Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Entra ID umożliwia przyznawanie użytkownikom członkostwa just in time i własności grup za pomocą usługi Privileged Identity Management (PIM) dla grup. Grupy mogą służyć do kontrolowania dostępu do różnych scenariuszy, w tym ról firmy Microsoft, ról platformy Azure, usługi Azure SQL, usługi Azure Key Vault, usługi Intune, innych ról aplikacji i aplikacji innych firm.
Co to jest usługa PIM dla grup?
Usługa PIM for Groups jest częścią usługi Microsoft Entra Privileged Identity Management — wraz z rolami PIM dla firmy Microsoft Entra i usługą PIM dla zasobów platformy Azure usługa PIM dla grup umożliwia użytkownikom aktywowanie własności lub członkostwa w grupie zabezpieczeń Microsoft Entra lub grupie platformy Microsoft 365. Grupy mogą służyć do zarządzania dostępem do różnych scenariuszy, w tym ról firmy Microsoft, ról platformy Azure, usługi Azure SQL, usługi Azure Key Vault, usługi Intune, innych ról aplikacji i aplikacji innych firm.
Za pomocą usługi PIM dla grup można używać zasad podobnych do tych, które są używane w usłudze PIM dla ról firmy Microsoft Entra i PIM dla zasobów platformy Azure: możesz wymagać zatwierdzenia aktywacji członkostwa lub własności, wymusić uwierzytelnianie wieloskładnikowe (MFA), wymagać uzasadnienia, ograniczenia maksymalnego czasu aktywacji i nie tylko. Każda grupa w PIM dla grup ma dwie polityki: jedną do aktywacji członkostwa, a drugą do aktywacji własności w grupie. Do stycznia 2023 r. funkcja PIM dla grup nosi nazwę "Uprzywilejowane grupy dostępu".
Uwaga
W przypadku grup używanych do podnoszenia do ról Microsoft Entra zalecamy wymaganie procesu zatwierdzania przydziałów członków. Przypisania, które można aktywować bez zatwierdzenia, mogą pozostawić cię podatnym na ryzyko bezpieczeństwa ze strony mniej uprzywilejowanych administratorów. Na przykład administrator pomocy technicznej ma uprawnienia do resetowania haseł uprawnionych użytkowników.
Usługa PIM dla grup i dezaktywacji własności
Identyfikator Entra firmy Microsoft nie umożliwia usunięcia ostatniego (aktywnego) właściciela grupy. Rozważmy na przykład grupę z aktywnym właścicielem A i uprawnionym właścicielem B. Jeśli użytkownik B aktywuje swoją własność przy użyciu PIM, a później użytkownik A zostanie usunięty z grupy lub z dzierżawcy, dezaktywacja własności użytkownika B nie powiedzie się.
Usługa PIM podejmie próbę dezaktywowania własności użytkownika B przez maksymalnie 30 dni. Jeśli do grupy zostanie dodany inny aktywny właściciel C, dezaktywacja zakończy się pomyślnie. Jeśli dezaktywacja zakończy się niepowodzeniem po upływie 30 dni, usługa PIM przestanie dezaktywować własność użytkownika B, a użytkownik B będzie nadal aktywnym właścicielem.
Jakie są grupy z przypisywalnymi rolami Microsoft Entra?
Podczas pracy z identyfikatorem Entra firmy Microsoft możesz przypisać grupę zabezpieczeń firmy Microsoft lub grupę platformy Microsoft 365 do roli Microsoft Entra. Jest to możliwe tylko w przypadku grup, które są tworzone jako możliwe do przypisania roli.
Aby dowiedzieć się więcej o grupach z możliwością przypisywania ról w usłudze Microsoft Entra, zobacz Tworzenie grupy z możliwością przypisywania ról w usłudze Microsoft Entra ID.
Grupy z możliwością przypisywania ról korzystają z dodatkowych zabezpieczeń w porównaniu z grupami, które nie można przypisać do ról:
- Grupy z możliwością przypisywania ról — tylko administrator globalny, administrator ról uprzywilejowanych lub właściciel grupy może zarządzać grupą. Ponadto żaden inny użytkownik nie może zmienić poświadczeń użytkowników, którzy są (aktywni) członkami grupy. Ta funkcja pomaga uniemożliwić administratorowi podniesienie uprawnień do wyższej roli uprzywilejowanej bez przechodzenia przez procedurę żądania i zatwierdzania.
