معرف Microsoft Entra هو دليل مستند إلى السحابة وخدمة هوية. تعرض هذه البنية المرجعية أفضل الممارسات لدمج مجالات Active Directory محلي مع معرف Microsoft Entra لتوفير مصادقة الهوية المستندة إلى السحابة.
بناء الأنظمة
الوصول إلى الرسم التخطيطي Visio عبر الإنترنت، من خلال Microsoft 365. لاحظ أنه يجب أن يكون لديك ترخيص Visio للوصول إلى هذا الرسم التخطيطي. أو قم بتنزيل ملف Visio لهذه البنية (راجع علامة التبويب Visio "Microsoft Entra ID").
إشعار
للتبسيط، يعرض هذا الرسم التخطيطي فقط الاتصالات المتعلقة مباشرة بمعرف Microsoft Entra، وليس حركة المرور المتعلقة بالبروتوكول التي قد تحدث كجزء من اتحاد المصادقة والهوية. على سبيل المثال، قد يعيد تطبيق ويب توجيه مستعرض الويب لمصادقة الطلب من خلال معرف Microsoft Entra. بمجرد المصادقة، يمكن تمرير الطلب مرة أخرى إلى تطبيق الويب، مع معلومات الهوية المناسبة.
للحصول على اعتبارات إضافية، راجع اختيار حل لتكامل Active Directory الداخلي مع Azure.
المكونات
البنية لديها المكونات التالية.
مستأجر Microsoft Entra. مثيل معرف Microsoft Entra الذي أنشأته مؤسستك. تعمل كخدمة دليل للتطبيقات السحابية عن طريق تخزين العناصر المنسوخة من Active Directory محلي وتوفر خدمات الهوية.
الشبكة الفرعية لطبقة الويب. تحتفظ هذه الشبكة الفرعية بالأجهزة الظاهرية التي تقوم بتشغيل تطبيق ويب. يمكن أن يعمل معرف Microsoft Entra كوسيط هوية لهذا التطبيق.
خادم خدمات مجال Active Directory المحلية. دليل محلي وخدمة هوية. يمكن مزامنة دليل AD DS مع معرف Microsoft Entra لتمكينه من مصادقة المستخدمين المحليين.
خادم Microsoft Entra Connect Sync. كمبيوتر محلي يقوم بتشغيل خدمة مزامنة Microsoft Entra Connect . تقوم هذه الخدمة بمزامنة المعلومات الموجودة في Active Directory محلي مع معرف Microsoft Entra. على سبيل المثال، إذا قمت بتوفير أو إلغاء تزويد المجموعات والمستخدمين المحليين، فستنشر هذه التغييرات إلى معرف Microsoft Entra.
إشعار
لأسباب أمنية، يخزن معرف Microsoft Entra كلمات مرور المستخدم كتجزئة. إذا كان المستخدم يتطلب إعادة تعيين كلمة مرور، فيجب إجراء ذلك محليا ويجب إرسال التجزئة الجديدة إلى معرف Microsoft Entra. تتضمن إصدارات Microsoft Entra ID P1 أو P2 ميزات يمكن أن تسمح بحدوث تغييرات في كلمة المرور في السحابة ثم تتم كتابتها مرة أخرى إلى AD DS المحلي.
الأجهزة الظاهرية لتطبيق N-tier. لمزيد من المعلومات حول هذه الموارد، راجع [تشغيل الأجهزة الظاهرية لبنية N-tier][implementing-a-multi-tier-architecture-on-Azure].
تفاصيل السيناريو
حالات الاستخدام المحتملة
تتضمن الاستخدامات النموذجية لهذه البنية الأساسية هذه الحَالات:
- تطبيقات الويب المنشورة في Azure التي توفر الوصول إلى المستخدمين البعيدين الذين ينتمون إلى مؤسستك.
- تنفيذ قدرات الخدمة الذاتية للمستخدمين النهائيين، مثل إعادة تعيين كلمات المرور الخاصة بهم، وتفويض إدارة المجموعة. يتطلب هذا إصدار Microsoft Entra ID P1 أو P2.
