適用於群組的 Privileged Identity Management (PIM)

文章
06/28/2024

Microsoft Entra ID 可讓您透過適用於群組的 Privileged Identity Management (PIM)，授與使用者 Just-In-Time 成員資格和群組擁有權。群組可用來控制各種案例的存取，包括 Microsoft Entra 角色、Azure 角色、Azure SQL、Azure Key Vault、Intune、其他應用程式角色和第三方應用程式。

什麼是「適用於群組的 PIM」？

「適用於群組的 PIM」隸屬於 Microsoft Entra Privileged Identity Management - 此外還有「適用於 Microsoft Entra 角色的 PIM」和「適用於 Azure 資源的 PIM」，「適用於群組的 PIM」可讓使用者啟用 Microsoft Entra 安全性群組或 Microsoft 365 群組的擁有權或成員資格。群組可用來治理各種案例的存取，包括 Microsoft Entra 角色、Azure 角色、Azure SQL、Azure Key Vault、Intune、其他應用程式角色和第三方應用程式。

搭配「適用於群組的 PIM」使用的原則類似於「適用於 Microsoft Entra 角色的 PIM」和「適用於 Azure 資源的 PIM」中使用的原則：您可以要求核准啟用成員資格或擁有權、強制執行多重要素驗證 (MFA)、要求理由、限制啟用時間上限等等。「適用於群組的 PIM」中的每個群組都有兩個原則：一個用於啟用成員資格，另一個用於啟用群組中的擁有權。截至 2023 年 1 月為止，「適用於群組的 PIM」功能稱為「特殊權限存取群組」。

注意

對於用來提升為 Microsoft Entra 角色的群組，建議您為符合資格的成員指派，要求核准流程。不需要核准即可啟用的指派，可能讓您易於遭受具有較低特殊權限管理員帶來的安全性風險。例如，服務台管理員會具有重設合格使用者密碼的權限。

什麼是 Microsoft Entra 可指派角色的群組？

使用 Microsoft Entra ID 時，您可以將 Microsoft Entra 安全性群組或 Microsoft 365 群組指派給 Microsoft Entra 角色。僅適用於建立為可指派角色的群組。

若要深入了解 Microsoft Entra 可指派角色群組，請參閱在 Microsoft Entra ID 中建立可指派角色的群組。

與非角色指派群組相比，可指派角色的群組受益於額外保護：

可指派角色的群組 - 只有全域管理員、特殊權限角色管理員或群組擁有者可以管理群組。此外，群組 (作用中) 成員的使用者認證無法由任何其他使用者進行變更。此功能有助於防止管理員在未經要求和核准程序的情況下，提高為較高的特殊權限角色。
不可指派角色的群組 - 各種 Microsoft Entra 角色可以管理這些群組，包括 Exchange 管理員、群組管理員、使用者管理員等等。此外，Microsoft Entra 角色的各種角色也可以變更群組 (作用中) 成員的使用者認證，其中包括 Authentication 管理員、技術支援中心管理員、使用者管理員等等。

若要深入了解 Microsoft Entra 內建角色及其權限，請參閱 Microsoft Entra 內建角色。

Microsoft Entra 可指派角色的群組功能不屬於 Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) 的一部分。如需授權的詳細資訊，請參閱 Microsoft Entra ID 控管授權基本概念。

可指派角色群組與「適用於群組的 PIM」之間的關聯性

Microsoft Entra ID 中的群組可以分類為可指派角色或不可指派角色。此外，任何群組無論是否啟用都可與「適用於群組的 Microsoft Entra Privileged Identity Management (PIM)」搭配使用。這些是獨立的群組屬性。在「適用於群組的 PIM」中，您可以啟用任何 Microsoft Entra 安全性群組和任何 Microsoft 365 群組 (動態群組以及從內部部署環境同步的群組除外)。不一定是可指派角色的群組才能在「適用於群組的 PIM」中啟用。

若要將 Microsoft Entra 角色指派給群組，則必須是可指派角色。即使您不打算將 Microsoft Entra 角色指派給群組，但因為群組提供敏感性資源的存取權，所以還是建議您考慮將群組建立為可指派角色。這是因為可指派角色群組享有額外保護 – 請參閱上一節中的什麼是 Microsoft Entra 可指派角色的群組？。

