تحديد إستراتيجية وصول متميز للمستخدمين الإداريين
ما هي إدارة الهويات المتميزة (PIM)؟
PIM هي خدمة في Microsoft Entra ID، لإدارة الوصول إلى الموارد المتميزة. باستخدام خدمة Azure AD PIM، يمكنك إدارة الوصول إلى الموارد الهامة في مؤسستك، والتحكم فيه ومراقبته. تتضمن هذه الموارد تلك الموجودة في Microsoft Entra ID وAzure وخدمات Microsoft Online الأخرى، مثل Microsoft 365 أو Microsoft Intune.
ما عمل إدارة الهويات المتميزة؟
يوفر PIM تنشيط الدور المستند إلى الوقت والقائم على الموافقة للوصول إلى الموارد. يساعد هذا في تقليل مخاطر أذونات الوصول المفرطة أو غير الضرورية أو التي يساء استخدامها على الموارد التي تهتم بها. وتشمل الميزات الرئيسية لخدمة PIM ما يلي:
- توفير وصول متميز في الوقت المناسب إلى معرف Microsoft Entra وموارد Azure
- تعين وصول مقيد بوقت إلى الموارد باستخدام تاريخ البدء وتاريخ الانتهاء
- تطلب موافقة لتنشيط الأدوار المتميزة
- فرض مصادقة Azure متعددة العوامل لتنشيط أي دور
- استخدام سبب لفهم سبب تنشيط المستخدمين
- الحصول على إخطارات عند تنشيط الأدوار المتميزة
- إجراء مراجعات الوصول للتأكد من أن المستخدمين ما زالوا بحاجة إلى أدوار
- تحميل سجل التدقيق للتدقيق الداخلي أو الخارجي
قبل نشر PIM في المؤسسة الخاصة بك اتبع الإرشادات وافهم المفاهيم الواردة في هذا القسم. سيساعدك ذلك على إنشاء خطة مصممة خصيصاً لمتطلبات الهوية المميزة لمؤسستك.
إشعار
تتطلب PIM ترخيص P2 Premium.
تحديد أصحاب المصلحة
يساعدك القسم التالي في تحديد جميع المساهمين في المشروع. ستنظر إلى من يحتاج إلى الموافقة أو المراجعة أو البقاء على اطلاع. يتضمن جداول منفصلة لنشر إدارة الهويات المتميزة لأدوار Microsoft Entra وPIM لأدوار Azure. إضافة أصحاب المصلحة إلى الجدول التالي حسبما يناسب مؤسستك.
SO = الموافقة على هذا المشروع
R = مراجعة هذا المشروع وتقديم إدخال
I = الإعلام بهذا المشروع
أصحاب المصلحة: إدارة الهويات المتميزة لأدوار Microsoft Entra
| الاسم | الدور | الإجراء |
|---|---|---|
| الاسم والبريد الإلكتروني | Identity architect أو Azure Global Administrator - ممثل من فريق إدارة الهوية المسؤول عن تحديد كيفية مواءمة هذا التغيير مع البنية التحتية الأساسية لإدارة الهوية في مؤسستك. | SO/R/I |
| الاسم والبريد الإلكتروني | Service owner أو Line manager - ممثل من مالكي تقنية المعلومات لخدمة ما أو مجموعة من الخدمات. تمثل هذه الأدوار العنصر الأساسي في اتخاذ القرارات والمساعدة في طرح PIM لفريقهم. | SO/R/I |
| الاسم والبريد الإلكتروني | Security owner - ممثل من فريق الأمان يمكنه الموافقة على أن الخطة تفي بمتطلبات الأمان لمؤسستك. | SO/R |
| الاسم والبريد الإلكتروني | IT support manager / Helpdesk ممثل من مؤسسة دعم تقنية المعلومات يمكنه تقديم ملاحظات بشأن إمكانية دعم هذا التغيير من منظور مكتب المساعدة. | R/I |
