在 Privileged Identity Management 中发现要管理的 Azure 资源

可以在 Microsoft Entra ID 中使用 Privileged Identity Management (PIM) 来改进对 Azure 资源的保护。 这有助于:

  • 已经使用 Privileged Identity Management 来保护 Microsoft Entra 角色的组织
  • 正在尝试保护生产资源的管理组和订阅所有者

首次为 Azure 资源设置 Privileged Identity Management 时,需要发现并选择要使用 Privileged Identity Management 保护的资源。 通过 Privileged Identity Management 发现资源时,PIM 会创建 PIM 服务主体 (MS-PIM),将其分配为资源的用户访问管理员。 可使用 Privileged Identity Management 管理的资源数量没有限制。 但是,我们建议从最重要的生产资源开始。

所需的权限

提示

本文中的步骤可能因开始使用的门户而略有不同。

你可以查看和管理你拥有其 Microsoft.Authorization/roleAssignments/write 权限的管理组或订阅,例如“用户访问管理员”或“所有者”角色。 如果你不是订阅所有者,但是全局管理员,并且没有看到任何要管理的 Azure 订阅或管理组,则可以提升访问权限以管理资源

发现资源

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”。

    如果这是首次将 Privileged Identity Management 用于 Azure 资源,则会显示“发现资源”页。

    Discover resources pane with no resources listed for first time experience

    如果组织中的另一个管理员已在 Privileged Identity Management 中管理 Azure 资源,则会显示当前正在托管的资源列表。

    Discover resources pane listing resources that are currently being managed

  3. 选择“发现资源”以启动发现之旅

    Discovery pane lists resources that can be managed, such as subscriptions and management groups

  4. 在“发现”页上,使用“资源状态筛选器”和“选择资源类型”筛选你对其具有写入权限的管理组或订阅。 最初从“所有”开始可能会最简单

    你可以搜索并选择要使用 Privileged Identity Management 管理的管理组或订阅资源。 在 Privileged Identity Management 中管理管理组或订阅时,还可以管理其子资源。

    注意

    将新的子 Azure 资源添加到 PIM 管理的管理组时,可以使用 PIM 搜索子资源将其置于管理之下。

  5. 选择要管理的任何非托管资源。

  6. 选择“管理资源”以开始管理所选资源。 PIM 服务主体 (MS-PIM) 被分配为该资源的用户访问管理员。

    注意

    管理组或订阅已托管后,就无法取消托管。 这可防止其他资源管理员删除 Privileged Identity Management 设置。

    Discovery pane with a resource selected and the Manage resource option highlighted

  7. 如果看到确认加入要管理的所选资源的消息,请选择“是”。 然后将 PIM 配置为管理资源下的所有新的和现有的子对象。

    Message confirming to onboard the selected resources for management

后续步骤