可以在 Microsoft Entra ID 中使用 Privileged Identity Management (PIM) 来改进对 Azure 资源的保护。 这有助于:
- 已经使用 Privileged Identity Management 来保护 Microsoft Entra 角色的组织
- 正在尝试保护生产资源的管理组和订阅所有者
首次为 Azure 资源设置 Privileged Identity Management 时,需要发现并选择要使用 Privileged Identity Management 保护的资源。 通过 Privileged Identity Management 发现资源时,PIM 会创建 PIM 服务主体 (MS-PIM),将其分配为资源的用户访问管理员。 可使用 Privileged Identity Management 管理的资源数量没有限制。 但是,我们建议从最关键的生产资源开始。
注意
PIM 现在可以自动管理租户中的 Azure 资源,无需加入。 更新后的用户体验使用最新的 PIM ARM API,从而在选择要管理的正确范围时提高性能和粒度。
所需的权限
你可以查看和管理你拥有其 Microsoft.Authorization/roleAssignments/write 权限的管理组或订阅,例如“用户访问管理员”或“所有者”角色。 如果你不是订阅所有者,而是全局管理员,并且看不到要管理的任何 Azure 订阅或管理组,则可以 提升访问权限来管理资源。
发现资源
以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>Azure 资源。
如果是第一次对 Azure 资源使用 Privileged Identity Management,则会看到“ 发现资源 ”页。
如果组织中的另一个管理员已在 Privileged Identity Management 中管理 Azure 资源,则会看到当前正在管理的资源列表。
选择“发现资源”以启动发现之旅。
在“发现”页上,使用“资源状态筛选器”和“选择资源类型”筛选你对其具有写入权限的管理组或订阅。 最初从“所有”开始可能会最简单。
你可以搜索并选择要使用 Privileged Identity Management 管理的管理组或订阅资源。 在 Privileged Identity Management 中管理管理组或订阅时,还可以管理其子资源。
注意
将新的子 Azure 资源添加到 PIM 管理的管理组时,可以使用 PIM 搜索子资源将其置于管理之下。
选择要管理的任何非托管资源。
选择“管理资源”以开始管理所选资源。 PIM 服务主体 (MS-PIM) 被分配为该资源的用户访问管理员。
注意
管理组或订阅已托管后,就无法取消托管。 这可防止其他资源管理员删除 Privileged Identity Management 设置。
如果看到确认加入要管理的所选资源的消息,请选择“是”。 然后,将 PIM 配置为管理资源下的所有新的和现有的子对象。