| الاسم والبريد الإلكتروني لمستخدمي الإصدار التجريبي | Privileged role users - مجموعة المستخدمين التي يتم تطبيق إدارة الهوية المميزة عليهم. سيحتاجون إلى معرفة كيفية تفعيل أدوارهم بمجرد تنفيذ PIM. | I |
أصحاب المصلحة: Privileged Identity Management لأدوار Azure
| الاسم | الدور | الإجراء |
|---|---|---|
| الاسم والبريد الإلكتروني | Subscription/Resource owner - ممثل من مالكي تقنية المعلومات لكل اشتراك أو مورد تريد توزيع PIM له. | SO/R/I |
| الاسم والبريد الإلكتروني | Security owner - ممثل من فريق الأمان يمكنه الموافقة على أن الخطة تفي بمتطلبات الأمان لمؤسستك. | SO/R |
| الاسم والبريد الإلكتروني | IT support manager / Helpdesk ممثل من مؤسسة دعم تقنية المعلومات يمكنه تقديم ملاحظات بشأن إمكانية دعم هذا التغيير من منظور مكتب المساعدة. | R/I |
| الاسم والبريد الإلكتروني لمستخدمي الإصدار التجريبي | Azure role users - مجموعة المستخدمين التي يتم تطبيق إدارة الهوية المميزة عليها. سيحتاجون إلى معرفة كيفية تفعيل أدوارهم بمجرد تنفيذ PIM. | I |
البدء في استخدام Privileged Identity Management
كجزء من عملية التخطيط، قم بإعداد PIM باتباع مقالنا «البدء في استخدام Privileged Identity Management». تمنحك PIM إمكانية الوصول إلى بعض الميزات التي تم تصميمها للمساعدة في التوزيع الخاص بك.
إذا كان هدفك هو توزيع PIM لموارد Azure، فاتبع مقالنا «اكتشاف موارد Azure لإدارتها في Privileged Identity Management». ويمكن لملاك الاشتراكات ومجموعات الإدارة فقط إدارة هذه الموارد بواسطة PIM. وبعد أن تكون تحت الإدارة، تتوفر وظيفة PIM للمالكين على جميع المستويات، بما في ذلك مجموعة الإدارة والاشتراك ومجموعة الموارد والمورد. إذا كنت مسؤولاً عاماً يحاول توزيع PIM إلى موارد Azure، يمكنك رفع مستوى الوصول لإدارة جميع اشتراكات Azure لمنح نفسك حق الوصول إلى كل موارد Azure في الدليل لاكتشافها. ومع ذلك، فإننا ننصح بالحصول على موافقة كل واحد من ملاك الاشتراكات قبل إدارة مواردهم باستخدام PIM.
فرض مبدأ الامتيازات الأقل
من المهم التأكد من أنك قمت بفرض مبدأ الامتياز الأقل في مؤسستك لكل من أدوار Microsoft Entra D وأدوار Azure.
تخطيط تفويض الامتيازات الأقل
بالنسبة لأدوار Microsoft Entra، من الشائع أن تقوم المؤسسات بتعيين دور مسؤول istrator العمومي لعدد من المسؤولين عندما يحتاج معظم المسؤولين إلى دور مسؤول واحد أو دورين محددين وأقل قوة. مع وجود عدد كبير من أدوار المسؤولين العموميين أو امتيازات عالية أخرى، من الصعب تتبع تعيينات الأدوار المتميزة الخاصة بك عن قرب كافٍ.
اتبع هذه الخطوات لتنفيذ مبدأ الامتياز الأقل لأدوار Microsoft Entra.
فهم دقة الأدوار من خلال قراءة وفهم أدوار مسؤول Microsoft Entra المتوفرة. يجب عليك أنت وفريقك أيضا الرجوع إلى أدوار المسؤول حسب مهمة الهوية في Microsoft Entra ID، ما يشرح الدور الأقل امتيازا لمهام معينة.
اذكر من لديه أدوار متميزة في مؤسستك. يمكنك استخدام الاكتشاف والتفاصيل في PIM (إصدار أولي)؛ للحد من التعرض.
