在 Privileged Identity Management 中設定 Microsoft Entra 角色設定
在 Microsoft Entra ID 中的 Privileged Identity Management (PIM) 中,角色設定會定義角色指派屬性。 這些屬性包括啟用、指派持續時間上限和通知設定的多重要素驗證和核准需求。 本文說明如何設定角色設定,並設定核准工作流程,以指定誰可以核准或拒絕提高許可權的要求。
您必須擁有全域 管理員 istrator 或 Privileged Role 管理員 istrator 角色,才能管理 Microsoft Entra 角色的 PIM 角色設定。 每個角色會定義角色設定。 相同角色的所有指派都遵循相同的角色設定。 一個角色的角色設定與另一個角色的角色設定無關。
PIM 角色設定也稱為 PIM 原則。
開啟角色設定
若要開啟 Microsoft Entra 角色的設定:
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
流覽至身分識別治理>Privileged Identity Management>Microsoft Entra 角色>角色。
在此頁面上,您會看到租使用者中可用的 Microsoft Entra 角色清單,包括內建和自定義角色。
選取您要設定其設定的角色。
選取 [ 角色設定]。 在 [ 角色設定 ] 頁面上,您可以檢視所選角色的目前 PIM 角色設定。
![顯示 [角色設定] 頁面的螢幕快照,其中包含更新指派和啟用設定的選項。](media/pim-how-to-change-default-settings/role-settings-edit.png)
選取 [ 編輯 ] 以更新角色設定。
選取更新。
![顯示 [角色設定] 頁面的螢幕快照,其中包含更新指派和啟用設定的選項。](media/pim-how-to-change-default-settings/role-settings-edit.png#lightbox)
角色設定
本節討論角色設定選項。
啟用持續時間上限
使用 [ 啟用持續時間上限 ] 滑桿來設定角色指派啟用要求在到期前保持作用中的時間上限,以小時為單位。 此值可以是 1 到 24 小時。
啟用時,需要多重要素驗證
您可以要求符合角色資格的使用者,先使用 Microsoft Entra ID 中的多重要素驗證功能來證明他們是誰,才能啟用。 多重要素驗證有助於保護數據和應用程式的存取。 它會使用第二種形式的驗證來提供另一層安全性。
如果使用者使用強式認證進行驗證,或先前在會話中提供多重要素驗證,則可能不會提示用戶進行多重要素驗證。
如果您的目標是確保使用者必須在啟用期間提供驗證,您可以使用 啟用時,使用 Microsoft Entra 條件式存取驗證內容 以及 驗證強度。 這些選項會要求使用者在啟用期間使用不同於用來登入計算機的方法進行驗證。
例如,如果使用者使用 Windows Hello 企業版 登入計算機,您可以使用 On activation,需要 Microsoft Entra 條件式存取驗證內容和驗證強度。 此選項會要求使用者在啟用角色時,使用 Microsoft Authenticator 執行無密碼登入。
在此範例中,使用者提供無密碼登入與 Microsoft Authenticator 一次之後,他們可以在此會話中執行下一次啟用,而不需要另一個驗證。 使用 Microsoft Authenticator 進行無密碼登入已經是其令牌的一部分。
建議您為所有用戶啟用 Microsoft Entra ID 的多重要素驗證功能。 如需詳細資訊,請參閱 規劃 Microsoft Entra 多重要素驗證部署。
啟用時,需要 Microsoft Entra 條件式存取驗證內容
您可以要求符合角色資格的使用者,以滿足條件式存取原則需求。 例如,您可以要求使用者使用透過驗證強度強制執行的特定驗證方法、從符合 Intune 規範的裝置提高角色,以及遵守使用規定。
