使用Microsoft Entra識別碼指派使用者角色
藉由指派提供所需許可權的角色,即可授與管理資源的能力。 角色可以指派給個別使用者或群組。 若要符合零信任指導方針,請在指派角色時,使用 Just-In-Time 和 Just-Enough-Access 原則。
將角色指派給使用者之前,請先檢閱下列 Microsoft Learn 文章:
指派角色
角色指派處理程序有兩個主要步驟。 首先,您將選取要指派的角色。 然後,您將調整角色設定和期間。
選取要指派的角色
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
流覽至 [身分> 識別使用者>所有使用者]。
搜尋並選取獲得角色指派的使用者。
![[使用者 - 所有使用者] 清單的螢幕擷取畫面,其中已醒目提示 Alain Charon。](media/active-directory-users-assign-role-azure-portal/select-existing-user.png)
從側邊功能表中選取 [指派的角色],然後選取 [新增指派]。
![使用者概觀頁面的螢幕擷取畫面,其中已醒目提示 [指派的角色] 選項。](media/active-directory-users-assign-role-azure-portal/user-profile-assign-roles.png)
從下拉式清單選取要指派的角色,然後選取 [下一步] 按鈕。
調整角色設定
您可以將角色指派為[合格]或[作用中]。 合格角色會指派給使用者,但使用者必須透過 Privileged Identity Management (PIM) 提高 Just-In-Time 權限。 如需如何使用 PIM 的詳細資訊,請參閱 Privileged Identity Management。
從 [新增指派] 頁面的 [設定] 區段中,選取 [指派類型] 選項。
如果角色應永遠可供使用者提高權限,請將 [永久合格] 選項保持已選取的狀態。
如果您取消勾選此選項,您可以為角色資格指定日期範圍。
選取 [指派] 按鈕。
指派的角色會出現在使用者的相關區段中,因此會個別列出合格和作用中角色。
更新角色
您可以變更角色指派的設定,例如將作用中角色變更為符合資格。
流覽至 [身分> 識別使用者>所有使用者]。
搜尋並選取獲得角色更新的使用者。
前往 [指派的角色] 頁面,然後為需要變更的角色選取 [更新] 連結。
視需要變更設定,然後選取 [儲存] 按鈕。
![已指派角色頁面的螢幕擷取畫面,其中已醒目提示 [移除] 和 [更新] 選項。](media/active-directory-users-assign-role-azure-portal/remove-update-role-assignment.png)
移除角色
您可以從所選取使用者的 [管理角色] 頁面移除角色指派。
流覽至 [身分> 識別使用者>所有使用者]。
搜尋並選取要刪除角色指派的使用者。
前往 [指派的角色] 頁面,然後為需要移除的角色選取 [移除] 連結。 確認快顯訊息中的變更。