概述
如果开始在 Microsoft Entra ID 中使用 Privileged Identity Management (PIM)来管理组织中的角色分配,则可以使用 发现和见解(预览版)页开始。 此功能显示获分配到组织中特权角色的人员,并介绍如何使用 PIM 快速将永久角色分配更改为按需分配。 可以在 发现和见解(预览)中查看或更改永久特权角色分配。 它是一个分析工具,也是一个操作工具。
发现和见解(预览版)
在组织开始使用Privileged Identity Management之前,所有角色分配都是永久性的。 即使用户不需要其权限,用户也始终处于已分配的角色中。 发现和见解(预览版)取代了以前的安全向导,它会显示特权角色的列表以及当前有多少个用户处于这些角色中。 你可以列出角色的分配,以便详细了解分配的用户(如果你不熟悉其中一个或多个用户)。
✔️ Microsoft建议组织将两个仅限于云的紧急访问帐户永久分配给全球管理员角色。 这些帐户拥有极高的特权,不要将其分配给特定的个人。 这些帐户仅限于紧急或“破窗式”场景,在这种场景下,普通帐户无法使用,或者所有其他管理员被意外锁定。
此外,如果用户具有 Microsoft 帐号(换句话说,用于登录 Skype、Outlook.com 等 Microsoft 服务的帐号),则应保持角色分配的永久性。 如果需要对具有Microsoft 帐户的用户进行多重身份验证才能激活角色分配,则用户将被锁定。
打开发现和见解(预览版)
以至少 特权角色管理员 的身份登录到 Microsoft Entra 管理中心。
浏览到 ID Governance>Privileged Identity Management>Microsoft Entra roles>发现和见解(预览版)。
打开该页面将开始发现过程,以查找相关的角色分配。
选择“减少全局管理员”。
查看全局管理员角色分配的列表。
选择“下一步”以选择要设为符合条件的管理员的用户或组,然后选择“设为符合条件的管理员”或“删除分配”。
(可选)要求所有全局管理员评审自己的访问权限。
选择这些更改中的任何一项后,你将看到一条Azure通知。
选择 “消除长期访问 ”或 “查看服务主体 ”,对其他特权角色和服务主体角色分配重复上述步骤。 对于服务主体角色分配,只能删除角色分配。
