在 Privileged Identity Management 中指派群組的資格

  • 文章

在先前稱為 Azure Active Directory 的 Microsoft Entra ID 中,您可以使用 Privileged Identity Management (PIM) 來管理群組中的 Just-In-Time 成員資格或群組的 Just-In-Time 擁有權。

指派成員資格或擁有權時,指派:

  • 在 5 分鐘內無法指派
  • 無法在指派的五分鐘內移除

注意

符合群組 PIM 成員資格或擁有權的每個使用者,都必須擁有 Microsoft Entra ID P2 或 Microsoft Entra ID 控管 授權。 如需詳細資訊,請參閱 使用 Privileged Identity Management 的授權需求。

指派群組的擁有者或成員

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

請遵循下列步驟,讓用戶成為群組的合格成員或擁有者。 您需要管理群組的許可權。 針對可指派角色的群組,您必須擁有全域 管理員 istrator、Privileged Role 管理員 istrator 角色,或是群組的擁有者。 針對不可指派角色的群組,您必須擁有全域 管理員 istrator、目錄寫入器、群組 管理員 istrator、Identity Governance 管理員 istrator、使用者 管理員 istrator 角色,或是群組的擁有者。 系統管理員的角色指派應限定於目錄層級(而非系統管理單位層級)。

注意

具有管理群組許可權的其他角色(例如非角色可指派 M365 群組的 Exchange 管理員 istrators),以及具有管理單位層級指派指派的系統管理員,可以透過群組 API/UX 來管理群組,並覆寫在 Microsoft Entra PIM 中所做的變更。

  1. 登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>特殊許可權身分識別管理>群組]。

  3. 您可以在這裏檢視已針對群組啟用 PIM 的群組。

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. 選取您需要管理的群組。

  5. 選取 [指派]

  6. 使用 [合格指派] 和 [作用中指派] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. 選取 [新增指派]

  8. 在 [選取角色],選擇 [成員] 和 [擁有者] 以指派成員資格或擁有權。

  9. 選取您想要讓群組符合資格的成員或擁有者。

    Screenshot of where to select the members or owners you want to make eligible for the group.

  10. 選取 [下一步]。

  11. 在 [指派類型] 列表中,選取 [合格] 或 [作用中]。 Privileged Identity Management 提供兩種不同的指派類型:

    • 合格的指派需要成員或擁有者執行啟用才能使用角色。 啟用可能也需要提供多重要素驗證 (MFA)、提供業務理由,或向指定的核准者要求核准。

    重要

    對於用於提升為 Microsoft Entra 角色的群組,Microsoft 建議您需要合格成員指派的核准程式。 未經核准即可啟用的指派,可能會讓您容易受到來自另一位系統管理員的安全性風險,且有權重設合格用戶的密碼。

    • 使用中指派不需要成員執行任何啟用,才能使用角色。 指派為作用中的成員或擁有者隨時都有指派給角色的許可權。

  12. 如果指派應該是永久的(永久合格或永久指派),請選取 [ 永久 ] 複選框。 根據群組的設定,複選框可能不會顯示或可能無法編輯。 如需詳細資訊,請參閱 Privileged Identity Management 中的設定群組設定 PIM 一文。

    Screenshot of where to configure the setting for add assignments.

  13. 選取指派

更新或移除現有角色指派

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

請遵循下列步驟來更新或移除現有角色指派。 您需要管理群組的許可權。 針對可指派角色的群組,您必須擁有全域 管理員 istrator、Privileged Role 管理員 istrator 角色,或是群組的擁有者。 針對非角色指派的群組,您必須擁有全域 管理員 istrator、目錄寫入器、群組 管理員 istrator、Identity Governance 管理員 istrator、使用者 管理員 istrator 角色,或成為群組的擁有者。 系統管理員的角色指派應限定於目錄層級(而非系統管理單位層級)。

注意

具有管理群組許可權的其他角色(例如非角色指派 M365 群組的 Exchange 管理員 istrators),以及具有管理單位層級指派指派的系統管理員,可以透過群組 API/UX 來管理群組,並覆寫 Microsoft Entra PIM 中所做的變更。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>特殊許可權身分識別管理>群組]。

  3. 您可以在這裏檢視已針對群組啟用 PIM 的群組。

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. 選取您需要管理的群組。

  5. 選取 [指派]

  6. 使用 [合格指派] 和 [作用中指派] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. 選取 [更新] 或 [移除] 以更新或移除成員資格或擁有權指派。

下一步