إتقان Microsoft Entra ID: users، groups، dynamic groups، B2B/B2C guests، MFA، Conditional Access، Identity Protection، PIM، hybrid identity (Entra Connect)، self-service password reset، application registrations.
للسياق: الدليل الرئيسي Azure AZ-104 · Tenant Azure مجّاني.
المقدّمة
Microsoft Entra ID (أُعيد تسميتها في يوليو 2023، سابقاً Azure Active Directory) هي خدمة الهويّة السحابيّة من Microsoft. المجال 1 Manage Azure Identities and Governance (20-25% AZ-104) — الأعلى وزناً.
المتطلّبات
- Tenant Azure مُهيَّأ.
- المستوى المتوسّط.
- الوقت: ساعتان.
الخطوة 1 — فهم Entra ID مقابل Active Directory
Active Directory (AD DS) : on-premises، منذ 2000، يقوم على Kerberos/LDAP
Group Policy، schema قابل للتوسيع، forêts/domaines
Microsoft Entra ID (سحاب) : SaaS multi-tenant، يقوم على OAuth/OIDC/SAML
لا Group Policy، لا Kerberos افتراضياً
أحدث، تكامل Office 365
Entra Domain Services (Azure AD DS): Active Directory managé في Azure
هجين: Kerberos/LDAP في السحاب
حالة الاستعمال: VMs سحابيّة تحتاج AD legacy
Entra Connect : sync Entra ID ↔ AD on-premises
مزامنة بالساعة، Password Hash Sync أو Pass-Through Auth
في الاختبار: الفرق واضح. سؤال نموذجيّ: «users AD on-prem يحتاجون الوصول إلى Office 365» ← Entra Connect.
الخطوة 2 — Tiers Entra ID
Free : SSO أساسي، MFA أساسيّ، حتى 50 000 كائن
Microsoft Entra ID P1 : Conditional Access، dynamic groups، SSPR
مُدرَج في Microsoft 365 Business Premium / E3
Microsoft Entra ID P2 : Identity Protection، PIM، Access Reviews
مُدرَج في M365 E5
في الاختبار: اعرف أيّ ميزة في أيّ tier. Conditional Access = P1+. PIM = P2.
الخطوة 3 — Users و Groups
# إنشاء user
az ad user create \
--display-name "Mariam Niang" \
--user-principal-name mniang@yourtenant.onmicrosoft.com \
--password "TempPwd2026!" \
--force-change-password-next-sign-in true
# إنشاء group
az ad group create --display-name "IT-Admins" --mail-nickname "it-admins"
# إضافة user إلى group
az ad group member add --group "IT-Admins" --member-id <user-object-id>
الخطوة 4 — Dynamic Groups (P1+)
Membership آليّ حسب خصائص user.
مثال قاعدة: (user.department -eq "Engineering") -and (user.country -eq "Senegal")
أيّ user بـ department=Engineering و country=Senegal يصبح تلقائياً عضواً. تحديث لحظيّ.
في الاختبار: Dynamic Groups تتطلّب Entra ID P1. User attributes قابلة للتوسيع عبر custom security attributes.
الخطوة 5 — Multi-Factor Authentication
Per-user MFA (legacy) : مُفعَّل لكلّ user، يقوم على Conditional Access
منهج بائد، احتفظ به للتوافق
Conditional Access MFA: حديث وموصى به، granulaire
Enforce MFA حسب السياق (location، device، risk)
Security Defaults : MFA مفروض على الجميع (Free tier، بسيط)
نشط افتراضياً على tenants جديدة
طرق MFA في Entra ID:
- Microsoft Authenticator (push notification موصى به)
- TOTP (Authenticator app)
- SMS / phone call (deprecated، يُتجنَّب)
- FIDO2 security key (الأكثر أماناً)
- Windows Hello for Business (biométrie)
الخطوة 6 — Conditional Access (P1+)
Policies مبنيّة على signals: user، location، device، app، risk.
أمثلة policies:
- "إذا user في group SalesOnly + يصل Salesforce + IP خارج السنغال ← bloquer"
- "إذا user admin + يصل portal Azure ← MFA إلزاميّ"
- "إذا device غير متوافق Intune ← bloquer ما عدا web غير حسّاس"
- "إذا user risk مرتفع (Identity Protection) ← re-auth + reset password"
الإعداد عبر portal Entra ID > Protection > Conditional Access.
في الاختبار: المكوّنات (Assignments + Access controls)، شروط قابلة للتجميع، أنماط Report-only / On / Off للاختبار التدريجيّ.
