在 Privileged Identity Management 中指派群組 (預覽) 的資格

在 Azure Active Directory (Azure AD) 中,Microsoft Entra的一部分,您可以使用PRIVILEGED IDENTITY MANAGEMENT (PIM) 來管理群組中的 Just-In-Time 成員資格或群組的 Just-In-Time 擁有權。

指派成員資格或擁有權時,指派:

  • 無法在五分鐘內指派
  • 無法在指派的五分鐘內移除

注意

具有特殊權限存取群組成員資格或擁有權之每位使用者,都必須具備 Azure AD Premium P2 授權。 如需詳細資訊,請參閱 使用 Privileged Identity Management 的授權要求

指派群組的擁有者或成員

請遵循下列步驟,讓使用者成為群組的合格成員或擁有者。 您必須擁有全域管理員、特殊許可權角色管理員角色,或成為群組的擁有者。

  1. 登入 Azure AD

  2. 選取[Azure AD Privileged Identity Management - > 群組] ([預覽]) ,然後檢視已針對群組啟用 PIM 的群組。

    螢幕擷取畫面:檢視已針對群組啟用 PIM 的群組。

  3. 選取您需要管理的群組。

  4. 選取 [指派] 。

  5. 使用 [合格指派 ] 和 [ 作用中指派 ] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。

    檢閱所選群組現有成員資格或擁有權指派位置的螢幕擷取畫面。

  6. 選取 [新增指派]。

  7. [選取角色] 下,選擇 [成員 ] 和 [ 擁有者 ] 來指派成員資格或擁有權。

  8. 選取您想要讓群組符合資格的成員或擁有者。

    螢幕擷取畫面,其中要選取您想要讓群組符合資格的成員或擁有者。

  9. 選取 [下一步]。

  10. 在 [指派類型] 清單中選取 [合格] 或 [有效]。 Privileged Identity Management提供兩個不同的指派類型:

    • 合格的指派需要成員或擁有者執行啟用,才能使用角色。 啟用可能也需要提供多重要素驗證 (MFA) 、供應商務理由,或向指定的核准者要求核准。

    重要

    針對用於提升至 Azure AD 角色的群組,Microsoft 建議您需要合格成員指派的核准程式。 若指派可以在未核准的情況下啟用,可能會讓有權重設合格使用者密碼之其他系統管理員有安全性風險。

    • 使用中指派不需要成員執行任何啟用,才能使用角色。 指派為作用中的成員或擁有者隨時都有指派給角色的許可權。
  11. 如果指派應為永久性 (永久合格或永久指派),請選取 [永久] 核取方塊。 視群組的設定而定,核取方塊可能不會顯示或可能無法編輯。 如需詳細資訊,請參閱Privileged Identity Management文章中的設定特殊許可權存取群組設定 (預覽)

    設定新增指派之設定位置的螢幕擷取畫面。

  12. 選取 [指派]。

更新或移除現有角色指派

請遵循下列步驟來更新或移除現有角色指派。 您必須擁有群組的全域管理員、特殊許可權角色管理員角色或擁有者角色。

  1. 使用適當的角色許可權登入 Azure AD

  2. 選取[Azure AD Privileged Identity Management - > 群組] ([預覽]) ,然後檢視已針對群組啟用 PIM 的群組。

    螢幕擷取畫面:檢視已針對群組啟用 PIM 的群組。

  3. 選取您需要管理的群組。

  4. 選取 [指派] 。

  5. 使用 [合格指派 ] 和 [ 作用中指派 ] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。

    檢閱所選群組現有成員資格或擁有權指派位置的螢幕擷取畫面。

  6. 選取 [更新 ] 或 [ 移除 ] 以更新或移除成員資格或擁有權指派。

下一步