使用 Microsoft Entra ID 分配用户角色

通过分配可提供所需权限的角色来授予管理资源的能力。 角色可以分配给单个用户或组。 为符合零信任指导原则,请在分配角色时使用实时策略和恰好足够的访问权限策略。

先决条件

向用户分配角色之前,请查看以下 Microsoft Learn 文章:

分配角色

角色分配过程有两个主要步骤。 首先选择要分配的角色。 然后调整角色设置和持续时间。 符合条件的角色可分配给用户,但必须由用户通过 Privileged Identity Management (PIM) 实时提升。 若要详细了解如何使用 PIM,请参阅 Privileged Identity Management

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“用户”>“所有用户”。

  3. 搜索并选择获得角色分配的用户。

    屏幕截图显示“用户” - 突出显示 Alain Charon 的所有用户列表。

  4. 从侧边菜单中选择“已分配的角色”,然后选择“添加分配”。

    “已分配的角色”页面的屏幕截图,其中突出显示了“添加分配”。

  5. 从下拉列表中选择要分配的角色,然后选择“下一步”按钮。

  6. 选择一个“分配类型”。

    可将角色分配为符合条件的角色或活动角色。

    角色分配设置的屏幕截图。

  7. 如果角色应始终可供用户提升,请保留“永久符合条件”选项。

    如果取消选中此选项,可为角色资格指定日期范围。

  8. 选择“分配”按钮。

    分配的角色显示在用户的关联部分中,因此符合条件的角色和活动角色会单独列出。

更新角色

可更改角色分配的设置,例如将活动角色更改为符合条件的角色。

  1. 浏览到“标识”>“用户”>“所有用户”。

  2. 搜索并选择要更新其角色的用户。

  3. 从侧边菜单中选择“已分配的角色”,然后选择“合格分配”或“活动分配”

  4. 选择需要更改的角色的“更新”链接

    突出显示“删除”和“更新”选项的“已分配的角色”页的屏幕截图。

  5. 根据需要更改设置,然后选择“保存”按钮。

    角色成员资格设置面板的屏幕截图。

删除角色

可从所选用户的“管理角色”页中删除角色分配。

  1. 浏览到“标识”>“用户”>“所有用户”。

  2. 搜索并选择要删除其角色分配的用户。

  3. 转到“已分配的角色”页,然后选择需要删除的角色的“删除”链接。 在弹出消息中确认更改。