练习在 Privileged Identity Management 中分配 Microsoft Entra 角色
使用 Microsoft Entra ID,全局管理员可以创建永久 Microsoft Entra 管理员角色分配。 可以使用 Azure 门户或 PowerShell 命令创建这些角色分配。
Microsoft Entra Privileged Identity Management (PIM) 服务还允许特权角色管理员进行永久管理员角色分配。 此外,特权角色管理员可将用户设置为 Microsoft Entra 管理员角色的合格用户。 符合条件的管理员可在需要时激活角色,在完成任务后,其权限随即失效。
分配角色
遵循以下步骤可使用户符合 Microsoft Entra 管理员角色的条件。
以租户管理员身份登录到 Microsoft Entra 管理中心。
搜索并选择“Microsoft Entra Privileged Identity Management”。
在“Privileged Identity Management”屏幕的左侧导航菜单中,选择“Microsoft Entra 角色”。
在“快速启动”页的左侧导航窗格中,选择“角色”。
在顶部菜单中,选择“+ 添加分配”。
在“添加分配”窗格的“成员身份”选项卡上,查看设置。
选择“选择角色”菜单,然后选择“合规性管理员”。 可以使用“按名称搜索角色”筛选器来帮助查找角色。
在“选择成员”下,选择“未选择任何成员”。
在“选择成员”窗格中,选择你的管理员帐户,然后选择“选择”。
在“添加分配”屏幕中,选择“下一步”。
在“设置”选项卡的“分配类型”下,查看可用选项。 对于此任务,请使用默认设置。
- “合格”分配要求该角色的成员执行某个操作才能使用该角色。 操作可能包括执行多重身份验证 (MFA) 检查、提供业务理由或请求获得指定审批者的批准。
- “活动”分配不要求成员执行任何操作便可使用该角色。 分配为“活动”的成员拥有始终分配给该角色的特权。
查看其余设置,然后选择“分配”。
激活 Microsoft Entra 角色
需要充当某个 Microsoft Entra 角色时,可在 Privileged Identity Management 中通过打开“我的角色”请求激活。
在“Privileged Identity Management”屏幕的左侧导航菜单中,选择“我的角色”。
在“我的角色”窗格中,查看符合条件的分配的列表。
在“合规性管理员角色”行中,选择“激活”。
在“激活”-“合规性管理员”窗格中,选择“需要其他验证”,然后按照说明提供其他安全验证。 每个会话只需进行一次身份验证。
完成安全验证后,在“激活”-“合规性管理员”窗格中,在“原因”框中,输入激活此角色的原因。
选择“激活” 。
向角色分配受限范围
对于某些角色,所授予权限的范围可以限制为单个管理单元、服务主体或应用程序。 若要分配范围为一个管理单元的角色,则可参考此过程。
浏览到“Privileged Identity Management”屏幕,在左侧导航菜单中,选择“Microsoft Entra 角色”。
在“角色”窗格中,在顶部菜单上,选择“+ 添加分配”。
在“添加分配”屏幕中,选择“选择角色”菜单,然后选择“用户管理员”。
选择“范围类型”菜单,并查看可用选项。 现在,你需要使用“目录”范围类型。
与分配没有受限范围的角色类似。 添加成员,并完成设置选项。 现在选择“取消”。
更新或删除现有的角色分配
按照以下步骤更新或删除现有的角色分配。
在“打开 Microsoft Entra Privileged Identity Management”和“Microsoft Entra 角色”屏幕的左侧导航中,选择“分配”。
在“分配”列表中,对于合规性管理员,查看“操作”列中的选项。
选择“更新”并查看“成员身份设置”窗格中的可用选项。 完成后,关闭窗格。
选择“删除” 。
在“删除”对话框中,查看信息,然后选择“是”。