共用方式為


在 Privileged Identity Management 中設定 Azure 資源角色設定

在 Microsoft Entra ID 的 Privileged Identity Management (PIM) (這是 Microsoft Entra 的一部分) 中,角色設定會定義角色指派屬性。 這些屬性包括啟用、指派持續時間上限和通知設定的多重要素驗證和核准需求。 本文說明如何設定角色設定,並設定核准工作流程,以指定可以核准或拒絕提高權限要求的人員。

您必須具有擁有者或使用者存取系統管理員角色,才能管理資源的 PIM 角色設定。 每個角色和每個資源會定義角色設定。 相同角色的所有指派都遵循相同的角色設定。 一個角色的角色設定與另一個角色的角色設定無關。 一個資源的角色設定與另一個資源的角色設定無關。 例如,在較高層級 (例如訂用帳戶) 上設定的角色設定,不會在較低層級 (例如資源群組) 繼承。

PIM 角色設定也稱為 PIM 原則。

開啟角色設定

若要開啟 Azure 資源角色的設定:

  1. 登入 Microsoft Entra 系統管理中心。

  2. 瀏覽至 [身分識別治理] > [Privileged Identity Management] > [Azure 資源]。 在此頁面上,您可以選取您想要管理 [資源類型]。 從 [管理群組] 下拉式清單或 [訂用帳戶] 下拉式清單開始,然後視需要進一步選取 [資源群組] 或 [資源]

    此螢幕擷取畫面顯示 Privileged Identity Management 中探索到的 Azure 資源清單。

  3. 選取您需要設定 PIM 角色設定的資源。

  4. 選取設定。 檢視所選資源的 PIM 原則清單。

    顯示所選資源 PIM 原則清單的螢幕擷取畫面。

  5. 選取您想要設定的角色或原則。

  6. 選取 [編輯] 以更新角色設定。

  7. 選取更新

角色設定

本節討論角色設定的選項。

啟用持續時間上限

使用 [啟用持續時間上限] 滑杆來設定角色指派的啟用要求在過期之前保持作用中狀態的最長時間 (以小時為單位)。 此值可以是 1 到 24 小時。

啟用時需要多重要素驗證

您可以要求符合角色資格的使用者,要先在 Microsoft Entra ID 中使用多重要素驗證功能來證明他們的身分之後才能啟用。 多重要素驗證有助於保護資料和應用程式的存取權。 這種驗證方式使用第二種形式的驗證,以增添另一層安全防護。

如果使用者已使用強認證進行驗證,或稍早在此工作階段中提供多重要素驗證,則可能不會提示使用者進行多重要素驗證。

若目標是確保使用者在啟用期間必須提供驗證,您可以搭配使用啟用時,需要 Microsoft Entra 條件式存取驗證內容驗證強度。 這些選項需要使用者在啟用期間使用不同於登入機器的方法來進行驗證。

例如,若使用者使用 Windows Hello 企業版登入機器,您可以使用啟用時,需要 Microsoft Entra 條件式存取驗證內容驗證強度,要求使用者在啟用角色時,使用 Microsoft Authenticator 執行無密碼登入。

在此範例中,使用者提供無密碼登入 Microsoft Authenticator 之後,便能夠在此工作階段中執行下一次啟用,而不需要再進一次驗證。 使用 Microsoft Authenticator 的無密碼登入已經是其權杖的一部分。

建議您為所有使用者啟用 Microsoft Entra ID 的多重要素驗證功能。 如需詳細資訊,請參閱規劃 Microsoft Entra 多重要素驗證部署

啟用時,需要 Microsoft Entra 條件式存取驗證內容

您可以要求符合角色資格的使用者,滿足條件式存取原則需求。 例如,您可以要求使用者使用透過「驗證強度」強制執行的特定驗證方法,從符合 Intune 規範的裝置提升角色,並遵守使用規定。

若要強制執行這項需求,您可以建立條件式存取驗證內容。

  1. 設定條件式存取原則,以強制執行此驗證內容的需求。

  2. 在角色的 PIM 設定中設定驗證內容。

    顯示 [編輯角色設定證明讀者] 頁面的螢幕擷取畫面。

如果 PIM 設定已設定啟用時,需要設定 Microsoft Entra 條件式存取驗證內容,則條件式存取原則會定義使用者必須符合哪些條件才能滿足存取需求。

這表示,具有管理條件式存取原則權限的安全性主體 (如條件式存取管理員或安全性管理員) 可以變更需求、移除它們或封鎖合格使用者啟動角色。 可以管理條件式存取原則的安全性主體應視為具有高度特殊權限的權限,並據以保護。

建議您在 PIM 設定中設定驗證內容之前,先建立並啟用驗證內容的條件式存取原則。 做為備份保護機制,如果租用戶中沒有任何條件式存取原則適用於 PIM 設定中所設定的驗證內容,則在 PIM 角色啟用期間需要 Microsoft Entra ID 中的多重要素驗證功能,因為會設定啟用時,需要多重要素驗證設定。

