概述
可以在Microsoft Entra ID中使用 Privileged Identity Management (PIM),以改善对Azure资源的保护。 这有助于:
- 已使用Privileged Identity Management来保护Microsoft Entra角色的组织
- 尝试保护生产资源的管理组和订阅所有者
首次为Azure资源设置Privileged Identity Management时,需要发现并选择想要使用Privileged Identity Management保护的资源。 当您通过 Privileged Identity Management 发现资源时,PIM 会为该资源创建一个 PIM 服务主体(MS-PIM),并将其分配为用户访问管理员。 可以使用Privileged Identity Management管理的资源数没有限制。 但是,从最关键的生产资源开始。
注意
PIM 现在可以自动管理租户中的Azure资源,无需加入。 更新后的用户体验界面使用最新的 PIM ARM API,从而在选择要管理的合适范围时提升性能和精细度。 导航到 PIM 中的 Azure 资源时,新体验被设置为默认选项。 本文中的步骤介绍了传统用户体验。 若要在新体验和旧体验之间切换,请使用Azure资源页顶部的横幅链接。
所需的权限
您可以查看和管理您拥有 Microsoft.Authorization/roleAssignments/write 权限的管理组或订阅,例如用户访问管理员或所有者角色。 如果你不是订阅所有者,而是全局管理员,并且看不到要管理的任何 Azure 订阅或管理组,则可以提升访问权限以管理你的资源。
发现资源
以至少 特权角色管理员 身份登录到 Microsoft Entra 管理中心。
浏览到 ID Governance>Privileged Identity Management>Azure resources。
如果是第一次对Azure资源使用Privileged Identity Management,则会看到发现资源页。
如果组织中的另一个管理员已在Privileged Identity Management中管理Azure资源,则会看到当前正在管理的资源列表。
选择“发现资源”以启动发现之旅。
在“发现”页中,使用“资源状态筛选器”,然后选择“资源类型”,以筛选你对其拥有写入权限的管理组或订阅。 最初从“所有”开始最为简单。
可以搜索并选择管理组或订阅资源,以便在Privileged Identity Management中管理。 在 Privileged Identity Management 中管理管理组或订阅时,还可以管理其子资源。
注意
将新的子Azure资源添加到 PIM 管理的管理组中时,可以通过在 PIM 中搜索子资源来使子资源处于管理之下。
选择要管理的未托管的资源。
选择“管理资源”以开始管理所选资源。 PIM 服务主体 (MS-PIM) 被分配为该资源的用户访问管理员。
注意
管理组或订阅一旦被管理,就无法解除管理。 这可以防止另一个资源管理员删除Privileged Identity Management设置。
如果看到确认加入要管理的所选资源的消息,请选择“是”。 然后将 PIM 配置为管理资源下的所有新的和现有的子对象。
