适用于组的 Privileged Identity Management (PIM)
Microsoft Entra ID 让你能够通过用于组的 Privileged Identity Management (PIM) 向用户授予组的即时成员身份和所有权。 组可用于控制对各种方案的访问,包括 Microsoft Entra 角色、Azure 角色、Azure SQL、Azure Key Vault、Intune、其他应用程序角色和第三方应用程序。
什么是用于组的 PIM?
适用于组的 PIM 是 Microsoft Entra Privileged Identity Management 的一部分 - 通过结合使用适用于组的 PIM 与适用于 Microsoft Entra 角色的 PIM 和适用于 Azure 资源的 PIM,用户能够激活 Microsoft Entra 安全组或 Microsoft 365 组的所有权或成员身份。 组可用于控制对各种方案的访问,包括 Microsoft Entra 角色、Azure 角色、Azure SQL、Azure Key Vault、Intune、其他应用程序角色和第三方应用程序。
在用于组的 PIM 中,可以使用与用于 Microsoft Entra 角色的 PIM 和用于 Azure 资源的 PIM 中类似的策略:可以要求审批成员身份或所有权激活、强制实施多重身份验证 (MFA)、要求提供理由、限制最大激活时间,等等。 用于组的 PIM 中的每个组有两个策略:一个用于激活成员身份,另一个用于激活组中的所有权。 在 2023 年 1 月之前,用于组的 PIM 功能称为“特权访问组”。
注意
对于那些用于提升为 Microsoft Entra 角色的组,我们建议你要求对符合条件的成员的分配执行审批流程。 如果分配未经批准即可激活,你可能容易遭受特权较低的管理员带来的安全风险。 例如,支持管理员有权重置符合条件的用户的密码。
什么是 Microsoft Entra 可分配角色的组?
使用 Microsoft Entra ID 时,可以将 Microsoft Entra 安全组或 Microsoft 365 组分配给 Microsoft Entra 角色。 此操作仅适用于作为可分配角色的组创建的组。
与不可分配角色的组相比,可分配角色的组享受额外的保护:
- 可分配角色的组–只能由全局管理员、特权角色管理员或组所有者管理。 此外,其他任何用户都无法更改作为该组(有效)成员的用户的凭据。 此功能有助于防止管理员在未经请求和审批的情况下提升为更高特权的角色。
- 不可分配角色的组 - 各种 Microsoft Entra 角色都可以管理这些组 - 包括 Exchange 管理员、组管理员、用户管理员等。此外,各种 Microsoft Entra 角色还可以更改属于组(活动)成员的用户的凭据(包括身份验证管理员、帮助台管理员、用户管理员等)。
要详细了解 Microsoft Entra ID 内置角色及其权限,请参阅 Microsoft Entra 内置角色。
Microsoft Entra 可分配角色的组功能不属于 Microsoft Entra Privileged Identity Management (Microsoft Entra PIM)。 有关许可的详细信息,请参阅 Microsoft Entra ID 治理许可基础知识。
可分配角色的组与用于组的 PIM 之间的关系
Microsoft Entra ID 中的组可以分类为可分配角色或不可分配角色。 此外,可以允许或不允许任何组与 Microsoft Entra Privileged Identity Management (PIM) for Groups 配合使用。 这是组的独立属性。 可以在用于组的 PIM 中启用任何 Microsoft Entra 安全组和任何 Microsoft 365 组(动态组和从本地环境同步的组除外)。 组并非必须是可分配角色的组才能在用于组的 PIM 中启用。
如果你想要将 Microsoft Entra 角色分配到某个组,那么该组必须是可分配角色的组。 即使你不打算将 Microsoft Entra 角色分配到组,但该组提供对敏感资源的访问权限,我们也仍建议考虑将该组创建为可分配角色的组。 这是因为可分配角色的组具有额外的保护 - 请参阅上一部分中的“什么是 Microsoft Entra 可分配角色的组?”。
重要
在 2023 年 1 月之前,每个特权访问组(用于组的 PIM 功能的旧名称)必须是可分配角色的组。 目前已消除此项限制。 因此,现在可以在 PIM 中为每个租户启用 500 个以上的组,但最多只能有 500 个组是可分配角色的组。
使用户组有资格获得 Microsoft Entra 角色
可以通过两种方式使用户组有资格获得 Microsoft Entra 角色:
- 将用户主动分配到组,然后将该组分配到符合激活条件的角色。
- 将角色主动分配到组,然后分配用户,使之有资格获得组成员身份。
若要为一组用户提供对 Microsoft Entra 角色的即时访问权限,使之在 SharePoint、Exchange 或安全与 Microsoft Purview 合规性门户中具有权限(例如 Exchange 管理员角色),请确保将用户主动分配到组,然后将该组分配到有资格进行激活的角色(上面的选项 #1)。 如果你选择将组主动分配到角色,并分配用户,使之有资格获得组成员身份,则可能需要很长时间才能激活角色的所有权限并让其可供使用。
Privileged Identity Management 和组嵌套
在 Microsoft Entra ID 中,可分配角色的组中不能嵌套其他组。 有关详细信息,请参阅使用 Microsoft Entra 组来管理角色分配。 这适用于有效成员身份:一个组不能是另一个可分配角色的组的有效成员。
一个组可以是另一个组的合格成员,即使其中一个组是可分配角色的组。
如果某个用户是组 A 的有效成员,而组 A 是组 B 的合格成员,则该用户可以激活其在组 B 中的成员身份。这种激活仅适用于请求激活的用户,并不意味着整个组 A 会成为组 B 的有效成员。