概述
在 Microsoft Entra ID 中,可以使用 Privileged Identity Management (PIM) 来管理组中的即时成员身份或组的即时所有权。
在成员身份或所有权被分配时,该分配情况是:
- 分配持续时间不能少于五分钟
- 分配后五分钟内无法删除
注意
每位有资格获取用于组的 PIM 成员身份或所有权的用户,必须拥有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证。 有关详细信息,请参阅使用 Privileged Identity Management 的许可要求。
分配一个组的所有者或成员
按照以下步骤使用户成为组的合格成员或所有者。 你需要具有管理组的权限。 你需要至少是特权角色管理员或组的所有者,才能管理具有可分配角色的组。 对于无法分配角色的组,您至少需要是目录编制者、组管理员、身份治理管理员或用户管理员,或者是该组的所有者。 管理员的角色分配应限定在目录级别(而不是管理单元级别)。
注意
具有组管理权限的其他角色(例如,不可分配角色的 Microsoft 365 组的 Exchange 管理员)以及分配限定在管理单元级别的管理员可以通过组 API/UX 来管理组,并替代在 Microsoft Entra PIM 中所做的更改。
登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>群组。
您可以在此查看已启用 PIM 服务的组。
选择需要管理的组。
选择任务。
使用“符合条件的分配”和“活动分配”边栏选项卡,查看所选组的现有成员身份或所有权分配。
选择添加任务。
在“选择角色”下,在“成员”和“所有者”之间进行选择,以分配成员身份或所有权。
选择您希望符合组资格的成员或所有者。
选择“下一页”。
在 “分配类型 ”列表中,选择“ 合格 ”或“ 活动”。 Privileged Identity Management 提供了两种不同的分配类型:
- 符合条件的分配要求成员或所有者执行激活才能使用该角色。 激活可能还需要提供多重身份验证(MFA)、提供业务理由或请求指定审批者的批准。
重要
对于用于提升到 Microsoft Entra 角色的组,Microsoft 建议你要求对合格成员分配进行审批。 可以未经批准激活的任务可能会使您面临来自其他管理员的安全风险,该管理员有权重置符合条件用户的密码。
- 活动分配不要求成员执行任何激活便可使用该角色。 被指定为活跃的成员或所有者始终拥有被分配给该角色的权限。
如果分配应是永久的(永久合格或永久分配),请选中 “永久 ”复选框。 根据组的设置,该复选框可能不会显示或不可编辑。 有关详细信息,请查看在 Privileged Identity Management 中配置适用于组的 PIM 设置一文。
选择分配。
更新或删除现有的角色分配
按照以下步骤更新或删除现有的角色分配。 你需要具有管理组的权限。 你需要至少是特权角色管理员或组的所有者,才能管理具有可分配角色的组。 对于不可分配角色的组,至少需要具有目录编写器、组管理员、标识治理管理员或用户管理员角色,或者成为组的所有者。 管理员的角色分配应限定在目录级别(而不是管理单元级别)。
注意
具有组管理权限的其他角色(例如,不可分配角色的 Microsoft 365 组的 Exchange 管理员)以及分配限定在管理单元级别的管理员可以通过组 API/UX 来管理组,并替代在 Microsoft Entra PIM 中所做的更改。
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>群组。
您可以在此查看已启用 PIM 服务的组。
选择需要管理的组。
选择任务。
使用“符合条件的分配”和“活动分配”边栏选项卡,查看所选组的现有成员身份或所有权分配。
选择“更新”或“删除”以更新或删除成员身份或所有权分配。