概述
使用特权身份管理 (PIM) 来管理、控制和监视您在 Microsoft Entra 组织中的访问权限。 借助 PIM,可以根据需要和即时访问 Azure 资源、Microsoft Entra 资源和其他 Microsoft 在线服务,例如 Microsoft 365 或 Microsoft Intune。
本文介绍如何启用Privileged Identity Management(PIM),并开始使用它。
先决条件
若要使用Privileged Identity Management,必须具有Microsoft Entra ID P2 或Microsoft Entra ID 治理许可证。 有关许可的详细信息,请参阅 Microsoft Entra ID 治理 许可基础知识。
激活角色分配
当Microsoft Entra租户具有Microsoft Entra ID P2 或Microsoft Entra ID 治理许可证时,具有活动角色分配的用户可以执行以下操作:
- 在Microsoft Entra ID中打开 Roles 和管理员页并选择角色。
- 打开 Privileged Identity Management 页。
- 使用 Microsoft Entra 角色 API 来调用 PIM。
Microsoft Entra通过以下方式为租户启用 PIM:
- 从现在开始,您可以为 Microsoft Entra 角色创建符合条件或时间限制的分配。
- 全局管理员或特权角色管理员可能会开始接收其他电子邮件,例如 PIM 每周摘要;
- 与角色分配管理相关的审核日志事件中可能会提及 PIM 服务主体名称 (MS-PIM)。
这些行为是预期的,不应影响工作流。
为 Microsoft Entra 角色准备 PIM
下面是用于准备Privileged Identity Management以管理Microsoft Entra角色的建议任务:
为Azure角色准备 PIM
下面是为管理订阅的Azure角色准备Privileged Identity Management的建议任务:
导航到您的任务
设置好特权身份管理后,您可以熟悉系统的使用方法。
| 菜单项 | 说明 |
|---|---|
| 我的角色 | 显示分配给你的符合条件且活跃的角色列表。 “我的角色”是可激活任何符合条件的已分配角色的地方。 |
| 我的请求 | 显示您激活符合条件的角色分配请求状态。 |
| 审批请求 | 按用户显示你的目录中你可以审批的符合条件的角色激活请求的列表。 |
| 审阅访问权限 | 列出要完成的活动访问评审,无论你是要为自己还是其他人评审访问权限。 |
| Microsoft Entra角色 | 显示供特权角色管理员用于管理 Microsoft Entra 角色分配的仪表板和设置。 对于不是特权角色管理员的任何人,此仪表板处于禁用状态。 这些用户有权访问标题为 “我的视图”的特殊仪表板。 “我的视图”仪表板仅显示有关访问仪表板的用户的信息,而不是整个组织。 |
| 组 | 管理组内的实时成员身份或组的实时所有权。 组可用于提供对Microsoft Entra角色、Azure角色和其他各种方案的访问权限。 若要在 PIM 中管理Microsoft Entra组,必须在 PIM 中对其进行管理。 |
| Azure资源 | 显示特权角色管理员管理 Azure 资源角色分配的仪表板和设置。 对于不是特权角色管理员的任何人,此仪表板处于禁用状态。 这些用户有权访问标题为 “我的视图”的特殊仪表板。 “我的视图”仪表板仅显示有关访问仪表板的用户的信息,而不是整个组织。 |
| 我的审核历史记录 | 查看 PIM 审核历史记录,包括所有角色激活和分配。 |
| 故障排除 | 获取有关诊断和解决常见 PIM 问题的帮助。 |
| 新建支持请求 | 创建 PIM 相关问题的技术支持请求。 |