Condividi tramite


Inserire gruppi in Privileged Identity Management

In Microsoft Entra ID, è possibile usare Privileged Identity Management (PIM) per gestire l'appartenenza JIT al gruppo o la proprietà JIT del gruppo. I gruppi possono essere usati per fornire l'accesso ai ruoli di Microsoft Entra, ai ruoli di Azure e ad altri scenari diversi. Per gestire un gruppo Microsoft Entra in PIM, è necessario inserirlo nella gestione in PIM.

Identificare i gruppi da gestire

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.

Prima di iniziare, è necessario un gruppo di sicurezza Microsoft Entra o un gruppo Microsoft 365. Per altre informazioni sulla gestione dei gruppi in Microsoft Entra ID, vedere Gestire i gruppi e l'appartenenza ai gruppi di Microsoft Entra.

I gruppi dinamici e i gruppi sincronizzati dall'ambiente locale non possono essere gestiti in PIM per i gruppi.

Sono necessarie le autorizzazioni appropriate per inserire i gruppi in Microsoft Entra PIM. Per i gruppi assegnabili a ruoli, è necessario avere almeno il ruolo di Amministratore ruolo con privilegi o essere un Proprietario del gruppo. Per i gruppi non assegnabili a ruoli, è necessario avere almeno il ruolo di Writer della directory, Amministratore di gruppi, Amministratore della Identity governance o Amministratore utenti, oppure essere Proprietario del gruppo. Le assegnazioni di ruolo per gli amministratori devono essere con ambito a livello di directory (non a livello di unità amministrativa).

Nota

Altri ruoli con autorizzazioni per gestire i gruppi (ad esempio gli amministratori di Exchange per i gruppi di M365 non assegnabili a ruoli) e gli amministratori con assegnazioni con ambito a livello di unità amministrativa possono gestire i gruppi tramite l'esperienza utente/API Gruppi ed eseguire l'override delle modifiche apportate in Microsoft Entra PIM.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Andare a Identity Governance>Privileged Identity Management>Gruppi.

  3. Qui è possibile visualizzare i gruppi già abilitati per PIM per i Gruppi.

    Screenshot della posizione in cui visualizzare i gruppi già abilitati per PIM per i Gruppi.

  4. Selezionare Individua gruppi e selezionare un gruppo che si vuole inserire nella gestione con PIM.

    Screenshot della posizione in cui selezionare un gruppo che si vuole inserire nella gestione con PIM.

  5. Selezionare Gestisci gruppi e OK.

  6. Selezionare Gruppi per tornare all'elenco dei gruppi abilitati in PIM per i Gruppi.

In alternativa, è possibile usare il riquadro Gruppi per portare il gruppo in Privileged Identity Management.

Screenshot del riquadro Gruppi, in modo da poter selezionare un gruppo da portare in gestione con PIM.

Importante

Una volta gestito, un gruppo non può essere rimosso dalla gestione. Questo impedisce che un altro amministratore delle risorse rimuova impostazioni di PIM. Se un gruppo viene eliminato dall'ID Microsoft Entra, potrebbero essere necessarie fino a 24 ore prima che il gruppo venga rimosso dall'opzione PIM per i gruppi .

Passaggi successivi