将组引入 Privileged Identity Management

  • 项目

在 Microsoft Entra ID 中,可以使用 Privileged Identity Management (PIM) 来管理组中的即时成员身份或组的即时所有权。 组可用于提供对 Microsoft Entra 角色、Azure 角色和其他各种场景的访问权限。 若要在 PIM 中管理某个 Microsoft Entra 组,必须将该组纳入 PIM 的管理。

标识要管理的组

提示

本文中的步骤可能因开始使用的门户而略有不同。

在开始之前,需要一个 Microsoft Entra 安全组或 Microsoft 365 组。 若要详细了解 Microsoft Entra ID 中的组管理,请参阅管理 Microsoft Entra 组和组成员身份

无法在用于组的 PIM 中管理动态组以及从本地环境同步的组。

你需要有适当的权限才能将组引入 Microsoft Entra PIM。 对于可分配角色的组,你需要具有“全局管理员”、“特权角色管理员”角色,或者成为组的“所有者”。 对于不可分配角色的组,需要具有全局管理员、目录编写者、组管理员、标识治理管理员、用户管理员角色或组的所有者。 管理员的角色分配应限定在目录级别(而不是管理单元级别)。

注意

具有管理组权限的其他角色(例如,不可分配角色的 M365 组的 Exchange 管理员)以及分配限定在管理单元级别的管理员可以通过组 API/UX 来管理组,并替代在 Microsoft Entra PIM 中所做的更改。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“群组”。

  3. 在这里你可以查看已为用于组的 PIM 启用的组。

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. 选择“发现组”,然后选择要纳入 PIM 的管理的组。

    Screenshot of where to select a group that you want to bring under management with PIM.

  5. 依次选择“管理组”、“确定”。

  6. 选择“”,以返回到在适用于组的 PIM 中启用的组的列表。

注意

或者,可以使用“组”窗格将组引入 Privileged Identity Management。

注意

管理某个组后,无法使其脱离管理。 这可防止其他资源管理员删除 PIM 设置。

重要

如果从 Microsoft Entra ID 中删除了某个组,则最长可能需要 24 小时才能从“适用于组的 PIM”边栏选项卡中移除该组。

后续步骤