- البنى التي لا يتم فيها توصيل الشبكة المحلية وAzure VNet للتطبيق باستخدام نفق VPN أو دائرة ExpressRoute.
إشعار
يمكن لمعرف Microsoft Entra مصادقة هوية المستخدمين والتطبيقات الموجودة في دليل المؤسسة. قد تتطلب بعض التطبيقات والخدمات، مثل SQL Server، مصادقة الكمبيوتر، وفي هذه الحالة لا يكون هذا الحل مناسبًا.
التوصيات
تنطبق التوصيات التالية على معظم السيناريوهات. اتبع هذه التوصيات ما لم يكن لديك متطلب محدد يلغيها.
تكوين خدمة Microsoft Entra Connect Sync
تضمن خدمة Microsoft Entra Connect Sync اتساق معلومات الهوية المخزنة في السحابة مع معلومات الهوية المخزنة محليا. يمكنك تثبيت هذه الخدمة باستخدام برنامج Microsoft Entra Connect.
قبل تنفيذ Microsoft Entra Connect Sync، حدد متطلبات المزامنة لمؤسستك. على سبيل المثال، ما الذي يجب مزامنته، والمجالات منه، ومدى تكراره. لمزيد من المعلومات، راجع تحديد متطلبات مزامنة الدليل.
يمكنك تشغيل خدمة Microsoft Entra Connect Sync على جهاز ظاهري أو كمبيوتر مستضاف محليا. اعتمادا على تقلب المعلومات في دليل Active Directory الخاص بك، من غير المحتمل أن يكون الحمل على خدمة Microsoft Entra Connect Sync مرتفعا بعد المزامنة الأولية مع معرف Microsoft Entra. يؤدي تشغيل الخدمة على جهاز ظاهري إلى تسهيل توسيع نطاق الخادم إذا لزم الأمر. مراقبة النشاط على الجهاز الظاهري كما هو موضح في قسم اعتبارات المراقبة لتحديد ما إذا كان التحجيم ضروريًا أم لا.
إذا كان لديك مجالات محلية متعددة في مجموعة تفرعات، نوصي بتخزين المعلومات ومزامنتها للغابة بأكملها إلى مستأجر Microsoft Entra واحد. تصفية المعلومات للهويات التي تحدث في أكثر من مجال واحد، بحيث تظهر كل هوية مرة واحدة فقط في معرف Microsoft Entra، بدلا من تكرارها. يمكن أن يؤدي التكرار إلى عدم التناسق عند مزامنة البيانات. لمزيد من المعلومات، راجع قسم الطوبولوجيا أدناه.
استخدم التصفية بحيث يتم تخزين البيانات الضرورية فقط في معرف Microsoft Entra. على سبيل المثال، قد لا ترغب مؤسستك في تخزين معلومات حول الحسابات غير النشطة في معرف Microsoft Entra. يمكن أن تكون التصفية مستندة إلى المجموعة أو مستندة إلى المجال أو وحدة المؤسسة (OU) أو مستندة إلى السمة. يمكنك دمج عوامل التصفية لإنشاء قواعد أكثر تعقيدًا. على سبيل المثال، يمكنك مزامنة الكائنات الموجودة في مجال لها قيمة معينة في سمة محددة. للحصول على معلومات مفصلة، راجع Microsoft Entra Connect Sync: تكوين التصفية.
لتنفيذ قابلية وصول عالية لخدمة المزامنة الاتصال AD، قم بتشغيل خادم مرحلي ثانوي. لمزيد من المعلومات، راجع قسم توصيات المخطط.
إشعار
تعد مزامنة سحابة Microsoft Entra Connect عرضا جديدا من Microsoft مصمما لتلبية أهداف الهوية المختلطة وتحقيقها لمزامنة المستخدمين والمجموعات وجهات الاتصال مع معرف Microsoft Entra. باستخدام مزامنة سحابة Microsoft Entra Connect، يتم تنسيق التوفير من AD إلى معرف Microsoft Entra في Microsoft Online Services.