若要強制執行這項需求,您可以建立條件式存取驗證內容。
設定條件式存取原則,以強制執行此驗證內容的需求。
條件式存取原則的範圍應包含角色的所有或合格使用者。 請勿同時建立限定為驗證內容和目錄角色的條件式存取原則。 在啟用期間,用戶還沒有角色,因此條件式存取原則不會套用。
請參閱本節結尾的步驟,以瞭解您可能需要兩個條件式存取原則的情況。 其中一個必須限定於驗證內容,另一個必須限定於角色。
在角色的 PIM 設定中設定驗證內容。
![顯示 [編輯角色] 設定 - [屬性定義] 管理員 istrator 頁面的螢幕快照。](media/pim-how-to-change-default-settings/role-settings-page.png)
![顯示 [編輯角色] 設定 - [屬性定義] 管理員 istrator 頁面的螢幕快照。](media/pim-how-to-change-default-settings/role-settings-page.png#lightbox)
如果 PIM 設定具有 啟用時,需要設定 Microsoft Entra 條件式存取驗證內容 ,條件式存取原則會定義用戶必須符合的條件,才能滿足存取需求。
這表示具有管理條件式存取原則許可權的安全性主體,例如條件式存取系統管理員或安全性系統管理員,可以變更需求、移除它們,或封鎖合格用戶啟動角色。 可以管理條件式存取原則的安全性主體應該視為高度特殊許可權並據以保護。
建議您在 PIM 設定中設定驗證內容之前,先建立並啟用驗證內容的條件式存取原則。 做為備份保護機制,如果在租用戶中沒有條件式存取原則,以 PIM 設定中設定的驗證內容為目標,在 PIM 角色啟用期間,Microsoft Entra ID 中的多重要素驗證功能是必要的,因為 啟用時需要設定多重要素驗證 設定。
此備份保護機制的設計目的是在建立條件式存取原則之前,只保護 PIM 設定因為設定錯誤而更新的案例。 如果條件式存取原則已關閉、處於僅限報表模式,或已從原則排除合格使用者,則不會觸發此備份保護機制。
啟用 時,需要 Microsoft Entra 條件式存取驗證內容 設定,定義使用者啟用角色時必須滿足的驗證內容需求。 啟用角色之後,用戶將無法使用另一個瀏覽會話、裝置或位置來使用許可權。
例如,使用者可能會使用符合 Intune 規範的裝置來啟動角色。 然後,在啟動角色之後,他們可能會從不符合 Intune 規範的另一部裝置登入相同的用戶帳戶,並從該處使用先前啟用的角色。
若要避免這種情況,請建立兩個條件式存取原則:
- 第一個條件式存取原則的目標是驗證內容。 它應該在其範圍內擁有所有使用者或合格的使用者。 此原則會指定用戶必須符合才能啟用角色的需求。
- 第二個條件式存取原則的目標是目錄角色。 此原則會指定用戶必須符合以啟用目錄角色登入的需求。
這兩個原則都可以根據您的需求強制執行相同或不同的需求。
另一個選項是設定條件式存取原則的範圍,以直接對合格使用者強制執行特定需求。 例如,您可以要求符合特定角色資格的使用者一律使用符合 Intune 規範的裝置。
若要深入瞭解條件式存取驗證內容,請參閱 條件式存取:雲端應用程式、動作和驗證內容。
啟用時需要理由
您可以要求使用者在啟用合格指派時輸入業務理由。
啟用時需要票證資訊
您可以要求使用者在啟用合格指派時輸入支援票證號碼。 此選項是僅限資訊欄位。 不會強制執行與任何票證系統中的資訊相互關聯。
需要核准才能啟用
您可以要求核准啟用合格指派。 核准者不需要有任何角色。 當您使用此選項時,必須至少選取一個核准者。 建議您至少選取兩個核准者。 如果未選取任何特定的核准者,特殊許可權角色管理員/全域管理員將會成為預設核准者。
若要深入瞭解核准,請參閱 Privileged Identity Management 中 Microsoft Entra 角色的核准或拒絕要求。
工作分派持續時間
當您設定角色的設定時,可以選擇每個指派類型的兩個指派持續時間選項: 合格 且 作用中。 當使用者被指派給 Privileged Identity Management 中的角色時,這些選項會成為預設的最大持續時間。
