在 Privileged Identity Management 中指派群組的資格

發行項
06/28/2024

在 Microsoft Entra ID (之前稱為 Azure Active Directory)，您可以使用 Privileged Identity Management (PIM) 來管理群組中的 Just-In-Time 成員資格或群組的 Just-In-Time 擁有權。

指派成員資格或擁有權時，指派：

無法在五分鐘內指派
無法在指派後的五分鐘內移除

注意

符合「適用於群組的 PIM」成員資格或擁有權資格的每位使用者，都必須擁有 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 授權。如需詳細資訊，請參閱使用 Privileged Identity Management 的授權要求。

指派群組的擁有者或成員

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

請遵循下列步驟，讓使用者成為群組的符合資格成員或擁有者。您需要管理群組的權限。對於可指派角色的群組，您至少必須是特殊權限角色管理員角色，或是擔任群組的擁有者。對於不可指派角色的群組，您至少必須是目錄寫入者、群組管理員、或身分識別治理管理員、使用者管理員角色，或是擔任群組的擁有者。系統管理員的角色指派應限於目錄層級 (而非管理單位層級)。

注意

具有管理群組權限的其他角色 (例如，非可指派角色 M365 群組的 Exchange 管理員) 和指派限於管理單位層級的管理員，可以透過群組 API/UX 來管理群組，以及覆寫在 Microsoft Entra PIM 中所做的變更。

登入 Microsoft Entra 系統管理中心
瀏覽至 [身分識別治理]> [Privileged Identity Management]> [群組]。
您可以在這裡檢視已啟用「適用於群組的 PIM」的群組。
選取您需要管理的群組。
選取 [指派]。
使用 [合格指派] 和 [有效指派] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。
選取 [新增指派]。
在 [選取角色] 下，選擇 [成員] 或 [擁有者]，以指派成員資格或擁有權。
選取您想要讓其符合群組資格的成員或擁有者。
選取 [下一步]。
在 [指派類型] 清單中選取 [合格] 或 [有效]。 Privileged Identity Management 提供兩種不同的指派類型：
- 合格的指派需要成員或擁有者執行啟用才能使用角色。啟用可能也需要提供多重要素驗證 (MFA)、提供業務理由，或是向指定的核准者要求核准。
重要

對於用來提升為 Microsoft Entra 角色的群組，Microsoft 建議您為符合資格的成員指派，要求核准流程。若指派可以在未核准的情況下啟用，可能會讓有權重設合格使用者密碼之其他系統管理員有安全性風險。
- 有效的指派不需要成員先執行任何啟用才能使用此角色。指派為有效的成員或擁有者隨時具有指派給角色的權限。
如果指派應為永久性 (永久合格或永久指派)，請選取 [永久] 核取方塊。取決於群組設定，系統可能不會顯示或無法編輯核取方塊。如需詳細資訊，請參閱在 Privileged Identity Management 中設定適用於群組的 PIM 設定一文。
選取指派。

更新或移除現有角色指派

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

請遵循下列步驟來更新或移除現有角色指派。您需要管理群組的權限。對於可指派角色的群組，您至少必須是特殊權限角色管理員角色，或是擔任群組的擁有者。對於不可指派角色的群組，您至少必須有目錄寫入者、群組管理員、身分識別治理管理員、使用者管理員角色，或是擔任群組的擁有者。系統管理員的角色指派應限於目錄層級 (而非管理單位層級)。

注意

以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理]> [Privileged Identity Management]> [群組]。
您可以在這裡檢視已啟用「適用於群組的 PIM」的群組。
選取您需要管理的群組。
選取 [指派]。
使用 [合格指派] 和 [有效指派] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。
選取 [更新] 或 [移除] 以更新或移除成員資格或擁有權指派。

共用方式為

在 Privileged Identity Management 中指派群組的資格

指派群組的擁有者或成員

更新或移除現有角色指派

下一步

意見反應

意見反應

其他資源