可以使用 Microsoft Entra ID 中的 Privileged Identity Management (PIM)在组中具有实时成员身份或组的实时所有权。
本文适用于想要在 PIM 中激活其组成员身份或所有权的合格成员或所有者。
重要
激活组成员身份或所有权后,Microsoft Entra PIM 临时添加活动分配。 Microsoft Entra PIM 会在数秒内创建活动分配(将用户添加为组的成员或所有者)。 停用(手动或通过激活时间过期)发生时,Microsoft Entra PIM 也会在几秒钟内删除用户的组成员身份或所有权。
应用程序可能会根据其组成员身份向用户提供访问权限。 在某些情况下,应用程序访问可能不会立即反映用户已添加到组或从组中删除的事实。 如果应用程序以前缓存了用户不是组成员的事实 - 当用户再次尝试访问应用程序时,可能不会提供访问权限。 同样,如果应用程序以前缓存了用户是组成员的事实 - 当停用组成员身份时,用户仍可能获得访问权限。 具体情况取决于应用程序的体系结构。 对于某些应用程序,注销和重新登录可能有助于添加或删除访问权限。
适用于组的 PIM 和所有权停用
Microsoft Entra ID 不允许删除组的最后一个(活跃的)所有者。 例如,请考虑具有活动所有者 A 和符合条件的所有者 B 的组。如果用户 B 使用 PIM 激活其所有权,然后以后的用户 A 将从组或租户中删除,则用户 B 的所有权停用不会成功。
PIM 将尝试停用用户 B 的所有权长达 30 天。 如果将另一个活跃的所有者 C 添加到组中,停用将会成功。 如果在 30 天后停用失败,PIM 将停止尝试停用用户 B 的所有权,并且用户 B 将继续为活动所有者。
激活角色
当你需要获得组成员身份或所有权时,可以使用 PIM 中的“我的角色”导航选项请求激活。
登录到 Microsoft Entra 管理中心。
浏览到 ID Governance>Privileged Identity Management>My roles>Groups。
注意事项
还可以使用此 短链接 直接打开 “我的角色 ”页。
在 “符合条件的任务” 边栏中,查看你具符合条件成员身份或拥有所有权的组列表。
选择要激活的合格分配,然后选择“激活”。
根据组的设置,可能会要求你提供多重身份验证或其他形式的凭据。
根据需要指定自定义的激活开始时间。 成员身份或所有权仅在所选时间后激活。
根据组的设置,可能需要激活理由。 如果需要,请在 “原因 ”框中提供理由。
选择 激活。
如果 role 需要审批才能激活,浏览器右上角会显示一条Azure通知,通知你请求正在等待审批。
查看请求的状态
可以查看等待激活的请求的状态。 当你的请求接受其他人的批准时,这一点很重要。
登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>我的请求>组。
查看请求列表。
取消挂起的请求
登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>我的请求>组。
对于要取消的请求,选择“取消”。
选择 “取消”时,请求将被取消。 要再次激活该角色,必须提交新的激活请求。