重要

在 2023 年 1 月之前，每個特殊權限存取群組 (此「適用於群組的 PIM」功能的舊稱) 都必須是可指派角色的群組。這項限制目前已移除。因此，現在可以在 PIM 中為每個租用戶啟用 500 個以上的群組，但最多只有 500 個可指派角色的群組。

讓使用者群組符合 Microsoft Entra 角色資格

有兩種方式可讓一群使用者符合 Microsoft Entra 角色資格：

有效指派使用者給群組，然後將該群組指派給符合啟用資格的角色。
有效指派角色給群組，並將使用者指派為符合群組成員資格。

若要提供一組使用者 Just-In-Time 存取權，以存取具有 SharePoint、Exchange 或安全性與 Microsoft Purview 合規性入口網站權限的 Microsoft Entra 角色 (例如 Exchange 管理員角色)，請務必有效指派使用者給群組，然後將該群組指派給符合啟用資格的角色 (上述選項 1)。若選擇改為有效指派群組給角色，並將使用者指派為符合群組成員資格，可能會需要很長的時間來啟用並準備好角色的所有權限。

Privileged Identity Management 和群組巢狀

在 Microsoft Entra ID 中，可指派角色的群組內不能有其他群組巢狀於其中。若要深入了解，請參閱使用 Microsoft Entra 群組來管理角色指派。這適用於作用中成員資格：一個群組不能是另一個可指派角色之群組的作用中成員。

一個群組可以是另一個群組的符合資格成員，即使其中一個群組可指派角色也一樣。

如果使用者是群組 A 的作用中成員，而群組 A 是群組 B 的符合資格成員，則使用者可以在群組 B 中啟用其成員資格。此啟用僅適用於要求啟用的使用者，這並不表示整個群組 A 會變成群組 B 的作用中成員。

Privileged Identity Management 和應用程式佈建

如果群組已設定為應用程式佈建，則啟用群組成員資格時會使用 SCIM 通訊協定，將群組成員資格 (以及使用者帳戶本身，如果之前未佈建的話) 佈建至應用程式。

我們在 PIM 中有一項功能會在啟用群組成員資格之後，立即觸發佈建。佈建設定視應用程式而定。一般而言，建議指派至少兩個群組給應用程式。視應用程式中的角色數目而定，您可以選擇定義其他「特殊權限群組」：

群組	目的	成員	群組成員資格	在應用程式中指派的角色
所有使用者群組	請確定需要應用程式存取權的所有使用者都會持續佈建至應用程式。	所有需要存取應用程式的使用者。	使用中	無或具有低特殊權限的角色
特殊權限群組	提供 Just-In-Time 存取權給應用程式中具有特殊權限的角色。	需要應用程式中具有特殊權限角色之 Just-In-Time 存取權的使用者。	符合資格	特殊權限角色

主要考量

將使用者佈建至應用程式需要多久時間？
- 在未使用 Microsoft Entra Privileged Identity Management (PIM) 啟用群組成員資格的情況下，若使用者被新增至 Microsoft Entra ID 的群組：
  - 群組成員資格會在下一個同步處理週期期間佈建在應用程式中。同步處理週期每 40 分鐘執行一次。
- 使用者在 Microsoft Entra PIM 中啟用其群組成員資格時：
  - 群組成員資格會在 2-10 分鐘內佈建完成。有一次性的高請求率時，請求會以每 10 秒 5 個請求的速度節流。
  - 若在 10 秒週期內啟用特定應用程式的群組成員資格，前五名使用者的群組成員資格會在 2-10 分鐘內佈建到應用程式。
  - 若在 10 秒週期內啟用特定應用程式之群組成員資格，第六名和之後的使用者，群組成員資格會在下一次同步處理週期佈建到應用程式。同步處理週期每 40 分鐘執行一次。節流限制是為每個企業應用程式設定。
如果使用者無法存取目標應用程式中的必要群組，請檢閱 PIM 記錄及佈建記錄，以確保成功更新群組成員資格。根據目標應用程式的架構方式，群組成員資格可能需要更多時間才會在應用程式中生效。
使用 Azure 監視器，客戶可建立失敗的警示。

分享方式：