将组引入 Privileged Identity Management

在 Microsoft Entra ID 中,可以使用 Privileged Identity Management (PIM) 来管理组中的即时成员身份或组的即时所有权。 组可用于提供对 Microsoft Entra 角色、Azure 角色和其他各种场景的访问权限。 若要在 PIM 中管理某个 Microsoft Entra 组,必须将该组纳入 PIM 的管理。

标识要管理的组

提示

本文中的步骤可能因开始使用的门户而略有不同。

在开始之前,需要一个 Microsoft Entra 安全组或 Microsoft 365 组。 若要详细了解 Microsoft Entra ID 中的组管理,请参阅管理 Microsoft Entra 组和组成员身份

无法在用于组的 PIM 中管理动态组以及从本地环境同步的组。

你需要有适当的权限才能将组引入 Microsoft Entra PIM。 对于可分配角色的组,你至少需要具有特权角色管理员角色或者成为组的所有者。 对于不可分配角色的组,至少需要具有目录编写者、组管理员、标识治理管理员、用户管理员角色或成为组的所有者。 管理员的角色分配应限定在目录级别(而不是管理单元级别)。

注意

具有管理组权限的其他角色(例如,不可分配角色的 M365 组的 Exchange 管理员)以及分配限定在管理单元级别的管理员可以通过组 API/UX 来管理组,并替代在 Microsoft Entra PIM 中所做的更改。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“Privileged Identity Management”>“群组”。

  3. 在这里你可以查看已为用于组的 PIM 启用的组。

    显示在何处查看已启用“适用于组的 PIM”的组的屏幕截图。

  4. 选择“发现组”,然后选择要纳入 PIM 的管理的组。

    显示在何处选择要纳入 PIM 管理的组的屏幕截图。

  5. 依次选择“管理组”、“确定”。

  6. 选择“”,以返回到在适用于组的 PIM 中启用的组的列表。

或者,可以使用“组”窗格将组引入 Privileged Identity Management。

“组”窗格的屏幕截图,你可以选择一个组以使用 PIM 进行管理。

重要

管理某个组后,无法使其脱离管理。 这可防止其他资源管理员删除 PIM 设置。 如果从 Microsoft Entra ID 中删除了某个组,则最长可能需要 24 小时才能从“适用于组的 PIM”选项中移除该组。

后续步骤