适用于组的 Privileged Identity Management (PIM)

Microsoft Entra ID 让你能够通过用于组的 Privileged Identity Management (PIM) 向用户授予组的即时成员身份和所有权。 组可用于控制对各种方案的访问,包括 Microsoft Entra 角色、Azure 角色、Azure SQL、Azure Key Vault、Intune、其他应用程序角色和第三方应用程序。

什么是用于组的 PIM?

用于组的 PIM 是 Microsoft Entra Privileged Identity Management 的一部分 – 与用于 Microsoft Entra 角色的 PIM 和用于 Azure 资源的 PIM 相结合,用于组的 PIM 使用户能够激活 Microsoft Entra 安全组或 Microsoft 365 组的所有权或成员身份。 组可用于控制对各种方案的访问,包括 Microsoft Entra 角色、Azure 角色、Azure SQL、Azure Key Vault、Intune、其他应用程序角色和第三方应用程序。

在用于组的 PIM 中,可以使用与用于 Microsoft Entra 角色的 PIM 和用于 Azure 资源的 PIM 中类似的策略:可以要求审批成员身份或所有权激活、强制实施多重身份验证 (MFA)、要求提供理由、限制最大激活时间,等等。 用于组的 PIM 中的每个组有两个策略:一个用于激活成员身份,另一个用于激活组中的所有权。 在 2023 年 1 月之前,用于组的 PIM 功能称为“特权访问组”。

注意

对于那些用于提升为 Microsoft Entra 角色的组,我们建议你要求对符合条件的成员的分配执行审批流程。 如果分配未经批准即可激活,你可能容易遭受特权较低的管理员带来的安全风险。 例如,支持管理员有权重置符合条件的用户的密码。

什么是 Microsoft Entra 可分配角色的组?

使用 Microsoft Entra ID 时,可以将 Microsoft Entra 安全组或 Microsoft 365 组分配给 Microsoft Entra 角色。 此操作仅适用于作为可分配角色的组创建的组。

要详细了解 Microsoft Entra 可分配角色的组,请参阅在 Microsoft Entra ID 中创建可分配角色的组

与不可分配角色的组相比,可分配角色的组享受额外的保护:

  • 可分配角色的组–只能由全局管理员、特权角色管理员或组所有者管理。 此外,其他任何用户都无法更改作为该组(有效)成员的用户的凭据。 此功能有助于防止管理员在未经请求和审批的情况下提升为更高特权的角色。
  • 不可分配角色的组 - 各种 Microsoft Entra 角色都可以管理这些组 - 包括 Exchange 管理员、组管理员、用户管理员等。 此外,各种 Microsoft Entra 角色还可以更改属于组(活动)成员的用户的凭据(包括身份验证管理员、帮助台管理员、用户管理员等)。

要详细了解 Microsoft Entra ID 内置角色及其权限,请参阅 Microsoft Entra 内置角色

Microsoft Entra 可分配角色的组功能不属于 Microsoft Entra Privileged Identity Management (Microsoft Entra PIM)。 有关许可的详细信息,请参阅 Microsoft Entra ID 治理许可基础知识

可分配角色的组与用于组的 PIM 之间的关系

Microsoft Entra ID 中的组可以分类为可分配角色或不可分配角色。 此外,可以允许或不允许任何组与 Microsoft Entra Privileged Identity Management (PIM) for Groups 配合使用。 这是组的独立属性。 可以在组的 PIM 中启用任何 Microsoft Entra 安全组和任何 Microsoft 365 组(动态成员资格组和从本地环境同步的组除外)。 组并非必须是可分配角色的组才能在用于组的 PIM 中启用。

如果你想要将 Microsoft Entra 角色分配到某个组,那么该组必须是可分配角色的组。 即使你不打算将 Microsoft Entra 角色分配到组,但该组提供对敏感资源的访问权限,我们也仍建议考虑将该组创建为可分配角色的组。 这是因为可分配角色的组享受额外的保护 - 请参阅上一部分中的“什么是 Microsoft Entra 可分配角色的组?”。

