الخصائص التي يتميز بها مستخدم تعاون B2B في Azure Active Directory
تعاون B2B هو قدرة هويات Microsoft Azure Active Directory الخارجية التي تمكنك من التعاون مع المستخدمين والشركاء خارج مؤسستك. بتعاون B2B، يُدعى مستخدم خارجي لتسجيل الدخول إلى مؤسسة Microsoft Azure Active Directory باستخدام بيانات اعتماده. يمكن لمستخدم تعاون B2B هذا الوصول إلى التطبيقات والموارد التي تريد مشاركتها معهم. ويتم إنشاء كائن مستخدم لمستخدم تعاون B2B في نفس الدليل كموظفين لديك. تتمتع كائنات مستخدم تعاون B2B بامتيازات محدودة في الدليل الخاص بك بشكل افتراضي، إذ يمكن إدارتها مثل الموظفين، وإضافتها إلى مجموعات، وهكذا. تتناول هذه المقالة خصائص كائن المستخدم هذا وطرق إدارته.
يصف الجدول التالي مستخدمي تعاون B2B استنادًا إلى كيفية المصادقة (داخليًا أو خارجيًا) وعلاقتهم بالمؤسسة (ضيف أو عضو).
- ضيف خارجي: يندرج معظم المستخدمين الذين يُعتبرون عادة مستخدمين خارجيين أو ضيوفًا في هذه الفئة. لدى مستخدم تعاون B2B هذا حساب في مؤسسة Microsoft Azure Active Directory خارجية أو موفر هوية خارجي (مثل هوية اجتماعية)، ولديه أذونات على مستوى الضيف في مؤسسة المورد. يحتوي كائن المستخدم الذي تم إنشاؤه في دليل Microsoft Azure Active Directory على UserType من نوع ضيف.
- عضو خارجي: لدى مستخدم تعاون B2B هذا حساب في مؤسسة Microsoft Azure Active Directory خارجية أو موفر هوية خارجي (مثل هوية اجتماعية)، ولديه وصول على مستوى العضو للموارد في مؤسستك. هذا السيناريو شائع في المؤسسات التي تتكون من عدة مستأجرين، حيث يعتبر المستخدمون جزءًا من المؤسسة الأكبر ويحتاجون إلى وصول على مستوى العضو للموارد في المستأجرين الآخرين للمؤسسة. يحتوي كائن المستخدم الذي تم إنشاؤه في دليل Microsoft Azure Active Directory على UserType من نوع عضو.
- ضيف داخلي: قبل توفر تعاون Microsoft Azure Active Directory B2B، كان من الشائع التعاون مع الموزعين والموردين والبائعين وغيرهم من خلال إعداد بيانات اعتماد داخلية لهم وتعيينهم كضيوف عن طريق تعيين كائن المستخدم UserType إلى ضيف. إذا كان لديك مستخدمون ضيوف داخليون مثل هؤلاء، فيمكنك دعوتهم لاستخدام تعاون B2B بدلًا من ذلك حتى يتمكنوا من استخدام بيانات اعتمادهم، ما يسمح لموفّر الهوية الخارجي بإدارة المصادقة ودورة حياة حسابهم.
- عضو داخلي: يعتبر هؤلاء المستخدمون عادة موظفين في مؤسستك. يُصادق المستخدم داخليًا عبر Microsoft Azure Active Directory ويحتوي كائن المستخدم الذي تم إنشاؤه في دليل مورد Microsoft Azure Active Directory على UserType من نوع عضو.
هام
بدأنا في طرح تغيير لتشغيل ميزة رمز المرور للبريد الإلكتروني لمرة واحدة لجميع المستأجرين الحاليين وتمكين هذه الميزة بشكل افتراضي للمستأجرين الجدد. يتم الآن تمكين ميزة رمز المرور لمرة واحدة للبريد الإلكتروني لأنها توفر أسلوب مصادقة احتياطيًا سلسًا للمستخدمين الضيوف. ومع ذلك، إذا كنت لا تريد السَماح بتشغيل هذه الميزة تلقائيًا، يمكنك تعطيلها. سنقوم قريباً بالتوقف عن إنشاء حسابات Microsoft Azure Active Directory الجديدة غير المُدارة ("الفيروسية")، والمستأجرين أثناء قبول دعوة التعاون B2B.
قبول الدعوة
دعنا نرَ الآن كيف يبدو مستخدم تعاون Microsoft Azure AD B2B في Microsoft Azure AD.
قبل قبول الدعوة
حسابات مستخدمي تعاون B2B هي نتيجة لدعوة المستخدمين الضيوف للتعاون باستخدام بيانات اعتماد المستخدمين الضيوف. عند إرسال الدعوة إلى المستخدم الضيف في البداية، يُنشأ حساب في المستأجر. لا توجد لدى هذا الحساب أي بيانات اعتماد مقترنة به لأن المصادقة تتم من قبل موفر هوية المستخدم الضيف. عُينت الخاصية مُصدر الشهادة لحساب المستخدم الضيف في دليلك إلى مجال المؤسسة المضيف حتى يقبل الضيف دعوته. في المدخل، ستُعين خاصية قبول الدعوة في ملف تعريف مدخل Microsoft Azure Active Directory للمستخدم المدعو إلى لا، وسيُرجع الاستعلام عن externalUserState باستخدام واجهة برمجة تطبيقات Microsoft Graph Pending Acceptance.
