Назначение права на группу в управление привилегированными пользователями
В идентификаторе Microsoft Entra, ранее известном как Azure Active Directory, вы можете использовать управление привилегированными пользователями (PIM) для управления JIT-членством в группе или jit-владельцем группы.
При назначении членства или владения назначение:
- не может быть назначено на период менее пяти минут;
- не может быть удалено в течение пяти минут после назначения.
Примечание.
Каждый пользователь, имеющий право на членство или владение PIM для групп, должен иметь лицензию Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra. Дополнительные сведения см. в статье Требования к лицензии для использования PIM.
Назначение владельца или члена группы
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Выполните следующие действия, чтобы сделать пользователя соответствующим участником или владельцем группы. Вам потребуются разрешения для управления группами. Для групп, назначаемых ролями, необходимо иметь роль глобального Администратор istrator, привилегированную роль Администратор istrator или быть владельцем группы. Для групп, не назначаемых ролем, необходимо иметь глобальный Администратор istrator, запись каталогов, группы Администратор istrator, управление удостоверениями Администратор istrator, роль пользователя Администратор istrator или быть владельцем группы. Назначения ролей для администраторов должны быть область на уровне каталога (а не на уровне административной единицы).
Примечание.
Другие роли с разрешениями на управление группами (например, exchange Администратор istrator для групп, не назначаемых ролями) и администраторы с назначениями, область на уровне административного подразделения, могут управлять группами с помощью API групп или UX и переопределить изменения, внесенные в Microsoft Entra PIM.
Перейдите к управлению удостоверениями> управление привилегированными пользователями> Groups.
Здесь можно просмотреть группы, которые уже включены для PIM для групп.
Выберите группу, которой будете управлять.
Выберите назначения.
Используйте колонки "Допустимые назначения" и "Активные назначения", чтобы просмотреть существующие назначения членства или владения для выбранной группы.
Щелкните Добавить назначения.
В разделе "Выбор роли" выберите между участником и владельцем , чтобы назначить членство или владение.
Выберите участников или владельцев, которые вы хотите сделать подходящим для группы.
Выберите Далее.
В списке Тип назначения выберите Допустимое или Активное. управление привилегированными пользователями предоставляет два разных типа назначения:
- Для использования роли требуется, чтобы участник или владелец выполнял активацию. Активации также могут потребовать предоставления многофакторной проверки подлинности (MFA), предоставления бизнес-обоснования или запроса утверждения от назначенных утверждающих.
Внимание
Для групп, используемых для повышения привилегий в роли Microsoft Entra, корпорация Майкрософт рекомендует требовать процесс утверждения для соответствующих назначений участников. Назначения, которые могут быть активированы без утверждения, могут подвергать вас риску нарушения безопасности, исходящему от другого администратора, имеющего разрешение на сброс паролей соответствующих пользователей.
- Активные назначения не требуют, чтобы член выполнял какие-либо активации для использования роли. Члены или владельцы, назначенные как активные, имеют права, назначенные роли в любое время.
Если назначение должно быть постоянным (постоянное соответствие или назначение на постоянной основе), установите соответствующий флажок. В зависимости от параметров группы поле проверка может не отображаться или не может быть изменено. Дополнительные сведения проверка проверка параметры настройки PIM для групп в статье управление привилегированными пользователями.
Выберите Назначить.
Обновление или удаление существующего назначения роли
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Выполните следующие действия, чтобы обновить или удалить существующее назначение роли. Вам потребуются разрешения для управления группами. Для групп, назначаемых ролями, необходимо иметь роль глобального Администратор istrator, привилегированную роль Администратор istrator или быть владельцем группы. Для групп, не назначаемых ролем, необходимо иметь глобальный Администратор istrator, запись каталогов, группы Администратор istrator, управление удостоверениями Администратор istrator, роль пользователя Администратор istrator или быть владельцем группы. Назначения ролей для администраторов должны быть область на уровне каталога (а не на уровне административной единицы).
Примечание.
Другие роли с разрешениями на управление группами (например, exchange Администратор istrator для групп, не назначаемых ролями) и администраторы с назначениями, область на уровне административного подразделения, могут управлять группами с помощью API групп или UX и переопределить изменения, внесенные в Microsoft Entra PIM.
Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
Перейдите к управлению удостоверениями> управление привилегированными пользователями> Groups.
Здесь можно просмотреть группы, которые уже включены для PIM для групп.
Выберите группу, которой будете управлять.
Выберите назначения.
Используйте колонки "Допустимые назначения" и "Активные назначения", чтобы просмотреть существующие назначения членства или владения для выбранной группы.
Выберите "Обновить " или "Удалить ", чтобы обновить или удалить назначение членства или владения.