練習在 Privileged Identity Management 中指派 Microsoft Entra 角色
使用 Microsoft Entra ID,全域系統管理員可以進行永久的 Microsoft Entra 系統管理員角色指派。 可使用 Azure 入口網站或 PowerShell 命令建立這些角色指派。
Microsoft Entra Privileged Identity Management (PIM) 服務也允許特殊權限角色管理員指派永久的系統管理員角色。 此外,特殊權限角色系統管理員可以讓使用者有資格成為 Microsoft Entra 系統管理員角色。 合格管理員可以在需要時啟用角色,一旦任務結束,權限就過期。
指派角色
請遵循下列步驟來讓使用者有資格成為 Microsoft Entra 系統管理員角色。
以租使用者系統管理員的身分登入 Microsoft Entra 系統管理中心。
搜尋,接著選取 [Microsoft Entra Privileged Identity Management]。
在 [Privileged Identity Management] 畫面的左側導覽列中,選取 [Microsoft Entra 角色]。
在 [快速入門] 頁面的左側導覽列中,選取 [角色]。
在頂端功能表上,選取 [+ 新增指派]。
在 [新增指派] 窗格的 [成員資格] 索引標籤上,檢閱設定。
選取 [選取角色] 功能表,然後選取 [合規性系統管理員]。 您可以使用 [依名稱搜尋角色] 篩選來協助找出角色。
在 [選取成員] 底下,選取 [未選取任何成員]。
在 [選取成員] 窗格中,選取您的系統管理員帳戶,然後選取 [選取]。
在 [新增指派] 畫面中,選取 [下一步]。
在 [設定] 索引標籤的 [指派類型] 底下,檢閱可用的選項。 針對本課程模組的工作,請使用預設設定。
- 合格指派要求角色的成員執行動作,才能使用角色。 動作可能包括執行多重要素驗證 (MFA) 檢查、提供業務理由,或向指定的核准者要求核准。
- 有效指派不要求成員執行任何動作亦可使用角色。 指派為有效的成員會永遠具有指派給角色的權限。
檢閱其餘設定,然後選取 [指派]。
啟用您的 Microsoft Entra 角色
當您需要擔任 Microsoft Entra 角色時,您可以在 Privileged Identity Management 中開啟 [我的角色] 來要求啟用。
在 Privileged Identity Management 畫面的左側導覽功能表中,選取 [我的角色]。
在 [我的角色] 窗格中,檢閱合格指派的清單。
在 [合規性系統管理員角色] 列中,選取 [啟用]。
在 [啟用 - 合規性系統管理員] 窗格中,選取 [需要額外驗證],然後依照指示來提供額外的安全性驗證。 每個工作階段只需要驗證一次。
完成安全性驗證之後,在 [啟用 - 合規性系統管理員] 窗格的 [理由] 方塊中,輸入啟用此角色的理由。
選取啟用。
指派範圍受限的角色
針對某些角色,授與權限的範圍可限制為單一管理單位、服務主體或應用程式。 如果您要指派具有管理單位範圍的角色,可參考此範例程序。
瀏覽至 Privileged Identity Management 畫面,在左側導覽功能表中選取 [Microsoft Entra 角色]。
在 [角色] 窗格的頂端功能表上,選取 [+ 新增指派]。
在 [新增指派] 畫面中,選取 [選取角色] 功能表,然後選取 [使用者管理員]。
選取 [範圍類型] 功能表,並檢閱可用的選項。 目前,請使用目錄範圍類型。
提示
如需有關管理單位範圍類型的詳細資訊,請移至 管理 Microsoft Entra ID 中的系統管理單位。
類似於指派無限制範圍的角色。 新增成員,並完成設定選項。 目前,請選取 [取消]。
更新或移除現有角色指派
請遵循下列步驟來更新或移除現有角色指派。
開啟 Microsoft Entra Privileged Identity Management,然後在 [Microsoft Entra 角色] 畫面的左側導覽中,選取 [指派]。
在 [指派] 清單中,針對 [合規性系統管理員],檢閱 [動作] 欄位中的選項。
選取 [更新],並檢閱 [成員資格設定] 窗格中的可用選項。 完成後,關閉窗格。
選取移除。
在 [移除] 對話方塊中,檢閱資訊,然後選取 [是]。