在 Microsoft Entra ID (之前稱為 Azure Active Directory),您可以使用 Privileged Identity Management (PIM) 來管理群組中的 Just-In-Time 成員資格或群組的 Just-In-Time 擁有權。
指派成員資格或擁有權時,指派:
- 無法在五分鐘內指派
- 無法在指派後的五分鐘內移除
注意
符合「適用於群組的 PIM」成員資格或擁有權資格的每位使用者,都必須擁有 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 授權。 如需詳細資訊,請參閱 使用 Privileged Identity Management 的授權需求。
指派群組的擁有者或成員
請遵循下列步驟,讓使用者成為群組的符合資格成員或擁有者。 您需要管理群組的許可權。 對於可指派角色的群組,您至少必須是特殊權限角色管理員角色,或是擔任群組的擁有者。 對於不可指派角色的群組,您至少必須是目錄寫入者、群組管理員、或身分識別治理管理員、使用者管理員角色,或是擔任群組的擁有者。 系統管理員的角色指派應限於目錄層級 (而非管理單位層級)。
注意
其他具有管理群組許可權的角色(例如,對於無法指派角色的 Microsoft 365 群組的 Exchange 系統管理員),以及具有管理單位層級指派的系統管理員,可以透過群組 API/UX 來管理群組,並可覆寫在 Microsoft Entra PIM 中所做的變更。
流覽至 身分治理>特權身分管理>群組。
您可以在這裡檢視已啟用「適用於群組的 PIM」的群組。
選取您需要管理的群組。
選取 [指派]。
使用 [合格指派] 和 [有效指派] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。
選取 [新增指派]。
在 [選取角色] 下 ,選擇 [成員] 或 [擁有者],以指派成員資格或擁有權。
選取您想要讓其符合群組資格的成員或擁有者。
選取 [下一步]。
在 [指派類型] 清單中選取 [合格] 或 [有效]。 Privileged Identity Management 提供兩種不同的指派類型:
- 合格的指派需要成員或擁有者執行啟用才能使用角色。 啟用可能也需要提供多重要素驗證(MFA)、提供業務理由,或向指定的核准者要求核准。
重要
對於用來提升為 Microsoft Entra 角色的群組,Microsoft 建議您為符合資格的成員指派,要求核准流程。 若指派可以在未核准的情況下啟用,可能會讓有權重設合格使用者密碼之其他系統管理員有安全性風險。
- 有效的指派不需要成員先執行任何啟用才能使用此角色。 分配為活動的成員或擁有者始終具有分配給該角色的許可權。
如果指派應為永久性 (永久合格或永久指派),請選取 [永久] 核取方塊。 取決於群組設定,系統可能不會顯示或無法編輯核取方塊。 如需詳細資訊,請參閱Privileged Identity Management 中設定群組的 PIM 設定 文章。
選取 指派。
更新或移除現有角色指派
請遵循下列步驟來更新或移除現有角色指派。 您需要管理群組的許可權。 對於可指派角色的群組,您至少必須是特殊權限角色管理員角色,或是擔任群組的擁有者。 對於不可指派角色的群組,您至少必須有目錄寫入者、群組管理員、身分識別治理管理員、使用者管理員角色,或是擔任群組的擁有者。 系統管理員的角色指派應限於目錄層級 (而非管理單位層級)。
注意
其他具有管理群組許可權的角色(例如,對於無法指派角色的 Microsoft 365 群組的 Exchange 系統管理員),以及具有管理單位層級指派的系統管理員,可以透過群組 API/UX 來管理群組,並可覆寫在 Microsoft Entra PIM 中所做的變更。
以至少具特殊許可權的角色管理員身分登入 Microsoft Entra 系統管理中心。
流覽至 身分治理>特權身分管理>群組。
您可以在這裡檢視已啟用「適用於群組的 PIM」的群組。
選取您需要管理的群組。
選取 [指派]。
使用 [合格指派] 和 [有效指派] 刀鋒視窗來檢閱所選群組的現有成員資格或擁有權指派。
選取 [更新] 或 [移除] 以更新或移除成員資格或擁有權指派。