指派提供必要許可權的角色,即可授與管理資源的能力。 角色可以指派給個別使用者或群組。 若要與 零信任指導方針一致,請在指派角色時使用 Just-In-Time 和 Just-Enough-Access 原則。
本文提供如何直接將角色指派給 Microsoft Entra 系統管理中心的使用者的指示。
使用 Microsoft Entra ID 指派使用者角色
必要條件
將角色指派給使用者之前,請先檢閱下列Microsoft Learn 文章:
若要使用 Privileged Identity Management,您必須擁有Microsoft Entra ID P2 或 Microsoft Entra ID Governance 授權。 如需授權的詳細資訊,請參閱 Microsoft Entra ID Governance 授權基本概念。
指派角色
如果您需要將角色直接指派給使用者,請選取使用者、選擇角色,然後調整設定。 雖然直接指派角色給使用者可能需要一次性案例,但請考慮使用群組大規模管理角色指派。 如需詳細資訊,請參閱 使用群組來管理角色指派
合格角色會指派給使用者,但必須透過 Privileged Identity Management (PIM) 提高使用者的 Just-In-Time。 如需如何使用 PIM 的詳細資訊,請參閱 Privileged Identity Management。
以 Privileged Role Administrator身分登入 Microsoft Entra 系統 管理中心。
流覽至 身分識別>[使用者]>[所有使用者]。
搜尋並選取取得角色指派的使用者。
![[使用者 - 所有使用者] 列表的螢幕快照,其中已醒目提示 Alain Charon。](media/entra-users-assign-role-azure-portal/select-existing-user.png)
從側邊功能表中選取 [指派的角色],然後選取 [[新增指派]。
![已指派角色頁面的螢幕快照,其中已醒目提示 [新增指派]。](media/entra-users-assign-role-azure-portal/assigned-roles-add-assignment.png)
從下拉式清單中選取要指派的角色,然後選取 [下一步] 按鈕。
選取指派類型。
如果您的組織具有Microsoft Entra ID P2、Microsoft Entra ID Governance 或 Microsoft Entra Suite 授權,您可以將角色指派為 合格 或 作用中。 如果您的組織具有免費或Microsoft Entra ID P1 授權,您只能將角色指派為作用中 。
如果角色應一律 可用, 為使用者提高許可權,請保留選取 [永久合格] 選項。
如果您取消核取此選項,您可以指定角色資格的日期範圍。
選取 [[指派] 按鈕。
指派的角色會出現在使用者的相關區段中,因此會個別列出合格和作用中角色。
更新角色
您可以變更角色指派的設定,例如將作用中角色變更為合格。
流覽至 身分識別>[使用者]>[所有使用者]。
搜尋並選取使用者以更新其角色。
從側邊功能表中選取 [指派的角色],然後選取 [合格指派] [作用中指派]。
針對需要變更的角色,選取 更新 連結。
![已指派角色頁面的螢幕快照,其中已醒目提示 [移除和更新] 選項。](media/entra-users-assign-role-azure-portal/remove-update-role-assignment.png)
視需要變更設定,然後選取 [儲存 ] 按鈕。
![已指派角色頁面的螢幕快照,其中已醒目提示 [移除和更新] 選項。](media/entra-users-assign-role-azure-portal/remove-update-role-assignment.png#lightbox)
拿掉角色
您可以從選取使用者 系統管理角色 頁面移除角色指派。
流覽至 身分識別>[使用者]>[所有使用者]。
搜尋並選取使用者,以移除角色指派。
移至 [指派的角色] 頁面,然後針對需要移除的角色選取 [移除] 連結。 確認快顯訊息中的變更。