استلام دليل غير مُدار بصفة مسؤول في Azure Active Directory

  • مقالة
  • قراءة خلال 6 دقائق

توضح هذه المقالة طريقتين للاستيلاء على اسم المجال DNS في Azure Active Directory (Azure AD). عند تسجيل مستخدم الخدمة الذاتية لخدمة سحابية تستخدم Microsoft Azure AD، تتم إضافتها إلى دليل Microsoft Azure AD غير مدار استنادًا إلى مجال البريد الإلكتروني الخاص به. لمزيد من المعلومات حول تسجيل الخدمة الذاتية أو التسجيل "الفيروسي" لخدمة ما، راجع ما هو تسجيل الخدمة الذاتية لـ Microsoft Azure AD ؟

تحديد كيفية الاستيلاء على دليل غير مُدار

أثناء عملية استيلاء المسؤول، يمكنك إثبات الملكية كما هو موضح في إضافة اسم مجال مخصص إلى Microsoft Azure AD. تشرح الأقسام التالية تجربة المشرف بمزيد من التفصيل، ولكن إليك ملخصًا:

  • عند تنفيذ استيلاء مسؤول "داخلي"من دليل Microsoft Azure غير مدار، تتم إضافتك كمسؤول عام للدليل غير المُدار. لم يتم ترحيل أي مستخدمين أو مجالات أو خطط خدمة إلى أي دليل آخر تديره.

  • عند تنفيذ استيلاء مسؤول "خارجي" من دليل Azure غير مُدار، يمكنك إضافة اسم مجال DNS الدليل غير المدار إلى دليل Azure المُدار. عند إضافة اسم المجال، يتم إنشاء تعيين المستخدمين إلى الموارد في دليل Azure المدار بحيث يمكن للمستخدمين متابعة الوصول إلى الخدمات دون انقطاع.

تولي المسؤول الداخلي

بعض المنتجات التي تشمل SharePoint OneDrive، مثل Microsoft 365، لا تدعم الاستحواذ الخارجي. إذا كان هذا هو السيناريو الخاص بك، أو إذا كنت مسؤولًا وتريد الاستيلاء على مؤسسة Azure AD غير مدارة أو "ظل" أنشأها المستخدمون الذين استخدموا الاشتراك في الخدمة الذاتية، يمكنك القيام بذلك مع استيلاء المسؤول الداخلي.

  1. أنشئ سياق مستخدم في المؤسسة غير المُدارة من خلال التسجيل في Power BI. للراحة على سبيل المثال، تفترض هذه الخطوات هذا المسار.

  2. افتح موقع Power BI وحدد بدء التشغيل مجانًا. أدخل حساب مستخدم يستخدم اسم المجال للمؤسسة؛ على سبيل المثال، admin@fourthcoffee.xyz. بعد إدخال رمز التحقق، تحقق من بريدك الإلكتروني للحصول على رمز التأكيد.

  3. في رسالة التأكيد الإلكترونية من Power BI، حدد نعم، هذا أنا.

  4. تسجيل الدخول إلى مركز مسؤولي Microsoft 365 باستخدام حساب المستخدم Power BI. تتلقى رسالة ترشدك إلى أن تصبح المسؤولعن اسم المجال الذي تم التحقق منه مسبقًا في المؤسسة غير المُدارة. حدد نعم، أريد أن أكون المشرف.

    first screenshot for Become the Admin

  5. إضافة سجل TXT لإثبات أنك تملك اسم النطاق fourthcoffee.xyz في مسجل اسم النطاق الخاص بك. في هذا المثال، هو GoDaddy.com.

    Add a txt record for the domain name

عندما يتم التحقق من سجلات DNS TXT في مسجل اسم المجال الخاص بك، يمكنك إدارة مؤسسة Azure AD.

عند إكمال الخطوات السابقة، أنت الآن المسؤول العمومي للمؤسسة Coffee الرابع في Microsoft 365. لدمج اسم المجال مع خدمات Azure الأخرى، يمكنك إزالته من Microsoft 365 وإضافته إلى مؤسسة مدارة أخرى في Azure.

إضافة اسم المجال إلى مؤسسة مدارة في Azure AD

  1. افتح مركز مسؤولي Microsoft 365.

  2. حدد علامة تبويبالمستخدمون، ثم قم بإنشاء حساب مستخدم جديد باسم مثلuser@fourthcoffeexyz.onmicrosoft.comالذي لا يستخدم اسم المجال المخصص.

