啟用合格的 Azure 角色指派
合格的 Azure 角色指派會在有限的時間內提供角色的 Just-In-Time 存取權。 Microsoft Entra Privileged Identity Management (PIM) 角色啟用已整合到 Azure 入口網站 中的 [訪問控制] 頁面。 如果您已獲得 Azure 角色的資格,您可以使用 Azure 入口網站 來啟用該角色。 這項功能會分階段進行部署,因此您的租用戶中可能尚未提供此功能,或是介面可能有所不同。
必要條件
- Microsoft Entra ID P2 授權或 Microsoft Entra ID 控管 授權
- 合格角色指派
Microsoft.Authorization/roleAssignments/read權限,例如讀者
開啟群組成員資格(如有需要)
如果您已獲得群組的資格(PIM for Groups),且此群組具有合格的角色指派,您必須先啟用群組成員資格,才能看到群組的合格角色指派。 在此案例中,您必須針對群組啟用兩次 ,然後再針對角色啟用兩次。
如需如何啟用群組成員資格的步驟,請參閱 在 Privileged Identity Management 中啟用您的群組成員資格或擁有權。
使用 Azure 入口網站 啟動角色
這些步驟說明如何使用 Azure 入口網站 來啟用合格的角色指派。
登入 Azure 入口網站。
按兩下 [所有服務 ],然後選取範圍。 例如,您可以選取 [管理群組]、 [訂用帳戶] 或 [資源群組]。
在 [存取控制 (IAM)] 頁面上,您可以在管理群組、訂用帳戶和資源群組範圍啟用合格的角色指派,但無法在資源範圍中啟用。
按一下特定資源。
按一下 [存取控制 (IAM)]。
![[存取控制] 頁面和 [啟用角色指派] 窗格的螢幕快照。](media/role-assignments-eligible-activate/activate-role.png)
在 [ 動作] 數據 行中,針對您要啟用的角色按兩下 [啟用 ]。
[ 啟用 ] 窗格隨即出現,並顯示啟用設定。
在 [ 啟用 ] 索引標籤上,指定開始時間、持續時間和原因。 如果您想要自定義啟用開始時間,請檢查 [ 自訂啟用開始時間] 方塊。
![[啟動] 窗格和 [啟用] 索引標籤的螢幕快照,其中顯示開始時間、持續時間和原因設定。](media/role-assignments-eligible-activate/activate-role-settings.png)
(選擇性)按兩下 [ 範圍] 索引標籤以指定角色指派的範圍。
如果您的合格角色指派已定義在較高範圍,您可以選取較低的範圍來縮小存取範圍。 例如,如果您在訂用帳戶範圍中具有合格的角色指派,您可以選擇訂用帳戶中的資源群組來縮小範圍。
![[啟用] 窗格和 [範圍] 索引標籤的螢幕快照,其中顯示範圍設定。](media/role-assignments-eligible-activate/activate-role-scope.png)
完成後,按兩下 [ 啟用 ] 按鈕,以使用選取的設定來啟動角色。
進度訊息似乎表示啟用的狀態。
![顯示啟用狀態的 [啟用] 窗格螢幕快照。](media/role-assignments-eligible-activate/activate-role-status.png)
啟用完成時,您會看到已成功啟動角色的訊息。
啟用合格角色指派之後,它會在 [ 檢查存取 權] 和 [角色指派] 索引卷標上列為作用中的時間綁定角色指派 。 如需詳細資訊,請參閱使用 Azure 入口網站 列出 Azure 角色指派。
![[存取控制] 頁面和 [啟用角色指派] 窗格的螢幕快照。](media/role-assignments-eligible-activate/activate-role.png#lightbox)
![[啟動] 窗格和 [啟用] 索引標籤的螢幕快照,其中顯示開始時間、持續時間和原因設定。](media/role-assignments-eligible-activate/activate-role-settings.png#lightbox)
![[啟用] 窗格和 [範圍] 索引標籤的螢幕快照,其中顯示範圍設定。](media/role-assignments-eligible-activate/activate-role-scope.png#lightbox)
![顯示啟用狀態的 [啟用] 窗格螢幕快照。](media/role-assignments-eligible-activate/activate-role-status.png#lightbox)