بالنسبة إلى جميع المسؤولين العموميين في مؤسستك، اكتشف سبب حاجتهم إلى الدور. ثم قم بإزالتها من دور global مسؤول istrator وتعيين أدوار مضمنة أو أدوار مخصصة بامتياز أقل داخل معرف Microsoft Entra. لمعلوماتك، لدى Microsoft حاليًا 10 مسؤولين فقط لديهم دور مسؤول عمومي.
بالنسبة لجميع أدوار Microsoft Entra الأخرى، راجع قائمة التعيينات، وحدد المسؤولين الذين لم يعودوا بحاجة إلى الدور، وأزلهم من تعييناتهم.
لأتمتة الخطوتين الأخيرتين، يمكنك استخدام مراجعات صلاحيات الوصول في PIM. باتباع الخطوات الواردة في "بدء مراجعة وصول لأدوار Microsoft Entra في إدارة الهويات المتميزة"، يمكنك إعداد مراجعة وصول لكل دور معرف Microsoft Entra يحتوي على عضو واحد أو أكثر.
تعيين المراجعين إلى أعضاء (ذاتياً). سيتلقى جميع المستخدمين في الدور رسالة بريد إلكتروني تطلب منهم تأكيد حاجتهم إلى الوصول. قم أيضاً بتشغيل "Require reason on approval" في الإعدادات المتقدمة حتى يُحتم على المستخدمين ذكر سبب حاجتهم للدور. استنادًا إلى هذه المعلومات، يمكنك إزالة المستخدمين من الأدوار غير الضرورية أو تفويضهم إلى أدوار المسؤول الأكثر دقة.
تعتمد مراجعات صلاحية الوصول على عناوين البريد الإلكتروني لإخطار الأشخاص بمراجعة وصولهم إلى الأدوار. إذا كان لديك حسابات متميزة لا تحتوي على عناوين بريد إلكتروني مرتبطة بها، فتأكد من ملء حقل البريد الإلكتروني الثانوي على هذه الحسابات.
تخطيط تفويض أدوار موارد Azure
بالنسبة لاشتراكات وموارد Azure، يمكنك إعداد عملية مشابهة لمراجعة صلاحية الوصول لمراجعة الأدوار في كل اشتراك أو مورد. الهدف من هذه العملية هو تقليل تعيينات مسؤول الوصول إلى المستخدم والمالك المرفقة بكل اشتراك أو مورد وإزالة التعيينات غير الضرورية. ومع ذلك، غالبًا ما تفوض المؤسسات هذه المهام إلى مالك كل اشتراك أو مورد؛ لأن لديهم فهمًا أفضل للأدوار المحددة (خاصة الأدوار المخصصة).
إذا كنت في دور المسؤول العام وتحاول توزيع PIM لأدوار Azure في مؤسستك، يمكنك رفع مستوى الوصول إلى إدارة جميع اشتراكات Azure للحصول على حق الوصول إلى كل اشتراك. يمكنك بعد ذلك العثور على كل مالك اشتراك والعمل معه لإزالة التعيينات غير الضرورية وتقليل تعيين دور المالك.
يمكن للمستخدمين الذين لديهم دور المالك لاشتراك Azure أيضا استخدام مراجعات الوصول لموارد Azure لتدقيق وإزالة تعيينات الأدوار غير الضرورية المشابهة للعملية الموضحة سابقا لأدوار Microsoft Entra.
تحديد تعيينات الأدوار التي يجب أن تكون محمية بواسطة Privileged Identity Management
بعد تنظيف تعيينات الأدوار المتميزة في مؤسستك، ستحتاج إلى تحديد الأدوار التي يجب حمايتها باستخدام PIM.
إذا كان الدور محميًا بواسطة PIM، يجب على المستخدمين المؤهلين المعينين له رفع مستوى استخدام الامتيازات الممنوحة حسب الدور. قد تتضمن عملية الارتفاع أيضا الحصول على الموافقة، واستخدام مصادقة Azure متعددة العوامل، وتوفير سبب تنشيطها. يمكن ل PIM أيضا تتبع الارتفاعات من خلال الإعلامات وسجلات أحداث تدقيق PIM وMicrosoft Entra.
