وصف أنواع الهويات

مكتمل

في Microsoft Entra ID، هناك أنواع مختلفة من الهويات المدعومة. المصطلحات التي يتم تقديمها لك في هذه الوحدة هي هويات المستخدمين، هويات عبء العمل، هويات الأجهزة، الهويات الخارجية، والهويات الهجينة.

عند طرح السؤال، إلى ما يمكنني تعيين هوية في معرف Microsoft Entra، هناك ثلاث فئات.

• يمكنك تعيين هويات للأشخاص (البشر)، ويشار إليها بهوية المستخدمين.
• يمكنك تعيين هويات للأجهزة المادية، مثل الهواتف المحمولة وأجهزة كمبيوتر سطح المكتب وأجهزة إنترنت الأشياء.
• يمكنك تعيين هويات لكائنات برمجية، مثل التطبيقات، والآلات الافتراضية، والخدمات، والحاويات. تسمى هذه الأنواع من الهويات بهويات عبء العمل.

في هذه الوحدة، نفكر في كل نوع من أنواع هوية Microsoft Entra.

المستخدم

تمثل هويات المستخدم أشخاصًا مثل الموظفين والمستخدمين الخارجيين (العملاء والاستشاريين والموردين والشركاء). في معرِّف Microsoft Entra، تتميز هويات المستخدمين بكيفية المصادقة وخاصية نوع المستخدم.

يمكن أن يكون كيف يصادق المستخدم بالنسبة لمستأجر Microsoft Entra الخاص بالمنظمة المضيفة داخليا أو خارجيا. المصادقة الداخلية تعني أن المستخدم لديه حساب على معرف Microsoft Entra الخاص بالمنظمة المضيفة. المصادقة الخارجية تعني أن المستخدم يقوم بالمصادقة باستخدام حساب Microsoft Entra الخارجي، أو هوية شبكة اجتماعية، أو مزود هوية خارجي آخر.

تصف خاصية نوع المستخدم علاقة المستخدم بعقد إيجار المنظمة المضيفة. يمكن أن يكون المستخدم ضيفا أو عضوا في مستأجر مايكروسوفت إنترا الخاص بالمنظمة. بشكل افتراضي، يتمتع الضيوف بصلاحيات محدودة مقارنة بالأعضاء.

• عضو داخلي: يُعتبر هؤلاء المستخدمون عادةً موظفين في مؤسستك. يصادق المستخدم داخليا عبر معرف Microsoft Entra الخاص بمؤسسته، ويحتوي عنصر المستخدم الذي تم إنشاؤه في دليل Microsoft Entra المورد على UserType of Member.
• الضيف الخارجي: عادةً ما يندرج المستخدمون الخارجيون أو الضيوف، بما في ذلك الاستشاريون والموردون والشركاء، ضمن هذه الفئة. يقوم المستخدم بالتحقق باستخدام حساب Microsoft Entra خارجي أو مزود هوية خارجي (مثل الهوية الاجتماعية)، ويكون كائن المستخدم لديه نوع مستخدم ضيف.
• عضو خارجي: هذا السيناريو شائع في المؤسسات التي تتكون من حسابات مستأجر متعددة. على سبيل المثال، إذا كان مستأجرو كونتوسو وفابريكام في مايكروسوفت إنترا ضمن منظمة كبيرة واحدة، يمكن تكوين مستخدمي كونتوسو في دليل مايكروسوفت إنترا الخاص بفابريكام للمصادقة باستخدام حسابهم في كونتوسو (خارج فابريكام) ولكن لديهم نوع مستخدم للعضو، مما يتيح الوصول على مستوى الأعضاء إلى موارد فابريكام.
• الضيف الداخلي: يوجد هذا السيناريو عندما تقوم المؤسسات بإعداد حسابات Microsoft Entra الداخلية للمستخدمين الخارجيين مثل الموزعين أو الموردين، ولكن تعينهم كضيوف عن طريق تعيين كائن المستخدم UserType على ضيف. يعتبر هذا سيناريو قديم، حيث أصبح من الشائع الآن استخدام التعاون بين الشركات حيث يمكن للمستخدمين استخدام بيانات اعتمادهم الخاصة.

الضيوف الخارجيون والأعضاء الخارجيون هم مستخدمو تعاون B2B يندرجون تحت هويات خارجية في Microsoft Entra ID، كما هو موضح في الوحدة التالية.

