Privileged Identity Management (PIM) för grupper
Med Microsoft Entra-ID kan du bevilja användare just-in-time-medlemskap och ägarskap för grupper via Privileged Identity Management (PIM) för grupper. Grupper kan användas för att styra åtkomsten till en mängd olika scenarier, till exempel Microsoft Entra-roller, Azure-roller, Azure SQL, Azure Key Vault, Intune, andra programroller och program från tredje part.
Vad är PIM för grupper?
PIM för grupper är en del av Microsoft Entra Privileged Identity Management – tillsammans med PIM för Microsoft Entra-roller och PIM för Azure-resurser gör PIM för grupper det möjligt för användare att aktivera ägarskap eller medlemskap i en Microsoft Entra-säkerhetsgrupp eller Microsoft 365-grupp. Grupper kan användas för att styra åtkomsten till olika scenarier som innehåller Microsoft Entra-roller, Azure-roller, Azure SQL, Azure Key Vault, Intune, andra programroller och program från tredje part.
Med PIM för grupper kan du använda principer som liknar dem som du använder i PIM för Microsoft Entra-roller och PIM för Azure-resurser: du kan kräva godkännande för medlemskap eller ägarskapsaktivering, framtvinga multifaktorautentisering (MFA), kräva motivering, begränsa maximal aktiveringstid med mera. Varje grupp i PIM för grupper har två principer: en för aktivering av medlemskap och en annan för aktivering av ägarskap i gruppen. Fram till januari 2023 kallades funktionen PIM för grupper för "Privilegierade åtkomstgrupper".
Kommentar
För grupper som används för att höja till Microsoft Entra-roller rekommenderar vi att du behöver en godkännandeprocess för berättigade medlemstilldelningar. Tilldelningar som kan aktiveras utan godkännande kan göra dig sårbar för en säkerhetsrisk från mindre privilegierade administratörer. Supportadministratören har till exempel behörighet att återställa en berättigad användares lösenord.
Vad är rolltilldelningsbara grupper i Microsoft Entra?
När du arbetar med Microsoft Entra-ID kan du tilldela en Microsoft Entra-säkerhetsgrupp eller Microsoft 365-grupp till en Microsoft Entra-roll. Detta är endast möjligt med grupper som skapas som rolltilldelningsbara.
Mer information om rolltilldelningsbara Microsoft Entra-grupper finns i Skapa en rolltilldelningsbar grupp i Microsoft Entra-ID.
Rolltilldelningsbara grupper har extra skydd jämfört med grupper som inte kan tilldelas rollen:
- Rolltilldelningsbara grupper – endast global administratör, privilegierad rolladministratör eller gruppägare kan hantera gruppen. Dessutom kan inga andra användare ändra autentiseringsuppgifterna för de användare som är (aktiva) medlemmar i gruppen. Den här funktionen hjälper till att förhindra att en administratör höjer till en högre privilegierad roll utan att gå igenom en procedur för begäran och godkännande.
- Icke-rolltilldelningsbara grupper – olika Microsoft Entra-roller kan hantera dessa grupper – som inkluderar Exchange-administratörer, gruppadministratörer, användaradministratörer och så vidare. Dessutom kan olika roller som Microsoft Entra-roller ändra autentiseringsuppgifterna för de användare som är (aktiva) medlemmar i gruppen – som inkluderar autentiseringsadministratörer, supportadministratörer, användaradministratörer och så vidare.
Mer information om inbyggda Microsoft Entra-roller och deras behörigheter finns i Inbyggda Roller i Microsoft Entra.
Rolltilldelningsbar gruppfunktion i Microsoft Entra ingår inte i Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Mer information om licensiering finns i Grunderna för Microsoft Entra ID-styrningslicensiering .
Relation mellan rolltilldelningsbara grupper och PIM för grupper
Grupper i Microsoft Entra-ID kan klassificeras som antingen rolltilldelningsbara eller icke-rolltilldelningsbara. Dessutom kan alla grupper aktiveras eller inte aktiveras för användning med Microsoft Entra Privileged Identity Management (PIM) för grupper. Det här är oberoende egenskaper för gruppen. Alla Microsoft Entra-säkerhetsgrupper och alla Microsoft 365-grupper (förutom dynamiska medlemskapsgrupper och grupper som synkroniseras från lokal miljö) kan aktiveras i PIM för grupper. Gruppen behöver inte vara rolltilldelningsbar grupp för att aktiveras i PIM för grupper.
Om du vill tilldela en Microsoft Entra-roll till en grupp måste den vara rolltilldelbar. Även om du inte tänker tilldela en Microsoft Entra-roll till gruppen, men gruppen ger åtkomst till känsliga resurser, rekommenderar vi ändå att du skapar gruppen som rolltilldelningsbar. Detta beror på extra skydd som rolltilldelningsbara grupper har – se "Vad är rolltilldelningsbara grupper i Microsoft Entra?" i avsnittet ovan.
Viktigt!
