الخطوة 1. تحديد نموذج هوية السحابة
يستخدم Microsoft 365 Azure Active Directory (Azure AD)، وهو عبارة عن هوية مستخدم مستندة إلى السحابة وخدمة مصادقة مضمنة في اشتراكك في Microsoft 365، لإدارة الهويات والمصادقة Microsoft 365. يعد تكوين البنية الأساسية لهويتك بشكل صحيح أمرا حيويا لإدارة Microsoft 365 وصول المستخدم وأذوناته لمؤسستك.
قبل البدء، شاهد هذا الفيديو للحصول على نظرة عامة حول نماذج الهوية والمصادقة Microsoft 365.
اختيار التخطيط الأول الخاص بك هو نموذج هوية السحابة الخاص بك.
نماذج الهوية السحابية من Microsoft
للتخطيط لحسابات المستخدمين، تحتاج أولا إلى فهم نموذجي الهوية في Microsoft 365. يمكنك الحفاظ على هويات مؤسستك فقط في السحابة، أو يمكنك الاحتفاظ بهويات خدمات المجال Active Directory محلي (AD DS) واستخدامها للمصادقة عندما يصل المستخدمون إلى خدمات السحابة Microsoft 365.
فيما يلي نوعان من الهوية وأفضل ملاءمة وفوائدهما.
| السمه | هوية السحابة فقط | الهوية المختلطة |
|---|---|---|
| تعريف | يوجد حساب المستخدم فقط في مستأجر Azure AD لاشتراكك في Microsoft 365. | يوجد حساب المستخدم في AD DS كما توجد نسخة في مستأجر Azure AD لاشتراكك في Microsoft 365. قد يتضمن حساب المستخدم في Azure AD أيضا إصدارا متجزئة من كلمة مرور حساب مستخدم AD DS المتجزئة بالفعل. |
| كيفية مصادقة Microsoft 365 لبيانات اعتماد المستخدم | يقوم مستأجر Azure AD لاشتراكك Microsoft 365 بإجراء المصادقة باستخدام حساب الهوية السحابية. | يقوم مستأجر Azure AD لاشتراكك Microsoft 365 إما بمعالجة عملية المصادقة أو إعادة توجيه المستخدم إلى موفر هوية آخر. |
| الأفضل ل | المؤسسات التي ليس لديها AD DS محلي أو لا تحتاج إليه. | المؤسسات التي تستخدم AD DS أو موفر هوية آخر. |
| أكبر فائدة | سهل الاستخدام. لا توجد أدوات أو خوادم دليل إضافية مطلوبة. | يمكن للمستخدمين استخدام نفس بيانات الاعتماد عند الوصول إلى الموارد المحلية أو المستندة إلى السحابة. |
هوية السحابة فقط
تستخدم الهوية السحابية فقط حسابات المستخدمين الموجودة فقط في Azure AD. عادة ما تستخدم الهوية السحابية فقط من قبل المؤسسات الصغيرة التي ليس لديها خوادم محلية أو لا تستخدم AD DS لإدارة الهويات المحلية.
فيما يلي المكونات الأساسية للهوية السحابية فقط.
يستخدم المستخدمون المحليون والبعيدون (عبر الإنترنت) حسابات مستخدمي Azure AD وكلمات المرور الخاصة بهم للوصول إلى خدمات السحابة Microsoft 365. يقوم Azure AD بمصادقة بيانات اعتماد المستخدم استنادا إلى حسابات المستخدمين وكلمات المرور المخزنة الخاصة به.
الاداره
نظرا إلى أن حسابات المستخدمين مخزنة فقط في Azure AD، يمكنك إدارة الهويات السحابية باستخدام أدوات مثل مركز مسؤولي Microsoft 365 Windows PowerShell.
الهوية المختلطة
تستخدم الهوية المختلطة الحسابات التي تنشأ في AD DS محلي ولها نسخة في مستأجر Azure AD لاشتراك Microsoft 365. تتدفق معظم التغييرات، باستثناء سمات حساب معينة، في اتجاه واحد فقط. تتم مزامنة التغييرات التي تجريها على حسابات مستخدمي AD DS مع نسختهم في Azure AD.
