Microsoft Entra 角色的探索與深入解析(預覽版)(先前稱為安全性精靈)

如果您開始使用 Microsoft Entra ID 中的 Privileged Identity Management (PIM)來管理組織中的角色指派,您可以使用 [探索與深入解析] 頁面來開始使用。 這項功能會顯示誰被指派給組織中的特殊許可權角色,以及如何使用 PIM 將永久角色指派快速變更為 Just-In-Time 指派。 您可以在探索和深入解析中 檢視或變更永久特殊許可權角色指派(預覽)。 這是分析工具和動作工具。

探索和深入解析 (預覽)

在貴組織開始使用 Privileged Identity Management 之前,所有角色指派都是永久的。 即使使用者不需要其權限,也始終處於其指派的角色中。 取代先前安全性精靈的探索和深入解析(預覽)會顯示特殊許可權角色清單,以及目前在這些角色中的使用者數目。 如果其中一或多個使用者不熟悉,您可以列出角色的指派,以深入瞭解指派的使用者。

✔️ Microsoft 建議您 保留兩個永久指派給全域系統管理員角色的休息帳戶。 請確定這些帳戶不需要與您的一般系統管理帳戶相同的多重要素驗證機制來登入,如管理 Microsoft Entra ID 中的緊急存取帳戶中所述

此外,如果使用者擁有 Microsoft 帳戶,請保留角色指派永久(換句話說,他們用來登入 Skype 或 Outlook.com 等Microsoft 服務帳戶)。 如果您需要具備 Microsoft 帳戶的使用者進行多重要素驗證,才能啟用角色指派,使用者將會遭到鎖定。

開啟探索和深入解析 (預覽)

  1. 以至少具 特殊許可權的角色管理員 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至身 分識別治理 > 特殊許可權身分識別管理 > Microsoft Entra 角色 > 探索和深入解析(預覽版)。

  3. 開啟頁面會開始探索程式,以尋找相關的角色指派。

    Microsoft Entra roles - Discovery and insights page showing the 3 options

  4. 選取 [ 減少全域管理員 ]。

    Screenshot that shows the

  5. 檢閱全域 管理員istrator 角色指派的清單。

    Reduce global administrators - Roles pane showing all Global Administrators

  6. 選取 [下一步 ] 以選取您想要建立資格的使用者或群組,然後選取 [使符合資格 ] 或 [ 移除指派 ]。

    Convert members to eligible page with options to select members you want to make eligible for roles

  7. 您也可以要求所有全域管理員檢閱自己的存取權。

    Global administrators page showing access reviews section

  8. 選取上述任何變更之後,您會看到 Azure 通知。

  9. 然後,您可以選取 [排除常設存取 權] 或 [ 檢閱服務主體 ],以在其他特殊許可權角色和服務主體角色指派上重複上述步驟。 針對服務主體角色指派,您只能移除角色指派。

    Additional Insights options to eliminate standing access and review service principals

下一步