如果您开始使用 Microsoft Entra ID 中的特权身份管理 (PIM) 来管理您组织中的角色分配,您可以使用“发现和见解(预览版)”页面来了解如何入门。 此功能显示获分配到组织中特权角色的人员,并介绍如何使用 PIM 快速将永久角色分配更改为按需分配。 可以在发现和见解(预览版) 中查看或更改永久特权角色分配。 它是一个分析工具,也是一个操作工具。
在你的组织开始使用 Privileged Identity Management 之前,所有角色分配都是永久性的。 即使用户不需要其权限,用户也始终处于已分配的角色中。 发现和见解(预览版)取代了以前的安全向导,它会显示特权角色的列表以及当前有多少个用户处于这些角色中。 你可以列出角色的分配,以便详细了解分配的用户(如果你不熟悉其中一个或多个用户)。
✔️ Microsoft 建议组织为两个仅限云的紧急访问帐户永久分配全局管理员角色。 这些帐户拥有极高的特权,不要将其分配给特定的个人。 这些帐户仅限于紧急或“破窗式”场景,在这种场景下,普通帐户无法使用,或者所有其他管理员被意外锁定。
此外,如果用户具有 Microsoft 帐户(即,用于登录 Skype 或 Outlook.com 等 Microsoft 服务的帐户),则永久保留角色分配。 如果要求具有 Microsoft 帐户的用户执行多重身份验证以激活角色分配,则该用户会被锁定。
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“Privileged Identity Management”>“Microsoft Entra 角色”>“发现和见解(预览版)”。
打开该页面将开始发现过程,以查找相关的角色分配。
选择“减少全局管理员”。
查看全局管理员角色分配的列表。
选择“下一步”以选择要设为符合条件的管理员的用户或组,然后选择“设为符合条件的管理员”或“删除分配”。
还可以要求所有全局管理员评审其自己的访问权限。
选择其中任何一个更改后,你将看到 Azure 通知。
然后,可以选择“消除现有访问权限”或“评审服务主体”,在其他特权角色和服务主体分配上重复上述步骤。 对于服务主体角色分配,只能删除角色分配。