قد يكون من الصعب اختيار الأدوار التي يتم حمايتها باستخدام PIM وستكون مختلفة لكل مؤسسة. يوفر هذا القسم أفضل ممارساتنا لأدوار Microsoft Entra وأدوار Azure.
أدوار Microsoft Entra
من المهم تحديد أولويات حماية أدوار Microsoft Entra التي لديها أكبر قدر من الأذونات. استنادا إلى أنماط الاستخدام بين جميع عملاء PIM، فإن أفضل 10 أدوار من Microsoft Entra تديرها PIM هي:
مسؤول العمومي
مسؤول الأمان
مسؤول المستخدم
مسؤول Exchange
مسؤول SharePoint
مسؤول Intune
قارئ معلومات الأمان
مسؤول الخدمة
مسؤول الفوترة
مسؤول Skype for Business
تلميح
توصي Microsoft بإدارة جميع المسؤولين العموميين ومسؤولي الأمان باستخدام PIM كخطوة أولى؛ لأنهم هم المستخدمون الذين يمكنهم القيام بالضرر الأكبر عند اختراقهم.
من المهم مراعاة البيانات والأذونات الأكثر حساسية لمؤسستك. على سبيل المثال، ترغب بعض المؤسسات في حماية دور مسؤول istrator في Power BI أو دور teams مسؤول istrator باستخدام PIM، حيث يمكنهم الوصول إلى البيانات وتغيير مهام سير العمل الأساسية.
إذا كان هناك أي أدوار مع المستخدمين الضيوف المعينين، يصبحون عرضة للهجوم.
تلميح
توصي Microsoft بإدارة جميع الأدوار مع المستخدمين الضيوف باستخدام PIM لتقليل المخاطر المقترنة بتعرض حسابات المستخدمين الضيوف للاختراق.
تعتبر أدوار القارئ مثل قارئ الدليل وقارئ مركز الرسائل وقارئ معلومات الأمان أحيانًا أقل أهمية من الأدوار الأخرى؛ لأنها ليس لديها إذن كتابة. ومع ذلك، لدينا بعض العملاء الذين يقومون أيضًا بحماية تلك الأدوار؛ لأن المهاجمين الذين لديهم إمكانية الوصول إلى تلك الحسابات قد يتمكنون من قراءة البيانات الحساسة، بما في ذلك البيانات الشخصية. يجب أخذ هذه المخاطرة في الاعتبار عند تحديد ما إذا كنت تريد أن تتم إدارة أدوار القارئ في مؤسستك باستخدام PIM.
أدوار Azure
عند تحديد تعيينات الأدوار التي يجب إدارتها باستخدام PIM لموارد Azure، يجب أولاً تحديد الاشتراكات/الموارد الأكثر أهمية لمؤسستك. ومن أمثلة هذه الاشتراكات/الموارد ما يلي:
- الموارد التي تستضيف البيانات الأكثر حساسية.
- الموارد التي تعتمد عليها التطبيقات الأساسية التي تواجه العملاء.
إذا كنت مسؤولاً عموميًا وتواجه مشكلة في تحديد الاشتراكات والموارد الأكثر أهمية، ينبغي عليك الاتصال بمالكي الاشتراكات في المؤسسة لجمع قائمة الموارد التي يديرها كل اشتراك. ثم، اعمل مع مالكي الاشتراكات لتجميع الموارد بناءً على مستوى الخطورة في حالة تعرضهم للاختراق (منخفضة، متوسطة، مرتفعة). تحديد أولوية إدارة الموارد باستخدام PIM بناءً على مستوى الخطورة هذا.
تلميح
توصي Microsoft بالعمل مع مالكي الاشتراكات/الموارد بالنسبة للخدمات الهامة لإعداد سير عمل PIM لجميع الأدوار داخل الاشتراكات/الموارد الحساسة.
