Assegnare l'idoneità per un gruppo in Privileged Identity Management

In Microsoft Entra ID, noto in precedenza come Azure Active Directory, è possibile usare Privileged Identity Management (PIM) per gestire l'appartenenza JIT nel gruppo o la proprietà JIT del gruppo.

Quando viene assegnata un'appartenenza o una proprietà, l'assegnazione:

  • Non è possibile assegnare per una durata inferiore a cinque minuti
  • Non è possibile rimuoverlo entro cinque minuti dall'assegnazione

Nota

Ogni utente idoneo per l'appartenenza o la proprietà di un PIM per i gruppi deve avere una licenza microsoft Entra ID P2 o Microsoft Entra ID Governance. Per altre informazioni, vedere Requisiti di licenza per l'uso di Privileged Identity Management.

Assegnare un proprietario o un membro di un gruppo

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Seguire questa procedura per rendere un utente membro o proprietario di un gruppo idoneo. Sono necessarie autorizzazioni per gestire i gruppi. Per i gruppi assegnabili a ruoli, è necessario disporre del ruolo global Amministrazione istrator, del ruolo con privilegi Amministrazione istrator o di essere proprietario del gruppo. Per i gruppi non assegnabili a ruoli, è necessario disporre di Amministrazione istrator globale, writer di directory, gruppi Amministrazione istrator, identity governance Amministrazione istrator, ruolo utente Amministrazione istrator o proprietario del gruppo. Le assegnazioni di ruolo per gli amministratori devono essere con ambito a livello di directory (non a livello di unità amministrativa).

Nota

Altri ruoli con autorizzazioni per gestire i gruppi (ad esempio Exchange Amministrazione istrator per i gruppi M365 non assegnabili da ruoli) e gli amministratori con assegnazioni con ambito a livello di unità amministrativa possono gestire i gruppi tramite l'API/l'esperienza utente dei gruppi ed eseguire l'override delle modifiche apportate in Microsoft Entra PIM.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra

  2. Passare a Identity Governance>Privileged Identity Management Groups (Gruppi di gestione>delle identità con privilegi).

  3. Qui è possibile visualizzare i gruppi già abilitati per PIM per i gruppi.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Selezionare il gruppo da gestire.

  5. Selezionare Assegnazioni.

  6. Usare le assegnazioni idonee e i pannelli Assegnazioni attive per esaminare le assegnazioni di appartenenza o di proprietà esistenti per il gruppo selezionato.

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. Selezionare Aggiungi assegnazioni.

  8. In Seleziona ruolo scegliere tra Membro e Proprietario per assegnare l'appartenenza o la proprietà.

  9. Selezionare i membri o i proprietari da rendere idonei per il gruppo.

    Screenshot of where to select the members or owners you want to make eligible for the group.

  10. Selezionare Avanti.

  11. Nell'elenco Tipo di assegnazione selezionare Idoneo o Attivo. Privileged Identity Management offre due tipi di assegnazione distinti:

    • L'assegnazione idonea richiede al membro o al proprietario di eseguire un'attivazione per l'uso del ruolo. Le attivazioni possono anche richiedere la fornitura di un'autenticazione a più fattori (MFA), fornendo una giustificazione aziendale o richiedendo l'approvazione da responsabili approvazione designati.

    Importante

    Per i gruppi usati per elevare i ruoli di Microsoft Entra, Microsoft consiglia di richiedere un processo di approvazione per le assegnazioni di membri idonei. Le assegnazioni che possono essere attivate senza approvazione possono lasciare vulnerabili a un rischio di sicurezza di un altro amministratore con l'autorizzazione per reimpostare le password di un utente idoneo.

    • Le assegnazioni attive non richiedono al membro di eseguire attivazioni per l'uso del ruolo. I membri o i proprietari assegnati come attivi hanno i privilegi assegnati al ruolo in qualsiasi momento.
  12. Se l'assegnazione deve essere permanente (assegnata in modo permanente o permanente), selezionare la casella di controllo Permanente . A seconda delle impostazioni del gruppo, la casella di controllo potrebbe non essere visualizzata o potrebbe non essere modificabile. Per altre informazioni, vedere l'articolo Configurare PIM per le impostazioni dei gruppi in Privileged Identity Management .

    Screenshot of where to configure the setting for add assignments.

  13. Seleziona Assegna.

Aggiornare o rimuovere un'assegnazione di ruolo esistente

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Seguire questi passaggi per aggiornare o rimuovere un'assegnazione di ruolo esistente. Sono necessarie autorizzazioni per gestire i gruppi. Per i gruppi assegnabili a ruoli, è necessario disporre del ruolo global Amministrazione istrator, del ruolo con privilegi Amministrazione istrator o di essere proprietario del gruppo. Per i gruppi non assegnabili a ruoli, è necessario disporre di Amministrazione istrator globale, writer di directory, gruppi Amministrazione istrator, identity governance Amministrazione istrator, ruolo utente Amministrazione istrator o proprietario del gruppo. Le assegnazioni di ruolo per gli amministratori devono essere con ambito a livello di directory (non a livello di unità amministrativa).

Nota

Altri ruoli con autorizzazioni per gestire i gruppi (ad esempio Exchange Amministrazione istrator per i gruppi M365 non assegnabili da ruoli) e gli amministratori con assegnazioni con ambito a livello di unità amministrativa possono gestire i gruppi tramite l'API/l'esperienza utente dei gruppi ed eseguire l'override delle modifiche apportate in Microsoft Entra PIM.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Identity Governance>Privileged Identity Management Groups (Gruppi di gestione>delle identità con privilegi).

  3. Qui è possibile visualizzare i gruppi già abilitati per PIM per i gruppi.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Selezionare il gruppo da gestire.

  5. Selezionare Assegnazioni.

  6. Usare le assegnazioni idonee e i pannelli Assegnazioni attive per esaminare le assegnazioni di appartenenza o di proprietà esistenti per il gruppo selezionato.

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. Selezionare Aggiorna o Rimuovi per aggiornare o rimuovere l'appartenenza o l'assegnazione di proprietà.

Passaggi successivi