使用 Privileged Identity Management (PIM) 可管理、控制和监视 Microsoft Entra 组织内的访问。 使用 PIM,可以根据需要提供对 Azure 资源、Microsoft Entra 资源和其他 Microsoft 联机服务(如 Microsoft 365 或 Microsoft Intune)的实时访问。
本文介绍如何启用 Privileged Identity Management (PIM) 并开始使用它。
先决条件
要使用 Privileged Identity Management,必须具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证。 有关许可的详细信息,请参阅 Microsoft Entra ID 治理许可基础知识。
激活角色分配
当 Microsoft Entra 租户具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证时,具有活动角色分配的用户可以执行以下操作:
- 在 Microsoft Entra ID 中打开 “角色和管理员 ”页,然后选择一个角色。
- 打开 Privileged Identity Management 页。
- 使用 Microsoft Entra 角色 API 调用 PIM。
Microsoft Entra 通过以下方式为租户启用 PIM:
- 您现在可以立即为 Microsoft Entra 角色创建符合条件的或有时间限制的分配;
- 全局管理员或特权角色管理员可能会开始接收其他电子邮件,例如 PIM 每周摘要;
- 与角色分配管理相关的审核日志事件中可能会提及 PIM 服务主体名称 (MS-PIM)。
这些行为是预期的,不应影响工作流。
为 Microsoft Entra 角色准备 PIM
下面是用于准备 Privileged Identity Management 以管理 Microsoft Entra 角色的建议任务:
准备将 PIM 用于 Azure 角色
下面是为管理订阅的 Azure 角色准备 Privileged Identity Management 的建议任务:
导航到您的任务
设置 Privileged Identity Management 后,即可熟悉其用法。
| 任务 + 管理 | 说明 |
|---|---|
| 我的角色 | 显示分配给你的符合条件且活跃的角色列表。 “我的角色”是可激活任何符合条件的已分配角色的地方。 |
| 我的请求 | 显示您激活符合条件的角色分配请求状态。 |
| 审批请求 | 按用户显示你的目录中你可以审批的符合条件的角色激活请求的列表。 |
| 审阅访问权限 | 列出要完成的活动访问评审,无论你是要为自己还是其他人评审访问权限。 |
| Microsoft Entra 角色 | 显示特权角色管理者的仪表板和设置,以便管理 Microsoft Entra 角色指派。 对于不是特权角色管理员的任何人,此仪表板处于禁用状态。 这些用户有权访问标题为 “我的视图”的特殊仪表板。 “我的视图”仪表板仅显示有关访问仪表板的用户的信息,而不是整个组织。 |
| 组 | 管理组内的实时成员身份或组的实时所有权。 组可用于提供对 Microsoft Entra 角色、Azure 角色和其他各种场景的访问权限。 若要在 PIM 中管理某个 Microsoft Entra 组,必须将该组纳入 PIM 的管理。 |
| Azure 资源 | 为特权角色管理员提供用于管理 Azure 资源角色分配的仪表板和设置。 对于不是特权角色管理员的任何人,此仪表板处于禁用状态。 这些用户有权访问标题为 “我的视图”的特殊仪表板。 “我的视图”仪表板仅显示有关访问仪表板的用户的信息,而不是整个组织。 |
| 常规设置 | 为 PIM 选择允许对 Microsoft Graph API 进行仅限应用调用的应用程序。 |