الخطوة 7 — Identity Protection (P2)
كشف آليّ للمخاطر بـ ML Microsoft:
User risk : حساب مُخترَق (creds leaked، شذوذات)
Sign-in risk : محاولة اتّصال مشبوهة (impossible travel، atypical location، anonymous IP)
Policies remediation:
- User risk مرتفع ← فرض reset password
- Sign-in risk متوسّط ← فرض MFA
- Sign-in risk عالٍ ← bloquer
الخطوة 8 — PIM: Privileged Identity Management (P2)
Just-in-time admin access. الأدوار المُمتازة (Global Admin، Subscription Owner) لم تَعُد دائمة — رفع عند الطلب مع تبرير + موافقة.
Eligibility : user مؤهّل لـ role، لكن غير مُفعَّل
Activation : user يطلب الرفع، مدّة محدودة (مثلاً 4h حدّ أقصى)
Approval : اختياريّ، من admin آخر
Justification : سبب موثّق
Audit log : من، متى، لماذا
مثاليّ للبنوك/الامتثال: لا «admin دائم»، رفع مُتعقَّب.
الخطوة 9 — Self-Service Password Reset (SSPR)
السماح للـ users بإعادة تعيين password دون helpdesk.
1. Portal > Entra ID > Password reset
2. Configure self-service password reset for: All users
3. Authentication methods: 2 كحدّ أدنى (mobile phone، security questions، email)
4. Notifications: إرسال email للـ admin + user عند reset
5. تفعيل أيضاً لـ AD on-prem عبر Entra Connect (writeback)
يُخفّض حمل helpdesk بـ 30-50%. حاسم في منظّمة > 100 user.
الخطوة 10 — Hybrid Identity مع Entra Connect
للشركات بـ AD on-prem قائم:
1. تثبيت Entra Connect على خادم Windows joined بالـ domain
2. تهيئة Express Settings (sync كلّ users/groups)
3. اختر طريقة auth:
- Password Hash Sync (PHS): hash sync نحو السحاب، بسيط
- Pass-Through Auth (PTA): auth عبر agent on-prem
- Federation (ADFS): SSO عبر ADFS
4. Sync interval 30 دقيقة افتراضياً
5. Filtrer scope: OU، domain، attributs
في الاختبار: فروق PHS مقابل PTA. PHS أبسط، PTA لا hash في السحاب (compliance).
الأخطاء المتكرّرة
| الخطأ | الحلّ |
|---|---|
| Conditional Access lock-out | أنشئ دائماً حساب «break glass» مُعفى من policies |
| MFA registration تُرك اختيارياً | فرض registration عبر Conditional Access |
| Entra Connect sync errors | تحقّق ProxyAuth، Service account، firewall outbound |
| PIM بلا approval mode = بلا فائدة | دائماً أعدّ approval + justification |
| Security Defaults vs Conditional Access | لا تنشطهما معاً، Conditional Access أكثر مرونة |
تكيّفات إقليميّة
Banques: Entra ID P2 + Conditional Access + Identity Protection + PIM + Entra Connect لـ AD legacy. ميزانيّة ~9 USD/user/شهر (M365 E5).
Startups: Free tier + Security Defaults. MFA pour tous. Upgrade P1 quand > 50 users.
ESN: Multi-tenant gestion via Microsoft Partner Center + delegated admin.
أسئلة شائعة
Free vs P1? P1 obligatoire pour Conditional Access et Dynamic Groups.
Azure AD est mort? Renommé Entra ID, fonctionne pareil.
SSPR pour users hybrid? Oui via Entra Connect password writeback.
للتعمّق
- الدليل الرئيسي: Azure AZ-104
- التتمّة: RBAC Azure: roles، scopes، PIM.
- التوثيق: Microsoft Entra docs.
الكلمات المفتاحيّة: Microsoft Entra ID، Conditional Access، MFA Azure، Identity Protection، PIM، Entra Connect، SSPR، Dynamic Groups، FIDO2.
تعميق
Banque ivoirienne: Entra ID P2 + Conditional Access (block IP hors CI sauf admin) + PIM avec approval Bank Council. Audit trimestriel obligatoire.
Startup Dakar: Security Defaults + MFA pour tous + Self-Service Password Reset. Migration vers P1 après levée Série A.
ESN multi-clients: Entra B2B avec invitations partenaires + Conditional Access par groupe client + Access Reviews trimestriels.
أدوات تكميليّة
Microsoft Entra Admin Center، Microsoft Graph PowerShell، AzureAD module (legacy)، Microsoft Sentinel pour SIEM identité، Microsoft Defender for Identity pour AD on-prem monitoring.