实验室：探索特权身份管理

此实验室与下列 Learn 内容保持一致：

学习路径：描述 Microsoft Entra 的功能
模块：描述身份保护和治理功能描述 Microsoft Entra 的身份保护和治理功能
单元：描述 Privileged Identity Management 的功能

实验室场景

在本实验室中，你将探索 Privileged Identity Management (PIM) 的一些基本功能。 PIM 需要 Microsoft Entra ID P2 许可。在本实验室中，作为管理员，您将通过特权身份管理 (PIM) 为用户 Diego Siciliani 配置 Microsoft Entra 用户管理员角色。有了用户管理员权限，Diego 就能创建用户和组管理许可证等。管理员和用户 Diego 都必须为 Microsoft Entra ID P2 许可进行配置。

估计时间：60 分钟

任务 1

在此任务中，作为管理员，您将重置用户 Diego Siciliani 的密码。此步骤需要完成，以便首次以后续任务中的用户身份登录。

打开 Microsoft Edge。在地址栏中输入https://entra.microsoft.com。
使用 ALH 提供的 Microsoft 365 管理员凭据登录。
1. 在“登录”窗口中，输入 admin@WWLxZZZZZZ.onmicrosoft.com（其中 ZZZZZZ 是 ALH 提供的唯一租户 ID），然后选择下一步。
2. 输入管理员密码，该密码应由实验室托管提供商提供。选择“登录”。
3. 如果以前以管理员身份登录过，系统可能会提示你完成辅助身份验证，作为 MFA 的一部分。如果之前未以管理员身份登录过，系统可能会提示你完成 MFA 注册过程。按照屏幕上的提示设置 MFA。
4. 在提示保持登录状态时，选择“是”。
在左侧导航窗格中，展开“标识”，展开“用户”，然后选择“所有用户”。
从用户列表中选择 Diego Siciliani。
从页面顶部选择“重置密码”。由于你之前没有以 Diego 的身份登录，因此不知道他的密码，需要重置密码。
当密码重置窗口打开时，请选择“重置密码”。重要说明：请记下新密码，因为你在下一个任务中需要使用该密码才能登录为用户。
从左侧导航面板选择主页，返回 Microsoft Entra 管理中心的主页。
请将浏览器页面保持在打开状态，因为后续任务中要使用该页面。

任务 2

在此任务中，你将以管理员身份在 Privileged Identity Management 中为 Diego 分配 Microsoft Entra ID 角色。

打开 Microsoft Entra 管理中心主页的浏览器选项卡。
在左侧导航面板身份下，展开身份治理，然后选择特权身份管理。
现在您已进入特权身份管理快速启动页面。查看入门页面上的信息。在主窗口中，在显示“管理访问权限”位置的下方，选择“管理”。
你现在位于“Contoso 角色”页面。在页面顶部的搜索栏中输入用户。从搜索结果中选择用户管理员。
在页面顶部，选择 + 添加任务。
在添加任务页面，确保成员下划线。在这里，你将为 PIM 中的用户管理员角色配置成员资格设置。
将范围类型保留为默认值，即目录。
在选择成员下，选择未选择成员。这将打开选择成员窗口。
在搜索栏中输入 Diego。从搜索结果中选择 Diego Siciliani，然后按页面底部的选择。
在“选择成员”下，你将看到已选中 1 位成员以及所选成员的姓名 (Deigo Siciliani) 和电子邮件。在添加任务页面底部，选择下一步。
现在位于“设置”页面。将任务类型保留为默认设置，即有资格。
如果永久符合条件方框被选中，选择永久符合条件，移除选中标记。
在任务开始字段中，保留默认日期和时间，即今天和当前时间。
在任务结束字段中，将日期更改为今天的日期（注意默认设置是从今天算起的一年，因此需要更改年份）。对于时间，将时间设置为距当前时间两小时。设置好作业结束时间的时间字段后，按键盘上的制表符键，选择页面底部的作业。
这将带你回到作业窗口。几秒钟后，您就会在用户管理员表中看到 Diego Siciliani 和任务的详细信息。如果几秒钟后仍未看到更新，请从页面顶部选择刷新。
从页面顶部选择设置。
在用户管理员的角色设置详情中，注意不同的选项。注意激活时要求证明设置为是，激活时要求 Azure MFA也设置为是。你将在下一个任务中看到这两个设置（当 Diego 激活角色时）。另请注意，“需要获得批准才能激活”设置为“否”。将所有设置均设为相应的默认值。选择屏幕右上角的 X 关闭页面。
选择屏幕右上角电子邮件地址旁边的用户图标，并选择“退出”以退出。然后关闭所有浏览器窗口。

