51CTO 博客地址:https://blog.51cto.com/14669127
Azure培训视频地址:https://space.bilibili.com/2000820534

Azure AD Privileged Identity Management(Azure AD PIM)允许组织管理、监控、审计对Azure 敏感资源的访问。

PIM的主要特性之一是能够提供对Azure AD和Azure资源的即时访问,比如,一个用户可以请求成为一个全局管理员1个小时,一旦用户通过门户发出请求,Approver将收到一个通知,然后Approver可以审查请求,并基于理由批准或者拒绝请求,一旦请求被批准,用户将拥有一个小时的全局管理员特权,一个小时之后,权限将自动从用户中删除,除了个人用户,还可以让Cloud Group有资格获得Azure AD角色分配,我们必须使用Azure AD管理这些特权Cloud Group的成员或者所有者,但现在我们可以使用Azure AD PIM为特权组提供JIT(Just-in-time )成员资格。

说明:要使用Azure AD PIM,需要具备Azure AD Premium P2许可证,因此,在我们继续进行配合之前,请确保大家具有相应的license。

在我的测试环境中,新建一个名为Demo Administrators的新组,然后将其授权全球管理员角色3个月,配置完成后,如果用户需要获得全局管理员权限,那么他们需要成为Demo Administrators组的成员,接下来,将给大家介绍一下如何使用Azure AD PIM管理这个组的成员,具体操作分为以下4个方面。

• 创建一个角色分配组
• 启用组的特权访问
• 添加用户到改组
• 为该组授权Global Administrators Role

创建一个角色分配组

首先,我们先创建一个Cloud Group,如下所示:

image.png
其次,这个组必须打开“Azure AD Roles can be assigned to the group”选项,否则我们不能给它分配角色。
image.png

启用组的特权访问

配置的下一步是为新建的组启用特权访问,首先,进入Azure Active Directory页面,然后转到Groups,单击我们所创建的组,在组的属性页上,单击PIM,启用PIM,如下所示:
image.png
其次,然后在属性页面,单击Settings->Member,如下所示:
image.png

第三,进入Member页面,点击Edit,如下所示:
image.png
第四,在编辑页面,我们可以根据需求更改角色的设置,这里,我将保持激活的最大持续时间为8小时,在激活时,我还想验证Azure MFA,也希望用户能够证明自己的要求,另外请求必须由审批者批准,点击Select Approvers选项并定义一个Approver,点击Next。
image.png
在Assingment和Notification页面,我们保留默认设置即可。

添加用户并授权

首先,我们来添加用户到该组中,在该组页面,我们点击“Privileged access (preview) | + Add assignments”如下图所示:
image.png
其次,在Add Assignment页面的Select Role选项下选择Member,然后添加成员。
image.png
第三,配置的最后一步是将全局管理员角色分配给使用Azure AD PIM创建的组,在Portal页面,搜索Azure AD Privileged Identity Management ,进入Azure AD Privileged Identity Management 页面后,点击Azure AD Roles,
image.png
第四,点击Add Assignment,为刚刚新建的Demo Administrator Group 授权Global Administrators Role即可,如下图所示:
image.png
第五,在下一页中,选择分配类型下的Active,然后选择分配开始日期和结束日期,这里我们设置3个月,然后点击Assign就可以了。
image.png

上述就是整个配置过程,希望能给大家提供帮助,能更好的理解如何通过使用Azure AD PIM来管理特权组的成员资格,谢谢大家阅读。