通过

使用 Microsoft Entra ID 分配用户角色

通过分配提供所需权限的角色来授予管理资源的能力。 可将角色分配给单个用户或组。 若要符合 零信任指导原则,在分配角色时使用 Just-In-Time 和 Just-Enough-Access 策略。

本文提供有关如何将角色直接分配给 Microsoft Entra 管理中心中的用户的说明。

先决条件

在向用户分配角色之前,请查看以下Microsoft Learn 文章:

要使用 Privileged Identity Management,必须具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证。 有关许可的详细信息,请参阅 Microsoft Entra ID Governance 许可基础知识

分配角色

如果需要将角色直接分配给用户,请选择该用户,选择该角色,然后调整设置。 虽然直接向用户分配角色可能需要一次性方案,但请考虑使用组大规模管理角色分配。 有关详细信息,请参阅“使用组管理角色分配

符合条件的角色将分配给用户,但必须通过 Privileged Identity Management(PIM)提升用户仅In-Time。 有关如何使用 PIM 的详细信息,请参阅 Privileged Identity Management

  1. 特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>用户

  3. 搜索并选择获取角色分配的用户。

    “用户 - 所有用户”列表的屏幕截图,其中突出显示了 Alain Charon。

  4. 从侧菜单中选择 “分配的角色 ”,然后选择“ 添加分配”。

    “分配的角色”页的屏幕截图,其中突出显示了“添加分配”。

  5. 从下拉列表中选择要分配的角色,然后选择“ 下一步 ”按钮。

  6. 选择 工作分配类型

    如果组织具有 Microsoft Entra ID P2、Microsoft Entra ID Governance 或 Microsoft Entra Suite 许可证,则可以将角色分配为 符合条件的活动角色。 如果组织具有免费或Microsoft Entra ID P1 许可证,则只能将角色分配为 活动角色。

    角色分配设置的屏幕截图。

  7. 如果角色应始终可供用户提升,请保留“永久符合条件的”选项。

    如果取消选中此选项,可以指定角色资格的日期范围。

  8. 选择“分配”按钮。

    分配的角色显示在用户的关联部分中,因此,符合条件的角色和活动角色单独列出。

更新角色

可以更改角色分配的设置,例如将活动角色更改为符合条件的角色。

  1. 浏览到 Entra ID>用户

  2. 搜索并选择更新其角色的用户。

  3. 从侧菜单中选择 “已分配的角色 ”,然后选择 “合格分配 ”或“ 活动分配”。

  4. 选择需要更改的角色的 “更新 ”链接。

    “分配的角色”页的屏幕截图,其中突出显示了“删除和更新”选项。

  5. 根据需要更改设置,然后选择“ 保存 ”按钮。

    角色成员身份设置面板的屏幕截图。

删除角色

可以从所选用户的 “管理角色 ”页中删除角色分配。

  1. 浏览到 Entra ID>用户

  2. 搜索并选择删除角色分配的用户。

  3. 转到 “分配的角色 ”页,然后选择需要删除的角色的 “删除 ”链接。 确认弹出消息中的更改。

相关内容