التحقق من صحة تكوين الأمان والنهج
إدارة كلمة مرور المستخدم. تدعم إصدارات Microsoft Entra ID P1 أو P2 إعادة كتابة كلمة المرور، ما يتيح للمستخدمين المحليين إجراء إعادة تعيين كلمة مرور الخدمة الذاتية من داخل مدخل Microsoft Azure. يجب تمكين هذه الميزة فقط بعد مراجعة نهج أمان كلمة المرور لمؤسستك. على سبيل المثال، يمكنك تقييد المستخدمين الذين يمكنهم تغيير كلمات المرور الخاصة بهم، ويمكنك تخصيص تجربة إدارة كلمة المرور. لمزيد من المعلومات، راجع تخصيص إدارة كلمات المرور لتناسب احتياجات مؤسستك.
حماية التطبيقات المحلية التي يمكن الوصول إليها خارجيًا. استخدم وكيل تطبيق Microsoft Entra لتوفير وصول خاضع للرقابة إلى تطبيقات الويب المحلية للمستخدمين من خارج شبكتك من خلال معرف Microsoft Entra. فقط المستخدمون الذين لديهم بيانات اعتماد صالحة في دليل Azure الخاص بك لديهم الإذن لاستخدام التطبيق. لمزيد من المعلومات، راجع المقالة تمكين وكيل التطبيق في مدخل Microsoft Azure.
مراقبة معرف Microsoft Entra بنشاط لعلامات النشاط المشبوه. ضع في اعتبارك استخدام إصدار Microsoft Entra ID P2، والذي يتضمن Microsoft Entra ID Protection. تستخدم Identity Protection خوارزميات التعلم الآلي التكيفية والاستدلالات للكشف عن الحالات الخارجة عن المألوف وأحداث المخاطر التي قد تشير إلى أنه تم اختراق هوية. على سبيل المثال، يمكنه اكتشاف نشاط قد يكون غير عادي مثل أنشطة تسجيل الدخول غير المنتظمة أو عمليات تسجيل الدخول من مصادر غير معروفة أو من عناوين IP ذات النشاط المشبوه أو عمليات تسجيل الدخول من الأجهزة التي قد تكون مصابة. تستخدم Identity Protection هذه البيانات لإنشاء تقارير وتنبيهات تمكنك من التحقيق في أحداث المخاطر هذه واتخاذ الإجراء المناسب. لمزيد من المعلومات، راجع حماية معرف Microsoft Entra.
يمكنك استخدام ميزة إعداد التقارير لمعرف Microsoft Entra في مدخل Microsoft Azure لمراقبة الأنشطة المتعلقة بالأمان التي تحدث في النظام الخاص بك. لمزيد من المعلومات حول استخدام هذه التقارير، راجع دليل تقارير معرف Microsoft Entra.
التحقق مـن صحة تخطيط الشبكة
قم بتكوين Microsoft Entra Connect لتنفيذ طوبولوجيا تتطابق بشكل وثيق مع متطلبات مؤسستك. تتضمن الطوبولوجيا التي يدعمها Microsoft Entra Connect ما يلي:
غابة واحدة، دليل Microsoft Entra واحد. في هذا المخطط، يقوم Microsoft Entra Connect بمزامنة الكائنات ومعلومات الهوية من مجال واحد أو أكثر في غابة محلية واحدة في مستأجر Microsoft Entra واحد. هذا المخطط هو التنفيذ الافتراضي عن طريق التثبيت السريع ل Microsoft Entra Connect.
إشعار
لا تستخدم عدة خوادم Microsoft Entra Connect Sync لتوصيل مجالات مختلفة في نفس الغابة المحلية بنفس مستأجر Microsoft Entra، إلا إذا كنت تقوم بتشغيل خادم في وضع التقسيم المرحلي، الموضح أدناه.
