在 Privileged Identity Management 中配置Azure资源角色设置

概述

Microsoft Entra ID 中的特权身份管理 (PIM) 是 Microsoft Entra 的一部分，其中的角色设置定义了角色分配属性。 这些属性需要多重身份验证和审批才可激活、分配最长持续时间、进行通知设置等。 本文介绍了如何配置角色设置并设置审批工作流来指定谁可以批准或拒绝提升特权的请求。

必须具有“所有者”或“用户访问管理员”角色才能管理资源的 PIM 角色设置。 角色设置是按角色和资源定义的。 同一角色的所有分配都遵循相同的角色设置。 一个角色的角色设置独立于另一个角色的角色设置。 一个资源的角色设置独立于另一个资源的角色设置。 在较高级别（例如“订阅”）配置的角色设置不会在较低级别（如“资源组”）继承。

PIM 角色设置也称为“PIM 策略”。

打开角色设置

打开 Azure 资源角色的设置：

1. 登录到 Microsoft Entra 管理中心。

2. 浏览到 ID 管理>特权身份管理>Azure 资源。 你可以选择要管理的资源类型。 从“管理组”下拉列表或“订阅”下拉列表开始，然后根据需要进一步选择“资源组”或“资源”。

   显示在特权身份管理中发现的 Azure 资源列表的截图。

3. 选择需要为其配置 PIM 角色设置的资源。

4. 选择“设置”。 查看所选资源的 PIM 策略列表。

   

5. 选择你要配置的角色或策略。

6. 选择“编辑”以更新角色设置。

7. 选择“更新”。

角色设置

本部分讨论角色设置选项。

最长激活持续时间

使用“最长激活持续时间”滑块设置角色分配的激活请求在过期前保持活动状态的最大时间（以小时为单位）。 此值可以是 1 到 24 小时。

激活时，需要多重身份验证

你可以要求有资格获得角色的用户在激活之前，在Microsoft Entra ID中使用多重身份验证功能来证明他们是谁。 多重身份验证有助于保护对数据和应用程序的访问。 它使用第二种形式的身份验证提供另一层安全性。

如果用户之前已在此会话中使用强凭据进行了身份验证或提供了多重身份验证，则系统可能不会提示其进行多重身份验证。

如果你的目标是确保用户在激活期间必须提供身份验证，可以使用激活时，要求进行Microsoft Entra条件访问身份验证上下文，以及身份验证强度。 这些选项要求用户在激活期间使用不同于登录计算机所使用的方法进行身份验证。

例如，如果用户使用 Windows Hello 企业版 登录到计算机，则可以使用 On activation，需要 Microsoft Entra 条件访问 身份验证上下文 和 Authentication Strengths，要求用户在激活角色时使用 Microsoft Authenticator 进行无密码登录。

在此示例中，用户提供一次无密码登录Microsoft Authenticator后，他们可以在此会话中执行下一次激活，而无需进行其他身份验证。 使用 Microsoft Authenticator 进行无密码登录已经是其令牌的一部分。

为所有用户启用Microsoft Entra ID的多重身份验证功能。 有关详细信息，请参阅 规划Microsoft Entra多重身份验证部署。

激活时，需要 Microsoft Entra 条件访问的身份验证上下文

可以要求符合角色条件的用户满足条件访问策略要求。 例如，可以要求用户使用通过“身份验证强度”强制执行的特定身份验证方法，从支持 Intune 的设备提升角色，并遵守使用条款。

若要强制实施此要求，请创建条件访问身份验证上下文。

1. 配置条件访问策略，对此身份验证上下文强制实施要求。

2. 在角色的 PIM 设置中配置身份验证上下文。

   

如果 PIM 设置在配置激活时需要Microsoft Entra 条件访问身份验证上下文，那么条件访问策略将定义用户必须满足的条件以满足访问要求。

这意味着，有权管理条件访问策略的安全主体（如条件访问管理员或安全管理员）可以更改要求、删除要求或阻止符合条件的用户激活角色。 可以管理条件访问策略的安全主体应被视为具有高度特权并受到相应保护。

建议在 PIM 设置中配置身份验证上下文之前，为身份验证上下文创建并启用条件访问策略。 作为备份保护机制，如果租户中没有条件访问策略以 PIM 设置中配置的身份验证上下文为目标，则Microsoft Entra ID中的多重身份验证功能是必需的，因为在激活时需要多重身份验证设置。

此备份保护机制旨在单独防止由于配置错误而在创建条件访问策略之前更新 PIM 设置的情况。 如果关闭条件访问策略、处于仅报告模式或将符合条件的用户排除在策略之外，则不会触发此备份保护机制。

