练习在 Privileged Identity Management 中分配 Azure 资源角色

  • 8 分钟

分配 Azure 资源角色

Microsoft Entra Privileged Identity Management (PIM) 可以管理内置的 Azure 资源角色以及自定义角色,包括(但不限于):

  • “所有者”
  • 用户访问管理员
  • 参与者
  • 安全管理员
  • 安全管理器

遵循以下步骤可使用户符合 Azure 资源角色的条件。

  1. 以租户管理员身份登录到 Microsoft Entra 管理中心

  2. 搜索并选择“Microsoft Entra Privileged Identity Management”

  3. 在“Privileged Identity Management”菜单的左侧导航窗格中选择“Azure 资源”。

  4. 在顶部菜单中选择“发现资源”。

  5. 在“Azure 资源 - 发现”界面,选择您的订阅,然后在顶部菜单中选择“管理资源”。

    Screenshot of the Azure resources discovery screen with the subscription and manage resource highlighted.

  6. 在“加入要管理的所选资源”对话框中,查看信息,然后选择”确定”。

  7. 加入完成后,关闭“Azure 资源 - 发现”界面。

  8. 在“Azure 资源”界面中,选择刚添加的资源。

    Screenshot displaying the recently added Azure resource.

  9. 在左侧导航菜单中,在“管理”下选择“角色”以查看适用于 Azure 资源的角色列表。

  10. 在顶部菜单中,选择“+ 添加分配”。

  11. 在“添加分配”界面中,选择“选择角色”菜单,然后选择“API 管理服务参与者”。

  12. 在“选择成员”下,选择“未选择任何成员”。

  13. 在“选择成员或组”窗格中,选择组织中将分配角色的帐户。

  14. 选择“下一页”。

  15. 在“设置”选项卡的“分配类型”下,选择“符合条件”。

    • “合格” 分配要求该角色的成员执行某个操作才能使用该角色。 操作可能包括执行多重身份验证 (MFA) 检查、提供业务理由或请求获得指定审批者的批准。
    • “活动”分配不要求成员执行任何操作便可使用该角色。 分配为“活动”的成员拥有始终分配给该角色的特权。

  16. 通过更改开始和结束日期和时间来指定分配持续时间。

  17. 完成后,选择“分配”。

  18. 创建新的角色分配后,会显示状态通知。

更新或删除现有资源角色分配

按照以下步骤更新或删除现有的角色分配。

  1. 打开 Microsoft Entra Privileged Identity Management。
  2. 选择“Azure 资源” 。
  3. 选择要管理的资源以打开其概览页。
  4. 在“管理”下选择“分配” 。
  5. 在“符合条件的角色”选项卡的“操作”列中,查看可用选项。
  6. 选择“删除” 。
  7. 在“删除”对话框中,查看信息,然后选择“是”。