Microsoft Entra 角色的探索和深入解析 (預覽版) (先前稱為安全性精靈)
如果您從 Microsoft Entra ID 中使用 Privileged Identity Management (PIM) 開始管理組織中的角色指派,您可以使用 探索和深入解析 (預覽) 頁面開始。 這項功能會顯示您組織中受指派特殊權限角色的人員,以及如何使用 PIM 快速將永久角色指派變更為 Just-In-Time 指派。 您可以在「探索與見解 (預覽版)」中檢視或變更永久久特殊權限角色指派。 這是分析工具和動作工具。
探索與見解 (預覽版)
在您的組織開始使用 Privileged Identity Management 之前,所有的角色指派都是永久的。 即使使用者不需要其權限,也始終處於其指派的角色中。 「探索與見解」(預覽版) 取代先前的「安全性精靈」,會顯示特殊權限角色清單,以及這些角色中目前的使用者數目。 如果有一或多個不熟悉的使用者,您可以列出角色指派,以深入了解指派的使用者。
✔️ Microsoft 建議組織擁有兩個僅限雲端,且永久指派為全域管理員角色的緊急存取帳戶。 這些帳戶具有高度特殊權限,不會指派給特定個人。 這些帳戶僅限於無法使用一般帳戶,或所有其他系統管理員均意外鎖在系統外的緊急狀況或「緊急安全窗口」案例。這些帳戶應遵循緊急存取帳戶建議來建立。
此外,如果使用者擁有 Microsoft 帳戶 (也就是其用來登入 Skype 和 Outlook.com 這類 Microsoft 服務的帳戶),請將角色指派保留為永久。 如果您對具有 Microsoft 帳戶的使用者要求多重要素驗證才能夠啟用角色指挀,則系統會將使用者鎖定。
開啟「探索與見解」(預覽版)
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理] > [Privileged Identity Management] > [Microsoft Entra 角色] > [探索和深入解析] (預覽版)。
頁面開啟後便會開始探索程序,以尋找相關的角色指派。
![螢幕擷取畫面顯示 [Microsoft Entra 角色探索和深入解析] 頁面。](media/pim-security-wizard/new-preview-link.png)
選取 [減少全域管理員]。
![螢幕擷取畫面:「探索與見解 (預覽版)」,已選取 [減少全域管理員人數] 動作。](media/pim-security-wizard/new-preview-page.png)
檢閱全域管理員角色指派清單。
![螢幕擷取畫面顯示 [角色] 窗格,其中顯示所有全域管理員。](media/pim-security-wizard/new-global-administrator-list.png)
選取 [下一步] 以選取您要設為合格的使用者或群組,然後選取 [設為合格] 或 [移除指派]。
您也可以要求所有全域管理員檢閱自己的存取權。
![螢幕擷取畫面顯示 [全域管理員] 頁面,其中顯示存取權檢閱區段。](media/pim-security-wizard/new-global-administrator-access-review.png)
當您選取其中任何一項變更後,您會看到 Azure 通知。
然後,您可以選取 [排除常設存取] 或 [檢閱服務主體],在其他特殊權限權角色和服務主體角色指派上重複上述步驟。 針對服務主體角色指派,您只能移除角色指派。
