在 Privileged Identity Management 中分配特权访问组(预览)的资格

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) 可以帮助你管理 Azure AD 中特权访问组分配的资格和激活。 可以为组的成员或所有者分配资格。

备注

每个有资格成为特权访问组成员或所有者的用户都必须拥有 Azure AD Premium P2 许可证。 有关详细信息,请参阅使用 Privileged Identity Management 的许可要求

分配组的所有者或成员

按照以下步骤操作,使用户有资格成为特权访问组的成员或所有者。

  1. 使用全局管理员或组所有者权限登录到 Azure AD

  2. 选择“组”,然后选择要管理的可分配角色的组。 可以搜索或筛选列表。

    查找要在 PIM 中管理的可分配角色的组

  3. 打开组,选择“特权访问(预览)”。

    打开 Privileged Identity Management 体验

  4. 选择“添加分配”。

    “新建分配”窗格

  5. 选择要使其符合特权访问组资格的成员或所有者。

    此屏幕截图显示了“添加分配”页,其中的“选择成员或组”窗格已打开,并突出显示了“选择”按钮。

  6. 选择“下一步”以设置成员资格或所有权持续时间。

    “选择成员或组”窗格

  7. 在“分配类型”列表中,选择“合格”或“活动”。 特权访问组提供两种不同的分配类型:

    • “合格”分配要求该角色的成员执行某个操作才能使用该角色。 操作可能包括执行多重身份验证 (MFA) 检查、提供业务理由或请求获得指定审批者的批准。

      重要

      对于用于提升到 Azure AD 角色的特权访问组,Microsoft 建议你需要对符合条件的成员分配进行审批。 无需审批即可激活的分配可能会让你容易受到其他管理员(其有权重置符合条件的用户的密码)带来的安全风险。

    • “活动” 分配不要求成员执行任何操作便可使用该角色。 分配为“活动”的成员始终具有分配给该角色的权限。

  8. 如果分配应该是永久性的(永久合格或永久分配),请选中“永久”复选框。 根据组织的设置,该复选框可能不会显示或不可编辑。

  9. 完成后,选择“分配”。

  10. 若要创建新的角色分配,请选择“添加”。 显示状态通知。

    新建分配 - 通知

更新或删除现有的角色分配

按照以下步骤更新或删除现有的角色分配。

  1. 使用全局管理员或组所有者权限登录到 Azure AD

  2. 选择“组”,然后选择要管理的可分配角色的组。 可以搜索或筛选列表。

    查找要在 PIM 中管理的可分配角色的组

  3. 打开组,选择“特权访问(预览)”。

    打开 Privileged Identity Management 体验

  4. 选择要更新或删除的角色。

  5. 在“合格角色”或“活动角色”选项卡上查找角色分配。

    更新或删除角色分配

  6. 选择“更新”或“删除”以更新或删除角色分配。

    有关扩展角色分配的信息,请参阅在 Privileged Identity Management 中扩展或续订 Azure 资源角色

后续步骤