群組的特殊許可權身分識別管理 (PIM)
Microsoft Entra ID 可讓您透過群組的 Privileged Identity Management (PIM) 授與使用者 Just-In-Time 成員資格和群組擁有權。 群組可用來控制各種案例的存取,包括 Microsoft Entra 角色、Azure 角色、Azure SQL、Azure 金鑰保存庫、Intune、其他應用程式角色和第三方應用程式。
什麼是群組的 PIM?
適用於群組的 PIM 是 Microsoft Entra Privileged Identity Management 的一部分– 除了適用於 Microsoft Entra 角色的 PIM 和適用於 Azure 資源的 PIM,PIM for Groups 可讓使用者啟用 Microsoft Entra 安全組或 Microsoft 365 群組的擁有權或成員資格。 群組可用來控管各種案例的存取權,包括 Microsoft Entra 角色、Azure 角色、Azure SQL、Azure 金鑰保存庫、Intune、其他應用程式角色和第三方應用程式。
透過適用於群組的 PIM,您可以使用類似您在適用於 Microsoft Entra 角色的 PIM 中使用的原則,以及適用於 Azure 資源的 PIM:您可以要求核准成員資格或擁有權啟用、強制執行多重要素驗證 (MFA)、需要理由、限制啟用時間上限等等。 PIM for Groups 中的每個群組都有兩個原則:一個用於啟用成員資格,另一個用於啟用群組中的擁有權。 截至 2023 年 1 月為止,群組的 PIM 功能稱為「特殊許可權存取群組」。
注意
對於用於提升為 Microsoft Entra 角色的群組,建議您針對合格的成員指派要求核准程式。 不需要核准即可啟用的指派,可能讓您易於遭受具有較低特殊權限管理員帶來的安全性風險。 例如,服務台管理員會具有重設合格使用者密碼的權限。
什麼是 Microsoft Entra 角色可指派的群組?
使用 Microsoft Entra 識別符時,您可以將 Microsoft Entra 安全組或 Microsoft 365 群組指派給 Microsoft Entra 角色。 這隻適用於建立為可指派角色的群組。
若要深入瞭解 Microsoft Entra 角色可指派的群組,請參閱 在 Microsoft Entra 標識符中建立可指派角色的群組。
可指派角色的群組受益於與非角色指派群組相比的額外保護:
- 可指派角色的群組 - 只有全域 管理員 istrator、Privileged Role 管理員 istrator,或群組擁有者可以管理群組。 此外,其他使用者也無法變更群組中(作用中)成員的用戶認證。 此功能有助於防止管理員在未經要求和核准程序的情況下,提高為較高的特殊權限角色。
- 非角色可指派的群組 - 各種 Microsoft Entra 角色可以管理這些群組,包括 Exchange 管理員 istrators、Groups 管理員 istrators、User 管理員 istrators 等等。此外,Microsoft Entra 角色的各種角色可以變更群組中使用者(作用中)成員的認證,其中包括驗證 管理員 istrators、Helpdesk 管理員 istrators、User 管理員 istrators 等。
若要深入瞭解 Microsoft Entra 內建角色及其許可權,請參閱 Microsoft Entra 內建角色。
Microsoft Entra 角色可指派的群組功能不屬於 Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) 的一部分。 如需授權的詳細資訊,請參閱 Microsoft Entra ID 控管 授權基本概念 。
可指派角色群組與群組 PIM 之間的關聯性
Microsoft Entra 識別碼中的群組可以分類為可指派角色或不可指派角色。 此外,任何群組都可以啟用或未啟用,以便與群組的 Microsoft Entra Privileged Identity Management (PIM) 搭配使用。 這些是群組的獨立屬性。 您可以在群組的 PIM 中啟用任何 Microsoft Entra 安全組和任何 Microsoft 365 群組(但從內部部署環境同步處理的動態群組和群組除外)。 群組不一定是可指派角色的群組,才能在群組的 PIM 中啟用。
如果您想要將 Microsoft Entra 角色指派給群組,則必須是可指派角色。 即使您不打算將 Microsoft Entra 角色指派給群組,但群組仍會提供敏感性資源的存取權,仍建議您考慮將群組建立為可指派角色。 這是因為可指派角色的群組有額外的保護 ,請參閱 「什麼是 Microsoft Entra 角色可指派的群組」 在上一節中。
