Microsoft Entra 角色的发现和见解(以前称为安全向导)(预览版)
如果你在属于 Microsoft Entra ID 中开始使用 Privileged Identity Management (PIM) 来管理组织中的角色分配,可以使用“发现和见解(预览版)”页来入门。 此功能显示已分配到组织中的特权角色的用户,以及如何使用 PIM 快速将永久角色分配更改为实时分配。 可以在发现和见解(预览版) 中查看或更改永久特权角色分配。 它是一个分析工具,也是一个操作工具。
发现和见解(预览版)
在你的组织开始使用 Privileged Identity Management 之前,所有角色分配都是永久性的。 即使用户不需要其权限,用户也始终处于已分配的角色中。 发现和见解(预览版)取代了以前的安全向导,它会显示特权角色的列表以及当前有多少个用户处于这些角色中。 你可以列出角色的分配,以便详细了解分配的用户(如果你不熟悉其中一个或多个用户)。
✔️ Microsoft 建议组织为两个仅限云的紧急访问帐户永久分配全局管理员角色。 这些帐户拥有极高的特权,不要将其分配给特定的个人。 这些帐户仅限用于紧急情况或“救火式”情况,在这种情况下,普通帐户无法使用,或者所有其他管理员均已被意外锁定。应按照紧急访问帐户建议创建这些帐户。
此外,如果用户具有 Microsoft 帐户(即,用于登录 Skype 或 Outlook.com 等 Microsoft 服务的帐户),则永久保留角色分配。 如果要求具有 Microsoft 帐户的用户执行多重身份验证以激活角色分配,则该用户会被锁定。
打开发现和见解(预览版)
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“身份治理”>“Privileged Identity Management”>“Microsoft Entra 角色”>“发现和见解(预览版)”。
打开该页面将开始发现过程,以查找相关的角色分配。
选择“减少全局管理员”。
查看全局管理员角色分配的列表。
选择“下一步”以选择要设为符合条件的管理员的用户或组,然后选择“设为符合条件的管理员”或“删除分配”。
还可以要求所有全局管理员评审其自己的访问权限。
选择其中任何一个更改后,你将看到 Azure 通知。
然后,可以选择“消除现有访问权限”或“评审服务主体”,在其他特权角色和服务主体分配上重复上述步骤。 对于服务主体角色分配,只能删除角色分配。