Przypisywanie uprawnień do grupy w usłudze Privileged Identity Management
W usłudze Microsoft Entra ID, wcześniej znanej jako Azure Active Directory, możesz użyć usługi Privileged Identity Management (PIM) do zarządzania członkostwem just in time w grupie lub własnością just in time grupy.
Przypisanie przypisania członkostwa lub własności:
- Nie można przypisać go na czas krótszy niż pięć minut
- Nie można go usunąć w ciągu pięciu minut od jej przypisania
Uwaga
Każdy użytkownik, który kwalifikuje się do członkostwa w usłudze PIM dla grup, musi mieć licencję Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra. Aby uzyskać więcej informacji, zobacz Wymagania licencyjne dotyczące korzystania z usługi Privileged Identity Management.
Przypisywanie właściciela lub członka grupy
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Wykonaj następujące kroki, aby utworzyć użytkownika uprawnionego członka lub właściciela grupy. Musisz mieć uprawnienia do zarządzania grupami. W przypadku grup z możliwością przypisywania ról musisz mieć rolę Global Administracja istrator, Rola uprzywilejowana Administracja istrator lub właściciel grupy. W przypadku grup nieprzypisania ról musisz mieć rolę Global Administracja istrator, Składnik zapisywania katalogów, Grupy Administracja istrator, Administracja istrator ładu tożsamości, rola Administracja istrator użytkowników lub właściciel grupy. Przypisania ról dla administratorów powinny być ograniczone na poziomie katalogu (a nie na poziomie jednostki administracyjnej).
Uwaga
Inne role z uprawnieniami do zarządzania grupami (takimi jak exchange Administracja istratory dla grup nieprzypisanych do roli M365) i administratorzy z przypisaniami o określonym zakresie na poziomie jednostki administracyjnej mogą zarządzać grupami za pośrednictwem interfejsu API/środowiska użytkownika grup i zastąpić zmiany wprowadzone w usłudze Microsoft Entra PIM.
Zaloguj się do centrum administracyjnego usługi Microsoft Entra
Przejdź do pozycji Zarządzanie tożsamościami>Uprzywilejowane grupy zarządzania tożsamościami.>
W tym miejscu można wyświetlić grupy, które są już włączone dla usługi PIM dla grup.
Wybierz grupę, którą chcesz zarządzać.
Wybierz pozycję Przypisania.
Użyj kwalifikujących się przypisań i bloków Aktywne przypisania, aby przejrzeć istniejące przypisania członkostwa lub własności dla wybranej grupy.
Wybierz pozycję Dodaj przypisania.
W obszarze Wybierz rolę wybierz pozycję Członek i Właściciel , aby przypisać członkostwo lub własność.
Wybierz członków lub właścicieli, którzy mają kwalifikować się do grupy.
Wybierz Dalej.
Na liście Typ przypisania wybierz pozycję Kwalifikujące się lub Aktywne. Usługa Privileged Identity Management udostępnia dwa odrębne typy przypisań:
- Kwalifikujące się przypisanie wymaga, aby członek lub właściciel wykonał aktywację w celu korzystania z roli. Aktywacje mogą również wymagać podania uwierzytelniania wieloskładnikowego (MFA), dostarczenia uzasadnienia biznesowego lub żądania zatwierdzenia od wyznaczonych osób zatwierdzających.
Ważne
W przypadku grup używanych do uzyskiwania ról w usłudze Microsoft Entra firma Microsoft zaleca, aby wymagać procesu zatwierdzania kwalifikujących się przypisań członków. Przypisania, które można aktywować bez zatwierdzenia, mogą pozostawić cię podatnym na zagrożenie bezpieczeństwa ze strony innego administratora z uprawnieniami do resetowania haseł uprawnionych użytkowników.
- Aktywne przypisania nie wymagają od członka wykonania żadnych aktywacji w celu korzystania z roli. Członkowie lub właściciele przypisani jako aktywni mają uprawnienia przypisane do roli przez cały czas.
Jeśli przypisanie powinno być trwałe (trwale kwalifikujące się lub trwale przypisane), zaznacz pole wyboru Trwale . W zależności od ustawień grupy pole wyboru może nie być wyświetlane lub może nie być edytowalne. Aby uzyskać więcej informacji, zapoznaj się z artykułem Konfigurowanie usługi PIM dla grup w usłudze Privileged Identity Management .
Zaznacz Przypisz.
Aktualizowanie lub usuwanie istniejącego przypisania roli
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Wykonaj następujące kroki, aby zaktualizować lub usunąć istniejące przypisanie roli. Musisz mieć uprawnienia do zarządzania grupami. W przypadku grup z możliwością przypisywania ról musisz mieć rolę Global Administracja istrator, Rola uprzywilejowana Administracja istrator lub właściciel grupy. W przypadku grup nieprzypisania ról musisz mieć rolę Global Administracja istrator, Składnik zapisywania katalogów, Grupy Administracja istrator, Administracja istrator ładu tożsamości, rola Administracja istrator użytkowników lub właściciel grupy. Przypisania ról dla administratorów powinny być ograniczone na poziomie katalogu (a nie na poziomie jednostki administracyjnej).
Uwaga
Inne role z uprawnieniami do zarządzania grupami (takimi jak exchange Administracja istratory dla grup nieprzypisanych do roli M365) i administratorzy z przypisaniami o określonym zakresie na poziomie jednostki administracyjnej mogą zarządzać grupami za pośrednictwem interfejsu API/środowiska użytkownika grup i zastąpić zmiany wprowadzone w usłudze Microsoft Entra PIM.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
Przejdź do pozycji Zarządzanie tożsamościami>Uprzywilejowane grupy zarządzania tożsamościami.>
W tym miejscu można wyświetlić grupy, które są już włączone dla usługi PIM dla grup.
Wybierz grupę, którą chcesz zarządzać.
Wybierz pozycję Przypisania.
Użyj kwalifikujących się przypisań i bloków Aktywne przypisania, aby przejrzeć istniejące przypisania członkostwa lub własności dla wybranej grupy.
Wybierz pozycję Aktualizuj lub Usuń , aby zaktualizować lub usunąć przypisanie członkostwa lub własności.