是否可以让不同用户对Azure中的同一角色具有不同的最大激活持续时间。例如,用户 A 具有用户管理员角色,最大激活时间为 8 小时,用户 B 也具有用户管理员角色,最大激活时间为 24 小时。这可能吗?
是的,这是可能的,但必须创建两 (2) 个 PIM 组。
一个8小时,一个24小时。 或者,您可以使用一个 24 小时,并告诉用户 A 该人最多可以使用 8 小时,这意味着他/她每次激活时都必须调整时间。然后,您可以在 LAW 中设置 KQL 查询(如果您发送 Entra ID 日志),然后在用户 A 激活此角色时创建警报。这不是一个很好且值得推荐的解决方案。