將 Azure AD PIM 中的角色指派Assign Azure AD roles in PIM

藉由 Azure Active Directory (Azure AD),可進行全域系統管理員永久Azure AD 系統管理員角色指派。With Azure Active Directory (Azure AD), a Global administrator can make permanent Azure AD admin role assignments. 您可以使用 Azure 入口網站或使用 PowerShell 命令來建立這些角色指派。These role assignments can be created using the Azure portal or using PowerShell commands.

Azure AD Privileged Identity Management (PIM) 服務也可讓特殊權限角色管理員用來將永久系統管理員角色指派。The Azure AD Privileged Identity Management (PIM) service also allows Privileged Role Administrators to make permanent admin role assignments. 此外,特殊權限角色管理員可以讓使用者合格的 Azure AD 系統管理員角色。Additionally, Privileged Role Administrators can make users eligible for Azure AD admin roles. 合格系統管理員可在需要時啟用角色,而在完成工作之後,其權限就隨即失效。An eligible administrator can activate the role when they need it, and then their permissions expire once they're done.

讓使用者有資格獲派角色Make a user eligible for a role

請遵循下列步驟來將使用者設為合格的 Azure AD 系統管理員角色。Follow these steps to make a user eligible for an Azure AD admin role.

  1. 以屬於特殊權限角色管理員角色一員的使用者身分登入 Azure 入口網站Sign in to Azure portal with a user that is a member of the Privileged Role Administrator role.

    如需如何授與其他系統管理員存取權以管理 PIM 的資訊,請參閱授與其他系統管理員存取權以管理 PIMFor information about how to grant another administrator access to manage PIM, see Grant access to other administrators to manage PIM.

  2. 開啟 Azure AD Privileged Identity ManagementOpen Azure AD Privileged Identity Management.

    如果您尚未在 Azure 入口網站中起始 PIM,請移至開始使用 PIMIf you haven't started PIM in the Azure portal yet, go to Start using PIM.

  3. 按一下 [Azure AD 角色] 。Click Azure AD roles.

  4. 按一下 [角色] 或 [成員] 。Click Roles or Members.

    Azure AD 角色的角色和成員的功能表選項反白顯示

  5. 按一下 [新增成員] 以開啟 [新增受控成員]。Click Add member to open Add managed members.

  6. 按一下 [選取角色] ,按一下您想要管理的角色,然後按一下 [選取] 。Click Select a role, click a role you want to manage, and then click Select.

    選取 [角色] 窗格列出 Azure AD 角色

  7. 按一下 [選取成員] ,選取您想要指派給角色的使用者,然後按一下 [選取] 。Click Select members, select the users you want to assign to the role, and then click Select.

    選取 [成員] 窗格中,您可以選取使用者

  8. 在 [新增受控成員] 中,按一下 [確定] 以將使用者新增至角色。In Add managed members, click OK to add the user to the role.

  9. 在角色清單中,按一下您剛才指派的角色,以查看成員清單。In the list of roles, click the role you just assigned to see the list of members.

    指派角色之後,您選取的使用者將會在成員清單中顯示為該角色的合格使用者。When the role is assigned, the user you selected will appear in the members list as Eligible for the role.

    列出角色的成員以及其啟用狀態

  10. 現在,使用者是符合該角色資格,讓他們知道他們可以根據中的指示啟用它啟用我的 Azure AD 角色,在 PIM 中Now that the user is eligible for the role, let them know that they can activate it according to the instructions in Activate my Azure AD roles in PIM.

    啟用期間,系統會要求合格的系統管理員註冊 Azure Multi-factor Authentication (MFA)。Eligible administrators are asked to register for Azure Multi-Factor Authentication (MFA) during activation. 如果使用者無法註冊MFA,或使用者使用的是 Microsoft 帳戶 (通常是 @outlook.com),您就需要將他們的所有角色設為永久。If a user cannot register for MFA, or is using a Microsoft account (usually @outlook.com), you need to make them permanent in all their roles.

設定永久角色指派Make a role assignment permanent

根據預設,新的使用者才符合 Azure AD 系統管理員角色的資格。By default, new users are only Eligible for an Azure AD admin role. 如果您想要設定永久角色指派,請遵循下列步驟。Follow these steps if you want to make a role assignment permanent.

  1. 開啟 Azure AD Privileged Identity ManagementOpen Azure AD Privileged Identity Management.

  2. 按一下 [Azure AD 角色] 。Click Azure AD roles.

  3. 按一下 [成員] 。Click Members.

