开始使用 Privileged Identity Management

使用 Privileged Identity Management (PIM) 可管理、控制和监视 Microsoft Entra 组织内的访问。 使用 PIM,可以根据需要提供对 Azure 资源、Microsoft Entra 资源和其他 Microsoft 联机服务(如 Microsoft 365 或 Microsoft Intune)的实时访问。

本文介绍如何启用 Privileged Identity Management (PIM) 并开始使用它。

先决条件

要使用 Privileged Identity Management,必须具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证。 有关许可的详细信息,请参阅 Microsoft Entra ID 治理许可基础知识

激活角色分配

当 Microsoft Entra 租户具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证时,具有活动角色分配的用户可以执行以下操作:

  • 在 Microsoft Entra ID 中打开“角色和管理员”页并选择角色;
  • 打开“Privileged Identity Management”页;
  • 使用 Microsoft Entra 角色 API 调用 PIM。

Microsoft Entra 通过以下方式为租户启用 PIM:

  • 立即开始,可以为 Microsoft Entra 角色创建符合条件或有时间限制的分配;
  • 全局管理员或特权角色管理员可能会开始接收其他电子邮件,例如 PIM 每周摘要;
  • 与角色分配管理相关的审核日志事件中可能会提及 PIM 服务主体名称 (MS-PIM)。

这些行为在意料之中,并且不应对工作流产生任何影响。

为 Microsoft Entra 角色准备 PIM

建议执行以下任务,以准备使用 Privileged Identity Management 来管理 Microsoft Entra 角色:

  1. 配置 Microsoft Entra 角色设置
  2. 指定符合条件的分配
  3. 允许符合条件的用户实时激活其 Microsoft Entra 角色

准备将 PIM 用于 Azure 角色

建议执行以下任务,以准备使用 Privileged Identity Management 来管理订阅的 Azure 角色:

  1. 发现 Azure 资源
  2. 配置 Azure 角色设置
  3. 指定符合条件的分配
  4. 允许符合条件的用户实时激活其 Azure 角色

设置 Privileged Identity Management 后,即可熟悉其用法。

屏幕截图显示 Privileged Identity Management 中的导航窗口,其中显示“任务”和“管理”选项。

任务 + 管理 说明
我的角色 显示已向你分配的符合条件的活动角色列表。 可以在此处激活任何符合条件的已分配角色。
我的请求 显示要激活符合条件的角色分配的挂起的请求。
审批请求 按用户显示你的目录中指定由你进行审批的要激活符合条件的角色的请求列表。
审阅访问权限 列出指定要由你完成的活动访问审阅(无论你是审阅自己还是审阅其他人的访问权限)。
Microsoft Entra 角色 为特权角色管理员显示用来管理 Microsoft Entra 角色分配的仪表板和设置。 此仪表板对非特权角色管理员禁用。 这些用户可以访问标题为“我的视图”的特殊仪表板。 “我的视图”仪表板仅显示访问此仪表板的用户的相关信息,而非整个组织的相关信息。
管理组内的实时成员身份或组的实时所有权。 组可用于提供对 Microsoft Entra 角色、Azure 角色和其他各种场景的访问权限。 若要在 PIM 中管理某个 Microsoft Entra 组,必须将该组纳入 PIM 的管理。
Azure 资源 为特权角色管理员显示用来管理 Azure 资源角色分配的仪表板和设置。 此仪表板对非特权角色管理员禁用。 这些用户可以访问标题为“我的视图”的特殊仪表板。 “我的视图”仪表板仅显示访问此仪表板的用户的相关信息,而非整个组织的相关信息。
常规设置 为 PIM 选择允许对 Microsoft Graph API 进行仅限应用调用的应用程序。

后续步骤