开始使用 Privileged Identity Management
本文介绍如何启用 Privileged Identity Management (PIM) 并开始使用它。
使用 Privileged Identity Management (PIM) 可管理、控制和监视 Microsoft Entra 组织内的访问。 使用 PIM,可以根据需要提供对 Azure 资源、Microsoft Entra 资源和其他 Microsoft 联机服务(如 Microsoft 365 或 Microsoft Intune)的实时访问。
先决条件
若要使用 Privileged Identity Management,则必须具有以下许可证之一:
- 使用 Privileged Identity Management 需要许可证。 有关许可的详细信息,请参阅 Microsoft Entra ID 治理许可基础知识。
有关详细信息,请参阅使用 Privileged Identity Management 的许可要求。
注意
具有 Premium P2 许可证的 Microsoft Entra 组织中的特权角色用户转到 Microsoft Entra ID 中的“角色和管理员”并选择一个角色(或甚至只是访问 Privileged Identity Management)时:
- 我们会自动为组织启用 PIM
- 他们现在可以分配“常规”的角色分配,也可以分配合格的角色分配
PIM 启用后,不会对组织造成任何其他影响,无需担心。 它为你提供了其他分配选项,例如具有开始和结束时间的“有效”和“合格”选项。 通过 PIM,你还可以使用管理单元和自定义角色来定义角色分配的范围。 如果你是全局管理员或特权角色管理员,你可能会开始收到其他一些电子邮件,例如 PIM 每周摘要。 你还可能会在与角色分配有关的审核日志中看到 MS-PIM 服务主体。 这是预期的变化,对工作流没有影响。
为 Microsoft Entra 角色准备 PIM
建议执行以下任务,以准备使用 Privileged Identity Management 来管理 Microsoft Entra 角色:
准备将 PIM 用于 Azure 角色
建议执行以下任务,以准备使用 Privileged Identity Management 来管理订阅的 Azure 角色:
导航到任务
设置 Privileged Identity Management 后,即可熟悉其用法。
任务 + 管理 | 说明 |
---|---|
我的角色 | 显示已向你分配的符合条件的活动角色列表。 可以在此处激活任何符合条件的已分配角色。 |
挂起的请求 | 显示要激活符合条件的角色分配的挂起的请求。 |
审批请求 | 按用户显示你的目录中指定由你进行审批的要激活符合条件的角色的请求列表。 |
审阅访问权限 | 列出指定要由你完成的活动访问审阅(无论你是审阅自己还是审阅其他人的访问权限)。 |
Microsoft Entra 角色 | 为特权角色管理员显示用来管理 Microsoft Entra 角色分配的仪表板和设置。 此仪表板对非特权角色管理员禁用。 这些用户可以访问标题为“我的视图”的特殊仪表板。 “我的视图”仪表板仅显示访问此仪表板的用户的相关信息,而非整个组织的相关信息。 |
Azure 资源 | 为特权角色管理员显示用来管理 Azure 资源角色分配的仪表板和设置。 此仪表板对非特权角色管理员禁用。 这些用户可以访问标题为“我的视图”的特殊仪表板。 “我的视图”仪表板仅显示访问此仪表板的用户的相关信息,而非整个组织的相关信息。 |