Создание проверки доступа PIM для групп в идентификаторе Microsoft Entra ID (предварительная версия)

  • Статья

В этой статье описывается создание одного или нескольких проверок доступа для PIM для групп, которые будут включать активных участников группы и соответствующих участников. Проверки можно выполнять как для активных участников группы, так и для активных участников группы, которые активны во время создания проверки, и соответствующие члены группы.

Необходимые компоненты

  • лицензия Управление идентификацией Microsoft Entra.
  • Только пользователи в роли глобального Администратор istrator или роли привилегированного Администратор istrator могут создавать проверки на PIM для групп. Дополнительные сведения см. в разделе "Использование групп Microsoft Entra" для управления назначениями ролей.

Дополнительные сведения см. в статье Лицензионные требования.

Создание проверки доступа к PIM для групп

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Область

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

  2. Перейдите к журналу проверки>доступа к системам управления удостоверениями.>

  3. Щелкните Создать проверку доступа, чтобы создать проверку доступа.

    Screenshot that shows the Access reviews pane in Identity Governance.

  4. В поле "Выбор того, что нужно просмотреть", выберите Teams + Группы.

    Screenshot that shows creating an access review.

  5. Выберите Teams + Группы , а затем выберите "Команды + группы " в разделе "Область проверки". Список групп для выбора отображается справа.

    Screenshot that shows selecting Teams + Groups.

Примечание.

При выборе PIM для групп пользователи, просматриваемые для группы, будут включать всех соответствующих пользователей и активных пользователей в этой группе.

  1. Теперь можно выбрать область для проверки. Можно выполнить следующие действия:

    • Только гостевые пользователи: этот параметр ограничивает проверку доступа только гостевым пользователям Microsoft Entra B2B в вашем каталоге.
    • Все. Выбор этого параметра ограничивает проверку доступа всеми объектами пользователей, связанными с ресурсом.

  2. Если вы проводите проверку членства в группе, вы можете создать проверки доступа только для неактивных пользователей в группе. В разделе Область пользователей установите флажок Только неактивные пользователи (на уровне арендатора). Если вы проверка поле, область проверки фокусируется только на неактивных пользователей, тех, кто не вошел в систему в интерактивном или неинтерактивном режиме в клиенте. Затем укажите неактивные дни с многодневным неактивным до 730 дней (два года). Пользователи в группе неактивны в течение указанного числа дней являются единственными пользователями в проверке.

Примечание.

Недавно созданные пользователи не затрагиваются при настройке времени бездействия. Проверка доступа проверяет, был ли пользователь создан в настроенном временном интервале и игнорирует пользователей, которые не существовали по крайней мере в течение этого периода времени. Например, если задать время бездействия равным 90 дней, а гостевой пользователь был создан или приглашен менее 90 дней назад, на гостевого пользователя не будет распространяться проверка доступа. Это гарантирует, что пользователь сможет выполнить вход по крайней мере один раз перед удалением.

  1. Выберите Далее: проверка.

После достижения этого шага вы можете выполнить инструкции, описанные в разделе "Далее: Проверки в статье "Создание проверки доступа групп или приложений ", чтобы завершить проверку доступа.

Примечание.

Проверка PIM для групп будет назначать только активных владельцев в качестве рецензентов. Допустимые владельцы не включены. Для проверки PIM для групп требуется по крайней мере один резервный рецензент. Если при начале проверки нет активных владельцев, резервные рецензенты будут назначены проверке.

Следующие шаги