دليل تفاعلي: إنشاء مستخدم في Microsoft Entra ID

في هذا الدليل التفاعلي، الذي يستغرق حوالي 10 دقائق لإكماله، تقوم بإنشاء وإدارة مستخدم في Microsoft Entra ID.

اختر الصورة أدناه للبدء.

هويات حمل العمل.

هوية عبء العمل هي هوية تعينها لعمال عمل برمجي لتمكينه من المصادقة والوصول إلى خدمات وموارد أخرى.

تأمين هويات عبء العمل مهم لأن عبء العمل البرمجي قد يتعامل مع بيانات اعتماد متعددة للوصول إلى موارد مختلفة، ويجب تخزين هذه البيانات بأمان. كما أنه من الصعب تتبع متى يتم إنشاء هوية عبء العمل أو متى يجب إلغاؤها. يساعد هوية حمل عمل Microsoft Entra في حل هذه المشاكل.

في Microsoft Entra، تكون هويات حمل العمل هي التطبيقات وكيانات الخدمة والهويات المُدارة.

مبادئ التطبيقات والخدمة

كيان الخدمة هو في الأساس، هوية للتطبيق. لكي يقوم أحد التطبيقات بتفويض وظائف الهوية والوصول إلى معرف Microsoft Entra، يجب أولا تسجيل التطبيق مع معرف Microsoft Entra لتمكين تكامله. بمجرد تسجيل تطبيق، يتم إنشاء كيان خدمة في كل مستأجر Microsoft Entra حيث يتم استخدام التطبيق. يمكن كيان الخدمة الميزات الأساسية مثل المصادقة والتخويل للتطبيق إلى الموارد التي يتم تأمينها بواسطة مستأجر Microsoft Entra.

لكي يتمكن مديرو الخدمات من الوصول إلى الموارد، يجب على مطوري التطبيقات إدارة وحماية بيانات الاعتماد. الهويات المدارة تساعد في تخفيف هذه المسؤولية عن المطورين.

الهويات المُدارة

الهويات المدارة هي نوع من المبادئ الخدمية. تتم إدارة الهويات المدارة تلقائيا في Microsoft Entra ID وتلغي الحاجة إلى المطورين لإدارة بيانات الاعتماد. توفر الهويات المدارة هوية للتطبيقات لاستخدامها عند الاتصال بموارد Azure التي تدعم مصادقة Microsoft Entra ويمكن استخدامها دون أي تكلفة إضافية.

هناك نوعان من الهويات المدارة: مخصص من قِبَل النظام ومخصص من قِبَل المستخدم.

• المعينة من قِبل النظام. تسمح لك بعض موارد Azure، مثل الأجهزة الظاهرية، بتمكين هوية مدارة مباشرة على المورد. عندما تفعيل هوية مدارة معينة من النظام، يتم إنشاء هوية في Microsoft Entra مرتبطة بدورة حياة ذلك المورد في Azure. عند حذف المورد، يحذف Azure الهوية تلقائيًا نيابةً عنك.

• المعينة من قِبل المستخدم. يمكنك أيضًا إنشاء هوية مُدارة كمورد Azure مستقل. بمجرد إنشاء هوية مُدارة مُعينة من قبل المستخدم، يمكنك تعيينها إلى مثيل واحد أو أكثر من خدمة Azure. باستخدام الهويات المُدارة التي يعيّنها المستخدم، تتم إدارة الهوية بشكل منفصل عن الموارد التي تستخدمها. حذف الموارد التي تستخدم الهوية المدارة المعينة من قبل المستخدم لا يحذف الهوية؛ يجب حذفها بشكل صريح.

هويات الوكلاء

مع تزايد انتشار وكلاء الذكاء الاصطناعي في المؤسسات، أصبح تأمين وصولهم إلى الموارد أمرا بالغ الأهمية. يوسع معرف وكيل Microsoft Entra قدرات إدارة الهوية والوصول لوكلاء الذكاء الاصطناعي من خلال توفير هويات وكلاء مصممة خصيصا. هذه هويات متخصصة في Microsoft Entra، تختلف عن هويات عبء العمل التقليدية، تمكن المؤسسات من تسجيل الوكلاء، وتطبيق سياسات الوصول المشروط بناء على مخاطر الوكلاء، وتنظيم دورات حياة الوكلاء مع مالكين ورعاة معينين للمساءلة. تدعم هويات الوكلاء كلا من السيناريوهات التي يحضرها، حيث يعمل الوكيل نيابة عن المستخدم، والسيناريوهات غير المراقبة، حيث يعمل الوكيل بشكل مستقل. يتم وصف معرف وكيل Microsoft Entra بمزيد من التفصيل في الوحدة التالية.

