如何配置 Microsoft Entra 特权身份管理 (PIM)

管理员需要访问组织才能执行任务。但是，您希望管理、控制和监控他们的特权访问。这时 Microsoft Entra PIM 就派上用场了。在本文中，您将了解如何配置 Microsoft Entra Privileged Identity Management (PIM)。

特权身份管理 (PIM) 是 Microsoft Entra ID 中的一项服务，使您能够管理、控制和监视对组织中重要资源的访问。这些资源包括 Microsoft Entra ID、Azure 和其他 Microsoft 在线服务（例如 Microsoft 365 或 Microsoft Intune）。

阅读更多：如何在 Microsoft Entra ID 中导出 PIM 角色

它提供基于时间和基于批准的角色激活，以降低对您关心的资源过度、不必要或滥用访问权限的风险。以下是特权身份管理的一些主要功能：

• 提供对 Microsoft Entra ID 和 Azure 资源的即时特权访问
• 使用开始日期和结束日期分配对资源的有时限的访问权限
• 需要批准才能激活特权角色
• 强制执行多重身份验证以激活任何角色
• 使用理由来了解用户激活的原因
• 当特权角色被激活时获取通知
• 进行访问审查以确保用户仍然需要角色
• 下载内部或外部审计的审计历史记录
• 防止删除最后一个活动的全局管理员和特权角色管理员角色分配

笔记：您需要 Microsoft Entra ID P2 才能使用 Microsoft Entra ID 中的特权身份管理功能。

设置 Microsoft Entra 特权身份管理

让我们了解如何分配角色、编辑角色设置以及通过以用户身份登录来使用 PIM 激活角色。

1. 分配角色

要将用户或当前管理员分配为特定 Microsoft Entra 角色的合格管理员，请执行以下步骤：

1. 登录到微软 Entra 管理中心
2. 扩张身份治理 > 特权身份管理
3. 点击微软输入角色

4. 点击角色

4. 点击添加作业

6. 选择角色您想要分配给成员或组的
7. 选择会员
8. 点击下一个

9. 点击分配

Microsoft Entra 角色已成功分配给用户。下一步，我们将研究角色设置。

2. 编辑角色设置

要在 Privileged Identity Management 中配置 Microsoft Entra 角色设置，请按照以下步骤操作：

1. 搜索角色您将成员添加到的
2. 选择角色

3. 点击角色设置

4. 点击编辑

5. 浏览激活设置并根据需要进行调整
6. 点击下一步：作业

7. 检查分配设置并根据需要进行调整
8. 点击下一篇：通知

9. 浏览通知设置并根据需要进行调整
10. 点击更新

现在您已将角色分配给成员并检查了角色设置，让我们看看下一步如何使用用户帐户激活角色。

3.激活角色

要在 Microsoft Entra 中使用 PIM 激活符合条件的管理员角色，请按照以下步骤操作：

1. 登录到微软 Entra 管理中心或访问特权身份管理 (PIM) 刀片直接地
2. 点击我的角色

笔记：我们建议限制对 Microsoft Entra 管理中心的访问。用户仍然可以访问 PIM 刀片来管理其特权访问。

3. 选择激活

4. 如果您尚未设置 MFA，则无法继续操作，并且您将看到一个通知栏，其中包含需要进行额外验证的警告
5. 点击继续

6. 完成MFA设置然后单击完毕
7. 您将被自动重定向到PIM 激活屏幕

8. 填写一个原因
9. 点击激活

10. 它将处理请求并激活角色

11. 激活完成后浏览器会自动刷新

12. 单击通知栏切换到活动分配列表

13. 验证状态显示活性并且那结束时间显示正确

就是这样！

结论

您了解了如何配置 Microsoft Entra 特权身份管理 (PIM)。不要以老式的方式向用户添加角色。但改为使用 PIM 为用户提供对 Microsoft Entra ID 和 Azure 资源的即时特权访问。这是管理、控制和监控对组织中重要资源的访问的出色功能。请记住，您需要 Microsoft Entra ID P2 许可证才能使用此功能。

您喜欢这篇文章吗？您可能还喜欢在 Microsoft Entra 和 PowerShell 中获取 MFA 状态。不要忘记关注我们并分享这篇文章。