Активация членства в группе или владения в управление привилегированными пользователями

  • Статья

Вы можете использовать управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra, чтобы иметь JIT-членство в группе или JIT-владение группой.

Эта статья предназначена для соответствующих участников или владельцев, которые хотят активировать членство в группе или владение в PIM.

Важно!

При активации членства в группе или владения Microsoft Entra PIM временно добавляет активное назначение. Microsoft Entra PIM создает активное назначение (добавляет пользователя в качестве участника или владельца группы) в течение секунд. При деактивации (вручную или через истечение срока действия активации) Microsoft Entra PIM также удаляет членство пользователя в группе или владение в течение нескольких секунд.

Приложение может предоставлять доступ пользователям на основе их членства в группе. В некоторых ситуациях доступ к приложению может не сразу отразить тот факт, что пользователь был добавлен в группу или удален из него. Если приложение ранее кэшировало тот факт, что пользователь не входит в группу— когда пользователь пытается получить доступ к приложению еще раз, доступ может не предоставляться. Аналогичным образом, если приложение ранее кэшировало тот факт, что пользователь является членом группы, то при отключении членства в группе пользователь может получить доступ. Конкретная ситуация зависит от архитектуры приложения. Для некоторых приложений выход и вход могут помочь получить доступ к добавлению или удалению.

Privileged Identity Management - Resource Roles - Audit (Управление привилегированными пользователями — роли ресурсов — аудит)

Если вам нужно взять на себя членство в группе или владение, вы можете запросить активацию с помощью параметра навигации "Мои роли " в PIM.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> Мы группы ролей.>

    Примечание.

    Вы также можете использовать эту короткую ссылку , чтобы открыть страницу "Мои роли " напрямую.

  3. В колонке "Допустимые назначения" просмотрите список групп, для которых у вас есть право на членство или владение.

    Screenshot of the list of groups that you have eligible membership or ownership for.

  4. Выберите "Активировать " для соответствующего назначения, которое вы хотите активировать.

  5. В зависимости от параметра группы может потребоваться предоставить многофакторную проверку подлинности или другую форму учетных данных.

  6. При необходимости укажите время начала настраиваемой активации. Членство или владение должно быть активировано только после выбранного времени.

  7. В зависимости от параметра группы может потребоваться обоснование активации. При необходимости укажите обоснование в поле "Причина ".

    Screenshot of where to provide a justification in the Reason box.

  8. Выберите Активировать.

Если для активации роли требуется утверждение, в правом верхнем углу браузера появится уведомление Azure о том, что запрос ожидает утверждения.

Просмотр состояния запросов

Вы можете просмотреть состояние запросов, ожидающих активации. Важно, когда ваши запросы проходят утверждение другого человека.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> My requestsGroups.

  3. Просмотрите список запросов.

    Screenshot of where to review the list of requests.

Отмена ожидающего запроса

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> My requestsGroups.

    Screenshot of where to select the request you want to cancel.

  3. Для запроса, который требуется отменить, нажмите кнопку "Отмена".

При нажатии кнопки "Отмена" запрос отменяется. Чтобы снова активировать роль, необходимо отправить новый запрос на активацию.

Следующие шаги