每个用户角色设置的 Azure PIM

Azure PIM per user role settings

我正在尝试了解如何执行此操作:https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/azure-ad-roles-features#new-role-settings

Now, you can configure whether an individual user needs to perform multi-factor authentication before they can activate a role. Also, you can have advanced control over your Privileged Identity Management emails related to specific roles.

我的客户与需要特定角色成员身份的外部合作伙伴合作。他们希望确保这些外部人员只有在获得批准后才能激活他们的角色。但是,内部角色成员不需要批准。以上看起来允许每个用户使用不同的配置。但是我看不到配置它的选项。 (我可以使用客户角色,但它看起来有一个收件箱解决方案)

在您的方案中,为内部和外部用户创建两个单独的组。

对于外部成员:转到特权身份管理,

  1. Select具体作用

  2. 添加External_Member_Group

  3. Select "Eligible" 作为下拉列表中的分配类型。

  4. 保存。

  5. 转到角色设置

  6. "Add MFA" 和 "Require approval to activate" 根据您的要求。

对于内部成员:再次转到特权身份管理,

  1. Select具体作用

  2. 添加Internal_Member_Group

  3. Select "Active" 作为分配类型 // 不需要批准即可激活。

  4. 保存

现在,将内部和外部用户分别添加到这些组,并根据这些组激活用户角色。