Поделиться через

Перенос групп в управление привилегированными пользователями

  • Статья

В идентификаторе Microsoft Entra можно использовать управление привилегированными пользователями (PIM) для управления JIT-членством в группе или jit-владельцем группы. Группы можно использовать для предоставления доступа к ролям Microsoft Entra, ролям Azure и различным другим сценариям. Чтобы управлять группой Microsoft Entra в PIM, необходимо перенести ее под управление в PIM.

Определение групп для управления

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Перед началом работы вам потребуется группа безопасности Microsoft Entra или группа Microsoft 365. Дополнительные сведения об управлении группами в идентификаторе Microsoft Entra см. в разделе "Управление группами Microsoft Entra" и членством в группах.

Динамические группы и группы, синхронизированные из локальной среды, нельзя управлять в PIM для групп.

Вам нужны соответствующие разрешения для привлечения групп в Microsoft Entra PIM. Для групп, назначаемых ролями, необходимо иметь по крайней мере роль администратора привилегированных ролей или быть владельцем группы. Для групп, не назначаемых ролем, необходимо иметь по крайней мере запись каталогов, администратор групп, администратор управления удостоверениями, роль администратора пользователей или быть владельцем группы. Назначения ролей для администраторов должны быть ограничены на уровне каталога (а не на уровне административной единицы).

Примечание.

Другие роли с разрешениями на управление группами (такими как администраторы Exchange для групп, не назначаемых ролями) и администраторы с назначениями на уровне административной единицы могут управлять группами с помощью API групп или пользовательского интерфейса и переопределить изменения, внесенные в Microsoft Entra PIM.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> Groups.

  3. Здесь можно просмотреть группы, которые уже включены для PIM для групп.

    Снимок экрана: где можно просмотреть группы, которые уже включены для PIM для групп.

  4. Выберите "Обнаружение групп " и выберите группу, которую вы хотите перенести под управление с помощью PIM.

    Снимок экрана: где выбрать группу, которую вы хотите принести под управление с помощью PIM.

  5. Выберите " Управление группами " и "ОК".

  6. Выберите группы , чтобы вернуться к списку групп, включенных в PIM для групп.

Кроме того, можно использовать панель "Группы" для добавления группы в управление привилегированными пользователями.

Снимок экрана: панель

Внимание

После управления группой ее невозможно извлечь из управления. Благодаря этому другой администратор не сможет удалить заданные вами параметры PIM. Если группа удаляется из идентификатора Microsoft Entra, может потребоваться до 24 часов, чтобы группа была удалена из параметра PIM для групп .

Следующие шаги