Share via

Перенос групп в управление привилегированными пользователями

  • Статья

В идентификаторе Microsoft Entra можно использовать управление привилегированными пользователями (PIM) для управления JIT-членством в группе или jit-владельцем группы. Группы можно использовать для предоставления доступа к ролям Microsoft Entra, ролям Azure и различным другим сценариям. Чтобы управлять группой Microsoft Entra в PIM, необходимо перенести ее под управление в PIM.

Определение групп для управления

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Перед началом работы вам потребуется группа безопасности Microsoft Entra или группа Microsoft 365. Дополнительные сведения об управлении группами в идентификаторе Microsoft Entra см. в разделе "Управление группами Microsoft Entra" и членством в группах.

Динамические группы и группы, синхронизированные из локальной среды, нельзя управлять в PIM для групп.

Вам нужны соответствующие разрешения для привлечения групп в Microsoft Entra PIM. Для групп, назначаемых ролями, необходимо иметь роль глобального Администратор istrator, привилегированную роль Администратор istrator или быть владельцем группы. Для групп, не назначаемых ролем, необходимо иметь глобальный Администратор istrator, запись каталогов, группы Администратор istrator, управление удостоверениями Администратор istrator, роль пользователя Администратор istrator или быть владельцем группы. Назначения ролей для администраторов должны быть область на уровне каталога (а не на уровне административной единицы).

Примечание.

Другие роли с разрешениями на управление группами (например, exchange Администратор istrator для групп, не назначаемых ролями) и администраторы с назначениями, область на уровне административного подразделения, могут управлять группами с помощью API групп или UX и переопределить изменения, внесенные в Microsoft Entra PIM.

  1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> Groups.

  3. Здесь можно просмотреть группы, которые уже включены для PIM для групп.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Выберите "Обнаружение групп " и выберите группу, которую вы хотите перенести под управление с помощью PIM.

    Screenshot of where to select a group that you want to bring under management with PIM.

  5. Выберите " Управление группами " и "ОК".

  6. Выберите группы , чтобы вернуться к списку групп, включенных в PIM для групп.

Примечание.

Кроме того, можно использовать панель "Группы" для добавления группы в управление привилегированными пользователями.

Примечание.

После управления группой ее невозможно извлечь из управления. Благодаря этому другой администратор не сможет удалить заданные вами параметры PIM.

Важно!

Если группа удаляется из идентификатора Microsoft Entra, может потребоваться до 24 часов, чтобы группа была удалена из колонки PIM для групп.

Следующие шаги