غابات متعددة، دليل Microsoft Entra واحد. في هذا المخطط، يقوم Microsoft Entra Connect بمزامنة الكائنات ومعلومات الهوية من غابات متعددة إلى مستأجر Microsoft Entra واحد. استخدم هذا المخطط إذا كان لدى مؤسستك أكثر من غابة محلية واحدة. يمكنك دمج معلومات الهوية بحيث يتم تمثيل كل مستخدم فريد مرة واحدة في دليل Microsoft Entra، حتى إذا كان المستخدم موجودا في أكثر من مجموعة تفرعات واحدة. تستخدم كافة الغابات نفس خادم Microsoft Entra Connect Sync. لا يجب أن يكون خادم Microsoft Entra Connect Sync جزءا من أي مجال، ولكن يجب أن يكون قابلا للوصول من جميع الغابات.
إشعار
في هذا المخطط، لا تستخدم خوادم Microsoft Entra Connect Sync منفصلة لتوصيل كل مجموعة تفرعات محلية بمستأجر Microsoft Entra واحد. يمكن أن يؤدي ذلك إلى تكرار معلومات الهوية في معرف Microsoft Entra إذا كان المستخدمون موجودين في أكثر من مجموعة تفرعات واحدة.
غابات متعددة، طبولوجيا منفصلة. يدمج هذا المخطط معلومات الهوية من غابات منفصلة في مستأجر Microsoft Entra واحد، ويعامل جميع الغابات ككيانات منفصلة. هذا المخطط مفيد إذا كنت تجمع بين الغابات من مؤسسات مختلفة ويتم الاحتفاظ بمعلومات الهوية لكل مستخدم في غابة واحدة فقط.
إشعار
إذا تمت مزامنة قوائم العناوين العمومية (GAL) في كل مجموعة تفرعات، فقد يكون المستخدم في غابة واحدة موجودًا في مجموعة أخرى كجهة اتصال. يمكن أن يحدث هذا إذا قامت مؤسستك بتنفيذ GALSync مع Forefront Identity Manager 2010 أو Microsoft Identity Manager 2016. في هذا السيناريو، يمكنك تحديد أنه يجب تعريف المستخدمين بواسطة سمة البريد الخاصة بهم. يمكنك أيضًا مطابقة الهويات باستخدام سمات ObjectSID وmsExchMasterAccountSID. يعد هذا مفيدًا إذا كانت لديك غابة موارد واحدة أو أكثر مع حسابات معطلة.
خادم التقسيم المرحلي. في هذا التكوين، يمكنك تشغيل مثيل ثان من خادم Microsoft Entra Connect Sync بالتوازي مع الأول. تدعم هذه البنية سيناريوهات مثل:
قابلية الوصول العالية.
اختبار ونشر تكوين جديد لخادم Microsoft Entra Connect Sync.
تقديم خادم جديد وإيقاف تشغيل تكوين قديم.
في هذه السيناريوهات، يتم تشغيل المثيل الثاني في وضع التقسيم المرحلي. يسجل الخادم الكائنات المستوردة وبيانات المزامنة في قاعدة البيانات الخاصة به، ولكنه لا يمرر البيانات إلى معرف Microsoft Entra. إذا قمت بتعطيل وضع التقسيم المرحلي، يبدأ الخادم في كتابة البيانات إلى معرف Microsoft Entra، ويبدأ أيضا في إجراء عمليات إعادة كتابة كلمة المرور في الدلائل المحلية عند الاقتضاء. لمزيد من المعلومات، راجع Microsoft Entra Connect Sync: المهام والاعتبارات التشغيلية.
دلائل Microsoft Entra متعددة. عادة ما تقوم بإنشاء دليل Microsoft Entra واحد لمؤسسة، ولكن قد تكون هناك حالات تحتاج فيها إلى تقسيم المعلومات عبر دلائل Microsoft Entra منفصلة. في هذه الحالة، تجنب مشكلات المزامنة وإعادة كتابة كلمة المرور عن طريق التأكد من ظهور كل كائن من الغابة المحلية في دليل Microsoft Entra واحد فقط. لتنفيذ هذا السيناريو، قم بتكوين خوادم Microsoft Entra Connect Sync منفصلة لكل دليل Microsoft Entra، واستخدم التصفية بحيث يعمل كل خادم Microsoft Entra Connect Sync على مجموعة حصرية من الكائنات.
لمزيد من المعلومات حول هذه الطوبولوجيا، راجع طبولوجيا Microsoft Entra Connect.
