برنامج تعليمي لإدارة الهوية الموحدة واستيراد المستخدم لـ Microsoft Entra ID
في بنية تكنولوجيا المعلومات في المؤسسة ، هناك مشكلة يمكن أن يطلق عليها كابوس مشترك لجميع مسؤولي الشبكة والأمن:
حالة الموظف ممزقة.
عندما يتم تعيين الموظفين الجدد ، يجب عليهم إنشاء حسابات يدويًا في سبعة أو ثمانية أنظمة بما في ذلك OA ، والبريد ، والتمويل ، والنظام الأساسي السحابي ؛ عندما يغادر الموظف ، بمجرد حذف حساب النظام ، فهذا يعادل ترك حساب للشركة في أي وقت. قنبلة محتملة تفجيرها قراصنة. ناهيك عن أن الموظفين لا يستطيعون تذكر أكثر من اثنتي عشرة مجموعة من كلمات المرور ، وألم حث تكنولوجيا المعلومات على إعادة تعيين كلمات المرور كل يوم.
لإنهاء هذه الفوضى تمامًا ، تحتاج إلى مركز قوي لإدارة الهوية الموحدة. اليوم سنتحدث عن الجوهر المطلق في بيئة سحابة Microsoft --
Microsoft Entra ID (سابقتها هي Azure Active Directory المعروفة ، أو Azure AD للاختصار)
.
لا يدور هذا البرنامج التعليمي حول الانحناء ، ويستخدم أسلوب الكتابة الأكثر واقعية ، ويأخذك الممسك لفرز البنية الأساسية لمعرف Entra ، ويعلمك كيفية إدخال حسابات مئات الموظفين في السحابة بشكل فعال وآمن.
1. المفهوم الأساسي: ما هي إدارة الهوية الموحدة Entra ID ؟
كثير من الناس يفهمون ببساطة Entra ID على أنه "دفتر عناوين سحابي" ، مما يقلل تمامًا من تقديره. Entra ID هو السحاب البيئي للمؤسسة بأكملها
"وكالة إصدار بطاقة البواب"
.
منطقها الأساسي هو
تسجيل الدخول الفردي (SSO ، Single Sign-On)
و
حوكمة الهوية المركزية
:
[Azure/Microsoft Cloud Resources]
│
[حساب واحد للموظف] ── ─ ─(SSO)─> [برنامج المكتب (O365 / Teams)]
(استضافة Entra ID) │
[أنظمة البحث الذاتي للمؤسسات/SaaS الخارجية (مثل Salesforce)]
│
── (سياسة الأمان) ─> [قم بتشغيل MFA بالتحقق من خطوتين/حظر تسجيل الدخول غير الطبيعي]
عندما يكون لدى الموظف حساب Entra ID ، فإنه يحتاج فقط إلى تسجيل الدخول مرة واحدة للوصول بسلاسة إلى جميع الأنظمة المصرح بها من قبل الشركة. يحتاج مسؤولو تقنية المعلومات فقط إلى تجميد جميع أذونات الوصول للموظفين المغادرين بنقرة واحدة في الخلفية Entra ID ، وذلك حقًا "لرجل واحد مسؤول ، لا يمكن فتحه".
2. التحضير الفعلي: نوع المستخدم وتخطيط Entra ID
قبل نقل دفتر الموظفين بأكمله إلى السحابة ، نحتاج إلى تقسيم المستخدمين إلى فئتين رئيسيتين وفقًا لسيناريوهات العمل:
المستخدم الداخلي (Member): موظف كامل في شركتك. لديهم شركة
صندوق بريد اسم المجال (مثل [email protected]) ، مع إمكانية الوصول إلى الموارد الأساسية والتطبيقات الداخلية.
مستخدم خارجي (ضيف/ضيف): مورد أو شريك أو مستشار خارجي للشركة. يستخدمون صناديق البريد العامة الخاصة بهم (مثل Gmail أو صناديق بريد الشركات الأخرى) ، ويمكنك السماح لهم بالانضمام مؤقتًا من خلال "دعوة" ، ولا يمكنهم الوصول إلا إلى ملفات أو عناصر محددة محددة ، والأذونات مقيدة بشكل صارم.
ينصب تركيزنا اليوم على حل كيفية تقديم عدد كبير من "الموظفين الرسميين الداخليين" على دفعات عندما ينضم الموظفون الجدد إلى الشركة أو تكون غرفة الكمبيوتر على السحابة.
