在 PIM 中啟用 Microsoft Entra 角色

Microsoft Entra Privileged Identity Management (PIM) 簡化了企業管理以特殊權限身分存取 Microsoft Entra ID 中的資源和其他 Microsoft 線上服務 (如 Microsoft 365 或 Microsoft Intune) 的方式。

如果您已符合系統管理角色 的資格 ，則必須在需要執行特殊許可權動作時 啟用 角色指派。 例如，如果您偶爾會管理 Microsoft 365 功能，則組織的特殊權限角色管理員可能不會讓您成為永久全域管理員，因為該角色也會影響其他服務。 他們反而會讓您符合 Microsoft Entra 角色 (例如 Exchange Online 管理員) 的資格。 您可以在需要權限時，要求啟用該角色，然後在預定的時段內擁有系統管理員控制權。

本文適用於需要在 Privileged Identity Management 中啟動其 Microsoft Entra 角色的系統管理員。 雖然任何使用者都可以透過 PIM 提交所需角色的要求，而無需擁有特殊權限角色管理員 (PRA) 角色，但此角色是管理和向組織內其他人指派角色所必需的。

重要

啟用角色時，Microsoft Entra PIM 會暫時新增該角色的作用中指派。 Microsoft Entra PIM 會在幾秒內建立作用中指派 (將使用者指派給角色)。 停用 (手動或透過啟用時間到期) 發生時，Microsoft Entra PIM 也會在幾秒鐘內移除作用中指派。

應用程式可能會根據使用者所擁有的角色來提供存取權。 在某些情況下，應用程式存取可能不會立即反映使用者獲得角色指派或已移除角色指派的事實。 如果應用程式先前快取了使用者沒有獲得角色指派的事實，當使用者再次嘗試存取應用程式時，則可能不會獲得存取權。 同樣地，如果應用程式先前快取了使用者具有角色的事實 – 當角色停用時，使用者仍可能會取得存取權。 特定情況取決於應用程式的架構。 對於某些應用程式，登出後重新登入可能有助於新增或移除存取權。

重要

如果啟用系統管理角色的使用者已登入行動裝置上的 Microsoft Teams，他們會收到 Teams 應用程式的通知，指出「開啟 Teams 以繼續接收電子郵件位址<的通知>」，或「<電子郵件位址>需要登入才能看到通知」。 用戶必須開啟Teams應用程式，才能繼續接收通知。 這行為是經過設計的。

必要條件

無

啟用角色

當您需要承擔Microsoft Entra 角色時，您可以在 Privileged Identity Management 中開啟 [我的角色 ] 來要求啟用。

注意

適用於 Microsoft Entra ID 和 Azure 資源角色的 Azure 行動應用程式 (iOS | Android) 現在可以使用 PIM。 輕鬆啟用符合資格的指派、針對即將到期的指派要求更新，或檢查擱置要求的狀態。 閱讀更多

1. 以具有合格角色指派的使用者身分登入 Microsoft Entra 系統管理中心 。

2. 流覽至 [標識符控管>特殊許可權身分識別管理>我的角色]。 如需如何將 Privileged Identity Management 圖格新增至儀錶板的資訊，請參閱 開始使用 Privileged Identity Management。

3. 選取 [Microsoft Entra 角色]，查看符合資格的 Microsoft Entra 角色清單。

   

4. 在 [Microsoft Entra 角色] 清單中，尋找您要啟用的角色。

   

5. 選取 [啟動] 以開啟 [啟動] 窗格。

   

6. 選取 [需要其他驗證]，並遵循指示來提供安全性驗證。 您的每個工作階段只需驗證一次。

   

7. 多重要素驗證之後，選取 [啟動然後再繼續]。

   

8. 如果您想要指定縮小的範圍，請選取 [範圍] 以開啟篩選窗格。 在 [篩選] 窗格上，您可以指定需要存取的 Microsoft Entra 資源。 最佳做法是要求存取您所需的最少資源。

9. 如有必要，請指定自訂啟用開始時間。 Microsoft Entra 角色會在選取的時間之後啟動。

10. 在 [原因] 方塊中輸入此啟用要求的原因。

11. 選取 [ 啟用]。

    如果 角色需要核准 才能啟用，瀏覽器右上角會出現通知，通知您要求擱置核准。

    

