概述
如果在Microsoft Entra ID中遇到Privileged Identity Management(PIM)问题,本文中包含的信息可以帮助你解决这些问题。
拒绝访问Azure资源
问题
作为Azure资源的活动所有者或用户访问管理员,可以在Privileged Identity Management内查看资源,但无法执行任何操作,例如进行符合条件的分配或从资源概述页查看角色分配列表。 其中任何操作都会导致授权错误。
原因
当从订阅中意外删除 PIM 服务主体的“用户访问管理员”角色时,可能会发生此问题。 要使“Privileged Identity Management”服务能够访问Azure资源,MS-PIM服务主体应始终被分配User Access Administrator角色。
解决方法
将用户访问管理员角色分配给订阅级别的Privileged Identity Management服务主体名称(MS-PIM)。 此分配允许Privileged Identity Management服务访问Azure资源。 根据您的具体需要,可以在管理组级别或订阅级别分配角色。 有关服务主体的详细信息,请参阅 将应用程序分配到角色。
后续步骤
- 使用特权身份管理的许可要求
在 Microsoft Entra ID - Deploy Privileged Identity Management