Tilldela berättigande för en grupp i Privileged Identity Management

  • Artikel

I Microsoft Entra-ID, som tidigare kallades Azure Active Directory, kan du använda Privileged Identity Management (PIM) för att hantera just-in-time-medlemskap i gruppen eller just-in-time-ägarskapet för gruppen.

När ett medlemskap eller ägarskap tilldelas, tilldelningen:

  • Det går inte att tilldelas under en varaktighet på mindre än fem minuter
  • Det går inte att ta bort det inom fem minuter efter att det har tilldelats

Kommentar

Alla användare som är berättigade till medlemskap i eller ägarskap för en PIM för grupper måste ha en Microsoft Entra ID P2- eller Microsoft Entra ID-styrningslicens. Mer information finns i Licenskrav för att använda Privileged Identity Management.

Tilldela en ägare eller medlem i en grupp

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Följ de här stegen för att göra en användare berättigad medlem eller ägare av en grupp. Du behöver behörigheter för att hantera grupper. För rolltilldelningsbara grupper måste du ha rollen Global administratör, Privilegierad rolladministratör eller vara ägare till gruppen. För icke-rolltilldelningsbara grupper måste du ha global administratör, katalogförfattare, gruppadministratör, identitetsstyrningsadministratör, användaradministratörsroll eller vara ägare till gruppen. Rolltilldelningar för administratörer bör begränsas på katalognivå (inte på administrativ enhetsnivå).

Kommentar

Andra roller med behörighet att hantera grupper (till exempel Exchange-administratörer för icke-rolltilldelningsbara M365-grupper) och administratörer med tilldelningar som är begränsade på administrativ enhetsnivå kan hantera grupper via gruppers API/UX och åsidosätta ändringar som gjorts i Microsoft Entra PIM.

  1. Logga in på Microsoft Entra administrationscenter

  2. Bläddra till Identitetsstyrning>Privilegierade identitetshanteringsgrupper.>

  3. Här kan du visa grupper som redan är aktiverade för PIM för grupper.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Välj den grupp som du behöver hantera.

  5. Välj Tilldelningar.

  6. Använd bladen Berättigade tilldelningar och Aktiva tilldelningar för att granska befintliga medlemskaps- eller ägartilldelningar för den valda gruppen.

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. Välj Lägg till tilldelningar.

  8. Under Välj roll väljer du mellan Medlem och Ägare för att tilldela medlemskap eller ägarskap.

  9. Välj de medlemmar eller ägare som du vill göra berättigade till gruppen.

    Screenshot of where to select the members or owners you want to make eligible for the group.

  10. Välj Nästa.

  11. I listan Tilldelningstyp väljer du Berättigad eller Aktiv. Privileged Identity Management innehåller två olika tilldelningstyper:

    • Berättigad tilldelning kräver att medlem eller ägare utför en aktivering för att använda rollen. Aktiveringar kan också kräva att du tillhandahåller en multifaktorautentisering (MFA), tillhandahåller en affärsmotivering eller begär godkännande från utsedda godkännare.

    Viktigt!

    För grupper som används för att höja till Microsoft Entra-roller rekommenderar Microsoft att du behöver en godkännandeprocess för berättigade medlemstilldelningar. Tilldelningar som kan aktiveras utan godkännande kan göra dig sårbar för en säkerhetsrisk från en annan administratör med behörighet att återställa en berättigad användares lösenord.

    • Aktiva tilldelningar kräver inte att medlemmen utför några aktiveringar för att använda rollen. Medlemmar eller ägare som har tilldelats som aktiva har tilldelats rollen hela tiden.

  12. Om tilldelningen ska vara permanent (permanent berättigad eller permanent tilldelad) markerar du kryssrutan Permanent . Beroende på gruppens inställningar kanske kryssrutan inte visas eller kanske inte kan redigeras. Mer information finns i artikeln Konfigurera PIM för grupper i Privileged Identity Management .

    Screenshot of where to configure the setting for add assignments.

  13. Välj Tilldela.

Uppdatera eller ta bort en befintlig rolltilldelning

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Följ de här stegen för att uppdatera eller ta bort en befintlig rolltilldelning. Du behöver behörigheter för att hantera grupper. För rolltilldelningsbara grupper måste du ha rollen Global administratör, Privilegierad rolladministratör eller vara ägare till gruppen. För icke-rolltilldelningsbara grupper måste du ha global administratör, katalogförfattare, gruppadministratör, identitetsstyrningsadministratör, användaradministratörsroll eller vara ägare till gruppen. Rolltilldelningar för administratörer bör begränsas på katalognivå (inte på administrativ enhetsnivå).

Kommentar

Andra roller med behörighet att hantera grupper (till exempel Exchange-administratörer för icke-rolltilldelningsbara M365-grupper) och administratörer med tilldelningar som är begränsade på administrativ enhetsnivå kan hantera grupper via gruppers API/UX och åsidosätta ändringar som gjorts i Microsoft Entra PIM.

  1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

  2. Bläddra till Identitetsstyrning>Privilegierade identitetshanteringsgrupper.>

  3. Här kan du visa grupper som redan är aktiverade för PIM för grupper.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Välj den grupp som du behöver hantera.

  5. Välj Tilldelningar.

  6. Använd bladen Berättigade tilldelningar och Aktiva tilldelningar för att granska befintliga medlemskaps- eller ägartilldelningar för den valda gruppen.

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. Välj Uppdatera eller ta bort för att uppdatera eller ta bort medlemskaps- eller ägartilldelningen.

Nästa steg