在 Privileged Identity Management 中配置 Azure 资源角色设置

在 Microsoft Entra ID(Microsoft Entra 的一部分)中的 Privileged Identity Management (PIM) 中,角色设置定义了角色分配属性。 这些属性需要多重身份验证和审批才可激活、分配最长持续时间、进行通知设置等。 本文介绍了如何配置角色设置并设置审批工作流来指定谁可以批准或拒绝提升特权的请求。

必须具有“所有者”或“用户访问管理员”角色才能管理资源的 PIM 角色设置。 角色设置是按角色和资源定义的。 同一角色的所有分配都遵循相同的角色设置。 一个角色的角色设置独立于另一个角色的角色设置。 一个资源的角色设置独立于另一个资源的角色设置。 在较高级别(例如“订阅”)配置的角色设置不会在较低级别(如“资源组”)继承。

PIM 角色设置也称为“PIM 策略”。

打开角色设置

若要打开 Azure 资源角色的设置,请执行以下操作:

  1. 登录 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”。 此页显示在 Privileged Identity Management 中发现的 Azure 资源列表。 使用“资源类型”筛选器选择所有必需的资源类型。

    Screenshot that shows the list of Azure resources discovered in Privileged Identity Management.

  3. 选择需要为其配置 PIM 角色设置的资源。

  4. 选择“设置”。 查看所选资源的 PIM 策略列表。

    Screenshot that shows the list of PIM policies for a selected resource.

  5. 选择你要配置的角色或策略。

  6. 选择“编辑”以更新角色设置。

  7. 选择“更新”。

角色设置

本部分讨论角色设置选项。

最长激活持续时间

使用“最长激活持续时间”滑块设置角色分配的激活请求在过期前保持活动状态的最大时间(以小时为单位)。 此值可以是 1 到 24 小时。

激活时,需要多重身份验证

可以要求符合角色条件的用户使用 Microsoft Entra ID 中的多重身份验证功能证明自己的身份,然后才允许其激活。 多重身份验证有助于保护对数据和应用程序的访问。 它使用第二种形式的身份验证提供另一层安全性。

如果用户之前已在此会话中使用强凭据进行了身份验证或提供了多重身份验证,则系统可能不会提示其进行多重身份验证。 建议为所有用户启用 Microsoft Entra ID 的多重身份验证功能。 有关详细信息,请参阅规划 Microsoft Entra 多重身份验证部署

激活时,需要 Microsoft Entra 条件访问身份验证上下文

可以要求符合角色条件的用户满足条件访问策略要求。

若要强制实施此要求,请创建条件访问身份验证上下文。

  1. 配置条件访问策略,对此身份验证上下文强制实施要求。

  2. 在角色的 PIM 设置中配置身份验证上下文。

    Screenshot that shows the Edit role settings Attestation Reader page.

如果 PIM 设置配置了“激活时,需要 Microsoft Entra 条件访问身份验证上下文”,则条件访问策略将定义用户满足访问要求所需的条件。

这意味着,有权管理条件访问策略的安全主体(如条件访问管理员或安全管理员)可以更改要求、删除要求或阻止符合条件的用户激活角色。 可以管理条件访问策略的安全主体应被视为具有高度特权并受到相应保护。

建议在 PIM 设置中配置身份验证上下文之前,为身份验证上下文创建并启用条件访问策略。 作为备份保护机制,如果租户中没有针对 PIM 设置中配置的身份验证上下文的条件访问策略,则在 PIM 角色激活期间,需要 Microsoft Entra ID 中的多重身份验证功能,因为将设定“激活时,需要多重身份验证”设置。

此备份保护机制旨在单独防止由于配置错误而在创建条件访问策略之前更新 PIM 设置的情况。 如果关闭条件访问策略、处于仅报告模式或将符合条件的用户排除在策略之外,则不会触发此备份保护机制。

激活时,需要 Microsoft Entra 条件访问身份验证上下文”设置定义用户在激活角色时必须满足的身份验证上下文要求。 角色激活后,不会阻止用户使用其他浏览会话、设备或位置来使用权限。

