开始使用 Privileged Identity Management

本文介绍如何启用 Privileged Identity Management (PIM) 并开始使用它。

使用 Privileged Identity Management (PIM) 可管理、控制和监视 Microsoft Entra 组织内的访问。 使用 PIM,可以根据需要提供对 Azure 资源、Microsoft Entra 资源和其他 Microsoft 联机服务(如 Microsoft 365 或 Microsoft Intune)的实时访问。

先决条件

若要使用 Privileged Identity Management,则必须具有以下许可证之一:

有关详细信息,请参阅使用 Privileged Identity Management 的许可要求

注意

具有 Premium P2 许可证的 Microsoft Entra 组织中的特权角色用户转到 Microsoft Entra ID 中的“角色和管理员”并选择一个角色(或甚至只是访问 Privileged Identity Management)时:

  • 我们会自动为组织启用 PIM
  • 他们现在可以分配“常规”的角色分配,也可以分配合格的角色分配

PIM 启用后,不会对组织造成任何其他影响,无需担心。 它为你提供了其他分配选项,例如具有开始和结束时间的“有效”和“合格”选项。 通过 PIM,你还可以使用管理单元和自定义角色来定义角色分配的范围。 如果你是全局管理员或特权角色管理员,你可能会开始收到其他一些电子邮件,例如 PIM 每周摘要。 你还可能会在与角色分配有关的审核日志中看到 MS-PIM 服务主体。 这是预期的变化,对工作流没有影响。

为 Microsoft Entra 角色准备 PIM

建议执行以下任务,以准备使用 Privileged Identity Management 来管理 Microsoft Entra 角色:

  1. 配置 Microsoft Entra 角色设置
  2. 指定符合条件的分配
  3. 允许符合条件的用户实时激活其 Microsoft Entra 角色

准备将 PIM 用于 Azure 角色

建议执行以下任务,以准备使用 Privileged Identity Management 来管理订阅的 Azure 角色:

  1. 发现 Azure 资源
  2. 配置 Azure 角色设置
  3. 指定符合条件的分配
  4. 允许符合条件的用户实时激活其 Azure 角色

设置 Privileged Identity Management 后,即可熟悉其用法。

Navigation window in Privileged Identity Management showing Tasks and Manage options

任务 + 管理 说明
我的角色 显示已向你分配的符合条件的活动角色列表。 可以在此处激活任何符合条件的已分配角色。
挂起的请求 显示要激活符合条件的角色分配的挂起的请求。
审批请求 按用户显示你的目录中指定由你进行审批的要激活符合条件的角色的请求列表。
审阅访问权限 列出指定要由你完成的活动访问审阅(无论你是审阅自己还是审阅其他人的访问权限)。
Microsoft Entra 角色 为特权角色管理员显示用来管理 Microsoft Entra 角色分配的仪表板和设置。 此仪表板对非特权角色管理员禁用。 这些用户可以访问标题为“我的视图”的特殊仪表板。 “我的视图”仪表板仅显示访问此仪表板的用户的相关信息,而非整个组织的相关信息。
Azure 资源 为特权角色管理员显示用来管理 Azure 资源角色分配的仪表板和设置。 此仪表板对非特权角色管理员禁用。 这些用户可以访问标题为“我的视图”的特殊仪表板。 “我的视图”仪表板仅显示访问此仪表板的用户的相关信息,而非整个组织的相关信息。

后续步骤