您可以選擇其中一個合格的指派持續時間選項。
| 設定 | 描述 |
|---|---|
| 允許永久符合資格指派 | 資源管理員可以指派永久合格指派。 |
| 在之後到期合格指派 | 資源管理員可以要求所有合格指派都有指定的開始和結束日期。 |
您也可以選擇其中一個作用中的指派持續時間選項。
| 設定 | 描述 |
|---|---|
| 允許永久使用中指派 | 資源管理員可以指派永久的作用中指派。 |
| 到期后的作用中指派 | 資源管理員可以要求所有使用中指派都有指定的開始和結束日期。 |
具有指定結束日期的所有指派都可以由全域管理員和特殊許可權角色管理員更新。 此外,使用者可以起始自助式要求,以 擴充或更新角色指派。
需要使用中指派的多重要素驗證
您可以要求系統管理員在建立作用中(而不是符合資格)指派時提供多重要素驗證。 當使用者使用角色指派時,Privileged Identity Management 無法強制執行多重要素驗證,因為從指派角色起就已經在角色中。
如果系統管理員已使用強認證進行驗證,或在此會話稍早提供多重要素驗證,系統可能不會提示進行多重要素驗證。
使用中指派需要理由
您可以要求使用者在建立作用中(而不是符合資格)指派時輸入業務理由。
在 [角色設定] 頁面上的 [通知] 索引標籤上,Privileged Identity Management 可讓您更精細地控制接收通知的人員及其接收的通知。 下列選項可供您選擇:
- 關閉電子郵件:您可以清除預設收件者複選框並刪除任何其他收件者,以關閉特定電子郵件。
- 將電子郵件限制為指定的電子郵件位址:您可以清除預設收件者複選框來關閉傳送給預設收件者的電子郵件。 然後,您可以將其他電子郵件位址新增為收件者。 如果您想要新增多個電子郵件位址,請使用分號來分隔它們(;)。
- 將電子郵件傳送給預設收件者及更多收件者:您可以將電子郵件傳送給預設收件者和另一個收件者。 選取預設收件者複選框,並新增其他收件者的電子郵件位址。
- 僅限重大電子郵件:針對每種類型的電子郵件,您可以選取複選框,只接收重要電子郵件。 使用此選項時,Privileged Identity Management 只有在電子郵件需要立即採取行動時,才會繼續將電子郵件傳送給指定的收件者。 例如,不會觸發要求用戶延長其角色指派的電子郵件。 觸發需要系統管理員核准擴充功能要求的電子郵件。
注意
Privileged Identity Management 中的一個事件可以產生電子郵件通知給多個收件者 – 被指派者、核准者或系統管理員。 每個事件傳送的通知數目上限為 1000。 如果收件者數目超過 1000,則只有前 1000 位收件者會收到電子郵件通知。 這不會防止其他被指派者、系統管理員或核准者在 Microsoft Entra ID 和 Privileged Identity Management 中使用其許可權。
使用 Microsoft Graph 管理角色設定
若要在 Microsoft Graph 中使用 PIM API 來管理 Microsoft Entra 角色的設定,請使用 unifiedRoleManagementPolicy 資源類型和相關方法。
在 Microsoft Graph 中,角色設定稱為規則。 他們會透過容器原則指派給 Microsoft Entra 角色。 每個 Microsoft Entra 角色都會獲派特定的原則物件。 您可以擷取範圍為 Microsoft Entra 角色的所有原則。 針對每個原則,您可以使用查詢參數來擷取相關聯的規則 $expand 集合。 要求的語法如下所示:
GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules
如需如何在 Microsoft Graph 中透過 PIM API 管理角色設定的詳細資訊,請參閱 角色設定和 PIM。 如需如何更新規則的範例,請參閱 使用 Microsoft Graph 更新 PIM 中的規則。