Несколько профилей PIM

Question

Возможно ли иметь несколько профилей для роли PIM в пределах Azure? Если нет, то есть ли это в планах?

Вопрос от клиента: «как вы знаете, вы можете настроить роли, указав окно для этой привилегии, утверждающих и т. Д. Могли бы вы иметь несколько профилей на каждую роль в будущем? »

Answer 1

Игнорировать назначение ролей во время создания группы. Просто создайте роль и включите ее для назначения ролей (эта часть необходима, если вы хотите использовать ее с PIM). После создания (даже без назначенных ему ролей AAD) вы можете разрешить группе привилегированный доступ. После включения привилегированного доступа для группы вы можете назначить участников как Допущенные и настроить параметры назначения и активации для ролей участника и / или владельца. ETA для GA этой функции (группы привилегированного доступа) - конец календарного года.

Answer 2

Спасибо, Стив, но что я вижу, это только для Azure ролей AD, верно? Невозможно назначить ресурсы Azure.

Еще раз спасибо!

Answer 3

Когда вы создаете новую группу привилегированного доступа, вы можете назначать только Azure ролей AD, но не Azure ролей ресурсов во время создания, это то, что я имел в виду ... потому что с помощью этого вы можете изменить свойства для этой конкретной 1008 * роль с точки зрения времени привилегированного режима, кто являются утверждающими и так далее ... будет ли она доступна в будущем?

Знаем ли мы, когда она появится в GA?

Спасибо !!

Answer 4

Это возможно с помощью функции групп привилегированного доступа. Просто создайте две группы, примените разные политики и сделайте пользователей подходящими для группы (не назначайте группу как подходящую, поскольку участники имеют право на участие в группе, что потребует от них активации дважды). Документацию можно найти по адресу aka.ms/pag