ما أذونات المستخدم الافتراضية في Microsoft Azure Active Directory؟
في Azure Active Directory (Azure AD) ، يتم منح جميع المستخدمين مجموعة من الأذونات الافتراضية. يتكون وصول المستخدم من نوع المستخدم وتعيينات الدور وملكيتهم للعناصر الفردية.
توضح هذه المقالة هذه الأذونات الافتراضية وتحتوي على مقارنة بين الإعدادات الافتراضية للعضو والمستخدم الضيف. يمكن تغيير أذونات المستخدم الافتراضية فقط في إعدادات المستخدم في Azure AD.
المستخدمون الأعضاء والضيوف
تعتمد مجموعة الأذونات الافتراضية على ما إذا كان المستخدم عضواً أصلياً للمستأجر (مستخدم عضو) أو ما إذا كان يتم إحضار المستخدم من دليل آخر كضيف تعاون بين الشركات (B2B) (مستخدم ضيف). لمزيد من المعلومات حول إضافة مستخدمين ضيوف، راجع ما هو تعاون Microsoft Azure Active Directory B2B؟. فيما يلي إمكانيات الأذونات الافتراضية:
يمكن للمستخدمين الأعضاء تسجيل التطبيقات وإدارة صورة ملفهم التعريفي، ورقم هاتفهم المحمول، وتغيير كلمة المرور الخاصة بهم، ودعوة ضيوف B2B. يمكن لهؤلاء المستخدمين أيضاً قراءة كافة معلومات الدليل (مع استثناءات قليلة).
يمتلك المستخدمون الضيوف أذونات دليل محدودة. يمكنهم إدارة ملفهم التعريفي وتغيير كلمة المرور واسترداد بعض المعلومات حول المستخدمين الآخرين والمجموعات والتطبيقات. ومع ذلك، لا يمكنهم قراءة كافة معلومات الدليل.
على سبيل المثال، لا يمكن للمستخدمين الضيوف سرد قائمة كافة المستخدمين والمجموعات وعناصر الدليل الأخرى. يمكن إضافة الضيوف إلى أدوار المسؤول، التي تمنحهم أذونات القراءة والكتابة الكاملة. كما يمكن للضيوف دعوة ضيوف آخرين.
مقارنة الأذونات الافتراضية للعضو والضيف
| المجال | أذونات وصول المستخدم العضو | أذونات المستخدم الضيف الافتراضية | أذونات المستخدم الضيف المُقيدة |
|---|---|---|---|
| المستخدمون وجهات الاتصال |
|
|
|
| المجموعات |
|
|
|
| التطبيقات |
|
|
|
| الأجهزة |
|
بدون أذونات | بدون أذونات |
| الدليل |
|
|
|
| الأدوار والنطاقات |
|
بدون أذونات | بدون أذونات |
| الاشتراكات |
|
بدون أذونات | بدون أذونات |
| النُهج |
|
بدون أذونات | بدون أذونات |
تقييد الأذونات الافتراضية للمستخدمين الأعضاء
من الممكن إضافة قيود إلى الأذونات الافتراضية للمستخدمين. تُستخدم هذه الميزة إذا كنت لا تريد أن يتمكن جميع المستخدمين في الدليل من الوصول إلى دليل / مدخل مسؤول Microsoft Azure Active Directory.
على سبيل المثال، لدى الجامعة العديد من المستخدمين في دليلها. قد لا يرغب المشرف في أن يتمكن جميع الطلاب في الدليل من رؤية الدليل الكامل وانتهاك خصوصية الطلاب الآخرين. استخدام هذه الميزة اختياري، ووفقا لتقدير مسؤول Microsoft Azure Active Directory.
