Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
如果您开始使用 Microsoft Entra ID 中的特权身份管理 (PIM) 来管理您组织中的角色分配,您可以使用“发现和见解(预览版)”页面来了解如何入门。 此功能显示获分配到组织中特权角色的人员,并介绍如何使用 PIM 快速将永久角色分配更改为按需分配。 可以在发现和见解(预览版) 中查看或更改永久特权角色分配。 它是一个分析工具,也是一个操作工具。
发现和见解(预览版)
在你的组织开始使用 Privileged Identity Management 之前,所有角色分配都是永久性的。 即使用户不需要其权限,用户也始终处于已分配的角色中。 发现和见解(预览版)取代了以前的安全向导,它会显示特权角色的列表以及当前有多少个用户处于这些角色中。 你可以列出角色的分配,以便详细了解分配的用户(如果你不熟悉其中一个或多个用户)。
✔️ Microsoft 建议组织为两个仅限云的紧急访问帐户永久分配全局管理员角色。 这些帐户拥有极高的特权,不要将其分配给特定的个人。 这些帐户仅限于紧急或“破窗式”场景,在这种场景下,普通帐户无法使用,或者所有其他管理员被意外锁定。
此外,如果用户具有 Microsoft 帐户(即,用于登录 Skype 或 Outlook.com 等 Microsoft 服务的帐户),则永久保留角色分配。 如果要求具有 Microsoft 帐户的用户执行多重身份验证以激活角色分配,则该用户会被锁定。
打开发现和见解(预览版)
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“Privileged Identity Management”>“Microsoft Entra 角色”>“发现和见解(预览版)”。
打开该页面将开始发现过程,以查找相关的角色分配。
选择“减少全局管理员”。
查看全局管理员角色分配的列表。
选择“下一步”以选择要设为符合条件的管理员的用户或组,然后选择“设为符合条件的管理员”或“删除分配”。
还可以要求所有全局管理员评审其自己的访问权限。
选择其中任何一个更改后,你将看到 Azure 通知。
然后,可以选择“消除现有访问权限”或“评审服务主体”,在其他特权角色和服务主体分配上重复上述步骤。 对于服务主体角色分配,只能删除角色分配。