Assegnare l'idoneità per un gruppo in Privileged Identity Management
In Microsoft Entra ID, noto in precedenza come Azure Active Directory, è possibile usare Privileged Identity Management (PIM) per gestire l'appartenenza JIT nel gruppo o la proprietà JIT del gruppo.
Quando viene assegnata un'appartenenza o una proprietà, l'assegnazione:
- Non è possibile assegnare per una durata inferiore a cinque minuti
- Non è possibile rimuoverlo entro cinque minuti dall'assegnazione
Nota
Ogni utente idoneo per l'appartenenza o la proprietà di un PIM per i gruppi deve avere una licenza microsoft Entra ID P2 o Microsoft Entra ID Governance. Per altre informazioni, vedere Requisiti di licenza per l'uso di Privileged Identity Management.
Assegnare un proprietario o un membro di un gruppo
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Seguire questa procedura per rendere un utente membro o proprietario di un gruppo idoneo. Sono necessarie autorizzazioni per gestire i gruppi. Per i gruppi assegnabili a ruoli, è necessario disporre del ruolo global Amministrazione istrator, del ruolo con privilegi Amministrazione istrator o di essere proprietario del gruppo. Per i gruppi non assegnabili a ruoli, è necessario disporre di Amministrazione istrator globale, writer di directory, gruppi Amministrazione istrator, identity governance Amministrazione istrator, ruolo utente Amministrazione istrator o proprietario del gruppo. Le assegnazioni di ruolo per gli amministratori devono essere con ambito a livello di directory (non a livello di unità amministrativa).
Nota
Altri ruoli con autorizzazioni per gestire i gruppi (ad esempio Exchange Amministrazione istrator per i gruppi M365 non assegnabili da ruoli) e gli amministratori con assegnazioni con ambito a livello di unità amministrativa possono gestire i gruppi tramite l'API/l'esperienza utente dei gruppi ed eseguire l'override delle modifiche apportate in Microsoft Entra PIM.
Accedere all'interfaccia di amministrazione di Microsoft Entra
Passare a Identity Governance>Privileged Identity Management Groups (Gruppi di gestione>delle identità con privilegi).
Qui è possibile visualizzare i gruppi già abilitati per PIM per i gruppi.
Selezionare il gruppo da gestire.
Selezionare Assegnazioni.
Usare le assegnazioni idonee e i pannelli Assegnazioni attive per esaminare le assegnazioni di appartenenza o di proprietà esistenti per il gruppo selezionato.
Selezionare Aggiungi assegnazioni.
In Seleziona ruolo scegliere tra Membro e Proprietario per assegnare l'appartenenza o la proprietà.
Selezionare i membri o i proprietari da rendere idonei per il gruppo.
Selezionare Avanti.
Nell'elenco Tipo di assegnazione selezionare Idoneo o Attivo. Privileged Identity Management offre due tipi di assegnazione distinti:
- L'assegnazione idonea richiede al membro o al proprietario di eseguire un'attivazione per l'uso del ruolo. Le attivazioni possono anche richiedere la fornitura di un'autenticazione a più fattori (MFA), fornendo una giustificazione aziendale o richiedendo l'approvazione da responsabili approvazione designati.
Importante
Per i gruppi usati per elevare i ruoli di Microsoft Entra, Microsoft consiglia di richiedere un processo di approvazione per le assegnazioni di membri idonei. Le assegnazioni che possono essere attivate senza approvazione possono lasciare vulnerabili a un rischio di sicurezza di un altro amministratore con l'autorizzazione per reimpostare le password di un utente idoneo.
- Le assegnazioni attive non richiedono al membro di eseguire attivazioni per l'uso del ruolo. I membri o i proprietari assegnati come attivi hanno i privilegi assegnati al ruolo in qualsiasi momento.
Se l'assegnazione deve essere permanente (assegnata in modo permanente o permanente), selezionare la casella di controllo Permanente . A seconda delle impostazioni del gruppo, la casella di controllo potrebbe non essere visualizzata o potrebbe non essere modificabile. Per altre informazioni, vedere l'articolo Configurare PIM per le impostazioni dei gruppi in Privileged Identity Management .
Seleziona Assegna.
Aggiornare o rimuovere un'assegnazione di ruolo esistente
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Seguire questi passaggi per aggiornare o rimuovere un'assegnazione di ruolo esistente. Sono necessarie autorizzazioni per gestire i gruppi. Per i gruppi assegnabili a ruoli, è necessario disporre del ruolo global Amministrazione istrator, del ruolo con privilegi Amministrazione istrator o di essere proprietario del gruppo. Per i gruppi non assegnabili a ruoli, è necessario disporre di Amministrazione istrator globale, writer di directory, gruppi Amministrazione istrator, identity governance Amministrazione istrator, ruolo utente Amministrazione istrator o proprietario del gruppo. Le assegnazioni di ruolo per gli amministratori devono essere con ambito a livello di directory (non a livello di unità amministrativa).
Nota
Altri ruoli con autorizzazioni per gestire i gruppi (ad esempio Exchange Amministrazione istrator per i gruppi M365 non assegnabili da ruoli) e gli amministratori con assegnazioni con ambito a livello di unità amministrativa possono gestire i gruppi tramite l'API/l'esperienza utente dei gruppi ed eseguire l'override delle modifiche apportate in Microsoft Entra PIM.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
Passare a Identity Governance>Privileged Identity Management Groups (Gruppi di gestione>delle identità con privilegi).
Qui è possibile visualizzare i gruppi già abilitati per PIM per i gruppi.
Selezionare il gruppo da gestire.
Selezionare Assegnazioni.
Usare le assegnazioni idonee e i pannelli Assegnazioni attive per esaminare le assegnazioni di appartenenza o di proprietà esistenti per il gruppo selezionato.
Selezionare Aggiorna o Rimuovi per aggiornare o rimuovere l'appartenenza o l'assegnazione di proprietà.