  3. تأكد من أن حساب المستخدم الجديد لديه امتيازات مسؤول عمومية لمؤسسة Azure AD.

  4. افتح علامة تبويب مجالات في مركز مسؤولي Microsoft 365، وحدد اسم المجال وحدد إزالة.

    Remove the domain name from Microsoft 365

  5. إذا كان لديك أي مستخدمين أو مجموعات في Microsoft 365 تشير إلى اسم المجال الذي تمت إزالته، يجب إعادة تسمية إلى المجال .onmicrosoft.com. إذا قمت بفرض إزالة اسم المجال، تتم إعادة تسمية جميع المستخدمين تلقائيًا، في هذا المثال إلىuser@fourthcoffeexyz.onmicrosoft.com.

  6. افتح مركز مسؤول Microsoft Azure AD بحساب مسؤول عمومي في مؤسسة Microsoft Azure AD الخاصة بك.

  7. حدد أسماء مجال مخصص، ثم أضف اسم المجال. سيتعين عليك إدخال سجلات DNS TXT للتحقق من ملكية اسم المجال.

    domain verified as added to Azure AD

ملاحظة

يجب على أي من مستخدمي Power BI أو خدمة إدارة حقوق Azure الذين لديهم تراخيص معينة في المؤسسة Microsoft 365 حفظ لوحات المعلومات الخاصة بهم إذا تمت إزالة اسم المجال. يجب عليهم تسجيل الدخول باسم مستخدم مثلuser@fourthcoffeexyz.onmicrosoft.com بدلاً منuser@fourthcoffee.xyz.

تولي المسؤول الخارجي

إذا كنت تدير مؤسسة بالفعل مع خدمات Azure أو Microsoft 365، فلا يمكنك إضافة اسم مجال مخصص إذا تم التحقق منه بالفعل في مؤسسة أخرى من Azure AD. ومع ذلك، من المؤسسة المدارة في Azure AD، يمكنك الاستيلاء على مؤسسة غير مدارة كاستيلاء خارجي على المسؤول. يتبع الإجراء العام المقالة إضافة مجال مخصص إلى إعلان Azure.

عند التحقق من ملكية اسم المجال، يزيل Azure AD اسم المجال من المؤسسة غير المدارة وينقله إلى المؤسسة الموجودة. يتطلب استيلاء المسؤول الخارجي على دليل غير مدار نفس عملية التحقق من صحة DNS TXT مثل استيلاء المسؤول الداخلي. الفرق هو أن يتم نقل التالية أيضًا مع اسم المجال:

  • المستخدمون
  • الاشتراكات
  • تعيينات الترخيص

دعم استيلاء المسؤول الخارجي

يتم دعم استيلاء المسؤول الخارجي من قبل الخدمات التالية عبر الإنترنت:

  • Azure Rights Management
  • تبادل عبر الإنترنت

وتشمل خطط الخدمة المدعومة ما يلي:

  • تطبيقات الطاقة مجانًا
  • Power Automate المجانية
  • RMS للأفراد
  • Microsoft Stream
  • خدمة Dynamics 365 التجريبية المجانية

لا يتم اعتماد استحواذ المسؤول الخارجي على أي خدمة تحتوي على خطط خدمة تتضمن SharePoint أو OneDrive أو Skype للأعمال؛ على سبيل المثال، من خلال اشتراك مجاني Office.

ملاحظة

استحواذ المسؤول الخارجي غير مدعوم عبر حدود السحابة (على سبيل المثال، Azure Commercial إلى Azure Government). في هذه السيناريوهات من المستحسن تنفيذ استيلاء المسؤول الخارجي إلى مستأجر تجاري Azure آخر ثم قم بحذف المجال من هذا المستأجر حتى تتمكن من التحقق بنجاح إلى المستأجر حكومة Azure الوجهة.

يمكنك اختياريًّا استخدام الخيار ForceTakeover لإزالة اسم المجال من المؤسسة الغير مدارة والتحقق من ذلك على المؤسسة المطلوبة.

مزيد من المعلومات حول RMS للأفراد

بالنسبة لـ RMS للأفراد،عندما تكون المؤسسة غير مدارة في نفس المنطقة التي تمتلكها، يتم نقل مفتاح مؤسسة حماية البيانات في Microsoft Azure الذي تم إنشاؤه تلقائيًّا وقوالب الحماية الافتراضية بالإضافة إلى ذلك باستخدام اسم المجال.

