在 Privileged Identity Management 中对 Azure 资源访问被拒绝进行故障排除
如果在 Microsoft Entra ID 中遇到 Privileged Identity Management (PIM) 问题,本文中的信息可以帮助你解决这些问题。
拒绝对 Azure 资源的访问
问题
作为 Azure 资源的活动所有者或用户访问管理员,你可以查看 Privileged Identity Management 中的资源,但不能执行任何操作,例如进行符合条件的分配或从资源概述页查看角色分配列表。 其中任何操作都会导致授权错误。
原因
当从订阅中意外删除 PIM 服务主体的“用户访问管理员”角色时,可能会发生此问题。 为了使 Privileged Identity Management 服务能够访问 Azure 资源,应始终为 MS-PIM 服务主体分配“用户访问管理员角色”。
解决方法
在订阅级别将“用户访问管理员”角色分配给 Privileged identity Management 服务主体名称 (MS-PIM)。 此分配应允许 Privileged identity Management 服务访问 Azure 资源。 根据你的要求,可以在管理组级别或订阅级别分配角色。 有关服务主体的详细信息,请参阅将应用程序分配给角色。