تدعم PIM لموارد Azure حسابات الخدمة المحددة الوقت. يجب عليك معاملة حسابات الخدمة بنفس الطريقة التي تعامل بها حساب مستخدم عادي.
بالنسبة إلى الاشتراكات/الموارد التي لا تتمتع بالأهمية نفسها، لن تحتاج إلى إعداد PIM لجميع الأدوار. مع ذلك، لا يزال يتعين عليك حماية أدوار مسؤول وصول المستخدم والمالك باستخدام PIM.
تلميح
توصي Microsoft بإدارة أدوار «المالك» وأدوار «مسؤول وصول المستخدم» لجميع الاشتراكات/الموارد باستخدام PIM.
تحديد ما إذا كنت تريد استخدام مجموعة لتعيين أدوار
يعد تعيين دور لمجموعة بدلاً من تعيينه إلى مستخدمين أفراد قرارًا إستراتيجيًا. عند التخطيط، فكّر في تعيين دور لمجموعة لإدارة تعيينات الأدوار عندما:
- يتم تعيين العديد من المستخدمين إلى دور.
- تريد تفويض تعيين الدور.
يتم تعيين العديد من المستخدمين إلى دور
يمكن أن يستغرق بعض الوقت التتبع اليدوي للشخص الذي تم تعيينه لدور ما وإدارة مهامه بناءً على توقيت الحاجة إليه. لتعيين مجموعة لدور، قم أولاً بإنشاء مجموعة يمكن تعيين دور لها، ثم قم بتعيين المجموعة على أنها مؤهلة لدور ما. هذا الإجراء يُخضِع كل شخص في المجموعة لنفس عملية التنشيط مثل المستخدمين الفرديين المؤهلين للارتقاء إلى مستوى الدور. ينشط أعضاء المجموعة تعييناتهم إلى المجموعة بشكل فردي باستخدام طلب تنشيط PIM وعملية الموافقة. لم يتم تنشيط المجموعة - فقط عضوية المجموعة الخاصة بالمستخدم.
تريد تفويض تعيين الدور
يمكن لمالك مجموعة ما إدارة العضوية للمجموعة. بالنسبة للمجموعات القابلة لتعيين الأدوار لمعرف Microsoft Entra، يمكن فقط مسؤول istrator للدور المتميز، مسؤول istrator العمومي، ومالكي المجموعة إدارة عضوية المجموعة. عندما يضيف مسؤول أعضاءً جدد إلى المجموعة، يحصل العضو على حق الوصول إلى الأدوار التي تم تعيين المجموعة لها سواء كان التعيين مؤهلاً أو نشطاً. استخدم مالكي المجموعة لتفويض إدارة عضوية المجموعة لدور معين لتقليل نطاق الامتيازات المطلوبة.
تلميح
توصي Microsoft بإحضار مجموعات Microsoft Entra ID القابلة لتعيين الأدوار ضمن الإدارة بواسطة PIM. بعد أن يتم وضع مجموعة قابلة لتعيين أدوار لها تحت الإدارة من قبل PIM، يُطلق عليها مجموعة الوصول المتميز. استخدم PIM لتطلب من مالكي المجموعة تنشيط تعيين دور المالك قبل أن يتمكنوا من إدارة عضوية المجموعة.
تحديد أي تعيينات الأدوار يجب أن تكون دائمة أو مؤهلة
بمجرد أن تحدد قائمة الأدوار التي ستديرها خدمة PIM، يجب أن تحدد المستخدمين الذين يجب أن يحصلوا على الدور المؤهل مقابل الدور النشط دائماً. الأدوار النشطة بشكل دائم هي الأدوار العادية المعينة من خلال معرف Microsoft Entra وموارد Azure، بينما يمكن تعيين الأدوار المؤهلة فقط في PIM.
توصي Microsoft بعدم وجود تعيينات نشطة بشكل دائم لكل من أدوار Microsoft Entra وأدوار Azure بخلاف حسابي الوصول في حالات الطوارئ الموصى بهما، والتي يجب أن يكون لها دور مسؤول istrator العالمي الدائم.
