你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
激活符合条件的 Azure 角色分配
符合条件的 Azure 角色分配在有限时间段内提供对角色的实时访问权限。 Microsoft Entra Privileged Identity Management (PIM) 角色激活已集成到 Azure 门户的“访问控制(IAM)”页中。 如果你已符合 Azure 角色的资格,则可以使用 Azure 门户激活该角色。 此功能正在分阶段部署,因此它可能在租户中尚不可用,或者你的界面可能看起来有所不同。
先决条件
- Microsoft Entra ID P2 许可证或 Microsoft Entra ID Governance 许可证
- 符合条件的角色分配
Microsoft.Authorization/roleAssignments/read
权限,例如读取者
激活组成员身份(如果需要)
如果你已符合某个组(适用于组的 PIM)的资格,并且此组具有符合条件的角色分配,必须先激活组成员身份,然后才能看到该组的符合条件的角色分配。 对于这种情况,必须激活两次:第一次针对组激活,第二次针对角色激活。
如需了解如何激活组成员身份,请参阅在 Privileged Identity Management (PIM) 中激活组成员身份或所有权。
使用 Azure 门户激活角色
以下步骤介绍如何使用 Azure 门户激活符合条件的角色分配。
登录到 Azure 门户。
单击“所有服务”,然后选择范围。 例如,你可以选择“管理组”、“订阅”或“资源组”。
在访问控制 (IAM) 页面上,可以在管理组、订阅和资源组范围内,但不能在资源范围内激活符合条件的角色分配。
单击特定的资源。
单击“访问控制(IAM)”。
在“操作”列中,单击要激活的角色的“激活”。
随即将显示具有激活设置的“激活”窗格。
在“激活”选项卡上,指定开始时间、持续时间和原因。 如果要自定义激活开始时间,请选中“自定义激活开始时间”框。
(可选)单击“范围”选项卡,指定角色分配的范围。
如果在更高级别定义了符合条件的角色分配,则可以选择较低的范围以缩小访问权限范围。 例如,如果在订阅范围内具有符合条件的角色分配,则可以在订阅中选择资源组以缩小范围。
完成后,单击“激活”按钮,使用所选设置激活角色。
将显示进度消息,以指示激活的状态。
激活完成后,将显示一条消息,指出角色已成功激活。
激活符合条件的角色分配后,该角色分配将在“检查访问权限”和“角色分配”选项卡上列为活动时间有限的角色分配。 有关详细信息,请参阅使用 Azure 门户列出 Azure 角色分配。