3. القتال الفعلي الأساسي: طريقتان لتقديم المستخدمين على دفعات
في مواجهة مئات المستخدمين ، من الواضح أن النقر على "مستخدم جديد" واحدًا تلو الآخر على وحدة التحكم سيجعل الناس يموتون اجتماعيًا. نسلط الضوء على طرق استيراد الدُفعات الأكثر استخدامًا في بيئي الإنتاج.
الطريقة أ: استخدام قالب CSV لاستيراد دفعة واحدة بنقرة واحدة (الأنسب للشركات الصغيرة والمتوسطة)
إذا كانت شركتك تستخدم حاليًا نموذج Excel لإدارة قائمة الموظفين ، أو قامت للتو بتصدير قائمة من أنظمة متخصصة أخرى ، فإن الاستيراد بالجملة باستخدام CSV هو الطريقة الأسرع والأكثر سهولة.
الخطوة 1: تنزيل القالب القياسي الرسمي
قم بتسجيل الدخول إلى مركز إدارة Microsoft Entra (أو واجهة Entra ID لبوابة Azure).
في القائمة الموجودة على اليسار ، انقر على "Users"-> "All users".
في الجزء العلوي ، انقر على "عمليات الدُفعات"-> "عمليات الدُفعات".
في الشريط الجانبي للملوثات العضوية الثابتة ، انقر على زر "Download" للحصول على النسخة الرسمية. ملف قالب csv.
الخطوة 2: املأ مصفوفة CSV بدقة (دليل تجنب الحفرة)
افتح ملف CSV الذي تم تنزيله باستخدام Excel أو محرر نصوص. سترى أن الأسطر القليلة الأولى هي التعليمات والأمثلة الخاصة بـ Microsoft ،
لا تحذف أول سطرين من العناوين ، وإلا فإن التعرف على النظام سيبلغ عن الخطأ!
ابدأ بملء بيانات الموظف الخاصة بك في السطر الثالث:
الاسم [DisplayName] (مطلوب): أسماء الموظفين ، مثل Zhang San أو San Zhang.
اسم موضوع المستخدم [UserPrincipalName] (مطلوب): هذا هو حساب تسجيل الدخول السحابي للموظف ، ويجب أن يكون تنسيق صندوق البريد. على سبيل المثال ، [email protected] (إذا كنت مقيدًا بنطاق مستقل للشركة ، فهذا [email protected]).
كلمة المرور الأولية [Password] (مطلوب): قم بتعيين كلمة مرور أولية للموظفين (يجب أن تفي بمتطلبات التعقيد). يوصى بشدة بالتحقق من "يجب على المستخدمين تغيير كلمة المرور في المرة التالية التي يقومون فيها بتسجيل الدخول" في الإعدادات اللاحقة لضمان الأمان الأولي.
حظر تسجيل الدخول [ب
LockSignin] (مطلوب): أدخل رقم (إذا قمت بإدخال نعم ، فسيتم تجميد حساب الموظف ولا يمكن تسجيل الدخول).
الخطوة 3: التحميل والتحقق
بعد ملء الملف ، احفظ الملف
UTF-8
تنسيق CSV المشفر (لمنع الأسماء الصينية المشوهة). ارجع إلى صفحة تحميل Entra ID ، اسحب الملف ، انقر فوق
”تقديم (Submit)“
.
انتظر لحظة ، انقر فوق "نتائج عملية الدُفعة" ، إذا كانت كلها علامة خضراء ، فهذا يعني أن الاستيراد كان ناجحًا. يمكن للموظفين الآن تسجيل الدخول إلى Microsoft 365 أو موارد Azure باستخدام الحساب المخصص لك.
الطريقة B: طريقة اللعب ذات المستوى العالي للسحابة المختلطة-مزامنة Entra Connect (الأنسب للمؤسسات التقليدية الكبيرة)
إذا كان لشركتك تاريخ طويل ، فهناك مجموعة في غرفة الكمبيوتر المحلية تعمل منذ سنوات عديدة
Windows Server AD (خادم مجال Active Directory)
، يتم صيانتها محليًا بواسطة HR أو مدير الشبكة يوميًا ، لذلك لا تستخدم CSV لتكرار الاستيراد.
يجب عليك استخدام أداة مزامنة مايكروسوفت الآس:
Microsoft Entra Connect
.
