Устранение неполадок, связанных с отказом в доступе к ресурсам Azure, в службе "Управление привилегированными пользователями"

Если у вас возникли проблемы с управлением привилегированными идентификаторами (PIM) в Microsoft Entra ID, сведения, представленные в этой статье, помогут устранить эти проблемы.

Доступ к ресурсам Azure запрещен

Проблема

Как активный владелец или администратор доступа пользователей для ресурса Azure, вы можете видеть ваш ресурс в Управлении привилегированными идентификациями, но не можете выполнять какие-либо действия, такие как назначение кандидатов или просмотр списка назначений ролей на странице обзора ресурсов. Любое из этих действий приводит к ошибке авторизации.

Причина

Эта проблема может возникать, когда роль администратора доступа пользователей для основного объекта службы PIM была случайно удалена из подписки. Чтобы служба управления привилегированными идентификациями могла получить доступ к ресурсам Azure, субъект-службы MS-PIM всегда должен иметь роль администратора доступа пользователей.

Разрешение

Назначьте роль администратора управления доступом для имени принципала службы управления привилегированными идентификациями (MS–PIM) на уровне подписки. Это назначение должно предоставить службе управления привилегированными идентификациями доступ к ресурсам Azure. Роль можно назначить на уровне группы управления или на уровне подписки в зависимости от ваших требований. Дополнительные сведения о служебных принципах см. в разделе Назначение роли приложению.

Следующие шаги

• License requirements to use Privileged Identity Management (Требования к лицензии для использования PIM)
• Защита привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra
• Deploy Azure AD Privileged Identity Management (PIM) (Развертывание Azure AD Privileged Identity Management (PIM))