计划并配置特权访问组
在 Privileged Identity Management (PIM) 中,现在可以针对特权访问组的成员资格或所有权分配资格。 可以将 Microsoft Entra ID 内置角色分配给云组,并使用 PIM 来管理组成员和所有者的资格和激活。 借助特权访问组预览版,可以为特定于工作负载的管理员提供通过单个实时请求快速访问多个角色的权限。
示例:为了彻底调查每天发生的事件,第 0 层 Office 管理员可能需要对 Exchange 管理员、Office 应用管理员、Teams 管理员和搜索管理员角色拥有实时访问权限。
可以创建名为“层级 0 Office 管理员”的可分配角色的组,并使其可以分配到前面提及的四个角色(或任何 Microsoft Entra 内置角色)。 然后在组的“活动”部分为“特权访问”启用它。 允许进行特权访问后,可以向组分配管理员和所有者。 当管理员将组提升为角色时,你的员工将拥有所有四个 Microsoft Entra 角色的权限。
每个可分配角色的组需要不同的策略
某些组织使用 Microsoft Entra 企业到企业 (B2B) 协作之类的工具邀请其合作伙伴作为来宾加入其 Microsoft Entra 组织。 可以使用创建两个不同的特权访问组及其自己的策略,而不是为针对某个特权角色的所有分配使用单一的实时策略。 可以对受信任员工实施不太严格的要求,并在合作伙伴请求激活到其分配的角色时对他们实施更严格的要求。