    使用 Microsoft Graph API 啟動角色

    如需適用於 PIM Microsoft Graph API 的詳細資訊，請參閱 透過特殊許可權身分識別管理 （PIM） API 的角色管理概觀。

    取得您可以啟動的所有合格角色

    當使用者透過群組成員資格取得其角色資格時，此 Microsoft Graph 要求並不會傳回其資格。

    HTTP 要求

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    HTTP 回應

    為了節省空間，我們只會顯示一個角色的回應，但會列出您可以啟動的所有合格角色指派。

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    透過理由自我啟用角色資格

    HTTP 要求

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    HTTP 回應

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

檢視啟動要求的狀態

您可以檢視要啟用的擱置要求狀態。

1. 以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [標識符治理>特殊許可權身分識別管理>我的要求]。

3. 當您選取 [我的要求] 時，會看到您的 Microsoft Entra 角色和 Azure 資源角色要求清單。

   

4. 捲動至右側可檢視 [要求狀態] 欄。

取消新版本的擱置中要求

如果您不需要啟動需要核准的角色，您可以隨時取消擱置中的要求。

1. 以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [標識符治理>特殊許可權身分識別管理>我的要求]。

3. 針對要取消的角色，選取 [取消] 連結。

   選取 [取消] 時，即會取消要求。 若要再次啟用角色，您必須提交新的啟用要求。

   

停用角色指派

啟用角色指派之後，PIM 入口網站中的該角色指派會顯示 [停用] 選項。 此外，您無法在啟動後的五分鐘內停用角色指派。

使用 Azure 行動應用程式啟用 PIM 角色

iOS 和 Android 中 Microsoft Entra ID 和 Azure 資源角色行動應用程式現在可以使用 PIM。

注意

登入的用戶必須在應用程式內使用此授權，才能使用作用中的 Premium P2 或 EMS E5 授權。

1. 若要啟用合格的Microsoft Entra 角色指派，請從下載 Azure 行動應用程式 （iOS | Android） 開始。 您也可以下載應用程式，請從 [Privileged Identity Management]>[我的角色]>[Microsoft Entra 角色] 中選取 [在行動裝置中開啟]。

   

2. 開啟 Azure 行動應用程式並登入。 選取 [Privileged Identity Management] 卡片，然後選取[我的 Microsoft Entra 角色]，以檢視您的合格和作用中角色指派。

   

3. 選取角色指派，然後按一下角色指派詳細資料底下的 [動作]>[啟用]。 請先完成啟用步驟，並填寫任何必要的詳細資料，然後才按一下在底部 [啟用]。

   

4. 在 [我的 Microsoft Entra 角色] 下方，檢視啟用要求的狀態和您的角色指派。

   

相關內容

• 檢視 Microsoft Entra 角色的稽核記錄

Microsoft Entra Privileged Identity Management (PIM) 簡化了企業管理以特殊權限身分存取 Microsoft Entra ID 中的資源和其他 Microsoft 線上服務 (如 Microsoft 365 或 Microsoft Intune) 的方式。

如果您已符合系統管理角色 的資格 ，則必須在需要執行特殊許可權動作時 啟用 角色指派。 例如，如果您偶爾會管理 Microsoft 365 功能，則組織的特殊權限角色管理員可能不會讓您成為永久全域管理員，因為該角色也會影響其他服務。 他們反而會讓您符合 Microsoft Entra 角色 (例如 Exchange Online 管理員) 的資格。 您可以在需要權限時，要求啟用該角色，然後在預定的時段內擁有系統管理員控制權。

本文適用於需要在 Privileged Identity Management 中啟動其 Microsoft Entra 角色的系統管理員。 雖然任何使用者都可以透過 PIM 提交所需角色的要求，而無需擁有特殊權限角色管理員 (PRA) 角色，但此角色是管理和向組織內其他人指派角色所必需的。