لا يتم نقل المفتاح والقوالب عندما تكون المؤسسة غير مدارة في منطقة مختلفة. على سبيل المثال، إذا كانت المنظمة غير مدارة في أوروبا والمنظمة التي تملكها في أمريكا الشمالية.

على الرغم من أن RMS للأفراد مصمم لدعم مصادقة Azure AD لفتح محتوى محمي، إلا أنه لا يمنع المستخدمين من حماية المحتوى أيضًا. إذا قام المستخدمون بحماية المحتوى باستخدام اشتراك RMS للأفراد، ولم يتم نقل المفتاح والقوالب، فلن يكون هذا المحتوى متاحًا بعد الاستحواذ على المجال.

أوامر cmdlets لـ Azure AD PowerShell لخيار ForceTakeover

يمكنك مشاهدة هذه cmdlets المستخدمة في PowerShell المثال.

cmdlet الاستخدام
connect-msolservice عند المطالبة، قم بتسجيل الدخول إلى المؤسسة المدارة.
get-msoldomain إظهار أسماء المجالات المقترنة بالمؤسسة الحالية.
new-msoldomain –name <domainname> إضافة اسم المجال إلى المؤسسة كما لم يتم التحقق منه (لم يتم إجراء أي تحقق DNS حتى الآن).
get-msoldomain اسم المجال الآن مضمن في قائمة أسماء المجالات المقترنة بالمؤسسة المدارة، ولكن يتم سرده على أنه لم يتم التحقق منه.
get-msoldomainverificationdns –Domainname <domainname> –Mode DnsTxtRecord توفير المعلومات لوضعها في سجل DNS TXT جديد للمجال (MS = xxxxx). قد لا يحدث التحقق فورًا لأن الأمر يستغرق بعض الوقت لنشر سجل TXT، لذا انتظر بضع دقائق قبل النظر في خيار -ForceTakeover.
confirm-msoldomain –Domainname <domainname> –ForceTakeover Force
  • إذا كان اسم المجال الخاص بك لا يزال غير التحقق، يمكنك المتابعة مع الخيار -ForceTakeover. فإنه يتحقق من أن تم إنشاء سجل TXT ويبدأ عملية الاستحواذ.
  • يجب إضافة خيار -ForceTakeover إلى cmdlet فقط عند فرض استيلاء مسؤول خارجي، مثل عندما يكون لدى المؤسسة غير المدارة خدمات Microsoft 365 تمنع عملية الاستحواذ.
    		•
    get-msoldomain تظهر قائمة المجال الآن اسم المجال على أنه Verified.

    ملاحظة

    يتم حذف المؤسسة غير المدارة Azure AD بعد 10 أيام من ممارسة خيار قوة الاستيلاء الخارجية.

    مثال PowerShell

    1. الاتصال إلى Azure AD باستخدام بيانات الاعتماد التي تم استخدامها للاستجابة لعرض الخدمة الذاتية:

      Install-Module -Name MSOnline
$msolcred = get-credential

connect-msolservice -credential $msolcred

    2. الحصول على قائمة بالمجالات:

      Get-MsolDomain

    3. تشغيل cmdlet Get-MsolDomainVerificationDns لإنشاء التحدي:

      Get-MsolDomainVerificationDns –DomainName *your_domain_name* –Mode DnsTxtRecord

      على سبيل المثال:

      Get-MsolDomainVerificationDns –DomainName contoso.com –Mode DnsTxtRecord

    4. كنسخ القيمة (التحدي) التي يتم إرجاعها من هذا الأمر. على سبيل المثال:

      MS=32DD01B82C05D27151EA9AE93C5890787F0E65D9

    5. في مساحة اسم DNS العامة، قم بإنشاء سجل DNS txt الذي يحتوي على القيمة التي قمت بنسخها في الخطوة السابقة. اسم هذا السجل هو اسم المجال الأصل، لذلك إذا قمت بإنشاء سجل المورد هذا باستخدام دور DNS من Windows Server، اترك اسم السجل فارغًا وألصق القيمة في مربع النص.

    6. تشغيل cmdlet Confirm-MsolDomain للتحقق من التحدي:

      Confirm-MsolDomain –DomainName *your_domain_name* –ForceTakeover Force

      على سبيل المثال:

      Confirm-MsolDomain –DomainName contoso.com –ForceTakeover Force

    يعيدك التحدي الناجح إلى المطالبة دون خطأ.

    الخطوات التالية