Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
概述
在Microsoft Entra ID中,可以使用Privileged Identity Management(PIM)来管理组中的实时成员身份或组的实时所有权。
分配成员身份或所有权时,情况如下:
- 分配持续时间不能少于五分钟
- 分配后五分钟内无法删除
注意
有资格成为组 PIM 成员或拥有组 PIM 所有权的每个用户都必须具备 Microsoft Entra ID P2 或 Microsoft Entra ID 治理 许可证。 有关详细信息,请参阅使用特权身份管理的许可证要求。
分配组的所有者或成员
按照以下步骤使用户成为组的合格成员或所有者。 你需要具有管理组的权限。 你需要至少是特权角色管理员或组的所有者,才能管理具有可分配角色的组。 对于无法分配角色的组,您至少需要是目录编制者、组管理员、身份治理管理员或用户管理员,或者是该组的所有者。 管理员的角色分配应限定在目录级别(而不是管理单元级别)。
注意
具有管理组权限的其他角色(如无法分配角色的 Microsoft 365 组的 Exchange 管理员)和具有管理单元级别分配的管理员,可以通过组 API/UX 管理组,并覆盖在 Microsoft Entra PIM 中所做的更改。
登录到 Microsoft Entra 管理中心。
浏览到 ID Governance>Privileged Identity Management>Groups。
在这里,您可以查看已为 PIM 启用的组。
选择需要管理的组。
选择任务。
使用“符合条件的分配”和“活动分配”边栏选项卡,查看所选组的现有成员身份或所有权分配。
选择“添加任务”。
在“选择角色”下,在“成员”和“所有者”之间进行选择,以分配成员身份或所有权。
选择要使其符合组资格的成员或所有者。
选择“下一页”。
在 “分配类型 ”列表中,选择“ 合格 ”或“ 活动”。 Privileged Identity Management提供两种不同的分配类型:
- 符合条件的分配要求成员或所有者执行激活才能使用该角色。 激活可能还需要提供多重身份验证(MFA)、提供业务理由或请求指定审批者的批准。
重要
对于提升为 Microsoft Entra 角色的组,Microsoft 建议对具备资格的成员分配制定审批流程。 那些无需经过批准即可激活的分配可能会让你面临由其他有权限重置符合条件用户密码的管理员带来的安全风险。
- 活动分配不要求成员执行任何激活便可使用该角色。 被指定为活跃的成员或所有者始终拥有被分配给该角色的权限。
如果分配应是永久的(永久合格或永久分配),请选中 “永久 ”复选框。 根据组的设置,该复选框可能不会显示或不可编辑。 有关详细信息,请查阅文章 配置 PIM for Groups 设置在 Privileged Identity Management 中。
选择分配。
更新或删除现有的角色分配
按照以下步骤更新或删除现有的角色分配。 你需要具有管理组的权限。 你需要至少是特权角色管理员或组的所有者,才能管理具有可分配角色的组。 对于不可分配角色的组,至少需要具有目录编写器、组管理员、标识治理管理员或用户管理员角色,或者成为组的所有者。 管理员的角色分配应限定在目录级别(而不是管理单元级别)。
注意
具有管理组权限的其他角色(如无法分配角色的 Microsoft 365 组的 Exchange 管理员)和具有管理单元级别分配的管理员,可以通过组 API/UX 管理组,并覆盖在 Microsoft Entra PIM 中所做的更改。
以至少 特权角色管理员 身份登录到 Microsoft Entra 管理中心。
浏览到 ID Governance>Privileged Identity Management>Groups。
在这里,您可以查看已为 PIM 启用的组。
选择需要管理的组。
选择任务。
使用“符合条件的分配”和“活动分配”边栏选项卡,查看所选组的现有成员身份或所有权分配。
选择“更新”或“删除”以更新或删除成员身份或所有权分配。