探索在 Privileged Identity Management 中管理的 Azure 資源
您可以使用 Microsoft Entra ID 中的 Privileged Identity Management (PIM)來改善 Azure 資源的保護。 這有助於:
- 已使用 Privileged Identity Management 保護 Microsoft Entra 角色的組織
- 嘗試保護生產資源的管理群組和訂用帳戶擁有者
當您第一次設定 Azure 資源的 Privileged Identity Management 時,您需要探索並選取您想要使用 Privileged Identity Management 保護的資源。 當您透過 Privileged Identity Management 探索資源時,PIM 會在資源上建立指派為使用者存取 管理員 istrator 的 PIM 服務主體 (MS-PIM)。 使用 Privileged Identity Management 可以管理的資源數量沒有限制。 但是,我們建議從最關鍵的生產資源開始。
注意
PIM 現在可以自動管理租使用者中的 Azure 資源,不需要上線。 更新的用戶體驗會使用最新的 PIM ARM API,以提升效能和粒度,以選擇您想要管理的正確範圍。
所需的權限
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
您可以檢視及管理您擁有 Microsoft.Authorization/roleAssignments/write 許可權的管理群組或訂用帳戶,例如使用者存取 管理員 istrator 或擁有者角色。 如果您不是訂用帳戶擁有者,而是全域 管理員 管理員,而且看不到要管理的任何 Azure 訂用帳戶或管理群組,則可以提升存取權來管理資源。
探索資源
以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心。
流覽至身分識別治理>Privileged Identity Management>Azure 資源。
如果這是您第一次針對 Azure 資源使用 Privileged Identity Management,您會看到 [ 探索資源 ] 頁面。
![[探索資源] 窗格的螢幕快照,其中未列出第一次體驗的資源。](media/pim-resource-roles-discover-resources/discover-resources-first-run.png)
如果組織中的另一位系統管理員已在 Privileged Identity Management 中管理 Azure 資源,您會看到目前正在管理的資源清單。
![[探索資源] 窗格的螢幕快照,其中列出目前正在管理的資源。](media/pim-resource-roles-discover-resources/discover-resources.png)
選取 [探索資源] 以啟動探索體驗。
在 [ 探索 ] 頁面上,使用 [資源狀態篩選 ] 和 [選取資源類型 ] 來篩選您擁有寫入許可權的管理群組或訂用帳戶。 最初即從 [所有] 開始可能最容易。
您可以搜尋並選取管理群組或訂用帳戶資源,以在 Privileged Identity Management 中管理。 當您在 Privileged Identity Management 中管理管理群組或訂用帳戶時,您也可以管理其子資源。
注意
當您將新的子 Azure 資源新增至 PIM 管理的管理群組時,您就可以在 PIM 中搜尋該子資源,使其成為受管理的子資源。
選取任何您想要管理的非受控資源。
選取 [管理資源] 以開始管理所選取的資源。 PIM 服務主體 (MS-PIM) 會指派為資源上的使用者存取 管理員 istrator。
注意
管理群組或訂閱設定為受控後,則無法再變為非受控狀態。 這可防止其他資源管理員移除 Privileged Identity Management 設定。
![已選取資源的探索窗格,並醒目提示 [管理資源] 選項](media/pim-resource-roles-discover-resources/discovery-manage-resource.png)
如果您看到一則訊息,以確認讓所選的資源上線以便管理時,請選取 [是]。 然後,PIM 會設定為管理資源下的所有新和現有子物件。
