你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

特权访问组的管理功能(预览版)

在 Privileged Identity Management (PIM) 中,现在可以针对特权访问组的成员资格或所有权分配资格。 从此预览版开始,可以将 Azure Active Directory (Azure AD) 内置角色分配给云组,并使用 PIM 管理组成员和所有者资格和激活。 有关 Azure AD 中可分配角色的组的详细信息,请参阅使用 Azure AD 组管理角色分配

重要

若要为一组用户提供实时访问权限,使之能够访问在 SharePoint、Exchange 或安全与合规中心具有权限的角色,请确保将用户永久分配到组,然后将该组分配到有资格进行激活的角色。 如果改将角色永久分配给组,并对用户进行分配,使之有资格获得组成员身份,则可能需要很长时间才能激活角色的所有权限并让其可供使用。

注意

对于用于提升为 Azure AD 角色的特权访问组,建议要求对符合条件的成员分配执行审批流程。 无需批准即可激活的分配可能带来来自权限级别较低的管理员的安全风险。 例如,支持管理员有权重置符合条件的用户的密码。

每个可分配角色的组需要不同的策略

某些组织使用 Azure AD 企业到企业 (B2B) 协作之类的工具邀请其合作伙伴作为来宾加入其 Azure AD 组织。 可以使用创建两个不同的特权访问组及其自己的策略,而不是为针对某个特权角色的所有分配使用单一的实时策略。 可以对受信任员工实施不太严格的要求,并在合作伙伴请求激活到其分配的角色时对他们实施更严格的要求。

在单个请求中激活多个角色分配

借助特权访问组预览版,可以为特定于工作负载的管理员提供通过单个实时请求快速访问多个角色的权限。 例如,第 0 层 Office 管理员可能需要实时访问 Exchange 管理员、Office 应用管理员、Teams 管理员和搜索管理员角色,以便每天都对事件进行彻底调查。 你可以创建一个名为“第 0 层 Office 管理员”的可分配角色组,使之有资格分配给前面提到的四个角色(或任何 Azure AD 内置角色),并在该组的“活动”部分允许它进行特权访问。 允许进行特权访问后,可以向组分配管理员和所有者。 当管理员将组提升到角色中后,员工将拥有来自所有四个 Azure AD 角色的权限。

扩展和续订组分配

在设置了受时间限制的所有者或成员分配之后,你可能提出的第一个问题是在分配到期后会出现什么情况? 在此新版本中,我们为此情形提供了两个选项:

  • 延期 – 当角色分配接近到期时,用户可以使用 Privileged Identity Management 请求对角色分配进行延期
  • 续订 – 当角色分配已到期时,用户可以使用 Privileged Identity Management 请求对角色分配进行续订

这两种用户启动的操作都需要全局管理员或特权角色管理员批准。 管理员不再需要负责管理这些到期情况。 他们可以只需等待延期或续订请求,并在请求有效时批准它们。

后续步骤