實驗室:探索特殊權限身分識別管理

此實驗室對應至下列 Learn 內容:

  • 學習路徑:描述 Microsoft Entra 的功能
  • 課程模組:描述 Microsoft Entra 的身分識別防護和治理功能
  • 單元:描述特殊權限識別碼管理的功能

實驗案例

在本實驗中,您將會探索特殊權限識別碼管理(PIM) 的部分基本功能。 PIM 需要 Microsoft Entra ID P2 授權。 在此實驗室中,身為系統管理員,您要透過特殊權限識別碼管理 (PIM) 設定其中一個使用者 (Diego Siciliani) 與 Microsoft Entra 使用者系統管理員角色。 有了使用者系統管理員權限,Diego 將能夠建立使用者和群組來管理授權等等。 系統管理員和使用者 (Diego) 都必須針對 Microsoft Entra ID P2 授權進行設定。

估計時間:60 分鐘

工作 1

在此工作中,您將會以管理員身分重設使用者 Diego Siciliani 的密碼。 您必須進行此步驟,才能在後續工作中初次以使用者身分登入。

  1. 開啟 Microsoft Edge。 在網址列中輸入 https://entra.microsoft.com

  2. 使用 ALH 所提供的 Microsoft 365 系統管理員認證登入。
    1. 在登入視窗中輸入 admin@WWLxZZZZZZ.onmicrosoft.com (其中的 ZZZZZZ 是實驗室託管提供者所提供的唯一租用戶識別碼),然後選取 [下一步]**
    2. 輸入應由您的實驗室託管提供者提供的管理員密碼。 選取 [登入]**
    3. 視您的實驗室主機管理員而定,如果這是您第一次登入租用戶,系統可能會提示您完成 MFA 註冊程式。 如果是,請依照畫面上的提示來設定 MFA。
    4. 登入之後,系統會帶您前往 [Microsoft 365 系統管理中心] 頁面。
  3. 從左側導覽面板中,依序展開 [身分識別]**、[使用者],然後選取 [所有使用者]**。

  4. 在使用者清單中選取 Diego Siciliani

  5. 請選取頁面上方的重設密碼。 因為您先前未以 Diego 的身分登入,您不知道密碼為何,且需要重設密碼。

  6. 當密碼重設視窗開啟時,請選取重設密碼。 請務必記得記下新密碼,因為您需要在後續工作中以使用者身分登入。

  7. 在左側導覽面板中,選取 [首頁]** 以返回 Microsoft Entra 管理員中心首頁。

  8. 請保持瀏覽器頁面開啟,您在下一個工作中需要它。

工作 2

在這項工作中,您身為系統管理員,將會在 Privileged Identity Management 中指派 Diego Microsoft Entra ID 角色。

  1. 開啟 Microsoft Entra 管理員中心首頁的瀏覽器索引標籤。

  2. 在左側導覽面板中,在「身分識別」下方,展開 [身分識別治理]**,然後選取 [特殊權限識別碼管理]**。

  3. 您現在位於特殊權限識別碼管理快速入門頁面。 檢閱快速入門的頁面資訊。 在主視窗中,在 [管理存取權] 底下,選取 [ 管理]。

  4. 您現在位於 [Contoso 角色] 頁面。 在頁面頂端的搜尋列中,輸入使用者。 從搜尋結果中,選取 [使用者管理員]**

  5. 從頁面頂端選取 [+ 新增指派]**

  6. 在新增指派頁面中,確定 [成員資格]** 已加上底線。 您將在此處為 PIM 的使用者管理員進行成員資格設定。

  7. 將 [範圍類型] 保留為其預設值 Directory。

  8. 在選取成員底下,選取 [未選取任何成員]**。 這會開啟選取成員視窗。

  9. 在搜尋列輸入 Diego。 從搜尋結果中,選取 Diego Siciliani,然後按頁面底部的 [選取]**

  10. 在 [選取成員] 下方,您將會看到已選取 1 位成員,以及獲選成員 Deigo Siciliani 的名稱與電子郵件。 在新增指派頁面底部,選取 [下一步]**

  11. 您現在位於 [設定] 頁面。 將 [指派類型] 保留為其預設 Eligible。

  12. 如果核取 [永久合格] 方塊,請選取 [永久合格] **,以移除核取記號。

  13. 在工作分派開始欄位中,保留預設日期和時間,也就是今天和目前的時間。

  14. 在工作分派結束欄位中,將日期變更為今天的日期 (請注意預設設定是從今天起的一年,因此您需要變更年份)。 針對時間,將時間設定為目前時間的兩小時後。 設定 [工作分派] 結束時間的時間欄位之後,請按鍵盤上的索引標籤鍵,然後選取頁面底部的 [指派]**

  15. 這會帶您回到指派視窗。 幾秒鐘後,您應該會看到 Diego Siciliani 列在使用者管理員資料表中,以及指派的詳細資料。 如果您在幾秒鐘後仍未看到更新,請從頁面頂端選取 [重新整理]**

  16. 從頁面頂端選取 [設定]**

  17. 在使用者管理員 的角色設定詳細資料中,請注意不同的選項。 請注意,將啟用時需要理由設定為 [是],而啟用時,需要 Azure MFA 的設定也會設定為 [是]。 當 Diego 在下一個工作中啟用角色時,您就會看到這兩者。 另請注意,[需要核准才能啟用] 會設定為 [否]。 請為所有設定保留其預設值。 選取畫面右上角的 X 以關閉頁面。

