在 Privileged Identity Management 中发现要管理的 Azure 资源

可以在 Microsoft Entra ID 中使用 Privileged Identity Management (PIM) 来改进对 Azure 资源的保护。 这有助于:

  • 已经使用 Privileged Identity Management 来保护 Microsoft Entra 角色的组织
  • 正在尝试保护生产资源的管理组和订阅所有者

首次为 Azure 资源设置 Privileged Identity Management 时,需要发现并选择要使用 Privileged Identity Management 保护的资源。 通过 Privileged Identity Management 发现资源时,PIM 会创建 PIM 服务主体 (MS-PIM),将其分配为资源的用户访问管理员。 可使用 Privileged Identity Management 管理的资源数量没有限制。 但是,我们建议从最关键的生产资源开始。

注意

PIM 现在可以自动管理租户中的 Azure 资源,无需加入。 更新后的用户体验使用最新的 PIM ARM API,从而在选择要管理的正确范围时提高性能和粒度。

所需的权限

提示

本文中的步骤可能因开始使用的门户而略有不同。

你可以查看和管理你拥有其 Microsoft.Authorization/roleAssignments/write 权限的管理组或订阅,例如“用户访问管理员”或“所有者”角色。 如果你不是订阅所有者,但是全局管理员,并且没有看到任何要管理的 Azure 订阅或管理组,则可以提升访问权限以管理资源

发现资源

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”。

    如果这是首次将 Privileged Identity Management 用于 Azure 资源,则会显示“发现资源”页。

    首次体验时没有列出资源的“发现资源”窗格的屏幕截图。

    如果组织中的另一个管理员已在 Privileged Identity Management 中管理 Azure 资源,则会显示当前正在托管的资源列表。

    列出当前正在托管的资源的“发现资源”窗格的屏幕截图。

  3. 选择“发现资源”以启动发现之旅

    屏幕截图显示“发现”窗格,其中列出了可托管的资源(如订阅和管理组)

  4. 在“发现”页上,使用“资源状态筛选器”和“选择资源类型”筛选你对其具有写入权限的管理组或订阅。 最初从“所有”开始可能会最简单

    你可以搜索并选择要使用 Privileged Identity Management 管理的管理组或订阅资源。 在 Privileged Identity Management 中管理管理组或订阅时,还可以管理其子资源。

    注意

    将新的子 Azure 资源添加到 PIM 管理的管理组时,可以使用 PIM 搜索子资源将其置于管理之下。

  5. 选择要管理的任何非托管资源。

  6. 选择“管理资源”以开始管理所选资源。 PIM 服务主体 (MS-PIM) 被分配为该资源的用户访问管理员。

    注意

    管理组或订阅已托管后,就无法取消托管。 这可防止其他资源管理员删除 Privileged Identity Management 设置。

    已选择资源并突出显示“管理资源”选项的“发现”窗格

  7. 如果看到确认加入要管理的所选资源的消息,请选择“是”。 然后将 PIM 配置为管理资源下的所有新的和现有的子对象。

    屏幕截图显示确认加入所选资源以进行管理的消息。

后续步骤