يمكن تقييد الأذونات الافتراضية للمستخدمين الأعضاء بالطرق التالية:
| الإذن | توضيح التعيين |
|---|---|
| تسجيل الطلبات | يؤدي تعيين هذا الخيار على لا إلى منع المستخدمين من إنشاء تسجيلات التطبيقات. يمكنك منح القدرة مرة أخرى إلى أفراد محددين بإضافتهم إلى دور مطور التطبيق. |
| السماح للمستخدمين بتوصيل حساب العمل أو المدرسة بـ LinkedIn | يؤدي تعيين هذا الخيار على لا إلى منع المستخدمين من ربط حساب العمل أو المدرسة بحساب LinkedIn الخاص بهم. للحصول على مزيدٍ من المعلومات، راجع مشاركة البيانات والموافقة على اتصالات حساب LinkedIn. |
| إنشاء مجموعات أمان | يؤدي تعيين هذا الخيار على لا إلى منع المستخدمين من إنشاء مجموعات أمان. لا يزال بإمكان المسؤولين العموميين ومسؤولي المستخدمين إنشاء مجموعات أمان. راجع Microsoft Azure Active Directory cmdlets لتكوين إعدادات المجموعة لمعرفة كيفية ذلك. |
| إنشاء مجموعات Microsoft 365 | يؤدي تعيين هذا الخيار على لا إلى منع المستخدمين من إنشاء مجموعات Microsoft 365. يسمح تعيين هذا الخيار على بعض مجموعة من المستخدمين بإنشاء مجموعات Microsoft 365. لا يزال بإمكان المسؤولين العموميين ومسؤولي المستخدمين إنشاء مجموعات Microsoft 365. راجع Microsoft Azure Active Directory cmdlets لتكوين إعدادات المجموعة لمعرفة كيفية ذلك. |
| الوصول إلى مدخل إدارة Microsoft Azure Active Directory | يسمح تعيين هذا الخيار على لا لغير المسؤولين باستخدام مدخل إدارة Microsoft Azure Active Directory لقراءة موارد Microsoft Azure Active Directory وإدارتها. وتعيينه على نعم فإنه يقيد كل غير المسؤولين من الوصول إلى أي بيانات Microsoft Azure Active Directory في مدخل الإدارة. لا يقيد هذا الإعداد الوصول إلى بيانات Microsoft Azure Active Directory باستخدام PowerShell أو عملاء آخرين مثل Visual Studio. عند تعيين هذا الخيار على نعم لمنح مستخدم غير مسؤول معين القدرة على استخدام مدخل إدارة Microsoft Azure Active Directory، قم بتعيين أي دور إداري مثل دور قارئ الدليل. يسمح دور قارئ الدليل بقراءة معلومات الدليل الأساسية. المستخدمين الأعضاء لديهم بشكل افتراضي. أما الضيوف ومديري الخدمات فلا. تمنع هذه الإعدادات المستخدمين غير الإداريين الذين هم أصحاب مجموعات أو تطبيقات من استخدام مدخل Microsoft Azure لإدارة الموارد الخاصة بهم. لا يقيد هذا الإعداد الوصول طالما تم تعيين دور مخصص للمستخدم (أو أي دور) وليس مجرد مستخدم. |
| قراءة مستخدمين آخرين | يتوفر هذا الإعداد في Microsoft Graph وPowerShell فقط. تعيين هذه العلامة $false لمنع كافة غير المسؤولين من قراءة معلومات المستخدم من الدليل. لا تمنع هذه العلامة قراءة معلومات المستخدم في خدمات Microsoft الأخرى مثل Exchange Online.هذا الإعداد مخصص لظروف خاصة، لذلك لا ننصح بتعيين العلامة إلى |
ملاحظة
من المفترض أن المستخدم العادي سيستخدم المدخل فقط للوصول إلى Microsoft Azure Active Directory، ولن يستخدم PowerShell أو CLI للوصول إلى موارده. حالياً، تقييد الوصول إلى أذونات المستخدمين الافتراضية يحدث فقط عندما يحاول المستخدم الوصول إلى الدليل داخل مدخل Microsoft Azure.
تقييد الأذونات الافتراضية للمستخدمين الضيوف
يمكن تقييد الأذونات الافتراضية للمستخدمين الأعضاء بالطرق التالية.
ملاحظة
استبدل إعداد قيود وصول المستخدم الضيفالإعداد المحدود لأذونات المستخدمين الضيوف محدودة. للحصول على إرشادات حول استخدام هذه الميزة، راجع تقييد أذونات وصول الضيف في Microsoft Azure Active Directory.
