委托对 Privileged Identity Management 的访问权限

为了委托对 Privileged Identity Management (PIM) 的访问权限,全局管理员可以将其他用户分配到“特权角色管理员”角色。 默认情况下,安全管理员和安全信息读取者拥有 Privileged Identity Management 的只读访问权限。 要授予对 Privileged Identity Management 的访问权限,第一位用户可以将其他用户分配到“特权角色管理员”角色。 “特权角色管理员”角色仅在管理 Azure AD 角色时是必需的。 若要管理 Azure 资源的设置,特权角色管理员权限不是必需的。

备注

管理 Privileged Identity Management 需要 Azure AD 多重身份验证。 由于 Microsoft 帐户无法注册 Azure AD 多重身份验证,因此使用 Microsoft 帐户登录的用户无法访问 Privileged Identity Management。

请确保特权角色管理员角色中始终至少有两位用户,以防其中一位用户被锁定或帐户被删除。

委托用于管理 PIM 的访问权限

  1. 登录 Azure 门户

  2. 在 Azure AD 中,打开 Privileged Identity Management

  3. 选择“Azure AD 角色”。

  4. 选择“角色”。

    Privileged Identity Management Azure AD 角色 - 角色

  5. 选择“特权角色管理员”角色,打开成员页。

    特权角色管理员 - 成员

  6. 选择“添加成员”打开“添加受管理成员”窗格。

  7. 选择“选择成员”,打开“选择成员”窗格。

    特权角色管理员 - 选择成员

  8. 选择一个成员,然后单击“选择”。

  9. 选择“确定”,使该成员有资格获得“特权角色管理员”角色。

    向 Privileged Identity Management 中的某位用户分配新角色时,系统会自动将其配置为“有资格”激活该角色。

  10. 要使该成员成为永久成员,请在“特权角色管理员”成员列表中选择该用户。

  11. 选择“更多”,然后选择“永久保留”,使其成为永久成员。

    特权角色管理员 - 成为永久成员

  12. 向用户发送开始使用 Privileged Identity Management 的链接。

删除用于管理 PIM 的访问权限

从特权角色管理员角色中删除某人之前,请确保至少仍有两位用户分配有该角色。

  1. 登录到 Azure 门户

  2. 打开“Azure AD Privileged Identity Management”。

  3. 选择“Azure AD 角色”。

  4. 选择“角色”。

  5. 选择“特权角色管理员”角色,打开成员页。

  6. 选中要删除的用户旁边的复选框,然后选择“删除成员”。

    特权角色管理员 - 删除成员

  7. 如果要求确认是否要从角色中删除成员,请选择“是”。

后续步骤