Przypisywanie uprawnień do grupy (wersja zapoznawcza) w Privileged Identity Management

W usłudze Azure Active Directory (Azure AD) część Microsoft Entra można użyć Privileged Identity Management (PIM) do zarządzania członkostwem just in time w grupie lub własnością grupy just in time.

Po przypisaniu członkostwa lub własności przypisanie:

  • Nie można przypisać go przez czas krótszy niż pięć minut
  • Nie można usunąć go w ciągu pięciu minut od przypisania

Uwaga

Każdy użytkownik, który kwalifikuje się do członkostwa w grupie uprzywilejowanego dostępu lub jej własności, musi mieć licencję Azure AD — wersja Premium P2. Aby uzyskać więcej informacji, zobacz Wymagania licencyjne dotyczące używania Privileged Identity Management.

Przypisywanie właściciela lub członka grupy

Wykonaj następujące kroki, aby utworzyć użytkownika uprawnionego członka lub właściciela grupy. Musisz mieć rolę administratora globalnego, administratora ról uprzywilejowanych lub być właścicielem grupy.

  1. Zaloguj się do Azure AD.

  2. Wybierz pozycję Azure AD Privileged Identity Management —> grupy (wersja zapoznawcza) i wyświetl grupy, które są już włączone dla usługi PIM dla grup.

    Zrzut ekranu przedstawiający miejsce wyświetlania grup, które są już włączone dla usługi PIM dla grup.

  3. Wybierz grupę, którą chcesz zarządzać.

  4. Wybierz pozycję Przypisania.

  5. Użyj kwalifikujących się przypisań i aktywnych przypisań , aby przejrzeć istniejące przypisania członkostwa lub własności dla wybranej grupy.

    Zrzut ekranu przedstawiający miejsce przeglądania istniejących przypisań członkostwa lub własności dla wybranej grupy.

  6. Wybierz pozycję Dodaj przypisania.

  7. W obszarze Wybierz rolę wybierz między członkiem a właścicielem , aby przypisać członkostwo lub własność.

  8. Wybierz członków lub właścicieli, którzy mają kwalifikować się do grupy.

    Zrzut ekranu przedstawiający miejsce wyboru członków lub właścicieli, którzy mają kwalifikować się do grupy.

  9. Wybierz opcję Dalej.

  10. Na liście Typ przypisania wybierz pozycję Kwalifikujące się lub Aktywne. Privileged Identity Management zapewnia dwa odrębne typy przypisań:

    • Kwalifikowane przypisanie wymaga, aby członek lub właściciel wykonał aktywację w celu korzystania z roli. Aktywacje mogą również wymagać podania uwierzytelniania wieloskładnikowego (MFA), dostarczenia uzasadnienia biznesowego lub żądania zatwierdzenia od wyznaczonych osób zatwierdzających.

    Ważne

    W przypadku grup używanych do przechodzenia do ról Azure AD firma Microsoft zaleca, aby wymagać procesu zatwierdzania kwalifikujących się przypisań członków. Przypisania, które można aktywować bez zatwierdzenia, mogą pozostawić zagrożenie bezpieczeństwa ze strony innego administratora z uprawnieniami do resetowania haseł uprawnionego użytkownika.

    • Aktywne przypisania nie wymagają od członka wykonania żadnych aktywacji w celu korzystania z roli. Członkowie lub właściciele przypisani jako aktywni mają uprawnienia przypisane do roli przez cały czas.
  11. Jeśli przypisanie powinno być trwałe (trwale kwalifikujące się lub trwale przypisane), zaznacz pole wyboru Trwale . W zależności od ustawień grupy pole wyboru może nie być wyświetlane lub może nie być edytowalne. Aby uzyskać więcej informacji, zapoznaj się z artykułem Konfigurowanie ustawień grupy dostępu uprzywilejowanego (wersja zapoznawcza) w Privileged Identity Management.

    Zrzut ekranu przedstawiający sposób konfigurowania ustawienia dla dodawania przypisań.

  12. Wybierz opcję Przypisz.

Aktualizowanie lub usuwanie istniejącego przypisania roli

Wykonaj następujące kroki, aby zaktualizować lub usunąć istniejące przypisanie roli. Musisz mieć rolę administratora globalnego, administratora ról uprzywilejowanych lub rolę właściciela grupy.

  1. Zaloguj się do Azure AD przy użyciu odpowiednich uprawnień roli.

  2. Wybierz pozycję Azure AD Privileged Identity Management —> grupy (wersja zapoznawcza) i wyświetl grupy, które są już włączone dla usługi PIM dla grup.

    Zrzut ekranu przedstawiający miejsce wyświetlania grup, które są już włączone dla usługi PIM dla grup.

  3. Wybierz grupę, którą chcesz zarządzać.

  4. Wybierz pozycję Przypisania.

  5. Użyj kwalifikujących się przypisań i aktywnych przypisań , aby przejrzeć istniejące przypisania członkostwa lub własności dla wybranej grupy.

    Zrzut ekranu przedstawiający miejsce przeglądania istniejących przypisań członkostwa lub własności dla wybranej grupy.

  6. Wybierz pozycję Aktualizuj lub Usuń , aby zaktualizować lub usunąć przypisanie członkostwa lub własności.

Następne kroki