我正在尝试了解如何执行此操作:https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/azure-ad-roles-features#new-role-settings
Now, you can configure whether an individual user needs to perform multi-factor authentication before they can activate a role. Also, you can have advanced control over your Privileged Identity Management emails related to specific roles.
我的客户与需要特定角色成员身份的外部合作伙伴一起工作。他们希望确保这些外部人员只有在获得批准后才能激活其角色。但是,内部角色成员不需要批准。上面看起来允许每个用户进行不同的配置。但是,我看不到任何配置选项。 (我可以使用客户角色,但看起来这具有收件箱解决方案)
在您的方案中,为内部和外部用户创建两个单独的组。
对于外部成员:转到特权身份管理,
1。选择特定角色
2。添加External_Member_Group
3。从下拉列表中选择“合格”作为分配类型。
4。保存。
5。转到角色设置
6。根据您的要求添加“ MFA”和“需要批准才能激活。”
对于内部成员:再次转到特权身份管理,
1。选择特定角色
2。添加Internal_Member_Group
3。选择“有效”作为分配类型// //无需批准即可使用。
4。保存
现在,将内部和外部用户分别添加到这些组,并且将基于这些组激活用户角色。