在 Privileged Identity Management 中設定 Azure 資源角色設定
在 Microsoft Entra ID 中的 Privileged Identity Management (PIM) 中,角色設定會定義角色指派屬性。 這些屬性包括啟用、指派持續時間上限和通知設定的多重要素驗證和核准需求。 本文說明如何設定角色設定,並設定核准工作流程,以指定誰可以核准或拒絕提高許可權的要求。
您必須擁有擁有者或使用者存取 管理員 istrator 角色,才能管理資源的 PIM 角色設定。 每個角色和每個資源會定義角色設定。 相同角色的所有指派都遵循相同的角色設定。 一個角色的角色設定與另一個角色的角色設定無關。 一個資源的角色設定與另一個資源的角色設定無關。 例如,在較高層級上設定的角色設定,例如訂用帳戶,不會在較低層級繼承,例如資源群組。
PIM 角色設定也稱為 PIM 原則。
開啟角色設定
若要開啟 Azure 資源角色的設定:
流覽至身分識別治理>Privileged Identity Management>Azure 資源。 在此頁面上,您可以選取 您想要管理的資源類型 。 從 [管理群組] 下拉式清單或 [訂用帳戶] 下拉式列表開始,然後視需要選取 [資源群組] 或 [資源]。
選取您需要設定 PIM 角色設定的資源。
選取設定。 檢視所選資源的 PIM 原則清單。
選取您想要設定的角色或原則。
選取 [ 編輯 ] 以更新角色設定。
選取更新。
角色設定
本節討論角色設定的選項。
啟用持續時間上限
使用 [ 啟用持續時間上限 ] 滑桿來設定角色指派啟用要求在到期前保持作用中的時間上限,以小時為單位。 此值可以是 1 到 24 小時。
啟用時,需要多重要素驗證
您可以要求符合角色資格的使用者,先使用 Microsoft Entra ID 中的多重要素驗證功能來證明他們是誰,才能啟用。 多重要素驗證有助於保護數據和應用程式的存取。 它會使用第二種形式的驗證來提供另一層安全性。
如果使用者已使用強認證進行驗證,或在此會話稍早提供多重要素驗證,則可能不會提示用戶進行多重要素驗證。
如果您的目標是確保使用者必須在啟用期間提供驗證,您可以使用 啟用時,使用 Microsoft Entra 條件式存取驗證內容 以及 驗證強度。 這些選項會要求使用者在啟用期間使用不同於用來登入計算機的方法進行驗證。
例如,如果使用者使用 Windows Hello 企業版 登入計算機,您可以使用 [啟用時],要求 Microsoft Entra 條件式存取驗證內容和驗證強度要求使用者在啟用角色時,使用 Microsoft Authenticator 執行無密碼登入。
在此範例中,使用者提供無密碼登入與 Microsoft Authenticator 一次之後,他們可以在此會話中執行下一次啟用,而不需要另一個驗證。 使用 Microsoft Authenticator 進行無密碼登入已經是其令牌的一部分。
建議您為所有用戶啟用 Microsoft Entra ID 的多重要素驗證功能。 如需詳細資訊,請參閱 規劃 Microsoft Entra 多重要素驗證部署。
啟用時,需要 Microsoft Entra 條件式存取驗證內容
您可以要求符合角色資格的使用者,以滿足條件式存取原則需求。 例如,您可以要求使用者使用透過驗證強度強制執行的特定驗證方法、從符合 Intune 規範的裝置提高角色,以及遵守使用規定。
若要強制執行這項需求,您可以建立條件式存取驗證內容。
設定條件式存取原則,以強制執行此驗證內容的需求。
在角色的 PIM 設定中設定驗證內容。
如果 PIM 設定具有 啟用時,需要設定 Microsoft Entra 條件式存取驗證內容 ,條件式存取原則會定義用戶必須符合的條件,才能滿足存取需求。
這表示具有管理條件式存取原則許可權的安全性主體,例如條件式存取系統管理員或安全性系統管理員,可以變更需求、移除它們,或封鎖合格用戶啟動角色。 可以管理條件式存取原則的安全性主體應該視為高度特殊許可權並據以保護。
建議您在 PIM 設定中設定驗證內容之前,先建立並啟用驗證內容的條件式存取原則。 做為備份保護機制,如果在租用戶中沒有條件式存取原則,以 PIM 設定中設定的驗證內容為目標,在 PIM 角色啟用期間,Microsoft Entra ID 中的多重要素驗證功能是必要的,因為 啟用時需要設定多重要素驗證 設定。
此備份保護機制的設計目的是在建立條件式存取原則之前,只保護 PIM 設定因為設定錯誤而更新的案例。 如果條件式存取原則已關閉、處於僅限報表模式,或已從原則排除合格使用者,則不會觸發此備份保護機制。
