Azure AD 角色適用的「探索與見解」(預覽版) (先前為「安全性精靈」)

如果您在 Azure Active Directory (Azure AD) (屬於 Microsoft Entra) 中開始使用 Privileged Identity Management (PIM),若要管理貴組織的角色指派,您可使用 [探索與見解 (預覽版)] 頁面來開始。 這項功能會顯示您組織中受指派特殊權限角色的人員,以及如何使用 PIM 快速將永久角色指派變更為 Just-In-Time 指派。 您可以在「探索與見解 (預覽版)」中檢視或變更永久久特殊權限角色指派。 它是一種分析工具和動作工具。

探索與見解 (預覽版)

在您的組織開始使用 Privileged Identity Management 之前,所有的角色指派都是永久的。 使用者一律在其指派的角色中,即使他們不需要其權限亦是如此。 「探索與見解」(預覽版) 取代先前的「安全性精靈」,會顯示特殊權限角色清單,以及這些角色中目前的使用者數目。 如果有一或多個不熟悉的使用者,您可以列出角色指派,以深入了解指派的使用者。

✔️ Microsoft 建議您保留永久指派給全域管理員角色的兩個「急用」帳戶。 請確保這些帳戶不需要透過與一般管理帳戶相同的多重要素驗證機制來登入,如在 Azure AD 中管理緊急存取帳戶所述。

此外,如果使用者擁有 Microsoft 帳戶 (也就是其用來登入 Skype 和 Outlook.com 這類 Microsoft 服務的帳戶),請將角色指派保留為永久。 如果您對具有 Microsoft 帳戶的使用者要求多重要素驗證才能夠啟用角色指挀,則系統會將使用者鎖定。

開啟「探索與見解」(預覽版)

  1. 登入 Azure 入口網站

  2. 開啟 [Azure AD Privileged Identity Management]。

  3. 從左側的功能表選取 [Azure AD 角色],然後選取「探索與見解 (預覽版)」。 頁面開啟後便會開始探索程序,以尋找相關的角色指派。

    Azure AD 角色 - 探索與見解頁面,顯示 3 個選項

  4. 選取 [減少全域管理員]。

    螢幕擷取畫面:「探索與見解 (預覽版)」,已選取 [減少全域管理員人數] 動作。

  5. 檢閱全域管理員角色指派清單。

    減少全域管理員 - 角色窗格,顯示所有全域管理員

  6. 選取 [下一步] 以選取您要設為合格的使用者或群組,然後選取 [設為合格] 或 [移除指派]。

    將成員轉換為合格頁面,具有選取成員的選項,讓您選取要使其成為符合角色資格的成員

  7. 您也可以要求所有全域管理員檢閱自己的存取權。

    全域管理員頁面,顯示存取權檢閱區段

  8. 當您選取其中任何一項變更後,您會看到 Azure 通知。

  9. 然後,您可以選取 [排除常設存取] 或 [檢閱服務主體],在其他特殊權限權角色和服務主體角色指派上重複上述步驟。 針對服務主體角色指派,您只能移除角色指派。

    其他見解選項,用於去除進行中的存取和檢查服務主體

後續步驟