استكشاف أخطاء أدوار Microsoft Azure Active Directory المعينة للمجموعات وإصلاحها

يمكن فقط لمسؤولي الأدوار المتميزة أو المسؤولين العموميين إنشاء مجموعة مؤهلة لتعيين الدور. يرى المستخدمون في هذه الأدوار فقط عنصر التحكم هذا.

بشكل افتراضي، يقوم مسؤول الدور المتميز والمسؤول العام فقط بإدارة عضوية المجموعة التي يمكن تعيين دور لها، ولكن يمكنك تفويض إدارة المجموعات التي يمكن تعيين الدور بها عن طريق إضافة مالكي المجموعة.

قد يكون المستخدم قد حصل على قارئات الدليل عن طريق مجموعة يمكن تخصيص الأدوار لها. تتم حماية جميع أعضاء ومالكي المجموعات التي يتم تعيين دور لها. يمكن فقط للمستخدمين في أدوار مسؤول المصادقة ذات الامتياز أو المسؤول العالمي إعادة تعيين بيانات الاعتماد لمستخدم محمي.

يمكن أن يكون المستخدم مالكاً لمجموعة يمكن تعيين دور لها. نحن نحمي مالكي المجموعات التي يمكن تخصيص الأدوار لها لتجنب رفع الامتياز. من الأمثلة على ذلك ما إذا تم تعيين مجموعة Contoso_Security_Admins إلى دور مسؤول الأمان، حيث يكون Bob هو مالك المجموعة وAlice هو Password Administrator في المؤسسة. إذا لم تكن هذه الحماية موجودة، فبإمكان Alice إعادة تعيين بيانات اعتماد Bob والاستيلاء على هويته. بعد ذلك، يمكن أن تضيف أليس نفسها أو أي شخص إلى مجموعة Contoso_Security_Admins لتصبح مسؤول أمان في المؤسسة. لمعرفة ما إذا كان المستخدم هو مالك مجموعة، احصل على قائمة العناصر المملوكة لهذا المستخدم ومعرفة ما إذا كان أي من المجموعات قد تم تعيين AssignableToRole على "true". إذا كانت الإجابة بنعم، فهذا يعني أن هذا المستخدم محمي ويكون السلوك حسب التصميم. الرجوع إلى هذه الوثائق للحصول على الأشياء المملوكة:

• Get-AzureADUserOwnedObject 
• قائمة العناصر المملوكة

نعم يمكنك. يمكن للمسؤولين العموميين ومسؤولي الأدوار المتميزة إنشاء مراجعات وصول على المجموعات التي يمكن تخصيص الأدوار لها.

نعم يمكنك. يتمتع المسؤول العالمي ومسؤول المستخدم بالقدرة على وضع أي مجموعة في حزمة وصول. لم يتغير شيء للمسؤول العالمي، ولكن هناك تغييراً طفيفاً في أذونات دور مسؤول المستخدم. لوضع مجموعة يمكن تخصيص دور لها في حزمة وصول، يجب أن تكون مسؤولاً مستخدِماً وأيضاً مالك المجموعة التي يمكن تعيين الدور فيها. فيما يلي الجدول الكامل الذي يوضح من يمكنه إنشاء حزمة وصول في Enterprise License Management:

*المجموعة غير قابلة للتخصيص؛ وهذا يعني، isAssignableToRole = خطأ. إذا كانت المجموعة قابلة لتعيين الدور، فيجب أن يكون الشخص الذي ينشئ حزمة الوصول أيضاً مالكاً للمجموعة التي يمكن تعيين الدور لها.

هذه الإجابة قابلة للتطبيق فقط على مؤسسات Microsoft Azure Active Directory Premium P1.

1. سجّل الدخول إلى مدخل Microsoft Azure أو مركز إدارة Microsoft Azure Active Directory وافتح Azure Active Directory.
2. حدد المستخدمين وافتح ملف تعريف المستخدم.
3. تحديد الأدوار المعينة.
4. حدد رمز الترس. يتم فتح جزء يمكنه تقديم هذه المعلومات. يوجد زر "إزالة" بجانب التخصيصات المباشرة. لإزالة تعيين الدور غير المباشر، قم بإزالة المستخدم من المجموعة التي تم تعيين الدور لها.

اتبع الخطوات التالية:

1. سجّل الدخول إلى مدخل Microsoft Azure أو مركز إدارة Microsoft Azure Active Directory وافتح Azure Active Directory.
2. حدد GroupsAll groups.
3. حدد Add filters.
4. تصفية إلى الدور الذي يمكن تعيينه.

اتبع الخطوات التالية:

1. سجّل الدخول إلى مدخل Microsoft Azure أو مركز إدارة Microsoft Azure Active Directory وافتح Azure Active Directory.

2. حدد المستخدمين وافتح ملف تعريف المستخدم.

3. حدد Assigned roles، ثم:

   • في المؤسسات المرخصة Microsoft Azure Active Directory Premium P1: حدد رمز الترس. يتم فتح جزء يمكنه تقديم هذه المعلومات.
   • في المؤسسات المرخصة Microsoft Azure Active Directory Premium P2: ستجد معلومات الترخيص المباشر والموروث في عمود العضوية .

إذا قمت بتعيين مجموعة موجودة لدور ما، فيمكن لمالك المجموعة الحالي إضافة أعضاء آخرين إلى هذه المجموعة دون أن يدرك الأعضاء الجدد أنه سيكون لهم الدور. نظراً لأن المجموعات التي يمكن تخصيص الأدوار لها قوية، فإننا نضع الكثير من القيود لحمايتها. لا تريد إجراء تغييرات على المجموعة يكون ذلك مفاجئاً للشخص الذي يدير المجموعة.

الخطوات التالية

• استخدم مجموعات Microsoft Azure Active Directory لإدارة تعيينات الأدوار
• إنشاء مجموعات قابلة لتعيين الأدوار