练习在 Privileged Identity Management 中分配 Microsoft Entra 角色
使用 Microsoft Entra ID,全局管理员可以永久性地指派 Microsoft Entra 管理员角色。 可以使用 Azure 门户或使用 PowerShell 命令创建这些角色分配。
Microsoft Entra Privileged Identity Management (PIM) 服务还允许特权角色管理员进行永久管理员角色分配。 此外,特权角色管理员可以使用户具备资格来担任 Microsoft Entra 管理员角色。 符合条件的管理员可以在需要时激活角色,然后在使用完成后其权限将过期。
分配角色
按照以下步骤使用户有资格获得 Microsoft Entra 管理员角色。
以租户管理员身份登录到 Microsoft Entra 管理中心。
搜索并选择 Microsoft Entra Privileged Identity Management。
在 Privileged Identity Management 屏幕的左侧导航中,选择 Microsoft Entra 角色。
在“快速启动”页上的左侧导航中,选择 角色。
在顶部菜单中,选择“+ 添加任务”。
在“添加分配”窗格中的“成员身份”选项卡上,查看设置。
选择 选择角色 菜单,然后选择 合规性管理员。 可以通过名称 筛选器使用 搜索角色来帮助定位角色。
在“选择成员”下, 选择 “未选择任何成员”。
在“选择成员”窗格中,选择管理员帐户,然后选择 选择。
在“添加分配”界面中,选择“下一步”。
在“设置”选项卡上的“分配类型”下,查看可用的选项。 对于此任务,请使用默认设置。
- 符合条件的分配要求角色的成员执行作才能使用该角色。 作可能包括执行多重身份验证(MFA)检查、提供业务理由或请求指定审批者的批准。
- 活动分配不需要成员执行任何操作即可使用该角色。 分配为活跃的成员始终具有分配给该角色的权限。
查看其余设置,然后选择 分配。
激活Microsoft Entra 角色
当需要承担Microsoft Entra 角色时,可以通过在 Privileged Identity Management 中打开 “我的角色” 来请求激活。
在特权身份管理屏幕的左侧导航菜单中,选择“我的角色”。
在“我的角色”窗格中,查看符合条件的分配列表。
在“合规性管理员”角色行中,选择激活 。
在“激活 – 符合性管理员”窗格中,选择 所需的其他验证,,然后按照说明提供额外的安全验证。 每个会话只需进行身份验证一次。
完成安全验证后,在“激活 – 符合性管理员”窗格中的“原因” 框中,输入激活此角色的理由。
选择 激活。
分配具有受限作用域的角色
对于某些角色,已授予权限的范围可以限制为单个管理单元、服务主体或应用程序。 如果分配具有管理单元范围的角色,则此过程就是一个示例。
导航到 Privileged Identity Management 页面,并在左侧导航菜单中选择 Microsoft Entra 角色。
在“角色”窗格的上方菜单中,选择“+ 添加任务”。
在“添加分配”屏幕中,选择 “选择角色”菜单,然后选择“用户管理员”。
选择 范围类型 菜单并查看可用选项。 目前,你将使用 目录 范围类型。
提示
转到 Microsoft Entra ID 中管理行政单元,了解有关行政单元范围类型的详细信息。
类似于分配一个范围不受限制的角色。 添加成员并完成设置选项。 现在,选择取消。
更新或删除现有角色分配
按照以下步骤更新或删除现有角色分配。
在 Microsoft Entra 特权身份管理打开后,在 Microsoft Entra 角色屏幕的左侧导航栏中,选择 分配。
在 任务 列表中,对于合规管理员,请查看 操作 列中的选项。
选择 更新,并查看“成员身份设置”窗格中可用的选项。 完成后,关闭窗格。
选择 删除。
在 “删除”对话框中,查看信息,然后选择 “是”。