بعد قبول الدعوة
بعد أن يقبل مستخدم تعاون B2B الدعوة، تُحدث الخاصية مُصدر الشهادة بناءً على موفر هوية المستخدم.
إذا كان مستخدم تعاون B2B يستخدم بيانات الاعتماد من مؤسسة Microsoft Azure Active Directory أخرى، فإن مُصدر الشهادة يكون Microsoft Azure Active Directory خارجي.
إذا كان مستخدم تعاون B2B يستخدم حساب Microsoft أو بيانات اعتماد من موفر هوية خارجي آخر، يعكس مُصدر الشهادة موفر الهوية، على سبيل المثال حساب Microsoft أو google.com أو facebook.com.
بالنسبة للمستخدمين الخارجيين الذين يستخدمون بيانات اعتماد داخلية، تُعين خاصية مُصدر الشهادة إلى مجال المؤسسة الخاص بالمضيف. خاصية مزامنة الدليل تكون نعم إذا كان الحساب موجودًا في Active Directory محلي للمؤسسة وتزامن مع Microsoft Azure Active Directory، أو يكون لا إذا كان الحساب هو حساب Microsoft Azure Active Directory على السحابة فقط. تتوفر معلومات مزامنة الدليل أيضًا عبر الخاصية onPremisesSyncEnabled في Microsoft Graph.
الخصائص الرئيسية لمستخدم تعاون Microsoft Azure AD B2B
اسم المستخدم الأساسي
اسم المستخدم الأساسي لكائن مستخدم تعاون B2B يحتوي على معرّف #EXT#.
نوع المستخدم
تشير هذه الخاصية إلى علاقة المستخدم مع إيجار المضيف. يمكن أن تحتوي هذه الخاصية على قيمتين:
عضو: تشير هذه القيمة إلى موظف في المؤسسة المضيفة ومستخدم في جدول رواتب المؤسسة. على سبيل المثال، يتوقع هذا المستخدم أن يكون لديه حق الوصول إلى المواقع الداخلية فقط. لا يعتبر هذا المستخدم متعاون خارجي.
ضيف: تشير هذه القيمة إلى مستخدم لا يُعتبر مستخدمًا داخليًا للشركة، مثل متعاون خارجي أو شريك أو عميل. لا يتوقع مثل هذا المستخدم أن يتلقى مذكرة داخلية من الرئيس التنفيذي أو يحصل على مزايا الشركة، على سبيل المثال.
ملاحظة
UserType ليست له أي علاقة بكيفية تسجيل المستخدم للدخول أو دور الدليل بالنسبة إلى المستخدم وهكذا. تشير هذه الخاصية ببساطة إلى علاقة المستخدم بالمؤسسة المضيفة وتسمح للمؤسسة بفرض نُهج تعتمد على هذه الخاصية.
مُصدر الشهادة
تشير هذه الخاصية إلى موفر الهوية الأساسي للمستخدم. يمكن أن يمتلك المستخدم العديد من مُوفري الهوية الذين يمكن عرضهم بتحديد «مُصدر الشهادة» في ملف تعريف المستخدم، أو بالاستعلام عن الخاصية onPremisesSyncEnabled عبر واجهة برمجة التطبيقات Microsoft Graph.