تكوين أسلوب مصادقة المستخدم
بشكل افتراضي، يقوم خادم Microsoft Entra Connect Sync بتكوين مزامنة تجزئة كلمة المرور بين المجال المحلي ومعرف Microsoft Entra. تفترض خدمة Microsoft Entra أن المستخدمين يصادقون من خلال توفير نفس كلمة المرور التي يستخدمونها محليا. بالنسبة للعديد من المؤسسات، هذه الاستراتيجية مناسبة، ولكن يجب مراعاة النهج والبنية الأساسية الحالية لمؤسستك. على سبيل المثال:
- قد يحظر نهج الأمان لمؤسستك مزامنة تجزئة كلمة المرور إلى السحابة. في هذه الحالة، يجب أن تفكر مؤسستك في مصادقة المرور.
- قد تحتاج إلى أن يواجه المستخدمون تسجيل الدخول الأحادي السلس (SSO) عند الوصول إلى موارد السحابة من الأجهزة المرتبطة بالمجال على شبكة الشركة.
- قد يكون لدى مؤسستك بالفعل خدمات الأمان المشترك لـ Active Directory (AD FS) أو موفر اتحاد تابع لجهة خارجية تم نشره. يمكنك تكوين معرف Microsoft Entra لاستخدام هذه البنية الأساسية لتنفيذ المصادقة وتسجيل الدخول الأحادي بدلا من استخدام معلومات كلمة المرور الموجودة في السحابة.
لمزيد من المعلومات، راجع خيارات تسجيل دخول مستخدم Microsoft Entra Connect.
تكوين وكيل تطبيق Microsoft Entra
استخدم معرف Microsoft Entra لتوفير الوصول إلى التطبيقات المحلية.
كشف تطبيقات الويب المحلية باستخدام موصلات وكيل التطبيق التي يديرها مكون وكيل تطبيق Microsoft Entra. يفتح موصل وكيل التطبيق اتصال شبكة صادرة إلى وكيل تطبيق Microsoft Entra. يتم توجيه طلبات المستخدمين عن بعد مرة أخرى من معرف Microsoft Entra من خلال اتصال الوكيل هذا بتطبيقات الويب. يزيل هذا التكوين الحاجة إلى فتح المنافذ الواردة في جدار الحماية المحلي ويقلل من سطح الهجوم الذي تعرضه مؤسستك.
لمزيد من المعلومات، راجع نشر التطبيقات باستخدام وكيل تطبيق Microsoft Entra.
تكوين مزامنة كائن Microsoft Entra
يقوم التكوين الافتراضي ل Microsoft Entra Connect بمزامنة العناصر من دليل Active Directory المحلي استنادا إلى القواعد المحددة في المقالة Microsoft Entra Connect Sync: فهم التكوين الافتراضي. تتم مزامنة الكائنات التي تفي بهذه القواعد أثناء تجاهل كافة الكائنات الأخرى. أمثلة بعض القواعد:
- يجب أن يكون لعناصر المستخدم سمة sourceAnchor فريدة ويجب ملء السمة accountEnabled.
- يجب أن تحتوي كائنات المستخدم على سمة sAMAccountName ولا يمكن أن تبدأ بالنص Azure AD_ أو MSOL_.
يطبق Microsoft Entra Connect العديد من القواعد على كائنات المستخدم، والاتصال، والمجموعة، و ForeignSecurityPrincipal، والكمبيوتر. استخدم محرر قواعد المزامنة المثبت مع Microsoft Entra Connect إذا كنت بحاجة إلى تعديل مجموعة القواعد الافتراضية. لمزيد من المعلومات، راجع Microsoft Entra Connect Sync: فهم التكوين الافتراضي).
يمكنك أيضًا تعريف عوامل التصفية الخاصة بك للحد من الكائنات التي يجب مزامنتها بواسطة المجال أو الوحدة التنظيمية. بدلا من ذلك، يمكنك تنفيذ تصفية مخصصة أكثر تعقيدا مثل تلك الموضحة في Microsoft Entra Connect Sync: تكوين التصفية.
