إنشاء مراجعات صلاحية الوصول للمجموعات والتطبيقات

  • 12 دقائق

تتغير صلاحية الوصول إلى المجموعات والتطبيقات للموظفين والضيوف بمرور الوقت. لتقليل المخاطر المرتبطة بتعيينات الوصول التي لا معنى لها، يمكن للمسؤولين استخدام معرف Microsoft Entra لإنشاء مراجعات صلاحية الوصول لأعضاء المجموعة أو الوصول إلى التطبيق. إذا كنت بحاجة إلى مراجعة صلاحية الوصول بشكل روتيني، يمكنك أيضًا إنشاء مراجعات صلاحية وصول متكررة.

شاهد هذا الفيديو لمعرفة المزيد حول كيفية نشر مراجعات صلاحية الوصول وإنشاءها.

المتطلبات الأساسية

  • Microsoft Entra ID Premium P2
  • مسؤول عام أو مسؤول المستخدم

إنشاء مراجعة صلاحية وصول واحدة أو أكثر

  1. سجّل الدخول إلى مدخل Microsoft Azure ثم افتح صفحة إدارة الهوية.

  2. في القائمة اليسرى، حدد مراجعة صلاحية الوصول.

  3. حدد New access review لإنشاء مراجعة صلاحية وصول جديدة.

    Screenshot of the Access reviews pane in Identity Governance.

  4. في الخطوة 1: حدد ما تريد مراجعته حدد المورد الذي ترغب في مراجعته.

    Screenshot of the Create an access review - Review name and description dialog.

  5. إذا حددت "Teams + Groups" في الخطوة 1، يتوفر لك خياران في الخطوة 2:

    • جميع مجموعات Microsoft 365 مع المستخدمين الضيوف. حدد هذا الخيار إذا كنت ترغب في إنشاء مراجعات متكررة على جميع المستخدمين الضيوف في جميع مجموعات Microsoft Teams ومجموعات Microsoft 365 في مؤسستك. يمكنك اختيار استبعاد مجموعات معينة عن طريق تحديد "تحديد مجموعة (مجموعات) لاستبعادها."

    • تحديد teams + groups. حدد هذا الخيار إذا كنت ترغب في تحديد مجموعة محدودة من الفرق و/أو المجموعات التي تريد مراجعتها. بعد تحديد هذا الخيار، سترى قائمة بالمجموعات إلى اليمين للاختيار منها.

      Screenshot of the Teams and groups settings. Pick your groups to exclude.Screenshot of the Teams and groups chosen in the user interface. Selected items are excluded.

  6. إذا حددت التطبيقات في الخطوة 1، يمكنك بعد ذلك تحديد تطبيق واحد أو أكثر في الخطوة 2.

    Screenshot of The interface displayed if you chose applications rather than groups.

  7. بعد ذلك، في الخطوة 3 يمكنك تحديد نطاق للمراجعة. الخيارات الموجودة لديك هي:

    • Guest users only. تحديد هذا الخيار يحد من مراجعة الوصول لمستخدمي Microsoft Entra B2B الضيوف فقط في دليلك.

    • Everyone. يضيق تحديد هذا الخيار نطاق مراجعة صلاحية الوصول إلى جميع عناصر المستخدم المقترنة بالمورد.

      إشعار

      إذا حددت جميع مجموعات Microsoft 365 مع المستخدمين الضيوف في الخطوة 2، فإن الخيار الوحيد الذي سيتوفر لك هو مراجعة المستخدمين الضيوف في الخطوة 3.

  8. حدد التالي: المراجعات

  9. في قسم تحديد المراجعين ، حدد شخصا واحدا أو أكثر لإجراء مراجعات صلاحية الوصول. يمكنك الاختيار من بين:

    • مالك (مالكي) المجموعة (متوفر فقط عند إجراء مراجعة على فريق أو مجموعة)
    • المستخدم (المستخدمين) المحددين أو المجموعات (المجموعات) المحددة
    • المستخدمون يراجعون الوصول الخاص
    • (معاينة) مديرو المستخدمين. إذا اخترت إما مديري المستخدمين أو مالكي المجموعة، فلديك أيضا خيار تحديد مراجع احتياطي. يُطلب من المراجعين الاحتياطيين إجراء مراجعة عندما لا يكون للمستخدم مدير محدد في الدليل أو إذا لم يكن للمجموعة مالك.

