群组特权身份管理 (PIM)

Microsoft Entra ID 允许你通过针对组的特权身份管理 (PIM)，授予用户组的即刻成员资格和所有权。组可用于控制对各种方案的访问，包括 Microsoft Entra 角色、Azure 角色、Azure SQL、Azure Key Vault、Intune、其他应用程序角色和第三方应用程序。

什么是用于组的 PIM？

PIM for Groups 是 Microsoft Entra Privileged Identity Management 的一部分，包括用于 Microsoft Entra 角色的 PIM 和用于 Azure 资源的 PIM。PIM for Groups 使用户能够激活 Microsoft Entra 安全组或 Microsoft 365 组的所有权或成员身份。组可用于控制对各种方案的访问权限，包括Microsoft Entra 角色、Azure 角色、Azure SQL、Azure Key Vault、Intune、其他应用程序角色和第三方应用程序。

在用于组的 PIM 中，可以使用与用于 Microsoft Entra 角色的 PIM 和用于 Azure 资源的 PIM 中类似的策略：可以要求审批成员身份或所有权激活、强制实施多重身份验证 (MFA)、要求提供理由、限制最大激活时间，等等。用于组的 PIM 中的每个组有两个策略：一个用于激活成员身份，另一个用于激活组中的所有权。直到 2023 年 1 月，针对组的特权身份管理（PIM）功能称为“特权访问组”。

注意

对于用于提升到 Microsoft Entra 角色的组，我们建议你要求对合格成员分配进行审批。如果分配未经批准即可激活，你可能容易遭受特权较低的管理员带来的安全风险。例如，支持管理员有权重置符合条件的用户的密码。

适用于组的 PIM 和所有权停用

Microsoft Entra ID 不允许删除该组的最后一位（活跃）所有者。例如，请考虑具有活动所有者 A 和符合条件的所有者 B 的组。如果用户 B 使用 PIM 激活其所有权，然后以后的用户 A 将从组或租户中删除，则用户 B 的所有权停用不会成功。

PIM 将尝试停用用户 B 的所有权长达 30 天。如果将另一个活跃的所有者 C 添加到组中，停用将会成功。如果在 30 天后停用失败，PIM 将停止尝试停用用户 B 的所有权，并且用户 B 将继续为活动所有者。

什么是 Microsoft Entra 可分配角色的组？

使用 Microsoft Entra ID 时，可以将 Microsoft Entra 安全组或 Microsoft 365 组分配给 Microsoft Entra 角色。此操作仅适用于作为可分配角色的组创建的组。

与不可分配角色的组相比，可分配角色的组受益于额外的保护：

可分配角色的组–只能由全局管理员、特权角色管理员或组所有者管理。此外，其他任何用户都无法更改作为该组（有效）成员的用户的凭据。此功能有助于防止管理员在未经请求和审批的情况下提升为更高特权的角色。
不可分配角色的组 - 各种Microsoft Entra 角色可以管理这些组 - 包括 Exchange 管理员、组管理员、用户管理员。此外，各种 Microsoft Entra 角色（包括身份验证管理员、帮助台管理员和用户管理员）可以更改作为小组活跃成员的用户的凭据。

要详细了解 Microsoft Entra ID 内置角色及其权限，请参阅 Microsoft Entra 内置角色。

Microsoft Entra 可分配角色的组功能不属于 Microsoft Entra Privileged Identity Management（Microsoft Entra PIM）的一部分。有关许可的详细信息，请参阅 Microsoft Entra ID Governance 许可基础知识。

可分配角色的组与用于组的 PIM 之间的关系

Microsoft Entra ID 中的组可以分类为可分配角色或不可分配角色。此外，可以允许或不允许任何组与用于组的 Microsoft Entra Privileged Identity Management (PIM) 配合使用。这是组的独立属性。可以在用于组的 PIM 中启用任何 Microsoft Entra 安全组和任何 Microsoft 365 组（动态成员资格组和从本地环境同步的组除外）。组不一定要是可分配角色的组即可在用于组的 PIM 中启用。

