Przypisywanie uprawnień do grupy w usłudze Privileged Identity Management

W usłudze Microsoft Entra ID, wcześniej znanej jako Azure Active Directory, możesz użyć usługi Privileged Identity Management (PIM) do zarządzania członkostwem just in time w grupie lub własnością just in time grupy.

Przypisanie przypisania członkostwa lub własności:

• Nie można przypisać go na czas krótszy niż pięć minut
• Nie można go usunąć w ciągu pięciu minut od jej przypisania

Uwaga

Każdy użytkownik, który kwalifikuje się do członkostwa w usłudze PIM dla grup, musi mieć licencję Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra. Aby uzyskać więcej informacji, zobacz Wymagania licencyjne dotyczące korzystania z usługi Privileged Identity Management.

Przypisywanie właściciela lub członka grupy

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Wykonaj następujące kroki, aby utworzyć użytkownika uprawnionego członka lub właściciela grupy. Musisz mieć uprawnienia do zarządzania grupami. W przypadku grup z możliwością przypisywania ról musisz być co najmniej rolą Administrator ról uprzywilejowanych lub właścicielem grupy. W przypadku grup, które nie można przypisywać ról, musisz być co najmniej składnikem zapisywania katalogów, administratorem grup lub administratorem ładu tożsamości, rolą administratora użytkowników lub właścicielem grupy. Przypisania ról dla administratorów powinny być ograniczone na poziomie katalogu (a nie na poziomie jednostki administracyjnej).

Uwaga

Inne role z uprawnieniami do zarządzania grupami (takimi jak Administratorzy programu Exchange dla grup nieprzypisanych do roli M365) i administratorzy z przypisaniami o określonym zakresie na poziomie jednostki administracyjnej mogą zarządzać grupami za pośrednictwem interfejsu API/środowiska użytkownika grup i zastąpić zmiany wprowadzone w usłudze Microsoft Entra PIM.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra

2. Przejdź do pozycji Zarządzanie tożsamościami>Uprzywilejowane grupy zarządzania tożsamościami.>

3. W tym miejscu można wyświetlić grupy, które są już włączone dla usługi PIM dla grup.

   

4. Wybierz grupę, którą chcesz zarządzać.

5. Wybierz pozycję Przypisania.

6. Użyj kwalifikujących się przypisań i bloków Aktywne przypisania, aby przejrzeć istniejące przypisania członkostwa lub własności dla wybranej grupy.

   

7. Wybierz pozycję Dodaj przypisania.

8. W obszarze Wybierz rolę wybierz pozycję Członek i Właściciel , aby przypisać członkostwo lub własność.

9. Wybierz członków lub właścicieli, którzy mają kwalifikować się do grupy.

   

10. Wybierz Dalej.

11. Na liście Typ przypisania wybierz pozycję Kwalifikujące się lub Aktywne. Usługa Privileged Identity Management udostępnia dwa odrębne typy przypisań:

    • Kwalifikujące się przypisanie wymaga, aby członek lub właściciel wykonał aktywację w celu korzystania z roli. Aktywacje mogą również wymagać podania uwierzytelniania wieloskładnikowego (MFA), dostarczenia uzasadnienia biznesowego lub żądania zatwierdzenia od wyznaczonych osób zatwierdzających.

    Ważne

    W przypadku grup używanych do uzyskiwania ról w usłudze Microsoft Entra firma Microsoft zaleca, aby wymagać procesu zatwierdzania kwalifikujących się przypisań członków. Przypisania, które można aktywować bez zatwierdzenia, mogą pozostawić cię podatnym na zagrożenie bezpieczeństwa ze strony innego administratora z uprawnieniami do resetowania haseł uprawnionych użytkowników.

    • Aktywne przypisania nie wymagają od członka wykonania żadnych aktywacji w celu korzystania z roli. Członkowie lub właściciele przypisani jako aktywni mają uprawnienia przypisane do roli przez cały czas.

12. Jeśli przypisanie powinno być trwałe (trwale kwalifikujące się lub trwale przypisane), zaznacz pole wyboru Trwale . W zależności od ustawień grupy pole wyboru może nie być wyświetlane lub może nie być edytowalne. Aby uzyskać więcej informacji, zapoznaj się z artykułem Konfigurowanie usługi PIM dla grup w usłudze Privileged Identity Management .

    

13. Zaznacz Przypisz.

Aktualizowanie lub usuwanie istniejącego przypisania roli

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Wykonaj następujące kroki, aby zaktualizować lub usunąć istniejące przypisanie roli. Musisz mieć uprawnienia do zarządzania grupami. W przypadku grup z możliwością przypisywania ról musisz być co najmniej rolą Administrator ról uprzywilejowanych lub właścicielem grupy. W przypadku grup, które nie można przypisywać ról, musisz mieć co najmniej składnik zapisywania katalogów, administratora grup, administratora ładu tożsamości, rolę administrator użytkowników lub być właścicielem grupy. Przypisania ról dla administratorów powinny być ograniczone na poziomie katalogu (a nie na poziomie jednostki administracyjnej).

Uwaga

Inne role z uprawnieniami do zarządzania grupami (takimi jak Administratorzy programu Exchange dla grup nieprzypisanych do roli M365) i administratorzy z przypisaniami o określonym zakresie na poziomie jednostki administracyjnej mogą zarządzać grupami za pośrednictwem interfejsu API/środowiska użytkownika grup i zastąpić zmiany wprowadzone w usłudze Microsoft Entra PIM.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.

2. Przejdź do pozycji Zarządzanie tożsamościami>Uprzywilejowane grupy zarządzania tożsamościami.>

3. W tym miejscu można wyświetlić grupy, które są już włączone dla usługi PIM dla grup.

   

4. Wybierz grupę, którą chcesz zarządzać.

5. Wybierz pozycję Przypisania.

6. Użyj kwalifikujących się przypisań i bloków Aktywne przypisania, aby przejrzeć istniejące przypisania członkostwa lub własności dla wybranej grupy.

   

7. Wybierz pozycję Aktualizuj lub Usuń , aby zaktualizować lub usunąć przypisanie członkostwa lub własności.

Następne kroki

• Aktywowanie członkostwa w grupie lub własności w usłudze Privileged Identity Management
• Zatwierdzanie żądań aktywacji dla członków grupy i właścicieli