共用方式為


將群組納入 Privileged Identity Management

在 Microsoft Entra ID,您可以使用 Privileged Identity Management (PIM) 管理群組中的 Just-In-Time 成員資格或群組的 Just-In-Time 擁有權。 群組可用來提供 Microsoft Entra 角色、Azure 角色和各種其他案例的存取權。 若要在 PIM 管理 Microsoft Entra 群組,您必須在 PIM 中將它納入管理。

識別管理的群組

提示

根據您開始的入口網站不同,適用本文中的步驟可能會略有不同。

開始之前,您需要有 Microsoft Entra 安全性群組或 Microsoft 365 群組。 若要深入了解 Microsoft Entra ID 中的群組管理,請參閱管理 Microsoft Entra 群組和群組成員資格 (部分機器翻譯)。

在 PIM for Groups 中,無法管理動態群組和從內部部署環境同步處理的群組。

您需要適當的權限,才能將群組納入 Microsoft Entra PIM。 針對可指派角色的群組,您至少必須具有特殊權限角色管理員角色,或是擔任群組的擁有者。 針對不可指派角色的群組,您必須至少有目錄寫入器、群組管理員、身分識別治理管理員、使用者管理員角色,或是擔任群組的擁有者。 系統管理員的角色指派應限於目錄層級 (而非管理單位層級)。

注意

具有管理群組權限的其他角色 (例如,非可指派角色 M365 群組的 Exchange 管理員) 和指派限於管理單位層級的管理員,可以透過群組 API/UX 來管理群組,以及覆寫在 Microsoft Entra PIM 中所做的變更。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理] > [Privileged Identity Management] > [群組]

  3. 您可以在這裡檢視已啟用「適用於群組的 PIM」的群組。

    螢幕擷取畫面顯示,檢視已針對 PIM for Groups 啟用之群組的位置。

  4. 選取 [探索群組],然後選取您想要使用 PIM 納入管理的群組。

    螢幕擷取畫面顯示,選取您想要使用 PIM 納入管理之群組的位置。

  5. 選取 [管理群組]和 [確定]

  6. 選取 [群組],返回在 PIM for Groups 啟用的群組清單。

或者您可以使用 [群組] 窗格,將群組納入 Privileged Identity Management 管理。

[群組] 窗格的螢幕擷取畫面,以便您可以選取群組進行 PIM 管理。

重要

群組接受管理之後,就無法從管理中移除。 這可防止其他資源管理員移除 PIM 設定。 如果從 Microsoft Entra ID 中删除了群組,則可能需要 24 小時才能從群組的 PIM 選項中移除群組。

下一步