الجهاز

الجهاز عبارة عن قطعة من الأجهزة، مثل الأجهزة المحمولة أو أجهزة الكمبيوتر المحمولة أو الخوادم أو الطابعة. توفر هوية الجهاز للمسؤولين معلومات يمكنهم استخدامها عند اتخاذ قرارات الوصول أو التكوين. يمكن إعداد هويات الجهاز بطرق مختلفة في معرف Microsoft Entra.

• أجهزة Microsoft Entra المسجلة. الهدف من الأجهزة المسجلة في Microsoft Entra هو تزويد المستخدمين بالدعم لسيناريوهات إحضار الجهاز الخاص بك (BYOD) أو الأجهزة المحمولة. في هذه السيناريوهات، يمكن للمستخدم الوصول إلى موارد مؤسستك باستخدام جهاز شخصي.
• انضم Microsoft Entra. جهاز Microsoft Entra المنضم هو جهاز مرتبط بمعرف Microsoft Entra من خلال حساب مؤسسة، والذي يتم استخدامه بعد ذلك لتسجيل الدخول إلى الجهاز. عادة ما تكون الأجهزة المرتبطة ب Microsoft Entra مملوكة للمؤسسة.
• الأجهزة المختلطة المنضمة إلى Microsoft Entra. يمكن للمؤسسات التي لها تطبيقات Active Directory محلي موجودة الاستفادة من الوظائف التي يوفرها معرف Microsoft Entra من خلال تنفيذ الأجهزة المختلطة المنضمة إلى Microsoft Entra. يتم ربط هذه الأجهزة بكل من Active Directory المحلي ومعرف Microsoft Entra ID، وتتطلب حسابا تنظيميا لتسجيل الدخول إلى الجهاز.

تسجيل وربط الأجهزة ب Microsoft Entra ID يمنح المستخدمين تسجيل الدخول الواحد (SSO) إلى الموارد السحابية والتطبيقات المحلية.

يمكن لمسؤولي تكنولوجيا المعلومات استخدام أدوات مثل Microsoft Intune للتحكم في كيفية استخدام أجهزة المؤسسة.

المجموعات

في Microsoft Entra ID، إذا كان لديك عدة هويات بنفس احتياجات الوصول، يمكنك إنشاء مجموعة لمنح صلاحيات الوصول لجميع الأعضاء، بدلا من تعيين الوصول بشكل فردي. وهذا يتماشى مع مبدأ الثقة الصفرية الذي يقتصر الوصول فقط على من يحتاجه.

هناك نوعان من المجموعات:

• الأمان: مجموعة الأمان هي النوع الأكثر شيوعا للمجموعة وتستخدم لإدارة وصول المستخدم والجهاز إلى الموارد المشتركة. على سبيل المثال، يمكنك إنشاء مجموعة أمنية لسياسة أمان محددة مثل إعادة تعيين كلمة المرور ذاتية الخدمة أو للاستخدام مع سياسة الوصول المشروط. يمكن لأعضاء مجموعة الأمان أن يشملو المستخدمين (بما في ذلك المستخدمين الخارجيين)، والأجهزة، والمجموعات الأخرى، ومديري الخدمة، وهويات الوكلاء.

• Microsoft 365: تُستخدم مجموعة Microsoft 365، والتي يشار إليها أيضًا باسم مجموعة التوزيع، لتجميع المستخدمين وفقًا لاحتياجات التعاون. على سبيل المثال، يمكنك منح أعضاء المجموعة حق الوصول إلى صندوق بريد مشترك، تقويم، ملفات، مواقع SharePoint، والمزيد. يمكن لأعضاء مجموعة Microsoft 365 تضمين المستخدمين فقط، بما في ذلك المستخدمين خارج مؤسستك.

يمكن تكوين المجموعات للسماح بتعيين الأعضاء، أو تحديدها يدويا، أو يمكن تكوينها للعضوية الديناميكية. تستخدم العضوية الديناميكية قواعد لإضافة الهويات وإزالتها تلقائيا.