你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Privileged Identity Management 中激活特权访问组角色

在属于 Microsoft Entra 的 Azure Active Directory (Azure AD) 中,使用 Privileged Identity Management (PIM) 来允许特权访问组的合格角色成员计划在某个指定日期和时间进行角色激活。 他们还可以选择激活持续时间,最长可以达到管理员配置的最长持续时间。

本文适用于要在 Privileged Identity Management 中激活其特权访问组角色的合格成员。

激活角色

在需要充当特权访问组角色时,可以通过在 Privileged Identity Management 中使用“我的角色”导航选项来请求激活。

  1. 使用全局管理员或组所有者权限登录到 Azure AD 门户

  2. 打开 Privileged Identity Management

  3. 选择“特权访问组(预览版)”,然后选择“激活角色”,以打开特权访问组的“我的角色”页 。

    PIM 中的特权访问角色页

  4. 在“我的角色”页上,在要激活的合格分配的行中,选择“激活” 。

    合格角色分配行中的“激活”链接

  5. 如果角色需要多重身份验证,请选择“验证你的身份,然后继续”。 只需在每个会话中执行身份验证一次。

    在激活角色之前使用 MFA 验证身份

  6. 选择“验证我的身份”,并按照说明提供其他安全验证。

    用于提供安全验证(例如 PIN 码)的屏幕

  7. 根据需要指定自定义的激活开始时间。 成员或所有者只会在所选时间之后激活。

  8. 在“原因”框中,输入该激活请求的原因。

    显示了持续时间和理由的激活页

  9. 选择“激活” 。

如果角色需要审批才能激活,在浏览器右上角会显示 Azure 通知,告知请求正在等待审批。

查看请求的状态

可以查看等待激活的请求的状态。

  1. 打开 Azure AD Privileged Identity Management。

  2. 选择“我的请求”,以查看 Azure AD 角色和特权访问组角色请求的列表。

  3. 如果需要,请向右滚动,以查看“请求状态”列。

取消挂起的请求

如果不需要激活需要审批的角色,随时可以取消等待中的请求。

  1. 打开 Azure AD Privileged Identity Management。

  2. 选择“我的请求”。

  3. 针对想要取消的角色,选择“取消”链接。

    选择“取消”会取消该请求。 若要再次激活该角色,必须提交新的激活请求。

停用角色分配

激活角色分配后,会在 PIM 门户中看到角色分配的“停用”选项。 选择“停用”时,角色停用前存在短暂的延迟。 此外,激活角色分配后,5 分钟内无法停用角色分配。

故障排除

激活角色后,权限未被授予

在 Privileged Identity Management 中激活角色时,激活可能不会立即传播到需要特权角色的所有门户。 有时,即使更改已传播,门户中的 Web 缓存也可能会导致更改不能立即生效。 如果激活已延迟,应当按照以下步骤操作。

  1. 注销 Azure 门户,然后重新登录。
  2. 在 Privileged Identity Management 中,验证是否已将你列为角色的成员。

后续步骤