练习在特权身份管理 (Privileged Identity Management) 中分配 Azure 资源角色

  • 8 分钟

分配 Azure 资源角色

Microsoft Entra Privileged Identity Management(PIM)可以管理内置的 Azure 资源角色以及自定义角色,包括(包括但不限于):

  • 所有者
  • 用户访问管理员
  • 贡献者
  • 安全管理员
  • 安全管理器

按照以下步骤使用户有资格获得 Azure 资源角色。

  1. 以租户管理员身份登录到 Microsoft Entra 管理中心

  2. 搜索并选择 Microsoft Entra Privileged Identity Management。

  3. 在 Privileged Identity Management 菜单的左侧导航栏中,选择 Azure 资源。

  4. 在顶部菜单中,选择“发现资源”

  5. 在 Azure 资源 - 发现屏幕中,选择订阅,然后在顶部菜单中选择 管理资源

    Azure 资源发现屏幕的屏幕截图,其中突出显示了订阅和管理资源。

  6. 载入所选资源进行管理 对话框中,查看信息,然后选择 确定

  7. 载入完成后,关闭 Azure 资源 - 发现屏幕。

  8. 在 Azure 资源屏幕中,选择刚刚添加的资源。

    显示最近添加的 Azure 资源的屏幕截图。

  9. 在左侧导航菜单中的“管理”下,选择 角色 以查看 Azure 资源的角色列表。

  10. 在顶部菜单中,选择“+ 添加任务”

  11. 在“添加分配”对话框中,选择 “选择角色” 菜单,然后选择 API 管理服务贡献者。

  12. 在“选择成员”下, 选择 未选择任何成员

  13. 在“选择成员或组”窗格中,从您的组织中选择一个帐户,该帐户将被分配角色。

  14. 选择 下一

  15. 在“设置”选项卡上的“分配类型”下,选择 符合条件

    • 合格 分配要求角色的成员执行操作才能使用该角色。 作可能包括执行多重身份验证(MFA)检查、提供业务理由或请求指定审批者的批准。
    • 活动 分配不需要成员执行任何操作就能使用该角色。 被指定为活跃状态的成员始终拥有赋予该角色的权限。

  16. 通过更改开始日期和结束日期和时间来指定工作分配持续时间。

  17. 完成后,选择 分配

  18. 创建新角色分配后,将显示状态通知。

更新或删除现有资源角色分配

按照以下步骤更新或删除现有角色分配。

  1. 打开 Microsoft Entra Privileged Identity Management
  2. 选择 Azure 资源
  3. 选择要管理的资源以打开其概述页。
  4. 在“管理”中,选择“任务”。
  5. 在“合格角色”选项卡的“操作”列中,查看可用选项。
  6. 选择 删除
  7. “删除”对话框中,查看信息,然后选择“是”