例如,用户可以使用符合 Intune 要求的设备来激活角色。 然后,在激活角色后,他们可能会从另一台不符合 Intune 要求的设备登录到同一用户帐户,并从中使用以前激活的角色。

为了防止出现这种情况,可以限定条件访问策略的范围,以便直接对符合条件的用户强制实施某些要求。 例如,可以要求符合特定角色条件的用户始终使用 Intune 合规设备。

要详细了解条件访问身份验证上下文,请参阅条件访问:云应用、操作和身份验证上下文

要求在激活时提供理由

你可以要求用户在激活符合条件的分配时输入业务理由。

激活时需要提供票证信息

你可以要求用户在激活符合条件的分配时输入支持票证。 此字段仅供参考。 不强制要求其与任何票证系统中的信息关联。

需要批准才能激活

可以要求经过审批才能激活符合条件的分配。 审批者无需具有任何角色。 如果使用此选项,则必须选择至少一名审批者。 建议至少选择两名审批者。 没有默认的审批者。

若要详细了解审批,请参阅在 Privileged Identity Management 中批准或拒绝对 Microsoft Entra 角色的请求

分配持续时间

配置角色的设置时,可以从用于每种分配类型(“合格”和“活动”)的两个分配持续时间选项中进行选择。 在 Privileged Identity Management 中将用户分配到角色时,这些选项将成为默认的最大持续时间。

可以选择其中一个符合条件的分配持续时间选项。

设置 说明
允许永久的合格分配 资源管理员可以分配永久的合格分配。
使合格分配在以下时间后过期 资源管理员可以要求所有合格分配都具有指定的开始和结束日期。

也可以选择其中一个活动分配持续时间选项。

设置 说明
允许永久的活动分配 资源管理员可以分配永久的活动分配。
使活动分配在以下时间后过期 资源管理员可以要求所有活动分配都具有指定的开始和结束日期。

全局管理员和特权角色管理员可续订具有特定结束日期的所有分配。 此外,用户也可启动自助服务请求来扩展或续订角色分配

要求在活动分配时进行多重身份验证

可以要求管理员在创建活动(而不是符合条件)的分配时提供多重身份验证。 Privileged Identity Management 无法在用户使用其角色分配时强制实施多重身份验证,因为从分配角色时起,用户就已经在角色中处于活动状态。

如果管理员之前已在此会话中使用强凭据进行了身份验证或提供了多重身份验证,则系统可能不会提示其进行多重身份验证。

要求在活动分配时提供理由

可以要求用户在创建活动分配(而不是符合条件的分配)时输入业务理由。

在“角色设置”页上的“通知”选项卡上,Privileged Identity Management 允许对接收通知的人员及其收到的通知进行精细控制。

  • 关闭电子邮件:可以通过取消选中“默认收件人”复选框并删除任何其他收件人来关闭特定电子邮件。
  • 将电子邮件限制为指定的电子邮件地址:可以通过清除“默认收件人”复选框来关闭发送给默认收件人的电子邮件。 然后,可以添加其他电子邮件地址作为收件人。 如果要添加多个电子邮件地址,请使用分号 (;) 分隔它们。
  • 向默认收件人和其他收件人发送电子邮件:可以向默认收件人和其他收件人发送电子邮件。 选中“默认收件人”复选框,并为其他收件人添加电子邮件地址。
  • 仅限关键电子邮件:对于每种类型的电子邮件,可以选择该复选框以仅接收关键电子邮件。 仅当电子邮件需要立即采取措施时,Privileged Identity Management 才会继续向指定收件人发送电子邮件。 例如,不会触发要求用户延长其角色分配的电子邮件。 将触发要求管理员批准延期请求的电子邮件。

注意

Privileged Identity Management 中的一个事件可以生成发往多个收件人(被分派人、审批者或管理员)的电子邮件通知。 每个事件发送的最大通知数为 1000。 如果收件人数超过 1000,则只有前 1000 个收件人会收到电子邮件通知。 这不会阻止其他被分派人、管理员或审批者在 Microsoft Entra ID 和 Privileged Identity Management 中使用其权限。

后续步骤