقر بزر الماوس الأيمن وانسخ ارتباط الدعوة في الإعلام. لا تحدد ارتباط الدعوة لأنه يبدأ عملية الدعوة.

    سيكون لارتباط الدعوة التنسيق التالي:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. إرسال ارتباط الدعوة إلى المستخدم الخارجي لإكمال عملية الدعوة.

    لمزيد من المعلومات حول عملية الدعوة، راجع قبول دعوة تعاون Microsoft Entra B2B.

إزالة مستخدم خارجي من الدليل

قبل إزالة مستخدم خارجي من دليل، يجب أولا إزالة أي تعيينات دور لهذا المستخدم الخارجي. اتبع هذه الخطوات لإزالة مستخدم خارجي من دليل.

  1. افتح التحكم في الوصول (IAM) في نطاق، مثل مجموعة الإدارة أو الاشتراك أو مجموعة الموارد أو المورد، حيث يكون لدى المستخدم الخارجي تعيين دور.

  2. حدد علامة التبويب Role assignments لعرض كافة تعيينات الأدوار.

  3. في قائمة تعيينات الأدوار، أضف علامة اختيار إلى جانب المستخدم الخارجي مع تعيين الدور الذي تريد إزالته.

    Screenshot of selected role assignment to remove.

  4. حدد إزالة.

    Screenshot of Remove role assignment message.

  5. في رسالة إزالة تعيين الدور التي تظهر، حدد نعم.

  6. حدد علامة التبويب Classic administrators.

  7. إذا كان لدى المستخدم الخارجي تعيين مشترك مسؤول istrator، فقم بإضافة علامة اختيار إلى جانب المستخدم الخارجي وحدد إزالة.

  8. في شريط التنقل الأيمن، حدد Microsoft Entra ID>Users.

  9. حدد المستخدم الخارجي الذي تريد إزالته.

  10. حدد حذف.

    Screenshot of deleting an external user.

  11. في رسالة الحذف التي تظهر، انقر فوق نعم.

استكشاف الأخطاء وإصلاحها

يتعذر على المستخدم الخارجي استعراض الدليل

المستخدمون الخارجيون لديهم أذونات دليل مقيدة. على سبيل المثال، لا يمكن للمستخدمين الخارجيين استعراض الدليل ولا يمكنهم البحث عن مجموعات أو تطبيقات. لمزيد من المعلومات، راجع ما هي أذونات المستخدم الافتراضية في معرف Microsoft Entra؟.

Screenshot of external user can't browse users in a directory.

إذا احتاج مستخدم خارجي إلى امتيازات إضافية في الدليل، يمكنك تعيين دور Microsoft Entra للمستخدم الخارجي. إذا كنت تريد حقا أن يكون لدى مستخدم خارجي حق الوصول للقراءة الكاملة إلى دليلك، يمكنك إضافة المستخدم الخارجي إلى دور قراء الدليل في معرف Microsoft Entra. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Entra B2B في مدخل Microsoft Azure.

Screenshot of assigning Directory Readers role.

لا يمكن للمستخدم الخارجي استعراض المستخدمين أو المجموعات أو أساسيات الخدمة لتعيين الأدوار

المستخدمون الخارجيون لديهم أذونات دليل مقيدة. حتى إذا كان المستخدم الخارجي مالكا في نطاق، إذا حاول تعيين دور لمنح شخص آخر حق الوصول، فلن يتمكن من استعراض قائمة المستخدمين أو المجموعات أو أساسيات الخدمة.

Screenshot of external user can't browse security principals to assign roles.

إذا كان المستخدم الخارجي يعرف اسم تسجيل الدخول الدقيق لشخص ما في الدليل، فيمكنه منح حق الوصول. إذا كنت تريد حقا أن يكون لدى مستخدم خارجي حق الوصول للقراءة الكاملة إلى دليلك، يمكنك إضافة المستخدم الخارجي إلى دور قراء الدليل في معرف Microsoft Entra. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Entra B2B في مدخل Microsoft Azure.

لا يمكن للمستخدم الخارجي تسجيل التطبيقات أو إنشاء كيانات الخدمة

المستخدمون الخارجيون لديهم أذونات دليل مقيدة. إذا احتاج مستخدم خارجي إلى أن يكون قادرا على تسجيل التطبيقات أو إنشاء كيانات الخدمة، يمكنك إضافة المستخدم الخارجي إلى دور مطور التطبيق في معرف Microsoft Entra. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Entra B2B في مدخل Microsoft Azure.

Screenshot of external user can't register applications.

لا يرى المستخدم الخارجي الدليل الجديد

إذا تم منح مستخدم خارجي حق الوصول إلى دليل، ولكنه لا يرى الدليل الجديد مدرجا في مدخل Microsoft Azure عند محاولة التبديل في صفحة الدلائل الخاصة به، فتأكد من أن المستخدم الخارجي قد أكمل عملية الدعوة. لمزيد من المعلومات حول عملية الدعوة، راجع قبول دعوة تعاون Microsoft Entra B2B.

لا يرى المستخدم الخارجي الموارد

إذا تم منح مستخدم خارجي حق الوصول إلى دليل، ولكنه لا يرى الموارد التي تم منحه حق الوصول إليها في مدخل Microsoft Azure، فتأكد من تحديد المستخدم الخارجي للدليل الصحيح. قد يكون لدى المستخدم الخارجي حق الوصول إلى أدلة متعددة. لتبديل الدلائل، في أعلى اليسار، حدد الإعدادات> Directories، ثم حدد الدليل المناسب.

Screenshot of Portal setting Directories section in Azure portal.

الخطوات التالية