Inserire gruppi in Privileged Identity Management

In Microsoft Entra ID è possibile usare Privileged Identity Management (PIM) per gestire l'appartenenza JUST-in-time al gruppo o la proprietà JIT del gruppo. I gruppi possono essere usati per fornire l'accesso ai ruoli di Microsoft Entra, ai ruoli di Azure e a vari altri scenari. Per gestire un gruppo Microsoft Entra in PIM, è necessario portarlo in gestione in PIM.

Identificare i gruppi da gestire

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Prima di iniziare, è necessario un gruppo microsoft Entra Security o un gruppo di Microsoft 365. Per altre informazioni sulla gestione dei gruppi in Microsoft Entra ID, vedere Gestire i gruppi e l'appartenenza ai gruppi di Microsoft Entra.

I gruppi dinamici e i gruppi sincronizzati dall'ambiente locale non possono essere gestiti in PIM per i gruppi.

Sono necessarie le autorizzazioni appropriate per portare i gruppi in Microsoft Entra PIM. Per i gruppi assegnabili a ruoli, è necessario disporre del ruolo global Amministrazione istrator, del ruolo con privilegi Amministrazione istrator o di essere proprietario del gruppo. Per i gruppi non assegnabili a ruoli, è necessario disporre di Amministrazione istrator globale, writer di directory, gruppi Amministrazione istrator, identity governance Amministrazione istrator, ruolo utente Amministrazione istrator o proprietario del gruppo. Le assegnazioni di ruolo per gli amministratori devono essere con ambito a livello di directory (non a livello di unità amministrativa).

Nota

Altri ruoli con autorizzazioni per gestire i gruppi (ad esempio Exchange Amministrazione istrator per i gruppi M365 non assegnabili da ruoli) e gli amministratori con assegnazioni con ambito a livello di unità amministrativa possono gestire i gruppi tramite l'API/l'esperienza utente dei gruppi ed eseguire l'override delle modifiche apportate in Microsoft Entra PIM.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un ruolo con privilegi Amministrazione istrator.

2. Passare a Identity Governance>Privileged Identity Management Groups (Gruppi di gestione>delle identità con privilegi).

3. Qui è possibile visualizzare i gruppi già abilitati per PIM per i gruppi.

   

4. Selezionare Individua gruppi e selezionare un gruppo che si vuole portare in gestione con PIM.

   

5. Selezionare Gestisci gruppi e OK.

6. Selezionare Gruppi per tornare all'elenco dei gruppi abilitati in PIM per i gruppi.

Nota

In alternativa, è possibile usare il riquadro Gruppi per portare il gruppo in Privileged Identity Management.

Nota

Una volta gestito, un gruppo non può essere estratto dalla gestione. Questo impedisce che un altro amministratore delle risorse rimuova impostazioni di PIM.

Importante

Se un gruppo viene eliminato dall'ID Microsoft Entra, potrebbero essere necessarie fino a 24 ore prima che il gruppo venga rimosso dai pannelli PIM per i gruppi.

Passaggi successivi

• Assegnare l'idoneità per un gruppo in Privileged Identity Management
• Attivare l'appartenenza al gruppo o la proprietà in Privileged Identity Management
• Approvare le richieste di attivazione per i membri e i proprietari del gruppo