分享方式:


開始使用 Privileged Identity Management

使用 Privileged Identity Management (PIM) 來管理、控制和監視 Microsoft Entra 組織內的存取。 您可以使用 PIM,提供 Azure 資源隨需和 Just-In-Time 存取、Microsoft Entra 資源,和其他 Microsoft 線上服務,例如 Microsoft 365 或 Microsoft Intune。

本文說明如何啟用 Privileged Identity Management (PIM) 並開始使用。

必要條件

若要使用 Privileged Identity Management,您必須擁有 Microsoft Entra ID P2 或 Microsoft Entra ID 控管 授權。 如需授權的詳細資訊,請參閱 Microsoft Entra ID 控管 授權基本概念

啟用角色指派

當Microsoft Entra 租使用者具有Microsoft Entra ID P2 或 Microsoft Entra ID 控管 授權時,具有作用中角色指派的使用者可以執行下列動作:

  • 在 [Microsoft項目標識符] 中開啟 [ 角色和系統管理員] 頁面,然後選取角色;
  • 開啟 Privileged Identity Management 頁面;
  • 使用 Microsoft Entra 角色 API 呼叫 PIM。

Microsoft Entra 會以下列方式為租使用者啟用 PIM:

  • 從立即開始,您可以建立Microsoft Entra 角色的合格或時間範圍指派;
  • 全域管理員或特殊許可權角色系統管理員可能會開始接收其他電子郵件,例如 PIM 每周摘要;
  • PIM 服務主體名稱 (MS–PIM) 可能會在與角色指派管理相關的稽核記錄事件中提及。

這些行為是預期的,而且應該不會影響您的工作流程。

準備適用於 Microsoft Entra 角色的 PIM

以下是建議您準備 Privileged Identity Management 以管理 Microsoft Entra 角色的工作:

  1. 設定Microsoft Entra 角色設定
  2. 提供合格的指派
  3. 允許合格的使用者啟用其 Microsoft Entra 角色 Just-In-Time

為 Azure 角色準備 PIM

以下是建議您準備 Privileged Identity Management 以管理訂用帳戶之 Azure 角色的工作:

  1. 探索 Azure 資源
  2. 設定 Azure 角色設定
  3. 提供合格的指派
  4. 允許合格使用者立即啟用其 Azure 角色

設定好 Privileged Identity Management 後,您就可以熟悉您的流程。

螢幕擷取畫面,其中顯示 Privileged Identity Management 中顯示 [工作] 和 [管理] 選項的導覽視窗。

工作 + 管理 描述
我的角色 顯示一個清單,列出已指派給您的合格和使用中角色。 您可以在這裡啟動任何指派的合格角色。
我的要求 顯示您啟動合格角色指派的任何擱置要求。
核准要求 顯示一個清單,列出您目錄中的使用者為了啟動合格角色所提出的要求,而此目錄是指定給您以進行核准的目錄。
檢閱存取 列出指派給您完成的使用中存取權檢閱 (無論您是在檢閱自己還是他人的存取權)。
Microsoft Entra 角色 顯示儀表板和設定,讓特殊權限角色管理員可管理 Microsoft Entra 資源角色指派。 對於任何不是特殊權限角色管理員的人員,系統會停用此儀表板。 這些使用者可以存取標題為 [我的檢視] 的特殊儀表板。 [我的檢視] 儀表板只會顯示存取儀表板的使用者,而非整個組織的相關資訊。
群組 管理群組中的 Just-In-Time 成員資格或群組的 Just-In-Time 擁有權。 群組可用來提供 Microsoft Entra 角色、Azure 角色和各種其他案例的存取權。 若要在 PIM 管理 Microsoft Entra 群組,您必須在 PIM 中將它納入管理。
Azure 資源 顯示儀表板和設定,讓特殊權限角色管理員可管理 Azure 資源角色指派。 對於任何不是特殊權限角色管理員的人員,系統會停用此儀表板。 這些使用者可以存取標題為 [我的檢視] 的特殊儀表板。 [我的檢視] 儀表板只會顯示存取儀表板的使用者,而非整個組織的相關資訊。
一般設定 選取允許對 PIM Microsoft Graph API 進行僅限應用程式呼叫的應用程式。

下一步