تعيين أدوار Azure للمستخدمين الضيوف الخارجيين باستخدام مدخل Azure

  • مقالة
  • قراءة خلال 6 دقائق

يسمح التحكم في الوصول القائم على الأدوار في Azure (Azure RBAC) بإدارة أمان أفضل للمؤسسات الكبيرة وللشركات الصغيرة والمتوسطة الحجم التي تعمل مع المتعاونين الخارجيين أو البائعين أو المستقلين الذين يحتاجون إلى الوصول إلى موارد محددة في بيئتك، ولكن ليس بالضرورة إلى البنية الأساسية بأكملها أو أي نطاقات متعلقة بالفواتير. يمكنك استخدام الإمكانات الموجودة في Azure Active Directory B2B للتعاون مع المستخدمين الضيوف الخارجيين ويمكنك استخدام Azure RBAC لمنح الأذونات التي يحتاجها المستخدمون الضيوف فقط في بيئتك.

المتطلبات الأساسية

لتعيين أدوار Azure أو إزالة تعيينات الأدوار، يجب أن يكون لديك:

متى يمكنك دعوة المستخدمين الضيوف؟

في ما يلي مثالان على السيناريوهين اللذين يمكنك فيهما دعوة مستخدمين ضيوف إلى مؤسستك ومنح الأذونات:

  • السماح لمورد خارجي يعمل لحسابه الخاص ولديه حساب بريد إلكتروني فقط بالوصول إلى موارد Azure الخاصة بمشروع.
  • السماح لشريك خارجي بإدارة موارد معينة أو اشتراك كامل.
  • السماح لمهندسي الدعم غير التابعين لمؤسستك (مثل دعم Microsoft) بالوصول إلى موارد Azure مؤقتا لاستكشاف المشكلات وإصلاحها.

اختلافات الأذونات بين المستخدمين الأعضاء والمستخدمين الضيوف

يتمتع الأعضاء الأصليون في الدليل (المستخدمون الأعضاء) بأذونات مختلفة عن المستخدمين المدعوين من دليل آخر كضيف تعاون B2B (المستخدمون الضيوف). على سبيل المثال، يمكن لمستخدم الأعضاء قراءة جميع معلومات الدليل تقريبا بينما يكون لدى المستخدمين الضيوف أذونات دليل مقيدة. لمزيد من المعلومات حول المستخدمين الأعضاء والمستخدمين الضيوف، راجع ما هي أذونات المستخدم الافتراضية في Azure Active Directory؟.

إضافة مستخدم ضيف إلى دليلك

اتبع هذه الخطوات لإضافة مستخدم ضيف إلى دليلك باستخدام صفحة Azure Active Directory.

  1. تسجيل الدخول إلى ⁧مدخل Microsoft Azure⁧.

  2. تأكد من تكوين إعدادات التعاون الخارجي لمؤسستك بما يسمح لك بدعوة الضيوف. لمزيد من المعلومات، راجع تكوين إعدادات التعاون الخارجي.

  3. انقر فوق Azure ActiveDirectoryUsersمستخدم>>ضيف جديد.

    Screenshot of New guest user feature in Azure portal.

  4. اتبع الخطوات لإضافة مستخدم ضيف جديد. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Azure Active Directory B2B في مدخل Microsoft Azure.

بعد إضافة مستخدم ضيف إلى الدليل، يمكنك إما إرسال ارتباط مباشر إلى تطبيق مشترك إلى المستخدم الضيف، أو يمكن للمستخدم الضيف النقر فوق الارتباط قبول الدعوة في البريد الإلكتروني للدعوة.

Screenshot of guest user invite email.

لكي يتمكن المستخدم الضيف من الوصول إلى دليلك، يجب عليه إكمال عملية الدعوة.

Screenshot of guest user invite review permissions.

لمزيد من المعلومات حول عملية الدعوة، راجع استرداد دعوة تعاون Azure Active Directory B2B.

تعيين دور لمستخدم ضيف

في Azure RBAC، لمنح الوصول، يمكنك تعيين دور. لتعيين دور لمستخدم ضيف، اتبع نفس الخطوات التي تتبعها بالنسبة لمستخدم عضو أو مجموعة أو مدير خدمة أو هوية مدارة. اتبع هذه الخطوات تعيين دور لمستخدم ضيف في نطاقات مختلفة.

  1. تسجيل الدخول إلى ⁧مدخل Microsoft Azure⁧.

  2. في مربع البحث في الجزء العلوي، ابحث عن النطاق الذي تريد منح حق الوصول إليه. على سبيل المثال، ابحث عن مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو مورد معين.

  3. انقر فوق المورد المحدد لهذا النطاق.

  4. انقر فوق ⁧⁩Access control (IAM)⁦⁩⁩.