ملاحظة
UserType ومُصدر الشهادة هما خاصيتان مُستقلتان. لا تعني قيمة مُصدر الشهادة قيمة معينة لـ UserType
| قيمة خاصية مُصدر الشهادة | حالة تسجيل الدخول |
|---|---|
| Microsoft Azure Active Directory خارجي | يُنقل هذا المستخدم إلي مؤسسة خارجية ويُصادِق عليه حساب Microsoft Azure Active Directory الذي ينتمي إلى المؤسسة الأخرى. |
| حساب Microsoft | يُنقل هذا المستخدم إلي حساب Microsoft ويُصادِق عليه حساب Microsoft. |
| {مجال المضيف} | يصادق هذا المستخدم باستخدام حساب Microsoft Azure Active Directory ينتمي إلى هذه المؤسسة. |
| google.com | يمتلك هذا المستخدم حساب Gmail وقد سجّل باستخدام الخدمة الذاتية للمؤسسة الأخرى. |
| facebook.com | يمتلك هذا المستخدم حساب Facebook وقد سجّل باستخدام الخدمة الذاتية للمؤسسة الأخرى. |
| البريد | يمتلك هذا المستخدم عنوان بريد إلكتروني لا يتطابق مع مجالات Microsoft Azure Active Directory أو مجالات SAML/WS-Fed التي تم التحقق منها، وهو ليس عنوان Gmail أو حساب Microsoft. |
| هاتف | يمتلك هذا المستخدم عنوان بريد إلكتروني لا يتطابق مع مجالMicrosoft Azure Active Directory أو مجال SAML/WS-Fed التي تم التحقق منها، وليس عنوان Gmail أو حساب Microsoft. |
| {URI لمُصدر الشهادة} | يُنقل هذا المستخدم إلي مؤسسة خارجية لا تستخدم Microsoft Azure Active Directory كموفر للهويتها، ولكن بدلًا من ذلك تستخدم مُوفري الهوية المستندة إلى SAML/WS-Fed. يظهر URI لمُصدر الشهادة عند النقر فوق حقل مُصدر الشهادة. |
تمت مزامنة الدليل
تشير خاصية تمت مزامنة الدليل إلى ما إذا كان المستخدم تتم مزامنته مع Active Directory محلي والمصادقة عليه محليًا. تكون هذه الخاصية نعم إذا كان الحساب موجودًا في Active Directory محلي للمؤسسة ويتزامن مع Microsoft Azure Active Directory، أو تكون لا إذا كان الحساب هو حساب Microsoft Azure Active Directory على السحابة فقط. في Microsoft Graph، تتوافق خاصية مزامنة الدليل مع onPremisesSyncEnabled.
هل يمكن إضافة مستخدمي Microsoft Azure AD B2B كأعضاء وليس ضيوفًا؟
عادةً ما يكون مستخدم Microsoft Azure AD B2B والمستخدم الضيف مرادفيْن. لذلك، يُضاف مستخدم تعاون Microsoft Azure Active Directory B2B كمستخدم مع UserType مُعيّن إلى ضيف بشكل افتراضي. ولكن، يمكن أن تكون المؤسسة الشريكة في بعض الحالات عضوًا في مؤسسة أكبر تنتمي إليها المؤسسة المضيفة أيضًا. إذا كان الأمر كذلك، فقد ترغب المؤسسة المضيفة في معاملة المستخدمين في المؤسسة الشريكة كأعضاء وليس ضيوفًا. استخدم واجهات برمجة تطبيقات «Azure AD B2B Invitation Manager» لإضافة أو دعوة مستخدم من المؤسسة الشريكة إلى المؤسسة المضيفة كعضو.
تصفية للمستخدمين الضيوف في الدليل
تحويل UserType
من الممكن تحويل UserType من عضو إلى ضيف والعكس عن طريق تحرير ملف تعرف المستخدم في مدخل Microsoft Azure أو باستخدام PowerShell. ومع ذلك، تمثل الخاصية UserType علاقة المستخدم مع المؤسسة. لذلك، ينبغي تغيير هذه الخاصية فقط إذا تغيرت علاقة المستخدم بالمؤسسة. إذا تغيرت علاقة المستخدم، فهل ينبغي تغيير اسم المستخدم الأساسي (UPN)؟ هل ينبغي أن يستمر المستخدم في امتلاك إمكانية الوصول إلى الموارد نفسها؟ هل يجب تعيين علبة بريد؟
إزالة قيود المستخدم الضيف
قد تكون هناك حالات تريد فيها منح المستخدمين الضيوف لديك أذونات أعلى. يمكنك إضافة مستخدم ضيف إلى أي دور وإزالة قيود المستخدم الضيف الافتراضية في الدليل لإعطاء المستخدم امتيازات الأعضاء نفسها.
من الممكن إيقاف تشغيل القيود الافتراضية بحيث يكون للمستخدم الضيف في دليل الشركة أذونات الوصول نفسها التي يتمتع بها المستخدم العضو.
هل يمكنني جعل المستخدمين الضيوف مرئيين في قائمة العناوين العمومية لـ Exchange؟
نعم. بشكل افتراضي، تكون كائنات الضيف غير مرئية في قائمة العناوين العمومية للمؤسسة، ولكن يمكنك استخدام Azure Active Directory PowerShell لجعلها مرئية. وللحصول على مزيد من التفاصيل، راجع "إضافة ضيوف إلى قائمة العناوين العمومية" من مقالة إمكانية وصول الضيف لكل مجموعة في Microsoft 365.
هل يمكن تحديث عنوان البريد الإلكتروني الخاص بالمستخدم الضيف؟
إذا قبل أحد المستخدمين الضيوف دعوتك، ثم غيّر عنوان بريده الإلكتروني، فلن يتزامن البريد الإلكتروني الجديد تلقائيًّا مع كائن المستخدم الضيف في الدليل. بل ستنشأ خاصية البريد عبر واجهة Microsoft Graph API. وعندها يمكنك تحديث خاصية البريد عبر واجهة برمجة التطبيقات (API) من Microsoft Graph، أو مركز إدارة Exchange، أوExchange Online PowerShell. وسيظهر التغيير في كائن مستخدم الضيف في Azure AD.