你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure Active Directory 分配用户角色

管理 Azure 资源的能力是通过分配提供所需权限的角色来授予的。 角色可以分配给单个用户或组。 为符合零信任指导原则,请在分配角色时使用实时策略和恰好足够的访问权限策略。

向用户分配角色之前,请查看以下 Microsoft Learn 文章:

分配角色

角色分配过程有两个主要步骤。 首先选择要分配的角色。 然后调整角色设置和持续时间。

选择要分配的角色

  1. 使用目录的特权角色管理员角色登录 Azure 门户

  2. 转到“Azure Active Directory”>“用户”。

  3. 搜索并选择获得角色分配的用户。

    屏幕截图显示“用户” - 突出显示 Alain Charon 的所有用户列表。

  4. 从侧边菜单中选择“已分配的角色”,然后选择“添加分配”。

    突出显示“已分配的角色”选项的用户“概述”页的屏幕截图。

  5. 从下拉列表中选择要分配的角色,然后选择“下一步”按钮。

调整角色设置

可将角色分配为符合条件的角色或活动角色。 符合条件的角色可分配给用户,但必须由用户通过 Privileged Identity Management (PIM) 实时提升。 若要详细了解如何使用 PIM,请参阅 Privileged Identity Management

突出显示分配类型的“已分配的角色”页的屏幕截图。

  1. 在“添加分配”页的“设置”部分,选择“分配类型”选项。

  2. 如果角色应始终可供用户提升,请保留“永久符合条件”选项。

    如果取消选中此选项,可为角色资格指定日期范围。

  3. 选择“分配”按钮。

    分配的角色显示在用户的关联部分中,因此符合条件的角色和活动角色会单独列出。

    角色分配设置的屏幕截图。

更新角色

可更改角色分配的设置,例如将活动角色更改为符合条件的角色。

  1. 转到“Azure Active Directory”>“用户”。

  2. 搜索并选择要更新其角色的用户。

  3. 转到“已分配的角色”页,然后选择需要更改的角色的“更新”链接。

  4. 根据需要更改设置,然后选择“保存”按钮。

    突出显示“删除”和“更新”选项的“已分配的角色”页的屏幕截图。

删除角色

可从所选用户的“管理角色”页中删除角色分配。

  1. 转到“Azure Active Directory”>“用户”。

  2. 搜索并选择要删除其角色分配的用户。

  3. 转到“已分配的角色”页,然后选择需要删除的角色的“删除”链接。 在弹出消息中确认更改。

后续步骤