[غرفة الكمبيوتر المحلية] [مايكروسوفت سحابة]
"────────────────────────────────────
│ Windows Server المحلي │ Microsoft Entra ID │
│ Active Directory │ (مركز الهوية السحابية) │
│ (AD المحلي) │ │ │ │
│ │ Entra Connect │ ▲ │
│ ▲ │ │ │ │ │ │
│ ┌ ───────────────────── (التزامن التلقائي التدريجي) │ │ │
آلة التزامن │ Entra Connect │ ───────────────────
───────── ── │
│ └ ──────────────────────│ │
───────────────────────────────────────────
منطق التشغيل:
ابحث عن خادم متصل بالشبكة في غرفة الكمبيوتر المحلية ، وقم بتنزيل وتثبيت برنامج Microsoft Entra Connect.
يتيح لك معالج التكوين إدخال بيانات اعتماد مسؤول AD المحلية وحساب المسؤول العام لـ Cloud Entra ID.
بعد إنشاء الاتصال ، يعمل البرنامج كـ "ميكروفون" يقوم تلقائيًا بمسح التغييرات في AD المحلي كل 30 دقيقة.
إذا قمت بإنشاء مستخدم جديد في غرفة الكمبيوتر المحلية أو قمت بتعديل كلمة مرور الموظف ، فسيتم تحديث معرف Entra في السحابة تلقائيًا في غضون نصف ساعة. يمكن للموظفين حتى استخدام نفس كلمة المرور لتنفيذ التشغيل المحلي وتسجيل الدخول إلى السحابة (مزامنة تجزئة كلمة المرور ، Password Hash Synchronization).
هذا هو الشكل النهائي للمؤسسات الكبيرة للتحرك نحو السحابة المختلطة وتحقيق إدارة الهوية الموحدة.
4. قانون الحديد الآمن الذهبي بعد الاستيراد: لا تفوت هذه الخطوة!
تم استيراد المستخدمين على دفعات ، وتم إرسال كلمة المرور أيضًا. في هذا الوقت ، كمسؤول ، بدأ العمل للتو. من أجل منع الموظف من توفير المتاعب
12345678
مما يؤدي إلى انهيار كامل ، يجب عليك تركيب اثنين من حواجز السلامة على الفور:
1. الوصول المشروط الإلزامي والشهادة متعددة العوامل (MFA)
"كلمة مرور الحساب" البسيطة تعادل الركض اليوم. وجدت في قائمة Entra ID
"الحماية"
->
”الوصول المشروط (Conditional Access)“
.
إنشاء سياسة: يُطلب من جميع الموظفين إجراء تأكيد ثانوي (MFA) على هواتفهم من خلال تطبيق Microsoft Authenticator عند تسجيل الدخول إلى عنوان IP الخاص بالشبكة الداخلية غير التابعة للشركة.
بهذه الطريقة ، حتى لو تم تسريب كلمة مرور الموظف على الإنترنت ، ولم يكن لدى المتسلل هاتف محمول للموظف ، فلن يرغب في الدخول في النظام.
2. التكوين المناسب لإعادة تعيين كلمة مرور الخدمة الذاتية (SSPR)
لا تدع وقت فريق تكنولوجيا المعلومات يضيع في الأمور التافهة مثل "مساعدة الموظفين على تغيير كلمات المرور".
في علامة التبويب "إعادة تعيين كلمة المرور" في Entra ID ، يتم تعيين "إعادة تعيين كلمة مرور الخدمة الذاتية" على "الكل".
يحتاج الموظف فقط إلى ربط رقم هاتفه المحمول أو صندوق البريد الشخصي ، ونسيان كلمة المرور في المستقبل ، والنقر فوق "نسيت كلمة المرور" في صفحة تسجيل الدخول ، ويمكنهم المرور
يتم استرداد رمز التحقق بنفسك ، مما يوفر الوقت والجهد.
الخلاصة
Microsoft Entra ID ليس بأي حال من الأحوال قاعدة بيانات مستخدم سحابية بحتة ، فهو قاعدة التحول الرقمي للمؤسسات و Zero Trust.
من خلال
CSV استيراد دفعة
، يمكن للشركات الصغيرة والمتوسطة أن تسمح لجميع الموظفين باحتضان المكتب السحابي بسلاسة في غضون نصف ساعة ؛ من خلال
Entra Connect
، يمكن للمؤسسات الكبيرة ربط الأصول المحلية بشكل مثالي بالتطبيقات السحابية الأصلية الحديثة. قم بعمل جيد في الإدارة الموحدة للهوية ، ودع السلطة تذهب مع الآخرين ، وافعل ذلك بأمان ، ويمكن اعتبار المبنى الرقمي لشركتك هو الأساس الأكثر استقرارًا.