Udostępnij za pośrednictwem

Aktywuj członkostwo w grupie lub status własności w usłudze Privileged Identity Management

  • Artykuł

Możesz użyć usługi Privileged Identity Management (PIM) w usłudze Microsoft Entra ID, aby mieć członkostwo na żądanie w grupie lub właścicielstwo na żądanie grupy.

Ten artykuł dotyczy uprawnionych członków lub właścicieli, którzy chcą aktywować członkostwo w grupie lub własność w PIM.

Ważne

Po aktywowaniu członkostwa w grupie lub własności Microsoft Entra PIM tymczasowo dodaje przypisanie aktywne. Usługa Microsoft Entra PIM tworzy aktywne przypisanie (dodaje użytkownika jako członka lub właściciela grupy) w ciągu kilku sekund. W przypadku dezaktywacji (ręcznej lub po upływie czasu aktywacji), system Microsoft Entra PIM usuwa członkostwo lub własność użytkownika w grupie w ciągu kilku sekund.

Aplikacja może zapewnić dostęp do użytkowników na podstawie członkostwa w grupie. W niektórych sytuacjach dostęp do aplikacji może nie odzwierciedlać natychmiast faktu, że użytkownik został dodany do grupy lub usunięty z niej. Jeśli aplikacja wcześniej buforowała fakt, że użytkownik nie jest członkiem grupy – gdy użytkownik spróbuje ponownie uzyskać dostęp do aplikacji, dostęp może nie zostać udzielony. Podobnie, jeśli aplikacja wcześniej buforował fakt, że użytkownik jest członkiem grupy — gdy członkostwo w grupie jest dezaktywowane, użytkownik może nadal uzyskać dostęp. Konkretna sytuacja zależy od architektury aplikacji. W przypadku niektórych aplikacji wylogowanie się i ponowne zalogowanie może pomóc w dodaniu lub usunięciu dostępu.

Usługa PIM dla grup i dezaktywacji własności

Identyfikator Entra firmy Microsoft nie umożliwia usunięcia ostatniego (aktywnego) właściciela grupy. Rozważmy na przykład grupę z aktywnym właścicielem A i uprawnionym właścicielem B. Jeśli użytkownik B aktywuje swoją własność przy użyciu PIM, a później użytkownik A zostanie usunięty z grupy lub z dzierżawcy, dezaktywacja własności użytkownika B nie powiedzie się.

Usługa PIM podejmie próbę dezaktywowania własności użytkownika B przez maksymalnie 30 dni. Jeśli do grupy zostanie dodany inny aktywny właściciel C, dezaktywacja zakończy się pomyślnie. Jeśli dezaktywacja zakończy się niepowodzeniem po upływie 30 dni, usługa PIM przestanie dezaktywować własność użytkownika B, a użytkownik B będzie nadal aktywnym właścicielem.

Aktywuj rolę

Jeśli musisz objąć członkostwo w grupie lub prawo własności, możesz poprosić o aktywację za pomocą opcji nawigacyjnej Moje role w usłudze PIM.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administrator Ról Uprzywilejowanych.

  2. Przejdź do Zarządzanie tożsamościami>Uprzywilejowane zarządzanie tożsamościami>Moje role>Grupy.

    Uwaga

    Możesz również użyć tego krótkiego linku, aby bezpośrednio otworzyć stronę Moje role.

  3. Korzystając z bloku Kwalifikujące się przypisania , przejrzyj listę grup, dla których masz kwalifikujące się członkostwo lub własność.

    Zrzut ekranu przedstawiający listę grup, dla których masz kwalifikujące się członkostwo lub własność.

  4. Wybierz Aktywuj dla przypisania, które kwalifikuje się do aktywacji.

  5. W zależności od ustawienia grupy może zostać wyświetlony monit o podanie uwierzytelniania wieloskładnikowego lub innej formy poświadczeń.

  6. W razie potrzeby określ niestandardowy czas rozpoczęcia aktywacji. Członkostwo lub własność mają zostać aktywowane dopiero po wybranym czasie.

  7. W zależności od ustawienia grupy może być wymagane uzasadnienie aktywacji. W razie potrzeby podaj uzasadnienie w polu Przyczyna.

    Zrzut ekranu przedstawiający miejsce podania uzasadnienia w polu Przyczyna.

  8. Wybierz Aktywuj.

Jeśli rola wymaga zatwierdzenia, w prawym górnym rogu przeglądarki zostanie wyświetlone powiadomienie platformy Azure informujące o oczekiwaniu na zatwierdzenie żądania.

Wyświetlanie stanu żądań

Możesz wyświetlić stan oczekujących wniosków do aktywacji. n Ważne jest, gdy żądania są zatwierdzane przez inną osobę.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Przejdź do pozycji Zarządzanie tożsamościami>Privileged Identity Management>Moje żądaniaGrupy.

  3. Przejrzyj listę żądań.

    Zrzut ekranu przedstawiający miejsce przeglądania listy żądań.

Anuluj oczekujące żądanie

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Przejdź do Zarządzanie tożsamościami>Privileged Identity Management>Moje żądaniaGrupy.

    Zrzut ekranu przedstawiający miejsce wybierania żądania, które chcesz anulować.

  3. W przypadku żądania, które chcesz anulować, wybierz pozycję Anuluj.

Po wybraniu pozycji Anuluj żądanie zostanie anulowane. Aby ponownie aktywować rolę, musisz przesłać nowe żądanie aktywacji.

Następne kroki