此備份保護機制的設計目的是僅防止發生因為設定錯誤而在建立條件式存取原則之前更新 PIM 設定的案例。 如果條件式存取原則已關閉、處於報告專用模式,或已從原則排除符合資格的使用者,則不會觸發此備份保護機制。

啟用時,需要 Microsoft Entra 條件式存取驗證內容設定會定義使用者在啟用角色時必須滿足的驗證內容需求。 啟用角色之後,使用者將無法使用另一個瀏覽工作階段、裝置或位置來使用權限。

例如,使用者可能會使用符合 Intune 規範的裝置來啟動角色。 然後,啟用角色之後,可能會從不符合 Intune 規範的另一部裝置登入相同的使用者帳戶,並從該處使用先前啟用的角色。

若要避免這種情況,您可以設定條件式存取原則的範圍,以直接對符合資格的使用者強制執行某些需求。 例如,您可以要求符合特定角色的使用者一律使用符合 Intune 規範的裝置。

若要深入了解條件式存取驗證內容,請參閱條件式存取:雲端應用程式、動作和驗證內容

啟用時需要理由

您可以要求使用者在啟用符合資格的指派時輸入業務理由。

啟用時需要票證資訊

您可以要求使用者在啟用符合資格的指派時輸入支援票證編號。 此選項是僅供參考欄位。 不會強制執行與任何票證系統中的資訊相互關聯。

需要核准才能啟用

您可以要求核准啟用符合資格的指派。 核准者不需要具有任何角色。 您使用此選項時,必須選取至少一個核准者。 建議您選取至少兩個核准者。 沒有任何預設核准者。

若要深入了解核准,請參閱針對 Privileged Identity Management 中的 Microsoft Entra 角色核准或拒絕要求

指派持續時間

設定角色時,每個指派類型都有兩個指派持續時間選項可選擇:[合格] 和 [有效]。 將使用者指派給 Privileged Identity Management 中的角色後,這些選項就會變成預設的最長持續時間。

您可以從下列合格指派持續時間選項中選擇一個。

設定 描述
允許永久符合資格指派 資源管理員可以指派永久合格指派。
合格指派的有效期限 資源管理員可以要求所有合格指派有指定的開始和結束日期。

此外,您也可以從下列有效指派持續時間選項中選擇一個。

設定 描述
允許永久使用中指派 資源管理員可以指派永久有效指派。
有效指派的有效期限 資源管理員可以要求所有有效指派有指定的開始和結束日期。

全域管理員和特殊權限角色管理員,可以更新具有指定結束日期的所有指派。 此外,使用者員可以將自助服務要求初始化,以延長或更新角色指派

要求為有效指派進行多重要素驗證

您可以要求系統管理員在建立有效 (而非合格) 指派時,提供多重要素驗證。 Privileged Identity Management 無法在使用者使用其角色指派時強制執行多重要素驗證,因為從指派角色時起,他們就已經在該角色中處於作用中狀態。

如果管理員已使用強認證進行驗證,或稍早在此工作階段中提供多重要素驗證,則可能不會提示使用者進行多重要素驗證。

使用中指派需要理由

您可以要求使用者在建立有效 (而非合格) 指派時,輸入業務理由。

在 [角色設定] 頁面的 [通知] 索引標籤中,Privileged Identity Management 可讓您更精確地控制接收通知的人員,以及他們所收到的通知。

  • 關閉電子郵件:您可以藉由清除 [預設收件者] 核取方塊並刪除任何其他收件者,來關閉特定的電子郵件。
  • 將電子郵件限制為指定的電子郵件地址:您可以清除預設收件者核取方塊來關閉傳送電子郵件給預設收件者。 然後,您可以新增其他電子郵件地址作為收件者。 若要新增一個以上的電子郵件地址,請使用分號 (;) 加以區隔。
  • 將電子郵件傳送給預設收件者及其他收件者:您可以將電子郵件同時傳送給預設收件者和另一個收件者。 選取預設收件者核取方塊,並新增其他收件者的電子郵件地址。
  • 僅限重要電子郵件:您可以為各類電子郵件選取核取方塊,用於僅接收重要電子郵件。 只有在電子郵件需要立即採取行動時,Privileged Identity Management 才會繼續傳送電子郵件給指定的收件者。 例如,不會觸發要求使用者延長其角色指派的電子郵件。 而是會觸發要求管理員核准延長要求的電子郵件。

注意

Privileged Identity Management 中的一個事件可以向多個收件者 (受託人、核准者或系統管理員) 產生電子郵件通知。 每個事件傳送的最大通知數為 1000。 如果收件者數超過 1000,則只有前 1000 位收件者會收到電子郵件通知。 這不會防止其他受託人、管理員或核准者在 Microsoft Entra ID 和 Privileged Identity Management 中使用他們的權限。

下一步