任务 3

在本任务中，您将以 Diego Siciliani 的身份登录 Microsoft Entra 管理中心，访问 Microsoft Entra 的特权身份管理功能，以激活您作为用户管理员的任务。激活后，将对现有用户进行一些配置更改。注意：对于此任务，你将需要访问移动设备才能与 Microsoft Authenticator 应用一起使用。

打开 Microsoft Edge。在浏览器地址栏输入 Entra.microsoft.com。
以 Diego Siciliani 登录。
1. 在“登录”窗口中，输入 DiegoS@WWLxZZZZZZ.onmicrosoft.com（其中 ZZZZZZ 是实验室托管提供商提供的唯一租户 ID），然后选择“下一步”。
2. 输入在上一个任务中记下的临时密码，然后选择“登录”**。选择“登录**”。
3. 由于输入的密码只是临时密码，现在需要进行更新。输入当前密码，输入新密码，然后确认新密码。记下这个新密码，因为完成任务时需要它。
4. 由于这是第一次以 Diego 身份登录，系统可能会提示你设置 MFA。按照屏幕上的提示设置 MFA。
5. 在提示保持登录状态时，选择“是”。
您应该已经成功登录 Microsoft Entra 管理中心。
从左侧导航面板，展开身份管理，然后选择特权身份管理。
从左侧导航面板选择我的角色。您现在看到的是符合条件的分配信息。你将看到自己以 Diego 的身份被分配到了用户管理员角色。
在表格最后一列的操作中，选择激活。
此时会出现一个警告图标，指示需要附加验证。选择单击继续。回想一下，用户管理员角色的 PIM 设置需要多重身份验证。此外，由于 Diego 用于 MFA（身份验证方法）的联系信息之前没有配置，他必须注册自己的信息，才能使用 MFA。虽然他在任务期内以用户管理员身份登录时都必须进行 MFA，但 MFA 注册过程只需要一次。
显示的窗口和后续步骤适用于 Microsoft Authenticator 应用方法。。
1. 在移动设备上安装 Microsoft Authenticator 应用以后，请选择“下一步”。否则，请选择“立即下载” 并按照步骤操作。
2. 你将开始设置帐户。选择下一步。
3. 在移动设备上使用 Microsoft Authenticator 应用，选择+ 添加帐户，并选择“工作或学校帐户”。
4. 选择“扫描 QR 码”选项，然后使用移动设备扫描电脑屏幕上的 QR 码。
5. 使用移动设备上的 Microsoft Authenticator 应用扫描 QR 码。
6. 按照电脑和移动设备上的步骤操作，然后选择“下一步”。
7. 设置安全信息后，会看到“成功”窗口。选择“完成” 。
完成 MFA 注册过程后，将返回到 PIM Active-User 管理员页面。
出现激活用户管理员窗口。你需要输入激活原因。在出现的框中，输入任何你想要的理由（最多 500 个字符），然后选择激活。
系统将在处理激活的过程中显示状态（关于进度的 3 个阶段）。

激活完成后，将返回到“我的角色

Microsoft Entra ID”角色页面，其中会显示一条通知，表示已经激活了一个角色。选择单击此处查看您的活动角色。如果发现结束时间与最初配置的时间不同，请选择页面顶部的刷新键（刷新可能需要几分钟）。

从左侧导航面板选择主页，返回 Microsoft Entra 管理中心的主页。
你可以 Microsoft Entra ID 用户管理员身份创建用户和组、管理许可证等。在左侧导航面板中，展开“标识”，选择“用户”。
从用户列表中选择 Bianca Pisani。
从左侧导航面板选择组。
请注意已向其分配 Bianca 的组。从页面顶部选择“+ 成员资格”。
从组列表中，选择“Mark 8 项目团队”。
从页面底部，选择“选择”。
在“组”页上，请注意，“Mark 8 项目团队”组已添加到列表中（如果未立即看到它已列出，请选择“刷新”按钮）。
选择屏幕右上角电子邮件地址旁边的用户图标，并选择“退出”以退出。然后关闭所有浏览器窗口。
用户管理员角色的持续时间以配置的时间为限。

审阅

在本实验室中，你探索了 PIM。你作为管理员，为 Diego 配置了指定时间内的用户管理员权限。然后，你以 Diego 的身份完成了激活用户管理权限和将用户加入组的过程。回想一下，PIM 需要 Microsoft Entra ID 高级版 P2 许可。