Microsoft Entra 角色的探索與深入解析(預覽版)(先前稱為安全性精靈)
如果您開始使用 Microsoft Entra ID 中的 Privileged Identity Management (PIM)來管理組織中的角色指派,您可以使用 [探索與深入解析] 頁面來開始使用。 這項功能會顯示誰被指派給組織中的特殊許可權角色,以及如何使用 PIM 將永久角色指派快速變更為 Just-In-Time 指派。 您可以在探索和深入解析中檢視或變更永久特殊許可權角色指派(預覽)。 這是分析工具和動作工具。
探索與深入解析 (預覽)
在貴組織開始使用 Privileged Identity Management 之前,所有角色指派都是永久的。 即使使用者不需要其權限,也始終處於其指派的角色中。 取代先前安全性精靈的探索和深入解析(預覽)會顯示特殊許可權角色清單,以及目前在這些角色中的用戶數目。 如果其中一或多個使用者不熟悉,您可以列出角色的指派,以深入瞭解指派的使用者。
✔️ Microsoft 建議您 保留兩個永久指派給全域系統管理員角色的休息帳戶。 請確定這些帳戶不需要與您的一般系統管理帳戶相同的多重要素驗證機制來登入,如管理 Microsoft Entra ID 中的緊急存取帳戶中所述。
此外,如果使用者有 Microsoft 帳戶,請保留角色指派永久(換句話說,他們用來登入 Microsoft 服務,例如 Skype 或 Outlook.com)。 如果您需要具備 Microsoft 帳戶的用戶進行多重要素驗證,才能啟用角色指派,使用者將會遭到鎖定。
開啟探索與深入解析 (預覽)
以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心。
流覽至身分識別治理>特殊許可權身分識別管理>Microsoft Entra 角色>探索和深入解析(預覽版)。
開啟頁面會開始探索程式,以尋找相關的角色指派。
選取 [ 減少全域管理員]。
![此螢幕快照顯示已選取 [減少全域管理員] 動作的探索和深入解析 (預覽)。](media/pim-security-wizard/new-preview-page.png)
檢閱全域 管理員 istrator 角色指派的清單。
![顯示 [角色] 窗格的螢幕快照,其中顯示所有全域 管理員 istrators。](media/pim-security-wizard/new-global-administrator-list.png)
選取 [下一步] 以選取您想要建立資格的使用者或群組,然後選取 [使符合資格] 或 [移除指派]。
您也可以要求所有全域管理員檢閱自己的存取權。
![顯示 [全域管理員] 頁面的螢幕快照,其中顯示存取權檢閱區段。](media/pim-security-wizard/new-global-administrator-access-review.png)
選取上述任何變更之後,您會看到 Azure 通知。
然後,您可以選取 [排除常設存取權] 或 [檢閱服務主體],以在其他特殊許可權角色和服務主體角色指派上重複上述步驟。 針對服務主體角色指派,您只能移除角色指派。