تكوين عوامل المراقبة
يتم تنفيذ مراقبة السلامة من قبل العوامل التالية المثبتة محليًا:
- يقوم Microsoft Entra Connect بتثبيت عامل يسجل معلومات حول عمليات المزامنة. استخدم جزء Microsoft Entra Connect Health في مدخل Microsoft Azure لمراقبة صحته وأدائه. لمزيد من المعلومات، راجع استخدام Microsoft Entra Connect Health للمزامنة.
- لمراقبة صحة مجالات AD DS والدلائل من Azure، قم بتثبيت Microsoft Entra Connect Health لعامل AD DS على جهاز داخل المجال المحلي. استخدم شفرة Microsoft Entra Connect Health في مدخل Microsoft Azure لمراقبة الصحة. لمزيد من المعلومات، راجع استخدام Microsoft Entra Connect Health مع AD DS
- قم بتثبيت عامل Microsoft Entra Connect Health ل AD FS لمراقبة صحة الخدمات التي تعمل محليا، واستخدام شفرة Microsoft Entra Connect Health في مدخل Microsoft Azure لمراقبة AD FS. لمزيد من المعلومات، راجع استخدام Microsoft Entra Connect Health مع AD FS
لمزيد من المعلومات حول تثبيت وكلاء AD Connect Health ومتطلباتهم، راجع تثبيت Microsoft Entra Connect Health Agent.
الاعتبارات
تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.
الموثوقيه
تضمن الموثوقية أن التطبيق الخاص بك يمكن أن يفي بالالتزامات التي تتعهد بها لعملائك. لمزيد من المعلومات، يرجى مراجعة نظرة عامة على ركيزة الموثوقية.
يتم توزيع خدمة Microsoft Entra جغرافيا ويتم تشغيلها في مراكز بيانات متعددة منتشرة في جميع أنحاء العالم مع تجاوز الفشل التلقائي. إذا أصبح مركز البيانات غير متوفر، يضمن معرف Microsoft Entra توفر بيانات الدليل للوصول إلى مثيل في مركزي بيانات موزعين إقليميا على الأقل.
إشعار
تضمن اتفاقية مستوى الخدمة (SLA) لمستوى Microsoft 365 Apps AD وخدمات Premium توفرا بنسبة 99.9٪ على الأقل. لا توجد اتفاقية مستوى الخدمة للطبقة المجانية لمعرف Microsoft Entra. لمزيد من المعلومات، راجع اتفاقية مستوى الخدمة لمعرف Microsoft Entra.
ضع في اعتبارك توفير مثيل ثان لخادم Microsoft Entra Connect Sync في وضع التقسيم المرحلي لزيادة التوفر، كما تمت مناقشته في قسم توصيات المخطط.
إذا كنت لا تستخدم مثيل SQL Server Express LocalDB الذي يأتي مع Microsoft Entra Connect، ففكر في استخدام مجموعات SQL لتحقيق قابلية وصول عالية. الحلول مثل النسخ المتطابق و Always On غير مدعومة من قبل Microsoft Entra Connect.
للحصول على اعتبارات إضافية حول تحقيق قابلية وصول عالية لخادم Microsoft Entra Connect Sync وأيضا كيفية الاسترداد بعد الفشل، راجع Microsoft Entra Connect Sync: المهام والاعتبارات التشغيلية - التعافي من الكوارث.
الأمان
ويوفر عامل الأمان ضمانات للحماية من الهجمات المتعمدة واستغلال البيانات والأنظمة القيمة الخاصة بك. للمزيد من المعلومات، يرجى الرجوع إلى نظرة عامة على ركيزة الأمان.
استخدم التحكم في الوصول المشروط لرفض طلبات المصادقة من مصادر غير متوقعة:
تشغيل مصادقة Microsoft Entra متعددة العوامل (MFA) إذا حاول المستخدم الاتصال من موقع غير موثوق به مثل عبر الإنترنت بدلا من شبكة موثوق بها.
استخدم نوع النظام الأساسي للجهاز للمستخدم (iOS وAndroid Windows Mobile Windows) لتحديد نهج الوصول إلى التطبيقات والميزات.
