Assegnare l'idoneità per un gruppo (anteprima) in Privileged Identity Management
In Azure Active Directory (Azure AD), parte di Microsoft Entra, è possibile usare Privileged Identity Management (PIM) per gestire l'appartenenza just-in-time al gruppo o alla proprietà just-in-time del gruppo.
Quando viene assegnata un'appartenenza o una proprietà, l'assegnazione:
- Non è possibile assegnare per una durata inferiore a cinque minuti
- Non è possibile rimuoverlo entro cinque minuti dall'assegnazione
Nota
Ogni utente idoneo per l'appartenenza a o la proprietà di un gruppo di accesso con privilegi deve avere una licenza di Azure AD Premium P2. Per altre informazioni, vedere Requisiti di licenza per l'uso di Privileged Identity Management.
Assegnare un proprietario o un membro di un gruppo
Seguire questa procedura per rendere un utente membro o proprietario di un gruppo idoneo. Sarà necessario avere un ruolo amministratore globale, amministratore ruolo con privilegi o essere proprietario del gruppo.
Selezionare Azure AD Privileged Identity Management -> Gruppi (anteprima) e gruppi di visualizzazione già abilitati per PIM per i gruppi.
Selezionare il gruppo da gestire.
Selezionare Assegnazioni.
Usare i pannelli Assegnazioni idonee e assegnazioni attive per esaminare le assegnazioni di appartenenza o proprietà esistenti per il gruppo selezionato.
Selezionare Aggiungi assegnazioni.
In Seleziona ruolo scegliere tra Membro e Proprietario per assegnare l'appartenenza o la proprietà.
Selezionare i membri o i proprietari che si desidera rendere idonei per il gruppo.
Selezionare Avanti.
Nell'elenco Tipo di assegnazione selezionare Idoneo o Attivo. Privileged Identity Management fornisce due tipi di assegnazione distinti:
- L'assegnazione idonea richiede al membro o al proprietario di eseguire un'attivazione per usare il ruolo. Le attivazioni possono richiedere anche di fornire un'autenticazione a più fattori (MFA), fornendo una giustificazione aziendale o richiedendo l'approvazione dai responsabili di approvazione designati.
Importante
Per i gruppi usati per elevare i ruoli di Azure AD, Microsoft consiglia di richiedere un processo di approvazione per le assegnazioni dei membri idonee. Le assegnazioni che possono essere attivate senza approvazione possono lasciare vulnerabili a un rischio di sicurezza da un altro amministratore con autorizzazione per reimpostare le password di un utente idoneo.
- Le assegnazioni attive non richiedono che il membro esegua alcuna attivazione per l'uso del ruolo. I membri o i proprietari assegnati come attivi hanno i privilegi assegnati al ruolo in ogni momento.
Se l'assegnazione deve essere permanente (assegnata in modo permanente o permanente), selezionare la casella di controllo Permanente . A seconda delle impostazioni del gruppo, la casella di controllo potrebbe non essere visualizzata o potrebbe non essere modificabile. Per altre informazioni, vedere l'articolo Configurare le impostazioni del gruppo di accesso con privilegi (anteprima) in Privileged Identity Management.
Selezionare Assegna.
Aggiornare o rimuovere un'assegnazione di ruolo esistente
Seguire questi passaggi per aggiornare o rimuovere un'assegnazione di ruolo esistente. Sarà necessario disporre del ruolo Amministratore globale, Amministratore ruolo con privilegi o Ruolo proprietario del gruppo.
Accedere ad Azure AD con autorizzazioni di ruolo appropriate.
Selezionare Azure AD Privileged Identity Management -> Gruppi (anteprima) e gruppi di visualizzazione già abilitati per PIM per i gruppi.
Selezionare il gruppo da gestire.
Selezionare Assegnazioni.
Usare i pannelli Assegnazioni idonee e assegnazioni attive per esaminare le assegnazioni di appartenenza o proprietà esistenti per il gruppo selezionato.
Selezionare Aggiorna o Rimuovi per aggiornare o rimuovere l'appartenenza o l'assegnazione di proprietà.