يوفر azure AD الاتصال مزامنة الحساب الجارية. يعمل على خادم محلي، ويتحقق من وجود تغييرات في AD DS، ويحيل هذه التغييرات إلى Azure AD. يوفر azure AD الاتصال القدرة على تصفية الحسابات التي تتم مزامنتها وما إذا كنت تريد مزامنة إصدار متجزئة من كلمات مرور المستخدم، والمعروفة باسم مزامنة تجزئة كلمة المرور (PHS).
عند تنفيذ الهوية المختلطة، يكون AD DS الداخلي الخاص بك هو المصدر الموثوق به لمعلومات الحساب. وهذا يعني أنك تقوم بمهام الإدارة في الغالب محليا، والتي تتم مزامنتها بعد ذلك مع Azure AD.
فيما يلي مكونات الهوية المختلطة.
لدى مستأجر Azure AD نسخة من حسابات AD DS. في هذا التكوين، يصادق كل من المستخدمين المحليين والبعيدين الذين يصلون إلى خدمات السحابة Microsoft 365 مقابل Azure AD.
ملاحظة
تحتاج دائما إلى استخدام الاتصال Azure AD لمزامنة حسابات المستخدمين للهوية المختلطة. تحتاج إلى حسابات المستخدمين المتزامنة في Azure AD لتنفيذ تعيين الترخيص وإدارة المجموعة وتكوين الأذونات والمهام الإدارية الأخرى التي تتضمن حسابات المستخدمين.
مزامنة الهوية المختلطة والدليل Microsoft 365
اعتمادا على احتياجات عملك والمتطلبات التقنية، فإن نموذج الهوية المختلطة ومزامنة الدليل هو الخيار الأكثر شيوعا لعملاء المؤسسات الذين يعتمدون Microsoft 365. تسمح لك مزامنة الدليل بإدارة الهويات في خدمات مجال Active Directory (AD DS) وتتم مزامنة جميع التحديثات لحسابات المستخدمين والمجموعات وجهات الاتصال مع مستأجر Azure Active Directory (Azure AD) لاشتراكك في Microsoft 365.
ملاحظة
عندما تتم مزامنة حسابات مستخدمي AD DS للمرة الأولى، لا يتم تعيين ترخيص Microsoft 365 لهم تلقائيا ولا يمكنهم الوصول إلى خدمات Microsoft 365، مثل البريد الإلكتروني. يجب أولا تعيين موقع استخدام لهم. ثم قم بتعيين ترخيص لحسابات المستخدمين هذه، إما بشكل فردي أو ديناميكي من خلال عضوية المجموعة.
المصادقة للهوية المختلطة
هناك نوعان من المصادقة عند استخدام نموذج الهوية المختلطة:
المصادقة المدارة
يعالج Azure AD عملية المصادقة باستخدام إصدار متجزئة مخزن محليا من كلمة المرور أو يرسل بيانات الاعتماد إلى وكيل برنامج محلي ليتم مصادقته بواسطة AD DS المحلي.
مصادقة جهات الاتصال الخارجية
يعيد Azure AD توجيه كمبيوتر العميل الذي يطلب المصادقة إلى موفر هوية آخر.
المصادقة المدارة
هناك نوعان من المصادقة المدارة:
مزامنة تجزئة كلمة المرور (PHS)
يقوم Azure AD بإجراء المصادقة نفسها.
المصادقة التمريرية (PTA)
لدى Azure AD AD DS إجراء المصادقة.
مزامنة تجزئة كلمة المرور (PHS)
باستخدام PHS، يمكنك مزامنة حسابات مستخدمي AD DS مع Microsoft 365 المستخدمين المحليين وإدارتها. تتم مزامنة تجزئة كلمات مرور المستخدم من AD DS إلى Azure AD بحيث يكون للمستخدمين نفس كلمة المرور المحلية وفي السحابة. هذه هي أبسط طريقة لتمكين المصادقة لهويات AD DS في Azure AD.