    نستعرض فيما يلي مثالاً لصفحة التحكم في الوصول (IAM) إلى مجموعة موارد.

    Screenshot of Access control (IAM) page for a resource group.

  5. حدد علامة التبويب تعيينات الدور لعرض تعيينات الدور في هذا النطاق.

  6. حدد «Add»>لإضافة تعيين دور.

    إذا لم يكن لديك أذونات لتعيين الأدوار، فسيتم تعطيل خيار إضافة تعيين دور.

    Screenshot of Add > Add role assignment menu.

    فتح صفحة إضافة تعيين دور.

  7. ضمن علامة التبويب الأدوار ، حدد دورا مثل "مساهم الجهاز الظاهري".

    Screenshot of Add role assignment page with Roles tab.

  8. ضمن علامة التبويب الأعضاء ، حدد المستخدم أو المجموعة أو أصل الخدمة.

    Screenshot of Add role assignment page with Members tab.

  9. انقر على تحديد أعضاء.

  10. ابحث عن المستخدم الضيف وحدده. إذا كنت لا ترى المستخدم في القائمة، فيمكنك الكتابة في المربع تحديد للبحث في الدليل عن اسم العرض أو عنوان البريد الإلكتروني.

    يمكنك الكتابة في المربع تحديد للبحث في الدليل عن اسم العرض أو عنوان البريد الإلكتروني.

    Screenshot of Select members pane.

  11. انقر فوق تحديد لإضافة المستخدم الضيف إلى قائمة الأعضاء.

  12. ضمن علامة التبويب مراجعة + تعيين ، انقر فوق مراجعة + تعيين.

    بعد بضع لحظات، يتم تعيين الدور للمستخدم الضيف في النطاق المحدد.

    Screenshot of role assignment for Virtual Machine Contributor.

تعيين دور لمستخدم ضيف لم يظهر بعد في الدليل

لتعيين دور لمستخدم ضيف، اتبع نفس الخطوات التي تتبعها بالنسبة لمستخدم عضو أو مجموعة أو مدير خدمة أو هوية مدارة.

إذا لم يكن المستخدم الضيف موجودا بعد في الدليل، فيمكنك دعوة المستخدم مباشرة من جزء تحديد الأعضاء.

  1. تسجيل الدخول إلى ⁧مدخل Microsoft Azure⁧.

  2. في مربع البحث في الجزء العلوي، ابحث عن النطاق الذي تريد منح حق الوصول إليه. على سبيل المثال، ابحث عن مجموعات الإدارة أو الاشتراكات أو مجموعات الموارد أو مورد معين.

  3. انقر فوق المورد المحدد لهذا النطاق.

  4. انقر فوق ⁧⁩Access control (IAM)⁦⁩⁩.

  5. حدد «Add»>لإضافة تعيين دور.

    إذا لم يكن لديك أذونات لتعيين الأدوار، فسيتم تعطيل خيار إضافة تعيين دور.

    Screenshot of Add > Add role assignment menu.

    فتح صفحة إضافة تعيين دور.

  6. ضمن علامة التبويب الأدوار ، حدد دورا مثل "مساهم الجهاز الظاهري".

  7. ضمن علامة التبويب الأعضاء ، حدد المستخدم أو المجموعة أو أصل الخدمة.

    Screenshot of Add role assignment page with Members tab.

  8. انقر على تحديد أعضاء.

  9. في المربع تحديد ، اكتب عنوان البريد الإلكتروني للشخص الذي تريد دعوته وحدد هذا الشخص.

    Screenshot of Invite guest user in Select members pane.

  10. انقر فوق تحديد لإضافة المستخدم الضيف إلى قائمة الأعضاء.

  11. في علامة التبويب مراجعة + تعيين، انقر فوق مراجعة + تعيين لإضافة المستخدم الضيف إلى الدليل وتعيين الدور وإرسال دعوة.

    بعد بضع لحظات، سترى إشعارا بتعيين الدور ومعلومات حول الدعوة.

    Screenshot of role assignment and invited user notification.

  12. لدعوة المستخدم الضيف يدويا، انقر بزر الماوس الأيمن على رابط الدعوة وانسخه في الإشعار. لا تنقر على رابط الدعوة لأنه يبدأ عملية الدعوة.

    سيكون لرابط الدعوة التنسيق التالي:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. أرسل رابط الدعوة إلى المستخدم الضيف لإكمال عملية الدعوة.

    لمزيد من المعلومات حول عملية الدعوة، راجع استرداد دعوة تعاون Azure Active Directory B2B.

إزالة مستخدم ضيف من دليلك

قبل إزالة مستخدم ضيف من دليل، يجب عليك أولا إزالة أي تعيينات أدوار لهذا المستخدم الضيف. اتبع هذه الخطوات لإزالة مستخدم ضيف من دليل.

