在 Microsoft Entra ID 中,你可能需要对组织中具有特权角色的某些用户应用更严格的实时设置,而为其他用户提供更大的自主权。 例如,如果你的组织雇佣了多个合同工来帮助开发在 Azure 订阅中运行的应用程序。
作为资源管理员,你希望正式员工可以在不需要审批的情况下获得合格访问权。 但所有合同工在请求访问组织资源时必须接受审批。
按照下一部分中列出的步骤来为 Azure 资源角色设置具针对性的 Privileged Identity Management (PIM) 设置。
创建自定义角色
若要为资源创建自定义角色,请按照 Azure 自定义角色中所述的步骤操作。
创建自定义角色后,请提供一个描述性名称,以便可以轻松记住你打算复制的内置角色。
注意
请确保自定义角色是需要复制的内置角色的副本,且其作用域与该内置角色匹配。
应用 PIM 设置
在 Microsoft Entra 组织中创建角色后,请在 Azure 门户中转到“Privileged Identity Management - Azure 资源”页。 选择应用该角色的资源。
配置 Privileged Identity Management 角色设置,这些设置应当应用于该角色的这些成员。
最后,为你希望作为这些设置的应用目标的不同成员组分配角色。