概述
在Microsoft Entra ID中,可以使用Privileged Identity Management(PIM)来管理组中的实时成员身份或组的实时所有权。 使用组来提供对 Microsoft Entra 角色、Azure 角色以及其他各种场景的访问权限。 若要在 PIM 中管理Microsoft Entra组,必须在 PIM 中对其进行管理。
识别要管理的组
在开始之前,需要Microsoft Entra安全组或Microsoft 365组。 若要详细了解Microsoft Entra ID中的组管理,请参阅 Manage Microsoft Entra 组和组成员身份。
不能在 PIM for Groups 中管理从本地环境同步的动态组和组。
需要适当的权限才能将组引入 Microsoft Entra PIM。 对于可分配角色的组,你至少需要拥有“特权角色管理员”角色或成为该组的所有者。 对于不可分配角色的组,至少需要具有目录编写器、组管理员、标识治理管理员或用户管理员角色,或者成为组的所有者。 管理员的角色分配应限定在目录级别(而不是管理单元级别)。
注意
具有管理组权限的其他角色(如无法分配角色的 Microsoft 365 组的 Exchange 管理员)和具有管理单元级别分配的管理员,可以通过组 API/UX 管理组,并覆盖在 Microsoft Entra PIM 中所做的更改。
以特权角色管理员身份登录到Microsoft Entra 管理中心。
浏览到 ID Governance>Privileged Identity Management>Groups。
查看已启用 PIM 管理的组。
选择“发现组”,然后选择您想要用 PIM 管理的组。
选择“管理组”并点击“确定”。
选择“组”,以返回到在适用于组的 PIM 中启用的组的列表。
或者,可以使用“组”窗格将组置于Privileged Identity Management下。
重要
管理某个组后,无法使其脱离管理。 这可防止其他资源管理员删除 PIM 设置。 如果从 Microsoft Entra ID 中删除一个组,在 PIM for Groups 选项中删除该组可能需要长达 24 小时。