共用方式為

在 Privileged Identity Management 中啟用您的群組成員資格或擁有權

  • 發行項

您可以在 Microsoft Entra ID 中使用特權身份管理 (PIM),以即時方式成為群組成員或擁有群組的即時擁有權。

本文適用於想在 PIM 中啟用其群組成員資格或擁有權的合格成員或擁有者。

重要

當啟用群組成員資格或擁有權時,Microsoft Entra PIM 會暫時地新增為有效的指派。 Microsoft Entra PIM 會在幾秒內建立作用中指派 (將使用者新增為群組的成員或擁有者)。 停用 (手動或透過啟用時間到期) 發生時,Microsoft Entra PIM 也會在幾秒鐘內移除使用者的群組成員資格或擁有權。

應用程式可能會根據其群組成員資格為使用者提供存取權。 在某些情況下,應用程式存取可能不會立即反映使用者已新增至群組或從群組移除的事實。 如果應用程式先前快取了使用者不是群組成員的事實,當使用者再次嘗試存取應用程式時,則可能不會為其提供存取權。 同樣地,如果應用程式先前快取使用者是群組成員的事實,在停用群組成員資格時,使用者仍可能會取得存取權。 特定情況取決於應用程式的架構。 對於某些應用程式,登出後重新登入可能有助於新增或移除存取權。

針對群組和擁有權停用的 PIM

Microsoft Entra 識別碼不允許您移除群組的最後一個(使用中)擁有者。 例如,請考慮具有作用中擁有者 A 和合格擁有者 B 的群組。如果使用者 B 使用 PIM 啟動其擁有權,然後稍後的使用者 A 會從群組或租用戶中移除,則停用使用者 B 的擁有權將不會成功。

PIM 將嘗試停用使用者 B 的擁有權長達 30 天。 如果將另一位活躍的擁有者 C 增加到群組中,則停用將會成功。 如果停用在 30 天後失敗,PIM 將不再嘗試停用使用者 B 的擁有權,而使用者 B 將繼續是作用中的擁有者。

啟用角色

當您需要加入群組成員或取得擁有權時,可以在 PIM 中使用 [我的角色]導航選項來請求啟用。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至「身分識別治理」>「特權身分管理」>「我的角色」>「群組」

    注意

    您也可以使用此簡短連結直接開啟 [我的角色]頁面。

  3. 使用 [合格指派] 面板,檢閱您具有合格成員資格或擁有權的群組清單。

    您具有合格成員資格或擁有權的群組清單螢幕擷取畫面。

  4. 選取 [啟用] 以啟用您想要的合格指派。

  5. 視群組的設定而定,系統可能會要求您提供多重要素驗證或其他形式的認證。

  6. 如有必要,請指定自訂啟用開始時間。 成員資格或擁有權只會在選取的時間之後啟用。

  7. 視群組設定而定,可能需要提供啟用的理由。 如有需要,請在 [原因]方塊中提供理由。

    [原因] 方塊中提供理由位置的螢幕擷取畫面。

  8. 選取啟用

角色需要核准才能啟用,便會在瀏覽器右上角顯示通知,提示您要求正在等待核准。

檢視要求狀態

您可以檢視等待啟用的請求狀態。 n 當您的要求接受另一個人的核准時,這很重要。

  1. 登入 Microsoft Entra 系統管理中心。

  2. 瀏覽至 [身分識別治理]>[特權身份管理]>[我的請求][群組]

  3. 檢視請求清單。

    檢閱要求清單位置的螢幕擷取畫面。

取消擱置中的要求

  1. 登入 Microsoft Entra 系統管理中心。

  2. 瀏覽至 [身分識別治理]>[特權身份管理]>[我的請求][群組]

    選取您要取消之要求位置的螢幕擷取畫面。

  3. 針對要取消的要求,選取 [取消]

選取 [取消]時會取消要求。 若要再次啟用角色,您必須提交新的啟用要求。

下一步