Fram till januari 2023 krävdes att varje privilegierad åtkomstgrupp (tidigare namn för den här PIM för grupper)-funktionen måste vara rolltilldelningsbar grupp. Den här begränsningen tas för närvarande bort. Därför är det nu möjligt att aktivera fler än 500 grupper per klientorganisation i PIM, men endast upp till 500 grupper kan tilldelas roller.
Göra en grupp användare berättigade till Microsoft Entra-rollen
Det finns två sätt att göra en grupp användare berättigade till Microsoft Entra-rollen:
- Gör aktiva tilldelningar av användare till gruppen och tilldela sedan gruppen till en roll som berättigad till aktivering.
- Gör en aktiv tilldelning av en roll till en grupp och tilldela användare att vara berättigade till gruppmedlemskap.
Om du vill ge en grupp användare just-in-time-åtkomst till Microsoft Entra-roller med behörigheter i SharePoint, Exchange eller Security & efterlevnadsportal i Microsoft Purview (till exempel Rollen Exchange-administratör) måste du göra aktiva tilldelningar av användare till gruppen och sedan tilldela gruppen till en roll som berättigad till aktivering (alternativ 1 ovan). Om du väljer att göra en aktiv tilldelning av en grupp till en roll och tilldela användare att vara berättigade till gruppmedlemskap i stället kan det ta mycket tid att ha alla behörigheter för rollen aktiverade och redo att användas.
Privileged Identity Management och gruppkapsling
I Microsoft Entra-ID kan rolltilldelningsbara grupper inte ha andra grupper kapslade i dem. Mer information finns i Använda Microsoft Entra-grupper för att hantera rolltilldelningar. Detta gäller för aktivt medlemskap: en grupp kan inte vara aktiv medlem i en annan grupp som kan tilldelas rollen.
En grupp kan vara berättigad medlem i en annan grupp, även om en av dessa grupper kan tilldelas rollen.
Om en användare är aktiv medlem i grupp A och grupp A är berättigad medlem i grupp B kan användaren aktivera sitt medlemskap i grupp B. Den här aktiveringen är bara för den användare som begärde aktiveringen för, det betyder inte att hela grupp A blir aktiv medlem i grupp B.
Privileged Identity Management och appetablering
Om gruppen har konfigurerats för appetablering utlöser aktivering av gruppmedlemskap etablering av gruppmedlemskap (och själva användarkontot om det inte etablerades tidigare) till programmet med hjälp av SCIM-protokollet.
Vi har en funktion som utlöser etablering direkt efter att gruppmedlemskap har aktiverats i PIM. Etableringskonfigurationen beror på programmet. I allmänhet rekommenderar vi att du har minst två grupper tilldelade till programmet. Beroende på antalet roller i ditt program kan du välja att definiera ytterligare "privilegierade grupper":
Grupp | Syfte | Medlemmar | Gruppmedlemskap | Roll tilldelad i programmet |
---|---|---|---|---|
Gruppen Alla användare | Se till att alla användare som behöver åtkomst till programmet ständigt etableras till programmet. | Alla användare som behöver åtkomst till programmet. | Aktiv | Ingen eller lågprivilegierad roll |
Privilegierad grupp | Ge just-in-time-åtkomst till privilegierad roll i programmet. | Användare som behöver just-in-time-åtkomst till privilegierad roll i programmet. | Valbara | Privilegierad roll |
Viktiga överväganden
- Hur lång tid tar det att etablera en användare i programmet?
- När en användare läggs till i en grupp i Microsoft Entra-ID utanför aktiveringen av sitt gruppmedlemskap med hjälp av Microsoft Entra Privileged Identity Management (PIM):
- Gruppmedlemskapet etableras i programmet under nästa synkroniseringscykel. Synkroniseringscykeln körs var 40:e minut.
- När en användare aktiverar sitt gruppmedlemskap i Microsoft Entra PIM:
- Gruppmedlemskapet etableras om 2–10 minuter. När det finns en hög frekvens av begäranden samtidigt begränsas begäranden med en hastighet av fem begäranden per 10 sekunder.
- För de första fem användarna inom en 10-sekundersperiod som aktiverar sitt gruppmedlemskap för ett visst program etableras gruppmedlemskap i programmet inom 2–10 minuter.
- För den sjätte användaren och senare inom en 10-sekundersperiod som aktiverar deras gruppmedlemskap för ett visst program etableras gruppmedlemskap till programmet i nästa synkroniseringscykel. Synkroniseringscykeln körs var 40:e minut. Begränsningsgränserna är per företagsprogram.
- När en användare läggs till i en grupp i Microsoft Entra-ID utanför aktiveringen av sitt gruppmedlemskap med hjälp av Microsoft Entra Privileged Identity Management (PIM):
- Om användaren inte kan komma åt den nödvändiga gruppen i målprogrammet granskar du PIM-loggarna och etableringsloggarna för att säkerställa att gruppmedlemskapet har uppdaterats. Beroende på hur målprogrammet har skapats kan det ta ytterligare tid innan gruppmedlemskapet börjar gälla i programmet.
- Med Hjälp av Azure Monitor kan kunder skapa aviseringar för fel.