  1. افتح التحكم في الوصول (IAM) في نطاق، مثل مجموعة الإدارة أو الاشتراك أو مجموعة الموارد أو المورد، حيث يكون لدى المستخدم الضيف تعيين دور.

  2. انقر فوق علامة التبويب تعيينات الدور لعرض كافة تعيينات الأدوار.

  3. في قائمة تعيينات الأدوار، أضف علامة اختيار بجوار المستخدم الضيف مع تعيين الدور الذي تريد إزالته.

    Screenshot of selected role assignment to remove.

  4. انقر فوق ⁧Remove⁩⁧⁩.

    Screenshot of Remove role assignment message.

  5. في رسالة إزالة تعيين الدور التي تظهر، انقر فوق ⁧⁩نعم⁧⁩.

  6. في شريط التنقل الأيمن، انقر فوق Azure Active DirectoryUsers>.

  7. انقر على المستخدم الضيف الذي تريد إزالته.

  8. انقر فوق "Delete".

    Screenshot of deleting guest user.

  9. في الرسالة التي تظهر، انقر فوق Yes.

استكشاف الأخطاء وإصلاحها

لا يمكن للمستخدم الضيف تصفح الدليل

يمتلك المستخدمون الضيوف أذونات الدليل المقيدة. على سبيل المثال، لا يمكن للمستخدمين الضيوف تصفح الدليل ولا يمكنهم البحث عن المجموعات أو التطبيقات. لمزيد من المعلومات، راجع ما هي أذونات المستخدم الافتراضية في Azure Active Directory؟.

Screenshot of guest user cannot browse users in a directory.

إذا احتاج مستخدم ضيف إلى امتيازات إضافية في الدليل، فيمكنك تعيين دور Azure AD للمستخدم الضيف. إذا كنت تريد حقا أن يتمتع مستخدم ضيف بحق الوصول الكامل للقراءة إلى دليلك، فيمكنك إضافة المستخدم الضيف إلى دور قراء الدليل في Azure AD. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Azure Active Directory B2B في مدخل Microsoft Azure.

Screenshot of assigning Directory Readers role.

لا يمكن للمستخدم الضيف تصفح المستخدمين أو المجموعات أو مديري الخدمات لتعيين الأدوار

يمتلك المستخدمون الضيوف أذونات الدليل المقيدة. حتى إذا كان المستخدم الضيف مالكا في نطاق، إذا حاول تعيين دور لمنح شخص آخر حق الوصول، فلن يتمكن من تصفح قائمة المستخدمين أو المجموعات أو مديري الخدمات.

Screenshot of guest user cannot browse security principals to assign roles.

إذا كان المستخدم الضيف يعرف اسم تسجيل الدخول الدقيق لشخص ما في الدليل، فيمكنه منح حق الوصول. إذا كنت تريد حقا أن يتمتع مستخدم ضيف بحق الوصول الكامل للقراءة إلى دليلك، فيمكنك إضافة المستخدم الضيف إلى دور قراء الدليل في Azure AD. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Azure Active Directory B2B في مدخل Microsoft Azure.

لا يمكن للمستخدم الضيف تسجيل التطبيقات أو إنشاء مبادئ الخدمة

يمتلك المستخدمون الضيوف أذونات الدليل المقيدة. إذا احتاج مستخدم ضيف إلى أن يكون قادرا على تسجيل التطبيقات أو إنشاء مبادئ الخدمة، فيمكنك إضافة المستخدم الضيف إلى دور مطور التطبيقات في Azure AD. لمزيد من المعلومات، راجع إضافة مستخدمي تعاون Microsoft Azure Active Directory B2B في مدخل Microsoft Azure.

Screenshot of guest user cannot register applications.

المستخدم الضيف لا يرى الدليل الجديد

إذا تم منح مستخدم ضيف حق الوصول إلى دليل، ولكنه لا يرى الدليل الجديد مدرجا في مدخل Azure عند محاولة التبديل في صفحة الدلائل الخاصة به، فتأكد من إكمال المستخدم الضيف لعملية الدعوة. لمزيد من المعلومات حول عملية الدعوة، راجع استرداد دعوة تعاون Azure Active Directory B2B.

المستخدم الضيف لا يرى الموارد

إذا تم منح مستخدم ضيف حق الوصول إلى دليل، ولكنه لا يرى الموارد التي تم منحه حق الوصول إليها في مدخل Azure، فتأكد من أن المستخدم الضيف قد حدد الدليل الصحيح. قد يتمكن المستخدم الضيف من الوصول إلى أدلة متعددة. لتبديل الدلائل، في أعلى يمين الصفحة، انقر فوق الإعدادات>الدلائل، ثم انقر فوق الدليل المناسب.

Screenshot of Poral setting Directories section in Azure portal.

الخطوات التالية