Microsoft Entra 角色的发现和见解(以前称为安全向导)(预览版)

如果你在属于 Microsoft Entra ID 中开始使用 Privileged Identity Management (PIM) 来管理组织中的角色分配,可以使用“发现和见解(预览版)”页来入门。 此功能显示已分配到组织中的特权角色的用户,以及如何使用 PIM 快速将永久角色分配更改为实时分配。 可以在发现和见解(预览版) 中查看或更改永久特权角色分配。 它是一个分析工具,也是一个操作工具。

发现和见解(预览版)

在你的组织开始使用 Privileged Identity Management 之前,所有角色分配都是永久性的。 即使用户不需要其权限,用户也始终处于已分配的角色中。 发现和见解(预览版)取代了以前的安全向导,它会显示特权角色的列表以及当前有多少个用户处于这些角色中。 你可以列出角色的分配,以便详细了解分配的用户(如果你不熟悉其中一个或多个用户)。

✔️ Microsoft 建议组织为两个仅限云的紧急访问帐户永久分配全局管理员角色。 这些帐户拥有极高的特权,不要将其分配给特定的个人。 这些帐户仅限用于紧急情况或“救火式”情况,在这种情况下,普通帐户无法使用,或者所有其他管理员均已被意外锁定。应按照紧急访问帐户建议创建这些帐户。

此外,如果用户具有 Microsoft 帐户(即,用于登录 Skype 或 Outlook.com 等 Microsoft 服务的帐户),则永久保留角色分配。 如果要求具有 Microsoft 帐户的用户执行多重身份验证以激活角色分配,则该用户会被锁定。

打开发现和见解(预览版)

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“身份治理”>“Privileged Identity Management”>“Microsoft Entra 角色”>“发现和见解(预览版)”。

  3. 打开该页面将开始发现过程,以查找相关的角色分配。

    显示 Microsoft Entra 角色发现和见解页的屏幕截图。

  4. 选择“减少全局管理员”

    屏幕截图显示“发现和见解(预览)”,其中已选择“减少全局管理员”操作。

  5. 查看全局管理员角色分配的列表。

    显示“角色”窗格的屏幕截图,其中显示了所有全局管理员。

  6. 选择“下一步”以选择要设为符合条件的管理员的用户或组,然后选择“设为符合条件的管理员”或“删除分配”。

    屏幕截图显示了“如何将成员转换为符合条件成员”页,其中显示选择要使其符合角色条件的成员的选项。

  7. 还可以要求所有全局管理员评审其自己的访问权限。

    屏幕截图显示了“全局管理员”页面,其中显示“访问评审”部分。

  8. 选择其中任何一个更改后,你将看到 Azure 通知。

  9. 然后,可以选择“消除现有访问权限”或“评审服务主体”,在其他特权角色和服务主体分配上重复上述步骤。 对于服务主体角色分配,只能删除角色分配。

    显示用于消除长期访问和查看服务主体的其他见解选项的屏幕截图。

后续步骤