على الرغم من أننا نوصي بعدم وجود مسؤولين دائمين، إلا أنه من الصعب في بعض الأحيان على المؤسسات تحقيق ذلك على الفور. تتضمن الأمور التي يجب مراعاتها عند اتخاذ هذا القرار ما يلي:
تكرار رفع الامتيازات - إذا كان المستخدم يحتاج إلى التعيين المتميز مرة واحدة فقط، فلا ينبغي أن يكون لديه التعيين الدائم. من ناحية أخرى، إذا كان المستخدم يحتاج إلى دور لوظيفته اليومية واستخدام PIM من شأنه أن يقلل إلى حد كبير من إنتاجيته، يمكن النظر في تعيين الدور الدائم إليه.
الحالات الخاصة بمؤسستك - إذا كان الشخص الذي يتم منحه الدور المؤهل هو من فريق بعيد أو مسؤول تنفيذي رفيع المستوى لدرجة أن التواصل وتنفيذ عملية رفع الامتيازات أمر صعب، يمكن النظر في تعيين الدور الدائم إليه.
تلميح
توصي Microsoft بإعداد مراجعات صلاحية الوصول المتكررة للمستخدمين الذين لديهم تعيينات أدوار دائمة.
صياغة إعدادات Privileged Identity Management
قبل تطبيق حل PIM خاصتك، من الجيد القيام بصياغة إعدادات PIM خاصتك لكل دور متميز تستخدمه مؤسستك. يحتوي هذا القسم على بعض الأمثلة على إعدادات PIM لأدوار معينة؛ وهي تمثل مرجعًا فقط، وقد تكون مختلفة بالنسبة لمؤسستك. يتم شرح كل من هذه الإعدادات بالتفصيل مع توصيات Microsoft بعد الجداول.
إعدادات إدارة الهويات المتميزة لأدوار Microsoft Entra
| الإعداد | مسؤول العمومي | exchange مسؤول istrator | مكتب المساعدة مسؤول istrator |
|---|---|---|---|
| حيث تتطلب مصادقة متعددة العوامل (MFA)؛ التحقق على خطوتين | نعم | نعم | لا |
| الإعلام | نعم | نعم | لا |
| بطاقة الحدث | نعم | لا | نعم |
| يتطلب موافقة | نعم | لا | لا |
| الموافق | مسؤولون عموميون آخرون | بلا | بلا |
| مدة التنشيط | ساعة | ساعتان | 8 ساعات |
| مسؤول دائم | حسابات الوصول في حالات الطوارئ | بلا | بلا |
إعدادات Privileged Identity Management لأدوار Microsoft Azure AD
| الإعداد | مالك الاشتراكات الهامة | المستخدم access مسؤول istrator للاشتراكات الأقل أهمية | مساهم الجهاز الظاهري |
|---|---|---|---|
| حيث تتطلب مصادقة متعددة العوامل (MFA)؛ التحقق على خطوتين | نعم | نعم | لا |
| الإعلام | نعم | نعم | نعم |
| يتطلب موافقة | نعم | لا | لا |
| الموافق | مالكو الاشتراك الآخرون | بلا | بلا |
| مدة التنشيط | ساعة | ساعة | 3 ساعات |
| مسؤول نشط | بلا | None | بلا |
| انتهاء صلاحية النشط | غير متوفر | غير متوفر | غير متوفر |
يصف الجدول التالي كل إعداد من الإعدادات.
