Ćwiczenie przypisywania ról firmy Microsoft Entra w usłudze Privileged Identity Management

  • 10 min

Dzięki identyfikatorowi Entra firmy Microsoft administrator globalny może wykonywać stałe przypisania ról administratora firmy Microsoft Entra. Te przypisania ról można tworzyć przy użyciu witryny Azure Portal lub poleceń programu PowerShell.

Usługa Microsoft Entra Privileged Identity Management (PIM) umożliwia również administratorom ról uprzywilejowanych wykonywanie stałych przypisań ról administratora. Ponadto administratorzy ról uprzywilejowanych mogą kwalifikować się do ról administratora firmy Microsoft Entra. Uprawniony administrator może aktywować rolę, gdy jej potrzebują, a następnie ich uprawnienia wygasają po zakończeniu.

Przypisywanie roli

Wykonaj następujące kroki, aby użytkownik kwalifikował się do roli administratora firmy Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator dzierżawy.

  2. Wyszukaj, a następnie wybierz pozycję Microsoft Entra Privileged Identity Management.

  3. Na ekranie Privileged Identity Management w obszarze nawigacji po lewej stronie wybierz pozycję Role firmy Microsoft Entra.

  4. Na stronie Szybki start w obszarze nawigacji po lewej stronie wybierz pozycję Role.

  5. W górnym menu wybierz pozycję + Dodaj przypisania.

    Screenshot of the Microsoft Entra roles with Add assignments menu highlighted.

  6. W okienku Dodawanie przypisań na karcie Członkostwo przejrzyj ustawienia.

  7. Wybierz menu Wybierz rolę, a następnie wybierz pozycję Zgodność Administracja istrator. Aby ułatwić zlokalizowanie roli, możesz użyć roli Wyszukiwania według nazwy .

  8. W obszarze Wybierz członków wybierz pozycję Brak wybranych członków.

  9. W okienku Wybierz członka wybierz konto administratora, a następnie wybierz pozycję Wybierz.

    Screenshot of the select a member pane with a selected member highlighted.

  10. Na ekranie Dodawanie przypisań wybierz pozycję Dalej.

  11. Na karcie Ustawienia w obszarze Typ przypisania przejrzyj dostępne opcje. W tym zadaniu użyj ustawienia domyślnego.

    • Kwalifikujące się przypisania wymagają, aby członek roli wykonał akcję w celu użycia roli. Akcje mogą obejmować przeprowadzanie sprawdzania uwierzytelniania wieloskładnikowego (MFA), podawanie uzasadnienia biznesowego lub żądanie zatwierdzenia od wyznaczonych osób zatwierdzających.
    • Aktywne przypisania nie wymagają od członka wykonania żadnej akcji w celu użycia roli. Członkowie przypisani jako aktywni mają zawsze przypisane uprawnienia do roli.

  12. Przejrzyj pozostałe ustawienia, a następnie wybierz pozycję Przypisz.

Aktywowanie ról usługi Microsoft Entra

Jeśli musisz założyć rolę Entra firmy Microsoft, możesz zażądać aktywacji, otwierając pozycję Moje role w usłudze Privileged Identity Management.

  1. Na ekranie Privileged Identity Management w menu nawigacji po lewej stronie wybierz pozycję Moje role.

  2. W okienku Moje role przejrzyj listę kwalifikujących się przypisań.

    Screenshot of the My roles with eligible role assignments highlighted. Pick the role you need.

  3. W wierszu roli Administracja istrator zgodności wybierz pozycję Aktywuj.

  4. W okienku Aktywuj — zgodność Administracja istrator wybierz pozycję Wymagana dodatkowa weryfikacja, a następnie postępuj zgodnie z instrukcjami, aby zapewnić dodatkową weryfikację zabezpieczeń. Wymagane jest uwierzytelnienie tylko raz na sesję.

    Screenshot of a popup to activate the compliance administrator.

  5. Po zakończeniu weryfikacji zabezpieczeń w okienku Aktywuj — zgodność Administracja istrator wprowadź uzasadnienie aktywowania tej roli.

  6. Wybierz Aktywuj.

Przypisywanie roli z ograniczonym zakresem

W przypadku niektórych ról zakres przyznanych uprawnień może być ograniczony do jednej jednostki administracyjnej, jednostki usługi lub aplikacji. Ta procedura jest przykładem przy przypisywaniu roli, która ma zakres jednostki administracyjnej.

  1. Przejdź do ekranu Usługi Privileged Identity Management, a następnie w menu nawigacji po lewej stronie wybierz pozycję Role firmy Microsoft Entra.

  2. W okienku Role w górnym menu wybierz pozycję + Dodaj przypisania.

  3. Na ekranie Dodawanie przypisań wybierz menu Wybierz rolę , a następnie wybierz pozycję Administrator użytkowników.

  4. Wybierz menu Typ zakresu i przejrzyj dostępne opcje. Na razie użyjesz typu Zakres katalogu .

    Napiwek

    Przejdź do pozycji Zarządzanie jednostkami administracyjnymi w identyfikatorze Entra firmy Microsoft, aby uzyskać więcej informacji na temat typu zakresu jednostki administracyjnej.

  5. Podobnie jak przypisywanie roli bez ograniczonego zakresu. Dodaj członków i ukończ opcje ustawień. Na razie wybierz pozycję Anuluj.

Aktualizowanie lub usuwanie istniejącego przypisania roli

Wykonaj następujące kroki, aby zaktualizować lub usunąć istniejące przypisanie roli.

  1. Na ekranie Otwórz usługę Microsoft Entra Privileged Identity Management wybierz pozycję Przypisania.

  2. Na liście Przypisania w obszarze Zgodność Administracja istrator przejrzyj opcje w kolumnie Akcja.

    Screenshot of the options listed in the action column of the Compliance Administrator.

  3. Wybierz pozycję Aktualizuj i przejrzyj opcje dostępne w okienku Ustawienia członkostwa. Po zakończeniu zamknij okienko.

  4. Wybierz Usuń.

  5. W oknie dialogowym Usuń przejrzyj informacje, a następnie wybierz pozycję Tak.