作为访问包管理器,可以分配想要为访问包中的组提供用户的角色。 通过使用 Privileged Identity Management(PIM)管理组,可以通过指定该组访问为按需进行来增强安全性。 本文介绍如何为组启用 PIM、将组添加到访问包以及验证符合条件的分配是否可用。
先决条件
使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 许可证。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID Governance 许可基础知识。
创建一个组
本部分将指导你创建一个可以通过 PIM 管理的组。 如果已创建要由 PIM 管理的组,请跳到 使用 PIM 启用组管理。
若要创建组,需要执行以下步骤:
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”“组”>“所有组”>。
选择新建组。
为组提供名称和说明,然后完成其他必需选项:
- 组类型: 安全
-
成员身份类型: 选择“分配” 。
选择 创建。
使用 PIM 启用组管理
若要为组启用 PIM 管理,请执行以下步骤:
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>群组。
选择“查找群组”,然后选择要通过 PIM 管理的组。
依次选择“管理组”、“确定”。
选择 “组 ”以返回到 PIM 中为组启用的组列表,并注意到你添加的组现在位于列表中。
重要
管理某个组后,无法使其脱离管理。 这可防止其他资源管理员删除 PIM 设置。 如果从 Microsoft Entra ID 中删除一个组,该组可能需要长达 24 小时才能从 PIM for Groups 选项中消失。
将资源添加到访问包
资源由 PIM 管理后,可以将符合条件的角色添加为访问包中的角色分配。 若要验证这一点,请执行以下作:
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
小窍门
可以完成此任务的其他最低特权角色包括目录所有者和 Access 包管理器。
浏览到 ID 治理>权限管理>访问权限包。
在“访问包”页上,打开要向其中添加资源角色的访问包。
在左侧菜单中,选择“资源角色”。
选择“添加资源角色”以打开“将资源角色添加到访问包”页。
在“资源角色”页上,选择“组和团队”。
选择要添加的组后,在角色下验证是否可以分配活动角色和合格角色。 选择角色后,选择“ 下一步”。
完成填写所需 请求 信息后,请转到 生命周期。
在 PIM 托管组中设置后,验证访问包过期期限不会超过 符合资格的分配 。
注释
如果访问包过期期限超过 PIM 托管组中的“过期合格分配后”策略设置,则可能会导致权利管理与 Privileged Identity Management 之间存在差异,导致用户在 EM 显示仍分配访问权限时丢失访问权限。 有关详细信息,请参阅: 使用 Privileged Identity Management 管理的组和访问包参考。