在 Privileged Identity Management 中指派群組 (預覽) 的資格

在 Azure Active Directory (Azure AD) 中，Microsoft Entra的一部分，您可以使用PRIVILEGED IDENTITY MANAGEMENT (PIM) 來管理群組中的 Just-In-Time 成員資格或群組的 Just-In-Time 擁有權。

指派成員資格或擁有權時，指派：

• 無法在五分鐘內指派
• 無法在指派的五分鐘內移除

注意

具有特殊權限存取群組成員資格或擁有權之每位使用者，都必須具備 Azure AD Premium P2 授權。 如需詳細資訊，請參閱 使用 Privileged Identity Management 的授權要求。

指派群組的擁有者或成員

請遵循下列步驟，讓使用者成為群組的合格成員或擁有者。 您必須擁有全域管理員、特殊許可權角色管理員角色，或成為群組的擁有者。

1. 登入 Azure AD。

2. 選取[Azure AD Privileged Identity Management - > 群組] ([預覽]) ，然後檢視已針對群組啟用 PIM 的群組。

   

3. 選取您需要管理的群組。

4. 選取 [指派] 。

5. 使用 [合格指派 ] 和 [ 作用中指派 ] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。

   

6. 選取 [新增指派]。

7. 在 [選取角色] 下，選擇 [成員 ] 和 [ 擁有者 ] 來指派成員資格或擁有權。

8. 選取您想要讓群組符合資格的成員或擁有者。

   

9. 選取 [下一步]。

10. 在 [指派類型] 清單中選取 [合格] 或 [有效]。 Privileged Identity Management提供兩個不同的指派類型：

    • 合格的指派需要成員或擁有者執行啟用，才能使用角色。 啟用可能也需要提供多重要素驗證 (MFA) 、供應商務理由，或向指定的核准者要求核准。

    重要

    針對用於提升至 Azure AD 角色的群組，Microsoft 建議您需要合格成員指派的核准程式。 若指派可以在未核准的情況下啟用，可能會讓有權重設合格使用者密碼之其他系統管理員有安全性風險。

    • 使用中指派不需要成員執行任何啟用，才能使用角色。 指派為作用中的成員或擁有者隨時都有指派給角色的許可權。

11. 如果指派應為永久性 (永久合格或永久指派)，請選取 [永久] 核取方塊。 視群組的設定而定，核取方塊可能不會顯示或可能無法編輯。 如需詳細資訊，請參閱Privileged Identity Management文章中的設定特殊許可權存取群組設定 (預覽) 。

    

12. 選取 [指派]。

更新或移除現有角色指派

請遵循下列步驟來更新或移除現有角色指派。 您必須擁有群組的全域管理員、特殊許可權角色管理員角色或擁有者角色。

1. 使用適當的角色許可權登入 Azure AD。

2. 選取[Azure AD Privileged Identity Management - > 群組] ([預覽]) ，然後檢視已針對群組啟用 PIM 的群組。

   

3. 選取您需要管理的群組。

4. 選取 [指派] 。

5. 使用 [合格指派 ] 和 [ 作用中指派 ] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。

   

6. 選取 [更新 ] 或 [ 移除 ] 以更新或移除成員資格或擁有權指派。

下一步

• 在 Privileged Identity Management 中啟用您的群組成員資格或擁有權
• 核准群組成員和擁有者的啟用要求， (預覽)