- Grupy bez przypisanych ról — różne role Microsoft Entra mogą zarządzać tymi grupami, w tym administratorzy programu Exchange, administratorzy grup, administratorzy użytkowników itd. Ponadto różne role firmy Microsoft Entra mogą zmieniać poświadczenia użytkowników, którzy są (aktywni) członkami grupy — w tym administratorzy uwierzytelniania, administratorzy pomocy technicznej, administratorzy użytkowników itd.
Aby dowiedzieć się więcej o wbudowanych rolach firmy Microsoft i ich uprawnieniach, zobacz Wbudowane role firmy Microsoft Entra.
Funkcja grupy z możliwością przypisywania ról firmy Microsoft nie jest częścią usługi Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Aby uzyskać więcej informacji na temat licencjonowania, zobacz podstawy licencjonowania Microsoft Entra ID Governance.
Relacja między grupami z możliwością przypisywania ról a usługą PIM dla grup
Grupy w identyfikatorze Entra firmy Microsoft można klasyfikować jako możliwe do przypisania ról lub nieprzypisania ról. Ponadto każdą grupę można włączyć lub wyłączyć do używania z usługą Microsoft Entra Privileged Identity Management (PIM) dla grup. Są to niezależne właściwości grupy. W usłudze PIM dla grup można włączyć dowolną grupę zabezpieczeń firmy Microsoft Entra i dowolną grupę platformy Microsoft 365 (z wyjątkiem dynamicznych grup członkostwa i grup synchronizowanych ze środowiska lokalnego). Grupa nie musi mieć przypisanych ról, aby można ją było włączyć w PIM dla grup.
Jeśli chcesz przypisać rolę Entra firmy Microsoft do grupy, musi ona być zdolna do przypisywania ról. Nawet jeśli nie zamierzasz przypisywać roli Microsoft Entra do grupy, ale grupa zapewnia dostęp do poufnych zasobów, nadal zaleca się rozważenie utworzenia grupy jako możliwej do przypisywania ról. Dzieje się tak ze względu na dodatkowe zabezpieczenia, które mają grupy z możliwością przypisywania ról — zobacz "Co to są grupy z możliwością przypisania ról Microsoft Entra?" w powyższej sekcji.
Ważne
Do stycznia 2023 r. wymagane było, aby każda grupa uprzywilejowanego dostępu (była nazwa tej funkcji PIM dla grup) musiała być grupą z możliwością przypisywania ról. To ograniczenie jest obecnie usuwane. Z tego powodu można teraz włączyć więcej niż 500 grup dla najemcy w usłudze PIM, ale tylko do 500 grup może być przypisanych do ról.
Oznaczanie grup użytkowników jako uprawnionych do roli Entra w Microsoft
Istnieją dwa sposoby, aby grupa użytkowników kwalifikowała się do roli Microsoft Entra:
- Dokonaj aktywnych przypisań użytkowników do grupy, a następnie przypisz grupę do roli, która jest kwalifikowana do aktywacji.
- Przypisz aktywną rolę do grupy i wyznacz użytkowników jako uprawnionych do członkostwa.
Aby zapewnić grupie użytkowników dostęp w trybie just-in-time do ról Microsoft Entra z uprawnieniami w SharePoint, Exchange lub w portalu zgodności Microsoft Purview (na przykład do roli Administratora programu Exchange), upewnij się, że użytkownicy zostali aktywnie przypisani do grupy, a następnie przypisz grupę do roli z uprawnieniami do aktywacji (opcja 1 powyżej). Jeśli zdecydujesz się na aktywne przypisanie grupy do roli i przypiszesz użytkownikom uprawnienia do członkostwa w grupie, może upłynąć dużo czasu, aby wszystkie uprawnienia roli zostały aktywowane i gotowe do użycia.
Innymi słowy, aby uniknąć opóźnień aktywacji, użyj PIM dla ról Microsoft Entra zamiast usługi PIM dla grup w celu zapewnienia dostępu just-in-time do portalu zgodności SharePoint, Exchange lub Microsoft Purview. Aby uzyskać więcej informacji, zobacz błąd podczas uzyskiwania dostępu do programu SharePoint lub OneDrive po aktywacji roli w usłudze PIM.
Privileged Identity Management i zagnieżdżanie grup
W identyfikatorze Entra firmy Microsoft grupy z możliwością przypisania ról nie mogą mieć innych grup zagnieżdżonych wewnątrz nich. Aby dowiedzieć się więcej, zobacz Używanie grup Microsoft Entra do zarządzania przypisaniami ról. Ma to zastosowanie do aktywnego członkostwa: jedna grupa nie może być aktywnym członkiem innej grupy, która można przypisać rolę.