سجل الحالة الممكنة/المعطلة لأجهزة المستخدمين، ودمج هذه المعلومات في عمليات التحقق من نهج الوصول. على سبيل المثال، إذا تم فقدان هاتف المستخدم أو سرقته، فيجب تسجيله على أنه معطل لمنع استخدامه للوصول.
التحكم في وصول المستخدم إلى الموارد استنادًا إلى عضوية المجموعة. استخدم قواعد العضوية الديناميكية ل Microsoft Entra لتبسيط إدارة المجموعة. للحصول على نظرة عامة موجزة حول كيفية عمل ذلك، راجع مقدمة حول العضويات الديناميكية للمجموعات.
استخدم نهج مخاطر الوصول المشروط مع Microsoft Entra ID Protection لتوفير حماية متقدمة استنادا إلى أنشطة تسجيل الدخول غير العادية أو الأحداث الأخرى.
لمزيد من المعلومات، راجع الوصول المشروط ل Microsoft Entra.
تحسين التكلفة
يركز تحسين التكلفة على البحث عن طرق للحد من النفقات غير الضرورية وتحسين الكفاءة التشغيلية. لمزيد من المعلومات، راجع نظرة عامة على ركيزة تحسين التكلفة.
استخدم حاسبة تسعير Azure لتقدير التكاليف.
تشمل اعتبارات التكلفة ما يلي:
Microsoft Entra Connect - تتوفر ميزة مزامنة Microsoft Entra Connect في جميع إصدارات معرف Microsoft Entra.
لا توجد متطلبات ترخيص إضافية لاستخدام Microsoft Entra Connect ويتم تضمينها في اشتراك Azure الخاص بك.
للحصول على معلومات التسعير حول إصدارات معرف Microsoft Entra، راجع تسعير Microsoft Entra.
VMs لتطبيق N-Tier - للحصول على معلومات التكلفة حول هذه الموارد، راجع [Run VMs for an N-tier architecture][implementing-a-multi-tier-architecture-on-Azure].
التميز التشغيلي
يغطي التميز التشغيلي عمليات التشغيل التي تحافظ على تشغيل التطبيق في الإنتاج. لمزيد من المعلومات، يرجى مراجعةنظرة عامة على ركيزة التميز التشغيلي.
قَابلية الإدارة
هناك جانبان لإدارة معرف Microsoft Entra:
- إدارة معرف Microsoft Entra في السحابة.
- صيانة خوادم Microsoft Entra Connect Sync.
يوفر معرف Microsoft Entra الخيارات التالية لإدارة المجالات والدلائل في السحابة:
- Microsoft Graph PowerShell Module - تستخدم لبرمجة المهام الإدارية الشائعة في Microsoft Entra مثل إدارة المستخدم وإدارة المجال وتكوين تسجيل الدخول الأحادي.
- شفرة إدارة Microsoft Entra في مدخل Microsoft Azure - توفر طريقة عرض إدارة تفاعلية للدليل، وتمكنك من التحكم في معظم جوانب معرف Microsoft Entra وتكوينها.
يقوم Microsoft Entra Connect بتثبيت الأدوات التالية للحفاظ على خدمات Microsoft Entra Connect Sync من الأجهزة المحلية:
- وحدة تحكم Microsoft Entra Connect - تسمح لك بتعديل تكوين خادم Azure AD Sync، وتخصيص كيفية حدوث المزامنة، وتمكين وضع التقسيم المرحلي أو تعطيله، وتبديل وضع تسجيل دخول المستخدم. يمكنك تمكين تسجيل الدخول إلى خدمات الأمان المشترك لـ Active Directory باستخدام البنية الأساسية المحلية.
- Synchronization Service Manager - استخدم علامة التبويب Operations في هذه الأداة لإدارة عملية المزامنة واكتشاف ما إذا كانت أي أجزاء من العملية قد فشلت. يمكنك تشغيل المزامنة يدويًا باستخدام هذه الأداة. تمكنك علامة التبويب الموصلات من التحكم في اتصالات المجالات التي يتم إرفاق محرك المزامنة بها.