| الإذن | توضيح التعيين |
|---|---|
| قيود وصول المستخدم الضيف | تعيين هذا الخيار "Guest users have the same access as members" يمنح المستخدمين الضيوف كافة أذونات المستخدمين الأعضاء بشكل افتراضي. تعيين هذا الخيار "Guest user access is restricted to properties and memberships of their own directory objects" يُقيد وصول الضيف إلى ملف تعريف المستخدم الخاص بهم بشكل افتراضي. لم يعد الوصول إلى المستخدمين الآخرين مسموحاً به، حتى عند البحث عن طريق اسم المستخدم الأساسي أو معرف الكائن أو اسم العرض. كما لم يعد مسموحاً بالوصول إلى معلومات المجموعات بما في ذلك عضوية المجموعات. لا يمنع هذا الإعداد الوصول إلى المجموعات المنضمة في بعض الخدمات Microsoft 365 مثل Microsoft Teams. لمعرفة المزيد، راجع Microsoft Teams وصول الضيف. لا يزال يمكن إضافة المستخدمين الضيوف إلى أدوار المسؤول بغض النظر عن إعداد الأذونات هذا. |
| يمكن للضيوف الدعوة | يتيح إعداد هذا الخيار على نعم للضيوف دعوة ضيوف آخرين. لمعرفة المزيد، راجع تكوين إعدادات التعاون الخارجية. |
| يمكن للأعضاء الدعوة | تعيين هذا الخيار على نعم يسمح لأعضاء الدليل غير المسؤولين بدعوة الضيوف. لمعرفة المزيد، راجع تكوين إعدادات التعاون الخارجية. |
| يمكن للمسؤولين والمستخدمين في دور مقدم الدعوة الضيف الدعوة | يسمح تعيين هذا الخيار إلى نعم للمسؤولين والمستخدمين في دور الداعي الضيف بدعوة الضيوف. عند تعيين هذا الخيار إلى نعم،سيظل بإمكان المستخدمين في دور الضيف المدعو دعوة الضيوف، بغض النظر عن إعداد الأعضاء الذي يمكن أن يدعوه. لمعرفة المزيد، راجع تكوين إعدادات التعاون الخارجية. |
ملكية العناصر
أذونات مالك تسجيل التطبيق
عندما يقوم مستخدم بتسجيل تطبيق، يُضاف تلقائياً كمالك للتطبيق. كمالك، يمكنه إدارة بيانات تعريف التطبيق، مثل الاسم والأذونات التي يطلبها التطبيق. كما يمكنهم إدارة التكوين الخاص بالمستأجرين للتطبيق، مثل تكوين تسجيل دخول أحادي (SSO) وتعيينات المستخدم.
كما يمكن للمالك إضافة أو إزالة مالكين آخرين. على عكس المسؤول العام، يمكن للمالكين فقط إدارة التطبيقات التي يمتلكونها.
أذونات مالك تطبيق المؤسسة
عندما يضيف مستخدم تطبيق مؤسسة جديدة، يُضاف تلقائياً كمالك. كمالك، يمكنه إدارة تكوين التطبيق الخاص بالمستأجرين، مثل تكوين تسجيل دخول أحادي (SSO) وتوفير وتعيينات المستخدم.
كما يمكن للمالك إضافة أو إزالة مالكين آخرين. على عكس المسؤول العام، يمكن للمالكين فقط إدارة التطبيقات التي يمتلكونها.
أذونات مالك المجموعة
عندما يقوم مستخدم بإنشاء مجموعة، يُضاف تلقائياً كمالك لتلك المجموعة. كمالك، يمكنه إدارة خصائص المجموعة مثل الاسم، بالإضافة إلى إدارة عضوية المجموعة.
كما يمكن للمالك إضافة أو إزالة مالكين آخرين. على عكس المسؤولين العموميين ومسؤولي المستخدمين، يمكن للمالكين إدارة المجموعات التي يمتلكونها فقط.
لتعيين مالك مجموعة، راجع إدارة المالكين لمجموعة.
أذونات الملكية
تصف الجداول التالية أذونات معينة في مستخدمي Microsoft Azure Active Directory الأعضاء عبر العناصر المملوكة. المستخدمين لديهم هذه الأذونات فقط على العناصر التي يمتلكونها.
تسجيلات الطلبات المملوكة
يمكن للمستخدمين تنفيذ الإجراءات التالية على تسجيلات التطبيقات المملوكة:
| إجراء | الوصف |
|---|---|
| microsoft.directory/applications/audience/update | تحديث applications.audience الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/applications/authentication/update | تحديث applications.authentication الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/applications/basic/update | تحديث الخصائص الأساسية على التطبيقات في Microsoft Azure Active Directory. |
| microsoft.directory/applications/credentials/update | تحديث applications.credentials الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/applications/delete | حذف التطبيقات في Microsoft Azure Active Directory. |
| microsoft.directory/applications/owners/update | تحديث applications.owners الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/applications/permissions/update | تحديث applications.permissions الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/applications/policies/update | تحديث applications.policies الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/applications/restore | استعادة التطبيقات في Microsoft Azure Active Directory. |
تطبيقات المؤسسة المملوكة
يمكن للمستخدمين تنفيذ الإجراءات التالية على تطبيقات المؤسسة المملوكة. يتكون تطبيق المؤسسة من كيان الخدمة، واحد أو أكثر من نهج التطبيق، وأحيانا عنصر تطبيق في المستأجر نفسه ككيان الخدمة.