Jedna grupa może być uprawnionym członkiem innej grupy, nawet jeśli jedna z tych grup może mieć przypisane role.
Jeśli użytkownik jest aktywnym członkiem grupy A, a grupa A jest uprawnionym członkiem grupy B, użytkownik może aktywować swoje członkostwo w grupie B. Ta aktywacja dotyczy tylko użytkownika, dla którego zażądano aktywacji, nie oznacza to, że cała grupa A staje się aktywnym członkiem grupy B.
Zarządzanie Tożsamościami Uprzywilejowanymi i udostępnianie aplikacji
Jeśli grupa jest skonfigurowana do udostępnienia aplikacji, aktywacja członkostwa w grupie uruchomi udostępnienie członkostwa grupowego (oraz samego konta użytkownika, jeśli nie zostało ono wcześniej udostępnione) do aplikacji za pomocą protokołu SCIM.
Mamy funkcję, która wyzwala udostępnianie bezpośrednio po aktywowaniu członkostwa w grupie w usłudze PIM. Konfiguracja aprowizacji zależy od aplikacji. Ogólnie rzecz biorąc, zalecamy przypisanie co najmniej dwóch grup do aplikacji. W zależności od liczby ról w aplikacji można zdefiniować dodatkowe "uprzywilejowane grupy":
| Grupa | Cel | Członkowie | Członkostwo w grupie | Rola przypisana w aplikacji |
|---|---|---|---|---|
| Grupa wszystkich użytkowników | Upewnij się, że wszyscy użytkownicy, którzy potrzebują dostępu do aplikacji, są stale przydzielani do aplikacji. | Wszyscy użytkownicy, którzy muszą uzyskiwać dostęp do aplikacji. | Aktywne | Brak lub rola z niskimi uprawnieniami |
| Grupa uprzywilejowana | Zapewnij dostęp na czas do uprzywilejowanej roli w aplikacji. | Użytkownicy, którzy muszą mieć na czas dostęp do uprzywilejowanej roli w aplikacji. | Uprawnieni | Rola uprzywilejowana |
Najważniejsze zagadnienia
- Jak długo trwa przydzielenie użytkownika do aplikacji?
- Po dodaniu użytkownika do grupy w usłudze Microsoft Entra ID poza aktywowaniem członkostwa w grupie przy użyciu usługi Microsoft Entra Privileged Identity Management (PIM):
- Członkostwo w grupie jest aprowizowane w aplikacji podczas następnego cyklu synchronizacji. Cykl synchronizacji jest uruchamiany co 40 minut.
- Gdy użytkownik aktywuje członkostwo w grupie w usłudze Microsoft Entra PIM:
- Członkostwo w grupie jest przyznawane w ciągu od 2 do 10 minut. Gdy jednocześnie występuje duża liczba żądań, żądania są ograniczane w tempie pięciu żądań na 10 sekund.
- Dla pierwszych pięciu użytkowników w ciągu 10 sekund aktywowania członkostwa w grupie dla określonej aplikacji członkostwo w grupie jest aprowizowane w aplikacji w ciągu 2–10 minut.
- W przypadku szóstego użytkownika i kolejnych w okresie 10-sekundowym aktywowania członkostwa w grupie dla określonej aplikacji, członkostwo w grupie jest przydzielane do aplikacji podczas następnego cyklu synchronizacji. Cykl synchronizacji jest uruchamiany co 40 minut. Limity ograniczania przepływności dotyczą aplikacji dla przedsiębiorstw.
- Po dodaniu użytkownika do grupy w usłudze Microsoft Entra ID poza aktywowaniem członkostwa w grupie przy użyciu usługi Microsoft Entra Privileged Identity Management (PIM):
- Jeśli użytkownik nie może uzyskać dostępu do niezbędnej grupy w aplikacji docelowej, przejrzyj dzienniki usługi PIM i dzienniki aprowizacji, aby upewnić się, że członkostwo w grupie zostało pomyślnie zaktualizowane. W zależności od tego, jak aplikacja docelowa została zaprojektowana, może upłynąć dodatkowy czas na zastosowanie członkostwa w grupie w aplikacji.
- Za pomocą usługi Azure Monitor klienci mogą tworzyć alerty dotyczące niepowodzeń.