  10. في قسم تحديد تكرار المراجعة، يمكنك تحديد تكرار مثل أسبوعي، شهري، ربع سنوي، نصف سنوي، سنوي. ثم تحدد المدة، والتي تحدد المدة التي سيتم فيها فتح المراجعة لإدخالها من المراجعين. على سبيل المثال، يبلغ الحد الأقصى للمدة التي يمكنك تعيينها لمراجعة شهرية 27 يومًا لتجنب تداخل المراجعات. قد ترغب في تقصير المدة للتأكد من أن إدخال المراجعين لديك قد تم تطبيقه في وقت سابق. بعد ذلك، يمكنك تحديد تاريخ البدء وتاريخ الانتهاء.

    Screenshot of the Choose how often the review should happen. Admins should set a reasonable timeline.

  11. حدد الزر التالي: الإعدادات أسفل الصفحة.

  12. في إعدادات عند الانتهاء، يمكنك تحديد ما يحدث بعد اكتمال المراجعة.

    Screenshot of the Create an access review - upon completion settings.

    إذا كنت تريد إزالة الوصول للمستخدمين مرفوضين تلقائيا، فقم بتعيين تطبيق تلقائي للنتائج على المورد إلى تمكين. إذا كنت تريد تطبيق النتائج يدويا عند اكتمال المراجعة، فقم بتعيين التبديل إلى تعطيل. استخدم القائمة "If reviewers don't respond" لتحديد ما يحدث للمستخدمين الذين لم يراجعهم المراجع خلال فترة المراجعة. لا يؤثر هذا الإعداد على المستخدمين الذين راجعهم المراجعين يدويًا. إذا كان قرار المراجع النهائي هو الرفض، فستتم حينئذٍ إزالة صلاحية وصول المستخدم.

    • لا تغيير - اترك وصول المستخدم دون تغيير
    • إزالة الوصول - إزالة وصول المستخدم
    • الموافقة على الوصول - الموافقة على وصول المستخدم
    • اتخاذ التوصيات - خذ توصية النظام بشأن رفض أو الموافقة على وصول المستخدم المستمر

    استخدم "Action to apply on denied users" الضيوف لتحديد ما يحدث للمستخدمين الضيوف إذا رُفضوا.

    • Remove user’s membership from the resource سيُزيل وصول المستخدم المرفوض إلى المجموعة أو التطبيق قيد المراجعة، وسيظل قادرًا على تسجيل الدخول إلى المستأجر.
    • حظر المستخدم من تسجيل الدخول لمدة 30 يوما، ثم إزالة المستخدم من المستأجر سيمنع المستخدمين مرفوضين من تسجيل الدخول إلى المستأجر، بغض النظر عما إذا كان لديهم حق الوصول إلى موارد أخرى. إذا كان هناك خطأ أو إذا قرر مسؤول إعادة إتاحة الوصول إلى شخص ما، فبإمكانه تنفيذ ذلك في غضون 30 يومًا بعد تعطيل المستخدم. إذا لم يُتخذ أي إجراء على المستخدمين المتعطلين، فسيُحذفوا من المستأجر.
    • الإجراء الذي يجب تطبيقه على المستخدمين الضيوف المرفوضين غير قابل للتكوين على المراجعات التي تم تحديد نطاقها لأكثر من المستخدمين الضيوف. كما أنه غير قابل للتكوين لمراجعات جميع مجموعات Microsoft 365 مع المستخدمين الضيوف. عندما يكون غير قابل للتكوين، يتم استخدام الخيار الافتراضي لإزالة عضوية المستخدم من المورد على المستخدمين الذين تم رفضهم.

  13. في Enable review decision helpers اختر ما إذا كنت ترغب في أن يتلقى المراجع توصيات أثناء عملية المراجعة.

    Screenshot of the Enable decision helpers options. Offer recommendations to the reviewers.

  14. في قسم الإعدادات المتقدمة، يمكنك اختيار ما يلي

    • تعيين التبرير المطلوب إلى تمكين لمطالبة المراجع بتوفير سبب للموافقة.
    • قم بتعيين إعلامات البريد الإلكتروني إلى تمكين لكي يرسل معرف Microsoft Entra إعلامات البريد الإلكتروني إلى المراجعين عند بدء مراجعة صلاحية الوصول، وإلى المسؤولين عند اكتمال المراجعة.
    • تعيين التذكيرات إلى تمكين لكي يرسل معرف Microsoft Entra تذكيرات بمراجعات صلاحية الوصول قيد التقدم إلى المراجعين الذين لم يكملوا مراجعتهم. وستكون هذه التذكيرات في منتصف المدة التي تستغرقها المراجعة.
    • يتم إنشاء محتوى البريد الإلكتروني المرسل إلى المراجعين تلقائيا استنادا إلى تفاصيل المراجعة، مثل اسم المراجعة واسم المورد وتاريخ الاستحقاق وما إلى ذلك. إذا كنت بحاجة إلى طريقة لتوصيل معلومات إضافية، مثل إرشادات إضافية أو معلومات جهة اتصال، يمكنك تحديد هذه التفاصيل في قسم المحتوى الإضافي للبريد الإلكتروني للمراجع. يتم تضمين المعلومات التي تدخلها في رسائل الدعوة والتذكير الإلكترونية المرسلة إلى المراجعين المعينين. يعرض القسم الموضح في الصورة أدناه مكان عرض هذه المعلومات.

