Assegnare l'idoneità per un gruppo (anteprima) in Privileged Identity Management

In Azure Active Directory (Azure AD), parte di Microsoft Entra, è possibile usare Privileged Identity Management (PIM) per gestire l'appartenenza just-in-time al gruppo o alla proprietà just-in-time del gruppo.

Quando viene assegnata un'appartenenza o una proprietà, l'assegnazione:

  • Non è possibile assegnare per una durata inferiore a cinque minuti
  • Non è possibile rimuoverlo entro cinque minuti dall'assegnazione

Nota

Ogni utente idoneo per l'appartenenza a o la proprietà di un gruppo di accesso con privilegi deve avere una licenza di Azure AD Premium P2. Per altre informazioni, vedere Requisiti di licenza per l'uso di Privileged Identity Management.

Assegnare un proprietario o un membro di un gruppo

Seguire questa procedura per rendere un utente membro o proprietario di un gruppo idoneo. Sarà necessario avere un ruolo amministratore globale, amministratore ruolo con privilegi o essere proprietario del gruppo.

  1. Accedere ad Azure AD.

  2. Selezionare Azure AD Privileged Identity Management -> Gruppi (anteprima) e gruppi di visualizzazione già abilitati per PIM per i gruppi.

    Screenshot della posizione in cui visualizzare i gruppi già abilitati per PIM per i gruppi.

  3. Selezionare il gruppo da gestire.

  4. Selezionare Assegnazioni.

  5. Usare i pannelli Assegnazioni idonee e assegnazioni attive per esaminare le assegnazioni di appartenenza o proprietà esistenti per il gruppo selezionato.

    Screenshot della posizione in cui esaminare le assegnazioni di appartenenza o proprietà esistenti per il gruppo selezionato.

  6. Selezionare Aggiungi assegnazioni.

  7. In Seleziona ruolo scegliere tra Membro e Proprietario per assegnare l'appartenenza o la proprietà.

  8. Selezionare i membri o i proprietari che si desidera rendere idonei per il gruppo.

    Screenshot di dove selezionare i membri o i proprietari che si desidera rendere idonei per il gruppo.

  9. Selezionare Avanti.

  10. Nell'elenco Tipo di assegnazione selezionare Idoneo o Attivo. Privileged Identity Management fornisce due tipi di assegnazione distinti:

    • L'assegnazione idonea richiede al membro o al proprietario di eseguire un'attivazione per usare il ruolo. Le attivazioni possono richiedere anche di fornire un'autenticazione a più fattori (MFA), fornendo una giustificazione aziendale o richiedendo l'approvazione dai responsabili di approvazione designati.

    Importante

    Per i gruppi usati per elevare i ruoli di Azure AD, Microsoft consiglia di richiedere un processo di approvazione per le assegnazioni dei membri idonee. Le assegnazioni che possono essere attivate senza approvazione possono lasciare vulnerabili a un rischio di sicurezza da un altro amministratore con autorizzazione per reimpostare le password di un utente idoneo.

    • Le assegnazioni attive non richiedono che il membro esegua alcuna attivazione per l'uso del ruolo. I membri o i proprietari assegnati come attivi hanno i privilegi assegnati al ruolo in ogni momento.
  11. Se l'assegnazione deve essere permanente (assegnata in modo permanente o permanente), selezionare la casella di controllo Permanente . A seconda delle impostazioni del gruppo, la casella di controllo potrebbe non essere visualizzata o potrebbe non essere modificabile. Per altre informazioni, vedere l'articolo Configurare le impostazioni del gruppo di accesso con privilegi (anteprima) in Privileged Identity Management.

    Screenshot della posizione in cui configurare l'impostazione per aggiungere assegnazioni.

  12. Selezionare Assegna.

Aggiornare o rimuovere un'assegnazione di ruolo esistente

Seguire questi passaggi per aggiornare o rimuovere un'assegnazione di ruolo esistente. Sarà necessario disporre del ruolo Amministratore globale, Amministratore ruolo con privilegi o Ruolo proprietario del gruppo.

  1. Accedere ad Azure AD con autorizzazioni di ruolo appropriate.

  2. Selezionare Azure AD Privileged Identity Management -> Gruppi (anteprima) e gruppi di visualizzazione già abilitati per PIM per i gruppi.

    Screenshot della posizione in cui visualizzare i gruppi già abilitati per PIM per i gruppi.

  3. Selezionare il gruppo da gestire.

  4. Selezionare Assegnazioni.

  5. Usare i pannelli Assegnazioni idonee e assegnazioni attive per esaminare le assegnazioni di appartenenza o proprietà esistenti per il gruppo selezionato.

    Screenshot della posizione in cui esaminare le assegnazioni di appartenenza o proprietà esistenti per il gruppo selezionato.

  6. Selezionare Aggiorna o Rimuovi per aggiornare o rimuovere l'appartenenza o l'assegnazione di proprietà.

Passaggi successivi