每个用户角色设置Azure PIM

Question

我正在努力理解如何做到这一点：https://learn.microsoft.com/en-us/azure/active-directory/privileged-identity-management/azure-ad-roles-features#new-role-settings

Now, you can configure whether an individual user needs to perform multi-factor authentication before they can activate a role. Also, you can have advanced control over your Privileged Identity Management emails related to specific roles.

我的客户与需要特定角色成员资格的外部合作伙伴合作。他们希望确保这些外部人员只有在获得批准后才能激活他们的角色。但是，内部角色成员不需要批准。以上看起来允许每个用户都有不同的配置。但是，我看不到配置此选项的选项。(我可以使用客户角色，但看起来这里有收件箱解决方案)

Answer 1

在您的场景中，为内部用户和外部用户创建两个单独的组。

对于外部成员:转到特权身份管理，

External_Member_Group​

• Select

• 选择特定角色​

• ，将“合格”添加为从drop-down.​

• Save.​

• Go到角色settings​

• "Add MFA的赋值类型，并根据requirement.​

“需要批准激活”

内部成员的​：再次转到特权身份管理，​

Internal_Member_Group​

• Select

• 选择特定角色​

• 添加"Active“作为赋值类型//不需要对active.​

• Save​

的批准

​现在，将内部用户和外部用户分别添加到这些组中，并根据这些组用户的角色进行激活。