通过分配可提供所需权限的角色来授予管理资源的能力。 角色可以分配给单个用户或组。 为符合零信任指导原则,请在分配角色时使用实时策略和恰好足够的访问权限策略。
使用 Microsoft Entra ID 分配用户角色
先决条件
向用户分配角色之前,请查看以下 Microsoft Learn 文章:
分配角色
角色分配过程有两个主要步骤。 首先选择要分配的角色。 然后调整角色设置和持续时间。 符合条件的角色可分配给用户,但必须由用户通过 Privileged Identity Management (PIM) 实时提升。 若要详细了解如何使用 PIM,请参阅 Privileged Identity Management。
提示
本文中的步骤可能因开始使用的门户而略有不同。
以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
搜索并选择获得角色分配的用户。
从侧边菜单中选择“已分配的角色”,然后选择“添加分配”。
从下拉列表中选择要分配的角色,然后选择“下一步”按钮。
选择一个“分配类型”。
可将角色分配为符合条件的角色或活动角色。
如果角色应始终可供用户提升,请保留“永久符合条件”选项。
如果取消选中此选项,可为角色资格指定日期范围。
选择“分配”按钮。
分配的角色显示在用户的关联部分中,因此符合条件的角色和活动角色会单独列出。
更新角色
可更改角色分配的设置,例如将活动角色更改为符合条件的角色。
浏览到“标识”>“用户”>“所有用户”。
搜索并选择要更新其角色的用户。
从侧边菜单中选择“已分配的角色”,然后选择“合格分配”或“活动分配”。
选择需要更改的角色的“更新”链接。
根据需要更改设置,然后选择“保存”按钮。
删除角色
可从所选用户的“管理角色”页中删除角色分配。
浏览到“标识”>“用户”>“所有用户”。
搜索并选择要删除其角色分配的用户。
转到“已分配的角色”页,然后选择需要删除的角色的“删除”链接。 在弹出消息中确认更改。