啟用 時,需要 Microsoft Entra 條件式存取驗證內容 設定,定義使用者啟用角色時必須滿足的驗證內容需求。 啟用角色之後,用戶將無法使用另一個瀏覽會話、裝置或位置來使用許可權。
例如,使用者可能會使用符合 Intune 規範的裝置來啟動角色。 然後,在啟動角色之後,他們可能會從不符合 Intune 規範的另一部裝置登入相同的用戶帳戶,並從該處使用先前啟用的角色。
若要避免這種情況,您可以設定條件式存取原則的範圍,以直接強制執行合格使用者的特定需求。 例如,您可以要求符合特定角色資格的使用者一律使用符合 Intune 規範的裝置。
若要深入瞭解條件式存取驗證內容,請參閱 條件式存取:雲端應用程式、動作和驗證內容。
啟用時需要理由
您可以要求使用者在啟用合格指派時輸入業務理由。
啟用時需要票證資訊
您可以要求使用者在啟用合格指派時輸入支援票證號碼。 此選項是僅限資訊欄位。 不會強制執行與任何票證系統中的資訊相互關聯。
需要核准才能啟用
您可以要求核准啟用合格指派。 核准者不需要有任何角色。 當您使用此選項時,必須至少選取一個核准者。 建議您至少選取兩個核准者。 沒有預設核准者。
若要深入瞭解核准,請參閱 Privileged Identity Management 中 Microsoft Entra 角色的核准或拒絕要求。
工作分派持續時間
當您設定角色的設定時,可以選擇每個指派類型的兩個指派持續時間選項: 合格 且 作用中。 當使用者被指派給 Privileged Identity Management 中的角色時,這些選項會成為預設的最大持續時間。
您可以選擇其中一個合格的指派持續時間選項。
| 設定 | 描述 |
|---|---|
| 允許永久符合資格指派 | 資源管理員可以指派永久合格指派。 |
| 在之後到期合格指派 | 資源管理員可以要求所有合格指派都有指定的開始和結束日期。 |
您也可以選擇其中一個作用中的指派持續時間選項。
| 設定 | 描述 |
|---|---|
| 允許永久使用中指派 | 資源管理員可以指派永久的作用中指派。 |
| 到期后的作用中指派 | 資源管理員可以要求所有使用中指派都有指定的開始和結束日期。 |
具有指定結束日期的所有指派都可以由全域管理員和特殊許可權角色管理員更新。 此外,使用者可以起始自助式要求,以 擴充或更新角色指派。
需要使用中指派的多重要素驗證
您可以要求系統管理員在建立作用中(而不是符合資格)指派時,提供多重要素驗證。 當使用者使用角色指派時,Privileged Identity Management 無法強制執行多重要素驗證,因為從指派角色起就已經在角色中。
如果系統管理員已使用強認證進行驗證,或在此會話稍早提供多重要素驗證,系統可能不會提示進行多重要素驗證。
使用中指派需要理由
您可以要求使用者在建立作用中(而不是符合資格)指派時輸入業務理由。
在 [角色設定] 頁面上的 [通知] 索引標籤上,Privileged Identity Management 可讓您更精細地控制接收通知的人員及其接收的通知。
- 關閉電子郵件:您可以清除預設收件者複選框並刪除任何其他收件者,以關閉特定電子郵件。
- 將電子郵件限制為指定的電子郵件位址:您可以清除預設收件者複選框來關閉傳送給預設收件者的電子郵件。 然後,您可以將其他電子郵件位址新增為收件者。 如果您想要新增多個電子郵件位址,請使用分號來分隔它們(;)。
- 將電子郵件傳送給預設收件者及更多收件者:您可以將電子郵件傳送給預設收件者和另一個收件者。 選取預設收件者複選框,並新增其他收件者的電子郵件位址。
- 僅限重大電子郵件:針對每種類型的電子郵件,您可以選取複選框,只接收重要電子郵件。 只有在電子郵件需要立即採取行動時,Privileged Identity Management 才會繼續傳送電子郵件給指定的收件者。 例如,不會觸發要求用戶延長其角色指派的電子郵件。 觸發需要系統管理員核准擴充功能要求的電子郵件。
注意
Privileged Identity Management 中的一個事件可以產生電子郵件通知給多個收件者 – 被指派者、核准者或系統管理員。 每個事件傳送的通知數目上限為 1000。 如果收件者數目超過 1000,則只有前 1000 位收件者會收到電子郵件通知。 這不會防止其他被指派者、系統管理員或核准者在 Microsoft Entra ID 和 Privileged Identity Management 中使用其許可權。