如何配置 Microsoft Entra 特权身份管理 (PIM)

管理员需要访问组织才能执行任务。但是，您希望管理、控制和监控他们的特权访问。这就是 Microsoft Entra PIM 发挥作用的时候。在本文中，您将了解如何配置 Microsoft Entra Privileged Identity Management (PIM)。

什么是 Microsoft Entra 特权身份管理？

特权身份管理 (PIM) 是 Microsoft Entra ID 中的一项服务，使您能够管理、控制和监视对组织中重要资源的访问。这些资源包括 Microsoft Entra ID、Azure 和其他 Microsoft 在线服务（例如 Microsoft 365 或 Microsoft Intune）。

它提供基于时间和基于批准的角色激活，以降低对您关心的资源过度、不必要或误用访问权限的风险。以下是特权身份管理的一些主要功能：

• 提供对 Microsoft Entra ID 和 Azure 资源的即时特权访问
• 使用开始日期和结束日期分配对资源的有时限的访问权限
• 需要批准才能激活特权角色
• 强制执行多重身份验证以激活任何角色
• 使用理由来了解用户激活的原因
• 当特权角色被激活时获取通知
• 进行访问审查以确保用户仍然需要角色
• 下载内部或外部审计的审计历史记录
• 防止删除最后一个活动的全局管理员和特权角色管理员角色分配

注意：您需要 Microsoft Entra ID P2 才能使用 Microsoft Entra ID 中的特权身份管理功能。

设置 Microsoft Entra 特权身份管理

让我们看看如何分配角色、编辑角色设置以及通过以用户身份登录来使用 PIM 激活角色。

1. 分配角色

要将用户或当前管理员分配为特定 Microsoft Entra 角色的合格管理员，请执行以下步骤：

1. 登录 Microsoft Entra 管理中心
2. 展开身份治理 > 特权身份管理
3. 单击Microsoft Entra 角色

1. 点击角色

1. 点击添加作业

1. 选择您要分配给成员或群组的角色
2. 选择成员
3. 点击下一步

1. 点击分配

Microsoft Entra 角色已成功分配给用户。下一步，我们将研究角色设置。

2. 编辑角色设置

要在 Privileged Identity Management 中配置 Microsoft Entra 角色设置，请按照以下步骤操作：

1. 搜索您将成员添加到的角色
2. 选择角色

1. 点击角色设置

1. 点击编辑

1. 浏览激活设置并根据需要进行调整
2. 单击下一步：分配

1. 检查分配设置并根据需要进行调整
2. 单击下一步：通知

1. 浏览通知设置并根据需要进行调整
2. 点击更新

现在您已将角色分配给成员并检查了角色设置，让我们看看下一步如何使用用户帐户激活角色。

3.激活角色

要在 Microsoft Entra 中使用 PIM 激活符合条件的管理员角色，请按照以下步骤操作：

1. 登录 Microsoft Entra 管理中心或直接访问特权身份管理 (PIM) 刀片
2. 点击我的角色

注意：我们建议限制对 Microsoft Entra 管理中心的访问。用户仍然能够访问 PIM 刀片来管理他们的特权访问。

1. 选择激活

1. 如果您尚未设置 MFA，则无法继续操作，并且您将看到一个通知栏，其中包含需要进行额外验证的警告
2. 点击继续

1. 完成MFA 设置并点击完成
2. 您将自动重定向到PIM 激活屏幕

1. 填写原因
2. 点击激活

1. 它将处理请求并激活角色

1. 激活完成后浏览器会自动刷新

1. 单击通知栏切换到活动分配列表

1. 验证状态是否显示已激活并且结束时间显示正确

就是这样！

了解更多：导出 Entra ID 应用程序注册证书和机密到期报告 »

结论

您了解了如何配置 Microsoft Entra 特权身份管理 (PIM)。不要以老式的方式向用户添加角色。但改为使用 PIM 为用户提供对 Microsoft Entra ID 和 Azure 资源的即时特权访问。这是管理、控制和监控对组织中重要资源的访问的出色功能。请记住，您需要 Microsoft Entra ID P2 许可证才能使用此功能。

您喜欢这篇文章吗？您可能还喜欢在 Microsoft Entra 和 PowerShell 中获取 MFA 状态。不要忘记关注我们并分享这篇文章。