重要

啟用角色時，Microsoft Entra PIM 會暫時新增該角色的作用中指派。 Microsoft Entra PIM 會在幾秒內建立作用中指派 (將使用者指派給角色)。 停用 (手動或透過啟用時間到期) 發生時，Microsoft Entra PIM 也會在幾秒鐘內移除作用中指派。

應用程式可能會根據使用者所擁有的角色來提供存取權。 在某些情況下，應用程式存取可能不會立即反映使用者獲得角色指派或已移除角色指派的事實。 如果應用程式先前快取了使用者沒有獲得角色指派的事實，當使用者再次嘗試存取應用程式時，則可能不會獲得存取權。 同樣地，如果應用程式先前快取了使用者具有角色的事實 – 當角色停用時，使用者仍可能會取得存取權。 特定情況取決於應用程式的架構。 對於某些應用程式，登出後重新登入可能有助於新增或移除存取權。

重要

如果啟用系統管理角色的使用者已登入行動裝置上的 Microsoft Teams，他們會收到 Teams 應用程式的通知，指出「開啟 Teams 以繼續接收電子郵件位址<的通知>」，或「<電子郵件位址>需要登入才能看到通知」。 用戶必須開啟Teams應用程式，才能繼續接收通知。 這行為是經過設計的。

當您需要承擔Microsoft Entra 角色時，您可以在 Privileged Identity Management 中開啟 [我的角色 ] 來要求啟用。

注意

適用於 Microsoft Entra ID 和 Azure 資源角色的 Azure 行動應用程式 (iOS | Android) 現在可以使用 PIM。 輕鬆啟用符合資格的指派、針對即將到期的指派要求更新，或檢查擱置要求的狀態。 閱讀更多

1. 以具有合格角色指派的使用者身分登入 Microsoft Entra 系統管理中心 。

2. 流覽至 [標識符控管>特殊許可權身分識別管理>我的角色]。 如需如何將 Privileged Identity Management 圖格新增至儀錶板的資訊，請參閱 開始使用 Privileged Identity Management。

3. 選取 [Microsoft Entra 角色]，查看符合資格的 Microsoft Entra 角色清單。

   

4. 在 [Microsoft Entra 角色] 清單中，尋找您要啟用的角色。

   

5. 選取 [啟動] 以開啟 [啟動] 窗格。

   

6. 選取 [需要其他驗證]，並遵循指示來提供安全性驗證。 您的每個工作階段只需驗證一次。

   

7. 多重要素驗證之後，選取 [啟動然後再繼續]。

   

8. 如果您想要指定縮小的範圍，請選取 [範圍] 以開啟篩選窗格。 在 [篩選] 窗格上，您可以指定需要存取的 Microsoft Entra 資源。 最佳做法是要求存取您所需的最少資源。

9. 如有必要，請指定自訂啟用開始時間。 Microsoft Entra 角色會在選取的時間之後啟動。

10. 在 [原因] 方塊中輸入此啟用要求的原因。

11. 選取 [ 啟用]。

    如果 角色需要核准 才能啟用，瀏覽器右上角會出現通知，通知您要求擱置核准。

    

    使用 Microsoft Graph API 啟動角色

    如需適用於 PIM Microsoft Graph API 的詳細資訊，請參閱 透過特殊許可權身分識別管理 （PIM） API 的角色管理概觀。

    取得您可以啟動的所有合格角色

    當使用者透過群組成員資格取得其角色資格時，此 Microsoft Graph 要求並不會傳回其資格。

    HTTP 要求

    GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleEligibilityScheduleRequests/filterByCurrentUser(on='principal')  
    