عند تغيير كلمات المرور أو إعادة تعيينها محليا، تتم مزامنة تجزئة كلمة المرور الجديدة مع Azure AD بحيث يمكن للمستخدمين دائما استخدام نفس كلمة المرور لموارد السحابة والموارد المحلية. لا يتم إرسال كلمات مرور المستخدم إلى Azure AD أو تخزينها في Azure AD في نص واضح. تتطلب بعض الميزات المتميزة ل Azure AD، مثل Identity Protection، PHS بغض النظر عن طريقة المصادقة المحددة.
راجع اختيار أسلوب المصادقة الصحيح لمعرفة المزيد.
المصادقة التمريرية (PTA)
يوفر PTA التحقق من صحة كلمة المرور البسيطة لخدمات مصادقة Azure AD باستخدام عامل برامج يعمل على خادم محلي واحد أو أكثر للتحقق من صحة المستخدمين مباشرة باستخدام AD DS. باستخدام PTA، يمكنك مزامنة حسابات مستخدمي AD DS مع Microsoft 365 المستخدمين المحليين وإدارتهم.
يسمح PTA للمستخدمين بتسجيل الدخول إلى كل من الموارد والتطبيقات المحلية Microsoft 365 باستخدام حسابهم المحلي وكلمة المرور الخاصة بهم. يتحقق هذا التكوين من صحة كلمات مرور المستخدمين مباشرة مقابل AD DS المحلي دون تخزين تجزئة كلمة المرور في Azure AD.
كما أن PTA مخصصة للمؤسسات التي لها متطلبات أمان لفرض حالات حساب المستخدم المحلية ونهج كلمة المرور وساعات تسجيل الدخول على الفور.
راجع اختيار أسلوب المصادقة الصحيح لمعرفة المزيد.
مصادقة جهات الاتصال الخارجية
المصادقة الموحدة هي في المقام الأول للمؤسسات الكبيرة التي لها متطلبات مصادقة أكثر تعقيدا. تتم مزامنة هويات AD DS مع Microsoft 365 وتتم إدارة حسابات المستخدمين محليا. باستخدام المصادقة الموحدة، يكون للمستخدمين نفس كلمة المرور المحلية وفي السحابة وليس عليهم تسجيل الدخول مرة أخرى لاستخدام Microsoft 365.
يمكن أن تدعم المصادقة الموحدة متطلبات مصادقة إضافية، مثل المصادقة المستندة إلى البطاقة الذكية أو المصادقة متعددة العوامل لجهة خارجية وعادة ما تكون مطلوبة عندما يكون لدى المؤسسات متطلبات مصادقة غير مدعومة في الأصل من قبل Azure AD.
راجع اختيار أسلوب المصادقة الصحيح لمعرفة المزيد.
بالنسبة لموفري الهوية والمصادقة التابعين لجهة خارجية، قد تتم مزامنة كائنات الدليل المحلي مع الوصول إلى Microsoft 365 والموارد السحابية التي تتم إدارتها بشكل أساسي من قبل موفر هوية تابع لجهة خارجية (IdP). إذا كانت مؤسستك تستخدم حل اتحاد تابع لجهة خارجية، يمكنك تكوين تسجيل الدخول باستخدام هذا الحل Microsoft 365 بشرط أن يكون حل الاتحاد الخارجي متوافقا مع Azure AD.
راجع قائمة توافق اتحاد Azure AD لمعرفة المزيد.
الاداره
نظرا إلى تخزين حسابات المستخدمين الأصلية والموثوقة في AD DS المحلي، يمكنك إدارة هوياتك باستخدام نفس الأدوات التي تدير بها AD DS.
لا تستخدم مركز مسؤولي Microsoft 365 أو PowerShell Microsoft 365 لإدارة حسابات المستخدمين المتزامنة في Azure AD.
الخطوة التالية
تابع الخطوة 2 لتأمين حسابات المسؤولين العموميين.
الملاحظات
إرسال الملاحظات وعرضها المتعلقة بـ