Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Используйте управление привилегированными пользователями (PIM) для управления, контроля и мониторинга доступа в организации Microsoft Entra. С помощью PIM вы можете предоставлять доступ по мере необходимости и доступ в режиме реального времени к ресурсам Azure, ресурсам Microsoft Entra и другим онлайн веб-службам Microsoft, таким как Microsoft 365 или Microsoft Intune.
В этой статье объясняется, как включить управление привилегированными пользователями Privileged Identity Management (PIM) и приступить к использованию этой службы.
Предварительные условия
Чтобы использовать управление привилегированными пользователями, необходимо иметь лицензию Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra. Дополнительные сведения о лицензировании см. в основах лицензирования Microsoft Entra ID Governance.
Активация назначений ролей
Когда клиент Microsoft Entra имеет лицензию Microsoft Entra ID P2 или лицензию Microsoft Entra ID Governance, пользователи с активными назначениями ролей могут выполнять следующие действия:
- Откройте страницу "Роли и администраторы" в идентификаторе Microsoft Entra и выберите роль.
- Откройте страницу управления привилегированными пользователями .
- Вызывайте PIM с помощью API ролей Microsoft Entra.
Microsoft Entra включает PIM для клиента следующим образом:
- Начиная с этого момента, вы можете создавать допустимые или ограниченные по времени назначения ролей для Microsoft Entra;
- Глобальные администраторы или администраторы привилегированных ролей могут начать получать другие сообщения электронной почты, например еженедельный дайджест PIM;
- Имя субъекта-службы PIM (MS–PIM) может быть указано в событиях журнала аудита, связанных с управлением назначениями ролей.
Это поведение ожидается и не должно влиять на рабочие процессы.
Настройка PIM для ролей Microsoft Entra
Рекомендуемые задачи для подготовки Привилегированного управления идентификацией для управления ролями Microsoft Entra:
- Настройка параметров роли Microsoft Entra
- Предоставление подходящих назначений
- Разрешить правомочным пользователям активировать роль Microsoft Entra по запросу
Подготовка PIM для ролей Azure
Ниже приведены рекомендуемые задачи для подготовки привилегированного управления удостоверениями для управления ролями Azure для подписки:
- Обнаружение ресурсов Azure
- Настройка параметров роли Azure
- Предоставление подходящих назначений
- Разрешить соответствующим требованиям пользователям активировать свои роли Azure своевременно
Перейти к вашим задачам
После настройки PIM вы можете ознакомиться с этой системой.
| Элемент меню | Описание |
|---|---|
| Мои роли | Отображается список назначенных вам действительных и активных ролей. Мои роли — это то место, где вы можете активировать все назначенные допустимые роли. |
| Мои запросы | Отображаются запросы, ожидающие активации назначения актуальных ролей. |
| Утверждение запросов | Отображает список запросов на активацию соответствующих ролей пользователями в каталоге, которые можно утвердить. |
| Проверка доступа | Выводит список активных проверок доступа, которым вы назначены, независимо от того, просматриваете ли вы доступ для себя или другого пользователя. |
| Роли Microsoft Entra | Отображает панель мониторинга и параметры для администраторов привилегированных ролей для управления назначениями ролей Microsoft Entra. Эта панель мониторинга отключена для всех, кто не является администратором привилегированных ролей. У этих пользователей есть доступ к специальной панели мониторинга с названием "Мой вид". Панель мониторинга "Мой вид " отображает только сведения о пользователе, доступе к панели мониторинга, а не всей организации. |
| Группы | Управление JIT-членством в группе или JIT-владением группы. Группы можно использовать для предоставления доступа к ролям Microsoft Entra, ролям Azure и различным другим сценариям. Чтобы управлять группой Microsoft Entra в PIM, необходимо перенести ее под управление в PIM. |
| Ресурсы Azure | Отображает панель мониторинга и параметры для администраторов привилегированных ролей для управления назначениями ролей Azure. Эта панель мониторинга отключена для всех, кто не является администратором привилегированных ролей. У этих пользователей есть доступ к специальной панели мониторинга с названием "Мой вид". Панель мониторинга "Мой вид " отображает только сведения о пользователе, доступе к панели мониторинга, а не всей организации. |
| Журнал аудита | Просмотрите журнал аудита PIM, включая все активации ролей и назначения. |
| Устранение неполадок | Получите помощь в диагностике и решении распространенных проблем управления персональной информацией. |
| Новый запрос в службу поддержки | Создайте запрос на поддержку проблем, связанных с PIM. |