    Azure AD 角色-成員 清單顯示角色和啟用狀態

  4. 按一下您想要設為永久的 [合格] 角色。Click an Eligible role that you want to make permanent.

  5. 按一下 [更多] ,然後按一下 [設為永久] 。Click More and then click Make perm.

    開啟窗格列出適用於具有更多的功能表選項之角色的使用者

    角色現在會列為永久The role is now listed as permanent.

    顯示現在是永久的角色和啟用狀態的 [成員] 清單

從角色移除使用者Remove a user from a role

您可以將使用者從角色指派中移除,但請務必一律至少保留一個永久全域系統管理員使用者。You can remove users from role assignments, but make sure there is always at least one user who is a permanent Global Administrator. 如果您不確定哪些使用者仍然需要其角色指派,您可以開始進行角色的存取權檢閱If you're not sure which users still need their role assignments, you can start an access review for the role.

請遵循下列步驟來從 Azure AD 系統管理員角色中移除特定的使用者。Follow these steps to remove a specific user from an Azure AD admin role.

  1. 開啟 Azure AD Privileged Identity ManagementOpen Azure AD Privileged Identity Management.

  2. 按一下 [Azure AD 角色] 。Click Azure AD roles.

  3. 按一下 [成員] 。Click Members.

    Azure AD 角色-清單顯示角色並啟用統計資料成員

  4. 按一下您想要移除的角色指派。Click a role assignment you want to remove.

  5. 按一下 [更多] ,然後按一下 [移除] 。Click More and then click Remove.

    開啟窗格列出使用者可永久的角色,以及更多的功能表選項

  6. 在要求您確認的訊息中,按一下 [是] 。In the message that asks you to confirm, click Yes.

    訊息詢問您是否要從角色移除成員

    已移除角色指派。The role assignment is removed.

指派角色時的授權錯誤Authorization error when assigning roles

如果您最近才啟用 PIM 訂用帳戶,而且當您嘗試將使用者設為合格的 Azure AD 系統管理員角色時,取得授權錯誤,它可能是因為 MS PIM 服務主體沒有適當的權限。If you recently enabled PIM for a subscription and you get an authorization error when you try to make a user eligible for an Azure AD admin role, it might be because the MS-PIM service principle does not yet have the appropriate permissions. MS-PIM 服務主體必須擁有使用者存取系統管理員角色,才能將角色指派給其他人。The MS-PIM service principle must have the User Access Administrator role to assign roles to others. 您不需等到系統為 MS-PIM 指派使用者存取系統管理員角色,可以改為手動指派。Instead of waiting until MS-PIM is assigned the User Access Administrator role, you can assign it manually.

遵循下列步驟,將使用者存取系統管理員角色指派給訂用帳戶的 MS-PIM 服務主體。Follow these steps to assign the User Access Administrator role to the MS-PIM service principal for a subscription.

  1. 以全域系統管理員身分登入 Azure 入口網站。Sign into the Azure portal as a Global Administrator.

  2. 選擇 [所有服務] ,然後選擇 [訂用帳戶] 。Choose All services and then Subscriptions.

  3. 選擇您的訂用帳戶。Choose your subscription.

  4. 選擇 [存取控制 (IAM)] 。Choose Access control (IAM).

  5. 選擇 [角色指派] ,以查看訂用帳戶範圍中目前的角色指派清單。Choose Role assignments to see the current list of role assignments at the subscription scope.

    訂用帳戶的存取控制 (IAM) 刀鋒視窗

  6. 檢查是否已為 MS-PIM 服務主體指派使用者存取系統管理員角色。Check whether the MS-PIM service principal is assigned the User Access Administrator role.

  7. 若未指派,請選擇 [新增角色指派] 以開啟 [新增角色指派] 窗格。If not, choose Add role assignment to open the Add role assignment pane.

  8. 在 [角色] 下拉式清單中,選取 [使用者存取系統管理員] 角色。In the Role drop-down list, select the User Access Administrator role.

  9. 在 [選取] 清單中,尋找並選取 [MS-PIM] 服務主體。In the Select list, find and select the MS-PIM service principal.

    新增角色指派 窗格-新增 MS PIM 服務主體的權限

  10. 選擇 [儲存] 以指派角色。Choose Save to assign the role.

    稍後片刻,即會在訂用帳戶範圍中,為 MS-PIM 服務主體指派使用者存取系統管理員角色。After a few moments, the MS-PIM service principal is assigned the User Access Administrator role at the subscription scope.

    存取控制 (IAM) 刀鋒視窗中顯示毫秒 pim 的角色指派的使用者存取系統管理員

後續步驟Next steps