    HTTP 回應

    為了節省空間，我們只會顯示一個角色的回應，但會列出您可以啟動的所有合格角色指派。

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(unifiedRoleEligibilityScheduleRequest)",
        "value": [
            {
                "@odata.type": "#microsoft.graph.unifiedRoleEligibilityScheduleRequest",
                "id": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "status": "Provisioned",
                "createdDateTime": "2022-04-12T18:26:08.843Z",
                "completedDateTime": "2022-04-12T18:26:08.89Z",
                "approvalId": null,
                "customData": null,
                "action": "adminAssign",
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
                "directoryScopeId": "/",
                "appScopeId": null,
                "isValidationOnly": false,
                "targetScheduleId": "50d34326-f243-4540-8bb5-2af6692aafd0",
                "justification": "Assign Attribute Assignment Admin eligibility to myself",
                "createdBy": {
                    "application": null,
                    "device": null,
                    "user": {
                        "displayName": null,
                        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                    }
                },
                "scheduleInfo": {
                    "startDateTime": "2022-04-12T18:26:08.8911834Z",
                    "recurrence": null,
                    "expiration": {
                        "type": "afterDateTime",
                        "endDateTime": "2024-04-10T00:00:00Z",
                        "duration": null
                    }
                },
                "ticketInfo": {
                    "ticketNumber": null,
                    "ticketSystem": null
                }
            }
        ]
    }
    

    透過理由自我啟用角色資格

    HTTP 要求

    POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
    
    {
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00.000Z",
            "expiration": {
                "type": "AfterDuration",
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

    HTTP 回應

    HTTP/1.1 201 Created
    Content-Type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
        "id": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "status": "Granted",
        "createdDateTime": "2022-04-13T08:52:32.6485851Z",
        "completedDateTime": "2022-04-14T00:00:00Z",
        "approvalId": null,
        "customData": null,
        "action": "selfActivate",
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "roleDefinitionId": "8424c6f0-a189-499e-bbd0-26c1753c96d4",
        "directoryScopeId": "/",
        "appScopeId": null,
        "isValidationOnly": false,
        "targetScheduleId": "911bab8a-6912-4de2-9dc0-2648ede7dd6d",
        "justification": "I need access to the Attribute Administrator role to manage attributes to be assigned to restricted AUs",
        "createdBy": {
            "application": null,
            "device": null,
            "user": {
                "displayName": null,
                "id": "071cc716-8147-4397-a5ba-b2105951cc0b"
            }
        },
        "scheduleInfo": {
            "startDateTime": "2022-04-14T00:00:00Z",
            "recurrence": null,
            "expiration": {
                "type": "afterDuration",
                "endDateTime": null,
                "duration": "PT5H"
            }
        },
        "ticketInfo": {
            "ticketNumber": "CONTOSO:Normal-67890",
            "ticketSystem": "MS Project"
        }
    }
    

您可以檢視要啟用的擱置要求狀態。

1. 以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [標識符治理>特殊許可權身分識別管理>我的要求]。

3. 當您選取 [我的要求] 時，會看到您的 Microsoft Entra 角色和 Azure 資源角色要求清單。

   

4. 捲動至右側可檢視 [要求狀態] 欄。

如果您不需要啟動需要核准的角色，您可以隨時取消擱置中的要求。

1. 以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [標識符治理>特殊許可權身分識別管理>我的要求]。

3. 針對要取消的角色，選取 [取消] 連結。

   選取 [取消] 時，即會取消要求。 若要再次啟用角色，您必須提交新的啟用要求。

   

啟用角色指派之後，PIM 入口網站中的該角色指派會顯示 [停用] 選項。 此外，您無法在啟動後的五分鐘內停用角色指派。

使用 Azure 行動應用程式啟用 PIM 角色

iOS 和 Android 中 Microsoft Entra ID 和 Azure 資源角色行動應用程式現在可以使用 PIM。

注意

登入的用戶必須在應用程式內使用此授權，才能使用作用中的 Premium P2 或 EMS E5 授權。

1. 若要啟用合格的Microsoft Entra 角色指派，請從下載 Azure 行動應用程式 （iOS | Android） 開始。 您也可以下載應用程式，請從 [Privileged Identity Management]>[我的角色]>[Microsoft Entra 角色] 中選取 [在行動裝置中開啟]。

   

2. 開啟 Azure 行動應用程式並登入。 選取 [Privileged Identity Management] 卡片，然後選取[我的 Microsoft Entra 角色]，以檢視您的合格和作用中角色指派。

   

3. 選取角色指派，然後按一下角色指派詳細資料底下的 [動作]>[啟用]。 請先完成啟用步驟，並填寫任何必要的詳細資料，然後才按一下在底部 [啟用]。

   

4. 在 [我的 Microsoft Entra 角色] 下方，檢視啟用要求的狀態和您的角色指派。