如果你想要将 Microsoft Entra 角色分配给某个组，那么该组必须具有角色分配功能。即使您不打算将 Microsoft Entra 角色分配给该组，但如果该组提供对敏感资源的访问，仍然建议考虑将该组创建为可分配角色。这是因为可分配角色的组具有额外的保护 - 请参阅上一部分中的“什么是 Microsoft Entra 可分配角色的组？”。

重要

在 2023 年 1 月之前，每个特权访问组（用于组的 PIM 功能的旧名称）必须是可分配角色的组。目前已消除此项限制。因此，现在可以在 PIM 中为每个租户启用超过 500 个组，但其中最多只有 500 个组可以分配角色。

使一组用户符合Microsoft Entra 角色的条件

可以通过两种方式使用户组有资格获得 Microsoft Entra 角色：

将用户主动分配到组，然后将该组分配到符合激活条件的角色。
将角色主动分配到组，然后分配用户，使之有资格获得组成员身份。

若要为一组用户提供对含有 SharePoint、Exchange 或 Microsoft Purview 门户权限的 Microsoft Entra 角色（如 Exchange 管理员角色）的按需访问权限，请确保用户在组中有活动分配，然后将该组分配为有资格激活的角色（参见上述选项 #1）。如果您选择主动将组分配给角色，而将用户指定为有资格成为组成员，那么激活角色的所有权限并准备使用可能需要很长时间。

换句话说，为了避免激活延迟，请使用 Microsoft Entra 角色的 PIM 而不是用于组的 PIM，以提供对 SharePoint、Exchange 或 Microsoft Purview 门户的及时访问。有关详细信息，请参阅在 PIM 中激活角色后访问 SharePoint 或 OneDrive 时出错。

Privileged Identity Management 和组嵌套

在 Microsoft Entra ID 中，可分配角色的组中不能嵌套其他组。有关详细信息，请参阅使用 Microsoft Entra 组来管理角色分配。这适用于有效成员身份：一个组不能是另一个可分配角色的组的有效成员。

一个组可以是另一个组的合格成员，即使其中一个组是可分配角色的组。

如果某个用户是组 A 的有效成员，而组 A 是组 B 的合格成员，则该用户可以激活其在组 B 中的成员身份。这种激活仅适用于请求激活的用户，并不意味着整个组 A 会成为组 B 的有效成员。

特权身份管理和应用程序配置

如果为组配置了应用预配，则组成员身份激活会触发使用 SCIM 协议向应用程序预配组成员身份（以及用户帐户本身）。

在 PIM 中激活组成员身份后，有一项功能会触发预配。预配配置取决于应用程序。通常，建议至少为应用程序分配两个组。根据应用程序中的角色数，可以选择定义其他“特权组”：

组	Purpose	成员	组成员身份	在应用程序中分配的角色
所有用户组	确保需要访问应用程序的所有用户始终被配置到应用程序。	需要访问应用程序的所有用户。	积极	无特权或低权限角色
特权组	提供对应用程序中特权角色的实时访问。	需要对应用程序中的特权角色具有实时访问权限的用户。	合格	特权角色

重要注意事项

将用户预配到应用程序需要多长时间？
- 如果用户被添加到 Microsoft Entra ID 中的组，但未使用 Microsoft Entra Privileged Identity Management (PIM) 激活其组成员身份：
  - 组成员身份将在下一个同步周期期间在应用程序中预配。同步周期每 40 分钟运行一次。
- 如果用户在 Microsoft Entra PIM 中激活了其组成员身份：
  - 组成员身份将在 2 到 10 分钟内预配完成。当同时存在多个较高速率的请求时，请求的速率将限制为每 10 秒 5 个请求。
  - 对于在 10 秒内针对特定应用程序激活其组成员身份的前 5 个用户，将在 2-10 分钟内在该应用程序中预配其组成员身份。
  - 对于在 10 秒内针对特定应用程序激活其组成员身份的第六个及以更后面的用户，将在下一个同步周期为其向该应用程序预配组成员身份。同步周期每 40 分钟运行一次。针对每个企业应用程序的节流限额。
如果用户无法访问目标应用程序中所需的组，请查看 PIM 日志和预配日志，以确保组成员身份已成功更新。根据目标应用程序的架构方式，组成员身份可能需要额外的时间才能在应用程序中生效。
使用 Azure Monitor 可以创建故障警报。

后续步骤

Last updated on 2026-04-03

Partager via