  18. 若要登出,請選取畫面右上角電子郵件地址旁的使用者圖示,並選取 [登出]**。接著關閉所有瀏覽器視窗。

工作 3

在這項工作中,您將以 Diego Siciliani 的身分登入 Microsoft Entra 管理員中心,存取 Microsoft Entra 的特殊權限識別碼管理功能,以使用者管理員的身份啟用您的指派。 完成啟用後,您將會對現有使用者進行某些設定變更。 注意:針對這項工作,您將需要存取行動裝置,才能與 Microsoft Authenticator 應用程式搭配使用。

  1. 開啟 Microsoft Edge。 在瀏覽器的網址列中,輸入 Entra.microsoft.com

  2. 以 Diego Siciliani 身分登入。
    1. 在登入視窗中輸入 DiegoS@WWLxZZZZZZ.onmicrosoft.com (其中的 ZZZZZZ 是實驗室託管提供者所提供的唯一租用戶識別碼),然後選取 [下一步]**
    2. 輸入上一個工作中所記下的暫時性密碼,然後選取 [登入]**。 選取 [登入]**。
    3. 因為您輸入的僅是暫時性密碼,所以現在必須更新。 輸入目前的密碼,輸入新的密碼,然後確認新的密碼。 請記下這份新密碼,因為需要用來完成工作。
    4. 因為這是您第一次以迭戈身分登入,因此系統可能會提示您設定 MFA。 依照畫面上的提示來設定 MFA。
    5. 當提示保持登入狀態時,請選取
  3. 您現在應可以成功登入 Microsoft Entra 管理員中心。
  4. 在左側導覽面板中,展開 [身分識別治理]**,然後選取 [特殊權限識別碼管理]**。
  5. 在左側導覽面板中,選取 [我的角色]**。 您現在會看到合格指派的資訊。 您將會看到 Diego 已被指派為 [使用者管理員] 角色。
  6. 在資料表的最後一個資料行中,加上標籤的動作,選取 [啟用]**
  7. 將出現警告圖示,表示需要 [額外驗證]。 按一下 [選取]** 以繼續進行。 請回顧一下,[使用者管理員] 角色的 PIM 設定需要多重要素驗證。 此外,由於 Diego 的連絡資訊與 MFA (驗證方法) 尚未設定,因此必須註冊其資訊,才能使用 MFA。 雖然以使用者系統管理員身分登入時,都必須執行 MFA,但在指派期間內,只需要 MFA 註冊程式一次。
  8. 出現的視窗,以及後續步驟適用於 Microsoft Authenticator 應用程式方法。 .
    1. 如果您已在行動裝置上安裝 Microsoft Authenticator 應用程式,請選取 [ 下一步]。 否則,請選取 [ 立即 下載],然後遵循步驟。
    2. 您將開始設定您的帳戶。 選取 [下一步]。
    3. 在行動裝置上使用 Microsoft Authenticator 應用程式,選取 + 以新增帳戶,然後選取 [公司或學校帳戶]。
    4. 選取 [掃描 QR 代碼 ] 選項,然後使用行動裝置掃描計算機畫面上的 QR 代碼。
    5. 在行動裝置上使用 Microsoft Authenticator 應用程式,掃描 QR 代碼。
    6. 遵循計算機和行動裝置上的步驟,然後選取 [ 下一步]。
    7. 設定安全性信息之後,您會看到 [成功] 視窗。 選取完成
  9. 完成 MFA 註冊程式之後,系統會返回 PIM Active-User Administrator 頁面。
  10. 隨即出現啟動使用者管理員視窗。 您必須輸入啟用原因。 在出現的方塊中,輸入您想要的任何原因 (最多 500 個字元) ,然後選取 [啟用]**
  11. 您將會在啟用的處理過程中檢視其狀態 (流程的 3 個階段)。
  12. 啟用完成後,您就會回到 [我的角色] Microsoft Entra ID 角色頁面,您會看到通知,指出您已啟動角色。 選取 [按一下這裡]** 以檢視您的作用中角色。 如果您注意到結束時間與原先設定的時間不同,請選取頁面頂端的重新整理索引鍵 (可能需要幾分鐘的時間重新整理)。
  13. 藉由選取左側導覽面板中的 [首頁]**,返回 Microsoft Entra 管理員中心的首頁。
  14. 身為Microsoft Entra ID 用戶系統管理員,您可以建立使用者和群組、管理授權等等。 從左側導覽面板中,展開 [ 身分識別],選取 [ 使用者]。
  15. 從使用者清單中,選取 Bianca Pisani
  16. 在左側導覽面板中,選取 [群組]**
  17. 請注意已指派 Bianca 的群組。 從頁面頂端,選取 [+ 成員資格]。
  18. 從群組清單中,選取 [標記 8 專案小組]。
  19. 從頁面底部,選取 [ 選取]。
  20. 在 [群組] 頁面上,請注意 Mark 8 Project Team 群組已新增至清單(如果您未立即看到清單,請選取 [ 重新 整理] 按鈕。
  21. 若要登出,請選取畫面右上角電子郵件地址旁的使用者圖示,並選取 [登出]**。接著關閉所有瀏覽器視窗。
  22. 使用者管理員角色的持續時間僅限於設定的時間。

檢閱

在本實驗中,您探索了 PIM。 身為系統管理員,您為 Diego 設定了一段時間的使用者系統管理員權限。 然後,身為 Diego,逐步執行啟動用戶系統管理員許可權和使用者至群組的程式。 回想一下,PIM 需要Microsoft Entra ID Premium P2 授權。