在 Privileged Identity Management 中設定 Azure 資源角色設定

當您設定 Azure 資源角色設定時,您會定義預設設定以套用至 Azure Active Directory (Azure AD) (屬於 Microsoft Entra) 中 Privileged Identity Management (PIM) 中的 Azure 角色指派。 請使用下列程序來設定核准工作流程,並指定可以核准或拒絕要求的人員。

開啟角色設定

請遵循下列步驟來開啟 Azure 資源角色的設定。

  1. 特殊權限角色管理員角色的使用者身分,登入 Azure 入口網站

  2. 開啟 [Azure AD Privileged Identity Management]。

  3. 選取 [Azure 資源]。

    注意

    核准者不需要獲派任何 Azure 或 Azure AD 角色。

  4. 選取您想要管理的資源,例如訂用帳戶或管理群組。

    列出可管理資源的 Azure 資源頁面

  5. 選取 [設定]。

    列出 Azure 資源角色的角色設定頁面

  6. 選取您想要設定其設定的角色。

    列出多個指派和啟用設定的角色設定詳細資料頁面

  7. 選取 [編輯] 以開啟 [編輯角色設定] 窗格。 第一個索引標籤可讓您更新 Privileged Identity Management 中角色啟用的設定。

    編輯已開啟 [啟用] 索引標籤的角色設定頁面

  8. 選取頁面底部的 [指派] 索引標籤或 [下一步:指派] 按鈕,以開啟 [指派設定] 索引標籤。這些設定會控制在 Privileged Identity Management 介面內進行的角色指派。

    角色設定頁面中的角色指派索引標籤

  9. 使用頁面底部的 [通知] 索引標籤或 [下一步:啟用] 按鈕,前往此角色的 [通知設定] 索引標籤。 這些設定會控制與此角色相關的所有電子郵件通知。

    角色設定頁面中的角色通知索引標籤

    在 [角色設定] 頁面的 [通知] 索引標籤中,Privileged Identity Management 可讓您更精確地控制接收通知的人員,以及他們所收到的通知。

    • 關閉電子郵件您可以清除預設收件者核取方塊並刪除任何其他收件者,以關閉特定電子郵件。

    • 將電子郵件限制為指定的電子郵件地址您可以清除預設收件者核取方塊,以關閉傳送給預設收件者的電子郵件。 然後,您可以將其他電子郵件地址新增為其他收件者。 如果您想要新增一個以上的電子郵件地址,請使用分號 (;) 加以區隔。

    • 將電子郵件傳送給預設收件者和其他收件者您可以選取預設收件者核取方塊,並新增其他收件者的電子郵件地址,將電子郵件傳送給預設收件者和其他收件者。

    • 僅限重要電子郵件針對每種類型的電子郵件,您可以選取核取方塊,只接收重要電子郵件。 這表示 Privileged Identity Management 只有在電子郵件需要立即採取行動時,才會繼續將電子郵件傳送給已設定的收件者。 例如,將會觸發要求系統管理員核准延伸要求的電子郵件,而不會觸發要求使用者延伸其角色指派的電子郵件。

  10. 隨時選取 [更新] 按鈕以更新角色設定。

指派持續時間

當您進行角色的設定時,每個指派類型 (合格和有效) 都有兩個指派持續時間選項可選擇。 將使用者指派給 Privileged Identity Management 中的角色後,這些選項就會變成預設的最長持續時間。

您可以從下列合格指派持續時間選項中選擇一個:

Description
允許永久合格的指派 資源管理員可以指派永久的合格指派資格。
合格指派的有效期限 資源管理員可以要求所有合格指派有指定的開始和結束日期。

此外,您可以從下列有效指派持續時間選項中選擇一個:

Description
允許永久有效的指派 資源管理員可以指派永久的作用中指派資格。
有效指派的有效期限 資源管理員可以要求所有有效指派有指定的開始和結束日期。

注意

資源管理員可以更新所有具有指定結束日期的指派。 此外,使用者員可以將自助服務要求初始化,以延長或更新角色指派

需要多重要素驗證

Privileged Identity Management 可針對兩個不同的案例選擇性地強制執行 Azure AD 多重要素驗證。

作用中指派時

此選項要求管理員必須先完成多重要素驗證,才能建立作用中的 (而非合格的) 角色指派。 Privileged Identity Management 無法在使用者啟用其角色指派時強制執行多重要素驗證,因為從指派角色起,使用者就已具備有效的角色。

若要在建立作用中角色指派時要求多重要素驗證,您可以勾選 [針對作用中指派要求多重要素驗證] 方塊,針對作用中指派強制執行多重要素驗證。

啟用時

您可以要求符合角色資格的使用者,證明他們使用 Azure AD 多重要素驗證之後才能啟動。 多重要素驗證可確保合理確定使用者是他們所聲稱的人員。 在使用者帳戶可能受到危害的情況下,強制執行這個選項可保護重要資源。

若要在啟用之前執行多重要素驗證,請核取 [啟用時需要多重要素驗證] 方塊。

如需詳細資訊,請參閱多重要素驗證和 Privileged Identity Management

啟用持續時間上限

使用 [啟用持續時間上限] 滑桿來設定角色指派的啟用要求在過期之前保持作用中狀態的最長時間 (以小時為單位)。 此值可以是 1 到 24 小時。

需要理由

您可以要求使用者在啟動時輸入業務理由。 若要要求提供理由,請核取 [進行有效指派時需要提供理由] 方塊,或核取 [啟用時需要提供理由] 方塊。

需要核准才可啟用

如果您想要在啟用角色前先經過核准,請遵循下列步驟。

  1. 請核取 [需要核准才可啟用] 核取方塊。

  2. 選取 [選取核准者] 以開啟 [選取成員或群組] 頁面。

    選取使用者或群組窗格以選取核准者

  3. 選取至少一個使用者或群組後,按一下 [選取]。 您可以新增任何使用者和群組的組合。 您必須至少選取一個核准者。 沒有任何預設核准者。

    您的選項將出現在所選取的核准者清單中。

  4. 指定所有角色設定後,選取 [更新] 以儲存變更。

後續步驟