將群組帶入 Privileged Identity Management

  • 發行項

在 Microsoft Entra ID 中,您可以使用 Privileged Identity Management (PIM) 來管理群組中的 Just-In-Time 成員資格或群組的 Just-In-Time 擁有權。 群組可用來提供 Microsoft Entra 角色、Azure 角色和各種其他案例的存取權。 若要在 PIM 中管理 Microsoft Entra 群組,您必須在 PIM 中將其帶入管理之下。

識別要管理的群組

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

開始之前,您需要 Microsoft Entra 安全組或 Microsoft 365 群組。 若要深入瞭解 Microsoft Entra 識別碼中的群組管理,請參閱 管理 Microsoft Entra 群組和群組成員資格

在群組的 PIM 中,無法管理從內部部署環境同步處理的動態群組和群組。

您需要適當的許可權,才能將群組帶入 Microsoft Entra PIM。 針對可指派角色的群組,您必須擁有全域 管理員 istrator、Privileged Role 管理員 istrator 角色,或是群組的擁有者。 針對不可指派角色的群組,您必須擁有全域 管理員 istrator、目錄寫入器、群組 管理員 istrator、Identity Governance 管理員 istrator、使用者 管理員 istrator 角色,或成為群組的擁有者。 系統管理員的角色指派應限定於目錄層級(而非系統管理單位層級)。

注意

具有管理群組許可權的其他角色(例如適用於非角色指派 M365 群組的 Exchange 管理員 istrators)和具有管理單位層級指派的系統管理員可以透過群組 API/UX 來管理群組,並覆寫 Microsoft Entra PIM 中所做的變更。

  1. 以至少具特殊許可權的角色 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別治理>特殊許可權身分識別管理>群組]。

  3. 您可以在這裏檢視已針對群組啟用 PIM 的群組。

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. 選取 [ 探索群組 ],然後選取您想要使用 PIM 進行管理的群組。

    Screenshot of where to select a group that you want to bring under management with PIM.

  5. 選取 [管理群組] 和 [確定]。

  6. 選取 [ 群組 ] 以返回 PIM 中針對群組啟用的群組清單。

注意

或者,您可以使用 [群組] 窗格,將群組帶入 Privileged Identity Management 底下。

注意

一旦群組受到管理,就無法將它從管理中取出。 這可防止另一個資源管理員移除 PIM 設定。

重要

如果群組從 Microsoft Entra ID 中刪除,可能需要 24 小時的時間,群組才會從 [群組的 PIM] 刀鋒視窗中移除。

下一步