重要
在 2023 年 1 月之前,每個特殊許可權存取群組(此 PIM for Groups 功能的前名稱)都必須是可指派角色的群組。 這項限制目前已移除。 因此,現在可以在 PIM 中為每個租用戶啟用 500 個以上的群組,但最多只能指派 500 個群組。
讓符合 Microsoft Entra 角色資格的使用者群組
有兩種方式可讓一組符合 Microsoft Entra 角色資格的使用者:
- 將使用者的作用中指派給群組,然後將群組指派給符合啟用資格的角色。
- 將角色的作用中指派給群組,並將使用者指派為符合群組成員資格。
若要為具有 SharePoint、Exchange 或 Security & Microsoft Purview 合規性入口網站 許可權的 Microsoft Entra 角色提供 Just-In-Time 存取權的使用者群組(例如 Exchange 管理員 istrator 角色),請務必將用戶主動指派給群組,然後將群組指派給符合啟用資格的角色(上述選項 #1)。 如果您選擇將群組的作用中指派給角色,並指派使用者改為符合群組成員資格資格,可能需要相當長的時間才能啟用角色並準備好使用。
Privileged Identity Management 和群組巢狀
在 Microsoft Entra 識別符中,可指派角色的群組不能有巢狀於其中的其他群組。 若要深入瞭解,請參閱 使用 Microsoft Entra 群組來管理角色指派。 這適用於作用中成員資格:一個群組不能是另一個可指派角色之群組的作用中成員。
一個群組可以是另一個群組的合格成員,即使其中一個群組可指派角色也一樣。
如果使用者是群組 A 的作用中成員,而群組 A 是群組 B 的合格成員,則用戶可以在群組 B 中啟用其成員資格。此啟用僅適用於要求啟用的使用者,這並不表示整個群組 A 會成為群組 B 的作用中成員。
Privileged Identity Management 和應用程式布建
如果群組已設定為 應用程式布建,則啟用群組成員資格將會觸發群組成員資格的布建(以及先前未布建的用戶帳戶本身)至應用程式使用SCIM通訊協定。
在公開預覽中,我們在 PIM 中啟用群組成員資格之後,立即觸發佈建的功能。 布建組態取決於應用程式。 一般而言,我們建議至少指派兩個群組給應用程式。 視應用程式中的角色數目而定,您可以選擇定義其他「特殊許可權群組」:
| 群組 | 目的 | 成員 | 群組成員資格 | 應用程式中指派的角色 |
|---|---|---|---|---|
| 所有使用者群組 | 請確定需要應用程式存取權的所有用戶都會持續布建至應用程式。 | 所有需要存取應用程式的使用者。 | 使用中 | 無或低許可權角色 |
| 特殊許可權群組 | 在應用程式中提供具特殊許可權角色的 Just-In-Time 存取權。 | 需要有應用程式特殊許可權角色的 Just-In-Time 存取權的使用者。 | 符合資格 | 特殊許可權角色 |
主要考量
- 使用者布建至應用程式需要多久時間?
- 當使用者在使用 Microsoft Entra Privileged Identity Management 啟用其群組成員資格之外,將使用者新增至 Microsoft Entra ID 中的群組時(PIM):
- 群組成員資格會在下一個同步處理周期期間布建在應用程式中。 同步處理週期每隔 40 分鐘執行一次。
- 當使用者在 Microsoft Entra PIM 中啟用其群組成員資格時:
- 群組成員資格會在 2 - 10 分鐘內布建。 一次有高要求率時,要求會以每 10 秒 5 個要求的速率進行節流。
- 在10秒期間內啟用特定應用程式的群組成員資格的前五位使用者,群組成員資格會在2-10分鐘內布建在應用程式中。
- 在第 10 秒內啟用特定應用程式的群組成員資格的 10 秒以上使用者,群組成員資格會在下一個同步處理週期中布建至應用程式。 同步處理週期每隔 40 分鐘執行一次。 節流限制是每個企業應用程式。
- 當使用者在使用 Microsoft Entra Privileged Identity Management 啟用其群組成員資格之外,將使用者新增至 Microsoft Entra ID 中的群組時(PIM):
- 如果使用者無法存取目標應用程式中的必要群組,請檢閱 PIM 記錄和布建記錄,以確保群組成員資格已成功更新。 視目標應用程式架構的方式而定,群組成員資格可能需要額外的時間才會在應用程式中生效。
- 客戶 可以使用 Azure 監視器來建立失敗的警示。