將群組納入 Privileged Identity Management

在 Microsoft Entra ID，您可以使用 Privileged Identity Management (PIM) 管理群組中的 Just-In-Time 成員資格或群組的 Just-In-Time 擁有權。 群組可用來提供 Microsoft Entra 角色、Azure 角色和各種其他案例的存取權。 若要在 PIM 管理 Microsoft Entra 群組，您必須在 PIM 中將它納入管理。

識別管理的群組

提示

根據您開始的入口網站不同，適用本文中的步驟可能會略有不同。

開始之前，您需要有 Microsoft Entra 安全性群組或 Microsoft 365 群組。 若要深入了解 Microsoft Entra ID 中的群組管理，請參閱管理 Microsoft Entra 群組和群組成員資格 (部分機器翻譯)。

在 PIM for Groups 中，無法管理動態群組和從內部部署環境同步處理的群組。

您需要適當的權限，才能將群組納入 Microsoft Entra PIM。 針對可指派角色的群組，您至少必須具有特殊權限角色管理員角色，或是擔任群組的擁有者。 針對不可指派角色的群組，您必須至少有目錄寫入器、群組管理員、身分識別治理管理員、使用者管理員角色，或是擔任群組的擁有者。 管理員的角色指派應限於目錄層級 (而非管理單位層級)。

注意

具有管理群組權限的其他角色 (例如非可指派角色 M365 群組的 Exchange 管理員) 和具有限於管理單位層級指派的管理員，可以透過群組 API/UX 管理群組，以及覆寫在 Microsoft Entra PIM 中所做的變更。

1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別治理]>[Privileged Identity Management]>[群組]。

3. 您可以在這裡檢視已針對 PIM for Groups 啟用的群組。

   

4. 選取 [探索群組]，然後選取您想要使用 PIM 納入管理的群組。

   

5. 選取 [管理群組]和 [確定]。

6. 選取 [群組]，返回在 PIM for Groups 啟用的群組清單。

注意

或者，您可以使用 [群組] 窗格，將群組納入 Privileged Identity Management 管理。

注意

群組接受管理之後，就無法從管理中移除。 這可防止其他資源管理員移除 PIM 設定。

重要

如果群組從 Microsoft Entra ID 刪除，可能需要 24 小時的時間，群組才會從 [PIM for Groups] 刀鋒視窗移除。

下一步

• 在 Privileged Identity Management 中指派群組的資格 (部分為機器翻譯)
• 在 Privileged Identity Management 中啟用您的群組成員資格或擁有權 (部分為機器翻譯)
• 核准群組成員和擁有者的啟用要求 (部分為機器翻譯)