Назначение права на группу в управление привилегированными пользователями
В идентификаторе Microsoft Entra, ранее известном как Azure Active Directory, вы можете использовать управление привилегированными пользователями (PIM) для управления JIT-членством в группе или jit-владельцем группы.
При назначении членства или владения назначение:
- не может быть назначено на период менее пяти минут;
- не может быть удалено в течение пяти минут после назначения.
Примечание.
Каждый пользователь, имеющий право на членство или владение PIM для групп, должен иметь лицензию Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra. Дополнительные сведения см. в статье Требования к лицензии для использования PIM.
Назначение владельца или члена группы
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Выполните следующие действия, чтобы сделать пользователя соответствующим участником или владельцем группы. Вам нужны разрешения для управления группами. Для групп, назначаемых ролями, необходимо быть по крайней мере ролью администратора привилегированных ролей или быть владельцем группы. Для групп, не назначаемых ролем, необходимо быть по крайней мере администратором каталога, администратором групп или администратором управления удостоверениями, ролью администратора пользователей или владельцем группы. Назначения ролей для администраторов должны быть ограничены на уровне каталога (а не на уровне административной единицы).
Примечание.
Другие роли с разрешениями на управление группами (такими как администраторы Exchange для групп, не назначаемых ролями) и администраторы с назначениями на уровне административной единицы могут управлять группами с помощью API групп или пользовательского интерфейса и переопределить изменения, внесенные в Microsoft Entra PIM.
Перейдите к управлению удостоверениями>> Groups.
Здесь можно просмотреть группы, которые уже включены для PIM для групп.
Выберите группу, которой будете управлять.
Выберите назначения.
Используйте колонки "Допустимые назначения" и "Активные назначения", чтобы просмотреть существующие назначения членства или владения для выбранной группы.
Щелкните Добавить назначения.
В разделе "Выбор роли" выберите между участником и владельцем , чтобы назначить членство или владение.
Выберите участников или владельцев, которые вы хотите сделать подходящим для группы.
Выберите Далее.
В списке Тип назначения выберите Допустимое или Активное. управление привилегированными пользователями предоставляет два разных типа назначения:
- Для использования роли требуется, чтобы участник или владелец выполнял активацию. Активации также могут потребовать предоставления многофакторной аутентификации (MFA), предоставления бизнес-обоснования или запроса утверждения от назначенных лиц.
Внимание
Для групп, используемых для повышения привилегий в роли Microsoft Entra, корпорация Майкрософт рекомендует требовать процесс утверждения для соответствующих назначений участников. Назначения, которые могут быть активированы без утверждения, могут подвергать вас риску нарушения безопасности, исходящему от другого администратора, имеющего разрешение на сброс паролей соответствующих пользователей.
- Активные назначения не требуют, чтобы член выполнял какие-либо активации для использования роли. Члены или владельцы, назначенные как активные, имеют права, назначенные роли в любое время.
Если назначение должно быть постоянным (постоянное соответствие или назначение на постоянной основе), установите соответствующий флажок. В зависимости от параметров группы флажок может не отображаться или не может быть редактируемым. Дополнительные сведения см. в разделе "Настройка PIM для групп" в статье управление привилегированными пользователями.
Выберите Назначить.
Обновление или удаление существующего назначения роли
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Выполните следующие действия, чтобы обновить или удалить существующее назначение роли. Вам нужны разрешения для управления группами. Для групп, назначаемых ролями, необходимо быть по крайней мере ролью администратора привилегированных ролей или быть владельцем группы. Для групп, не назначаемых ролем, необходимо иметь по крайней мере запись каталогов, администратор групп, администратор управления удостоверениями, роль администратора пользователей или быть владельцем группы. Назначения ролей для администраторов должны быть ограничены на уровне каталога (а не на уровне административной единицы).
Примечание.
Другие роли с разрешениями на управление группами (такими как администраторы Exchange для групп, не назначаемых ролями) и администраторы с назначениями на уровне административной единицы могут управлять группами с помощью API групп или пользовательского интерфейса и переопределить изменения, внесенные в Microsoft Entra PIM.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к управлению удостоверениями>> Groups.
Здесь можно просмотреть группы, которые уже включены для PIM для групп.
Выберите группу, которой будете управлять.
Выберите назначения.
Используйте колонки "Допустимые назначения" и "Активные назначения", чтобы просмотреть существующие назначения членства или владения для выбранной группы.
Выберите "Обновить " или "Удалить ", чтобы обновить или удалить назначение членства или владения.