- محرر قواعد المزامنة - يسمح لك بتخصيص الطريقة التي يتم بها تحويل الكائنات عند نسخها بين دليل محلي ومعرف Microsoft Entra. تمكنك هذه الأداة من تحديد سمات وعناصر إضافية للمزامنة، ثم تنفذ عوامل التصفية لتحديد الكائنات التي يجب أو لا ينبغي مزامنتها. لمزيد من المعلومات، راجع قسم محرر قاعدة المزامنة في المستند Microsoft Entra Connect Sync: فهم التكوين الافتراضي.
لمزيد من المعلومات والتلميحات لإدارة Microsoft Entra Connect، راجع Microsoft Entra Connect Sync: أفضل الممارسات لتغيير التكوين الافتراضي.
DevOps
لاعتبارات DevOps، راجع التميز التشغيلي في توسيع خدمات مجال Active Directory (AD DS) إلى Azure.
كفاءة الأداء
كفاءة الأداء هي قدرة حمل عملك على تغيير الحجم لتلبية المطالب التي يضعها المستخدمون عليها بطريقة فعالة. لمزيد من المعلومات، يرجى مراجعةأنماط كفاءة الأداء.
تدعم خدمة Microsoft Entra قابلية التوسع استنادا إلى النسخ المتماثلة، مع نسخة متماثلة أساسية واحدة تتعامل مع عمليات الكتابة بالإضافة إلى نسخ متماثلة ثانوية متعددة للقراءة فقط. يقوم Microsoft Entra ID بإعادة توجيه محاولات الكتابة التي تمت مقابل النسخ المتماثلة الثانوية بشفافية إلى النسخة المتماثلة الأساسية ويوفر التناسق النهائي. يتم نشر كافة التغييرات التي تم إجراؤها على النسخة المتماثلة الأساسية إلى النسخ المتماثلة الثانوية. تتوسع هذه البنية بشكل جيد لأن معظم العمليات مقابل معرف Microsoft Entra هي عمليات قراءة بدلا من كتابات. لمزيد من المعلومات، راجع ما هي بنية Microsoft Entra؟
بالنسبة إلى خادم Microsoft Entra Connect Sync، حدد عدد الكائنات التي من المحتمل أن تقوم بمزامنتها من الدليل المحلي. إذا كان لديك أقل من 100,000 كائن، يمكنك استخدام برنامج SQL Server Express LocalDB الافتراضي المتوفر مع Microsoft Entra Connect. إذا كان لديك عدد أكبر من العناصر، فيجب تثبيت إصدار إنتاج من SQL Server وإجراء تثبيت مخصص ل Microsoft Entra Connect، مع تحديد أنه يجب أن يستخدم مثيلا موجودا من SQL Server.
المساهمون
تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.
الكاتب الرئيسي:
- إريك وودروف | أخصائي تقني للمنتج
لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.
الخطوات التالية
- راجع اعتبارات تصميم الهوية المختلطة من Microsoft Entra، والتي تتضمن المزيد من المعلومات حول اتخاذ القرارات المتعلقة بالهوية المختلطة.
- راجع طبولوجيا Microsoft Entra Connect للتأكد من نشر المخطط المختلط ل Microsoft Entra Connect في تكوين مدعوم.
- تعرف على كيفية استخدام الوصول المشروط لحماية الوصول إلى تطبيقاتك، مع التخطيط لنشر الوصول المشروط.
- لمزيد من المعلومات حول توفير AD DS في Azure كبنية أساسية، راجع تكامل AD المحلي مع Azure.
- راجع وكيل تطبيق Microsoft Entra إذا كنت تنوي توفير تكاملات Microsoft Entra مع تطبيقات IaaS المحلية أو السحابية.
- نظرًا لأن الهوية هي مستوى التحكم الجديد للأمان، راجع أفضل ممارسات إدارة الهوية.
- علاوة على ذلك، نظرا لأن نشر هذا الحل يتطلب حسابات ذات امتيازات عالية، راجع تأمين الوصول المتميز، لفهم عناصر التحكم في الأمان للحسابات المميزة.