要在每个角色激活时强制重新进行身份验证，请在“会话控制”下配置针对身份验证上下文的条件访问策略，并将登录频率设置为每次。 这可确保用户每次激活特权角色时都必须重新进行身份验证，即使他们具有活动会话也是如此。

当用户重新对一个角色激活进行身份验证时，将应用 10 分钟窗口。 如果用户在此窗口中激活另一个符合条件的角色，则不会提示他们再次重新进行身份验证。 10分钟时间窗口适用于 Microsoft Entra 角色、Azure 资源角色和组的特权身份管理 (PIM)。

当用户激活配置了身份验证上下文的合格角色时，他们会看到消息：“已启用条件访问策略，可能需要进行其他验证。 单击以继续。然后，将用户重定向到完成条件访问策略定义的重新身份验证。

激活时，需要 Microsoft Entra 条件访问身份验证上下文 的设置定义了用户在激活角色时必须满足的身份验证上下文要求。 角色激活后，不会阻止用户使用其他浏览会话、设备或位置来使用权限。

例如，用户可以使用符合 Intune 要求的设备来激活角色。 然后，在激活角色后，他们可能会从另一台不符合 Intune 要求的设备登录到同一用户帐户，并从中使用以前激活的角色。

为了防止出现这种情况，可以限定条件访问策略的范围，以便直接对符合条件的用户强制实施某些要求。 例如，可以要求符合特定角色条件的用户始终使用 Intune 合规设备。

要详细了解条件访问身份验证上下文，请参阅条件访问：云应用、操作和身份验证上下文。

要求在激活时提供理由

你可以要求用户在激活符合条件的分配时输入业务理由。

激活时需要提供票证信息

你可以要求用户在激活符合条件的分配时输入支持票号。 此选项仅用于显示信息。 不强制要求其与任何票证系统中的信息关联。

需要批准才能激活

可以要求审批以激活符合条件的分配。 审批者无需具有任何角色。 如果使用此选项，则必须选择至少一名审批者。 建议至少选择两名审批者。 没有默认的审批者。

若要了解有关审批的详细信息，请参阅 在特权身份管理中批准或拒绝 Microsoft Entra 角色请求。

任务持续时间

配置角色的设置时，可以从用于每种分配类型（“合格”和“活动”）的两个分配持续时间选项中进行选择。 当用户被分配到Privileged Identity Management中的一个角色时，相关选项将成为默认的最长持续时间设置。

你可以选择一个符合条件的分配时长选项。

您还可以选择这些当前分配的任务持续时间选项之一。

全局管理员和特权角色管理员可以续订具有指定结束日期的所有分配。 此外，用户也可启动自助服务请求来扩展或续订角色分配。

要求在活动分配时进行多重身份验证

可以要求管理员在创建活动（而不是符合条件）的分配时提供多重身份验证。 Privileged Identity Management无法在用户使用其角色分配期间强制多重身份验证，因为从角色分配时起他们已经在角色中处于活跃状态。

如果管理员之前已在此会话中使用强凭据进行了身份验证或提供了多重身份验证，则系统可能不会提示其进行多重身份验证。

要求在活动任务分配时提供理由

可以要求用户在创建激活分配（而不是符合条件的分配）时填写业务理由。

在 角色设置页面的 通知选项卡上，Privileged Identity Management 允许对接收通知的人员以及他们接收的通知进行细化控制。

• 关闭电子邮件：可以通过取消选中“默认收件人”复选框并删除任何其他收件人来关闭特定电子邮件。
• 将电子邮件限制为指定的电子邮件地址：可以通过清除“默认收件人”复选框来关闭发送给默认收件人的电子邮件。 然后，可以添加其他电子邮件地址作为收件人。 如果要添加多个电子邮件地址，请使用分号 (;) 分隔它们。
• 向默认收件人和其他收件人发送电子邮件：可以向默认收件人和其他收件人发送电子邮件。 选中“默认收件人”复选框，并为其他收件人添加电子邮件地址。
• 仅限关键电子邮件：对于每种类型的电子邮件，可以选择该复选框以仅接收关键电子邮件。 Privileged Identity Management仅当电子邮件需要立即操作时，才会继续向指定的收件人发送电子邮件。 例如，不会触发要求用户延长其角色分配的电子邮件。 需要管理员批准扩展请求的电子邮件将被触发。

后续步骤

• 在特权身份管理中分配 Azure 资源角色
• 为Azure资源角色在Privileged Identity Management中配置安全警报