  15. حدد Next: Review + Create للانتقال إلى الصفحة التالية.

  16. عيّن اسمًا لمراجعة صلاحية الوصول. اختياريًا، امنح المراجعة وصفًا. يتم عرض الاسم والوصف للمراجعين.

  17. راجع المعلومات وحدد Create.

    Screenshot of the create review screen. Overview of the access review that has just finished creation.

بدء مراجعة صلاحية الوصول

بمجرد تحديد إعدادات مراجعة صلاحية الوصول، حدد بدء. ستظهر مراجعة صلاحية الوصول في قائمتك مع مؤشر يدل على حالتها.

Screenshot of the List of access reviews and their status. Review the status of each item.

بشكل افتراضي، يرسل معرف Microsoft Entra بريدا إلكترونيا إلى المراجعين بعد وقت قصير من بدء المراجعة. إذا اخترت عدم إرسال معرف Microsoft Entra للبريد الإلكتروني، فتأكد من إبلاغ المراجعين بأن مراجعة صلاحية الوصول تنتظر اكتمالها. يمكنك مشاهدتها في إرشادات حول كيفية مراجعة الوصول إلى المجموعات أو التطبيقات. إذا كانت مراجعتك مخصصة للضيوف لمراجعة الوصول الخاصة بهم، أظهر لهم تعليمات حول كيفية مراجعة الوصول بنفسك إلى المجموعات أو التطبيقات.

إذا عيّنت الضيوف كمراجعين ولم يقبلوا الدعوة، فلن يتلقوا بريد إلكتروني من مراجعات صلاحية الوصول لأنه يجب عليهم أولًا قبول الدعوة قبل المراجعة.

جدول حالة مراجعة صلاحية الوصول

‏الحالة التعريف
لم يتم البدء تم إنشاء المراجعة، اكتشاف المستخدم في انتظار بدء التشغيل.
تتم الآن تهيئة اكتشاف المستخدم قيد التقدم لتعريف كافة المستخدمين الذين هم جزء من المراجعة.
البدء تبدأ المراجعة. في حالة تمكين إشعارات البريد الإلكتروني، يتم إرسال الرسائل الإلكترونية إلى المراجعين.
قيد التقدم بدأت المراجعة. إذا تم تمكين إشعارات البريد الإلكتروني، فقد تم إرسال الرسائل الإلكترونية إلى المراجعين. يمكن للمراجعين تقديم القرارات حتى تاريخ الاستحقاق.
جارٍ الإكمال يتم الآن إكمال المراجعة، ويتم إرسال الرسائل الإلكترونية إلى مالك المراجعة.
المراجعة التلقائية المراجعة في مرحلة مراجعة النظام. يسجل النظام القرارات للمستخدمين الذين لم يُرجعوا بناءً على توصيات أو قرارات مُكونة مسبقًا.
تمت المراجعة التلقائية سجل النظام القرارات لجميع المستخدمين الذين لم يُرجعوا. المراجعة جاهزة للمتابعة إلى تطبيق إذا تم تمكين تطبيق تلقائي.
يتم التطبيق لن يكون هناك أي تغيير في صلاحية الوصول للمستخدمين الذين تمت الموافقة عليهم.
تم التطبيق تمت إزالة المستخدمين الذين تم رفضهم من المورد أو الدليل، إن وجدوا.
‏‏فاشلة لم يتسنّ إحراز تقدم في المراجعة. قد يكون هذا الخطأ مرتبطًا بحذف المستأجر أو تغيير في التراخيص أو تغييرات المستأجر الداخلي الأخرى.

إنشاء المراجعات عبر واجهات برمجة التطبيقات

يمكنك أيضًا إنشاء مراجعات صلاحية الوصول باستخدام واجهات برمجة التطبيقات. يمكن تنفيذ ما يمكنك تنفيذه لإدارة مراجعات صلاحية الوصول لمستخدمي المجموعات والتطبيقات في مدخل Microsoft Azure باستخدام واجهات برمجة التطبيقات Microsoft Graph.