Delen via


Geschiktheid toewijzen voor een groep in Privileged Identity Management

In Microsoft Entra ID, voorheen bekend als Azure Active Directory, kunt u Privileged Identity Management (PIM) gebruiken om just-in-time-lidmaatschap van de groep of just-in-time eigendom van de groep te beheren.

Wanneer een lidmaatschap of eigendom is toegewezen, wordt de toewijzing als volgt toegewezen:

  • Kan niet worden toegewezen voor een duur van minder dan vijf minuten
  • Kan niet worden verwijderd binnen vijf minuten nadat deze is toegewezen

Notitie

Elke gebruiker die in aanmerking komt voor lidmaatschap of eigendom van een PIM for Groups, moet beschikken over een Microsoft Entra ID P2- of Microsoft Entra ID-governance licentie. Zie Licentievereisten voor het gebruik van Privileged Identity Management voor meer informatie.

Een eigenaar of lid van een groep toewijzen

Tip

Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.

Volg deze stappen om ervoor te zorgen dat een gebruiker in aanmerking komt voor een lid of eigenaar van een groep. U hebt machtigingen nodig om groepen te beheren. Voor roltoewijzingsgroepen moet u ten minste de rol Beheerder van bevoorrechte rollen hebben of een eigenaar van de groep zijn. Voor niet-rolbedeelbare groepen moet u ten minste een directoryschrijver, groepsbeheerder of identiteitsbeheerbeheerder, gebruikersbeheerder of eigenaar van de groep zijn. Roltoewijzingen voor beheerders moeten worden toegewezen op directoryniveau (niet op beheereenheidniveau).

Notitie

Andere rollen met machtigingen voor het beheren van groepen (zoals Exchange-beheerders voor niet-roltoewijsbare M365-groepen) en beheerders met toewijzingen die zijn gericht op beheereenheidniveau, kunnen groepen beheren via groepen-API/UX en wijzigingen negeren die zijn aangebracht in Microsoft Entra PIM.

  1. Meld u aan bij het Microsoft Entra-beheercentrum

  2. Blader naar Privileged Identity Management-groepen voor identiteitsbeheer>>.

  3. Hier kunt u groepen bekijken die al zijn ingeschakeld voor PIM voor groepen.

    Schermopname van waar u groepen kunt weergeven die al zijn ingeschakeld voor PIM voor groepen.

  4. Selecteer de groep die u wilt beheren.

  5. Selecteer Opdrachten.

  6. Gebruik de blades In aanmerking komende toewijzingen en actieve toewijzingen om bestaande lidmaatschaps- of eigendomstoewijzingen voor de geselecteerde groep te controleren.

    Schermopname van waar u bestaande lidmaatschaps- of eigendomstoewijzingen voor de geselecteerde groep kunt controleren.

  7. Selecteer Toewijzingen toevoegen.

  8. Kies onder Rol selecteren tussen Lid en Eigenaar om lidmaatschap of eigendom toe te wijzen.

  9. Selecteer de leden of eigenaren die u in aanmerking wilt maken voor de groep.

    Schermopname van de locatie waar u de leden of eigenaren selecteert die u in aanmerking wilt nemen voor de groep.

  10. Selecteer Volgende.

  11. Selecteer In de lijst Toewijzingstype de optie In aanmerking komend of Actief. Privileged Identity Management biedt twee verschillende toewijzingstypen:

    • Voor in aanmerking komende toewijzing moet een lid of eigenaar een activering uitvoeren om de rol te kunnen gebruiken. Voor activeringen kan ook een meervoudige verificatie (MFA) zijn vereist, een zakelijke reden worden verstrekt of goedkeuring wordt aangevraagd bij aangewezen goedkeurders.

    Belangrijk

    Voor groepen die worden gebruikt voor het verhogen van Microsoft Entra-rollen, raadt Microsoft u aan een goedkeuringsproces te vereisen voor in aanmerking komende lidtoewijzingen. Toewijzingen die zonder goedkeuring kunnen worden geactiveerd, kunnen u kwetsbaar maken voor een beveiligingsrisico van een andere beheerder met toestemming om de wachtwoorden van een in aanmerking komende gebruiker opnieuw in te stellen.

    • Voor actieve toewijzingen hoeft het lid geen activeringen uit te voeren om de rol te gebruiken. Leden of eigenaren die als actief zijn toegewezen, hebben altijd de bevoegdheden die aan de rol zijn toegewezen.
  12. Als de toewijzing permanent moet zijn (permanent in aanmerking komend of permanent toegewezen), schakelt u het selectievakje Permanent in . Afhankelijk van de instellingen van de groep wordt het selectievakje mogelijk niet weergegeven of kan het niet worden bewerkt. Raadpleeg het artikel Pim configureren voor groepen in het artikel Privileged Identity Management voor meer informatie.

    Schermopname van waar de instelling voor het toevoegen van toewijzingen moet worden geconfigureerd.

  13. Selecteer Toewijzen.

Een bestaande roltoewijzing bijwerken of verwijderen

Tip

Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.

Volg deze stappen om een bestaande roltoewijzing bij te werken of te verwijderen. U hebt machtigingen nodig om groepen te beheren. Voor roltoewijzingsgroepen moet u ten minste de rol Beheerder van bevoorrechte rollen hebben of een eigenaar van de groep zijn. Voor niet-roltoewijzingsgroepen moet u ten minste de rol Directory Writer, Groepsbeheerder, Identiteitsbeheerbeheerder, Gebruikersbeheerder of Eigenaar van de groep zijn. Roltoewijzingen voor beheerders moeten worden toegewezen op directoryniveau (niet op beheereenheidniveau).

Notitie

Andere rollen met machtigingen voor het beheren van groepen (zoals Exchange-beheerders voor niet-roltoewijsbare M365-groepen) en beheerders met toewijzingen die zijn gericht op beheereenheidniveau, kunnen groepen beheren via groepen-API/UX en wijzigingen negeren die zijn aangebracht in Microsoft Entra PIM.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.

  2. Blader naar Privileged Identity Management-groepen voor identiteitsbeheer>>.

  3. Hier kunt u groepen bekijken die al zijn ingeschakeld voor PIM voor groepen.

    Schermopname van waar u groepen kunt weergeven die al zijn ingeschakeld voor PIM voor groepen.

  4. Selecteer de groep die u wilt beheren.

  5. Selecteer Opdrachten.

  6. Gebruik de blades In aanmerking komende toewijzingen en actieve toewijzingen om bestaande lidmaatschaps- of eigendomstoewijzingen voor de geselecteerde groep te controleren.

    Schermopname van waar u bestaande lidmaatschaps- of eigendomstoewijzingen voor de geselecteerde groep kunt controleren.

  7. Selecteer Bijwerken of verwijderen om het lidmaatschap of de eigendomstoewijzing bij te werken of te verwijderen.

Volgende stappen