| إجراء | الوصف |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | قراءة كافة الخصائص (بما في ذلك الخصائص المميزة) على سجلات التدقيق في Microsoft Azure Active Directory. |
| microsoft.directory/policies/basic/update | تحديث الخصائص الأساسية على النهج في Microsoft Azure Active Directory. |
| microsoft.directory/policies/delete | حذف سياسات في Microsoft Azure Active Directory. |
| microsoft.directory/policies/owners/update | تحديث policies.owners الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | تحديث servicePrincipals.appRoleAssignedTo الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/servicePrincipals/appRoleAssignments/update | تحديث users.appRoleAssignments الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/servicePrincipals/audience/update | تحديث servicePrincipals.audience الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/servicePrincipals/authentication/update | تحديث servicePrincipals.authentication الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/servicePrincipals/basic/update | تحديث الخصائص الأساسية على كيانات الخدمة في Microsoft Azure Active Directory. |
| microsoft.directory/servicePrincipals/credentials/update | تحديث servicePrincipals.credentials الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/servicePrincipals/delete | حذف كيانات الخدمة في Microsoft Azure Active Directory. |
| microsoft.directory/servicePrincipals/owners/update | تحديث servicePrincipals.owners الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/servicePrincipals/permissions/update | تحديث servicePrincipals.permissions الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/servicePrincipals/policies/update | تحديث servicePrincipals.policies الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/signInReports/allProperties/read | قراءة كافة الخصائص (بما في ذلك الخصائص المميزة) في تقارير تسجيل الدخول في Microsoft Azure Active Directory. |
الأجهزة المملوكة
يمكن للمستخدمين تنفيذ الإجراءات التالية على الأجهزة المملوكة:
| إجراء | الوصف |
|---|---|
| microsoft.directory/devices/bitLockerRecoveryKeys/read | قراءة devices.bitLockerRecoveryKeys الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/devices/disable | تعطيل الأجهزة في Microsoft Azure Active Directory. |
المجموعات المملوكة
يمكن للمستخدمين تنفيذ الإجراءات التالية على المجموعات المملوكة.
ملاحظة
يجب أن يكون لدى مالكي المجموعات الديناميكية مسؤول عمومي أو مسؤول مجموعة أو مسؤول Microsoft Intune أو دور مسؤول المستخدم لتحرير قواعد عضوية المجموعة. لمزيد من المعلومات، راجع إنشاء أو تحديث مجموعة ديناميكية في Microsoft Azure Active Directory.
| إجراء | الوصف |
|---|---|
| microsoft.directory/groups/appRoleAssignments/update | تحديث groups.appRoleAssignments الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/groups/basic/update | تحديث الخصائص الأساسية على المجموعات في Microsoft Azure Active Directory. |
| microsoft.directory/groups/delete | حذف المجموعات في Microsoft Azure Active Directory. |
| microsoft.directory/groups/members/update | تحديث groups.members الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/groups/owners/update | تحديث groups.owners الخاصية في Microsoft Azure Active Directory. |
| microsoft.directory/groups/restore | استعادة المجموعات في Microsoft Azure Active Directory. |
| microsoft.directory/groups/settings/update | تحديث groups.settings الخاصية في Microsoft Azure Active Directory. |
الخطوات التالية
- لمعرفة المزيد حول إعداد قيود وصول المستخدمين الضيوف، راجع تقييد أذونات وصول الضيف في Microsoft Azure Active Directory.
- لمعرفة المزيد حول كيفية تعيين أدوار مسؤولMicrosoft Azure Active Directory، راجع تعيين مستخدم لأدوار المسؤول في Microsoft Azure Active Directory.
- لمعرفة المزيد حول كيفية التحكم في الوصول إلى الموارد في Microsoft Azure، راجع فهم الوصول إلى الموارد في Azure.
- لمزيد من المعلومات حول كيفية ارتباط Microsoft Azure Active Directory باشتراك Azure، راجع كيفية اقتران اشتراكات Azure بـ Microsoft Azure Active Directory.
- إدارة المستخدمين.