| الإعداد | الوصف |
|---|---|
| الدور | اسم الدور الذي تقوم بتعريف الإعدادات له. |
| حيث تتطلب مصادقة متعددة العوامل (MFA)؛ التحقق على خطوتين | ما إذا كان المستخدم المؤهل بحاجة إلى إجراء مصادقة متعددة العوامل (MFA)؛ التحقق على خطوتين قبل تنشيط الدور. |
| توصي Microsoft بفرض مصادقة متعددة العوامل (MFA) لجميع أدوار المسؤولين خاصة إذا كان لهذه الأدوار مستخدمون ضيوف. | |
| الإعلام | إذا تم تعيينه على true، فسيتلقى المسؤول العام ومسؤول الدور المتميز ومسؤول الأمان في المؤسسة إشعارًا بالبريد الإلكتروني عندما يقوم مستخدم مؤهل بتنشيط الدور. |
| لا تمتلك بعض المؤسسات عنوان بريد إلكتروني مرتبطاً بحسابات المسؤول الخاصة بها. للحصول على هذه الإشعارات عبر البريد الإلكتروني، قم بتعيين عنوان بريد إلكتروني بديل؛ حتى يتمكن المسؤولون من تلقي رسائل البريد الإلكتروني هذه. | |
| بطاقة الحدث | ما إذا كان المستخدم المؤهل بحاجة إلى تسجيل رقم بطاقة حدث عند تنشيط دوره. يساعد هذا الإعداد المؤسسة على تحديد كل تنشيط برقم حدث داخلي؛ للتخفيف من عمليات التنشيط غير المرغوبة. |
| توصي Microsoft بالاستفادة من أرقام بطاقات الأحداث لربط PIM بالنظام الداخلي الخاص بك. يمكن أن يكون هذا الأسلوب مفيدًا للموافقين الذين يحتاجون سياقًا للتنشيط. | |
| يتطلب موافقة | ما إذا كان المستخدم المؤهل بحاجة إلى الحصول على موافقة لتنشيط الدور. |
| توصي Microsoft بإعداد الموافقة للأدوار بأكبر قدر من الإذن. استناداً إلى أنماط الاستخدام لجميع عملاء PIM، يمثل المسؤول العام، ومسؤول المستخدم، ومسؤول Exchange، ومسؤول الأمان ومسؤول كلمة المرور الأدوار الأكثر شيوعاً مع الموافقة المطلوبة. | |
| الموافق | إذا كانت هناك حاجة إلى الموافقة لتنشيط الدور المؤهل، فقم بإدراج الأشخاص الذين يجب أن يوافقوا على الطلب. بشكل افتراضي، تقوم PIM بتعيين الموافق ليكون جميع المستخدمين مسؤولين عن الأدوار المتميزة سواء كانت دائمة أو مؤهلة. |
| إذا كان المستخدم مؤهلا لدور Microsoft Entra ومعتمدا للدور، فلن يتمكن من الموافقة على نفسه. | |
| توصي Microsoft باختيار الموافقين ليكونوا أكثر المستخدمين معرفة بالدور والمستخدمين المتكررين بدلاً من "مسؤول عام". | |
| مدة التنشيط | طول المدة الزمنية التي سيتم فيها تنشيط مستخدم في الدور قبل انتهاء الصلاحية. |
| مسؤول دائم | قائمة المستخدمين الذين سيكونون مسؤولين دائمين عن الدور (ليس هناك حاجة للتنشيط). |
| توصي Microsoft بألا يكون لديك مسؤولون دائمون لجميع الأدوار باستثناء المسؤولين العاميين. | |
| مسؤول نشط | بالنسبة لموارد Azure، فالمسؤول النشط هو قائمة المستخدمين الذين لن يضطروا إلى التنشيط لاستخدام الدور. لا يشار إلى هذه القائمة كمسؤول دائم كما هو الحال في أدوار Microsoft Entra لأنه يمكنك تعيين وقت انتهاء صلاحية للوقت الذي سيفقد فيه المستخدم هذا الدور. |
| انتهاء صلاحية النشط | تنتهي صلاحية تعيينات الأدوار النشطة لأدوار Azure بعد المدة التي تم تكوينها. يمكنك اختيار 15 يومًا أو شهر أو 3 أشهر أو 6 أشهر أو سنة أو نشط دائمًا. |
| انتهاء صلاحية المؤهل | تنتهي صلاحية تعيينات الأدوار المؤهلة لأدوار Azure بعد هذه المدة. يمكنك اختيار 15 يومًا أو شهر أو 3 أشهر أو 6 أشهر أو سنة أو مؤهل دائمًا. |