特殊權限存取群組與可指派角色的群組之間的差異為何?

Privileged Identity Management (PIM) 支援在可指派角色的群組上啟用特殊權限存取的能力。 但因為可指派角色的群組是建立特殊權限存取群組的必要條件,本文將說明這些差異,以及如何利用它們。

什麼是 Azure AD 可指派角色的群組?

Azure Active Directory (Azure AD) (屬於 Microsoft Entra) 可讓您將雲端 Azure AD 安全性群組指派給 Azure AD 角色。 「全域管理員」或「特殊權限角色管理員」必須建立新的安全性群組,並且在建立時讓群組可指派角色。 只有「全域管理員」、「特殊權限角色管理員」或群組「擁有者」角色指派中可以變更群組的成員資格。 此外,其他使用者也無法重設身為群組成員的使用者密碼。 此功能有助於防止管理員在未經要求和核准程序的情況下,提高為較高的特殊權限角色。

什麼是特殊權限存取群組?

特殊權限存取群組可讓使用者提升為 Azure AD 安全性群組的擁有者或成員角色。 此功能可讓您以批次方式來設定 Just-In-Time 工作流程,不僅是針對 Azure AD 和 Azure 角色,也可以針對其他使用案例 (例如 Azure SQL、Azure Key Vault、Intune 或其他應用程式角色) 實現 Just-In-Time 案例。 如需詳細資訊,請參閱特殊權限存取群組的管理功能

注意

對於用來提升為 Azure AD 角色的特殊權限存取群組,Microsoft 建議您針對符合資格的成員指派要求核准程序。 不需要核准即可啟用的指派,可能讓您易於遭受具有較低特殊權限管理員帶來的安全性風險。 例如,服務台管理員會具有重設合格使用者密碼的權限。

建立可指派角色的群組時:

您可以設定對超出 Azure AD 和 Azure 資源的權限和角色的 Just-In-Time 存取。 如果您有其他資源,其授權可以連結至 Azure AD 安全性群組 (適用於 Azure Key Vault、Intune、Azure SQL 或其他應用程式和服務),您應該啟用群組的特殊權限存取,並將使用者指派為對群組中的成員資格為合格。

如果您想要將群組指派給 Azure AD 或 Azure 資源角色,而且需要透過 PIM 程序提高權限,僅有一個方式可以執行此作業:

  • 將群組永久指派給角色。 然後在 PIM 中,您可以將使用者合格角色指派授與群組。 每個合格使用者都必須啟用其角色指派,才能成為群組的成員,啟用根據核准原則。 此路徑需要在 PIM 中啟用可指派角色的群組,以作為 Azure AD 角色的特殊權限存取群組。

此方法允許權限的最大細微性。 使用此方法:

  • 將群組指派給多個 Azure AD 或 Azure 資源角色,讓使用者啟用一次,即可存取多個角色。
  • 針對一組不同的使用者維護不同的啟用原則,以存取 Azure AD 或 Azure 資源角色。 例如,如果您想要在某些使用者成為「全域管理員」之前先核准這些使用者,同時讓其他使用者能夠自動獲得核准,您可以設定兩個特殊權限存取群組,持續將這兩個群組 (Privileged Identity Management 中的「永久」指派) 指派至「全域管理員」角色 ,然後針對每個群組的「成員」角色使用不同的啟用原則。

後續步驟