本文包含有关 Microsoft Entra ID 在由 PIM 管理的组和访问包过期时间不同场景下的行为的信息。 通过将由 PIM 管理的组分配给访问包,您可以在请求访问包时分配合格的角色。 如果要查找有关如何设置组以通过访问包分配合格角色的指南,请参阅:通过 Privileged Identity Management for Groups 分配符合条件的组成员身份和访问包的所有权(预览版)。
访问包过期时间较短
当访问包的到期日期比 PIM 中“合格分配到期时间后”的持续时间短时,PIM 分配将在访问包过期时一同到期。
示例:
| 访问包策略分配过期 | PIM 策略最大分配持续时间 | Microsoft Entra ID 行为 |
|---|---|---|
| 30 天 | 365 天 | 当创建访问策略分配时,权利管理会在 PIM 分配上设置 365 天的到期时间,而在访问策略分配过期 30 天后删除该 PIM 分配。 |
较短的 PIM 持续时间
当 PIM“过期合格分配在”的持续时间在访问包分配之前到期时,不论访问包的到期日期如何,一旦 PIM 分配过期,访问权限将被吊销。
示例:
| 访问包策略分配过期 | PIM 策略最大分配持续时间 | Microsoft Entra ID 行为 |
|---|---|---|
| 180 天 | 40 天 | 创建访问策略分配时,权利管理会设置 PIM 分配的 40 天到期时间。 第 41 天,尽管仍分配了访问包,但会撤销访问权限。 |
永久访问包分配
如果访问包分配是永久性的,则会根据 PIM“符合条件的分配在过期后”分配到期时撤销访问权限。
示例:
| 访问包策略分配过期 | PIM 策略最大指派时间 | Microsoft Entra ID 行为 |
|---|---|---|
| 无(永久允许) | 40 天 | 创建访问策略分配时,权利管理会设置 PIM 分配的 40 天到期时间。 第 41 天,尽管仍分配了访问包,但会撤销访问权限。 |
永久性的 PIM 分配
当 PIM“使符合条件的分配过期”分配为永久时,只有当访问包分配过期时,才会将其删除。
示例:
| 访问包策略分配过期 | PIM 策略最大指派时间 | Microsoft Entra ID 行为 |
|---|---|---|
| 60 天 | 无(永久允许) | 权限管理创建 PIM 任务,并将其设置为访问包策略分配中的永久状态。 访问包策略分配过期后的第 61 天将撤销访问权限。 |
永久访问包和 PIM 分配
如果访问包和 PIM“在之后过期符合条件的分配”均是永久性的,则 PIM 分配将在访问包分配的期限内保持有效。
示例:
| 访问包策略分配过期 | PIM 策略最大指派时间 | Microsoft Entra ID 行为 |
|---|---|---|
| 无(永久允许) | 无(永久允许) | 权限管理创建并将 PIM 分配设置为永久。 仅当通过其他方式(例如删除请求)删除访问包分配时,才会删除 PIM 分配。 |