設定群組設定的 PIM
在 Microsoft Entra ID 中群組的 Privileged Identity Management (PIM)中,角色設定會定義成員資格或擁有權指派屬性。 這些屬性包括啟用、指派持續時間上限和通知設定的多重要素驗證和核准需求。 本文說明如何設定角色設定,並設定核准工作流程,以指定誰可以核准或拒絕提高許可權的要求。
您需要群組管理許可權才能管理設定。 對於可指派角色的群組,您必須擁有全域管理員istrator 或 Privileged Role 管理員istrator 角色,或是群組的擁有者。 針對非角色可指派的群組,您必須擁有全域管理員istrator、目錄寫入器、群組管理員istrator、Identity Governance 管理員istrator 或使用者管理員istrator 角色,或是群組的擁有者。 系統管理員的角色指派應限定于目錄層級(不在管理單位層級)。
注意
具有管理群組許可權的其他角色(例如非角色指派 Microsoft 365 群組的 Exchange 系統管理員),以及具有管理單位層級指派的系統管理員,可以透過群組 API/UX 管理群組來管理群組,並覆寫在 Microsoft Entra Privileged Identity Management 中所做的變更。
每個群組會為每個角色定義角色設定。 相同群組相同角色(成員或擁有者)的所有指派都遵循相同的角色設定。 一個群組的角色設定與另一個群組的角色設定無關。 一個角色的角色設定(成員)與另一個角色的角色設定無關(擁有者)。
更新角色設定
若要開啟群組角色的設定:
流覽至 [ 身分識別治理 > 特殊許可權身分識別管理 > 群組]。
選取您要設定角色設定的群組。
選取設定。
選取您需要設定角色設定的角色。 選項為 成員 或 擁有者 。
檢閱目前的角色設定。
選取 [ 編輯 ] 以更新角色設定。
選取更新。
角色設定
本節討論角色設定選項。
啟用持續時間上限
使用 [ 啟用持續時間上限 ] 滑杆來設定角色指派啟用要求在到期前保持作用中的時間上限,以小時為單位。 此值可以是 1 到 24 小時。
啟用時,需要多重要素驗證
您可以要求符合角色資格的使用者,先使用 Microsoft Entra ID 中的多重要素驗證功能來證明他們是誰,才能啟用。 多重要素驗證有助於保護資料和應用程式的存取。 它會使用第二種形式的驗證來提供另一層安全性。
如果使用者已使用強認證進行驗證,或在此會話稍早提供多重要素驗證,則可能不會提示使用者進行多重要素驗證。 如果您的目標是確保使用者在啟用期間必須提供驗證,您可以使用 On activation,要求 Microsoft Entra 條件式存取驗證內容 與 驗證強度 一起。
使用者必須在啟用期間使用不同于用來登入電腦的方法進行驗證。 例如,如果使用者使用 Windows Hello 企業版 登入電腦,您可以使用 [啟用時],要求 Microsoft Entra 條件式存取驗證內容 和 驗證強度 要求使用者在啟用角色時,使用 Microsoft Authenticator 執行無密碼登入。
在此範例中,使用者提供無密碼登入與 Microsoft Authenticator 一次之後,他們便能夠在此會話中執行下一次啟用,而不需要另一個驗證。 使用 Microsoft Authenticator 進行無密碼登入已經是其權杖的一部分。
建議您為所有使用者啟用 Microsoft Entra ID 中的多重要素驗證功能。 如需詳細資訊,請參閱 規劃 Microsoft Entra 多重要素驗證部署 。
啟用時,需要 Microsoft Entra 條件式存取驗證內容
您可以要求符合角色資格的使用者,以滿足條件式存取原則需求。 例如,您可以要求使用者使用透過驗證強度強制執行的特定驗證方法、從符合 Intune 規範的裝置提高角色,以及遵守使用規定。
若要強制執行這項需求,您可以建立條件式存取驗證內容。
設定條件式存取原則,以強制執行此驗證內容的需求。
條件式存取原則的範圍應包含群組成員資格/擁有權的所有或合格使用者。 請勿同時建立範圍設定為驗證內容和群組的條件式存取原則。 在啟用期間,使用者還沒有群組成員資格,因此條件式存取原則不會套用。
在角色的 PIM 設定中設定驗證內容。
如果 PIM 設定具有 啟用時,需要設定 Microsoft Entra 條件式存取驗證內容 ,條件式存取原則會定義使用者必須符合哪些條件,才能滿足存取需求。
這表示具有管理條件式存取原則許可權的安全性主體,例如條件式存取系統管理員或安全性系統管理員,可以變更需求、移除這些原則,或封鎖合格使用者啟用其群組成員資格/擁有權。 可以管理條件式存取原則的安全性主體應該被視為高度特殊許可權並據以保護。
建議您在 PIM 設定中設定驗證內容之前,先建立並啟用驗證內容的條件式存取原則。 作為備份保護機制,如果在租使用者中沒有條件式存取原則,以 PIM 設定中設定的驗證內容為目標,在群組成員資格/擁有權啟用期間,Microsoft Entra ID 中的多重要素驗證功能是必要的,因為 啟用時需要設定多重要素驗證 設定。
此備份保護機制的設計目的是在建立條件式存取原則之前,只保護 PIM 設定因為設定錯誤而更新的案例。 如果條件式存取原則已關閉、處於僅限報表模式,或已從原則排除合格使用者,則不會觸發此備份保護機制。
