在 Privileged Identity Management 中指派群組的資格
在 Microsoft Entra ID (之前稱為 Azure Active Directory),您可以使用 Privileged Identity Management (PIM) 來管理群組中的 Just-In-Time 成員資格或群組的 Just-In-Time 擁有權。
指派成員資格或擁有權時,指派:
- 無法在五分鐘內指派
- 無法在指派後的五分鐘內移除
注意
符合「適用於群組的 PIM」成員資格或擁有權資格的每位使用者,都必須擁有 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 授權。 如需詳細資訊,請參閱 使用 Privileged Identity Management 的授權要求。
指派群組的擁有者或成員
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
請遵循下列步驟,讓使用者成為群組的符合資格成員或擁有者。 您需要管理群組的權限。 對於可指派角色的群組,您至少必須是特殊權限角色管理員角色,或是擔任群組的擁有者。 對於不可指派角色的群組,您至少必須是目錄寫入者、群組管理員、或身分識別治理管理員、使用者管理員角色,或是擔任群組的擁有者。 系統管理員的角色指派應限於目錄層級 (而非管理單位層級)。
注意
具有管理群組權限的其他角色 (例如,非可指派角色 M365 群組的 Exchange 管理員) 和指派限於管理單位層級的管理員,可以透過群組 API/UX 來管理群組,以及覆寫在 Microsoft Entra PIM 中所做的變更。
瀏覽至 [身分識別治理]> [Privileged Identity Management]> [群組]。
您可以在這裡檢視已啟用「適用於群組的 PIM」的群組。
選取您需要管理的群組。
選取 [指派]。
使用 [合格指派] 和 [有效指派] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。
選取 [新增指派]。
在 [選取角色] 下 ,選擇 [成員] 或 [擁有者],以指派成員資格或擁有權。
選取您想要讓其符合群組資格的成員或擁有者。
選取 [下一步]。
在 [指派類型] 清單中選取 [合格] 或 [有效]。 Privileged Identity Management 提供兩種不同的指派類型:
- 合格的指派需要成員或擁有者執行啟用才能使用角色。 啟用可能也需要提供多重要素驗證 (MFA)、提供業務理由,或是向指定的核准者要求核准。
重要
對於用來提升為 Microsoft Entra 角色的群組,Microsoft 建議您為符合資格的成員指派,要求核准流程。 若指派可以在未核准的情況下啟用,可能會讓有權重設合格使用者密碼之其他系統管理員有安全性風險。
- 有效的指派不需要成員先執行任何啟用才能使用此角色。 指派為有效的成員或擁有者隨時具有指派給角色的權限。
如果指派應為永久性 (永久合格或永久指派),請選取 [永久] 核取方塊。 取決於群組設定,系統可能不會顯示或無法編輯核取方塊。 如需詳細資訊,請參閱在 Privileged Identity Management 中設定適用於群組的 PIM 設定一文。
選取指派。
更新或移除現有角色指派
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
請遵循下列步驟來更新或移除現有角色指派。 您需要管理群組的權限。 對於可指派角色的群組,您至少必須是特殊權限角色管理員角色,或是擔任群組的擁有者。 對於不可指派角色的群組,您至少必須有目錄寫入者、群組管理員、身分識別治理管理員、使用者管理員角色,或是擔任群組的擁有者。 系統管理員的角色指派應限於目錄層級 (而非管理單位層級)。
注意
具有管理群組權限的其他角色 (例如,非可指派角色 M365 群組的 Exchange 管理員) 和指派限於管理單位層級的管理員,可以透過群組 API/UX 來管理群組,以及覆寫在 Microsoft Entra PIM 中所做的變更。
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別治理]> [Privileged Identity Management]> [群組]。
您可以在這裡檢視已啟用「適用於群組的 PIM」的群組。
選取您需要管理的群組。
選取 [指派]。
使用 [合格指派] 和 [有效指派] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。
選取 [更新] 或 [移除] 以更新或移除成員資格或擁有權指派。