你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

特权访问组和可分配角色的组之间有何差异?

Privileged Identity Management (PIM) 支持对可分配角色的组启用特权访问。 但是,由于创建特权访问组的先决条件是有可用的可分配角色的组,因此本文将介绍二者之间的差异以及如何利用它们。

什么是 Azure AD 可分配角色的组?

属于 Microsoft Entra 的 Azure Active Directory (Azure AD) 允许将云 Azure AD 安全组分配到 Azure AD 角色。 全局管理员或特权角色管理员必须创建新的安全组,并在创建时使该组的角色可分配。 只有分配有全局管理员、特权角色管理员或组所有者角色的用户可以更改该组内的成员身份。 此外,其他任何用户都不能重置属于该组成员的用户的密码。 此功能有助于防止管理员在未经请求和审批的情况下提升为更高特权的角色。

什么是特权访问组?

特权访问组使用户能够提升到 Azure AD 安全组的所有者或成员角色。 通过此功能不仅可以为 Azure AD 和 Azure 角色批量设置实时工作流,还可以为 Azure SQL、Azure Key Vault、Intune 或其他应用程序角色等用例启用实时方案。 有关详细信息,请参阅特权访问组的管理功能

注意

对于那些用于提升为 Azure AD 角色的特权访问组,Microsoft 建议你要求对符合条件的成员的分配执行审批流程。 如果分配未经批准即可激活,你可能容易遭受特权较低的管理员带来的安全风险。 例如,支持管理员有权重置符合条件的用户的密码。

何时使用可分配角色的组

可以设置对 Azure AD 和 Azure 资源以外的权限和角色的实时访问。 如果有其他资源的授权可以连接到某个 Azure AD 安全组(针对 Azure Key Vault、Intune、Azure SQL 或其他应用和服务),则应启用对该组的特权访问权限,并将用户分配为符合组内成员条件的角色。

如果要将组分配到 Azure AD 角色或 Azure 资源角色,并且需要通过 PIM 过程提升权限,这只能通过一种方法实现:

  • 将组永久分配到一个角色。 然后,在 PIM 中,你可以将用户有资格获得的角色分配授予该组。 每个符合条件的用户必须激活其角色分配才能成为该组的成员,激活需遵循审批策略。 此路径要求在 PIM 中启用可分配角色的组,并将该组作为特权访问组分配给 Azure AD 角色。

此方法允许使用最大粒度的权限。 使用此方法可以:

  • 向多个 Azure AD 或 Azure 资源角色分配一个组,并让用户激活一次来访问多个角色。
  • 为不同用户组维护访问 Azure AD 或 Azure 资源角色所需的不同激活策略。 例如,若要在某些用户成为全局管理员之前审批这些用户,同时允许自动审批其他用户,则可以设置两个特权访问组并将它们永久(Privileged Identity Management 中的“永久”分配)分配到全局管理员角色,然后为每个组的成员角色使用不同的激活策略。

后续步骤