重要

在 2023 年 1 月之前,每个特权访问组(用于组的 PIM 功能的旧名称)必须是可分配角色的组。 目前已消除此项限制。 因此,现在可以在 PIM 中为每个租户启用 500 个以上的组,但最多只能有 500 个组是可分配角色的组。

使用户组有资格获得 Microsoft Entra 角色

可以通过两种方式使用户组有资格获得 Microsoft Entra 角色:

  1. 将用户主动分配到组,然后将该组分配到符合激活条件的角色。
  2. 将角色主动分配到组,然后分配用户,使之有资格获得组成员身份。

若要为一组用户提供对 Microsoft Entra 角色的即时访问权限,使之在 SharePoint、Exchange 或安全与 Microsoft Purview 合规性门户中具有权限(例如 Exchange 管理员角色),请确保将用户主动分配到组,然后将该组分配到有资格进行激活的角色(上面的选项 #1)。 如果你选择将组主动分配到角色,并分配用户,使之有资格获得组成员身份,则可能需要很长时间才能激活角色的所有权限并让其可供使用。

Privileged Identity Management 和组嵌套

在 Microsoft Entra ID 中,可分配角色的组中不能嵌套其他组。 有关详细信息,请参阅使用 Microsoft Entra 组来管理角色分配。 这适用于有效成员身份:一个组不能是另一个可分配角色的组的有效成员。

一个组可以是另一个组的合格成员,即使其中一个组是可分配角色的组。

如果某个用户是组 A 的有效成员,而组 A 是组 B 的合格成员,则该用户可以激活其在组 B 中的成员身份。这种激活仅适用于请求激活的用户,并不意味着整个组 A 会成为组 B 的有效成员。

Privileged Identity Management 和应用预配

如果为应用预配配置了组,则激活组成员身份会触发使用 SCIM 协议将组成员身份预配到应用程序,如果之前未预配用户帐户,还会预配用户帐户本身。

我们提供了在 PIM 中激活组成员身份后立即触发预配的功能。 预配配置取决于应用程序。 通常,我们建议向应用程序至少分配两个组。 根据应用程序中的角色数,可以选择定义其他“特权组。”:

目的 成员 组成员身份 在应用程序中分配的角色
所有用户组 确保需要访问应用程序的所有用户不断预配到应用程序。 需要访问应用程序的所有用户。 活动 无特权或低特权角色
特权组 提供对应用程序中特权角色的实时访问。 需要对应用程序中的特权角色具有实时访问权限的用户。 合格 特权角色

重要注意事项

  • 将用户预配到应用程序需要多长时间?
    • 如果用户被添加到 Microsoft Entra ID 中的组,但未使用 Microsoft Entra Privileged Identity Management (PIM) 激活其组成员身份:
      • 组成员身份在下一个同步周期期间在应用程序中进行配置。 同步周期每 40 分钟运行一次。
    • 如果用户在 Microsoft Entra PIM 中激活了其组成员身份:
      • 组成员身份将在 2-10 分钟内预配完毕。 当同时存在多个较高速率的请求时,请求的速率将限制为每 10 秒 5 个请求。
      • 对于在 10 秒内针对特定应用程序激活其组成员身份的前 5 个用户,将在 2-10 分钟内在该应用程序中预配其组成员身份。
      • 对于在 10 秒内针对特定应用程序激活其组成员身份的第六个及以更后面的用户,将在下一个同步周期为其向该应用程序预配组成员身份。 同步周期每 40 分钟运行一次。 限制是针对每个企业应用程序的。
  • 如果用户无法访问目标应用程序中的必要组,请查看 PIM 日志和预配日志,以确保组成员身份已成功更新。 根据目标应用程序的架构方式,组成员身份可能需要额外的时间才能在应用程序中生效。
  • 借助 Azure Monitor,客户可以针对故障创建警报。

后续步骤