啟用 時,需要 Microsoft Entra 條件式存取驗證內容 設定會定義使用者啟用群組成員資格/擁有權時必須滿足的驗證內容需求。 啟用群組成員資格/擁有權之後,使用者將無法使用另一個流覽會話、裝置或位置來使用群組成員資格/擁有權。
例如,使用者可能會使用符合 Intune 規範的裝置來啟用群組成員資格/擁有權。 然後,啟動角色之後,他們可能會從不符合 Intune 規範的另一部裝置登入相同的使用者帳戶,並使用該處先前啟用的群組擁有權/成員資格。
若要避免這種情況,您可以設定條件式存取原則的範圍,以直接強制執行合格使用者的特定需求。 例如,您可以要求符合特定群組成員資格/擁有權的使用者一律使用符合 Intune 規範的裝置。
若要深入瞭解條件式存取驗證內容,請參閱 條件式存取:雲端應用程式、動作和驗證內容 。
啟用時需要理由
您可以要求使用者在啟用合格指派時輸入業務理由。
啟用時需要票證資訊
您可以要求使用者在啟用合格指派時輸入支援票證。 此選項是僅限資訊欄位。 不會強制執行與任何票證系統中的資訊相互關聯。
需要核准才能啟用
您可以要求核准啟用合格指派。 核准者不一定是群組成員或擁有者。 當您使用此選項時,必須至少選取一個核准者。 建議您至少選取兩個核准者。 沒有預設核准者。
若要深入瞭解核准,請參閱 核准群組成員和擁有者的 PIM 啟用要求。
工作分派持續時間
當您設定角色的設定時,可以選擇每個指派類型的兩個指派持續時間選項: 合格 且 作用中 。 當使用者被指派給 Privileged Identity Management 中的角色時,這些選項會成為預設的最大持續時間。
您可以選擇其中一個合格的指派持續時間選項。
| 設定 | 描述 |
|---|---|
| 允許永久符合資格指派 | 資源管理員可以指派永久合格指派。 |
| 在之後到期合格指派 | 資源管理員可以要求所有合格指派都有指定的開始和結束日期。 |
您也可以選擇其中一個作用中的指派持續時間選項。
| 設定 | 描述 |
|---|---|
| 允許永久使用中指派 | 資源管理員可以指派永久的作用中指派。 |
| 到期後的作用中指派 | 資源管理員可以要求所有使用中指派都有指定的開始和結束日期。 |
具有指定結束日期的所有指派都可以由資源管理員更新。 此外,使用者可以起始自助式要求,以 擴充或更新角色指派 。
需要使用中指派的多重要素驗證
您可以要求系統管理員或群組擁有者在建立作用中(而不是符合資格)指派時提供多重要素驗證。 當使用者使用角色指派時,Privileged Identity Management 無法強制執行多重要素驗證,因為從指派角色起就已經在角色中。
如果系統管理員或群組擁有者使用強式認證進行驗證,或稍早在此會話中提供多重要素驗證,系統可能不會提示進行多重要素驗證。
使用中指派需要理由
您可以要求使用者在建立作用中(而不是符合資格)指派時輸入業務理由。
在 [角色設定 ] 頁面上的 [ 通知] 索引標籤上,Privileged Identity Management 可讓您更精細地控制接收通知的人員及其接收的通知。 下列選項可供您選擇:
- 關閉電子郵件 :您可以清除預設收件者核取方塊並刪除任何其他收件者,以關閉特定電子郵件。
- 將電子郵件限制為指定的電子郵件地址 :您可以清除預設收件者核取方塊來關閉傳送給預設收件者的電子郵件。 然後,您可以將其他電子郵件地址新增為收件者。 如果您想要新增多個電子郵件地址,請使用分號來分隔它們(;)。
- 將電子郵件傳送給預設收件者及更多收件者 :您可以將電子郵件傳送給預設收件者和另一個收件者。 選取預設收件者核取方塊,並新增其他收件者的電子郵件地址。
- 僅限 重大電子郵件:針對每種類型的電子郵件,您可以選取核取方塊,只接收重要電子郵件。 只有在電子郵件需要立即採取行動時,Privileged Identity Management 才會繼續傳送電子郵件給指定的收件者。 例如,不會觸發要求使用者延長其角色指派的電子郵件。 觸發需要系統管理員核准擴充功能要求的電子郵件。
注意
Privileged Identity Management 中的一個事件可以產生電子郵件通知給多個收件者 – 被指派者、核准者或系統管理員。 每個事件傳送的通知數目上限為 1000。 如果收件者數目超過 1000,則只有前 1000 位收件者會收到電子郵件通知。 這不會防止其他被指派者、系統管理員或核准者在 Microsoft Entra ID 和 Privileged Identity Management 中使用其許可權。
使用 Microsoft Graph 管理角色設定
若要在 Microsoft Graph 中使用 PIM API 來管理群組的角色設定,請使用 unifiedRoleManagementPolicy 資源類型和其相關方法 。
在 Microsoft Graph 中,角色設定稱為規則。 他們會透過容器原則指派給群組。 您可以擷取範圍為群組和每個原則的所有原則。 使用 $expand 查詢參數擷取規則的相關集合。 要求的語法如下所示:
GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules
如需如何在 Microsoft Graph 中透過 PIM API 管理角色設定的詳細資訊,請參閱 角色設定和 PIM 。 如需如何更新規則的範例,請參閱 使用 Microsoft Graph 更新 PIM 中的規則。