练习在 Privileged Identity Management 中分配 Microsoft Entra 角色

使用 Microsoft Entra ID，全局管理员可以永久性地指派 Microsoft Entra 管理员角色。 可以使用 Azure 门户或使用 PowerShell 命令创建这些角色分配。

Microsoft Entra Privileged Identity Management （PIM） 服务还允许特权角色管理员进行永久管理员角色分配。 此外，特权角色管理员可使用户符合 Microsoft Entra 管理员角色的条件。 符合条件的管理员可在需要时激活角色，在完成任务后，其权限随即失效。

分配角色

按照以下步骤使用户有资格获得 Microsoft Entra 管理员角色。

1. 以租户管理员身份登录到 Microsoft Entra 管理中心。

2. 搜索并选择“Microsoft Entra Privileged Identity Management”。

3. 在“Privileged Identity Management”屏幕的左侧导航菜单中，选择“Microsoft Entra 角色”。

4. 在“快速启动”页的左侧导航窗格中，选择“角色”。

5. 在顶部菜单中，选择“+ 添加任务”。

   

6. 在“添加分配”窗格中的“成员身份”选项卡上，查看设置。

7. 选择 选择角色 菜单，然后选择 合规性管理员。 可以使用“按名称搜索角色”筛选器来帮助查找角色。

8. 在“选择成员”下，选择“未选择任何成员”。

9. 在“选择成员”窗格中，选择管理员帐户，然后选择 选择。

   

10. 在“添加分配”屏幕中，选择“下一步”。

11. 在“设置”选项卡上的“分配类型”下，查看可用的选项。 对于此任务，请使用默认设置。

    • 合格分配要求该角色的成员执行某个操作才能使用该角色。 作可能包括执行多重身份验证（MFA）检查、提供业务理由或请求指定审批者的批准。
    • 活动分配不需要成员执行任何操作即可使用该角色。 分配为“活动”的成员拥有始终分配给该角色的特权。

12. 查看其余设置，然后选择“分配”。

激活 Microsoft Entra 角色

当你需要承担 Microsoft Entra 角色时，可以通过在 Privileged Identity Management 中打开“我的角色”来请求激活。

1. 在特权身份管理屏幕的左侧导航菜单中，选择“我的角色”。

2. 在“我的角色”窗格中，查看符合条件的分配列表。

   

3. 在“合规性管理员角色”行中，选择“激活”。

4. 在“激活 – 符合性管理员”窗格中，选择 所需的其他验证，，然后按照说明提供额外的安全验证。 每个会话只需进行身份验证一次。

   

5. 完成安全验证后，在“激活 – 符合性管理员”窗格中的“原因” 框中，输入激活此角色的理由。

6. 选择 激活。

分配具有受限作用域的角色

对于某些角色，已授予权限的范围可以限制为单个管理单元、服务主体或应用程序。 如果分配具有管理单元范围的角色，则此过程就是一个示例。

1. 浏览到“Privileged Identity Management”屏幕，在左侧导航菜单中，选择“Microsoft Entra 角色”。

2. 在“角色”窗格的上方菜单中，选择“+ 添加任务”。

3. 在“添加分配”屏幕中，选择 “选择角色”菜单，然后选择“用户管理员”。

4. 选择 范围类型 菜单并查看可用选项。 目前，你将使用 目录 范围类型。

   提示

   转到 Microsoft Entra ID 中管理行政单元，了解有关行政单元范围类型的详细信息。

5. 类似于分配一个范围不受限制的角色。 添加成员并完成设置选项。 现在，选择取消。

更新或删除现有角色分配

按照以下步骤更新或删除现有角色分配。

1. 在“打开 Microsoft Entra Privileged Identity Management”和“Microsoft Entra 角色”屏幕的左侧导航中，选择“分配”。

2. 在 任务 列表中，对于合规管理员，请查看 操作 列中的选项。

   

3. 选择 更新，并查看“成员身份设置”窗格中可用的选项。 完成后，关闭窗格。

4. 选择 删除。

5. 在“删除”对话框中，查看信息，然后选择“是”。