Sdílet prostřednictvím

Přiřazení způsobilosti pro skupinu ve službě Privileged Identity Management

  • Článek

V Microsoft Entra ID, dříve označované jako Azure Active Directory, můžete použít Privileged Identity Management (PIM) ke správě členství za běhu ve skupině nebo vlastnictví skupiny za běhu.

Když je přiřazeno členství nebo vlastnictví, přiřazení:

  • Nedá se přiřadit po dobu kratší než pět minut.
  • Nejde odebrat během pěti minut od přiřazení.

Poznámka:

Každý uživatel, který má nárok na členství nebo vlastnictví PIM pro skupiny, musí mít licenci microsoft Entra ID P2 nebo Microsoft Entra ID governance. Další informace najdete v tématu Licenční požadavky pro použití Privileged Identity Management.

Přiřazení vlastníka nebo člena skupiny

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud chcete, aby uživatel byl oprávněným členem nebo vlastníkem skupiny, postupujte podle těchto kroků. Ke správě skupin potřebujete oprávnění. U skupin s možností přiřazení rolí musíte být alespoň rolí správce privilegovaných rolí nebo vlastníkem skupiny. U nepřiřazovatelných skupin, které nejsou přiřazené rolí, musíte být alespoň zapisovač adresáře, správce skupin nebo správce zásad správného řízení identit, role Správce uživatelů nebo vlastník skupiny. Přiřazení rolí pro správce by měla být vymezena na úrovni adresáře (ne na úrovni jednotky pro správu).

Poznámka:

Jiné role s oprávněními ke správě skupin (například Správci Exchange pro skupiny M365 bez role) a správci s přiřazeními vymezenými na úrovni jednotek pro správu můžou spravovat skupiny prostřednictvím rozhraní API nebo uživatelského rozhraní Skupiny a přepsat změny provedené v Nástroji Microsoft Entra PIM.

  1. Přihlaste se do Centra pro správu Microsoft Entra

  2. Přejděte ke skupinám Privileged Identity Management>v zásadách správného řízení>identit.

  3. Tady můžete zobrazit skupiny, které už jsou pro PIM pro skupiny povolené.

    Snímek obrazovky, kde můžete zobrazit skupiny, které už jsou povolené pro PIM pro skupiny

  4. Vyberte skupinu, kterou potřebujete spravovat.

  5. Vyberte zadání.

  6. Pomocí oken Opravňující přiřazení a Aktivní přiřazení můžete zkontrolovat stávající přiřazení členství nebo vlastnictví pro vybranou skupinu.

    Snímek obrazovky, kde můžete zkontrolovat stávající přiřazení členství nebo vlastnictví pro vybranou skupinu

  7. Vyberte Přidat přiřazení.

  8. V části Vybrat roli vyberte mezi členy a vlastníkem , které chcete přiřadit členství nebo vlastnictví.

  9. Vyberte členy nebo vlastníky, které chcete pro skupinu použít.

    Snímek obrazovky s místem, kde vybrat členy nebo vlastníky, kteří mají mít nárok na skupinu

  10. Vyberte Další.

  11. V seznamu typů zadání vyberte Možnost Nárok nebo Aktivní. Privileged Identity Management poskytuje dva různé typy přiřazení:

    • Oprávněné přiřazení vyžaduje, aby člen nebo vlastník provedl aktivaci, aby roli používal. Aktivace můžou také vyžadovat poskytnutí vícefaktorového ověřování (MFA), poskytnutí obchodního odůvodnění nebo vyžádání schválení od určených schvalovatelů.

    Důležité

    U skupin používaných pro zvýšení oprávnění k rolím Microsoft Entra společnost Microsoft doporučuje, abyste pro oprávněná přiřazení členů vyžadovali schvalovací proces. Přiřazení, která se dají aktivovat bez schválení, vás můžou ohrozit bezpečnostní riziko od jiného správce s oprávněním k resetování hesel oprávněných uživatelů.

    • Aktivní přiřazení nevyžadují, aby člen provedl aktivaci, aby roli používal. Členové nebo vlastníci přiřazení jako aktivní mají oprávnění přiřazená k roli vždy.

  12. Pokud má být přiřazení trvalé (trvale způsobilé nebo trvale přiřazené), zaškrtněte políčko Trvale . V závislosti na nastavení skupiny se nemusí zaškrtávací políčko zobrazovat nebo nemusí být upravitelné. Další informace najdete v článku Konfigurace PIM pro nastavení skupin v privilegované službě Identity Management .

    Snímek obrazovky, kde nakonfigurovat nastavení pro přidání přiřazení

  13. Vyberte Přiřadit.

Aktualizace nebo odebrání existujícího přiřazení role

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud chcete aktualizovat nebo odebrat existující přiřazení role, postupujte podle těchto kroků. Ke správě skupin potřebujete oprávnění. U skupin s možností přiřazení rolí musíte být alespoň rolí správce privilegovaných rolí nebo vlastníkem skupiny. U nepřiřazovatelných skupin musíte mít alespoň adresářový zapisovač, správce skupin, správce zásad správného řízení identit, roli Správce uživatelů nebo vlastník skupiny. Přiřazení rolí pro správce by měla být vymezena na úrovni adresáře (ne na úrovni jednotky pro správu).

Poznámka:

Jiné role s oprávněními ke správě skupin (například Správci Exchange pro skupiny M365 bez role) a správci s přiřazeními vymezenými na úrovni jednotek pro správu můžou spravovat skupiny prostřednictvím rozhraní API nebo uživatelského rozhraní Skupiny a přepsat změny provedené v Nástroji Microsoft Entra PIM.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte ke skupinám Privileged Identity Management>v zásadách správného řízení>identit.

  3. Tady můžete zobrazit skupiny, které už jsou pro PIM pro skupiny povolené.

    Snímek obrazovky, kde můžete zobrazit skupiny, které už jsou povolené pro PIM pro skupiny

  4. Vyberte skupinu, kterou potřebujete spravovat.

  5. Vyberte zadání.

  6. Pomocí oken Opravňující přiřazení a Aktivní přiřazení můžete zkontrolovat stávající přiřazení členství nebo vlastnictví pro vybranou skupinu.

    Snímek obrazovky, kde můžete zkontrolovat stávající přiřazení členství nebo vlastnictví pro vybranou skupinu

  7. Výběrem možnosti Aktualizovat nebo Odebrat můžete aktualizovat nebo odebrat přiřazení členství nebo vlastnictví.

Další kroky